Konfigurace PIM pro nastavení skupin

  • Článek

V nástroji Privileged Identity Management (PIM) pro skupiny v ID Microsoft Entra definují nastavení rolí vlastnosti členství nebo vlastnictví. Mezi tyto vlastnosti patří vícefaktorové požadavky na ověřování a schválení pro aktivaci, maximální dobu trvání přiřazení a nastavení oznámení. V tomto článku se dozvíte, jak nakonfigurovat nastavení role a nastavit pracovní postup schválení tak, aby určil, kdo může schválit nebo odepřít žádosti o zvýšení oprávnění.

Ke správě nastavení potřebujete oprávnění pro správu skupin. U skupin, které lze přiřadit role, musíte mít globální Správa istrator nebo privilegovanou roli Správa istrator nebo být vlastníkem skupiny. Pro skupiny, které nejsou přiřazené rolím, musíte mít globální Správa istrator, zapisovač adresáře, skupiny Správa istrator, zásady správného řízení identit Správa istrator nebo roli uživatele Správa istrator nebo být vlastníkem skupiny. Přiřazení rolí pro správce by měla být vymezena na úrovni adresáře (ne na úrovni jednotky pro správu).

Poznámka:

Jiné role s oprávněními ke správě skupin (jako jsou správci Exchange pro skupiny Microsoft 365 bez role) a správci s přiřazeními vymezenými na úrovni jednotek pro správu můžou spravovat skupiny prostřednictvím rozhraní API nebo uživatelského rozhraní Skupiny a přepsat změny provedené v Microsoft Entra Privileged Identity Management.

Nastavení role jsou definována pro každou roli na skupinu. Všechna přiřazení pro stejnou roli (člena nebo vlastníka) pro stejnou skupinu se řídí stejným nastavením role. Nastavení role jedné skupiny jsou nezávislá na nastavení role jiné skupiny. Nastavení role pro jednu roli (člena) jsou nezávislá na nastavení role pro jinou roli (vlastníka).

Aktualizace nastavení role

Otevření nastavení pro roli skupiny:

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte ke skupinám Privileged Identity Management>v zásadách správného řízení>identit.

  3. Vyberte skupinu, pro kterou chcete nakonfigurovat nastavení role.

  4. Vyberte Nastavení.

  5. Vyberte roli, pro kterou potřebujete nakonfigurovat nastavení role. Možnosti jsou Člen nebo Vlastník.

    Screenshot that shows where to select the role for which you need to configure role settings.

  6. Zkontrolujte aktuální nastavení role.

  7. Chcete-li aktualizovat nastavení role, vyberte Upravit .

    Screenshot that shows where to select Edit to update role settings.

  8. Vyberte Aktualizovat.

Nastavení role

Tato část popisuje možnosti nastavení rolí.

Maximální doba trvání aktivace

Pomocí posuvníku Maximální doba trvání aktivace nastavte maximální dobu v hodinách, po které žádost o aktivaci přiřazení role zůstane aktivní, než vyprší její platnost. Tato hodnota může být od jednoho do 24 hodin.

Při aktivaci vyžadovat vícefaktorové ověřování

Před aktivací můžete vyžadovat, aby uživatelé, kteří mají nárok na roli, prokázali, kdo jsou, pomocí funkce vícefaktorového ověřování v Microsoft Entra ID. Vícefaktorové ověřování pomáhá chránit přístup k datům a aplikacím. Poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování.

Uživatelé nemusí být vyzváni k vícefaktorové ověřování, pokud se ověřili pomocí silných přihlašovacích údajů nebo zadali vícefaktorové ověřování dříve v této relaci. Pokud je vaším cílem zajistit, aby uživatelé při aktivaci museli poskytovat ověřování, můžete použít při aktivaci, vyžadovat kontext ověřování podmíněného přístupu Microsoft Entra společně se silnými možnostmi ověřování.

Při aktivaci se uživatelé musí ověřovat pomocí metod, které se liší od těch, které použili k přihlášení k počítači. Pokud se například uživatelé přihlašují k počítači pomocí Windows Hello pro firmy, můžete použít při aktivaci, vyžadovat kontext ověřování podmíněného přístupu a silné stránky ověřování Microsoft Entra, aby uživatelé při aktivaci role museli provádět bez hesla přihlášení pomocí aplikace Microsoft Authenticator.

Jakmile uživatel jednou v tomto příkladu poskytne přihlášení pomocí aplikace Microsoft Authenticator bez hesla, může v této relaci provést další aktivaci bez dalšího ověření. Přihlášení bez hesla pomocí microsoft Authenticatoru už je součástí jeho tokenu.

Doporučujeme povolit funkci vícefaktorového ověřování v MICROSOFT Entra ID pro všechny uživatele. Další informace naleznete v tématu Plánování nasazení vícefaktorového ověřování Microsoft Entra.

