Mi az az Azure AD Privileged Identity Management?

A Privileged Identity Management (PIM) az Azure Active Directory (Azure AD) szolgáltatása, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, vezérlését és monitorozását. Ezek az erőforrások az Azure AD, az Azure és más Microsoft Online Services- például a Microsoft 365 vagy Microsoft Intune erőforrásait tartalmazzák. Az alábbi videó a PIM fontos fogalmait és funkcióit ismerteti.

A használat okai

A szervezetek minimálisra szeretnék csökkenteni azoknak a személyeknek a számát, akiknek hozzáférésük van a biztonságos információkhoz vagy erőforrásokhoz, mivel ez csökkenti a

  • egy rosszindulatú szereplő hozzáférést kap
  • egy jogosult felhasználó véletlenül hatással van egy bizalmas erőforrásra

A felhasználóknak azonban továbbra is kiemelt műveleteket kell végrehajtaniuk az Azure AD, az Azure, a Microsoft 365 vagy az SaaS-alkalmazásokban. A szervezetek igény szerint emelt szintű hozzáférést biztosíthatnak a felhasználóknak az Azure-hoz és Azure AD erőforrásokhoz, és felügyelhetik, hogy ezek a felhasználók mit csinálnak a kiemelt hozzáférésükkel.

Licenckövetelmények

A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.

További információ a felhasználók licenceiről: Licenckövetelmények a Privileged Identity Management használatához.

Mit csinál?

Privileged Identity Management időalapú és jóváhagyásalapú szerepkör-aktiválást biztosít a fontos erőforrások túlzott, szükségtelen vagy helytelen hozzáférési engedélyeinek kockázatának mérsékléséhez. Íme néhány a Privileged Identity Management főbb jellemzői:

  • Igény szerint emelt szintű hozzáférés biztosítása Azure AD és Azure-erőforrásokhoz
  • Időhöz kötött hozzáférés hozzárendelése erőforrásokhoz kezdési és befejezési dátumok használatával
  • Jóváhagyás megkövetelése a kiemelt szerepkörök aktiválásához
  • Többtényezős hitelesítés kényszerítése bármely szerepkör aktiválásához
  • Indoklás használata annak megértéséhez, hogy a felhasználók miért aktiválnak
  • Értesítések lekérése a kiemelt szerepkörök aktiválásakor
  • Hozzáférési felülvizsgálatok végrehajtása annak biztosítása érdekében, hogy a felhasználóknak továbbra is szerepkörökre van szükségük
  • Belső vagy külső naplózás naplózási előzményeinek letöltése
  • Megakadályozza az utolsó aktív globális rendszergazdai és kiemelt szerepkör-rendszergazdai szerepkör-hozzárendelések eltávolítását

Mit tehetek vele?

A Privileged Identity Management beállítása után a bal oldali navigációs menüBen a Feladatok, a Kezelés és a Tevékenység lehetőség jelenik meg. Rendszergazdaként olyan lehetőségek közül választhat, mint a Azure AD szerepkörök kezelése, az Azure-erőforrás-szerepkörök kezelése vagy a kiemelt hozzáférési csoportok. Amikor kiválasztja, hogy mit szeretne kezelni, megjelenik az adott beállításhoz megfelelő beállításkészlet.

Képernyőkép a Azure Portal Privileged Identity Management.

Ki mit tehet?

A Privileged Identity Management Azure AD szerepkörei esetében csak a kiemelt szerepkörű rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező felhasználók kezelhetik más rendszergazdák hozzárendeléseit. A globális rendszergazdák, a biztonsági rendszergazdák, a globális olvasók és a biztonsági olvasók a Privileged Identity Management Azure AD szerepköreinek hozzárendeléseit is megtekinthetik.

A Privileged Identity Management azure-beli erőforrás-szerepkörei esetében csak egy előfizetési rendszergazda, egy erőforrás tulajdonosa vagy egy erőforrás felhasználói hozzáférés-rendszergazdája kezelheti más rendszergazdák hozzárendeléseit. Azok a felhasználók, akik kiemelt szerepkörgazdák, biztonsági rendszergazdák vagy biztonsági olvasók, alapértelmezés szerint nem rendelkeznek hozzáféréssel az Azure-erőforrás-szerepkörökhöz való hozzárendelések megtekintéséhez a Privileged Identity Management.

