确保有风险的用户无法访问敏感资源是保护环境的重要组成部分。 通过将 Microsoft Purview Insider Risk Management (IRM) 信号集成到 Microsoft Entra ID Governance 的权利管理中的访问包审批工作流,可以进一步保护权利管理请求过程。 使用基于风险管理的审批,权利管理会在用户标记为有风险地请求访问访问包时自动添加新的第一个审批阶段。 这可确保在访问请求被路由至标准审批流程之前,由授权的安全或合规审批者审查被标识为潜在泄露或风险用户。 本文介绍如何使用内部风险管理进一步保护您的授权请求过程。
许可要求
使用此功能需要Microsoft Entra ID Governance 或 Microsoft Entra Suite 许可证。 若要查找符合要求的正确许可证,请参阅 Microsoft Entra ID Governance 许可基础知识。 此外,还必须 对 Microsoft Purview 拥有适当的许可。
先决条件
若要对权利管理使用 Insider Risk Management 审批,必须先 创建 Insider Risk Management 策略。
基于风险的审批的工作原理
当用户通过 “我的访问 ”门户请求访问访问包时:
风险评估:权限管理会查询 Microsoft Purview Insider Risk Management 获取用户的当前用户风险等级
配置检查:如果用户的风险级别与管理员选择的阈值之一(例如“中等”或“提升”)匹配,权利管理会在标准审批流程之前自动添加额外的基于风险的审批阶段。
自动审批者分配:
- 请求将路由到在 Microsoft Entra ID 中分配了合规性管理员角色的用户。
合规性评审:分配的审批者审查用户的风险详细信息,并确定是批准还是拒绝请求审批路由的这一阶段。
- 如果获得批准,请求将继续完成常规访问包审批步骤。
- 如果被拒绝,请求将被关闭,记录在审核日志中,并且不会进行进一步的审批流程。
审核日志记录:所有操作(审批和拒绝)及结果都在权限管理日志中记录,用于报告和合规性审查。
使用 Microsoft Entra 管理中心为访问包配置内部风险管理审批
若要在 Microsoft Entra 管理中心为基于内部风险管理的访问包配置审批,请执行以下步骤:
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>控制配置。
在控件配置屏幕上,可以看到选项
在卡 “基于风险的审批”(预览版)上,选择“ 查看设置”。
在基于风险的审批页上,在 “需要对具有内部风险级别(预览)的用户进行审批”旁边,选择“ 自定义”。 (请参阅单独的文章来配置 基于 ID 保护的审批。
可以设置内部风险级别,然后选择“ 保存”。
查看有风险的用户请求
若要查看挂起的有风险用户请求,审批者必须具有 合规性管理员 角色。
当存在风险的用户提交访问包请求时,管理员可以通过访问包中的请求页面查看其挂起状态。
对于设为审批者或回退审批者的用户,可以通过“我的访问门户”查看对有风险的用户批准或拒绝的请求:
注释
审批者最多需要 14 天才能采取行动。 如果未在该时间段内采取措施,则请求会自动被拒绝。