Mi az az Azure AD Privileged Identity Management?

A Privileged Identity Management (PIM) az Azure Active Directory (Azure AD) szolgáltatása, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, vezérlését és monitorozását. Ezek az erőforrások közé tartoznak az Azure AD, az Azure-ban és más Microsoft online szolgáltatásokban, például a Microsoft 365-ben vagy Microsoft Intune. Az alábbi videó a PIM fontos fogalmait és funkcióit ismerteti.

A használat okai

A szervezetek minimálisra szeretnék csökkenteni azoknak a személyeknek a számát, akiknek hozzáférésük van a biztonságos információkhoz vagy erőforrásokhoz, mivel ez csökkenti a

  • egy rosszindulatú szereplő hozzáférést kap
  • egy jogosult felhasználó véletlenül hatással van egy bizalmas erőforrásra

A felhasználóknak azonban továbbra is kiemelt műveleteket kell végrehajtaniuk Azure AD, azure-ban, Microsoft 365-ben vagy SaaS-alkalmazásokban. A szervezetek igény szerint emelt szintű hozzáférést biztosíthatnak a felhasználóknak az Azure-hoz és Azure AD erőforrásokhoz, és felügyelhetik, hogy ezek a felhasználók mit csinálnak a kiemelt hozzáférésükkel.

Licenckövetelmények

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

További információ a felhasználók licenceiről: Licenckövetelmények a Privileged Identity Management használatához.

Mit csinál?

Privileged Identity Management időalapú és jóváhagyásalapú szerepkör-aktiválást biztosít a fontos erőforrások túlzott, szükségtelen vagy helytelen hozzáférési engedélyeinek kockázatának mérsékléséhez. Íme néhány a Privileged Identity Management főbb jellemzői:

  • Igény szerint emelt szintű hozzáférés biztosítása Azure AD és Azure-erőforrásokhoz
  • Időhöz kötött hozzáférés hozzárendelése erőforrásokhoz kezdési és befejezési dátumok használatával
  • Jóváhagyás megkövetelése a kiemelt szerepkörök aktiválásához
  • Többtényezős hitelesítés kényszerítése bármely szerepkör aktiválásához
  • Indoklás használata annak megértéséhez, hogy a felhasználók miért aktiválnak
  • Értesítések lekérése a kiemelt szerepkörök aktiválásakor
  • Hozzáférési felülvizsgálatok végrehajtása annak biztosítása érdekében, hogy a felhasználóknak továbbra is szerepkörökre van szükségük
  • Belső vagy külső naplózás naplózási előzményeinek letöltése
  • Megakadályozza az utolsó aktív globális rendszergazdai és kiemelt szerepkör-rendszergazdai szerepkör-hozzárendelések eltávolítását

Mit tehetek vele?

A Privileged Identity Management beállítása után a bal oldali navigációs menüBen a Feladatok, a Kezelés és a Tevékenység lehetőség jelenik meg. Rendszergazdaként olyan lehetőségek közül választhat, mint a Azure AD szerepkörök kezelése, az Azure-erőforrás-szerepkörök kezelése vagy a kiemelt hozzáférési csoportok. Amikor kiválasztja, hogy mit szeretne kezelni, megjelenik az adott beállításhoz megfelelő beállításkészlet.

Képernyőkép a Azure Portal Privileged Identity Management.

Ki mit tehet?

A Privileged Identity Management Azure AD szerepkörei esetében csak a kiemelt szerepkörű rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező felhasználók kezelhetik más rendszergazdák hozzárendeléseit. A globális rendszergazdák, a biztonsági rendszergazdák, a globális olvasók és a biztonsági olvasók a Privileged Identity Management Azure AD szerepköreinek hozzárendeléseit is megtekinthetik.

A Privileged Identity Management azure-beli erőforrás-szerepkörei esetében csak egy előfizetési rendszergazda, egy erőforrás tulajdonosa vagy egy erőforrás felhasználói hozzáférés-rendszergazdája kezelheti más rendszergazdák hozzárendeléseit. Azok a felhasználók, akik kiemelt szerepkörgazdák, biztonsági rendszergazdák vagy biztonsági olvasók, alapértelmezés szerint nem rendelkeznek hozzáféréssel az Azure-erőforrás-szerepkörökhöz való hozzárendelések megtekintéséhez a Privileged Identity Management.

