Entra ID Access Reviews — ทบทวนสิทธิ์การเข้าถึงอัตโนมัติตามรอบ ก่อนที่ "คนเก่า" จะยังล็อกอินได้อยู่

บทนำ: เมื่อสิทธิ์การเข้าถึงกลายเป็น "ขยะสะสม" ในองค์กร

ลองนึกภาพพนักงานที่ลาออกไปเมื่อหกเดือนที่แล้ว แต่บัญชี Microsoft 365 ยังคงถูก disable ไม่ครบถ้วน หรือนักพัฒนาที่ย้ายทีมแล้ว แต่ยังมีสิทธิ์เข้าถึง SharePoint Site ของทีมเดิม สถานการณ์เหล่านี้ไม่ใช่เรื่องแปลกในองค์กรไทย และมันคือช่องโหว่ด้านความมั่นคงปลอดภัยที่ซ่อนอยู่ใต้พรม ซึ่งหากถูกใช้ประโยชน์โดย Threat Actor อาจสร้างความเสียหายได้อย่างมหาศาล

ใน Framework ของ Zero Trust นั้น หลักการสำคัญคือ "Never trust, always verify" และหนึ่งในมิติที่มักถูกมองข้ามคือ Privileged Access Lifecycle หรือการดูแลวงจรชีวิตของสิทธิ์การเข้าถึง Microsoft Entra ID (เดิมคือ Azure AD) มีฟีเจอร์ที่ชื่อว่า Access Reviews ซึ่งช่วยให้องค์กรสามารถตรวจสอบและทบทวนสิทธิ์การเข้าถึงได้อย่างเป็นระบบ โดยอัตโนมัติ และตามรอบเวลาที่กำหนด

บทความนี้จะพาคุณทำความรู้จักกับ Access Reviews ตั้งแต่แนวคิดพื้นฐาน การตั้งค่า ไปจนถึงเคล็ดลับจากประสบการณ์จริงที่ IT Admin และ IT Pro ในองค์กรไทยสามารถนำไปใช้ได้ทันที

Access Reviews คืออะไร และทำงานอย่างไร?

Access Reviews เป็นฟีเจอร์ใน Microsoft Entra ID Governance ที่ช่วยให้องค์กรสามารถทบทวนว่าผู้ใช้งานหรือ Guest ยังควรมีสิทธิ์เข้าถึง Resource ต่าง ๆ อยู่หรือไม่ โดยกระบวนการทบทวนสามารถมอบหมายให้กับ:

• Resource Owner — เจ้าของ Application หรือ Group เป็นคนรีวิว
• Manager ของผู้ใช้งาน — ผู้จัดการโดยตรงเป็นคนยืนยันว่าลูกทีมยังต้องการสิทธิ์นั้นหรือไม่
• ผู้ใช้งานตัวเอง (Self-review) — ให้ผู้ใช้ยืนยันด้วยตัวเองว่ายังต้องการสิทธิ์อยู่
• Specific Reviewer — กำหนดคนรีวิวเฉพาะเจาะจง เช่น ทีม IT Security

เมื่อครบรอบที่กำหนด ระบบจะส่ง Notification ให้ Reviewer ดำเนินการ และหากไม่มีการตอบสนองใน Deadline ระบบสามารถตั้งค่า Auto-apply ให้ดำเนินการอัตโนมัติได้ เช่น ลบออกจาก Group หรือเพิกถอนสิทธิ์เข้าถึง Application

Resource ที่สามารถตั้ง Access Reviews ได้

Access Reviews รองรับการทบทวนสิทธิ์ใน Resource หลายประเภท ได้แก่:

• Microsoft Entra Groups — ทั้ง Security Groups และ Microsoft 365 Groups
• Enterprise Applications — แอปพลิเคชันที่ Integrate กับ Entra ID ผ่าน SSO
• Privileged Roles (PIM) — Role ใน Entra ID เช่น Global Admin, User Administrator ร่วมกับ Privileged Identity Management
• Access Packages — ชุดสิทธิ์ที่ถูก Bundle ไว้ใน Entitlement Management
• Guest Users (B2B) — ตรวจสอบว่า External User ยังควรมีสิทธิ์เข้าถึงอยู่หรือไม่

วิธีสร้าง Access Review เบื้องต้น

การตั้งค่า Access Review สามารถทำได้ผ่าน Entra Admin Center โดยมีขั้นตอนหลักดังนี้:

• ไปที่ Identity Governance → Access Reviews → New Access Review
• เลือกประเภทของ Review เช่น Teams + Groups หรือ Applications
• กำหนด Scope ว่าจะรีวิวทุก User หรือเฉพาะ Guest Users
• ตั้ง Recurrence เช่น ทุก 30 วัน, ทุกไตรมาส, หรือทุกปี
• กำหนด Reviewer ตามที่ต้องการ
• ตั้งค่า Upon completion settings เช่น Auto-apply results และจะทำอะไรกับ User ที่ไม่ถูก Approve (Remove access / Keep access / Take recommendations)

