Настройка утверждений на основе защиты идентификаторов для запросов пакетов доступа в службе управления правами (предварительная версия)

Убедитесь, что рискованные пользователи не получают доступа к конфиденциальным ресурсам, является важной частью защиты вашей среды. Кроме того, вы можете дополнительно защитить процесс запроса на управление правами, интегрируя сигналы Microsoft Entra ID Protection (IDP) для защиты идентификаторов в рабочий процесс утверждения пакета доступа в системе управления правами Microsoft Entra ID Governance. При защите идентификаторов управление правами автоматически добавляет новый первый этап утверждения, когда пользователь, помеченный как рискованный, запрашивает доступ к пакету доступа. Эта функция гарантирует, что пользователи, идентифицированные как потенциально скомпрометированные или подверженные риску, проходят проверку у уполномоченных специалистов по безопасности или комплаенсу, прежде чем запрос на доступ передаётся на стандартное утверждение. В этой статье описывается, как защитить процесс запроса прав с помощью защиты идентификаторов.

Требования к лицензии

Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования Microsoft Entra ID.

Предпосылки

Чтобы использовать защиту идентификаторов с управлением правами, необходимо сначала развернуть защиту идентификаторов.

Как работают одобрения на основе рисков

Замечание

Если клиент включил параметры поставщика удостоверений и IRM, запрос пакета доступа сначала будет направлен к утверждающему поставщику удостоверений, затем к утверждающему IRM, и, наконец, к утверждающим политику пакета доступа.

Когда пользователь запрашивает доступ к пакету доступа через портал My Access :

  1. Оценка рисков: Управление правами запрашивает информацию в Microsoft Entra ID Protection о текущем уровне риска пользователя (userRiskLevel)

  2. Проверка конфигурации. Если уровень риска пользователя соответствует одному из пороговых значений, выбранных администратором (например, средний или высокий), управление правами автоматически добавляет дополнительный этап утверждения на основе рисков перед стандартным процессом утверждения.

  3. Автоматическое назначение утверждающего:

    • Запрос направляется пользователям, которым назначена роль администратора безопасности в идентификаторе Microsoft Entra.

  4. Проверка безопасности: назначенные утверждающие просматривают сведения о рисках пользователя и решают, следует ли утвердить или запретить этот этап маршрутизации утверждения запроса.

    • При утверждении запрос проходит остальные этапы утверждения регулярного пакета доступа.
    • Если запрос отклоняется, он закрывается, записывается в журналы аудита и маршрутизация для дальнейшего утверждения не происходит.

  5. Ведение журнала аудита: все действия (утверждение и отказ) и результаты записываются в журналы управления правами для отчетности и видимости соответствия требованиям.

Настройка утверждений на основе защиты идентификаторов для пакета доступа с помощью Центра администрирования Microsoft Entra

Чтобы настроить утверждения на основе защиты идентификаторов для пакета доступа в Центре администрирования Microsoft Entra, выполните следующие шаги.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.

  2. Перейдите к ID Governance>управление правами>конфигурации управления.

  3. На экране конфигураций элементов управления вы можете просмотреть параметры
    Снимок экрана карточек конфигурации контроля в Управлении правами доступа.

  4. На карточке 'Утверждение по риску (предварительная версия)' выберите Просмотреть настройки.

  5. На странице утверждения на основе рисков рядом с требованием утверждения для пользователей с риском защиты идентификаторов (предварительная версия) выберите "Настроить". (См. отдельную статью, если вы также хотите настроить утверждения на основе управления внутренними рисками.) Снимок экрана: экран обзора утверждения на основе рисков.

  6. Вы можете задать уровень риска защиты идентификаторов пользователей, а затем нажмите кнопку "Сохранить".
    Снимок экрана: параметры риска защиты идентификаторов в управлении правами.

Проверка запроса рискованных пользователей

Чтобы проверить ожидающий запрос от рискованного пользователя, утвердитель должен иметь роль администратора безопасности.

Когда рискованные пользователи отправляют запрос на пакет доступа, администраторы могут видеть состояние ожидания с помощью страницы запросов в пакете доступа:

Снимок экрана запроса в ожидании доступа к пакету от рискованного пользователя.

Пользователь, заданный как утверждающий или запасной утверждающий для рискованных пользователей, может просматривать запрос и утверждать или отклонять через портал Мой доступ: снимок экрана страницы утверждений в Моём доступе, показывающий рискованных пользователей.

Замечание

Утверждающие имеют не более 14 дней, чтобы принять меры. Если они не принимают меры в течение этого периода времени, запросы автоматически отклоняются.

Следующий шаг

  • Last updated on