Microsoft Entra ID to rozbudowany dostawca tożsamości dla usług chmurowych, który pozwala z łatwością zarządzać tzw. cyklem życia kont pracowników. Dzięki niemu możemy mieć pewność, że nasze standardy nadawania uprawnień i zarządzania nimi są w pełni zgodne z architekturą cyberbezpieczeństwa Zero Trust.
Problem „zapomnianych” uprawnień
Często zdarza się, że pracownik odchodzi z firmy lub zmienia projekt. Firmy mają wprawdzie ustalone procesy offboardingowe, które powinny gwarantować odebranie uprawnień, jednak w praktyce bywa z tym różnie. Mnogość rozproszonych i niezintegrowanych systemów wymusza na administratorach ręczny przegląd dostępów, co sprzyja błędom. W efekcie uprawnienia nie zawsze są cofane na czas, przez co pracownicy – a co gorsza, byli pracownicy – wciąż mogą mieć dostęp do firmowych zasobów, zwłaszcza jeśli ich konta nie zostały poprawnie wyłączone. Jak temu zaradzić?
Funkcja access review i wymagane licencje
Funkcja ciągłego przeglądu uprawnień (Access Reviews) wchodzi w skład pakietu ID Governance i jest dostępna dla firm posiadających licencję Microsoft Entra ID P2 lub pełny pakiet Microsoft 365 Enterprise E5 (który zawiera już w sobie Entra ID P2). Te licencje w zupełności wystarczą, jeśli zależy nam wyłącznie na funkcji przeglądu uprawnień.
Jeżeli jednak chcielibyśmy wykorzystać zaawansowane automatyzacje zarządzania cyklem życia kont (onboarding / offboarding / integracje z systemami HR), musimy rozszerzyć licencję Entra ID P2 lub M365 E5 o dodatkowy add-on o nazwie Microsoft Entra ID Governance.
Jak to bywa w przypadku usług Microsoftu, ich licencjonowanie to prawdziwy labirynt, w którym łatwo się zgubić i przepłacić. Dlatego, jak zawsze, polecam świetną mapę licencji od Aarona Dinnage’a: https://m365maps.com/.
Kluczowe funkcje i automatyzacja
Aby najlepiej zrozumieć jak działa ta funkcjonalność przejdziemy razem przez proces tworzenia okresowego access review dla grupy użytkowników.
Przechodzimy do Entra ID -> ID Governance -> Access Reviews i wybieramy „New access review”.
Access Reviews możemy konfigurować dla jednego typu zasobu lub wielu typów zasobów w jednym katalogu. Mogą to być zasoby w samym Entra ID, Microsoft Azure lub innych powiązanych systemach. Na potrzeby tego artykułu wybierzemy „Review access to a resource type”.
W ustawieniach typu access review wybieramy „Teams + Groups” i wskazujemy grupę użytkowników którą chcemy zweryfikować (np. grupę użytkowników, która daje dostęp do subskrypcji w Azure w której są zasoby naszego projektu). Możemy też wybrać zakres użytkowników jaki chcemy weryfikować np. tylko konta gości, wszyscy użytkownicy (zewnętrzni + wewnętrzni) lub tylko dezaktywowane konta.
W następnym kroku musimy wskazać ilu etapowa ma być nasza ewaluacja oraz kto ma dokonywać recenzji dostępów. Opcje są następujące: użytkownik sam weryfikuje swoje dostępy (samoocena), właściciel grupy weryfikuje dostępy, menedżer danych użytkowników weryfikuje dostępy lub wskazany przez nas użytkowników (lub grupa użytkowników) dokonuje oceny. Możemy też zezwolić, aby osoba na następnym etapie widziała decyzję recenzenta z poprzedniego etapu.
W drugiej części konfiguratora możemy od razu zautomatyzować naszą recenzje uprawnień i ustawić, co jaki czas ma być ona wykonywana (np. raz na kwartał czy miesiąc).
