我目前有两名技术人员,我正在研究如何在不给他们太多权限的情况下控制他们的访问。
我们通常通过安全组控制对不同SharePoint的访问。我们为每个部门创建了AAD安全组,并通过这种方式访问每个SharePoint。
我们有1个用于人力资源的SharePoint,它们有3个不同的AAD安全组,可在此SharePoint上提供不同级别的访问权限。
问题是,我的2名技术人员不应该能够访问此SharePoint,但因为他们通过不同的角色拥有对所有AAD组的访问权限,所以他们可以授予自己访问权限。
我看了很多解决方案,比如创建自定义角色,但许多资源无法添加。
你有可能的解决方案来阻止他们访问吗?类似于拒绝SharePoint或组。
谢谢!
具有管理访问权限的IT员工始终有可能访问他们配置并提供访问权限的受保护资源。
因此,解决这个问题的方法不是技术,而是人员管理。一种方法是
- 让IT员工签署一份协议,他们不会试图访问特定的网站(这可能已经在他们的雇佣合同中包含在一些模糊的条款中(
- 使用审核报告来监视对这些站点的访问。安全审计员当然是另一个IT人员,因此需要一定程度的信任
- 对违规行为采取后续行动,并立即处以惩罚,以威慑他人