A PIM konfigurálása csoportok beállításaihoz
A Microsoft Entra ID-ban lévő csoportok privileged Identity Management (PIM) szolgáltatásában a szerepkör-beállítások határozzák meg a tagsági vagy tulajdonosi hozzárendelés tulajdonságait. Ezek a tulajdonságok többek között a többtényezős hitelesítésre és az aktiválás jóváhagyási követelményeire, a hozzárendelés maximális időtartamára és az értesítési beállításokra vonatkoznak. Ez a cikk bemutatja, hogyan konfigurálhatja a szerepkör-beállításokat, és hogyan állíthatja be a jóváhagyási munkafolyamatot annak meghatározására, hogy ki hagyhatja jóvá vagy tagadhatja meg a jogosultságszint emelésére irányuló kérelmeket.
A beállítások kezeléséhez csoportfelügyeleti engedélyekre van szüksége. Szerepkörhöz hozzárendelhető csoportok esetében legalább a Privileged Role Rendszergazda istrator szerepkört kell használnia, vagy a csoport tulajdonosának kell lennie. Nem szerepkörhöz hozzárendelhető csoportok esetén legalább a címtáríró, a csoportok Rendszergazda istrator, az identitásszabályozási Rendszergazda istrator vagy a felhasználói Rendszergazda istrator szerepkörnek kell lennie, vagy a csoport tulajdonosának kell lennie. A rendszergazdák szerepkör-hozzárendeléseit címtárszinten (nem a felügyeleti egység szintjén) kell hatókörbe helyezni.
Feljegyzés
A csoportok kezelésére jogosult egyéb szerepkörök (például a nem szerepkörhöz hozzárendelhető Microsoft 365-csoportok Exchange-rendszergazdái) és a felügyeleti egység szintjén hatókörrel rendelkező hozzárendelésekkel rendelkező rendszergazdák a Csoportok API/UX használatával kezelhetik a csoportokat, és felülbírálhatják a Microsoft Entra Privileged Identity Managementben végrehajtott módosításokat.
A szerepkör-beállítások csoportonként szerepkörenként vannak meghatározva. Ugyanahhoz a szerepkörhöz (taghoz vagy tulajdonoshoz) tartozó összes hozzárendelés ugyanazokat a szerepkör-beállításokat követi. Az egyik csoport szerepkörbeállításai függetlenek a másik csoport szerepkörbeállításaitól. Az egyik szerepkör (tag) szerepkörbeállításai függetlenek egy másik szerepkör (tulajdonos) szerepkörbeállításaitól.
Szerepkör-beállítások frissítése
Csoportszerepkör beállításainak megnyitása:
Jelentkezzen be a Microsoft Entra felügyeleti központjába.
Tallózással keresse meg az identitásszabályozás>kiemelt identitáskezelési>csoportjait.
Válassza ki azt a csoportot, amelyhez konfigurálni szeretné a szerepkör-beállításokat.
Válassza a Beállítások lehetőséget.
Válassza ki azt a szerepkört, amelyhez konfigurálnia kell a szerepkör-beállításokat. A lehetőségek a tagok vagy a tulajdonosok.
Tekintse át az aktuális szerepkör-beállításokat.
Válassza a Szerkesztés lehetőséget a szerepkör-beállítások frissítéséhez.
Válassza a Frissítés lehetőséget.
Szerepkör-beállítások
Ez a szakasz a szerepkör-beállítások beállításait ismerteti.
Aktiválás maximális időtartama
Az Aktiválás maximális időtartam csúszkával beállíthatja, hogy egy szerepkör-hozzárendelés aktiválási kérése a lejárat előtt is aktív maradjon. Ez az érték 1 és 24 óra között lehet.
Aktiválás esetén többtényezős hitelesítésre van szükség
Az aktiválás előtt megkövetelheti a szerepkörre jogosult felhasználóktól, hogy igazolják, kik ők. Ehhez használja a Microsoft Entra ID többtényezős hitelesítési funkcióját. A többtényezős hitelesítés segít megvédeni az adatokhoz és alkalmazásokhoz való hozzáférést. Egy másik biztonsági réteget biztosít a hitelesítés második formájának használatával.
