Kebijakan Akses Bersyar umum: Memblokir akses untuk pengguna dengan risiko orang dalam
Sebagian besar pengguna memiliki perilaku normal yang dapat dilacak, jika mereka tidak berperilaku normal, memungkinkan mereka masuk begitu saja kemungkinan akan menimbulkan risiko. Anda mungkin ingin memblokir pengguna tersebut atau meminta mereka untuk meninjau kebijakan ketentuan penggunaan tertentu. Microsoft Purview dapat memberikan sinyal risiko orang dalam ke Akses Bersyarat untuk menyempurnakan keputusan kontrol akses. Manajemen risiko insider adalah bagian dari Microsoft Purview. Anda harus mengaktifkannya sebelum dapat menggunakan sinyal di Akses Bersyarat.
Pengecualian pengguna
Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:
- Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
- Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
- Akun layanan dan perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
- Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.
Penyebaran templat
Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.
Memblokir akses dengan kebijakan Akses Bersyar
Tip
Konfigurasikan perlindungan adaptif sebelum Anda membuat kebijakan berikut.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
- Telusuri Kebijakan Akses>Bersyar perlindungan.>
- Pilih Kebijakan baru.
- Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
- Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
- Di Sertakan, pilih Semua pengguna.
- Di bawah Kecualikan:
- Pilih Pengguna dan grup lalu pilih akun urgen atau akses darurat organisasi Anda.
- Pilih Pengguna tamu atau eksternal dan pilih yang berikut ini:
- Pengguna koneksi langsung B2B.
- Pengguna penyedia layanan.
- Pengguna eksternal lainnya.
- Di bawah Sumber daya>target Yang disertakan aplikasi>Cloud, pilih Semua aplikasi cloud.
- Di bawah Kondisi>Risiko orang dalam, atur Konfigurasikan ke Ya.
- Di bawah Pilih tingkat risiko yang harus ditetapkan untuk memberlakukan kebijakan.
- Pilih Ditingkatkan.
- Pilih Selesai.
- Di bawah Pilih tingkat risiko yang harus ditetapkan untuk memberlakukan kebijakan.
- Di bawah Kontrol akses>Hibah, pilih Blokir akses, lalu pilih Pilih.
- Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
- Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.
Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.
Beberapa administrator mungkin membuat kebijakan Akses Bersyar lainnya yang menggunakan kontrol akses lain, seperti ketentuan penggunaan pada tingkat risiko orang dalam yang lebih rendah.