Käyttöoikeuksien hallinta Microsoft Entra ID Governance -työkalulla

MS Entra ID Governance blogi

Käyttövaltuuksien hallinnan automatisointi on tehokas keino vahvistaa tietoturvaa. Näin teet sen helposti Microsoft-ympäristössä. Webinaarissamme asiantuntijamme Aleksi Ahola (Security Specialist) ja Eero Kaipiainen (IAM Architect) esittelivät käyttäjien elinkaarenhallinnan, käyttövaltuuksien haun ja hyväksynnän sekä säännöllisen tarkistuksen Microsoft Entra ID Governancella. Tästä blogista löydät esimerkit tiivistettynä.

Kun uusi työntekijä aloittaa, työntekijän rooli muuttuu, työsopimus päättyy tai ulkopuoliselle kumppanille myönnetään pääsy yrityksen järjestelmiin, tarvitaan muutoksia käyttövaltuuksiin. Oikeuksien hallinta manuaalisesti vie aikaa ja altistaa virheille. 

Käyttöoikeuksien hallintaratkaisut (IGA eli Identity Governance and Administration) tehostavat työn tuottavuutta ja vähentävät digitaalisten identiteettien kautta tapahtuvien tietomurtojen riskiä. 

Käyttövaltuuksien hallinnan automatisointiin on tarjolla useita ratkaisuja. Yleisimmät tarpeet hoituvat Microsoftin Entra ID Governance -ratkaisulla erityisesti silloin, kun organisaatio käyttää Microsoftin ekosysteemin palveluita. Arkkitehtuuriin on muutamia eri vaihtoehtoja riippuen siitä, onko käytössänne Active Directory, ainoastaan pilvitunnuksia vai molempia. 

Identiteettien elinkaaren automatisointi

Automaattinen elinkaaren hallinta vähentää virheitä ja säästää kustannuksia. Microsoft Entra ID Governance -työkalun Lifecycle Workflow:lla voit määrittää elinkaaren hallintaan liittyvät automaatiot.

Uusi työntekijä saa tarvittavat palvelut käyttöönsä heti ensimmäisestä työpäivästä alkaen. Onboarding-automaatio käynnistyy aloituspäivänä, aktivoi käyttäjän ja antaa tarvittavat syntymäoikeudet.

Offboarding-automaatio taas aktivoituu viimeisenä työpäivänä ja huolehtii siitä, ettei tarpeettomia tunnuksia ja käyttöoikeuksia jää voimaan. Yrityksen tietoturva sekä vaatimustenmukaisuus paranevat, kun entisten työntekijöiden oikeuksien poistaminen ei ole muistin varassa. 

Käyttövaltuuksien haku ja hyväksyntä

Käyttövaltuuspyyntöjen ja niiden hyväksynnän keskittäminen parantaa jäljitettävyyttä. Microsoftin Identity Governance käyttää oikeuspaketeista nimeä Access Packages. Nämä paketit voivat sisältää ryhmiä, tiimejä, sovelluksia tai Sharepoint-sivuja. Voit määritellä, ketkä voivat pyytää paketteja, kuka hyväksyy pyynnöt ja kauanko oikeudet ovat voimassa.

Löydät tiedot voimassa olevista oikeuksista työkalusta helposti. Käyttäjä voi tehdä pyyntöjä My Access -palvelun kautta. Esihenkilöiden työ helpottuu, koska pyyntöihin voi liittää tietoja liiketoimintatarpeesta ja voimassaoloajasta. Myös virheiden riski vähenee, kun haun ja hyväksynnän työkaluna ei käytetä esimerkiksi sähköpostia. 

Käyttövaltuuksien säännöllinen tarkistus

Työntekijän roolin muutosten myötä voi kertyä tarpeettomia käyttövaltuuksia. Säännöllinen tarkistus varmistaa, että työntekijöillä on vain tehtäviensä suorittamiseen tarvittavat oikeudet. Näkyvyys lisääntyy ja mahdollinen auditointiprosessi helpottuu. 

Microsoftin Identity Governancesta löytyvällä Access Reviews -toiminnolla voit asettaa paketeille säännöllisen tarkistussyklin. Tarkistajana voi olla yksi tai useampia henkilöitä. Jos tarkistaja ei vastaa, voit määrittää, säilyvätkö oikeudet vai poistetaanko ne. Voit tehdä tarkistuksen myös tehdä manuaalisesti. Tarkistettavat oikeudet näkyvät tarkistajan My Access -sivulla.    

IGA kuntoon asiantuntijan avulla

Tässä esittelimme tyypillisiä käyttövaltuuksien hallinnan toimenpiteitä. Käyttövaltuuksien hallinta kannattaa kuitenkin aina suunnitella asiantuntijan kanssa, koska jokaisen organisaation tarpeet ovat erilaisia. 

Suosittelemme aloittamaan esiselvityksellä, joka auttaa ymmärtämään nykyiset ja tavoiteprosessit sekä hyödynnettävät teknologiat, tunnistamaan puutteet ja määrittelemään liiketoimintavaatimukset identiteetinhallinnanratkaisulle. Me Secure Cloudilla autamme mielellämme digitaalisten identiteettien turvaamisessa.

Katso webinaari ja demot

 MS Entra ID Governance – Tehosta käyttöoikeuksien hallintaa ja varmista identiteettien turvallisuus  

Eero Kaipiainen

Eero Kaipiainen

Eerolla on yli 15 vuoden kokemus digitaalisten identiteettien hallinnasta. Hän on toiminut konsultoinnin lisäksi eri rooleissa määrittelytyöstä koodaamiseen, projektijohdosta tekniseen käyttöönottoon ja ylläpitoon sekä kokemusta löytyy useasta eri digitaalisten identiteettien teknologiasta ja palvelusta. Tällä hetkellä Eero toimii Secure Cloudilla IAM arkkitehtina. Eeron harrastuksiin kuuluvat Go-lautapelin opettelu ja osakepoiminta.