Memblokir akses untuk pengguna dengan risiko internal

Sebagian besar pengguna memiliki perilaku normal yang dapat dilacak, jika mereka tidak berperilaku normal, memungkinkan mereka masuk begitu saja kemungkinan akan menimbulkan risiko. Anda mungkin ingin memblokir pengguna tersebut atau meminta mereka untuk meninjau kebijakan ketentuan penggunaan tertentu. Microsoft Purview dapat memberikan sinyal risiko internal ke Akses Bersyarat untuk menyempurnakan keputusan kontrol akses. Manajemen risiko insider adalah bagian dari Microsoft Purview. Anda harus mengaktifkannya sebelum dapat menggunakan sinyal di Akses Bersyarat.

Pengecualian pengguna

Kebijakan Akses Bersyar adalah alat yang canggih. Sebaiknya kecualikan akun berikut dari kebijakan Anda:

• Akses darurat atau akun break-glass agar tidak terkunci karena kesalahan konfigurasi kebijakan. Dalam skenario yang tidak mungkin di mana semua administrator dikunci, akun administratif akses darurat Anda dapat digunakan untuk masuk dan memulihkan akses.
  • Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
• Akun layanan dan Perwakilan layanan, seperti Akun Sinkronisasi Microsoft Entra Connect. Akun layanan adalah akun noninteraktif yang tidak terkait dengan pengguna tertentu. Mereka biasanya digunakan oleh layanan backend untuk memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem untuk tujuan administratif. Panggilan yang dilakukan oleh perwakilan layanan tidak diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
  • Jika organisasi Anda menggunakan akun ini dalam skrip atau kode, ganti dengan identitas terkelola.

Penyebaran templat

Organisasi dapat menyebarkan kebijakan ini dengan mengikuti langkah-langkah yang diuraikan di bawah ini atau dengan menggunakan templat Akses Bersyar.

Memblokir akses dengan kebijakan Akses Bersyarat

Petunjuk / Saran

Konfigurasikan perlindungan adaptif sebelum Anda membuat kebijakan berikut.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
2. Telusuri ke Entra IDKebijakan Akses Bersyarat.
3. Pilih Kebijakan baru.
4. Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
5. Di bawah Penugasan, pilih Pengguna atau identitas beban kerja.
   1. Di bawah Sertakan, pilih Semua pengguna.
   2. Di bawah Kecualikan:
      1. Pilih Pengguna dan grup kemudian pilih akun akses darurat atau akun darurat organisasi Anda.
      2. Pilih Pengguna tamu atau eksternal dan pilih yang berikut ini:
         1. Pengguna koneksi langsung B2B.
         2. Pengguna penyedia layanan.
         3. Pengguna eksternal lainnya.
6. Di bawah Sumber daya target>Sumber daya (sebelumnya aplikasi cloud)>Termasuk, pilih Semua sumber daya (sebelumnya 'Semua aplikasi cloud').
7. Di bawah Kondisi>Risiko orang dalam, atur Konfigurasikan ke Ya.
   1. Di bawah Pilih tingkat risiko yang harus ditetapkan untuk memberlakukan kebijakan.
      1. Pilih Ditingkatkan.
      2. Pilih Selesai.
8. Di bawah Kontrol Akses Pemberian>, pilih Blokir akses, lalu pilih Pilih.
9. Konfirmasi pengaturan Anda dan atur Aktifkan kebijakan ke Khusus laporan.
10. Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.

Setelah mengonfirmasi pengaturan Anda menggunakan dampak kebijakan atau mode khusus laporan, pindahkan tombol Aktifkan kebijakan dari Hanya Laporan ke Aktif.

Beberapa administrator mungkin membuat kebijakan Akses Bersyarat lainnya yang menggunakan kontrol akses lain, seperti ketentuan penggunaan untuk tingkat risiko orang dalam yang lebih rendah.

Konten terkait

• Mengurangi risiko secara dinamis dengan perlindungan adaptif
• Risiko internal sebagai syarat
• Menentukan efek menggunakan mode hanya-laporan Akses Kondisional
• Gunakan mode lapor saja untuk Akses Bersyarat guna menentukan hasil dari keputusan kebijakan baru.