Előfordulhat, hogy a felhasználók nem kérnek többtényezős hitelesítést, ha erős hitelesítő adatokkal hitelesítettek, vagy többtényezős hitelesítést adtak meg a munkamenet korábbi szakaszában. Ha a cél annak biztosítása, hogy a felhasználóknak hitelesítést kell biztosítaniuk az aktiválás során, használhatja az On aktiválást, és a hitelesítési erősségekkel együtt megkövetelheti a Microsoft Entra feltételes hozzáférés hitelesítési környezetét.
A felhasználóknak az aktiválás során a gépre való bejelentkezéshez használttól eltérő módszerekkel kell hitelesíteniük magukat. Ha például a felhasználók Vállalati Windows Hello használatával jelentkeznek be a gépre, használhatja az On aktiválást, megkövetelheti a Microsoft Entra feltételes hozzáférés hitelesítési környezetét és a hitelesítési erősségeket, hogy a szerepkör aktiválásakor a felhasználók jelszó nélküli bejelentkezést végezzenek a Microsoft Authenticator használatával.
Miután a felhasználó a példában egyszer jelszó nélküli bejelentkezést biztosít a Microsoft Authenticator szolgáltatással, a következő aktiválást ebben a munkamenetben végezheti el egy másik hitelesítés nélkül. A Microsoft Authenticator használatával történő jelszó nélküli bejelentkezés már része a jogkivonatnak.
Javasoljuk, hogy minden felhasználó számára engedélyezze a Többtényezős hitelesítés funkciót a Microsoft Entra ID-ban. További információ: A Microsoft Entra többtényezős hitelesítés üzembe helyezésének megtervezése.
Aktiválás esetén a Microsoft Entra feltételes hozzáférés hitelesítési környezetének megkövetelése
Megkövetelheti, hogy a szerepkörre jogosult felhasználók megfeleljenek a feltételes hozzáférési szabályzat követelményeinek. Megkövetelheti például a felhasználóktól, hogy a hitelesítési erősségek által kikényszerített adott hitelesítési módszert használják, emelik ki a szerepkört egy Intune-kompatibilis eszközről, és megfeleljenek a használati feltételeknek.
A követelmény érvényesítéséhez létre kell hoznia a feltételes hozzáférés hitelesítési környezetét.
Konfiguráljon egy feltételes hozzáférési szabályzatot, amely megkövetelné a hitelesítési környezet követelményeit.
A feltételes hozzáférési szabályzat hatókörének tartalmaznia kell a csoporttagságra/tulajdonjogra jogosult összes vagy jogosult felhasználót. Ne hozzon létre olyan feltételes hozzáférési szabályzatot, amely a hitelesítési környezetre és a csoportra terjed ki egyszerre. Az aktiválás során a felhasználó még nem rendelkezik csoporttagsággal, így a feltételes hozzáférési szabályzat nem lesz érvényes.
Hitelesítési környezet konfigurálása a szerepkör PIM-beállításaiban.
Ha a PIM-beállítások aktiválva vannak , a Microsoft Entra feltételes hozzáférés hitelesítési környezetének konfigurálásához feltételes hozzáférési szabályzatok határozzák meg, hogy a felhasználóknak milyen feltételeknek kell megfelelniük a hozzáférési követelményeknek.
Ez azt jelenti, hogy a feltételes hozzáférési szabályzatok (például feltételes hozzáférési rendszergazdák vagy biztonsági rendszergazdák) kezelésére jogosult biztonsági tagok módosíthatják a követelményeket, eltávolíthatják őket, vagy letilthatják a jogosult felhasználókat a csoporttagság/tulajdonjog aktiválásában. A feltételes hozzáférési szabályzatok kezelésére képes biztonsági tagokat magas jogosultsági szintűnek és ennek megfelelően védettnek kell tekinteni.
Javasoljuk, hogy hozzon létre és engedélyezze a feltételes hozzáférési szabályzatot a hitelesítési környezethez, mielőtt a hitelesítési környezet konfigurálva lesz a PIM-beállításokban. Biztonsági mentési védelmi mechanizmusként, ha a bérlőben nincsenek olyan feltételes hozzáférési szabályzatok, amelyek a PIM-beállításokban konfigurált hitelesítési környezetet céloznák meg, a csoporttagság/tulajdonjog aktiválása során a Microsoft Entra ID többtényezős hitelesítési funkciójára van szükség a Be aktiváláskor, és többtényezős hitelesítési beállítást kell beállítani.
