Azure-erőforrásszerepkör-beállítások konfigurálása a Privileged Identity Managementben

  • Cikk

A Microsoft Entra id részét képező Microsoft Entra ID Privileged Identity Management (PIM) szolgáltatásban a szerepkör-beállítások határozzák meg a szerepkör-hozzárendelés tulajdonságait. Ezek a tulajdonságok többek között a többtényezős hitelesítésre és az aktiválás jóváhagyási követelményeire, a hozzárendelés maximális időtartamára és az értesítési beállításokra vonatkoznak. Ez a cikk bemutatja, hogyan konfigurálhatja a szerepkör-beállításokat, és hogyan állíthatja be a jóváhagyási munkafolyamatot annak meghatározására, hogy ki hagyhatja jóvá vagy tagadhatja meg a jogosultságszint emelésére irányuló kérelmeket.

Az erőforrás PIM-szerepkör-beállításainak kezeléséhez tulajdonosi vagy felhasználói hozzáférésű Rendszergazda istrator szerepkör szükséges. A szerepkör-beállítások szerepkörenként és erőforrásonként vannak meghatározva. Ugyanahhoz a szerepkörhöz tartozó összes hozzárendelés ugyanazokat a szerepkör-beállításokat követi. Az egyik szerepkör szerepkörbeállításai függetlenek egy másik szerepkör szerepkörbeállításaitól. Az egyik erőforrás szerepkörbeállításai függetlenek egy másik erőforrás szerepkörbeállításaitól. A magasabb szinten konfigurált szerepkörbeállítások, például az Előfizetés például nem öröklődnek alacsonyabb szinten, például erőforráscsoporton.

A PIM-szerepkör-beállításokat PIM-szabályzatnak is nevezik.

Szerepkör-beállítások megnyitása

Egy Azure-erőforrásszerepkör beállításainak megnyitása:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. Tallózással keresse meg az Identity Governance>Privileged Identity Management>Azure-erőforrásokat. Ezen a lapon kiválaszthatja a kezelni kívánt erőforrástípust . Kezdje a Felügyeleti csoport vagy az Előfizetések legördülő listában, majd válassza ki az Erőforráscsoportokat vagy erőforrásokat igény szerint.

    Screenshot that shows the list of Azure resources discovered in Privileged Identity Management.

  3. Válassza ki azt az erőforrást, amelyhez konfigurálnia kell a PIM-szerepkör beállításait.

  4. Válassza a Beállítások lehetőséget. A kijelölt erőforrásHOZ tartozó PIM-szabályzatok listájának megtekintése.

    Screenshot that shows the list of PIM policies for a selected resource.

  5. Válassza ki a konfigurálni kívánt szerepkört vagy szabályzatot.

  6. Válassza a Szerkesztés lehetőséget a szerepkör-beállítások frissítéséhez.

  7. Válassza a Frissítés lehetőséget.

Szerepkör-beállítások

Ez a szakasz a szerepkör-beállítások beállításait ismerteti.

Aktiválás maximális időtartama

Az Aktiválás maximális időtartam csúszkával beállíthatja, hogy egy szerepkör-hozzárendelés aktiválási kérése a lejárat előtt is aktív maradjon. Ez az érték 1 és 24 óra között lehet.

Aktiválás esetén többtényezős hitelesítésre van szükség

Az aktiválás előtt megkövetelheti a szerepkörre jogosult felhasználóktól, hogy igazolják, kik ők. Ehhez használja a Microsoft Entra ID többtényezős hitelesítési funkcióját. A többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést. Egy másik biztonsági réteget biztosít a hitelesítés második formájának használatával.

Előfordulhat, hogy a felhasználók nem kérnek többtényezős hitelesítést, ha erős hitelesítő adatokkal hitelesítettek, vagy többtényezős hitelesítést adtak meg a munkamenet korábbi szakaszában.

Ha a cél annak biztosítása, hogy a felhasználóknak hitelesítést kell biztosítaniuk az aktiválás során, használhatja az On aktiválást, és a hitelesítési erősségekkel együtt megkövetelheti a Microsoft Entra feltételes hozzáférés hitelesítési környezetét. Ezek a beállítások megkövetelik, hogy a felhasználók az aktiválás során a gépre való bejelentkezéshez használttól eltérő módszerekkel hitelesítsék magukat.

Ha például a felhasználók Vállalati Windows Hello használatával jelentkeznek be a gépre, használhatja az On aktiválást, megkövetelheti a Microsoft Entra feltételes hozzáférés hitelesítési környezetét és a hitelesítési erősségeket, hogy a szerepkör aktiválásakor a felhasználók jelszó nélküli bejelentkezést végezzenek a Microsoft Authenticator használatával.

Miután a felhasználó a példában egyszer jelszó nélküli bejelentkezést biztosít a Microsoft Authenticatorhoz, a következő aktiválást ebben a munkamenetben végezheti el egy másik hitelesítés nélkül. A Microsoft Authenticator használatával történő jelszó nélküli bejelentkezés már része a jogkivonatnak.

