Udostępnij za pośrednictwem

Blokuj dostęp użytkownikom z wewnętrznym ryzykiem

  • Artykuł

Większości użytkowników dotyczy zachowanie normalne, które można śledzić. Gdy ta norma zostanie przekroczona, zezwolenie tym użytkownikom na zwykłe logowanie się może stanowić ryzyko. Możesz zablokować tego użytkownika lub poprosić go o przejrzenie określonych zasad użytkowania. Usługa Microsoft Purview może zapewnić sygnał ryzyka wewnętrznego do Dostępu Warunkowego, aby ulepszyć decyzje dotyczące kontroli dostępu. Zarządzanie ryzykiem niejawnych jest częścią usługi Microsoft Purview. Należy ją włączyć, aby można było użyć sygnału w dostępie warunkowym.

Zrzut ekranu przedstawiający przykładowe zasady dostępu warunkowego korzystające z ryzyka wewnętrznego jako warunku.

Wykluczenia użytkowników

Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:

  • Dostęp awaryjny lub konta awaryjne typu break-glass, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
  • Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
    • Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.

Wdrażanie na podstawie szablonu

Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.

Blokuj dostęp przy użyciu zasad dostępu warunkowego

Napiwek

Skonfiguruj ochronę adaptacyjną przed utworzeniem następujących zasad.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do Ochrona>Dostęp warunkowy>Zasady.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości robocze.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz:
      1. Wybierz pozycję Użytkownicy i grupy i wybierz konta awaryjne lub konta typu break-glass w Twojej organizacji.
      2. Wybierz pozycję Goście lub użytkownicy zewnętrzni i wybierz następujące opcje:
        1. Użytkownicy bezpośrednich połączeń B2B.
        2. Użytkownicy dostawcy usług.
        3. Inni użytkownicy zewnętrzni.
  6. W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze)>Uwzględnij wybierz pozycję Wszystkie zasoby (wcześniej "Wszystkie aplikacje w chmurze") .
  7. W obszarze Warunki>Ryzyko wewnętrzne, ustaw Konfiguruj na Tak.
    1. W obszarze Wybierz poziomy ryzyka, które muszą być przypisane, aby wymusić zasady.
      1. Wybierz Podwyższony.
      2. Wybierz pozycję Gotowe.
  8. W obszarze Kontrole dostępu>Udziel dostępu, wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
  9. Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raportuj.
  10. Wybierz pozycję Utwórz, aby włączyć swoje zasady.

Po potwierdzeniu ustawień przez administratorów w trybie tylko do raportu, mogą przenieść przełącznik "Włącz zasady" z trybu "Tylko raportowanie" na "Włączone".

Niektórzy administratorzy mogą tworzyć inne zasady dostępu warunkowego, które korzystają z innych mechanizmów kontroli dostępu, takich jak warunki użytkowania na niższych poziomach ryzyka wewnętrznego.

Powiązana zawartość