blog-entitlement-management.jpg

Smart lösning på problemet med åtkomst

Att se till att anställda och partners får tillgång till rätt saker är en viktig uppgift för alla företag. Det påverkar produktiviteten direkt. Likaså är det en viktig uppgift att se till att tillgången tas bort när det inte längre är motiverat att den skall vara kvar. Det påverkar säkerheten direkt. Idag när vi oftast arbetar på distans så kan det här vara svårt att åstadkomma.

Vissa problem blir större ju större organisationen är

Tänk dig att du idag börjar på ett stort företag. Företaget har många hundratals team i Microsoft Teams, i din roll på företaget förväntas du vara aktiv i en del av dem. Några av teamen är regionalt baserade, en del är produktrelaterade, en del är rollorienterade. Sedan krävs det ofta att du skall vara aktiv i teams som ligger hos kunder eller partners.

Dessutom är Microsoft Teams inte den enda tjänsten en ny anställd behöver komma åt. Det kan handla om grupp-epostlådor, SharePointsajter och affärsapplikationer.

Om du har tur har du någon som kan sitta bredvid dig en stund och hjälpa dig med att hitta rätt bland alla team, sajter och applikationer.

Om det här inte känns som ett problem så ser du det inte ur perspektivet som nyanställd. I en stor organisation kan det kännas som ett oövervinnerligt problem, du vet inte vad teamen heter och många team har liknande namn. Sedan måste du klura ut hur du skall få access och gå med i alla externa team.

Som tur är, är det här ett problem som har en lösning. I Azure AD finns det många funktioner för identitetsstyrning, en av dem heter Entitlement Management eller berättigandehantering på svenska. I Entitlement Management kan administratörer och till exempel HR skapa åtkomstpaket. Du gör en genomlysning av rollerna och vad som är gemensamt och vad som skiljer mellan olika segment eller regioner och planerar vilka paket som skall skapas. Paketen ger dig rätt åtkomst i de grupper, team och SharePointsajter som din roll kräver. Det enda du behöver är sedan en URL som du besöker och där du kan välja och begära åtkomstpaketen. https://myaccess.microsoft.com/@<directory_hint> - /access-packages

Directory hint som refereras till ovan är typiskt den primära externa domänens namn. I en riktigt stor organisation kan åtkomstpaketen vara sorterade i olika kataloger. Vi kan dessutom styra vilka paket som man skall kunna begära utan godkännande och vilka paket som måste godkännas av någon behörig godkännare.

Ett åtkomstpaket innehåller referenser till en eller flera resurser samt vilken åtkomst man får till dessa genom paketet. Om vi behöver så kan vi också tidsbegränsa hur länge en access skall vara tilldelad.

Inte bara de egna anställda

Om ni har partners eller andra externa som behöver komma åt resurser på ditt företag så kan du göra på precis samma sätt. Först måste vi skapa en anslutning till partnerorganisationen. Det gör vi på samma plats som vi skapar paketen. De paket som ni gjort tillgängliga för gäster från anslutna organisationer kan de helt enkelt begära på samma URL som era anställda. Man kan bara se de paket man kan begära, och vi kan säkra dessa ytterligare med godkännandekrav, tidsbegränsningar och periodiska åtkomstgranskningar.

Hur gör man?

Börja med att logga in som administratör och navigera till https://aad.portal.azure.com/#blade/Microsoft_AAD_ERM/DashboardBlade/elmEntitlement och skapa ett nytt accesspaket. I början finns det bara en allmän katalog att skapa paketet i, men du kan segmentera genom att skapa fler kataloger och delegera behörigheter att skapa paket för respektive katalog. Om man t ex är en geografiskt spridd organisation så kanske man skapar en katalog för varje ort eller land och delegerar rätten att skapa lokala paket i sin katalog till någon lämplig. De ”globala” paketen får ligga i den allmänna katalogen.

Med identitetsstyrning och Entitlement Management blir problemen med att få rätt åtkomst lite enklare både för den anställde och för organisationen. Lägg till ytterligare funktioner så som åtkomstgranskning (Access Reviews) så kan vi få en bra lösning.

Författare:
Mats Warnolf 
Senior Trusted Advisor

Mats Warnolf är Microsoft Certified Trainer sedan mer än tjugo år och är specialist på Microsoft 365. Mats producerar Office 365-podden och är en uppskattad konsult och rådgivare inom Microsoft 365. Du hittar Mats på https://warnolf.net, på LinkedIn och på Twitter.

Lär dig mer om funktionerna


Microsoft Security, Compliance, and Identity Fundamentals

Längd 1 dag
Kurskod MSC-900
Pris 11450 kr

Microsoft Entra ID/Azure AD - Identity and Access Administrator

Längd 4 dagar
Kurskod MSC-300
Pris 35450 kr

Få inspiration & nyheter från oss

Jag godkänner att Cornerstone skickar mig nyheter via e-post