Terminológia

A Privileged Identity Management és dokumentációjának jobb megértéséhez tekintse át az alábbi feltételeket.

Kifejezés vagy fogalom Szerepkör-hozzárendelési kategória Description
Támogatható Típus Olyan szerepkör-hozzárendelés, amely megköveteli, hogy a felhasználó egy vagy több műveletet hajt végre a szerepkör használatához. Ha egy felhasználó jogosulttá vált egy szerepkörre, az azt jelenti, hogy aktiválhatja a szerepkört, amikor kiemelt feladatokat kell végrehajtania. Nincs különbség az állandó és a jogosult szerepkör-hozzárendeléssel rendelkező személy hozzáférésében. Az egyetlen különbség az, hogy néhány ember nem kell, hogy a hozzáférés minden alkalommal.
active Típus Olyan szerepkör-hozzárendelés, amely nem követeli meg, hogy a felhasználó bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt felhasználók rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
aktiválás Egy vagy több művelet végrehajtásának folyamata olyan szerepkör használatára, amelyre a felhasználó jogosult. A műveletek közé tartozhat a többtényezős hitelesítés (MFA) ellenőrzése, az üzleti indoklás megadása vagy a kijelölt jóváhagyók jóváhagyásának kérése.
Hozzárendelt Állapot Aktív szerepkör-hozzárendeléssel rendelkező felhasználó.
Aktivált Állapot Egy jogosult szerepkör-hozzárendeléssel rendelkező felhasználó végrehajtotta a szerepkör aktiválásához szükséges műveleteket, és most aktív. Az aktiválás után a felhasználó egy előre konfigurált ideig használhatja a szerepkört, mielőtt újra aktiválnia kellene.
állandó jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig jogosult a szerepkör aktiválására.
állandó aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig használhatja a szerepkört műveletek végrehajtása nélkül.
időhöz kötött jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdő és a záró dátumon belül aktiválhatja a szerepkört.
időhöz kötött aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdő és a záró dátumon belül használhatja a szerepkört.
igény szerinti (JIT-) hozzáférés Olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók az engedélyek lejárta után hozzáférjenek. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá.
a minimális jogosultsági hozzáférés elve Ajánlott biztonsági gyakorlat, amelyben minden felhasználó csak azokat a minimális jogosultságokat biztosítja, amelyek az általuk engedélyezett feladatok elvégzéséhez szükségesek. Ez a gyakorlat minimálisra csökkenti a globális rendszergazdák számát, és adott rendszergazdai szerepköröket használ bizonyos forgatókönyvekhez.

Szerepkör-hozzárendelés áttekintése

A PIM-szerepkör-hozzárendelések biztonságos módot biztosítanak a szervezet erőforrásaihoz való hozzáférésre. Ez a szakasz a hozzárendelési folyamatot ismerteti. Magában foglalja a szerepkörök tagokhoz való hozzárendelését, a hozzárendelések aktiválását, a kérelmek jóváhagyását vagy elutasítását, a hozzárendelések meghosszabbítását és megújítását.

A PIM e-mail-értesítések küldésével tájékoztatja Önt és más résztvevőket. Ezek az e-mailek a vonatkozó feladatokra mutató hivatkozásokat is tartalmazhatnak, például a kérések aktiválását, jóváhagyását vagy elutasítását.

Az alábbi képernyőképen a PIM által küldött e-mail látható. Az e-mail tájékoztatja Patti-t, hogy Alex frissítette Emily szerepkör-hozzárendelését.

Képernyőkép a Privileged Identity Management által küldött e-mail-üzenetről.

