Wat is Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) is een service in Azure Active Directory (Azure AD) waarmee u toegang tot belangrijke resources in uw organisatie kunt beheren, controleren en bewaken. Deze resources omvatten resources in Azure AD, Azure en andere Microsoft-onlineservices, zoals Microsoft 365 of Microsoft Intune. In de volgende video kunt u kennismaken met belangrijke PIM-concepten en -functies.

Redenen voor gebruik

Organisaties willen het aantal personen dat toegang heeft tot beveiligde informatie of resources minimaliseren, omdat dat de kans op

  • een kwaadwillende actor die toegang krijgt
  • een geautoriseerde gebruiker per ongeluk van invloed is op een gevoelige resource

Gebruikers moeten echter wel bevoorrechte bewerkingen kunnen uitvoeren in Azure AD, Azure, Microsoft 365 of SaaS-apps. Organisaties kunnen gebruikers Just-In-Time bevoegde toegang geven tot Azure- en Azure AD-resources en kunnen toezicht houden op wat deze gebruikers doen met hun bevoegde toegang.

Licentievereisten

Voor het gebruik van deze functie zijn Azure AD Premium P2 licenties vereist. Zie Algemeen beschikbare functies van Azure AD vergelijken als u een licentie zoekt die bij uw vereisten past.

Zie Licentievereisten voor het gebruik van Privileged Identity Management voor informatie over licenties voor gebruikers.

Wat doet het?

Privileged Identity Management biedt op tijd en goedkeuring gebaseerde rolactiveringen om de risico's van buitensporige, onnodige of verkeerd gebruikte toegangsmachtigingen te beperken voor resources die u belangrijk vindt. Hier volgen enkele van de belangrijkste functies van Privileged Identity Management:

  • Bevoorrechte JIT-toegang (Just-In-Time) bieden aan Azure Active Directory- en Azure-resources
  • Tijdsgebonden toegang bieden aan resources met behulp van begin- en einddatums
  • Goedkeuring vereisen om bevoorrechte rollen te activeren
  • Meervoudige verificatie afdwingen om een rol te activeren
  • Gebruikmaken van redenen om te begrijpen waarom gebruikers activeren
  • Meldingen ontvangen wanneer bevoorrechte rollen zijn geactiveerd
  • Toegangsbeoordelingen uitvoeren om te controleren of gebruikers rollen nog steeds nodig hebben
  • Controlegeschiedenis downloaden voor interne of externe controle
  • Hiermee voorkomt u dat de roltoewijzingen van de laatste actieve globale beheerder en rolbeheerder met bevoegdheden worden verwijderd

Wat kan ik ermee doen?

Zodra u Privileged Identity Management hebt ingesteld, ziet u de opties Taken, Beheren en Activiteit in het navigatiemenu links. Als beheerder kunt u kiezen uit opties zoals het beheren van Azure AD-rollen, het beheren van Azure-resource-rollen of groepen met uitgebreide toegang. Wanneer u hebt gekozen wat u wilt beheren, ziet u de juiste set opties voor die optie.

Schermopname van Privileged Identity Management in het Azure Portal.

Wie kan wat doen?

Voor Azure AD rollen in Privileged Identity Management kan alleen een gebruiker met de rol Beheerder voor bevoorrechte rollen of globale beheerder toewijzingen voor andere beheerders beheren. Globale beheerders, beveiligingsbeheerders, globale lezers en beveiligingslezers kunnen ook toewijzingen bekijken voor het Azure AD rollen in Privileged Identity Management.

Voor rollen voor Azure-resources in Privileged Identity Management geldt dat alleen een abonnementsbeheerder, een resource-eigenaar of een beheerder voor gebruikerstoegang tot resources toewijzingen voor andere beheerders kan beheren. Gebruikers die bevoorrechte rolbeheerders, beveiligingsbeheerders of beveiligingslezers zijn, hebben standaard geen toegang tot toewijzingen aan Azure-resourcerollen in Privileged Identity Management.

Terminologie

Bekijk de volgende terminologie voor een beter begrip van Privileged Identity Management en de bijbehorende documentatie.

