Privileged Identity Management (PIM) dla grup
Microsoft Entra ID umożliwia przyznawanie użytkownikom członkostwa just in time i własności grup za pomocą usługi Privileged Identity Management (PIM) dla grup. Grupy mogą służyć do kontrolowania dostępu do różnych scenariuszy, w tym ról firmy Microsoft, ról platformy Azure, usługi Azure SQL, usługi Azure Key Vault, usługi Intune, innych ról aplikacji i aplikacji innych firm.
Co to jest usługa PIM dla grup?
Usługa PIM for Groups jest częścią usługi Microsoft Entra Privileged Identity Management — wraz z rolami PIM dla firmy Microsoft Entra i usługą PIM dla zasobów platformy Azure usługa PIM dla grup umożliwia użytkownikom aktywowanie własności lub członkostwa w grupie zabezpieczeń Microsoft Entra lub grupie platformy Microsoft 365. Grupy mogą służyć do zarządzania dostępem do różnych scenariuszy, w tym ról firmy Microsoft, ról platformy Azure, usługi Azure SQL, usługi Azure Key Vault, usługi Intune, innych ról aplikacji i aplikacji innych firm.
Za pomocą usługi PIM dla grup można używać zasad podobnych do tych, które są używane w usłudze PIM dla ról firmy Microsoft Entra i PIM dla zasobów platformy Azure: możesz wymagać zatwierdzenia aktywacji członkostwa lub własności, wymusić uwierzytelnianie wieloskładnikowe (MFA), wymagać uzasadnienia, ograniczenia maksymalnego czasu aktywacji i nie tylko. Każda grupa w usłudze PIM dla grup ma dwie zasady: jedną na potrzeby aktywacji członkostwa, a drugą do aktywacji własności w grupie. Do stycznia 2023 r. funkcja PIM dla grup nosi nazwę "Uprzywilejowane grupy dostępu".
Uwaga
W przypadku grup używanych do uzyskiwania uprawnień do ról firmy Microsoft Entra zalecamy wymaganie procesu zatwierdzania kwalifikujących się przypisań członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić cię podatnym na ryzyko bezpieczeństwa ze strony mniej uprzywilejowanych administratorów. Na przykład Administracja istrator pomocy technicznej ma uprawnienia do resetowania haseł uprawnionych użytkowników.
Co to są grupy możliwe do przypisania ról firmy Microsoft?
Podczas pracy z identyfikatorem Entra firmy Microsoft możesz przypisać grupę zabezpieczeń firmy Microsoft lub grupę platformy Microsoft 365 do roli Microsoft Entra. Jest to możliwe tylko w przypadku grup, które są tworzone jako możliwe do przypisania roli.
Aby dowiedzieć się więcej o grupach z możliwością przypisywania ról w usłudze Microsoft Entra, zobacz Tworzenie grupy z możliwością przypisywania ról w usłudze Microsoft Entra ID.
Grupy z możliwością przypisywania ról korzystają z dodatkowych zabezpieczeń w porównaniu z grupami, które nie można przypisać do ról:
- Grupy z możliwością przypisywania ról — tylko administrator globalny Administracja, rola uprzywilejowana Administracja istrator lub właściciel grupy może zarządzać grupą. Ponadto żaden inny użytkownik nie może zmienić poświadczeń użytkowników, którzy są (aktywni) członkami grupy. Ta funkcja pomaga uniemożliwić administratorowi podniesienie uprawnień do wyższej roli uprzywilejowanej bez przechodzenia przez procedurę żądania i zatwierdzania.
- Grupy nieprzypisania ról — różne role firmy Microsoft Entra mogą zarządzać tymi grupami, w tym Administracja istratorami programu Exchange, grupami Administracja istratorami, Administracja istratorami użytkowników itp. Ponadto różne role firmy Microsoft Entra role mogą zmieniać poświadczenia użytkowników, którzy są (aktywni) członkami grupy — w tym uwierzytelnianie Administracja istratorów, Administracja istratorów pomocy technicznej, Administracja istratorów użytkowników itp.
