A Microsoft Entra szerepkör-beállításainak konfigurálása a Privileged Identity Managementben

A Microsoft Entra id részét képező Microsoft Entra ID Privileged Identity Management (PIM) szolgáltatásban a szerepkör-beállítások határozzák meg a szerepkör-hozzárendelés tulajdonságait. Ezek a tulajdonságok többek között a többtényezős hitelesítésre és az aktiválás jóváhagyási követelményeire, a hozzárendelés maximális időtartamára és az értesítési beállításokra vonatkoznak. Ez a cikk bemutatja, hogyan konfigurálhatja a szerepkör-beállításokat, és hogyan állíthatja be a jóváhagyási munkafolyamatot annak meghatározására, hogy ki hagyhatja jóvá vagy tagadhatja meg a jogosultságszint emelésére irányuló kérelmeket.

A Microsoft Entra-szerepkörök PIM-szerepkör-beállításainak kezeléséhez globális Rendszergazda istrator vagy Privileged Role Rendszergazda istrator szerepkörrel kell rendelkeznie. A szerepkör-beállítások szerepkörenként vannak meghatározva. Ugyanahhoz a szerepkörhöz tartozó összes hozzárendelés ugyanazokat a szerepkör-beállításokat követi. Az egyik szerepkör szerepkörbeállításai függetlenek egy másik szerepkör szerepkörbeállításaitól.

A PIM-szerepkör-beállításokat PIM-szabályzatnak is nevezik.

Szerepkör-beállítások megnyitása

A Microsoft Entra-szerepkör beállításainak megnyitása:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.

  2. Tallózással keresse meg az identitásszabályozási>privileged Identity Management>Microsoft Entra szerepköröket.>

  3. Ezen a lapon megjelenik a bérlőben elérhető Microsoft Entra-szerepkörök listája, beleértve a beépített és az egyéni szerepköröket is. Képernyőkép a bérlőben elérhető Microsoft Entra-szerepkörök listájáról, beleértve a beépített és az egyéni szerepköröket is.

  4. Válassza ki azt a szerepkört, amelynek beállításait konfigurálni szeretné.

  5. Válassza ki a szerepkör-beállításokat. A Szerepkör beállításai lapon megtekintheti a kijelölt szerepkör aktuális PIM-szerepkör-beállításait.

    Képernyőkép a Szerepkör beállításai lapról a hozzárendelési és aktiválási beállítások frissítésére vonatkozó beállításokkal.

  6. Válassza a Szerkesztés lehetőséget a szerepkör-beállítások frissítéséhez.

  7. Válassza a Frissítés lehetőséget.

Szerepkör-beállítások

Ez a szakasz a szerepkör-beállítások beállításait ismerteti.

Aktiválás maximális időtartama

Az Aktiválás maximális időtartam csúszkával beállíthatja, hogy egy szerepkör-hozzárendelés aktiválási kérése a lejárat előtt is aktív maradjon. Ez az érték 1 és 24 óra között lehet.

Aktiválás esetén többtényezős hitelesítésre van szükség

Az aktiválás előtt megkövetelheti a szerepkörre jogosult felhasználóktól, hogy igazolják, kik ők. Ehhez használja a Microsoft Entra ID többtényezős hitelesítési funkcióját. A többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést. Egy másik biztonsági réteget biztosít a hitelesítés második formájának használatával.

Előfordulhat, hogy a rendszer nem kér többtényezős hitelesítést a felhasználóktól, ha erős hitelesítő adatokkal hitelesítettek, vagy a munkamenet korábbi részében többtényezős hitelesítést adtak meg.

Ha a cél annak biztosítása, hogy a felhasználóknak hitelesítést kell biztosítaniuk az aktiválás során, használhatja az On aktiválást, és a hitelesítési erősségekkel együtt megkövetelheti a Microsoft Entra feltételes hozzáférés hitelesítési környezetét. Ezek a beállítások megkövetelik, hogy a felhasználók az aktiválás során a gépre való bejelentkezéshez használttól eltérő módszerekkel hitelesítsék magukat.

Ha például a felhasználók a Vállalati Windows Hello használatával jelentkeznek be a gépre, használhatja a On aktiválást, megkövetelheti a Microsoft Entra feltételes hozzáférés hitelesítési környezetét és a hitelesítési erősségeket. Ez a beállítás megköveteli, hogy a felhasználók jelszó nélküli bejelentkezést végezzenek a Microsoft Authenticator használatával a szerepkör aktiválásakor.