Terminológia

A Privileged Identity Management és dokumentációjának jobb megértéséhez tekintse át az alábbi feltételeket.

Kifejezés vagy fogalom Szerepkör-hozzárendelési kategória Description
Támogatható Típus Olyan szerepkör-hozzárendelés, amely megköveteli, hogy a felhasználó egy vagy több műveletet hajt végre a szerepkör használatához. Ha egy felhasználó jogosulttá vált egy szerepkörre, az azt jelenti, hogy aktiválhatja a szerepkört, amikor kiemelt feladatokat kell végrehajtania. Nincs különbség az állandó és a jogosult szerepkör-hozzárendeléssel rendelkező személy hozzáférésében. Az egyetlen különbség az, hogy néhány ember nem kell, hogy a hozzáférés minden alkalommal.
active Típus Olyan szerepkör-hozzárendelés, amely nem követeli meg, hogy a felhasználó bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt felhasználók rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
aktiválás Egy vagy több művelet végrehajtásának folyamata olyan szerepkör használatára, amelyre a felhasználó jogosult. A műveletek közé tartozhat a többtényezős hitelesítés (MFA) ellenőrzése, az üzleti indoklás megadása vagy a kijelölt jóváhagyók jóváhagyásának kérése.
Hozzárendelt Állapot Aktív szerepkör-hozzárendeléssel rendelkező felhasználó.
Aktivált Állapot Egy jogosult szerepkör-hozzárendeléssel rendelkező felhasználó végrehajtotta a szerepkör aktiválásához szükséges műveleteket, és most aktív. Az aktiválás után a felhasználó egy előre konfigurált ideig használhatja a szerepkört, mielőtt újra aktiválnia kellene.
állandó jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig jogosult a szerepkör aktiválására.
állandó aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig használhatja a szerepkört műveletek végrehajtása nélkül.
időhöz kötött jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdő és a záró dátumon belül aktiválhatja a szerepkört.
időhöz kötött aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdő és a záró dátumon belül használhatja a szerepkört.
igény szerinti (JIT-) hozzáférés Olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók az engedélyek lejárta után hozzáférjenek. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá.
a minimális jogosultsági hozzáférés elve Ajánlott biztonsági gyakorlat, amelyben minden felhasználó csak azokat a minimális jogosultságokat biztosítja, amelyek az általuk engedélyezett feladatok elvégzéséhez szükségesek. Ez a gyakorlat minimálisra csökkenti a globális rendszergazdák számát, és adott rendszergazdai szerepköröket használ bizonyos forgatókönyvekhez.

Szerepkör-hozzárendelés áttekintése

A PIM-szerepkör-hozzárendelések biztonságos módot biztosítanak a szervezet erőforrásaihoz való hozzáférésre. Ez a szakasz a hozzárendelési folyamatot ismerteti. Magában foglalja a szerepkörök tagokhoz való hozzárendelését, a hozzárendelések aktiválását, a kérelmek jóváhagyását vagy elutasítását, a hozzárendelések meghosszabbítását és megújítását.

A PIM e-mail-értesítések küldésével tájékoztatja Önt és más résztvevőket. Ezek az e-mailek a vonatkozó feladatokra mutató hivatkozásokat is tartalmazhatnak, például a kérések aktiválását, jóváhagyását vagy elutasítását.

Az alábbi képernyőképen a PIM által küldött e-mail látható. Az e-mail tájékoztatja Patti-t, hogy Alex frissítette Emily szerepkör-hozzárendelését.

Képernyőkép a Privileged Identity Management által küldött e-mail-üzenetről.