W ostatniej części okna możemy wybrać w przypadku jakiej odpowiedzi, recenzja ma przejść do następnego etapu (jeżeli chcemy np. aby kierownik zespołu musiał sam podjąć decyzje, tylko jeżeli użytkownik przy samoocenie w pierwszym etapie zaznaczy „nie jestem pewien”).
W ostatnim panelu możemy wybrać co ma się wydarzyć po zakończeniu wszystkich etapów access review, automatyczne działania które możemy zainicjować to: zablokuj dostęp lub zaakceptuj dostęp. Możemy też oczywiście wyłączyć automatyzacje i zostawić ostateczną decyzję administratorowi, który będzie przeglądał wyniki ankiety.
Mamy też bardziej zaawansowane akcje jeżeli chodzi o użytkowników gości, możemy: zabrać użytkownikowi uprawnienia lub zablokować go na 30 dni, po czym po upływie tego czasu usunąć go z naszego tenanta.
Możemy ustawić też tak zwane „decision helpers” dla osób na poszczególnych etapach recenzji uprawnień, np. oflagować użytkowników których konta przez ostatnie 30 dni nie miały żadnej aktywności (np. logowania).
No i na samym końcu możemy spersonalizować wiadomość email, która przyjdzie do użytkowników objętych access reviews (lub recenzentów), a także wymusić aby dodali wyjaśnienie do swojej podjętej decyzji (np. krótki opis, który później pozwoli administratorowi upewnić się czy uprawnienia na pewno powinny zostać odebrane).
Po stworzeniu naszego access review i uruchomieniu go, możemy je monitorować w czasie rzeczywistym. Pozwala nam to sprawdzić ile użytkowników wypełniło już ankiety, a także dla kogo uprawnienia zostają, a komu zostały zabrane.
Use cases i zalety dla biznesu
Access Reviews w Entra ID to najlepszy przyjaciel administratora, jeśli chodzi o utrzymywanie porządku w uprawnieniach użytkowników w tenancie. Główne scenariusze (use cases), w których sam stosuję je w codziennej pracy lub które polecam wdrożyć moim klientom, to:
- Weryfikacja dostępu gości do tenanta (cyklicznie co pół roku) – pozwala to na bieżąco usuwać „wiszące” konta gości, które często piętrzą się w Entra ID. Dzieje się tak dlatego, że w natłoku zadań mało kto informuje dział IT o zakończeniu współpracy z danym dostawcą czy klientem.
- Weryfikacja dostępu do grup projektowych (co kwartał) – składy zespołów, zwłaszcza w R&D czy startupach, zmieniają się bardzo dynamicznie. Ten proces pozwala utrzymać porządek w grupach i zweryfikować, czy nadane wcześniej dostępy są nadal niezbędne do pracy.
- Dostęp do grup administracyjnych (co kwartał) – choć większość organizacji (szczególnie tych z licencją P2) powinna korzystać z Privileged Identity Management (PIM), wciąż wiele firm przydziela uprawnienia na stałe. Administratorzy również zmieniają obszary odpowiedzialności lub poziomy dostępów, dlatego ich uprawnienia wymagają stałego nadzoru.
- Dostęp do aplikacji Enterprise (co kwartał) – Access Reviews pozwalają również weryfikować uprawnienia do aplikacji ze zintegrowanym logowaniem SSO. Dzięki temu możemy regularnie sprawdzać, czy pracownicy nadal potrzebują dostępu do platform takich jak Jira, Confluence czy Adobe Creative Cloud. Pozwala to nie tylko zwiększyć bezpieczeństwo, ale również realnie zaoszczędzić na kosztach licencji, odzyskując płatne subskrypcje od osób, które już z nich nie korzystają.
Standaryzacja i normy compliance
Wszystkie przeprowadzone procesy Access Reviews generują szczegółowe raporty, które stanowią doskonały dowód dla audytora – na przykład podczas certyfikacji na zgodność ze standardem ISO 27001. Dokumentacja ta czarno na białym pokazuje, że organizacja dba o prawidłowe zarządzanie dostępami oraz cyklem życia kont użytkowników. Takie raporty są również nieocenione przy wykazywaniu zgodności z wymogami prawnymi, takimi jak unijna dyrektywa NIS2.