Обзор рекомендаций проверок доступа

Лица, принимающие решения, которые проверяют доступ пользователей и выполняют проверки доступа, могут использовать системные рекомендации. Эти рекомендации могут помочь им решить, следует ли продолжать предоставлять пользователям доступ к ресурсам или отказать им в доступе. Дополнительные сведения о том, как использовать рекомендации проверки, см. в разделе Включение вспомогательных приложений по принятию решений.

Предварительные требования

Для создания проверки с рекомендацией о принадлежности пользователей к группам требуется лицензия Microsoft Entra ID Governance.

Дополнительные сведения см. в статье Лицензионные требования.

Рекомендации неактивных пользователей

Пользователь считается неактивным, если они не вошли в систему арендатора в течение последних 30 дней. Это поведение корректируется для проверки назначений приложений, которые проверяют последнее действие каждого пользователя в приложении в отличие от всего клиента. Если неактивные рекомендации пользователей включены для проверки доступа, дата последнего входа для каждого пользователя оценивается после запуска проверки, и любой пользователь, который не вошел в систему в течение 30 дней, получает рекомендуемое действие "Запретить". Кроме того, когда эти вспомогательные средства принятия решений включены, рецензенты могут видеть дату последнего входа для всех пользователей, проходящих проверку. Эта дата входа и результирующая рекомендация определяются при начале проверки и не обновляются во время выполнения проверки.

Присоединение пользователей к группе

Более простой и более точный интерфейс проверки позволяет ИТ-администраторам и рецензентам принимать более обоснованные решения. Эта рекомендация на основе машинного обучения открывает путь к автоматизации рассмотрения доступа, что обеспечивает интеллектуальную автоматизацию и уменьшает усталость от аттестации прав доступа.

Принадлежность пользователей к группе определяется как два или более пользователя, которые обладают схожими характеристиками в структуре отчетности организации.

Эта рекомендация обнаруживает связь пользователей с другими пользователями в группе на основе сходства структуры отчетов организации. Рекомендация основана на механизме оценки, который вычисляется путем вычисления среднего расстояния пользователя от оставшихся пользователей в группе. Пользователи, которые находятся далеко от всех остальных членов группы согласно организационной структуре своей организации, считаются имеющими низкую принадлежность в группе.

Если создатель проверки доступа включает помощник по принятию решений, рецензенты могут получать рекомендации по принадлежности пользователей к группе для проверки доступа к группам.

Примечание.

Эта функция доступна только для пользователей в вашем каталоге. Пользователь должен иметь атрибут менеджера и быть частью организационной иерархии, чтобы работала аффилиация пользователь-группа.

Группы с более чем 600 пользователями не поддерживаются.

На приведенном ниже рисунке показан пример структуры отчетности организации в косметической компании.

Снимок экрана с примером организационной диаграммы для проверок доступа.

На основе структуры отчетности на примере изображения, пользователи, которые находятся на статистически значимом удалении от других пользователей в группе, получат рекомендацию "Запретить" от системы, если рекомендация о принадлежности пользователя к группе была выбрана рецензентом для проверки доступа к группам.

Например, Николай, работающий в отделе средств личной гигиены, входит в группу с Мартой, Сергеем и Софией, которые работают в отделе косметики. Группа называется Свежая кожа. Если выполняется проверка доступа для группы Fresh Skin, основываясь на структуре подотчетности и удалённости от других участников группы, Фил будет считаться с низким уровнем принадлежности. Система создает рекомендацию "Запретить" в проверке доступа к группе.

Дальнейшие шаги