Ez a biztonsági mentési védelmi mechanizmus kizárólag olyan forgatókönyvek elleni védelemre szolgál, amikor a PIM-beállításokat a feltételes hozzáférési szabályzat létrehozása előtt egy konfigurációs hiba miatt frissítették. Ez a biztonsági mentési védelmi mechanizmus nem aktiválódik, ha a feltételes hozzáférési szabályzat ki van kapcsolva, csak jelentéskészítési módban van, vagy ha a jogosult felhasználók ki vannak zárva a szabályzatból.
Az Aktiváláskor a Microsoft Entra feltételes hozzáférés hitelesítési környezetének beállítása határozza meg a felhasználók által a csoporttagság/tulajdonjog aktiválásakor teljesítendő hitelesítési környezet követelményeit. A csoporttagság/tulajdonjog aktiválása után a felhasználók nem akadályozhatják meg, hogy egy másik böngészési munkamenetet, eszközt vagy helyet használjanak csoporttagság/tulajdonjog használatára.
Előfordulhat például, hogy a felhasználók intune-kompatibilis eszközt használnak a csoporttagság/tulajdonjog aktiválásához. Ezután a szerepkör aktiválása után bejelentkezhetnek ugyanahhoz a felhasználói fiókhoz egy másik, az Intune-nak nem megfelelő eszközről, és onnan használhatják a korábban aktivált csoport tulajdonjogát/tagságát.
A helyzet megelőzése érdekében a feltételes hozzáférési szabályzatok hatókörével közvetlenül kényszeríthet bizonyos követelményeket a jogosult felhasználók számára. Megkövetelheti például, hogy a bizonyos csoporttagságra/tulajdonjogra jogosult felhasználók mindig intune-kompatibilis eszközöket használjanak.
A feltételes hozzáférési hitelesítési környezettel kapcsolatos további információkért lásd : Feltételes hozzáférés: Felhőalkalmazások, műveletek és hitelesítési környezet.
Indoklás megkövetelése az aktiváláskor
A jogosult hozzárendelés aktiválásakor megkövetelheti, hogy a felhasználók üzleti indoklást adjanak meg.
Jegyadatok megkövetelése az aktiváláshoz
A jogosult hozzárendelés aktiválásakor megkövetelheti a felhasználóktól, hogy adjanak meg egy támogatási jegyet. Ez a beállítás csak tájékoztató jellegű mező. A jegyrendszer adataival való korreláció nincs kényszerítve.
Jóváhagyás megkövetelése az aktiváláshoz
Jóváhagyást kérhet egy jogosult hozzárendelés aktiválásához. A jóváhagyónak nem kell csoporttagnak vagy tulajdonosnak lennie. Ha ezt a beállítást használja, ki kell jelölnie legalább egy jóváhagyót. Javasoljuk, hogy válasszon legalább két jóváhagyót. Nincsenek alapértelmezett jóváhagyók.
A jóváhagyásokkal kapcsolatos további információkért lásd : A PIM aktiválási kérelmeinek jóváhagyása csoportok tagjainak és tulajdonosainak.
Hozzárendelés időtartama
Ha egy szerepkör beállításait konfigurálja, az egyes hozzárendeléstípusokhoz két hozzárendelési időtartam közül választhat: jogosult és aktív. Ezek a beállítások lesznek az alapértelmezett maximális időtartamok, amikor egy felhasználó hozzá van rendelve a Privileged Identity Management szerepköréhez.
Ezek közül a jogosult hozzárendelési időtartamok közül választhat.
Beállítás | Leírás |
---|---|
Állandó jogosult hozzárendelés engedélyezése | Az erőforrás-rendszergazdák állandó jogosult hozzárendeléseket rendelhetnek hozzá. |
A jogosult hozzárendelés lejárata a | Az erőforrás-rendszergazdák megkövetelhetik, hogy minden jogosult hozzárendelésnek legyen egy megadott kezdési és befejezési dátuma. |
Az aktív hozzárendelés időtartamának egyikét is választhatja.
Beállítás | Leírás |
---|---|
Állandó aktív hozzárendelés engedélyezése | Az erőforrás-rendszergazdák állandó aktív hozzárendeléseket rendelhetnek hozzá. |
Az aktív hozzárendelés lejárata | Az erőforrás-rendszergazdák megkövetelhetik, hogy minden aktív hozzárendelésnek legyen egy megadott kezdési és befejezési dátuma. |
A megadott befejezési dátummal rendelkező hozzárendeléseket az erőforrás-rendszergazdák megújíthatják. Emellett a felhasználók önkiszolgáló kéréseket is kezdeményezhetnek a szerepkör-hozzárendelések meghosszabbításához vagy megújításához.