Értékadás

A hozzárendelési folyamat a szerepkörök tagokhoz való hozzárendelésével kezdődik. Az erőforrásokhoz való hozzáférés biztosításához a rendszergazda szerepköröket rendel a felhasználókhoz, csoportokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz. A hozzárendelés a következő adatokat tartalmazza:

  • A szerepkör hozzárendeléséhez tartozó tagok vagy tulajdonosok.
  • A hozzárendelés hatóköre. A hatókör egy adott erőforráskészletre korlátozza a hozzárendelt szerepkört.
  • A hozzárendelés típusa
    • A jogosult hozzárendelésekhez a szerepkör tagjának végre kell hajtania egy műveletet a szerepkör használatához. A műveletek közé tartozhat az aktiválás vagy a kijelölt jóváhagyók jóváhagyásának kérése.
    • Az aktív hozzárendelésekhez a tagnak nem kell végrehajtania semmilyen műveletet a szerepkör használatához. Az aktívként hozzárendelt tagok rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
  • A hozzárendelés időtartama kezdő és záró dátum vagy állandó használatával. A jogosult hozzárendelések esetében a tagok a kezdési és befejezési dátumok alatt aktiválhatják vagy kérhetik a jóváhagyást. Aktív hozzárendelések esetén a tagok ebben az időszakban használhatják a hozzárendelési szerepkört.

Az alábbi képernyőképen látható, hogy a rendszergazda hogyan rendel hozzá szerepkört a tagokhoz.

Képernyőkép Privileged Identity Management szerepkör-hozzárendelésről.

További információkért tekintse meg a következő cikkeket: Azure AD szerepkörök hozzárendelése, Azure-erőforrás-szerepkörök hozzárendelése és Jogosultság hozzárendelése emelt szintű hozzáférési csoporthoz

Aktiválás

Ha a felhasználók jogosultságot kaptak egy szerepkörre, akkor a szerepkör használata előtt aktiválniuk kell a szerepkör-hozzárendelést. A szerepkör aktiválásához a felhasználók kiválasztják a maximális (rendszergazdák által konfigurált) aktiválási időtartamot, valamint az aktiválási kérelem okát.

Az alábbi képernyőkép bemutatja, hogyan aktiválják a tagok a szerepkörüket korlátozott ideig.

Képernyőkép Privileged Identity Management szerepkör aktiválásáról.

Ha a szerepkör aktiválásához jóváhagyásra van szükség, a felhasználó böngészőjének jobb felső sarkában megjelenik egy értesítés, amely tájékoztatja őket arról, hogy a kérelem jóváhagyásra vár. Ha nincs szükség jóváhagyásra, a tag megkezdheti a szerepkör használatát.

További információkért tekintse meg a következő cikkeket: Azure AD-szerepkörök aktiválása, Azure-erőforrás-szerepkörök aktiválása és Kiemelt hozzáférési csoport szerepkörök aktiválása

Jóváhagyás vagy elutasítás

A delegált jóváhagyók e-mail-értesítéseket kapnak, ha egy szerepkör-kérelem jóváhagyásra vár. A jóváhagyók megtekinthetik, jóváhagyhatják vagy elutasíthatják ezeket a függőben lévő kéréseket a PIM-ben. A kérelem jóváhagyása után a tag megkezdheti a szerepkör használatát. Ha például egy felhasználót vagy csoportot közreműködői szerepkörrel osztottak ki egy erőforráscsoporthoz, akkor képes lesz kezelni az adott erőforráscsoportot.

További információkért tekintse meg a következő cikkeket: Azure AD szerepkörökre vonatkozó kérelmek jóváhagyása vagy elutasítása, Azure-erőforrás-szerepkörökre vonatkozó kérelmek jóváhagyása vagy elutasítása, valamint aktiválási kérelmek jóváhagyása emelt szintű hozzáférési csoport esetén

Hozzárendelések meghosszabbítása és megújítása

Miután a rendszergazdák beállították az időhöz kötött tulajdonosi vagy tag-hozzárendeléseket, az első kérdés, hogy mi történik, ha egy hozzárendelés lejár? Ebben az új verzióban két lehetőséget biztosítunk ehhez a forgatókönyvhöz:

