确保有风险的用户无法访问敏感资源是保护环境的重要组成部分。 通过将 Microsoft Entra ID Protection (IDP) 信号集成到 Microsoft Entra ID Governance 权利管理中的访问包审批工作流中,可以进一步保护权利管理请求过程。 使用 ID 保护时,当用户被标记为有风险请求对访问套件的访问时,权限管理会自动添加新的第一个审批阶段。 此功能确保标识为潜在泄露或风险的用户在访问请求按标准审批流程路由之前,由授权的安全或合规审批者进行审查。 本文介绍如何使用 ID 保护进一步保护权利请求过程。
许可要求
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。
先决条件
若要将 ID 保护与权利管理配合使用,必须先 部署 ID 保护。
基于风险的审批的工作原理
注释
如果客户同时启用了 IDP 和 IRM 选项,则访问包请求将首先路由到 IDP 审批者,然后路由到 IRM 审批者,最后路由到访问包策略审批者。
当用户通过 “我的访问 ”门户请求访问访问包时:
风险评估:特权管理查询 Microsoft Entra ID Protection,以获取用户当前的 userRiskLevel
配置检查:如果用户的风险级别与管理员选择的阈值之一(例如中或高),权利管理会在标准审批流程之前自动添加额外的基于风险的审批阶段。
自动审批者分配:
- 请求将路由到在 Microsoft Entra ID 中分配了安全管理员角色的用户。
安全评审:分配的审批者审查用户的风险详细信息,并确定是批准还是拒绝请求审批路由的此阶段。
- 如果获得批准,请求将继续完成常规访问包审批步骤。
- 如果被拒绝,请求将被关闭,记录在审核日志中,并且不会进行进一步的审批流程。
审核日志记录:所有操作(审批和拒绝)及结果都在权限管理日志中记录,用于报告和合规性审查。
使用 Microsoft Entra 管理中心为访问包配置基于 ID 保护的审批
若要在 Microsoft Entra 管理中心为访问包配置基于 ID 保护的审批,请执行以下步骤:
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>控制配置。
在控件配置屏幕上,可以看到选项
在卡 “基于风险的审批”(预览版)上,选择“ 查看设置”。
在基于风险的审批页上,在 “要求对 ID 保护风险(预览)的用户进行审批”旁边,选择“ 自定义”。 (如果还想要配置 基于内部风险管理的审批,请参阅单独的文章。
可以设置 ID 保护用户风险级别,然后选择“ 保存”。
查看有风险的用户请求
要查看风险用户的待处理请求,审批者必须具有安全管理员角色。
当存在风险的用户提交访问包请求时,管理员可以通过访问包中的请求页面查看其挂起状态。
对于有风险的用户,用户设置为审批者或回退审批者,可以通过我的访问门户查看请求和批准或拒绝: 
注释
审批者最多需要 14 天才能采取行动。 如果未在该时间段内采取措施,则请求会自动被拒绝。