Miután a felhasználó a példában egyszer jelszó nélküli bejelentkezést biztosít a Microsoft Authenticatorhoz, a következő aktiválást ebben a munkamenetben végezheti el egy másik hitelesítés nélkül. A Microsoft Authenticator használatával történő jelszó nélküli bejelentkezés már része a jogkivonatnak.

Javasoljuk, hogy minden felhasználó számára engedélyezze a Microsoft Entra ID többtényezős hitelesítési funkcióját. További információ: A Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése.

Aktiválás esetén a Microsoft Entra feltételes hozzáférés hitelesítési környezetének megkövetelése

Megkövetelheti, hogy a szerepkörre jogosult felhasználók megfeleljenek a feltételes hozzáférési szabályzat követelményeinek. Megkövetelheti például a felhasználóktól, hogy a hitelesítési erősségek által kikényszerített adott hitelesítési módszert használják, emelik ki a szerepkört egy Intune-kompatibilis eszközről, és megfeleljenek a használati feltételeknek.

A követelmény érvényesítéséhez létre kell hoznia a feltételes hozzáférés hitelesítési környezetét.

  1. Konfiguráljon egy feltételes hozzáférési szabályzatot, amely kikényszeríti a hitelesítési környezet követelményeit.

    A feltételes hozzáférési szabályzat hatókörének tartalmaznia kell egy szerepkör összes vagy jogosult felhasználóját. Ne hozzon létre egyszerre hitelesítési környezetre és címtárszerepkörre vonatkozó feltételes hozzáférési szabályzatot. Az aktiválás során a felhasználónak még nincs szerepköre, így a feltételes hozzáférési szabályzat nem lesz érvényes.

    Tekintse meg a szakasz végén található lépéseket egy olyan helyzetről, amikor két feltételes hozzáférési szabályzatra lehet szükség. Az egyiket a hitelesítési környezetre, a másikat pedig a szerepkörre kell hatókörbe venni.

  2. Hitelesítési környezet konfigurálása a szerepkör PIM-beállításaiban.

    Képernyőkép a Szerepkör szerkesztése beállításról – Attribútumdefiníció Rendszergazda istrator oldal.

Ha a PIM-beállítások aktiválva vannak , a Microsoft Entra feltételes hozzáférés hitelesítési környezetének konfigurálásához a feltételes hozzáférési szabályzatok olyan feltételeket határoznak meg, amelyeket a felhasználónak teljesítenie kell a hozzáférési követelmények teljesítéséhez.

Ez azt jelenti, hogy a feltételes hozzáférési szabályzatok (például feltételes hozzáférési rendszergazdák vagy biztonsági rendszergazdák) kezelésére jogosult biztonsági tagok módosíthatják a követelményeket, eltávolíthatják őket, vagy letilthatják a jogosult felhasználókat a szerepkör aktiválásában. A feltételes hozzáférési szabályzatok kezelésére képes biztonsági tagokat kiemelt jogosultságúnak kell tekinteni, és ennek megfelelően kell védeni.

Javasoljuk, hogy hozzon létre és engedélyezze a feltételes hozzáférési szabályzatot a hitelesítési környezethez, mielőtt a hitelesítési környezet konfigurálva lesz a PIM-beállításokban. Biztonsági mentési védelmi mechanizmusként, ha a bérlőben nincsenek olyan feltételes hozzáférési szabályzatok, amelyek a PIM-beállításokban konfigurált hitelesítési környezetet céloznák meg, a PIM-szerepkör aktiválása során a Microsoft Entra ID többtényezős hitelesítési funkciójára van szükség a Be aktiváláskor , és többtényezős hitelesítési beállítást kell beállítani.

Ez a biztonsági mentési védelmi mechanizmus kizárólag olyan forgatókönyvek elleni védelemre szolgál, amikor a PIM-beállításokat a feltételes hozzáférési szabályzat létrehozása előtt egy konfigurációs hiba miatt frissítették. Ez a biztonsági mentési védelmi mechanizmus nem aktiválódik, ha a feltételes hozzáférési szabályzat ki van kapcsolva, csak jelentés módban van, vagy egy jogosult felhasználó ki van zárva a szabályzatból.

Az aktiváláskor a Microsoft Entra feltételes hozzáférés hitelesítési környezetének beállítása határozza meg azokat a hitelesítési környezeti követelményeket, amelyeket a felhasználóknak teljesíteniük kell a szerepkör aktiválásakor. A szerepkör aktiválása után a felhasználók nem akadályozhatják meg, hogy más böngészési munkamenetet, eszközt vagy helyet használjanak az engedélyek használatához.