  • Extend – Ha egy szerepkör-hozzárendelés hamarosan lejár, a felhasználó a Privileged Identity Management használatával kérhet bővítményt a szerepkör-hozzárendeléshez
  • Megújítás – Ha egy szerepkör-hozzárendelés már lejárt, a felhasználó a Privileged Identity Management használatával kérheti a szerepkör-hozzárendelés megújítását

Mindkét felhasználó által kezdeményezett művelethez globális rendszergazda vagy kiemelt szerepkörű rendszergazda jóváhagyása szükséges. A rendszergazdáknak nem kell a feladatlejáratok kezelésével foglalkoznia. Megvárhatja, amíg a meghosszabbítási vagy megújítási kérelmek egyszerű jóváhagyásra vagy elutasításra érkeznek.

További információkért tekintse meg a következő cikkeket: Azure AD szerepkör-hozzárendelések kiterjesztése vagy megújítása, Azure-erőforrásszerepkör-hozzárendelések kiterjesztése vagy megújítása, valamint emelt szintű hozzáférési csoportok hozzárendeléseinek kiterjesztése vagy megújítása

Forgatókönyvek

A Privileged Identity Management a következő forgatókönyveket támogatja:

Emelt szintű szerepkör-rendszergazdai engedélyek

  • Jóváhagyás engedélyezése speciális szerepkörökhöz
  • Jóváhagyó felhasználók vagy csoportok megadása a kérelmek jóváhagyásához
  • Speciális szerepkörökhöz tartozó kérelmek és jóváhagyások előzményeinek megtekintése

Jóváhagyó engedélyek

  • Függőben lévő jóváhagyások (kérelmek) megtekintése
  • Szerepkörszint-emelési kérelmek jóváhagyása vagy elutasítása (egy- és tömeges)
  • Jóváhagyásom vagy elutasításom indoklása

Jogosult szerepkör felhasználói engedélyei

  • Jóváhagyást igénylő szerepkör aktiválásának kérelme
  • Az aktiválási kérelem állapotának megtekintése
  • Az aktiválás jóváhagyása után feladatok végrehajtása az Azure AD-ben

Emelt szintű hozzáférési Azure AD csoportok kezelése (előzetes verzió)

A Privileged Identity Managementben (PIM-ben) mostantól tagsági vagy tulajdonossági jogosultságot rendelhet hozzá az emelt szintű hozzáférési csoportokhoz. Ezzel az előzetes verzióval kezdve az Azure Active Directory (Azure AD) beépített szerepköreit felhőbeli csoportokhoz rendelheti, és a PIM használatával kezelheti a csoportok tagsági és tulajdonossági jogosultságát és aktiválását. Az Azure AD szerepkörökhöz rendelhető csoportjaival kapcsolatos további információért lásd: Azure AD-csoportok használata a szerepkör-hozzárendelések kezeléséhez.

Fontos

Ha egy emelt szintű hozzáférési csoportot szeretne hozzárendelni egy szerepkörhöz, amely rendszergazdai hozzáférést biztosít az Exchange-hez, a Biztonsági & megfelelőségi központhoz vagy a SharePointhoz, használja a Azure AD portál Szerepkörök és rendszergazdák felületét, és ne a Privileged Access Groups felületen, hogy a felhasználó vagy csoport jogosult legyen a csoport aktiválására.

Különböző igényalapú szabályzatok minden csoporthoz

Egyes szervezetek olyan eszközöket használnak, mint a Azure AD vállalatközi (B2B) együttműködés, hogy vendégként hívhassák meg partnereiket Azure AD szervezetükbe. Ahelyett, hogy egyetlen igényalapú szabályzatot hoz létre az emelt szintű szerepkörhöz rendelt összes hozzárendeléshez, létrehozhat két különböző emelt szintű hozzáférési csoportot a saját szabályzataival. A megbízható alkalmazottakra vonatkozó kevésbé szigorú követelményeket és szigorúbb követelményeket is kikényszerítheti, például a jóváhagyási munkafolyamatot a partnerek számára, amikor aktiválást kérnek a hozzárendelt csoportjukba.

