Konfigurace nastavení role Microsoft Entra ve službě Privileged Identity Management

  • Článek

V privileged Identity Management (PIM) v Microsoft Entra ID, který je součástí Microsoft Entra, nastavení role definují vlastnosti přiřazení role. Mezi tyto vlastnosti patří vícefaktorové požadavky na ověřování a schválení pro aktivaci, maximální dobu trvání přiřazení a nastavení oznámení. V tomto článku se dozvíte, jak nakonfigurovat nastavení role a nastavit pracovní postup schválení tak, aby určil, kdo může schválit nebo odepřít žádosti o zvýšení oprávnění.

Ke správě nastavení rolí PIM pro roli Microsoft Entra musíte mít roli globálního Správa istratoru nebo privilegované Správa role. Nastavení role jsou definována pro každou roli. Všechna přiřazení pro stejnou roli se řídí stejným nastavením role. Nastavení role jedné role jsou nezávislá na nastavení role jiné role.

Nastavení role PIM se také označuje jako zásady PIM.

Otevření nastavení role

Otevření nastavení pro roli Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.

  2. Přejděte k rolím role>Privileged Identity Management služby Microsoft Entra v>zásadách správného řízení>identit.

  3. Na této stránce uvidíte seznam rolí Microsoft Entra dostupných v tenantovi, včetně předdefinovaných a vlastních rolí. Snímek obrazovky znázorňující seznam rolí Microsoft Entra dostupných v tenantovi, včetně předdefinovaných a vlastních rolí

  4. Vyberte roli, jejíž nastavení chcete nakonfigurovat.

  5. Vyberte nastavení role. Na stránce Nastavení role můžete zobrazit aktuální nastavení role PIM pro vybranou roli.

    Snímek obrazovky se stránkou Nastavení role s možnostmi aktualizace nastavení přiřazení a aktivace

  6. Chcete-li aktualizovat nastavení role, vyberte Upravit .

  7. Vyberte Aktualizovat.

Nastavení role

Tato část popisuje možnosti nastavení rolí.

Maximální doba trvání aktivace

Pomocí posuvníku Maximální doba trvání aktivace nastavte maximální dobu v hodinách, po které žádost o aktivaci přiřazení role zůstane aktivní, než vyprší její platnost. Tato hodnota může být od jednoho do 24 hodin.

Při aktivaci vyžadovat vícefaktorové ověřování

Před aktivací můžete vyžadovat, aby uživatelé, kteří mají nárok na roli, prokázali, kdo jsou, pomocí funkce vícefaktorového ověřování v Microsoft Entra ID. Vícefaktorové ověřování pomáhá chránit přístup k datům a aplikacím. Poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování.

Uživatelé nemusí být vyzváni k vícefaktorovém ověřování, pokud se ověřili pomocí silných přihlašovacích údajů nebo zadali vícefaktorové ověřování dříve v relaci.

Pokud je vaším cílem zajistit, aby uživatelé při aktivaci museli poskytovat ověřování, můžete použít při aktivaci, vyžadovat kontext ověřování podmíněného přístupu Microsoft Entra společně se silnými možnostmi ověřování. Tyto možnosti vyžadují, aby se uživatelé během aktivace ověřili pomocí metod, které se liší od těch, které použili k přihlášení k počítači.

Pokud se například uživatelé přihlašují k počítači pomocí Windows Hello pro firmy, můžete použít při aktivaci, vyžadovat kontext ověřování podmíněného přístupu Microsoft Entra a silné stránky ověřování. Tato možnost vyžaduje, aby uživatelé při aktivaci role udělali přihlášení bez hesla pomocí aplikace Microsoft Authenticator.

Jakmile uživatel jednou v tomto příkladu poskytne přihlášení pomocí aplikace Microsoft Authenticator bez hesla, může v této relaci provést další aktivaci bez dalšího ověření. Přihlášení bez hesla pomocí microsoft Authenticatoru už je součástí jeho tokenu.

Pro všechny uživatele doporučujeme povolit funkci vícefaktorového ověřování PRO ID Microsoft Entra. Další informace naleznete v tématu Plánování nasazení vícefaktorového ověřování Microsoft Entra.

Při aktivaci vyžadovat kontext ověřování podmíněného přístupu Microsoft Entra

Můžete vyžadovat, aby uživatelé, kteří mají nárok na roli, splnili požadavky zásad podmíněného přístupu. Můžete například vyžadovat, aby uživatelé používali konkrétní metodu ověřování vynucenou prostřednictvím silných stránek ověřování, zvýšili úroveň role ze zařízení kompatibilního s Intune a dodržovali podmínky použití.

Pokud chcete tento požadavek vynutit, vytvoříte kontext ověřování podmíněného přístupu.

  1. Nakonfigurujte zásady podmíněného přístupu, které vynucují požadavky pro tento kontext ověřování.

    Rozsah zásad podmíněného přístupu by měl zahrnovat všechny nebo oprávněné uživatele pro roli. Nevytvářit zásady podmíněného přístupu vymezené na kontext ověřování a roli adresáře současně. Během aktivace uživatel ještě nemá roli, takže zásady podmíněného přístupu by se neplatily.

