Privileged Identity Management (PIM) pro skupiny
Microsoft Entra ID umožňuje uživatelům udělit členství v čase a vlastnictví skupin prostřednictvím Privileged Identity Management (PIM) pro skupiny. Skupiny se dají použít k řízení přístupu k různým scénářům, včetně rolí Microsoft Entra, rolí Azure, Azure SQL, Azure Key Vaultu, Intune, dalších aplikačních rolí a aplikací třetích stran.
Co je PIM pro skupiny?
PIM pro skupiny je součástí microsoft Entra Privileged Identity Management – spolu s PIM pro role Microsoft Entra a PIM pro prostředky Azure, PIM pro skupiny umožňuje uživatelům aktivovat vlastnictví nebo členství ve skupině zabezpečení Microsoft Entra nebo skupiny Microsoft 365. Skupiny se dají použít k řízení přístupu k různým scénářům, mezi které patří role Microsoft Entra, role Azure, Azure SQL, Azure Key Vault, Intune, jiné aplikační role a aplikace třetích stran.
S PIM pro skupiny můžete použít zásady podobné těm, které používáte v PIM pro role Microsoft Entra a PIM pro prostředky Azure: Můžete vyžadovat schválení pro aktivaci členství nebo vlastnictví, vynutit vícefaktorové ověřování (MFA), vyžadovat odůvodnění, omezit maximální dobu aktivace a další. Každá skupina v PIM pro skupiny má dvě zásady: jednu pro aktivaci členství a druhou pro aktivaci vlastnictví ve skupině. Až do ledna 2023 se funkce PIM pro skupiny nazývá "Privileged Access Groups".
Poznámka:
Pro skupiny používané ke zvýšení oprávnění k rolím Microsoft Entra doporučujeme, abyste pro oprávněná přiřazení členů vyžadovali schvalovací proces. Přiřazení, která je možné aktivovat bez schválení, vás můžou ohrozit bezpečnostní riziko od méně privilegovaných správců. Například helpdesk Správa istrator má oprávnění k resetování hesel oprávněných uživatelů.
Co jsou skupiny, které je možné přiřazovat role Microsoft Entra?
Při práci s ID Microsoft Entra můžete přiřadit skupinu zabezpečení Microsoft Entra nebo skupinu Microsoft 365 k roli Microsoft Entra. To je možné pouze se skupinami, které jsou vytvořeny jako role přiřaditelné.
Další informace o přiřazovatelných skupinách role Microsoft Entra najdete v tématu Vytvoření skupiny s možností přiřazení role v MICROSOFT Entra ID.
Skupiny, které je možné přiřadit role, využívají výhod extra ochrany oproti skupinám, které nejsou přiřazené rolím:
- Skupiny s možností přiřazení role – skupinu může spravovat pouze globální Správa istrator, privilegovaná role Správa istrator nebo vlastník skupiny. Ani jiní uživatelé nemůžou měnit přihlašovací údaje uživatelů, kteří jsou (aktivní) členy skupiny. Tato funkce pomáhá zabránit správci zvýšit úroveň na vyšší privilegovanou roli, aniž by prošel postupem žádosti a schválení.
- Skupiny bez přiřazení rolí – různé role Microsoft Entra můžou tyto skupiny spravovat – to zahrnuje Správa istrátory Exchange, skupiny Správa istrátory, Správa istrátory uživatelů atd. Různé role, které role Microsoft Entra role mohou změnit přihlašovací údaje uživatelů, kteří jsou (aktivní) členy skupiny – to zahrnuje ověřování Správa istrátory, helpdesk Správa istrators, user Správa istrators atd.
Další informace o předdefinovaných rolích Microsoft Entra a jejich oprávněních najdete v tématu Předdefinované role Microsoft Entra.
Funkce skupiny Microsoft Entra pro přiřazení role není součástí microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Další informace o licencování naleznete v tématu Základy licencování zásad správného řízení pro Id Microsoftu .
Vztah mezi skupinami přiřaditelnými rolemi a PIM pro skupiny
Skupiny v ID Microsoft Entra lze klasifikovat jako role přiřaditelné nebo nepřiřazovatelné. Kromě toho je možné povolit nebo nepovolit jakoukoli skupinu pro použití se službou Microsoft Entra Privileged Identity Management (PIM) pro skupiny. Jedná se o nezávislé vlastnosti skupiny. V PIM pro skupiny je možné povolit jakoukoli skupinu zabezpečení Microsoft Entra a jakoukoli skupinu Microsoft 365 (s výjimkou dynamických skupin a skupin synchronizovaných z místního prostředí). Skupina nemusí být přiřazená role, aby byla povolena v PIM pro skupiny.
Pokud chcete přiřadit roli Microsoft Entra skupině, musí být přiřaditelná role. I když nemáte v úmyslu přiřadit skupině roli Microsoft Entra, ale skupina poskytuje přístup k citlivým prostředkům, přesto doporučujeme skupinu vytvořit jako přiřaditelnou roli. Důvodem je extra ochrana, kterou skupiny s možností přiřazení role mají – viz "Co jsou skupiny, které je možné přiřadit role Microsoft Entra?". v části výše.