Aby dowiedzieć się więcej o wbudowanych rolach firmy Microsoft i ich uprawnieniach, zobacz Wbudowane role firmy Microsoft Entra.
Funkcja grupy z możliwością przypisywania ról firmy Microsoft nie jest częścią usługi Microsoft Entra Privileged Identity Management (Microsoft Entra PIM). Aby uzyskać więcej informacji na temat licencjonowania, zobacz podstawy licencjonowania Zarządzanie tożsamością Microsoft Entra .
Relacja między grupami z możliwością przypisywania ról a usługą PIM dla grup
Grupy w identyfikatorze Entra firmy Microsoft można klasyfikować jako możliwe do przypisania ról lub nieprzypisania ról. Ponadto można włączyć dowolną grupę lub nie można jej używać z usługą Microsoft Entra Privileged Identity Management (PIM) dla grup. Są to niezależne właściwości grupy. W usłudze PIM dla grup można włączyć dowolną grupę zabezpieczeń firmy Microsoft Entra i dowolną grupę platformy Microsoft 365 (z wyjątkiem grup dynamicznych i grup synchronizowanych ze środowiska lokalnego). Grupa nie musi być grupą z możliwością przypisywania ról, która ma być włączona w usłudze PIM dla grup.
Jeśli chcesz przypisać rolę Entra firmy Microsoft do grupy, musi ona być przypisana do roli. Nawet jeśli nie zamierzasz przypisywać roli Firmy Microsoft Entra do grupy, ale grupa zapewnia dostęp do poufnych zasobów, nadal zaleca się rozważenie utworzenia grupy jako możliwej do przypisania roli. Jest to spowodowane dodatkowymi zabezpieczeniami grup z możliwością przypisywania ról — zobacz "Co to są grupy z możliwością przypisania ról firmy Microsoft?" w powyższej sekcji.
Ważne
Do stycznia 2023 r. wymagane było, aby każda grupa uprzywilejowanego dostępu (była nazwa tej funkcji PIM dla grup) musiała być grupą z możliwością przypisywania ról. To ograniczenie jest obecnie usuwane. Z tego powodu można teraz włączyć więcej niż 500 grup na dzierżawę w usłudze PIM, ale tylko do 500 grup może być przypisywanych do ról.
Tworzenie grupy użytkowników uprawnionych do roli Entra firmy Microsoft
Istnieją dwa sposoby, aby grupa użytkowników kwalifikowała się do roli Microsoft Entra:
- Przypisz aktywne przypisania użytkowników do grupy, a następnie przypisz grupę do roli kwalifikującej się do aktywacji.
- Przypisz aktywną rolę do grupy i przypisz użytkowników, aby kwalifikowali się do członkostwa w grupie.
Aby zapewnić grupie użytkowników z dostępem just in time do ról firmy Microsoft Entra z uprawnieniami w programach SharePoint, Exchange lub Security & portal zgodności Microsoft Purview (na przykład rola Exchange Administracja istrator), pamiętaj, aby aktywne przypisania użytkowników do grupy, a następnie przypisać grupę do roli kwalifikującej się do aktywacji (opcja 1 powyżej). Jeśli zdecydujesz się na aktywne przypisanie grupy do roli i przypiszesz użytkownikom uprawnienia do członkostwa w grupie, może upłynąć dużo czasu, aby wszystkie uprawnienia roli zostały aktywowane i gotowe do użycia.
Privileged Identity Management i zagnieżdżanie grup
W identyfikatorze Entra firmy Microsoft grupy z możliwością przypisania ról nie mogą mieć innych grup zagnieżdżonych wewnątrz nich. Aby dowiedzieć się więcej, zobacz Zarządzanie przypisaniami ról przy użyciu grup entra firmy Microsoft. Ma to zastosowanie do aktywnego członkostwa: jedna grupa nie może być aktywnym członkiem innej grupy, która można przypisać rolę.
