Mi az az Azure AD Privileged Identity Management?
A Privileged Identity Management (PIM) az Azure Active Directory (Azure AD) szolgáltatása, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, vezérlését és monitorozását. Ezek az erőforrások az Azure AD, az Azure és más Microsoft Online Services- például a Microsoft 365 vagy Microsoft Intune erőforrásait tartalmazzák. Az alábbi videó a PIM fontos fogalmait és funkcióit ismerteti.
A használat okai
A szervezetek minimálisra szeretnék csökkenteni azoknak a személyeknek a számát, akiknek hozzáférésük van a biztonságos információkhoz vagy erőforrásokhoz, mivel ez csökkenti a
- egy rosszindulatú szereplő hozzáférést kap
- egy jogosult felhasználó véletlenül hatással van egy bizalmas erőforrásra
A felhasználóknak azonban továbbra is kiemelt műveleteket kell végrehajtaniuk az Azure AD, az Azure, a Microsoft 365 vagy az SaaS-alkalmazásokban. A szervezetek igény szerint emelt szintű hozzáférést biztosíthatnak a felhasználóknak az Azure-hoz és Azure AD erőforrásokhoz, és felügyelhetik, hogy ezek a felhasználók mit csinálnak a kiemelt hozzáférésükkel.
Licenckövetelmények
A funkció használatához Prémium P2 szintű Azure AD licencek szükségesek. A követelményeinek leginkább megfelelő licenc kiválasztásáról lásd az Azure AD általánosan elérhető szolgáltatásait összehasonlító cikket.
További információ a felhasználók licenceiről: Licenckövetelmények a Privileged Identity Management használatához.
Mit csinál?
Privileged Identity Management időalapú és jóváhagyásalapú szerepkör-aktiválást biztosít a fontos erőforrások túlzott, szükségtelen vagy helytelen hozzáférési engedélyeinek kockázatának mérsékléséhez. Íme néhány a Privileged Identity Management főbb jellemzői:
- Igény szerint emelt szintű hozzáférés biztosítása Azure AD és Azure-erőforrásokhoz
- Időhöz kötött hozzáférés hozzárendelése erőforrásokhoz kezdési és befejezési dátumok használatával
- Jóváhagyás megkövetelése a kiemelt szerepkörök aktiválásához
- Többtényezős hitelesítés kényszerítése bármely szerepkör aktiválásához
- Indoklás használata annak megértéséhez, hogy a felhasználók miért aktiválnak
- Értesítések lekérése a kiemelt szerepkörök aktiválásakor
- Hozzáférési felülvizsgálatok végrehajtása annak biztosítása érdekében, hogy a felhasználóknak továbbra is szerepkörökre van szükségük
- Belső vagy külső naplózás naplózási előzményeinek letöltése
- Megakadályozza az utolsó aktív globális rendszergazdai és kiemelt szerepkör-rendszergazdai szerepkör-hozzárendelések eltávolítását
Mit tehetek vele?
A Privileged Identity Management beállítása után a bal oldali navigációs menüBen a Feladatok, a Kezelés és a Tevékenység lehetőség jelenik meg. Rendszergazdaként olyan lehetőségek közül választhat, mint a Azure AD szerepkörök kezelése, az Azure-erőforrás-szerepkörök kezelése vagy a kiemelt hozzáférési csoportok. Amikor kiválasztja, hogy mit szeretne kezelni, megjelenik az adott beállításhoz megfelelő beállításkészlet.
Ki mit tehet?
A Privileged Identity Management Azure AD szerepkörei esetében csak a kiemelt szerepkörű rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező felhasználók kezelhetik más rendszergazdák hozzárendeléseit. A globális rendszergazdák, a biztonsági rendszergazdák, a globális olvasók és a biztonsági olvasók a Privileged Identity Management Azure AD szerepköreinek hozzárendeléseit is megtekinthetik.
