Co to jest usługa Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) to usługa w usłudze Azure Active Directory (Azure AD), która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji. Te zasoby obejmują zasoby w usługach Azure AD, Azure i innych usługach online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune. W poniższym filmie wideo wyjaśniono ważne pojęcia i funkcje usługi PIM.

Powody do użycia

Organizacje chcą zminimalizować liczbę osób, które mają dostęp do bezpiecznych informacji lub zasobów, ponieważ zmniejsza to prawdopodobieństwo

  • złośliwy aktor uzyskujący dostęp
  • autoryzowanego użytkownika przypadkowo wpływającego na poufny zasób

Jednak użytkownicy nadal muszą wykonywać operacje uprzywilejowane w usługach Azure AD, Azure, Microsoft 365 lub SaaS. Organizacje mogą zapewnić użytkownikom uprzywilejowany dostęp do zasobów platformy Azure i usługi Azure AD oraz nadzorować, co ci użytkownicy robią z uprzywilejowanym dostępem.

Wymagania licencyjne

Korzystanie z tej funkcji wymaga licencji usługi Azure AD Premium P2. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Azure Ad.

Aby uzyskać informacje o licencjach dla użytkowników, zobacz Wymagania licencyjne dotyczące korzystania z usługi Privileged Identity Management.

Co to robi?

Usługa Privileged Identity Management zapewnia aktywację roli opartą na czasie i zatwierdzaniu, aby ograniczyć ryzyko nadmiernego, niepotrzebnego lub nieprawidłowego dostępu do zasobów, które cię interesują. Oto niektóre z kluczowych funkcji usługi Privileged Identity Management:

  • Zapewnianie dostępu uprzywilejowanego just-in-time do usługi Azure AD i zasobów platformy Azure
  • Przypisywanie czasowego dostępu do zasobów przy użyciu daty rozpoczęcia i zakończenia
  • Wymaganie zatwierdzenia aktywowania ról uprzywilejowanych
  • Wymuszanie uwierzytelniania wieloskładnikowego w celu aktywowania jakiejkolwiek roli
  • Używanie uzasadnień w celu uzyskania informacji, dlaczego użytkownicy aktywują role
  • Otrzymywanie powiadomień o aktywowaniu ról uprzywilejowanych
  • Przeprowadzanie przeglądów dostępu w celu upewnienia się, że użytkownicy nadal potrzebują ról
  • Pobieranie historii inspekcji w celu przeprowadzenia inspekcji wewnętrznej lub zewnętrznej
  • Zapobiega usuwaniu ostatnich aktywnych przypisań ról administratora globalnego i administratora ról uprzywilejowanych

Co mogę z tym zrobić?

Po skonfigurowaniu usługi Privileged Identity Management w menu nawigacji po lewej stronie zostaną wyświetlone opcje Zadania, Zarządzanie i Działanie . Jako administrator wybierzesz opcje, takie jak zarządzanie rolami usługi Azure AD, zarządzanie rolami zasobów platformy Azure lub uprzywilejowane grupy dostępu. Po wybraniu opcji, którą chcesz zarządzać, zobaczysz odpowiedni zestaw opcji dla tej opcji.

Zrzut ekranu usługi Privileged Identity Management w witrynie Azure Portal.

Kto może zrobić to, co?

W przypadku ról usługi Azure AD w usłudze Privileged Identity Management tylko użytkownik będący administratorem ról uprzywilejowanych lub administratorem globalnym może zarządzać przypisaniami dla innych administratorów. Administratorzy globalni, administratorzy zabezpieczeń, czytelnicy globalni i czytelnicy zabezpieczeń mogą również wyświetlać przypisania do ról usługi Azure AD w usłudze Privileged Identity Management.

W przypadku ról zasobów platformy Azure w usłudze Privileged Identity Management administrator subskrypcji, właściciel zasobu lub administrator dostępu użytkowników zasobu może zarządzać przypisaniami dla innych administratorów. Użytkownicy, którzy są administratorami ról uprzywilejowanych, administratorami zabezpieczeń lub czytelnikami zabezpieczeń, nie mają domyślnie dostępu do wyświetlania przypisań do ról zasobów platformy Azure w usłudze Privileged Identity Management.

Terminologia

Aby lepiej zrozumieć usługę Privileged Identity Management i jej dokumentację, zapoznaj się z poniższymi terminami.