Term of concept Roltoewijzingscategorie Beschrijving
in aanmerking komend Type Een roltoewijzing die vereist dat een gebruiker een of meer acties uitvoert om de rol te kunnen gebruiken. Als een gebruiker in aanmerking komt voor een rol, betekent dit dat de gebruiker de rol kan activeren wanneer deze nodig is om bevoegde taken uit te voeren. Er is geen verschil in de toegang voor iemand met een permanente roltoewijzing ten opzichte van iemand die in aanmerking komt voor een roltoewijzing. Het enige verschil is dat sommige gebruikers niet voortdurend toegang nodig hebben.
actief Type Een roltoewijzing die niet vereist dat een gebruiker een actie uitvoert om de rol te kunnen gebruiken. Gebruikers die zijn toegewezen als actief zijn in het bezit van de bevoegdheden die zijn toegewezen aan de rol.
activeren Het proces van het uitvoeren van een of meer acties om de rol te kunnen gebruiken waarvoor de gebruiker in aanmerking komt. Acties kunnen bijvoorbeeld een meervoudige verificatiecontrole, het opgeven van een zakelijke reden of het vragen om toestemming bij aangewezen fiatteurs zijn.
toegewezen Status Een gebruiker met een actieve roltoewijzing.
geactiveerd Status Een gebruiker die in aanmerking komt voor een roltoewijzing, de acties voor het activeren van de rol heeft uitgevoerd en nu actief is. Zodra deze is geactiveerd, kan de gebruiker de rol gebruiken voor een vooraf geconfigureerde periode voordat deze opnieuw moet worden geactiveerd.
permanent in aanmerking komend Duur Een roltoewijzing waarbij een gebruiker altijd in aanmerking komt om de rol te activeren.
permanent actief Duur Een roltoewijzing waarbij een gebruiker de rol altijd kan gebruiken zonder acties te hoeven uitvoeren.
tijdsgebonden in aanmerking komende Duur Een roltoewijzing waarbij een gebruiker in aanmerking komt om de rol alleen binnen de begin- en einddatum te activeren.
tijdgebonden actief Duur Een roltoewijzing waarbij een gebruiker de rol alleen binnen begin- en einddatums kan gebruiken.
Just-in-time-toegang (JIT) Een model waarbij gebruikers tijdelijke machtigingen ontvangen om bepaalde taken uit te mogen voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang kunnen krijgen na het verlopen van deze machtigingen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben.
Principe van toegang met minimale bevoegdheden Een aanbevolen beveiligingspraktijk waarin elke gebruiker alleen de minimale bevoegdheden heeft die nodig zijn om de taken uit te voeren die ze mogen uitvoeren. Met deze procedure wordt het aantal globale beheerders tot het minimum beperkt en worden er specifieke beheerdersrollen gebruikt voor bepaalde scenario's.

Overzicht van roltoewijzing

De PIM-roltoewijzingen bieden u een veilige manier om toegang te verlenen tot resources in uw organisatie. In deze sectie wordt het toewijzingsproces beschreven. Het omvat rollen toewijzen aan leden, toewijzingen activeren, aanvragen goedkeuren of weigeren, toewijzingen uitbreiden en vernieuwen.

PIM houdt u op de hoogte door u en andere deelnemers e-mailmeldingen te sturen. Deze e-mailberichten bevatten mogelijk ook koppelingen naar relevante taken, zoals het activeren, goedkeuren of weigeren van een aanvraag.

In de volgende schermopname ziet u een e-mailbericht dat door PIM is verzonden. In de e-mail wordt Patti geïnformeerd dat Alex een roltoewijzing heeft bijgewerkt voor Emily.

Schermopname van een e-mailbericht dat is verzonden door Privileged Identity Management.

Toewijzen

Het toewijzingsproces begint met het toewijzen van rollen aan leden. Om toegang te verlenen tot een resource, wijst de beheerder rollen toe aan gebruikers, groepen, service-principals of beheerde identiteiten. De toewijzing bevat de volgende gegevens:

  • De leden of eigenaren om de rol toe te wijzen.
  • Het bereik van de toewijzing. Het bereik beperkt de toegewezen rol tot een bepaalde set resources.
  • Het type toewijzing
    • Voor in aanmerking komende toewijzingen moet het lid van de rol een actie uitvoeren om de rol te gebruiken. Acties kunnen activering omvatten of goedkeuring aanvragen van aangewezen fiatteurs.
    • Voor actieve toewijzingen hoeft het lid geen actie uit te voeren om de rol te gebruiken. Leden die als actief zijn toegewezen, hebben de bevoegdheden toegewezen aan de rol.
  • De duur van de opdracht, met behulp van begin- en einddatums of permanent. Voor in aanmerking komende toewijzingen kunnen de leden goedkeuring activeren of aanvragen tijdens de begin- en einddatum. Voor actieve toewijzingen kunnen de leden gedurende deze periode de rol toewijzen.

In de volgende schermopname ziet u hoe de beheerder een rol toewijst aan leden.

Schermopname van Privileged Identity Management roltoewijzing.

Raadpleeg de volgende artikelen voor meer informatie: Wijs Azure AD rollen toe, Wijs Azure-resourcerollen toe en wijs geschiktheid toe voor een bevoegde toegangsgroep

Activate

Als gebruikers in aanmerking komen voor een rol, moeten ze de roltoewijzing activeren voordat ze de rol gebruiken. Om de rol te activeren, selecteren gebruikers specifieke activeringsduur binnen het maximum (geconfigureerd door beheerders) en de reden voor de activeringsaanvraag.

In de volgende schermopname ziet u hoe leden hun rol in een beperkte tijd activeren.

Schermopname van Privileged Identity Management rolactivering.

Als voor de rol goedkeuring is vereist om te activeren, wordt in de rechterbovenhoek van de browser van de gebruiker een melding weergegeven waarin wordt opgegeven dat de aanvraag in behandeling is. Als een goedkeuring niet vereist is, kan het lid de rol gaan gebruiken.

Raadpleeg de volgende artikelen voor meer informatie: Activeer Azure AD rollen, Activeer mijn Azure-resourcerollen en activeer mijn bevoorrechte toegangsgroepsrollen

Goedkeuren of weigeren

Gedelegeerde fiatteurs ontvangen e-mailmeldingen wanneer een rolaanvraag in behandeling is voor goedkeuring. Goedkeurders kunnen deze aanvragen in PIM bekijken, goedkeuren of weigeren. Nadat de aanvraag is goedgekeurd, kan het lid de rol gaan gebruiken. Als een gebruiker of groep bijvoorbeeld is toegewezen met de rol Bijdrage aan een resourcegroep, kunnen ze die specifieke resourcegroep beheren.

Raadpleeg de volgende artikelen voor meer informatie: Aanvragen voor Azure AD rollen goedkeuren of weigeren, aanvragen voor Azure-resourcerollen goedkeuren of weigeren en activeringsaanvragen goedkeuren voor bevoegde toegangsgroep

Toewijzingen uitbreiden en vernieuwen

Nadat beheerders tijdgebonden eigenaar- of lidtoewijzingen hebben ingesteld, is de eerste vraag die u kunt stellen wat er gebeurt als een toewijzing verloopt? In deze nieuwe versie bieden we twee opties voor dit scenario:

  • Uitbreiden: wanneer een roltoewijzing bijna verloopt, kan de gebruiker Privileged Identity Management gebruiken om een extensie aan te vragen voor de roltoewijzing
  • Verlengen: wanneer een roltoewijzing al is verlopen, kan de gebruiker Privileged Identity Management gebruiken om een verlenging voor de roltoewijzing aan te vragen

Voor beide door de gebruiker geïnitieerde acties is een goedkeuring vereist van een globale beheerder of beheerder van een bevoorrechte rol. Beheerders hoeven zich niet in het bedrijf te bevinden om toewijzingsverlooptijd te beheren. U kunt gewoon wachten totdat de verlengings- of verlengingsaanvragen worden ontvangen voor eenvoudige goedkeuring of weigering.

Raadpleeg de volgende artikelen voor meer informatie: Roltoewijzingen uitbreiden of vernieuwen Azure AD,Azure-resourceroltoewijzingen uitbreiden of vernieuwen, en Uitgebreide of verlengen bevoegde toegangsgroeptoewijzingen uitbreiden of vernieuwen

Scenario's

Privileged Identity Management ondersteunt de volgende scenario's:

Beheerdersmachtigingen voor bevoorrechte rollen

  • Goedkeuring voor specifieke rollen inschakelen
  • Gebruikers of groepen toewijzen als fiatteur om aanvragen goed te keuren
  • De geschiedenis van aanvragen en goedkeuringen bekijken voor alle bevoorrechte rollen

Machtigingen van fiatteurs

  • Goedkeuringen in behandeling (aanvragen) bekijken
  • Aanvragen voor rolverhoging goedkeuren of afwijzen (afzonderlijk en bulksgewijs)
  • De reden voor de goedkeuring of afwijzing opgeven

Gebruikersmachtigingen van in aanmerking komende rollen

  • Activering van een rol waarvoor goedkeuring nodig is, aanvragen
  • De status van uw aanvraag voor activeren bekijken
  • Uw taak voltooien in Azure AD als de activering is goedgekeurd

Bevoegde toegang beheren Azure AD groepen (preview)

In Privileged Identity Management (PIM) kunt u nu de geschiktheid voor lidmaatschap of eigendom van groepen met uitgebreide toegang toewijzen. Met deze preview-versie kunt u ingebouwde Azure AD-rollen (Azure Active Directory) toewijzen aan cloudgroepen en PIM gebruiken voor het beheren van de geschiktheid en activering van groepsleden en eigenaren. Zie Azure AD-groepen gebruiken om roltoewijzingen te beheren voor meer informatie over groepen waarin in Azure AD rollen kunnen worden toegewezen.