Důležité
Do ledna 2023 bylo nutné, aby každá skupina privilegovaného přístupu (bývalého názvu pro tuto funkci PIM pro skupiny) byla přiřazená skupinou s možností role. Toto omezení je aktuálně odebráno. Z tohoto důvodu je teď možné povolit více než 500 skupin na tenanta v PIM, ale pouze 500 skupin je možné přiřadit role.
Nastavení skupiny uživatelů, kteří mají nárok na roli Microsoft Entra
Existují dva způsoby, jak vytvořit skupinu uživatelů, kteří mají nárok na roli Microsoft Entra:
- Proveďte aktivní přiřazení uživatelů ke skupině a pak ji přiřaďte k roli, která má nárok na aktivaci.
- Zajistěte aktivní přiřazení role ke skupině a přiřaďte uživatele, kteří mají nárok na členství ve skupině.
Pokud chcete skupině uživatelů poskytnout přístup k rolím Microsoft Entra za běhu s oprávněními v SharePointu, Exchangi nebo zabezpečení a Portál dodržování předpisů Microsoft Purview (například role Exchange Správa istrator), nezapomeňte do skupiny zajistit aktivní přiřazení uživatelů a pak skupinu přiřadit roli, která má nárok na aktivaci (možnost č. 1 výše). Pokud se rozhodnete nastavit aktivní přiřazení skupiny k roli a přiřadit uživatele, kteří budou mít nárok na členství ve skupině, může trvat dlouho, než se aktivují všechna oprávnění role a jsou připravená k použití.
Privileged Identity Management a vnoření skupin
V MICROSOFT Entra ID nemůžou mít přiřazené role jiné skupiny vnořené do nich. Další informace najdete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí. To platí pro aktivní členství: Jedna skupina nemůže být aktivním členem jiné skupiny, která je přiřaditelná role.
Jedna skupina může být oprávněným členem jiné skupiny, a to i v případě, že jedna z těchto skupin je přiřaditelná role.
Pokud je uživatel aktivním členem skupiny A a skupina A je oprávněným členem skupiny B, může si uživatel aktivovat členství ve skupině B. Tato aktivace je určená jenom pro uživatele, který o aktivaci požádal, neznamená to, že se celá skupina A stane aktivním členem skupiny B.
Privileged Identity Management a zřizování aplikací
Pokud je skupina nakonfigurovaná pro zřizování aplikací, aktivace členství ve skupině aktivuje zřizování členství ve skupině (a samotný uživatelský účet, pokud nebyla dříve zřízena) pro aplikaci pomocí protokolu SCIM.
Ve verzi Public Preview máme funkci, která aktivuje zřizování hned po aktivaci členství ve skupině v PIM. Konfigurace zřizování závisí na aplikaci. Obecně doporučujeme mít k aplikaci přiřazené aspoň dvě skupiny. V závislosti na počtu rolí v aplikaci se můžete rozhodnout definovat další "privilegované skupiny":
| Seskupit | Účel | Členové | Členství ve skupině | Role přiřazená v aplikaci |
|---|---|---|---|---|
| Skupina Všichni uživatelé | Ujistěte se, že všichni uživatelé, kteří potřebují přístup k aplikaci, jsou pro aplikaci neustále zřízeni. | Všichni uživatelé, kteří potřebují přístup k aplikaci. | Aktivní | Žádná nebo nízká privilegovaná role |
| Privilegovaná skupina | Poskytnutí přístupu k privilegované roli v aplikaci za běhu | Uživatelé, kteří potřebují mít přístup za běhu k privilegované roli v aplikaci. | Eligible | Privilegovaná role |
Klíčové aspekty
- Jak dlouho trvá zřízení uživatele pro aplikaci?
- Když se uživatel přidá do skupiny v ID Microsoft Entra mimo aktivaci členství ve skupině pomocí služby Microsoft Entra Privileged Identity Management (PIM):
- Členství ve skupině je v aplikaci zřízeno během dalšího synchronizačního cyklu. Synchronizační cyklus se spouští každých 40 minut.
- Když uživatel aktivuje členství ve skupině v Microsoft Entra PIM:
- Členství ve skupině se zřídí za 2 až 10 minut. Pokud je najednou vysoká míra požadavků, požadavky se omezují rychlostí pěti požadavků za 10 sekund.
- Prvních pět uživatelů během 10sekundového období, které aktivuje členství ve skupině pro konkrétní aplikaci, se členství ve skupině zřídí do 2 až 10 minut.
- Pro šestého uživatele a vyššího v rámci 10sekundového období, které aktivuje členství ve skupině pro konkrétní aplikaci, se členství ve skupině zřídí pro aplikaci v dalším synchronizačním cyklu. Synchronizační cyklus se spouští každých 40 minut. Limity omezování jsou pro každou podnikovou aplikaci.
- Když se uživatel přidá do skupiny v ID Microsoft Entra mimo aktivaci členství ve skupině pomocí služby Microsoft Entra Privileged Identity Management (PIM):
- Pokud uživatel nemůže získat přístup k potřebné skupině v cílové aplikaci, zkontrolujte protokoly PIM a protokoly zřizování a ujistěte se, že se členství ve skupině úspěšně aktualizovalo. V závislosti na tom, jak byla cílová aplikace navržena, může trvat delší dobu, než se členství ve skupině projeví v aplikaci.
- Pomocí služby Azure Monitor můžou zákazníci vytvářet výstrahy pro selhání.