A Privileged Identity Management azure-beli erőforrás-szerepkörei esetében csak egy előfizetési rendszergazda, egy erőforrás tulajdonosa vagy egy erőforrás felhasználói hozzáférés-rendszergazdája kezelheti más rendszergazdák hozzárendeléseit. Azok a felhasználók, akik kiemelt szerepkörgazdák, biztonsági rendszergazdák vagy biztonsági olvasók, alapértelmezés szerint nem rendelkeznek hozzáféréssel az Azure-erőforrás-szerepkörökhöz való hozzárendelések megtekintéséhez a Privileged Identity Management.
Terminológia
A Privileged Identity Management és dokumentációjának jobb megértéséhez tekintse át az alábbi feltételeket.
| Kifejezés vagy fogalom | Szerepkör-hozzárendelési kategória | Description |
|---|---|---|
| Támogatható | Típus | Olyan szerepkör-hozzárendelés, amely megköveteli, hogy a felhasználó egy vagy több műveletet hajt végre a szerepkör használatához. Ha egy felhasználó jogosulttá vált egy szerepkörre, az azt jelenti, hogy aktiválhatja a szerepkört, amikor kiemelt feladatokat kell végrehajtania. Nincs különbség az állandó és a jogosult szerepkör-hozzárendeléssel rendelkező személy hozzáférésében. Az egyetlen különbség az, hogy néhány ember nem kell, hogy a hozzáférés minden alkalommal. |
| active | Típus | Olyan szerepkör-hozzárendelés, amely nem követeli meg, hogy a felhasználó bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt felhasználók rendelkeznek a szerepkörhöz rendelt jogosultságokkal. |
| aktiválás | Egy vagy több művelet végrehajtásának folyamata olyan szerepkör használatára, amelyre a felhasználó jogosult. A műveletek közé tartozhat a többtényezős hitelesítés (MFA) ellenőrzése, az üzleti indoklás megadása vagy a kijelölt jóváhagyók jóváhagyásának kérése. | |
| Hozzárendelt | Állapot | Aktív szerepkör-hozzárendeléssel rendelkező felhasználó. |
| Aktivált | Állapot | Egy jogosult szerepkör-hozzárendeléssel rendelkező felhasználó végrehajtotta a szerepkör aktiválásához szükséges műveleteket, és most aktív. Az aktiválás után a felhasználó egy előre konfigurált ideig használhatja a szerepkört, mielőtt újra aktiválnia kellene. |
| állandó jogosult | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig jogosult a szerepkör aktiválására. |
| állandó aktív | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig használhatja a szerepkört műveletek végrehajtása nélkül. |
| időhöz kötött jogosult | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdő és a záró dátumon belül aktiválhatja a szerepkört. |
| időhöz kötött aktív | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdő és a záró dátumon belül használhatja a szerepkört. |
| igény szerinti (JIT-) hozzáférés | Olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók az engedélyek lejárta után hozzáférjenek. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá. | |
| a minimális jogosultsági hozzáférés elve | Ajánlott biztonsági gyakorlat, amelyben minden felhasználó csak azokat a minimális jogosultságokat biztosítja, amelyek az általuk engedélyezett feladatok elvégzéséhez szükségesek. Ez a gyakorlat minimálisra csökkenti a globális rendszergazdák számát, és adott rendszergazdai szerepköröket használ bizonyos forgatókönyvekhez. |
Szerepkör-hozzárendelés áttekintése
A PIM-szerepkör-hozzárendelések biztonságos módot biztosítanak a szervezet erőforrásaihoz való hozzáférésre. Ez a szakasz a hozzárendelési folyamatot ismerteti. Magában foglalja a szerepkörök tagokhoz való hozzárendelését, a hozzárendelések aktiválását, a kérelmek jóváhagyását vagy elutasítását, a hozzárendelések meghosszabbítását és megújítását.
A PIM e-mail-értesítések küldésével tájékoztatja Önt és más résztvevőket. Ezek az e-mailek a vonatkozó feladatokra mutató hivatkozásokat is tartalmazhatnak, például a kérések aktiválását, jóváhagyását vagy elutasítását.
Az alábbi képernyőképen a PIM által küldött e-mail látható. Az e-mail tájékoztatja Patti-t, hogy Alex frissítette Emily szerepkör-hozzárendelését.
