Ограничение доступа для пользователей с внутренним риском

Обзор

Большинство пользователей имеют обычное поведение, которое можно отследить, а когда оно выходит за пределы этой нормы, может быть рискованно позволять им войти в систему. Возможно, вы хотите заблокировать этого пользователя или попросить их просмотреть определенные условия использования. Microsoft Purview может предоставить сигнал о внутреннем риске для условного доступа, чтобы уточнить решения по контролю доступа. Управление внутренними рисками входит в состав Microsoft Purview. Прежде чем использовать сигнал в условном доступе, необходимо включить его.

Снимок экрана: пример политики условного доступа с использованием предварительного риска в качестве условия.

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

  • Аварийный доступ или учетные записи для экстренного доступа, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • учетные записи сервисов и сервисных принципалов, например: учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.

Развертывание шаблона

Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.

Блокировка доступа с помощью политики условного доступа

Совет

Настройте адаптивную защиту перед созданием следующей политики.

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
  2. Перейдите к Entra ID>условного доступа>политикам.
  3. Выберите новую политику.
  4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
  5. В разделе «Назначения» выберите «Пользователи» или «Удостоверения рабочей нагрузки».
    1. В разделе "Включить" выберите "Все пользователи".
    2. В разделе "Исключить":
      1. Выберите пользователей и группы и выберите аварийные учетные записи или учетные записи с аварийным доступом вашей организации.
      2. Выберите гостевых или внешних пользователей и выберите следующее:
        1. Пользователи прямого подключения B2B.
        2. Пользователи поставщика услуг.
        3. Другие внешние пользователи.
  6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>включите, выберите Все ресурсы (ранее "Все облачные приложения").
  7. В разделе Условия>Риск инсайдера установите Настроить на Да.
    1. В разделе "Выбор уровней риска", которые должны быть назначены для принудительного применения политики.
      1. Выберите "Повышенные привилегии".
      2. Нажмите кнопку "Готово".
  8. В разделе Контроль доступа>Предоставление прав выберите Блокировать доступ, а затем выберите Выбрать.
  9. Подтвердите параметры и установите политику 'Включить' на 'Только для отчетов'.
  10. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Некоторые администраторы могут создавать другие политики условного доступа, использующие другие элементы управления доступом, например, условия использования на более низких уровнях внутреннего риска.