Поделиться через

Обнаружение и аналитика (предварительная версия) для ролей Microsoft Entra (ранее мастер безопасности)

  • Статья

Если вы начинаете использовать управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra для управления назначениями ролей в организации, вы можете использовать страницу обнаружения и аналитических сведений (предварительная версия) для начала работы. Эта функция показывает, кому назначены привилегированные роли в вашей организации и как использовать PIM для быстрого преобразования постоянных назначений ролей в своевременные назначения. Вы можете просматривать или изменять назначения постоянных привилегированных ролей в разделе Обнаружение и аналитика (предварительная версия). Это инструмент анализа и инструмент действия.

Обнаружение и аналитика (предварительная версия)

Прежде чем ваша организация начнет использовать управление привилегированными пользователями, все назначения ролей будут постоянными. Пользователи всегда находятся в назначенных им ролях, даже если им не нужны их привилегии. Обнаружение и аналитика (предварительная версия), заменяющие прежний мастер безопасности, показывает список привилегированных ролей и количество пользователей, которые в настоящее время находятся в этих ролях. Вы можете перечислить назначения роли, чтобы узнать больше о назначенных пользователях, если один или несколько из них незнакомы.

✔️ Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям доступа только в облаке. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного реагирования или "разбиения", когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы после рекомендаций учетной записи аварийного доступа.

Кроме того, сохраняйте постоянные назначения ролей, если у пользователя есть учетная запись Майкрософт (другими словами, учетная запись, которую он использует для входа в службы Майкрософт, такие как Skype или Outlook.com). Если вам требуется многофакторная аутентификация для пользователя с учетной записью Майкрософт, чтобы активировать назначение ролей, пользователь будет заблокирован.

Открыть обнаружение и аналитику (предварительная версия)

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> ролей>EntraMicrosoft Entra Discovery и insights (предварительная версия).

  3. Открытие страницы запускает процесс обнаружения для поиска соответствующих назначений ролей.

    Снимок экрана: страница обнаружения и аналитики ролей Microsoft Entra.

  4. Выберите "Уменьшить глобальные администраторы".

    Снимок экрана: обнаружение и аналитические сведения (предварительная версия) с выбранным действием

  5. Просмотрите список назначений ролей глобального администратора.

    Снимок экрана: панель ролей со всеми глобальными администраторами.

  6. Нажмите Далее, чтобы выбрать пользователей или группы, которых вы хотите сделать допущенными, а затем выберите Сделать подходящим или Удалить назначение.

    Снимок экрана: преобразование участников в нужную страницу с параметрами выбора участников, которые нужно сделать подходящими для ролей.

  7. Вы также можете требовать, чтобы все глобальные администраторы проверяли собственный доступ.

    Снимок экрана: страница

  8. После выбора любого из этих изменений вы увидите уведомление Azure.

  9. Затем вы можете выбрать Исключить постоянный доступ или Просмотр субъектов-служб, чтобы повторить описанные выше действия для других привилегированных ролей и назначений ролей субъектов-служб. Для назначений ролей субъекта-службы можно только удалить назначения ролей.

    Снимок экрана: дополнительные параметры аналитики для устранения постоянного доступа и проверки субъектов-служб.

Следующие шаги