Értékadás

A hozzárendelési folyamat a szerepkörök tagokhoz való hozzárendelésével kezdődik. Az erőforrásokhoz való hozzáférés biztosításához a rendszergazda szerepköröket rendel a felhasználókhoz, csoportokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz. A hozzárendelés a következő adatokat tartalmazza:

  • A szerepkör hozzárendeléséhez tartozó tagok vagy tulajdonosok.
  • A hozzárendelés hatóköre. A hatókör egy adott erőforráskészletre korlátozza a hozzárendelt szerepkört.
  • A hozzárendelés típusa
    • A jogosult hozzárendelésekhez a szerepkör tagjának végre kell hajtania egy műveletet a szerepkör használatához. A műveletek közé tartozhat az aktiválás vagy a kijelölt jóváhagyók jóváhagyásának kérése.
    • Az aktív hozzárendelésekhez a tagnak nem kell végrehajtania semmilyen műveletet a szerepkör használatához. Az aktívként hozzárendelt tagok rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
  • A hozzárendelés időtartama kezdő és záró dátumokkal vagy állandó értékekkel. A jogosult hozzárendelések esetében a tagok a kezdési és a befejezési dátumok alatt aktiválhatják vagy kérhetik a jóváhagyást. Aktív hozzárendelések esetén a tagok ebben az időszakban használhatják a hozzárendelési szerepkört.

Az alábbi képernyőképen látható, hogy a rendszergazda hogyan rendel hozzá szerepkört a tagokhoz.

Képernyőkép Privileged Identity Management szerepkör-hozzárendelésről.

További információkért tekintse meg a következő cikkeket: Azure AD szerepkörök hozzárendelése, Azure-erőforrás-szerepkörök hozzárendelése és Jogosultság hozzárendelése emelt szintű hozzáférési csoportokhoz

Aktiválás

Ha a felhasználók jogosultságot kaptak egy szerepkörre, a szerepkör használata előtt aktiválniuk kell a szerepkör-hozzárendelést. A szerepkör aktiválásához a felhasználók meghatározott aktiválási időtartamot választanak a maximális (a rendszergazdák által konfigurált) időtartamon belül, valamint az aktiválási kérelem okát.

Az alábbi képernyőkép bemutatja, hogyan aktiválják a tagok a szerepkörüket korlátozott ideig.

Képernyőkép Privileged Identity Management szerepkör aktiválásáról.

Ha a szerepkör aktiválásához jóváhagyás szükséges, a felhasználó böngészőjének jobb felső sarkában megjelenik egy értesítés, amely tájékoztatja őket arról, hogy a kérelem jóváhagyásra vár. Ha nincs szükség jóváhagyásra, a tag megkezdheti a szerepkör használatát.

További információkért tekintse meg a következő cikkeket: Azure AD szerepkörök aktiválása, Azure-erőforrás-szerepkörök aktiválása és Emelt szintű hozzáférési csoport szerepkörök aktiválása

Jóváhagyás vagy megtagadás

A meghatalmazott jóváhagyók e-mailben kapnak értesítést, ha egy szerepkör-kérelem függőben van a jóváhagyásukig. A jóváhagyók megtekinthetik, jóváhagyhatják vagy elutasíthatják ezeket a függőben lévő kéréseket a PIM-ben. A kérelem jóváhagyása után a tag megkezdheti a szerepkör használatát. Ha például egy felhasználót vagy csoportot hozzájárulási szerepkörrel rendeltek hozzá egy erőforráscsoporthoz, akkor az adott erőforráscsoportot kezelheti.

További információkért tekintse meg a következő cikkeket: Azure AD szerepkörökhöz tartozó kérelmek jóváhagyása vagy megtagadása, Azure-erőforrás-szerepkörökhöz tartozó kérelmek jóváhagyása vagy megtagadása, valamint aktiválási kérelmek jóváhagyása a kiemelt hozzáférési csoporthoz

Hozzárendelések meghosszabbítása és megújítása

Miután a rendszergazdák beállították az időhöz kötött tulajdonosi vagy tag-hozzárendeléseket, az első kérdés, hogy mi történik, ha egy hozzárendelés lejár? Ebben az új verzióban két lehetőséget biztosítunk ehhez a forgatókönyvhöz:

