💭

Microsoft Entra Permissions Management​ -REMEDIATION 編-

2022/06/06に公開約3,600字

はじめに

Microsoft Entra Permissions Management について、以下で ANALYTICS 機能を説明しました。今回は REMEDIATION の操作イメージについて説明をします。

https://zenn.dev/sugar3kg/articles/814180ea4d9b62

REMEDIATION ダッシュボード

REMEDIATION ダッシュボードでは、ビルドイン・カスタムの各ロールの詳細や直近のアクティビティをベースにしたカスタムロールの作成、要件に応じた Quick Fix が可能となっています。

[REMEDIATION] から [Role/Policies] タブを開きます。ここではビルドインロールやカスタムロールが確認可能です。また、カスタムロールも作成できます。


ロールの詳細をクリックするとタスク(個々の権限)や割り当てられたユーザーなどが表示されます。


[Role/Policies] タブから [Create Role] をクリックします。こちらではカスタムロールの作成ができます。ユーザー等の直近のアクティビティをベースにしたカスタムロールや既存ロールからのカスタムロール作成が可能です。直近のアクティビティをベースにすることで必要最低限の権限のみを含んだカスタムロールが作成可能になります。




[Permissions] タブを開きます。こちらでは、各ユーザーやグループのロール付与状況を確認し、 修復が可能です。


[Add Role] ではロールを選択してユーザーに付与することが可能です。


[Revoke Tasks] では削除するタスクを選択して反映すると、カスタムロールが作成され、対象ユーザーに対してロールの付け替え処理がされます。


[Revoke High Lisk Tasks] ではハイリスクと判断される高い権限を持つタスクを、割り当て済みロールから削除したカスタムロールが作成され、対象ユーザーに対してロールの付け替え処理がされます。この場合、タスクはシステム側で判断され、ユーザー側では選択できません。


[Role/Policy Template] タブを開きます。こちらでは、Permissions Management 内で管理するロールのテンプレートの作成管理が可能です。本テンプレートは、Request (権限許可申請) の際に使用可能です。


[Create Template] でテンプレートのロール作成が可能です。


[Requests] タブで自身が承認者となっているリクエスト (ロール付与申請)の表示・管理ができます。リクエストを開くと、承認処理が可能です。


[My Requests] タブで自身のリクエスト (ロール付与申請)の表示・管理ができます。こちらからロール付与申請をあげることができます。


申請完了後、承認者に対しては以下のようなメールが送信されます。


[Setting] -> [Request Role/Policy Filters] タブでは、Request で使用可能なロールを定義するフィルターを作成・管理できます。

このフィルタを設定すると、 My Request で申請を作成する際に条件に合致したロールのみ表示される形になります。


[Setting] -> [Request Setting] では申請時の時間幅や OTP 有無などの設定が可能です。

まとめ

今回は Permissions Management の中心機能となる REMEDIATION について説明しました。次回は自己修復機能である AutoPilot や監査レポーティング機能について説明しようと思います。

AUTOPILOT 編はこちら

https://zenn.dev/sugar3kg/articles/a43c792bf5268c

Discussion

ログインするとコメントできます