Při aktivaci vyžadovat kontext ověřování podmíněného přístupu Microsoft Entra

Můžete vyžadovat, aby uživatelé, kteří mají nárok na roli, splnili požadavky zásad podmíněného přístupu. Můžete například vyžadovat, aby uživatelé používali konkrétní metodu ověřování vynucenou prostřednictvím silných stránek ověřování, zvýšili úroveň role ze zařízení kompatibilního s Intune a dodržovali podmínky použití.

Pokud chcete tento požadavek vynutit, vytvoříte kontext ověřování podmíněného přístupu.

  1. Nakonfigurujte zásady podmíněného přístupu, které by vynucovaly požadavky pro tento kontext ověřování.

    Rozsah zásad podmíněného přístupu by měl zahrnovat všechny nebo oprávněné uživatele pro členství nebo vlastnictví skupiny. Nevytvávejte zásady podmíněného přístupu vymezené na kontext ověřování a skupinu současně. Během aktivace uživatel ještě nemá členství ve skupině, takže zásady podmíněného přístupu by se nepoužijí.

  2. Nakonfigurujte kontext ověřování v nastavení PIM pro roli.

    Screenshot that shows the Edit role setting - Member page.

Pokud nastavení PIM má při aktivaci nakonfigurovaný kontext ověřování podmíněného přístupu Microsoft Entra, zásady podmíněného přístupu definují, jaké podmínky musí uživatelé splnit, aby splnili požadavky na přístup.

To znamená, že objekty zabezpečení s oprávněními ke správě zásad podmíněného přístupu, jako jsou správci podmíněného přístupu nebo správci zabezpečení, můžou měnit požadavky, odebírat je nebo blokovat oprávněné uživatele v aktivaci členství nebo vlastnictví skupiny. Objekty zabezpečení, které můžou spravovat zásady podmíněného přístupu, by se měly považovat za vysoce privilegované a chráněné odpovídajícím způsobem.

Doporučujeme vytvořit a povolit zásady podmíněného přístupu pro kontext ověřování před nakonfigurováním kontextu ověřování v nastavení PIM. Pokud v tenantovi nejsou žádné zásady podmíněného přístupu nakonfigurované v nastavení PIM, při aktivaci členství ve skupině nebo vlastnictví se při aktivaci členství ve skupině nebo vlastnictví vyžaduje funkce vícefaktorového ověřování v Microsoft Entra ID, protože při aktivaci se nastaví vícefaktorové ověřování, bude nastaveno vícefaktorové ověřování .

Tento mechanismus ochrany před zálohováním je navržený tak, aby se chránil výhradně před scénářem, kdy se nastavení PIM aktualizovalo před vytvořením zásad podmíněného přístupu kvůli chybě konfigurace. Tento mechanismus ochrany zálohování se neaktivuje, pokud je zásada podmíněného přístupu vypnutá, je v režimu jen pro sestavy nebo má oprávněné uživatele vyloučené ze zásad.

Při aktivaci vyžaduje nastavení kontextu ověřování podmíněného přístupu Microsoft Entra definují požadavky na kontext ověřování, které musí uživatelé splnit při aktivaci členství ve skupině nebo vlastnictví. Po aktivaci členství nebo vlastnictví skupiny se uživatelům nebrání v používání jiné relace procházení, zařízení nebo umístění pro použití členství nebo vlastnictví skupiny.

Uživatelé například můžou k aktivaci členství nebo vlastnictví skupiny použít zařízení kompatibilní s Intune. Po aktivaci role se pak můžou přihlásit ke stejnému uživatelskému účtu z jiného zařízení, které nedodržuje předpisy Intune, a použít dříve aktivované vlastnictví nebo členství ve skupině odsud.

Pokud chcete této situaci zabránit, můžete nastavit obor zásad podmíněného přístupu a vynutit tak určité požadavky přímo oprávněným uživatelům. Můžete například vyžadovat, aby uživatelé, kteří mají nárok na určité členství nebo vlastnictví skupiny, vždy používali zařízení kompatibilní s Intune.

Další informace o kontextu ověřování podmíněného přístupu najdete v tématu Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování.

Při aktivaci vyžadovat odůvodnění

Při aktivaci oprávněného přiřazení můžete vyžadovat, aby uživatelé zadali obchodní odůvodnění.

Vyžadování informací o lístku při aktivaci

Po aktivaci oprávněného přiřazení můžete vyžadovat, aby uživatelé zadali lístek podpory. Tato možnost je pole pouze s informacemi. Korelace s informacemi v jakémkoli systému lístků se nevynucuje.

Vyžadovat schválení k aktivaci

Pro aktivaci oprávněného přiřazení můžete vyžadovat schválení. Schvalovatel nemusí být členem skupiny ani vlastníkem. Pokud použijete tuto možnost, musíte vybrat alespoň jednoho schvalovatele. Doporučujeme vybrat aspoň dva schvalovatele. Neexistují žádní výchozí schvalovatelé.

Další informace o schválení najdete v tématu Schválení žádostí o aktivaci piM pro členy a vlastníky skupin.