  • Kiterjesztés – Ha egy szerepkör-hozzárendelés hamarosan lejár, a felhasználó a Privileged Identity Management használatával kérhet bővítményt a szerepkör-hozzárendeléshez
  • Megújítás – Ha egy szerepkör-hozzárendelés már lejárt, a felhasználó a Privileged Identity Management használatával kérheti a szerepkör-hozzárendelés megújítását

Mindkét felhasználó által kezdeményezett művelethez globális rendszergazda vagy kiemelt szerepkör-rendszergazda jóváhagyása szükséges. A rendszergazdáknak nem kell a feladatlejáratok kezelésével foglalkoznia. Megvárhatja, amíg a meghosszabbítási vagy megújítási kérések megérkeznek az egyszerű jóváhagyásra vagy elutasításra.

További információkért tekintse meg a következő cikkeket: Azure AD szerepkör-hozzárendelések kiterjesztése vagy megújítása, Azure-erőforrásszerepkör-hozzárendelések kiterjesztése vagy megújítása, valamint kiemelt hozzáférési csoport-hozzárendelések kiterjesztése vagy megújítása

Forgatókönyvek

A Privileged Identity Management a következő forgatókönyveket támogatja:

Emelt szintű szerepkör-rendszergazdai engedélyek

  • Jóváhagyás engedélyezése speciális szerepkörökhöz
  • Jóváhagyó felhasználók vagy csoportok megadása a kérések jóváhagyásához
  • Speciális szerepkörökhöz tartozó kérelmek és jóváhagyások előzményeinek megtekintése

Jóváhagyó engedélyek

  • Függőben lévő jóváhagyások (kérelmek) megtekintése
  • Szerepkörszint-emelési kérelmek jóváhagyása vagy elutasítása (egy- és tömeges)
  • Indokolja meg a jóváhagyást vagy az elutasítást

Jogosult szerepkörfelhasználói engedélyek

  • Jóváhagyást igénylő szerepkör aktiválásának kérelme
  • Az aktiválási kérelem állapotának megtekintése
  • Az aktiválás jóváhagyása után feladatok végrehajtása az Azure AD-ben

Emelt szintű hozzáférési Azure AD csoportok kezelése (előzetes verzió)

A Privileged Identity Managementben (PIM-ben) mostantól tagsági vagy tulajdonossági jogosultságot rendelhet hozzá az emelt szintű hozzáférési csoportokhoz. Ezzel az előzetes verzióval kezdve az Azure Active Directory (Azure AD) beépített szerepköreit felhőbeli csoportokhoz rendelheti, és a PIM használatával kezelheti a csoportok tagsági és tulajdonossági jogosultságát és aktiválását. Az Azure AD szerepkörökhöz rendelhető csoportjaival kapcsolatos további információért lásd: Azure AD-csoportok használata a szerepkör-hozzárendelések kezeléséhez.

Fontos

Ha rendszergazdai hozzáférésű szerepkörhöz szeretne hozzárendelni egy emelt szintű hozzáférési csoportot az Exchange-hez, a Biztonsági & megfelelőségi központhoz vagy a SharePointhoz, használja a Azure AD portál Szerepkörök és rendszergazdák felületét, és ne a Privileged Access Groups (Emelt szintű hozzáférési csoportok) felületen, hogy a felhasználó vagy csoport jogosult legyen a csoport aktiválására.

Különböző igényalapú szabályzatok az egyes csoportokhoz

Egyes szervezetek olyan eszközöket használnak, mint a Azure AD vállalatközi (B2B) együttműködés, hogy vendégként meghívják partnereiket Azure AD szervezetükbe. A jogosultsággal rendelkező szerepkörökhöz rendelt összes hozzárendelésre vonatkozó egyszeri szabályzat helyett két különböző jogosultsági szintű hozzáférési csoportot hozhat létre saját szabályzatokkal. A megbízható alkalmazottakra vonatkozó kevésbé szigorú követelményeket és szigorúbb követelményeket is érvényesíthet, például a jóváhagyási munkafolyamatot a partnerek számára, amikor aktiválást kérnek a hozzárendelt csoportjukba.

