Access Reviews

December 20, 2020 / by Karsten Kleinschmidt


Eine immer wiederkehrende Aufgabe für IT Administratoren ist der Umgang mit Ausnahmen (Exceptions). Stellen Sie sich folgendes Szenario vor: Sie möchten die Legacy-Authentifizierung mit einer Conditional Access-Regel aus Ihrem Tenant entfernen. Diese Exception muss regelmäßig überprüft werden. Das ist eine zeitraubende Aufgabe, denn die Anzahl der Benutzer in der Gruppe wächst, und jeder Benutzer besteht darauf, dass er die Regel weiterhin benötigt. Kommt Ihnen das bekannt vor?

Dann haben wir einen Vorschlag für Sie: Lassen Sie die Cloud für sich arbeiten! Sie können die Zugriffsüberprüfung (Access Review) im Azure AD Privileged Identity Management nutzen. Nachfolgend eine kurze Anleitung, was Sie hierfür tun müssen:

  1. Erstellen Sie eine Gruppe, um alle Benutzer mit Exceptions zu erfassen.
  2. Legen Sie einen sich wiederholenden Access Review für diese Gruppe an. Benutzer dieser Gruppe überprüfen ihren eigenen Zugriff und entscheiden, ob sie die Exception noch benötigen.
  3. Desweitern können aber auch Gruppenbesitzer und ausgewählte Benutzer oder Gruppen ebenfalls bestätigen, für wen die Ausnahme noch gültig ist.
  4. Sie erhalten ein vollständiges Audit-Protokoll. Ihre Benutzer müssen immer einen Grund für die Verlängerung angeben, und die Gruppe bereinigt sich selbst, wenn Benutzer ihre Exception nicht verlängern.

Hinweis: Wenn Sie Access Reviews noch nie verwendet haben, müssen Sie in Ihrem Tenant die Access Review-Funktion aktiveren.

Lassen Sie uns nun Schritt für Schritt einen Access Review für Ihre Ausnahmegruppe einrichten: Navigieren Sie vom Azure-Portal zur Identity Governance Seite. Erstellen Sie im dem Menü "Getting started" einen neuen Access Review.

Im Formular "Create an access review" geben Sie die Informationen für die Zugriffsüberprüfung inklusive Startdatum an. Das Startdatum kann in der Zukunft liegen. Um die Benutzer innerhalb einer Ausnahmegruppe regelmäßig zu überprüfen, können Sie die Häufigkeit für eine Überprüfung anbgeben, z.B. wöchentlich, monatlich, vierteljährlich oder jährlich. Sie können außerdem eine Dauer festlegen, wie lange eine Überprüfung aktiv sein soll und ob sie nach mehreren Wiederholungen automatisch enden soll. Wenn Sie nur an dem Review von Gastbenutzern interessiert sind, können Sie den Kreis auf "Guest users only" einschränken oder aber Sie beziehen alle Benutzer inkl. Gäste mit ein. Da wir in unserem Scenario die Condional Access Regeln überprüfen wollen, sprechen wir in diesem Fall alle in der Gruppe an. Im DropDown "Users to review" wählen Sie die Gruppe aus, die Sie prüfen möchten. In der DropDown "Reviewers" aktivieren Sie die Option "Mitglieder (selbst)" aus, damit die Benutzer ihren eigenen Zugriff überprüfen können.

Mit einem Programm können Sie alle Governance-Risikomanagement- oder Compliance-Aktivitäten zusammenfassen, die für Ihr Unternehmen relevant sind. Es ist sinnvoll, unterschiedliche Maßnahmen für das Lifecycle-Management zu nutzen, z. B. interne Überprüfungen, rechtliche Vorgaben, die durch GDPR oder SOX erforderlich sind. Dadurch können Auditoren die relevanten Access Reviews anhand der Gruppierung nach Programmen leicht einsehen.

Legen Sie die Access Review als Teil Ihres (Standard-)Programms fest. In den Endeinstellungen können Sie festlegen, dass die Entscheidungen der Prüfer automatisch in das Ergebnis einbezogen werden sollen. Sie können auch festlegen, was passieren soll, wenn Reviewer nicht geantwortet haben. Sie können ihnen beispielsweise den Zugriff entziehen oder genehmigen oder aber auch die Systemempfehlungen basierend auf der letzten Anmeldeaktivität eines Benutzers übernehmen. Ist ein Benutzer 30 Tage inaktiv, wird er entfernt. Sie können einige Zusatzinformationen angeben, die in den Einladungs- und Erinnerungs-E-Mails an die zugewiesenen Prüfer angezeigt werden. Danach klicken Sie auf "Start", um Ihre Überprüfung zu starten. Sie wird in Ihrer Liste einschließlich des Status angezeigt.

Die zugewiesenen Prüfer (in unserem Fall die Mitglieder der Ausnahmegruppe) erhalten eine E-Mail zur Selbstprüfung ihrer Anforderung, ob die Ausnahme beibehalten werden soll. Die Reviewer müssen auf den Link "Review Access" klicken und werden dann zum My Access Portal weitergeleitet. Die Prüfer erhalten darüber hinaus Erinnerungen, wenn sie ihre Anfrage nicht geprüft haben.

Die Benutzer werden um eine Rückmeldung gebeten. Wenn die Ausnahme beibehalten werden soll, ist die Angabe eines Grundes zwingend erforderlich. Es kann aber auch angegeben werden, dass die Mitgliedschaft in der Ausnahmegruppe aufgehoben werden soll.

Der Administrator kann nachverfolgen, wie die Reviewer hinsichtlich ihrer Gruppenzugehörigkeit entschieden haben, und hat jederzeit Zugriff auf die aktuelle Anzahl der erteilten Ausnahmen.

Die Ergebnisseiten liefern detaillierte Informationen zu den von den Reviewern angegebenen Gründen und zeigen einige Empfehlungen, wie die Mitgliedschaft der Benutzer in der Gruppe zu behandeln ist. Hier sehen Sie beispielsweise, dass sich einige Benutzer innerhalb der letzten 30 Tage überhaupt nicht im Tenant angemeldet haben.