    Podívejte se na postup na konci této části o situaci, kdy možná budete potřebovat dvě zásady podmíněného přístupu. Jedna musí být vymezena na kontext ověřování a druhá musí být vymezena na roli.

  2. Nakonfigurujte kontext ověřování v nastavení PIM pro roli.

    Snímek obrazovky znázorňující nastavení Upravit roli – Definice atributu Správa istrator stránka

Pokud nastavení PIM má při aktivaci nakonfigurovaný kontext ověřování podmíněného přístupu Microsoft Entra, zásady podmíněného přístupu definují podmínky, které musí uživatel splnit, aby splňoval požadavky na přístup.

To znamená, že objekty zabezpečení s oprávněními ke správě zásad podmíněného přístupu, jako jsou správci podmíněného přístupu nebo správci zabezpečení, můžou měnit požadavky, odebírat je nebo blokovat aktivaci role oprávněným uživatelům. Objekty zabezpečení, které můžou spravovat zásady podmíněného přístupu, by se měly považovat za vysoce privilegované a chráněné odpovídajícím způsobem.

Doporučujeme vytvořit a povolit zásady podmíněného přístupu pro kontext ověřování před nakonfigurováním kontextu ověřování v nastavení PIM. Jako mechanismus ochrany záloh platí, že pokud v tenantovi nejsou žádné zásady podmíněného přístupu, které cílí kontext ověřování nakonfigurovaný v nastavení PIM, při aktivaci role PIM se funkce vícefaktorového ověřování v Microsoft Entra ID vyžaduje jako při aktivaci nastavení vícefaktorového ověřování .

Tento mechanismus ochrany před zálohováním je navržený tak, aby se chránil výhradně před scénářem, kdy se nastavení PIM aktualizovalo před vytvořením zásad podmíněného přístupu kvůli chybě konfigurace. Tento mechanismus ochrany zálohování se neaktivuje, pokud jsou zásady podmíněného přístupu vypnuté, jsou v režimu jen pro sestavy nebo mají oprávněného uživatele vyloučeného ze zásad.

Při aktivaci vyžaduje nastavení kontextu ověřování podmíněného přístupu Microsoft Entra definuje požadavky na kontext ověřování, které musí uživatelé splnit při aktivaci role. Po aktivaci role nebudou uživatelé k používání oprávnění používat jinou relaci procházení, zařízení nebo umístění.

Uživatelé například můžou k aktivaci role použít zařízení kompatibilní s Intune. Po aktivaci role se pak můžou přihlásit ke stejnému uživatelskému účtu z jiného zařízení, které nedodržuje předpisy Intune, a použít dříve aktivovanou roli.

Pokud chcete této situaci zabránit, vytvořte dvě zásady podmíněného přístupu:

  1. První zásada podmíněného přístupu cílí na kontext ověřování. Měl by mít ve svém rozsahu všechny uživatele nebo oprávněné uživatele. Tato zásada určuje požadavky, které musí uživatelé splnit, aby mohli aktivovat roli.
  2. Druhá zásada podmíněného přístupu cílí na role adresáře. Tato zásada určuje požadavky, které musí uživatelé splnit, aby se mohli přihlásit pomocí aktivované role adresáře.

Obě zásady můžou vynucovat stejné nebo různé požadavky v závislosti na vašich potřebách.

Další možností je nastavit obor zásad podmíněného přístupu, které vynucuje určité požadavky přímo oprávněným uživatelům. Můžete například vyžadovat, aby uživatelé, kteří mají nárok na určité role, vždy používali zařízení kompatibilní s Intune.

Další informace o kontextu ověřování podmíněného přístupu najdete v tématu Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování.

Při aktivaci vyžadovat odůvodnění

Při aktivaci oprávněného přiřazení můžete vyžadovat, aby uživatelé zadali obchodní odůvodnění.

Vyžadování informací o lístku při aktivaci

Při aktivaci oprávněného přiřazení můžete vyžadovat, aby uživatelé zadali číslo lístku podpory. Tato možnost je pole pouze s informacemi. Korelace s informacemi v jakémkoli systému lístků se nevynucuje.

Vyžadovat schválení k aktivaci

Pro aktivaci oprávněného přiřazení můžete vyžadovat schválení. Schvalovatel nemusí mít žádné role. Pokud použijete tuto možnost, musíte vybrat alespoň jednoho schvalovatele. Doporučujeme vybrat aspoň dva schvalovatele. Pokud nejsou vybráni žádní konkrétní schvalovatelé, správce privilegovaných rolí nebo globální správci se stanou výchozími schvalovateli.

Další informace o schválení najdete v tématu Schválení nebo zamítnutí žádostí o role Microsoft Entra ve službě Privileged Identity Management.

