A Privileged Identity Management képességeinek ismertetése

  • 5 perc

A Privileged Identity Management (PIM) a Microsoft Entra ID szolgáltatása, amely lehetővé teszi a szervezet fontos erőforrásaihoz való hozzáférés kezelését, ellenőrzését és monitorozását. Ezek közé tartoznak a Microsoft Entra, az Azure és más Microsoft online szolgáltatások, például a Microsoft 365 vagy a Microsoft Intune erőforrásai. A PIM csökkenti a túlzott, szükségtelen vagy helytelen hozzáférési engedélyek kockázatát. Indoklást igényel annak megértéséhez, hogy a felhasználók miért igényelnek engedélyeket, és kényszeríti a többtényezős hitelesítést a szerepkörök aktiválásához.

A PIM a következő:

  • Csak időben, emelt szintű hozzáférést csak akkor, ha szükséges, és nem korábban.
  • Időkorlát, a kezdő és a záró dátum hozzárendelésével, amely jelzi, hogy a felhasználó mikor férhet hozzá az erőforrásokhoz.
  • Jóváhagyáson alapuló, a jogosultságok aktiválásához konkrét jóváhagyást igényel.
  • Látható, értesítések küldése a kiemelt szerepkörök aktiválásakor.
  • Naplózható, amely lehetővé teszi a teljes hozzáférési előzmények letöltését.

Miért érdemes PIM-et használni?

A PIM csökkenti a rosszindulatú szereplők hozzáférésének esélyét azáltal, hogy minimalizálja azon személyek számát, akik hozzáféréssel rendelkeznek a biztonságos információkhoz vagy erőforrásokhoz. Az engedélyezett felhasználók időkorlátozásával csökkenti annak a kockázatát, hogy egy jogosult felhasználó véletlenül érzékeny erőforrásokat érint. A PIM emellett felügyeli, hogy a felhasználók mit csinálnak a rendszergazdai jogosultságokkal.

Mit tehet a PIM-sel?

Ma a PIM-et a következőkkel használhatja:

  • Microsoft Entra-szerepkörök – Más néven címtárszerepkörök, a Microsoft Entra-szerepkörök beépített és egyéni szerepköröket tartalmaznak a Microsoft Entra ID és más Microsoft 365 online szolgáltatások kezeléséhez.

  • Azure-szerepkörök – Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörei, amelyek hozzáférést biztosítanak a felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz és erőforrásokhoz.

  • PIM csoportokhoz – Biztosítson igény szerint tagságot a csoportban, és a csoport igény szerint tulajdonjogát. A Csoportokhoz készült Microsoft Entra Privileged Identity Management funkcióval szabályozható a hozzáférés a microsoft entrai szerepkörökhöz, az Azure-szerepkörökhöz, valamint az Azure SQL-hez, az Azure Key Vaulthoz, az Intune-hoz, az egyéb alkalmazásszerepkörökhöz és a külső alkalmazásokhoz.

Általános munkafolyamat

A PIM telepítésekor néhány lépés általában egy alapszintű munkafolyamat része. Ezek a lépések a következők: hozzárendelés, aktiválás, jóváhagyás/megtagadás és meghosszabbítás/megújítás.

  • Hozzárendelés – A hozzárendelési folyamat a szerepkörök tagokhoz való hozzárendelésével kezdődik. Az erőforrásokhoz való hozzáférés biztosításához a rendszergazda szerepköröket rendel a felhasználókhoz, csoportokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz. A hozzárendelés a következő adatokat tartalmazza:

    • Tagok vagy tulajdonosok – A szerepkörhöz hozzárendelendő tagok vagy tulajdonosok.
    • Hatókör – A hatókör egy adott erőforráskészletre korlátozza a hozzárendelt szerepkört.
    • Hozzárendelés típusa – Két lehetőség közül választhat. A jogosult hozzárendelésekhez a szerepkör tagjának végre kell hajtania egy műveletet a szerepkör használatához. A műveletek közé tartozhat az aktiválás vagy a kijelölt jóváhagyók jóváhagyásának kérése. Az aktív hozzárendelésekhez nem szükséges, hogy a tag bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt tagok rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
    • Időtartam – A hozzárendelés időtartamát kezdő és záró dátumok határozzák meg, vagy állandó értékre van állítva.

    Screen capture showing the assignment step.

  • Aktiválás – Ha a felhasználók jogosulttá lettek egy szerepkörre, a szerepkör használata előtt aktiválniuk kell a szerepkör-hozzárendelést. A szerepkör aktiválásához a felhasználók kiválasztják a maximális (rendszergazdák által konfigurált) aktiválási időtartamot és az aktiválási kérelem okát.

    Screen capture showing the activation step.

  • Jóváhagyás vagy megtagadás – A delegált jóváhagyók e-mail-értesítéseket kapnak, ha egy szerepkör-kérés jóváhagyásra vár. A jóváhagyók megtekinthetik, jóváhagyhatják vagy elutasíthatják ezeket a függőben lévő kéréseket a PIM-ben. A kérelem jóváhagyása után a tag megkezdheti a szerepkör használatát.

    Screen capture showing the approve or deny step.

  • Meghosszabbítás és megújítás – Amikor egy szerepkör-hozzárendelés lejár, a felhasználó a PIM használatával kérheti a szerepkör-hozzárendelés bővítményét. Ha egy szerepkör-hozzárendelés már lejárt, a felhasználó a Privileged Identity Management használatával kérheti a szerepkör-hozzárendelés megújítását.

    Screen capture showing the option to extend an assignment.

Audit

A Privileged Identity Management (PIM) naplózási előzményeivel megtekintheti az összes szerepkör-hozzárendelést és aktiválást az elmúlt 30 napban az összes kiemelt szerepkör esetében.

Screen capture showing the PIM audit history.