Értékadás
A hozzárendelési folyamat a szerepkörök tagokhoz való hozzárendelésével kezdődik. Az erőforrásokhoz való hozzáférés biztosításához a rendszergazda szerepköröket rendel a felhasználókhoz, csoportokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz. A hozzárendelés a következő adatokat tartalmazza:
- A szerepkör hozzárendeléséhez tartozó tagok vagy tulajdonosok.
- A hozzárendelés hatóköre. A hatókör egy adott erőforráskészletre korlátozza a hozzárendelt szerepkört.
- A hozzárendelés típusa
- A jogosult hozzárendelésekhez a szerepkör tagjának végre kell hajtania egy műveletet a szerepkör használatához. A műveletek közé tartozhat az aktiválás vagy a kijelölt jóváhagyók jóváhagyásának kérése.
- Az aktív hozzárendelésekhez a tagnak nem kell végrehajtania semmilyen műveletet a szerepkör használatához. Az aktívként hozzárendelt tagok rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
- A hozzárendelés időtartama kezdő és záró dátumokkal vagy állandó értékekkel. A jogosult hozzárendelések esetében a tagok a kezdési és a befejezési dátumok alatt aktiválhatják vagy kérhetik a jóváhagyást. Aktív hozzárendelések esetén a tagok ebben az időszakban használhatják a hozzárendelési szerepkört.
Az alábbi képernyőképen látható, hogy a rendszergazda hogyan rendel hozzá szerepkört a tagokhoz.
További információkért tekintse meg a következő cikkeket: Azure AD szerepkörök hozzárendelése, Azure-erőforrás-szerepkörök hozzárendelése és Jogosultság hozzárendelése emelt szintű hozzáférési csoportokhoz
Aktiválás
Ha a felhasználók jogosultságot kaptak egy szerepkörre, a szerepkör használata előtt aktiválniuk kell a szerepkör-hozzárendelést. A szerepkör aktiválásához a felhasználók meghatározott aktiválási időtartamot választanak a maximális (a rendszergazdák által konfigurált) időtartamon belül, valamint az aktiválási kérelem okát.
Az alábbi képernyőkép bemutatja, hogyan aktiválják a tagok a szerepkörüket korlátozott ideig.
Ha a szerepkör aktiválásához jóváhagyás szükséges, a felhasználó böngészőjének jobb felső sarkában megjelenik egy értesítés, amely tájékoztatja őket arról, hogy a kérelem jóváhagyásra vár. Ha nincs szükség jóváhagyásra, a tag megkezdheti a szerepkör használatát.
További információkért tekintse meg a következő cikkeket: Azure AD szerepkörök aktiválása, Azure-erőforrás-szerepkörök aktiválása és Emelt szintű hozzáférési csoport szerepkörök aktiválása
Jóváhagyás vagy megtagadás
A meghatalmazott jóváhagyók e-mailben kapnak értesítést, ha egy szerepkör-kérelem függőben van a jóváhagyásukig. A jóváhagyók megtekinthetik, jóváhagyhatják vagy elutasíthatják ezeket a függőben lévő kéréseket a PIM-ben. A kérelem jóváhagyása után a tag megkezdheti a szerepkör használatát. Ha például egy felhasználót vagy csoportot hozzájárulási szerepkörrel rendeltek hozzá egy erőforráscsoporthoz, akkor az adott erőforráscsoportot kezelheti.