Többtényezős hitelesítés megkövetelése aktív hozzárendeléshez
Megkövetelheti, hogy egy rendszergazda vagy csoporttulajdonos többtényezős hitelesítést biztosíthasson, amikor aktív (nem jogosult) hozzárendelést hoz létre. A Privileged Identity Management nem tudja kikényszeríteni a többtényezős hitelesítést, ha a felhasználó a szerepkör-hozzárendelést használja, mert már aktív a szerepkörben a hozzárendelés időpontjától kezdve.
Előfordulhat, hogy egy rendszergazda vagy csoporttulajdonos nem kér többtényezős hitelesítést, ha erős hitelesítő adatokkal hitelesített, vagy többtényezős hitelesítést adott meg a munkamenet korábbi szakaszában.
Az aktív hozzárendelés indoklásának megkövetelése
Megkövetelheti, hogy a felhasználók üzleti indoklást adjanak meg, amikor aktív (nem jogosult) hozzárendelést hoznak létre.
A Szerepkör beállításai lap Értesítések lapján a Privileged Identity Management lehetővé teszi az értesítések fogadásának és az általuk kapott értesítések részletes szabályozását. Az alábbi lehetőségek állnak rendelkezésére:
- E-mailek kikapcsolása: Bizonyos e-maileket kikapcsolhat az alapértelmezett címzettek jelölőnégyzetének törlésével és a többi címzett törlésével.
- E-mailek korlátozása megadott e-mail-címekre: Kikapcsolhatja az alapértelmezett címzetteknek küldött e-maileket az alapértelmezett címzettek jelölőnégyzetének törlésével. Ezután más e-mail-címeket is hozzáadhat címzettként. Ha több e-mail-címet szeretne hozzáadni, különítse el őket pontosvesszővel (;).
- E-mailek küldése az alapértelmezett címzetteknek és több címzettnek: Az alapértelmezett címzettnek és egy másik címzettnek is küldhet e-maileket. Jelölje be az alapértelmezett címzett jelölőnégyzetet, és adja meg a többi címzett e-mail-címét.
- Csak kritikus e-mailek: Minden e-mail-típushoz bejelölheti a jelölőnégyzetet, hogy csak kritikus e-maileket fogadjon. A Privileged Identity Management továbbra is csak akkor küld e-maileket a megadott címzetteknek, ha az e-mail azonnali beavatkozást igényel. Nem aktiválódnak például azok az e-mailek, amelyek arra kérik a felhasználókat, hogy bővítsék a szerepkör-hozzárendelésüket. Azok az e-mailek aktiválódnak, amelyekhez a rendszergazdáknak jóvá kell hagyniuk a bővítménykérelmet.
Feljegyzés
A Privileged Identity Management egyik eseménye e-mail-értesítéseket hozhat létre több címzettnek – hozzárendelőknek, jóváhagyóknak vagy rendszergazdáknak. Az egy eseményre küldött értesítések maximális száma 1000. Ha a címzettek száma meghaladja az 1000-et – csak az első 1000 címzett kap e-mail-értesítést. Ez nem akadályozza meg, hogy más hozzárendelők, rendszergazdák vagy jóváhagyók a Microsoft Entra-azonosítóban és a Privileged Identity Managementben használják az engedélyeiket.
Szerepkör-beállítások kezelése a Microsoft Graph használatával
A csoportok szerepkörbeállításainak a Microsoft Graph PIM API-kkal történő kezeléséhez használja az unifiedRoleManagementPolicy erőforrástípust és annak kapcsolódó módszereit.
A Microsoft Graphban a szerepkör-beállításokat szabályoknak nevezzük. Tárolószabályzatokkal vannak hozzárendelve a csoportokhoz. Lekérheti a csoportra és az egyes szabályzatokra vonatkozó összes szabályzatot. Lekérdezési paraméterrel lekérheti a kapcsolódó szabálygyűjteményt $expand
. A kérés szintaxisa a következő:
GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules
A szerepkör-beállítások a Microsoft Graph PIM API-kkal való kezelésével kapcsolatos további információkért tekintse meg a szerepkör-beállításokat és a PIM-et. Példák a szabályok frissítésére: Szabályok frissítése a PIM-ben a Microsoft Graph használatával.
Következő lépések
Jogosultság hozzárendelése csoporthoz a Privileged Identity Managementben
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: