Microsoft Entra Account Discovery закрывает пробелы в видимости идентификаций

Введение

Управление идентификацией работает только тогда, когда администраторы видят, у кого уже есть доступ. Microsoft решает эту проблему с помощью Account Discovery в Microsoft Entra ID Governance — новой функции в рамках public preview, предназначенной для выявления существующих учетных записей в подключенных SaaS- и on-premises-приложениях.

Это важно, потому что многие приложения были развернуты задолго до включения современных средств управления. В результате организации часто получают в наследство неуправляемый доступ, осиротевшие учетные записи и прямые назначения в приложениях, которые находятся вне контроля Conditional Access, access reviews и политик жизненного цикла.

Что нового

Account Discovery подключается к целевому приложению, извлекает учетные записи пользователей и их свойства, а затем сравнивает их с идентификациями в Microsoft Entra, используя настраиваемые атрибуты сопоставления, такие как:

• User principal name
• Email address

Затем функция проверяет, назначены ли уже сопоставленные пользователи enterprise application в Entra, и формирует отчет с тремя классификациями:

• Matched and assigned: Пользователи существуют в Entra и уже назначены приложению
• Matched but unassigned: Пользователи существуют в Entra, но доступ был предоставлен напрямую в приложении
• Orphaned or local accounts: Для учетной записи приложения не существует соответствующей идентификации Entra

Это дает IT-командам быструю отправную точку для понимания, какие учетные записи уже находятся под управлением, а какие требуют исправления.

Почему это важно для администраторов

Для команд по идентификации и безопасности главное преимущество — видимость до применения политик. При подключении приложения администраторы могут использовать Account Discovery, чтобы находить пользователей, которые уже имеют доступ через устаревшие процессы, ручное provisionинг или прямую регистрацию.

В примере Microsoft используется Salesforce, где функция обнаружения может выявить:

• Сотрудников с действующими идентификациями, но без назначения приложения в Entra
• Локальные или осиротевшие учетные записи, которые могут требовать удаления или расследования
• Служебные и тестовые учетные записи, требующие отдельной проверки

После выявления администраторы могут перевести легитимных пользователей в пакеты доступа Entitlement Management и применить утверждения, правила истечения срока действия и регулярные access reviews. Они также могут расследовать локальные учетные записи, которые могут обходить MFA и Conditional Access.

Непрерывное управление и следующие шаги

Account Discovery полезен не только для первоначального подключения. Microsoft позиционирует его как постоянную контрольную точку управления для выявления отклонений с течением времени, таких как:

• Новые локальные учетные записи, созданные вне утвержденных рабочих процессов
• Пропущенные случаи offboarding
• Временные учетные записи подрядчиков или тестовые учетные записи, которые остаются активными дольше ожидаемого

Что IT-командам стоит сделать сейчас

• Проверить, какие enterprise applications имеют устаревший или вручную управляемый доступ
• Запускать Account Discovery при подключении новых управляемых приложений
• Использовать результаты для включения пользователей в процессы управления Entra
• Расследовать и устранять осиротевшие, служебные и локальные учетные записи
• Планировать регулярные проверки обнаружения для выявления дрейфа доступа

Доступность

Account Discovery доступен в рамках public preview для организаций с лицензиями:

• Microsoft Entra ID Governance
• Microsoft Entra Suite
• Microsoft E7

Функция доступна через Microsoft Entra admin center и Microsoft Graph APIs.