Zahájení využití technologie Privileged Identity Management
Použití Privileged Identity Management (PIM) ke správě, řízení a monitorování přístupu v rámci vaší organizace Microsoft Entra. Pomocí PIM můžete poskytnout podle potřeby a přístup k prostředkům Azure, prostředkům Microsoft Entra a dalším online služby Microsoftu, jako je Microsoft 365 nebo Microsoft Intune.
Tento článek popisuje, jak povolit Privileged Identity Management (PIM) a jak ho začít používat.
Požadavky
Pokud chcete používat Privileged Identity Management, musíte mít licenci Microsoft Entra ID P2 nebo Microsoft Entra ID Governance. Další informace o licencování najdete v tématu Základy licencování zásad správného řízení pro Microsoft Entra ID.
Aktivace přiřazení rolí
Pokud má tenant Microsoft Entra licenci Microsoft Entra ID P2 nebo Microsoft Entra ID Governance, můžou uživatelé s aktivním přiřazením rolí provádět následující akce:
- Otevřete stránku Role a správci v MICROSOFT Entra ID a vyberte roli;
- Otevřete stránku Privileged Identity Management;
- Volání PIM pomocí rozhraní API rolí Microsoft Entra
Microsoft Entra povoluje PIM pro tenanta následujícími způsoby:
- Okamžitě můžete vytvořit oprávněná nebo časově svázaná přiřazení pro role Microsoft Entra;
- Globální správci nebo správci privilegovaných rolí mohou začít přijímat další e-maily, jako je týdenní přehled PIM;
- Hlavní název služby PIM (MS–PIM) se může zmínit v událostech protokolu auditu souvisejících se správou přiřazení rolí.
Toto chování se očekává a nemělo by mít žádný vliv na vaše pracovní postupy.
Příprava PIM pro role Microsoft Entra
Tady jsou úlohy, které doporučujeme, abyste připravili Privileged Identity Management pro správu rolí Microsoft Entra:
- Konfigurace nastavení role Microsoft Entra
- Udělení oprávněných přiřazení
- Povolit oprávněným uživatelům aktivovat roli Microsoft Entra za běhu
Příprava PIM pro role Azure
Tady jsou úlohy, které doporučujeme, abyste připravili Privileged Identity Management pro správu rolí Azure pro předplatné:
- Zjišťování prostředků Azure
- Konfigurace nastavení role Azure
- Udělení oprávněných přiřazení
- Povolit oprávněným uživatelům aktivovat své role Azure za běhu
Přechod k úkolům
Jakmile je služba Privileged Identity Management nastavená, můžete se seznámit s dalšími způsoby.
| Úkol + správa | Popis |
|---|---|
| Moje role | Zobrazí seznam oprávněných a aktivních rolí přiřazených vám. Toto je místo, kde můžete aktivovat jakoukoli přiřazenou oprávněnou roli. |
| Moje žádosti | Zobrazí čekající žádosti o aktivaci oprávněných přiřazení rolí. |
| Schvalování žádostí | Zobrazí seznam žádostí o aktivaci oprávněných rolí uživateli ve vašem adresáři, který jste určili ke schválení. |
| Kontrola přístupu | Zobrazí seznam aktivních kontrol přístupu, které máte přiřazené k dokončení, bez ohledu na to, jestli kontrolujete přístup pro sebe nebo někoho jiného. |
| Role Microsoft Entra | Zobrazí řídicí panel a nastavení pro správce privilegovaných rolí pro správu přiřazení rolí Microsoft Entra. Tento řídicí panel se zobrazuje jen správcům privilegovaných rolí. Ostatní uživatelé mají přístup ke speciálnímu řídicímu panelu s názvem Moje zobrazení. Řídicí panel Moje zobrazení zobrazuje jenom informace o uživateli, který k řídicímu panelu přistupuje, ne o celé organizaci. |
| Skupiny | Umožňuje spravovat členství za běhu ve skupině nebo vlastnictví skupiny za běhu. Skupiny je možné použít k poskytování přístupu k rolím Microsoft Entra, rolím Azure a různým dalším scénářům. Pokud chcete spravovat skupinu Microsoft Entra v PIM, musíte ji přenést pod správu v PIM. |
| Prostředky Azure | Zobrazí řídicí panel a nastavení pro správce privilegovaných rolí pro správu přiřazení rolí prostředků Azure. Tento řídicí panel se zobrazuje jen správcům privilegovaných rolí. Ostatní uživatelé mají přístup ke speciálnímu řídicímu panelu s názvem Moje zobrazení. Řídicí panel Moje zobrazení zobrazuje jenom informace o uživateli, který k řídicímu panelu přistupuje, ne o celé organizaci. |
| Obecná nastavení | Vyberte aplikace, které můžou volat rozhraní Microsoft Graph API pro PIM jen pro aplikace. |