Javasoljuk, hogy minden felhasználó számára engedélyezze a Microsoft Entra ID többtényezős hitelesítési funkcióját. További információ: A Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése.

Aktiválás esetén a Microsoft Entra feltételes hozzáférés hitelesítési környezetének megkövetelése

Megkövetelheti, hogy a szerepkörre jogosult felhasználók megfeleljenek a feltételes hozzáférési szabályzat követelményeinek. Megkövetelheti például a felhasználóktól, hogy a hitelesítési erősségek által kikényszerített adott hitelesítési módszert használják, emelik ki a szerepkört egy Intune-kompatibilis eszközről, és megfeleljenek a használati feltételeknek.

A követelmény érvényesítéséhez létre kell hoznia a feltételes hozzáférés hitelesítési környezetét.

  1. Konfiguráljon egy feltételes hozzáférési szabályzatot, amely megkövetelné a hitelesítési környezet követelményeit.

  2. Hitelesítési környezet konfigurálása a szerepkör PIM-beállításaiban.

    Screenshot that shows the Edit role settings Attestation Reader page.

Ha a PIM-beállítások aktiválva vannak , a Microsoft Entra feltételes hozzáférés hitelesítési környezetének konfigurálásához a feltételes hozzáférési szabályzatok olyan feltételeket határoznak meg, amelyeket a felhasználónak teljesítenie kell a hozzáférési követelmények teljesítéséhez.

Ez azt jelenti, hogy a feltételes hozzáférési szabályzatok (például feltételes hozzáférési rendszergazdák vagy biztonsági rendszergazdák) kezelésére jogosult biztonsági tagok módosíthatják a követelményeket, eltávolíthatják őket, vagy letilthatják a jogosult felhasználókat a szerepkör aktiválásában. A feltételes hozzáférési szabályzatok kezelésére képes biztonsági tagokat kiemelt jogosultságúnak kell tekinteni, és ennek megfelelően kell védeni.

Javasoljuk, hogy hozzon létre és engedélyezze a feltételes hozzáférési szabályzatot a hitelesítési környezethez, mielőtt a hitelesítési környezet konfigurálva lesz a PIM-beállításokban. Biztonsági mentési védelmi mechanizmusként, ha a bérlőben nincsenek olyan feltételes hozzáférési szabályzatok, amelyek a PIM-beállításokban konfigurált hitelesítési környezetet céloznák meg, a PIM-szerepkör aktiválása során a Microsoft Entra ID többtényezős hitelesítési funkciójára van szükség a Be aktiváláskor , és többtényezős hitelesítési beállítást kell beállítani.

Ez a biztonsági mentési védelmi mechanizmus kizárólag olyan forgatókönyvek elleni védelemre szolgál, amikor a PIM-beállításokat a feltételes hozzáférési szabályzat létrehozása előtt egy konfigurációs hiba miatt frissítették. Ez a biztonsági mentési védelmi mechanizmus nem aktiválódik, ha a feltételes hozzáférési szabályzat ki van kapcsolva, csak jelentés módban van, vagy egy jogosult felhasználó ki van zárva a szabályzatból.

Az aktiváláskor a Microsoft Entra feltételes hozzáférés hitelesítési környezetének beállítása határozza meg azokat a hitelesítési környezeti követelményeket, amelyeket a felhasználóknak teljesíteniük kell a szerepkör aktiválásakor. A szerepkör aktiválása után a felhasználók nem akadályozhatják meg, hogy más böngészési munkamenetet, eszközt vagy helyet használjanak az engedélyek használatához.

Előfordulhat például, hogy a felhasználók intune-kompatibilis eszközt használnak a szerepkör aktiválásához. Ezután a szerepkör aktiválása után bejelentkezhetnek ugyanahhoz a felhasználói fiókhoz egy másik olyan eszközről, amely nem felel meg az Intune-nak, és onnan használja a korábban aktivált szerepkört.

A helyzet megelőzése érdekében a feltételes hozzáférési szabályzatok hatókörével közvetlenül kényszeríthet bizonyos követelményeket a jogosult felhasználók számára. Megkövetelheti például, hogy a bizonyos szerepkörökre jogosult felhasználók mindig intune-kompatibilis eszközöket használjanak.

A feltételes hozzáférési hitelesítési környezettel kapcsolatos további információkért lásd : Feltételes hozzáférés: Felhőalkalmazások, műveletek és hitelesítési környezet.

Indoklás megkövetelése az aktiváláskor

A jogosult hozzárendelés aktiválásakor megkövetelheti, hogy a felhasználók üzleti indoklást adjanak meg.

Jegyadatok megkövetelése az aktiváláshoz

A jogosult hozzárendelés aktiválásakor megkövetelheti a felhasználóktól, hogy adjanak meg egy támogatási jegyszámot. Ez a beállítás csak tájékoztató jellegű mező. A jegyrendszer adataival való korreláció nincs kényszerítve.

Jóváhagyás megkövetelése az aktiváláshoz

Jóváhagyást kérhet egy jogosult hozzárendelés aktiválásához. A jóváhagyónak nincs szerepköre. Ha ezt a beállítást használja, ki kell jelölnie legalább egy jóváhagyót. Javasoljuk, hogy válasszon legalább két jóváhagyót. Nincsenek alapértelmezett jóváhagyók.

A jóváhagyásokról további információt a Microsoft Entra-szerepkörökre vonatkozó kérelmek jóváhagyása vagy elutasítása a Privileged Identity Managementben című témakörben talál.

Hozzárendelés időtartama

Ha egy szerepkör beállításait konfigurálja, az egyes hozzárendeléstípusokhoz két hozzárendelési időtartam közül választhat: jogosult és aktív. Ezek a beállítások lesznek az alapértelmezett maximális időtartamok, amikor egy felhasználó hozzá van rendelve a Privileged Identity Management szerepköréhez.

Ezek közül a jogosult hozzárendelési időtartamok közül választhat.

Beállítás Leírás
Állandó jogosult hozzárendelés engedélyezése Az erőforrás-rendszergazdák állandó jogosult hozzárendeléseket rendelhetnek hozzá.
A jogosult hozzárendelés lejárata a Az erőforrás-rendszergazdák megkövetelhetik, hogy minden jogosult hozzárendelésnek legyen egy megadott kezdési és befejezési dátuma.

Az aktív hozzárendelés időtartamának egyikét is választhatja.

Beállítás Leírás
Állandó aktív hozzárendelés engedélyezése Az erőforrás-rendszergazdák állandó aktív hozzárendeléseket rendelhetnek hozzá.
Az aktív hozzárendelés lejárata Az erőforrás-rendszergazdák megkövetelhetik, hogy minden aktív hozzárendelésnek legyen egy megadott kezdési és befejezési dátuma.

A globális rendszergazdák és a kiemelt szerepkörök rendszergazdái megújíthatják a megadott befejezési dátummal rendelkező összes hozzárendelést. Emellett a felhasználók önkiszolgáló kéréseket is kezdeményezhetnek a szerepkör-hozzárendelések meghosszabbításához vagy megújításához.

Többtényezős hitelesítés megkövetelése aktív hozzárendeléshez

Megkövetelheti, hogy a rendszergazda többtényezős hitelesítést biztosítson, amikor aktív (nem jogosult) hozzárendelést hoz létre. A Privileged Identity Management nem tudja kikényszeríteni a többtényezős hitelesítést, ha a felhasználó a szerepkör-hozzárendelést használja, mert már aktív a szerepkörben a hozzárendelés időpontjától kezdve.

Előfordulhat, hogy a rendszergazda nem kér többtényezős hitelesítést, ha erős hitelesítő adatokkal hitelesített, vagy többtényezős hitelesítést adott meg a munkamenet korábbi szakaszában.

Az aktív hozzárendelés indoklásának megkövetelése

Megkövetelheti, hogy a felhasználók üzleti indoklást adjanak meg, amikor aktív (nem jogosult) hozzárendelést hoznak létre.

A Szerepkör beállításai lap Értesítések lapján a Privileged Identity Management lehetővé teszi az értesítések fogadásának és az általuk kapott értesítések részletes szabályozását.

  • E-mailek kikapcsolása: Bizonyos e-maileket kikapcsolhat az alapértelmezett címzettek jelölőnégyzetének törlésével és a többi címzett törlésével.
  • E-mailek korlátozása megadott e-mail-címekre: Kikapcsolhatja az alapértelmezett címzetteknek küldött e-maileket az alapértelmezett címzettek jelölőnégyzetének törlésével. Ezután más e-mail-címeket is hozzáadhat címzettként. Ha több e-mail-címet szeretne hozzáadni, különítse el őket pontosvesszővel (;).
  • E-mailek küldése az alapértelmezett címzetteknek és több címzettnek: Az alapértelmezett címzettnek és egy másik címzettnek is küldhet e-maileket. Jelölje be az alapértelmezett címzett jelölőnégyzetet, és adja meg a többi címzett e-mail-címét.
  • Csak kritikus e-mailek: Minden e-mail-típushoz bejelölheti a jelölőnégyzetet, hogy csak kritikus e-maileket fogadjon. A Privileged Identity Management továbbra is csak akkor küld e-maileket a megadott címzetteknek, ha az e-mail azonnali beavatkozást igényel. Nem aktiválódnak például azok az e-mailek, amelyek arra kérik a felhasználókat, hogy bővítsék a szerepkör-hozzárendelésüket. Azok az e-mailek aktiválódnak, amelyekhez a rendszergazdáknak jóvá kell hagyniuk a bővítménykérelmet.

Feljegyzés

A Privileged Identity Management egyik eseménye e-mail-értesítéseket hozhat létre több címzettnek – hozzárendelőknek, jóváhagyóknak vagy rendszergazdáknak. Az egy eseményre küldött értesítések maximális száma 1000. Ha a címzettek száma meghaladja az 1000-et – csak az első 1000 címzett kap e-mail-értesítést. Ez nem akadályozza meg, hogy más hozzárendelők, rendszergazdák vagy jóváhagyók a Microsoft Entra-azonosítóban és a Privileged Identity Managementben használják az engedélyeiket.

Következő lépések