ฟีเจอร์ที่น่าสนใจมากคือ Decision Helpers ซึ่ง Entra ID จะวิเคราะห์ข้อมูล Sign-in Activity ของผู้ใช้ แล้วแนะนำ Reviewer ว่าควร Approve หรือ Deny โดยอัตโนมัติ เช่น ถ้าผู้ใช้ไม่ได้ Sign-in มาเกิน 30 วัน ระบบจะแนะนำให้ Deny

License ที่จำเป็น

Access Reviews เป็นฟีเจอร์ใน Microsoft Entra ID P2 (หรือ Microsoft Entra ID Governance Add-on) ซึ่งรวมอยู่ใน:

• Microsoft Entra ID P2
• Microsoft Entra Suite
• EMS E5 (Enterprise Mobility + Security E5)
• Microsoft 365 E5

สำหรับองค์กรที่ใช้ License ระดับ P1 อาจพิจารณาซื้อ Add-on License เฉพาะสำหรับผู้ใช้ที่อยู่ในขอบเขตของ Review เพื่อประหยัดค่าใช้จ่าย

เคล็ดลับจากประสบการณ์จริง (Practical Tips)

1. เริ่มต้นจาก Guest Users และ Privileged Roles ก่อน

ในหลายองค์กร Guest Users มักสะสมมากที่สุดและถูกลืมมากที่สุด ให้เริ่มตั้ง Access Review สำหรับ Guest Users รายไตรมาส และ Privileged Roles เช่น Global Admin ทุกเดือน เพราะเป็น High-risk ที่สุด

2. ใช้ "Auto-apply" อย่างระมัดระวัง

แนะนำให้เปิด Auto-apply แต่ตั้งค่า "If reviewers don't respond" เป็น "Remove access" เพื่อให้แน่ใจว่าสิทธิ์ที่ไม่ได้รับการยืนยันจะถูกเพิกถอนโดยอัตโนมัติ แต่ต้องแจ้ง Reviewer ให้เข้าใจก่อนว่า ถ้าไม่ตอบสนองจะเกิดอะไรขึ้น

3. ตั้ง Reminder Notifications ให้ครบ

ใน Settings ให้ตั้ง Reminder Email ที่ 50% และ 80% ของ Duration เพื่อให้ Reviewer ได้รับการแจ้งเตือนก่อน Deadline จริง

4. ใช้ Recommendation Feature เสมอ

เปิด "Show recommendations to reviewers" ทุกครั้ง ฟีเจอร์นี้ช่วยลดภาระ Reviewer อย่างมาก โดยเฉพาะในกรณีที่มีผู้ใช้จำนวนมากต้องรีวิว Reviewer สามารถ Accept All Recommendations ได้ในคลิกเดียว แล้วค่อยปรับแก้เฉพาะ Case ที่พิเศษ

5. Document และ Monitor ผล Access Review

หลังจบแต่ละ Review รอบ ให้ Export ผลลัพธ์เก็บไว้เพื่อ Audit Trail รวมถึงตั้ง Diagnostic Settings ให้ส่ง Log ไปยัง Log Analytics Workspace สำหรับการ Monitor ระยะยาวผ่าน Microsoft Sentinel

สรุป และ Call to Action

Access Reviews ใน Microsoft Entra ID เป็นเครื่องมือที่ช่วยให้องค์กรสามารถบริหารจัดการสิทธิ์การเข้าถึงได้อย่างเป็นระบบ ลดความเสี่ยงจาก Over-provisioned Accounts และสอดคล้องกับหลักการ Least Privilege ที่เป็นรากฐานของ Zero Trust Security

สิ่งสำคัญที่สุดคือ การเริ่มต้น ไม่ต้องรอให้สมบูรณ์แบบตั้งแต่วันแรก เริ่มจาก Guest Users หรือ Privileged Roles ก่อน แล้วค่อย ๆ ขยายครอบคลุม Resource อื่น ๆ ตามความพร้อมขององค์กร

Action สำหรับสัปดาห์นี้: เข้าไปที่ Entra Admin Center → Identity Governance → Access Reviews แล้วดูว่าองค์กรของคุณมี Access Review ที่ Active อยู่หรือยัง ถ้ายังไม่มีเลย ให้เริ่มสร้าง Review สำหรับ Guest Users คนแรกของคุณได้เลยวันนี้ ก่อนที่ "สิทธิ์ที่ไม่ได้ใช้แล้ว" จะกลายเป็นประตูหลังให้ผู้ไม่หวังดีเดินเข้ามาในองค์กรของคุณ