Обнаружение и Аналитика (предварительная версия) для ролей Microsoft Entra (ранее — мастер безопасности)

  • Статья

Если вы начинаете использовать управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra для управления назначениями ролей в организации, вы можете использовать страницу обнаружения и аналитических сведений (предварительная версия) для начала работы. Эта функция показывает, кому назначены привилегированные роли в вашей организации и как использовать PIM для быстрого преобразования постоянных назначений ролей в своевременные назначения. Вы можете просматривать или изменять назначения постоянных привилегированных ролей в разделе Обнаружение и аналитика (предварительная версия). Это инструмент анализа и инструмент действия.

Обнаружение и аналитика (предварительная версия)

Прежде чем ваша организация начнет использовать управление привилегированными пользователями, все назначения ролей будут постоянными. Пользователи всегда находятся в назначенных им ролях, даже если им не нужны их привилегии. Обнаружение и аналитика (предварительная версия), заменяющие прежний мастер безопасности, показывает список привилегированных ролей и количество пользователей, которые в настоящее время находятся в этих ролях. Вы можете перечислить назначения роли, чтобы узнать больше о назначенных пользователях, если один или несколько из них незнакомы.

✔️ Майкрософт рекомендует сохранить две учетные записи для аварийных случаев — им должна быть постоянно назначена роль глобального администратора. Убедитесь, что эти учетные записи не требуют того же механизма многофакторной проверки подлинности, что и обычные административные учетные записи для входа, как описано в разделе "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra.

Кроме того, сохраняйте постоянные назначения ролей, если у пользователя есть учетная запись Майкрософт (другими словами, учетная запись, которую он использует для входа в службы Майкрософт, такие как Skype или Outlook.com). Если вам требуется многофакторная аутентификация для пользователя с учетной записью Майкрософт, чтобы активировать назначение ролей, пользователь будет заблокирован.

Открыть обнаружение и аналитику (предварительная версия)

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> ролей>EntraMicrosoft Entra Discovery и insights (предварительная версия).

  3. Открытие страницы запускает процесс обнаружения для поиска соответствующих назначений ролей.

    Снимок экрана: страница обнаружения и аналитики ролей Microsoft Entra.

  4. Выберите Уменьшить количество глобальных администраторов.

    Снимок экрана: обнаружение и аналитические сведения (предварительная версия) с выбранным действием

  5. Просмотрите список назначений ролей глобального администратора.

    Снимок экрана: панель ролей со всеми глобальными Администратор istrator.

  6. Нажмите Далее, чтобы выбрать пользователей или группы, которых вы хотите сделать допущенными, а затем выберите Сделать подходящим или Удалить назначение.

    Снимок экрана: преобразование участников в нужную страницу с параметрами выбора участников, которые нужно сделать подходящими для ролей.

  7. Вы также можете потребовать, чтобы все глобальные администраторы проверяли свой собственный доступ.

    Снимок экрана: страница

  8. После выбора любого из этих изменений вы увидите уведомление Azure.

  9. Затем вы можете выбрать Исключить постоянный доступ или Просмотр субъектов-служб, чтобы повторить описанные выше действия для других привилегированных ролей и назначений ролей субъектов-служб. Для назначений ролей субъекта-службы можно только удалить назначения ролей.

    Снимок экрана: дополнительные параметры аналитики для устранения постоянного доступа и проверки субъектов-служб.

Следующие шаги