Настройка утверждений, основанных на управлении рисками инсайдеров, для запросов пакетов доступа в Entitlement Management (Предварительная версия)

Обеспечение того, чтобы пользователи, представляющие риск, не получали доступ к конфиденциальным ресурсам, является важной частью защиты вашей среды. Вы можете дополнительно защитить процесс запроса на управление правами, интегрируя сигналы Microsoft Purview Insider Risk Management (IRM) в рабочий процесс утверждения пакета доступа в управлении правами Microsoft Entra ID Governance. При утверждении на основе управления рисками система управления правами автоматически добавляет новую первую стадию утверждения, когда пользователь, помеченный как рискованный, запрашивает доступ к пакету доступа. Это гарантирует, что пользователи, идентифицированные как потенциально скомпрометированные или подверженные риску, проверяются авторизованными лицами по безопасности или соблюдению норм перед направлением запросов на доступ на стандартное утверждение. В этой статье описывается, как обеспечить дальнейшую защиту процесса запроса на получение прав с помощью управления внутренними рисками.

Требования к лицензии

Для использования этой функции требуются лицензии Microsoft Entra ID Governance или Microsoft Entra Suite. Чтобы найти подходящую лицензию для ваших требований, см. основы лицензирования Microsoft Entra ID. Необходимо также иметь соответствующее лицензирование для Microsoft Purview.

Предпосылки

Чтобы использовать утверждения управления внутренними рисками с управлением правами доступа, необходимо сначала создать политику управления внутренними рисками.

Как работают утверждения на основе рисков

Когда пользователь запрашивает доступ к пакету доступа через портал My Access :

  1. Оценка риска. Управление полномочиями запрашивает Microsoft Purview Insider Risk Management для получения текущего уровня риска пользователя.

  2. Проверка конфигурации. Если уровень риска пользователя соответствует одному из пороговых значений, выбранных администратором (например, умеренный или повышенный уровень), управление правами автоматически добавляет дополнительный этап утверждения на основе рисков перед стандартным процессом утверждения.

  3. Автоматическое назначение утверждающего:

    • Запрос направляется пользователям, которым назначена роль администратора соответствия требованиям в идентификаторе Microsoft Entra.

  4. Проверка соответствия требованиям: назначенные утверждающие просматривают сведения о рисках пользователя и решают, следует ли утвердить или запретить этот этап маршрутизации утверждения запроса.

    • При утверждении запрос продолжается до остальных шагов утверждения пакета регулярного доступа.
    • Если это отклонено, запрос закрывается, записывается в журналы аудита и не выполняется дальнейшая маршрутизация утверждений.

  5. Ведение журнала аудита: все действия (утверждение и отказ) и результаты записываются в журналы управления правами для отчетности и видимости соответствия требованиям.

Настройка утверждений на основе управления внутренними рисками для пакета доступа с помощью Центра администрирования Microsoft Entra

Чтобы настроить утверждения на основе управления внутренними рисками для пакета доступа в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.

  2. Перейдите к ID Governance>управление правами>конфигурации управления.

  3. На экране конфигураций элементов управления вы можете просмотреть параметры
    Снимок экрана: карточки конфигурации элемента управления в службе управления правами.

  4. На утверждении на основе рисков на карточке (предварительная версия) выберите параметры просмотра.

  5. На странице утверждения на основе рисков рядом с требованием утверждения для пользователей с уровнем внутреннего риска (предварительная версия) выберите «Настроить». (См. отдельную статью по настройке утверждений на основе защиты идентификаторов.) Снимок экрана: экран обзора утверждений на основе рисков.

  6. Вы можете задать уровень внутреннего риска, а затем выберите Сохранить.
    Снимок экрана параметров уровня риска инсайдеров в управлении доступом.

Проверка запроса рискованных пользователей

Чтобы проверить ожидающий запрос от рискованного пользователя, одобритель должен иметь роль администратора соответствия.

Когда рискованные пользователи отправляют запрос на пакет доступа, администраторы могут видеть состояние ожидания с помощью страницы запросов в пакете доступа:

Снимок экрана: ожидающий запрос на доступ к пакету с рискованным пользователем.

Пользователь, назначенный как утверждающий или резервный утверждающий для рискованных пользователей, может просмотреть запрос на одобрение или отклонение через портал "мой доступ": Скриншот одобрения рискованного пользователя из управления внутренними рисками.

Замечание

Утверждающие имеют не более 14 дней, чтобы принять меры. Если они не принимают меры в течение этого периода времени, запросы автоматически отклоняются.

Следующий шаг

  • Last updated on