Jedna grupa może być uprawnionym członkiem innej grupy, nawet jeśli jedna z tych grup jest przypisana do roli.
Jeśli użytkownik jest aktywnym członkiem grupy A, a grupa A jest uprawnionym członkiem grupy B, użytkownik może aktywować swoje członkostwo w grupie B. Ta aktywacja dotyczy tylko użytkownika, dla którego zażądano aktywacji, nie oznacza to, że cała grupa A staje się aktywnym członkiem grupy B.
Privileged Identity Management i aprowizacja aplikacji
Jeśli grupa jest skonfigurowana na potrzeby aprowizacji aplikacji, aktywacja członkostwa w grupie spowoduje wyzwolenie aprowizacji członkostwa w grupie (i samego konta użytkownika, jeśli nie zostało to wcześniej zainicjowane) do aplikacji przy użyciu protokołu SCIM.
W publicznej wersji zapoznawczej mamy funkcję, która wyzwala aprowizowanie bezpośrednio po aktywowaniu członkostwa w grupie w usłudze PIM. Konfiguracja aprowizacji zależy od aplikacji. Ogólnie rzecz biorąc, zalecamy przypisanie co najmniej dwóch grup do aplikacji. W zależności od liczby ról w aplikacji można zdefiniować dodatkowe "uprzywilejowane grupy":
| Grupuj | Purpose | Elementy członkowskie | Członkostwo w grupie | Rola przypisana w aplikacji |
|---|---|---|---|---|
| Grupa wszystkich użytkowników | Upewnij się, że wszyscy użytkownicy, którzy potrzebują dostępu do aplikacji, są stale aprowizowani w aplikacji. | Wszyscy użytkownicy, którzy muszą uzyskiwać dostęp do aplikacji. | Aktywne | Brak lub rola z niskimi uprawnieniami |
| Grupa uprzywilejowana | Zapewnij dostęp just in time do roli uprzywilejowanej w aplikacji. | Użytkownicy, którzy muszą mieć dostęp just in time do uprzywilejowanej roli w aplikacji. | Uprawnieni | Rola uprzywilejowana |
Najważniejsze zagadnienia
- Jak długo trwa aprowizowania użytkownika w aplikacji?
- Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM):
- Członkostwo w grupie jest aprowizowane w aplikacji podczas następnego cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut.
- Gdy użytkownik aktywuje członkostwo w grupie w usłudze Microsoft Entra PIM:
- Członkostwo w grupie jest aprowidowane w ciągu 2–10 minut. Gdy jednocześnie występuje duża liczba żądań, żądania są ograniczane w tempie pięciu żądań na 10 sekund.
- Dla pierwszych pięciu użytkowników w ciągu 10 sekund aktywowania członkostwa w grupie dla określonej aplikacji członkostwo w grupie jest aprowizowane w aplikacji w ciągu 2–10 minut.
- W przypadku szóstego użytkownika i powyżej w ciągu 10 sekund aktywowania członkostwa w grupie dla określonej aplikacji członkostwo w grupie jest aprowizowane do aplikacji w następnym cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut. Limity ograniczania przepływności dotyczą aplikacji dla przedsiębiorstw.
- Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra Privileged Identity Management (PIM):
- Jeśli użytkownik nie może uzyskać dostępu do niezbędnej grupy w aplikacji docelowej, przejrzyj dzienniki usługi PIM i dzienniki aprowizacji, aby upewnić się, że członkostwo w grupie zostało pomyślnie zaktualizowane. W zależności od tego, jak aplikacja docelowa została zaprojektowana, może upłynąć dodatkowy czas na zastosowanie członkostwa w grupie w aplikacji.
- Za pomocą usługi Azure Monitor klienci mogą tworzyć alerty dotyczące niepowodzeń.