Belangrijk

Als u een bevoorrechte toegangsgroep wilt toewijzen aan een rol voor beheerderstoegang tot Exchange, Security & Compliance Center of SharePoint, gebruikt u de Azure AD portalrollen en beheerderservaring en niet in de ervaring Privileged Access Groups om de gebruiker of groep in aanmerking te brengen voor activering in de groep.

Verschillende Just-In-Time-beleidsregels voor elke groep

Sommige organisaties gebruiken hulpprogramma's zoals samenwerking via Azure AD Business-to-Business (B2B) om hun partners uit te nodigen als gasten in hun Azure AD-organisatie. In plaats van slechts één Just-In-Time-beleid voor alle toewijzingen aan een bevoorrechte rol, kunt u twee verschillende groepen met uitgebreide toegang maken, met elk hun eigen beleid. U kunt minder strikte vereisten afdwingen voor uw vertrouwde medewerkers en strengere vereisten, zoals een goedkeuringswerkstroom voor uw partners, wanneer ze activering aanvragen in hun toegewezen groep.

Meerdere roltoewijzingen in één aanvraag activeren

Met de preview voor groepen met uitgebreide toegang kunt u workloadspecifieke beheerders snelle toegang geven tot meerdere rollen met één Just-In-Time-aanvraag. Stelt u zich voor dat uw beheerders uit laag 3 Just-In-Time-toegang nodig hebben tot de rollen Exchange-beheerder, Office Apps-beheerder, Team-beheerder en Zoekbeheerder om incidenten dagelijks grondig te onderzoeken. Vóór vandaag zouden hiervoor vier opeenvolgende aanvragen nodig zijn. Dit is een proces dat enige tijd in beslag neemt. In plaats daarvan kunt u een groep maken met de naam 'Office-beheerders laag 3' waaraan rollen kunnen worden toegewezen, deze toewijzen aan elk van de vier eerder genoemde rollen (of ingebouwde rollen van Azure AD) en deze inschakelen voor bevoegde toegang in de sectie Activiteit van de groep. Wanneer bevoegde toegang eenmaal is ingeschakeld, kunt u de Just-In-Time-instellingen voor leden van de groep configureren en uw beheerders en eigenaren toewijzen als hiervoor in aanmerking komend. Wanneer het lidmaatschap van de beheerders wordt verhoogd naar de groep, worden ze lid van alle vier de Azure AD-rollen.

Gastgebruikers uitnodigen en Azure-resourcerollen toewijzen in Privileged Identity Management

Gastgebruikers van Azure Active Directory (Azure AD) maken deel uit van de B2B-samenwerkingsmogelijkheden (business-to-business) binnen Azure AD, zodat u externe gastgebruikers en leveranciers als gasten in Azure AD kunt beheren. U kunt deze Privileged Identity Management functies bijvoorbeeld gebruiken voor Azure-identiteitstaken met gasten, zoals het toewijzen van toegang tot specifieke Azure-resources, het opgeven van de toewijzingsduur en einddatum, of het vereisen van verificatie in twee stappen bij actieve toewijzing of activering. Zie B2B-samenwerkingsgebruikers toevoegen in de Azure AD-portal voor meer informatie over het uitnodigen van een gast voor uw organisatie en het beheren van hun toegang.

Wanneer zou u gasten uitnodigen?

Hier volgen enkele voorbeelden van wanneer u gasten kunt uitnodigen voor uw organisatie:

  • Hiermee staat u een externe zelfstandige leverancier toe die alleen een e-mailaccount heeft voor toegang tot uw Azure-resources voor een project.
  • Sta een externe partner in een grote organisatie toe die gebruikmaakt van on-premises Active Directory Federation Services om toegang te krijgen tot uw onkostentoepassing.
  • Sta ondersteuningstechnici in uw organisatie (zoals Microsoft-ondersteuning) toe om tijdelijk toegang te krijgen tot uw Azure-resource om problemen op te lossen.

Hoe werkt samenwerking met B2B-gasten?

Wanneer u B2B-samenwerking gebruikt, kunt u een externe gebruiker uitnodigen voor uw organisatie als gast. De gast kan worden beheerd als een gebruiker in uw organisatie, maar een gast moet worden geverifieerd in hun thuisorganisatie en niet in uw Azure AD organisatie. Dit betekent dat als de gast geen toegang meer heeft tot hun thuisorganisatie, ze ook geen toegang meer hebben tot uw organisatie. Als de gast bijvoorbeeld de organisatie verlaat, hebben ze automatisch geen toegang meer tot resources die u met hen hebt gedeeld in Azure AD zonder dat u iets hoeft te doen. Zie Wat is gastgebruikerstoegang in Azure Active Directory B2B?voor meer informatie over B2B-samenwerking.

Diagram waarin wordt getoond hoe een gastgebruiker wordt geverifieerd in de basismap

Volgende stappen