További információkért tekintse meg a következő cikkeket: Azure AD szerepkörökhöz tartozó kérelmek jóváhagyása vagy megtagadása, Azure-erőforrás-szerepkörökhöz tartozó kérelmek jóváhagyása vagy megtagadása, valamint aktiválási kérelmek jóváhagyása a kiemelt hozzáférési csoporthoz
Hozzárendelések meghosszabbítása és megújítása
Miután a rendszergazdák beállították az időhöz kötött tulajdonosi vagy tag-hozzárendeléseket, az első kérdés, hogy mi történik, ha egy hozzárendelés lejár? Ebben az új verzióban két lehetőséget biztosítunk ehhez a forgatókönyvhöz:
- Kiterjesztés – Ha egy szerepkör-hozzárendelés hamarosan lejár, a felhasználó a Privileged Identity Management használatával kérhet bővítményt a szerepkör-hozzárendeléshez
- Megújítás – Ha egy szerepkör-hozzárendelés már lejárt, a felhasználó a Privileged Identity Management használatával kérheti a szerepkör-hozzárendelés megújítását
Mindkét felhasználó által kezdeményezett művelethez globális rendszergazda vagy kiemelt szerepkör-rendszergazda jóváhagyása szükséges. A rendszergazdáknak nem kell a feladatlejáratok kezelésével foglalkoznia. Megvárhatja, amíg a meghosszabbítási vagy megújítási kérések megérkeznek az egyszerű jóváhagyásra vagy elutasításra.
További információkért tekintse meg a következő cikkeket: Azure AD szerepkör-hozzárendelések kiterjesztése vagy megújítása, Azure-erőforrásszerepkör-hozzárendelések kiterjesztése vagy megújítása, valamint kiemelt hozzáférési csoport-hozzárendelések kiterjesztése vagy megújítása
Forgatókönyvek
A Privileged Identity Management a következő forgatókönyveket támogatja:
Emelt szintű szerepkör-rendszergazdai engedélyek
- Jóváhagyás engedélyezése speciális szerepkörökhöz
- Jóváhagyó felhasználók vagy csoportok megadása a kérések jóváhagyásához
- Speciális szerepkörökhöz tartozó kérelmek és jóváhagyások előzményeinek megtekintése
Jóváhagyó engedélyek
- Függőben lévő jóváhagyások (kérelmek) megtekintése
- Szerepkörszint-emelési kérelmek jóváhagyása vagy elutasítása (egy- és tömeges)
- Indokolja meg a jóváhagyást vagy az elutasítást
Jogosult szerepkörfelhasználói engedélyek
- Jóváhagyást igénylő szerepkör aktiválásának kérelme
- Az aktiválási kérelem állapotának megtekintése
- Az aktiválás jóváhagyása után feladatok végrehajtása az Azure AD-ben
Emelt szintű hozzáférési Azure AD csoportok kezelése (előzetes verzió)
A Privileged Identity Managementben (PIM-ben) mostantól tagsági vagy tulajdonossági jogosultságot rendelhet hozzá az emelt szintű hozzáférési csoportokhoz. Ezzel az előzetes verzióval kezdve az Azure Active Directory (Azure AD) beépített szerepköreit felhőbeli csoportokhoz rendelheti, és a PIM használatával kezelheti a csoportok tagsági és tulajdonossági jogosultságát és aktiválását. Az Azure AD szerepkörökhöz rendelhető csoportjaival kapcsolatos további információért lásd: Azure AD-csoportok használata a szerepkör-hozzárendelések kezeléséhez.
Fontos
Ha rendszergazdai hozzáférésű szerepkörhöz szeretne hozzárendelni egy emelt szintű hozzáférési csoportot az Exchange-hez, a Biztonsági & megfelelőségi központhoz vagy a SharePointhoz, használja a Azure AD portál Szerepkörök és rendszergazdák felületét, és ne a Privileged Access Groups (Emelt szintű hozzáférési csoportok) felületen, hogy a felhasználó vagy csoport jogosult legyen a csoport aktiválására.
Különböző igényalapú szabályzatok az egyes csoportokhoz
Egyes szervezetek olyan eszközöket használnak, mint a Azure AD vállalatközi (B2B) együttműködés, hogy vendégként meghívják partnereiket Azure AD szervezetükbe. A jogosultsággal rendelkező szerepkörökhöz rendelt összes hozzárendelésre vonatkozó egyszeri szabályzat helyett két különböző jogosultsági szintű hozzáférési csoportot hozhat létre saját szabályzatokkal. A megbízható alkalmazottakra vonatkozó kevésbé szigorú követelményeket és szigorúbb követelményeket is érvényesíthet, például a jóváhagyási munkafolyamatot a partnerek számára, amikor aktiválást kérnek a hozzárendelt csoportjukba.
