Microsoft Entra Account Discovery lukker huller i identity-synlighed

Introduktion

Identity governance fungerer kun, når administratorer kan se, hvem der allerede har adgang. Microsoft adresserer dette problem med Account Discovery i Microsoft Entra ID Governance, en ny funktion i public preview, der er designet til at synliggøre eksisterende konti i tilsluttede SaaS- og on-premises-apps.

Dette er vigtigt, fordi mange applikationer blev implementeret længe før moderne governance-kontroller blev aktiveret. Derfor arver organisationer ofte uadministreret adgang, forældreløse konti og direkte app-tildelinger, som ligger uden for Conditional Access, access reviews og lifecycle policies.

Hvad er nyt

Account Discovery opretter forbindelse til en mål-applikation, henter brugerkonti og egenskaber og sammenligner dem med identiteter i Microsoft Entra ved hjælp af konfigurerbare match-attributter som:

• User principal name
• Email address

Derefter kontrollerer funktionen, om matchede brugere allerede er tildelt enterprise-applikationen i Entra, og genererer en discovery-rapport med tre klassifikationer:

• Matched and assigned: Brugere findes i Entra og er allerede tildelt appen
• Matched but unassigned: Brugere findes i Entra, men adgangen blev givet direkte i applikationen
• Orphaned or local accounts: Der findes ingen matchende Entra-identitet for app-kontoen

Dette giver IT-teams en hurtig baseline for at forstå, hvilke konti der allerede er under governance, og hvilke der kræver afhjælpning.

Hvorfor det er vigtigt for administratorer

For identity- og sikkerhedsteams er den største fordel synlighed, før politikker håndhæves. Under onboarding af apps kan administratorer bruge Account Discovery til at finde brugere, som allerede har adgang via ældre processer, manuel provisioning eller direkte tilmelding.

Microsofts eksempel bruger Salesforce, hvor discovery kan afsløre:

• Medarbejdere med gyldige identiteter, men uden Entra-app-tildeling
• Lokale eller forældreløse konti, som muligvis skal fjernes eller undersøges
• Service- og testkonti, som kræver separat gennemgang

Når de er identificeret, kan administratorer flytte legitime brugere ind i Entitlement Management access packages og anvende godkendelser, udløbsregler og tilbagevendende access reviews. De kan også undersøge lokale konti, som muligvis omgår MFA og Conditional Access.

Løbende governance og næste skridt

Account Discovery er ikke kun til indledende onboarding. Microsoft positionerer funktionen som et løbende governance-kontrolpunkt til at opdage afvigelser over tid, såsom:

• Nye lokale konti oprettet uden for godkendte workflows
• Oversete offboarding-tilfælde
• Midlertidige contractor- eller testkonti, der forbliver aktive længere end forventet

Hvad IT-teams bør gøre nu

• Gennemgå, hvilke enterprise-applikationer der har ældre eller manuelt administreret adgang
• Kør Account Discovery under onboarding af apps, der nu bringes under governance
• Brug resultaterne til at mappe brugere til Entra-governance-workflows
• Undersøg og afhjælp forældreløse, service- og lokale konti
• Planlæg periodiske discovery-gennemgange for at opdage adgangsdrift

Tilgængelighed

Account Discovery er tilgængelig i public preview for organisationer med licens til:

• Microsoft Entra ID Governance
• Microsoft Entra Suite
• Microsoft E7

Funktionen er tilgængelig via Microsoft Entra admin center og Microsoft Graph APIs.