Több szerepkör-hozzárendelés aktiválása egyetlen kérelemben

A kiemelt hozzáférési csoportok előzetes verziójával a számítási feladatspecifikus rendszergazdák gyors hozzáférést biztosíthatnak több szerepkörhöz egyetlen igény szerinti kéréssel. Előfordulhat például, hogy a 3. rétegbeli Office-rendszergazdáknak szükség lehet az Exchange Rendszergazda, az Office Apps Rendszergazda, a Teams Rendszergazda és a Search Rendszergazda szerepkörökhöz az incidensek napi alapos kivizsgálásához. A mai nap előtt négy egymást követő kérésre lenne szükség, amelyek egy ideig tartó folyamatnak számítanak. Ehelyett létrehozhat egy "3. rétegbeli Office-rendszergazdák" nevű szerepkör-hozzárendelhető csoportot, hozzárendelheti a korábban említett négy szerepkörhöz (vagy bármely Azure AD beépített szerepkörhöz), és engedélyezheti a privileged Access számára a csoport Tevékenység szakaszában. Ha engedélyezve van a kiemelt hozzáféréshez, konfigurálhatja a csoport tagjai számára az igény szerinti beállításokat, és jogosultként rendelheti hozzá a rendszergazdákat és a tulajdonosokat. Amikor a rendszergazdák belépnek a csoportba, mind a négy Azure AD szerepkör tagjaivá válnak.

Vendégfelhasználók meghívása és Azure-erőforrás-szerepkörök hozzárendelése a Privileged Identity Management

Az Azure Active Directory (Azure AD) vendégfelhasználói a vállalatközi (B2B) együttműködési képességek részét képezik a Azure AD belül, így a külső vendégfelhasználókat és beszállítókat vendégként kezelheti a Azure AD. Ezeket a Privileged Identity Management funkciókat használhatja például az Azure-identitásokkal kapcsolatos feladatokhoz, például adott Azure-erőforrásokhoz való hozzáférés hozzárendeléséhez, a hozzárendelés időtartamának és befejezési dátumának megadásához, vagy az aktív hozzárendelés vagy aktiválás kétlépéses ellenőrzéséhez. Ha többet szeretne tudni arról, hogyan hívhat meg egy vendéget a szervezetbe, és hogyan kezelheti a hozzáférését, olvassa el a B2B együttműködési felhasználók hozzáadása a Azure AD portálon című témakört.

Mikor hívna meg vendégeket?

Íme néhány példa arra, hogy mikor hívhat meg vendégeket a szervezetbe:

  • Engedélyezze egy olyan külső önfoglalkoztató szállítónak, aki csak e-mail-fiókkal rendelkezik, hogy hozzáférjen az Azure-erőforrásokhoz egy projekthez.
  • Engedélyezze egy olyan nagy szervezet külső partnerét, amely helyi Active Directory összevonási szolgáltatásokat használ a költségalkalmazás eléréséhez.
  • A problémák elhárításához engedélyezze, hogy a szervezeten belüli támogatási mérnökök (például a Microsoft ügyfélszolgálata) ideiglenesen hozzáférjenek az Azure-erőforráshoz.

Hogyan működik a B2B-vendégekkel való együttműködés?

A B2B-együttműködés használatakor meghívhat egy külső felhasználót a szervezetbe vendégként. A vendég a szervezet felhasználójaként kezelhető, de a vendéget az otthoni szervezetében kell hitelesíteni, nem pedig a Azure AD szervezetében. Ez azt jelenti, hogy ha a vendég már nem fér hozzá az otthoni szervezetéhez, akkor a szervezethez való hozzáférést is elveszíti. Ha például a vendég elhagyja a szervezetét, automatikusan elveszíti a hozzáférést a velük megosztott erőforrásokhoz Azure AD anélkül, hogy Önnek bármit meg kellene tennie. A B2B-együttműködéssel kapcsolatos további információkért lásd: Mi a vendégfelhasználói hozzáférés az Azure Active Directory B2B-ben?

A vendégfelhasználók hitelesítésének módját bemutató ábra a kezdőkönyvtárban

Következő lépések