Több szerepkör-hozzárendelés aktiválása egyetlen kérelemben
A kiemelt hozzáférési csoportok előzetes verziójával a számítási feladatspecifikus rendszergazdák gyors hozzáférést biztosíthatnak több szerepkörhöz egyetlen igény szerinti kéréssel. Előfordulhat például, hogy a 3. rétegbeli Office-rendszergazdáknak szükség lehet az Exchange Rendszergazda, az Office Apps Rendszergazda, a Teams Rendszergazda és a Search Rendszergazda szerepkörökhöz az incidensek napi alapos kivizsgálásához. A mai nap előtt négy egymást követő kérésre lenne szükség, amelyek egy ideig tartó folyamatnak számítanak. Ehelyett létrehozhat egy "3. rétegbeli Office-rendszergazdák" nevű szerepkör-hozzárendelhető csoportot, hozzárendelheti a korábban említett négy szerepkörhöz (vagy bármely Azure AD beépített szerepkörhöz), és engedélyezheti a privileged Access számára a csoport Tevékenység szakaszában. Ha engedélyezve van a kiemelt hozzáféréshez, konfigurálhatja a csoport tagjai számára az igény szerinti beállításokat, és jogosultként rendelheti hozzá a rendszergazdákat és a tulajdonosokat. Amikor a rendszergazdák belépnek a csoportba, mind a négy Azure AD szerepkör tagjaivá válnak.
Vendégfelhasználók meghívása és Azure-erőforrás-szerepkörök hozzárendelése a Privileged Identity Management
Az Azure Active Directory (Azure AD) vendégfelhasználói a vállalatközi (B2B) együttműködési képességek részét képezik a Azure AD belül, így a külső vendégfelhasználókat és beszállítókat vendégként kezelheti a Azure AD. Ezeket a Privileged Identity Management funkciókat használhatja például az Azure-identitásokkal kapcsolatos feladatokhoz, például adott Azure-erőforrásokhoz való hozzáférés hozzárendeléséhez, a hozzárendelés időtartamának és befejezési dátumának megadásához, vagy az aktív hozzárendelés vagy aktiválás kétlépéses ellenőrzéséhez. Ha többet szeretne tudni arról, hogyan hívhat meg egy vendéget a szervezetbe, és hogyan kezelheti a hozzáférését, olvassa el a B2B együttműködési felhasználók hozzáadása a Azure AD portálon című témakört.
Mikor hívna meg vendégeket?
Íme néhány példa arra, hogy mikor hívhat meg vendégeket a szervezetbe:
- Engedélyezze egy olyan külső önfoglalkoztató szállítónak, aki csak e-mail-fiókkal rendelkezik, hogy hozzáférjen az Azure-erőforrásokhoz egy projekthez.
- Engedélyezze egy olyan nagy szervezet külső partnerét, amely helyi Active Directory összevonási szolgáltatásokat használ a költségalkalmazás eléréséhez.
- A problémák elhárításához engedélyezze, hogy a szervezeten belüli támogatási mérnökök (például a Microsoft ügyfélszolgálata) ideiglenesen hozzáférjenek az Azure-erőforráshoz.
Hogyan működik a B2B-vendégekkel való együttműködés?
A B2B-együttműködés használatakor meghívhat egy külső felhasználót a szervezetbe vendégként. A vendég a szervezet felhasználójaként kezelhető, de a vendéget az otthoni szervezetében kell hitelesíteni, nem pedig a Azure AD szervezetében. Ez azt jelenti, hogy ha a vendég már nem fér hozzá az otthoni szervezetéhez, akkor a szervezethez való hozzáférést is elveszíti. Ha például a vendég elhagyja a szervezetét, automatikusan elveszíti a hozzáférést a velük megosztott erőforrásokhoz Azure AD anélkül, hogy Önnek bármit meg kellene tennie. A B2B-együttműködéssel kapcsolatos további információkért lásd: Mi a vendégfelhasználói hozzáférés az Azure Active Directory B2B-ben?