Több szerepkör-hozzárendelés aktiválása egyetlen kérelemben

A kiemelt hozzáférési csoportok előzetes verziójával gyors hozzáférést adhat a számítási feladatokra vonatkozó rendszergazdáknak több szerepkörhöz egyetlen igény szerinti kéréssel. Előfordulhat például, hogy a 3. rétegbeli Office-rendszergazdáknak igény szerint hozzá kell férni az Exchange Rendszergazda, az Office Apps Rendszergazda, a Teams Rendszergazda és a Search Rendszergazda szerepkörhöz az incidensek napi alapos kivizsgálásához. A mai nap előtt négy egymást követő kérésre lenne szükség, amelyek egy ideig tartó folyamatnak számítanak. Ehelyett létrehozhat egy "3. rétegbeli Office-rendszergazdák" nevű szerepkör-hozzárendelhető csoportot, hozzárendelheti a korábban említett négy szerepkörhöz (vagy bármely Azure AD beépített szerepkörhöz), és engedélyezheti azt a Privileged Access számára a csoport Tevékenység szakaszában. Ha engedélyezve van a jogosultsági szintű hozzáférés, konfigurálhatja a csoporttagok igény szerinti beállításait, és jogosultként rendelheti hozzá a rendszergazdákat és a tulajdonosokat. Amikor a rendszergazdák belépnek a csoportba, mind a négy Azure AD szerepkör tagjaivá válnak.

Vendégfelhasználók meghívása és Azure-erőforrás-szerepkörök hozzárendelése a Privileged Identity Management

Az Azure Active Directory (Azure AD) vendégfelhasználói a vállalatközi (B2B) együttműködési képességek részét képezik a Azure AD, így vendégként kezelheti a külső vendégfelhasználókat és szállítókat Azure AD. Használhatja például ezeket a Privileged Identity Management funkciókat az Azure-identitásfeladatokhoz olyan vendégekkel, mint például hozzáférés hozzárendelése adott Azure-erőforrásokhoz, a hozzárendelés időtartamának és befejezési dátumának megadása, vagy kétlépéses ellenőrzés megkövetelése az aktív hozzárendeléshez vagy aktiváláshoz. Ha többet szeretne tudni arról, hogy miként hívhat meg egy vendéget a szervezetbe, és hogyan kezelheti a hozzáférését, olvassa el a B2B-együttműködés felhasználóinak hozzáadása a Azure AD portálon című témakört.

Mikor hívna meg vendégeket?

Íme néhány példa arra, hogy mikor hívhat meg vendégeket a szervezetbe:

  • Lehetővé teszi, hogy egy olyan külső önálló vállalkozó, aki csak e-mail-fiókkal rendelkezik, hozzáférjen egy projekt Azure-erőforrásaihoz.
  • Engedélyezze egy olyan külső partner használatát egy nagy szervezetnél, amely helyi Active Directory összevonási szolgáltatásokat használ a költségelszámolási alkalmazás eléréséhez.
  • Lehetővé teszi, hogy a szervezeten belüli támogatási mérnökök (például Microsoft támogatás) ideiglenesen hozzáférjenek az Azure-erőforráshoz a problémák elhárításához.

Hogyan működik a B2B-vendégekkel végzett együttműködés?

A B2B-együttműködés használatakor meghívhat egy külső felhasználót a szervezetbe vendégként. A vendég kezelhető felhasználóként a szervezetében, de a vendéget a saját szervezetében kell hitelesíteni, és nem az ön Azure AD szervezetében. Ez azt jelenti, hogy ha a vendég már nem rendelkezik hozzáféréssel az otthoni szervezetéhez, akkor elveszíti a szervezethez való hozzáférést is. Ha például a vendég elhagyja a szervezetét, automatikusan elveszíti a hozzáférést az Azure AD-ben megosztott erőforrásokhoz anélkül, hogy Önnek semmit sem kellene tennie. További információ a B2B-együttműködésről: Mi a vendégfelhasználói hozzáférés az Azure Active Directory B2B-ben?

A vendégfelhasználók hitelesítésének módját bemutató ábra a kezdőkönyvtárban

Következő lépések