Doba trvání přiřazení

Při konfiguraci nastavení pro roli si můžete vybrat ze dvou možností doby trvání přiřazení pro každý typ přiřazení: způsobilé a aktivní. Tyto možnosti se stanou výchozí maximální dobou trvání, když je uživatel přiřazen k roli ve službě Privileged Identity Management.

Můžete zvolit jednu z těchto opravňujících možností trvání přiřazení.

Nastavení Popis
Povolit trvalé oprávněné přiřazení Správci prostředků můžou přiřadit trvalá oprávněná přiřazení.
Platnost oprávněného přiřazení vyprší po Správci prostředků můžou vyžadovat, aby všechna oprávněná přiřazení měla zadané počáteční a koncové datum.

Můžete také zvolit jednu z těchto možností doby trvání aktivního přiřazení.

Nastavení Popis
Povolit trvalé aktivní přiřazení Správci prostředků můžou přiřadit trvalá aktivní přiřazení.
Vypršení platnosti aktivního přiřazení po Správci prostředků mohou vyžadovat, aby všechna aktivní přiřazení měla zadané počáteční a koncové datum.

Všechna přiřazení se zadaným koncovým datem můžou obnovit globální správci a správci privilegovaných rolí. Uživatelé také můžou iniciovat samoobslužné žádosti o prodloužení nebo obnovení přiřazení rolí.

Vyžadovat vícefaktorové ověřování při aktivním přiřazení

Můžete vyžadovat, aby správci při vytváření aktivního přiřazení (na rozdíl od oprávněného) zadali vícefaktorové ověřování. Privileged Identity Management nemůže vynutit vícefaktorové ověřování, když uživatel použije přiřazení role, protože už je v roli aktivní od okamžiku, kdy je přiřazený.

Správce nemusí být vyzván k vícefaktorové ověřování, pokud se ověřil pomocí silných přihlašovacích údajů nebo zadal vícefaktorové ověřování dříve v této relaci.

Vyžadovat odůvodnění aktivního přiřazení

Při vytváření aktivního přiřazení (na rozdíl od oprávněného) můžete vyžadovat, aby uživatelé zadali obchodní odůvodnění.

Na kartě Oznámení na stránce Nastavení role umožňuje Privileged Identity Management podrobnou kontrolu nad tím, kdo přijímá oznámení a která oznámení obdrží. Máte tyto možnosti:

  • Vypnutí e-mailu: Konkrétní e-maily můžete vypnout zrušením zaškrtnutí výchozího políčka příjemce a odstraněním všech ostatních příjemců.
  • Omezit e-maily na zadané e-mailové adresy: E-maily odeslané výchozím příjemcům můžete vypnout zrušením zaškrtnutí políčka výchozího příjemce. Pak můžete jako příjemce přidat další e-mailové adresy. Pokud chcete přidat více než jednu e-mailovou adresu, oddělte je středníkem (;).
  • Odesílat e-maily výchozím příjemcům i dalším příjemcům: E-maily můžete posílat jak výchozímu příjemci, tak jinému příjemci. Zaškrtněte políčko výchozího příjemce a přidejte e-mailové adresy pro ostatní příjemce.
  • Jenom kritické e-maily: U každého typu e-mailu můžete zaškrtnutím políčka přijímat jenom kritické e-maily. Díky této možnosti bude Privileged Identity Management dál posílat e-maily určeným příjemcům jenom v případě, že e-mail vyžaduje okamžitou akci. Například e-maily, které uživatele vyzve k rozšíření přiřazení role, se neaktivují. Aktivují se e-maily, které vyžadují, aby správci schválili žádost o rozšíření.

Poznámka:

Jedna událost v Privileged Identity Management může generovat e-mailová oznámení více příjemcům – přiřaďte je, schvalovatelé nebo správci. Maximální počet oznámení odeslaných za jednu událost je 1 000. Pokud počet příjemců překročí 1 000 – obdrží e-mailové oznámení jenom prvních 1 000 příjemců. Nezabráníte tomu, aby jiní přiřazení, správci ani schvalovatelé používali svá oprávnění v Microsoft Entra ID a Privileged Identity Management.

Správa nastavení rolí pomocí Microsoft Graphu

Pokud chcete spravovat nastavení pro role Microsoft Entra pomocí rozhraní API PIM v Microsoft Graphu, použijte sjednocený typ prostředkuRoleManagementPolicy a související metody.

V Microsoft Graphu se nastavení rolí označuje jako pravidla. Přiřadí se k rolím Microsoft Entra prostřednictvím zásad kontejneru. Každá role Microsoft Entra má přiřazený konkrétní objekt zásad. Můžete načíst všechny zásady, které jsou vymezeny na role Microsoft Entra. Pro každou zásadu můžete načíst přidruženou kolekci pravidel pomocí parametru $expand dotazu. Syntaxe požadavku je následující:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

Další informace o správě nastavení rolí prostřednictvím rozhraní PIM API v Microsoft Graphu najdete v tématu Nastavení rolí a PIM. Příklady aktualizace pravidel najdete v tématu Pravidla aktualizace v PIM pomocí Microsoft Graphu.

Další kroky