Előfordulhat például, hogy a felhasználók intune-kompatibilis eszközt használnak a szerepkör aktiválásához. Ezután a szerepkör aktiválása után bejelentkezhetnek ugyanahhoz a felhasználói fiókhoz egy másik olyan eszközről, amely nem felel meg az Intune-nak, és onnan használja a korábban aktivált szerepkört.

A helyzet megelőzéséhez hozzon létre két feltételes hozzáférési szabályzatot:

  1. Az első feltételes hozzáférési szabályzat a hitelesítési környezetet célozza meg. A hatókörében minden felhasználónak vagy jogosult felhasználónak rendelkeznie kell. Ez a szabályzat meghatározza azokat a követelményeket, amelyeknek a felhasználóknak meg kell felelniük a szerepkör aktiválásához.
  2. A második feltételes hozzáférési szabályzat címtárszerepköröket céloz meg. Ez a szabályzat határozza meg azokat a követelményeket, amelyeknek a felhasználóknak teljesíteniük kell a címtárszerepkör aktiválásához szükséges követelményeket.

Mindkét szabályzat ugyanazokat a követelményeket érvényesítheti az igényeitől függően.

Egy másik lehetőség a feltételes hozzáférési szabályzatok hatóköre, amelyek bizonyos követelményeket közvetlenül a jogosult felhasználókra kényszerítenek. Megkövetelheti például, hogy a bizonyos szerepkörökre jogosult felhasználók mindig intune-kompatibilis eszközöket használjanak.

A feltételes hozzáférési hitelesítési környezettel kapcsolatos további információkért lásd : Feltételes hozzáférés: Felhőalkalmazások, műveletek és hitelesítési környezet.

Indoklás megkövetelése az aktiváláskor

A jogosult hozzárendelés aktiválásakor megkövetelheti, hogy a felhasználók üzleti indoklást adjanak meg.

Jegyadatok megkövetelése az aktiváláshoz

A jogosult hozzárendelés aktiválásakor megkövetelheti a felhasználóktól, hogy adjanak meg egy támogatási jegyszámot. Ez a beállítás csak tájékoztató jellegű mező. A jegyrendszer adataival való korreláció nincs kényszerítve.

Jóváhagyás megkövetelése az aktiváláshoz

Jóváhagyást kérhet egy jogosult hozzárendelés aktiválásához. A jóváhagyónak nincs szerepköre. Ha ezt a beállítást használja, ki kell jelölnie legalább egy jóváhagyót. Javasoljuk, hogy válasszon legalább két jóváhagyót. Ha nincs kiválasztva konkrét jóváhagyó, a kiemelt szerepkörök rendszergazdája/globális rendszergazdái lesznek az alapértelmezett jóváhagyók.

A jóváhagyásokról további információt a Microsoft Entra-szerepkörökre vonatkozó kérelmek jóváhagyása vagy elutasítása a Privileged Identity Managementben című témakörben talál.

Hozzárendelés időtartama

Ha egy szerepkör beállításait konfigurálja, az egyes hozzárendeléstípusokhoz két hozzárendelési időtartam közül választhat: jogosult és aktív. Ezek a beállítások lesznek az alapértelmezett maximális időtartamok, amikor egy felhasználó hozzá van rendelve a Privileged Identity Management szerepköréhez.

Ezek közül a jogosult hozzárendelési időtartamok közül választhat.

Beállítás Leírás
Állandó jogosult hozzárendelés engedélyezése Az erőforrás-rendszergazdák állandó jogosult hozzárendeléseket rendelhetnek hozzá.
A jogosult hozzárendelés lejárata a Az erőforrás-rendszergazdák megkövetelhetik, hogy minden jogosult hozzárendelésnek legyen egy megadott kezdési és befejezési dátuma.

Az aktív hozzárendelés időtartamának egyikét is választhatja.

Beállítás Leírás
Állandó aktív hozzárendelés engedélyezése Az erőforrás-rendszergazdák állandó aktív hozzárendeléseket rendelhetnek hozzá.
Az aktív hozzárendelés lejárata Az erőforrás-rendszergazdák megkövetelhetik, hogy minden aktív hozzárendelésnek legyen egy megadott kezdési és befejezési dátuma.

A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái megújíthatják a megadott befejezési dátummal rendelkező összes hozzárendelést. Emellett a felhasználók önkiszolgáló kéréseket is kezdeményezhetnek a szerepkör-hozzárendelések meghosszabbításához vagy megújításához.

Többtényezős hitelesítés megkövetelése aktív hozzárendeléshez

Megkövetelheti, hogy a rendszergazdák többtényezős hitelesítést nyújtsanak, amikor aktív (nem jogosult) hozzárendelést hoznak létre. A Privileged Identity Management nem tudja kikényszeríteni a többtényezős hitelesítést, ha a felhasználó a szerepkör-hozzárendelést használja, mert már aktív a szerepkörben a hozzárendelés időpontjától kezdve.

Előfordulhat, hogy a rendszergazda nem kér többtényezős hitelesítést, ha erős hitelesítő adatokkal hitelesített, vagy többtényezős hitelesítést adott meg a munkamenet korábbi szakaszában.

Az aktív hozzárendelés indoklásának megkövetelése

Megkövetelheti, hogy a felhasználók üzleti indoklást adjanak meg, amikor aktív (nem jogosult) hozzárendelést hoznak létre.

A Szerepkör beállításai lap Értesítések lapján a Privileged Identity Management lehetővé teszi az értesítések fogadásának és az általuk kapott értesítések részletes szabályozását. Az alábbi lehetőségek állnak rendelkezésére:

  • E-mailek kikapcsolása: Bizonyos e-maileket kikapcsolhat az alapértelmezett címzettek jelölőnégyzetének törlésével és a többi címzett törlésével.
  • E-mailek korlátozása megadott e-mail-címekre: Kikapcsolhatja az alapértelmezett címzetteknek küldött e-maileket az alapértelmezett címzettek jelölőnégyzetének törlésével. Ezután más e-mail-címeket is hozzáadhat címzettként. Ha több e-mail-címet szeretne hozzáadni, különítse el őket pontosvesszővel (;).
  • E-mailek küldése az alapértelmezett címzetteknek és több címzettnek: Az alapértelmezett címzettnek és egy másik címzettnek is küldhet e-maileket. Jelölje be az alapértelmezett címzett jelölőnégyzetet, és adja meg a többi címzett e-mail-címét.
  • Csak kritikus e-mailek: Minden e-mail-típushoz bejelölheti a jelölőnégyzetet, hogy csak kritikus e-maileket fogadjon. Ezzel a beállítással a Privileged Identity Management továbbra is csak akkor küld e-maileket a megadott címzetteknek, ha az e-mail azonnali beavatkozást igényel. Nem aktiválódnak például azok az e-mailek, amelyek arra kérik a felhasználókat, hogy bővítsék a szerepkör-hozzárendelésüket. Azok az e-mailek aktiválódnak, amelyekhez a rendszergazdáknak jóvá kell hagyniuk a bővítménykérelmet.

Feljegyzés

A Privileged Identity Management egyik eseménye e-mail-értesítéseket hozhat létre több címzettnek – hozzárendelőknek, jóváhagyóknak vagy rendszergazdáknak. Az egy eseményre küldött értesítések maximális száma 1000. Ha a címzettek száma meghaladja az 1000-et – csak az első 1000 címzett kap e-mail-értesítést. Ez nem akadályozza meg, hogy más hozzárendelők, rendszergazdák vagy jóváhagyók a Microsoft Entra-azonosítóban és a Privileged Identity Managementben használják az engedélyeiket.

Szerepkör-beállítások kezelése a Microsoft Graph használatával

Ha a Microsoft Entra-szerepkörök beállításait PIM API-k használatával szeretné kezelni a Microsoft Graphban, használja az unifiedRoleManagementPolicy erőforrástípust és a kapcsolódó metódusokat.

A Microsoft Graphban a szerepkör-beállításokat szabályoknak nevezzük. Tárolószabályzatokkal vannak hozzárendelve a Microsoft Entra-szerepkörökhöz. Minden Microsoft Entra-szerepkörhöz egy adott szabályzatobjektum van hozzárendelve. A Microsoft Entra szerepkörökre vonatkozó összes szabályzat lekérhető. Minden szabályzathoz lekérheti a kapcsolódó szabálygyűjteményt egy $expand lekérdezési paraméter használatával. A kérés szintaxisa a következő:

GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules

A szerepkör-beállítások a Microsoft Graph PIM API-kkal való kezelésével kapcsolatos további információkért tekintse meg a szerepkör-beállításokat és a PIM-et. Példák a szabályok frissítésére: Szabályok frissítése a PIM-ben a Microsoft Graph használatával.

Következő lépések