Doba trvání přiřazení

Při konfiguraci nastavení pro roli si můžete vybrat ze dvou možností doby trvání přiřazení pro každý typ přiřazení: způsobilé a aktivní. Tyto možnosti se stanou výchozí maximální dobou trvání, když je uživatel přiřazen k roli ve službě Privileged Identity Management.

Můžete zvolit jednu z těchto opravňujících možností trvání přiřazení.

Nastavení Popis
Povolit trvalé oprávněné přiřazení Správci prostředků můžou přiřadit trvalá oprávněná přiřazení.
Platnost oprávněného přiřazení vyprší po Správci prostředků můžou vyžadovat, aby všechna oprávněná přiřazení měla zadané počáteční a koncové datum.

Můžete také zvolit jednu z těchto možností doby trvání aktivního přiřazení.

Nastavení Popis
Povolit trvalé aktivní přiřazení Správci prostředků můžou přiřadit trvalá aktivní přiřazení.
Vypršení platnosti aktivního přiřazení po Správci prostředků mohou vyžadovat, aby všechna aktivní přiřazení měla zadané počáteční a koncové datum.

Všechna přiřazení se zadaným koncovým datem můžou obnovit správci prostředků. Uživatelé také můžou iniciovat samoobslužné žádosti o prodloužení nebo obnovení přiřazení rolí.

Vyžadovat vícefaktorové ověřování při aktivním přiřazení

Můžete vyžadovat, aby správce nebo vlastník skupiny při vytváření aktivního (na rozdíl od oprávněného) přiřazení poskytoval vícefaktorové ověřování. Privileged Identity Management nemůže vynutit vícefaktorové ověřování, když uživatel použije přiřazení role, protože už je v roli aktivní od okamžiku, kdy je přiřazený.

Správce nebo vlastník skupiny nemusí být vyzván k vícefaktorové ověřování, pokud se ověřil pomocí silných přihlašovacích údajů nebo zadal vícefaktorové ověřování dříve v této relaci.

Vyžadovat odůvodnění aktivního přiřazení

Při vytváření aktivního přiřazení (na rozdíl od oprávněného) můžete vyžadovat, aby uživatelé zadali obchodní odůvodnění.

Na kartě Oznámení na stránce Nastavení role umožňuje Privileged Identity Management podrobnou kontrolu nad tím, kdo přijímá oznámení a která oznámení obdrží. Máte tyto možnosti:

  • Vypnutí e-mailu: Konkrétní e-maily můžete vypnout zrušením zaškrtnutí výchozího políčka příjemce a odstraněním všech ostatních příjemců.
  • Omezit e-maily na zadané e-mailové adresy: E-maily odeslané výchozím příjemcům můžete vypnout zrušením zaškrtnutí políčka výchozího příjemce. Pak můžete jako příjemce přidat další e-mailové adresy. Pokud chcete přidat více než jednu e-mailovou adresu, oddělte je středníkem (;).
  • Odesílat e-maily výchozím příjemcům i dalším příjemcům: E-maily můžete posílat jak výchozímu příjemci, tak jinému příjemci. Zaškrtněte políčko výchozího příjemce a přidejte e-mailové adresy pro ostatní příjemce.
  • Jenom kritické e-maily: U každého typu e-mailu můžete zaškrtnutím políčka přijímat jenom kritické e-maily. Privileged Identity Management dál odesílá e-maily určeným příjemcům jenom v případech, kdy e-mail vyžaduje okamžitou akci. Například e-maily, které uživatele vyzve k rozšíření přiřazení role, se neaktivují. Aktivují se e-maily, které vyžadují, aby správci schválili žádost o rozšíření.

Poznámka:

Jedna událost v Privileged Identity Management může generovat e-mailová oznámení více příjemcům – přiřaďte je, schvalovatelé nebo správci. Maximální počet oznámení odeslaných za jednu událost je 1 000. Pokud počet příjemců překročí 1 000 – obdrží e-mailové oznámení jenom prvních 1 000 příjemců. Nezabráníte tomu, aby jiní přiřazení, správci ani schvalovatelé používali svá oprávnění v Microsoft Entra ID a Privileged Identity Management.

Správa nastavení rolí pomocí Microsoft Graphu

Pokud chcete spravovat nastavení rolí pro skupiny pomocí rozhraní API PIM v Microsoft Graphu, použijte typ prostředku UnifiedRoleManagementPolicy a související metody.

V Microsoft Graphu se nastavení rolí označuje jako pravidla. Jsou přiřazené ke skupinám prostřednictvím zásad kontejneru. Můžete načíst všechny zásady, které jsou vymezeny na skupinu a pro každou zásadu. Načtěte přidruženou kolekci pravidel pomocí parametru $expand dotazu. Syntaxe požadavku je následující:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Další informace o správě nastavení rolí prostřednictvím rozhraní PIM API v Microsoft Graphu najdete v tématu Nastavení rolí a PIM. Příklady aktualizace pravidel najdete v tématu Pravidla aktualizace v PIM pomocí Microsoft Graphu.

Další kroky

Přiřazení způsobilosti pro skupinu ve službě Privileged Identity Management