Microsoft Entra Permissions Management -REMEDIATION 編-
はじめに
Microsoft Entra Permissions Management について、以下で ANALYTICS 機能を説明しました。今回は REMEDIATION の操作イメージについて説明をします。
REMEDIATION ダッシュボード
REMEDIATION ダッシュボードでは、ビルドイン・カスタムの各ロールの詳細や直近のアクティビティをベースにしたカスタムロールの作成、要件に応じた Quick Fix が可能となっています。
[REMEDIATION] から [Role/Policies] タブを開きます。ここではビルドインロールやカスタムロールが確認可能です。また、カスタムロールも作成できます。
ロールの詳細をクリックするとタスク(個々の権限)や割り当てられたユーザーなどが表示されます。
[Role/Policies] タブから [Create Role] をクリックします。こちらではカスタムロールの作成ができます。ユーザー等の直近のアクティビティをベースにしたカスタムロールや既存ロールからのカスタムロール作成が可能です。直近のアクティビティをベースにすることで必要最低限の権限のみを含んだカスタムロールが作成可能になります。
[Permissions] タブを開きます。こちらでは、各ユーザーやグループのロール付与状況を確認し、 修復が可能です。
[Add Role] ではロールを選択してユーザーに付与することが可能です。
[Revoke Tasks] では削除するタスクを選択して反映すると、カスタムロールが作成され、対象ユーザーに対してロールの付け替え処理がされます。
[Revoke High Lisk Tasks] ではハイリスクと判断される高い権限を持つタスクを、割り当て済みロールから削除したカスタムロールが作成され、対象ユーザーに対してロールの付け替え処理がされます。この場合、タスクはシステム側で判断され、ユーザー側では選択できません。
[Role/Policy Template] タブを開きます。こちらでは、Permissions Management 内で管理するロールのテンプレートの作成管理が可能です。本テンプレートは、Request (権限許可申請) の際に使用可能です。
[Create Template] でテンプレートのロール作成が可能です。
[Requests] タブで自身が承認者となっているリクエスト (ロール付与申請)の表示・管理ができます。リクエストを開くと、承認処理が可能です。
[My Requests] タブで自身のリクエスト (ロール付与申請)の表示・管理ができます。こちらからロール付与申請をあげることができます。
申請完了後、承認者に対しては以下のようなメールが送信されます。
[Setting] -> [Request Role/Policy Filters] タブでは、Request で使用可能なロールを定義するフィルターを作成・管理できます。
このフィルタを設定すると、 My Request で申請を作成する際に条件に合致したロールのみ表示される形になります。
[Setting] -> [Request Setting] では申請時の時間幅や OTP 有無などの設定が可能です。
まとめ
今回は Permissions Management の中心機能となる REMEDIATION について説明しました。次回は自己修復機能である AutoPilot や監査レポーティング機能について説明しようと思います。
AUTOPILOT 編はこちら
Discussion