Termin lub pojęcie Kategoria przypisania roli Opis
kwalifikowanie się Typ Przypisanie roli, które wymaga od użytkownika wykonania jednej lub kilku akcji w celu użycia tej roli. Jeśli użytkownik został zakwalifikowany do roli, oznacza to, że może aktywować tę rolę, kiedy musi wykonać zadanie uprzywilejowane. Nie ma żadnej różnicy między dostępem udzielonym komuś za pomocą trwałego przypisania roli i przypisania kwalifikowania się do roli. Jedyna różnica polega na tym, że niektórzy użytkownicy nie potrzebują tego dostępu przez cały czas.
aktywne Typ Przypisanie roli, które nie wymaga od użytkownika wykonywania żadnych akcji w celu użycia tej roli. Użytkownicy przypisani jako aktywni mają uprawnienia przypisane do danej roli.
aktywuj Proces wykonywania jednej lub kilku akcji w celu użycia roli, do której użytkownik został zakwalifikowany. Akcje te mogą obejmować przeprowadzenie uwierzytelniania wieloskładnikowego (MFA), podanie uzasadnienia biznesowego lub żądanie zatwierdzenia od wyznaczonych osób zatwierdzających.
przypisano Stan Użytkownik, który ma aktywne przypisanie roli.
aktywowano Stan Użytkownik, który ma przypisanie kwalifikowania się do roli, wykonał akcje w celu aktywowania roli i jest teraz aktywny. Po aktywowaniu użytkownik może użyć roli przez wstępnie skonfigurowany okres czasu, zanim będzie musiał ponownie aktywować.
trwałe kwalifikowanie się Czas trwania Przypisanie roli, w którym użytkownik jest zawsze zakwalifikowany do aktywowania roli.
trwałe aktywne Czas trwania Przypisanie roli, w którym użytkownik zawsze może używać roli bez wykonywania żadnych akcji.
kwalifikowane czasowo Czas trwania Przypisanie roli, w którym użytkownik kwalifikuje się do aktywowania roli tylko w datach rozpoczęcia i zakończenia.
aktywne powiązane czasowo Czas trwania Przypisanie roli, w którym użytkownik może używać roli tylko w datach rozpoczęcia i zakończenia.
dostęp just-in-time (JIT) Model, w którym użytkownicy uzyskują tymczasowe uprawnienia do wykonywania uprzywilejowanych zadań, dzięki czemu złośliwi lub nieautoryzowani użytkownicy nie mogą uzyskać dostępu po wygaśnięciu uprawnienia. Dostęp jest udzielany tylko wtedy, gdy użytkownicy go potrzebują.
zasada dostępu z najniższymi uprawnieniami Zalecana praktyka zabezpieczeń, w której każdy użytkownik jest dostarczany tylko z minimalnymi uprawnieniami wymaganymi do wykonywania zadań, które są autoryzowane do wykonania. Takie rozwiązanie pozwala zminimalizować liczbę administratorów globalnych i zamiast tego korzystać ze specyficznych ról administratorów dla konkretnych scenariuszy.

Omówienie przypisania roli

Przypisania ról usługi PIM zapewniają bezpieczny sposób udzielania dostępu do zasobów w organizacji. W tej sekcji opisano proces przypisywania. Obejmuje ona przypisywanie ról do członków, aktywowanie przypisań, zatwierdzanie lub odrzucanie żądań, rozszerzanie i odnawianie przypisań.

Usługa PIM informuje Cię, wysyłając Ci i innym uczestnikom powiadomienia e-mail. Te wiadomości e-mail mogą również zawierać linki do odpowiednich zadań, takich jak aktywowanie, zatwierdzanie lub odrzucanie żądania.

Poniższy zrzut ekranu przedstawia wiadomość e-mail wysłaną przez usługę PIM. E-mail informuje Patti, że Alex zaktualizował przypisanie roli emily.

Zrzut ekranu przedstawia wiadomość e-mail wysłaną przez usługę Privileged Identity Management.

Przypisanie

Proces przypisywania rozpoczyna się od przypisania ról do członków. Aby udzielić dostępu do zasobu, administrator przypisuje role użytkownikom, grupom, jednostkom usługi lub tożsamościom zarządzanym. Przypisanie zawiera następujące dane:

  • Członkowie lub właściciele, którzy mają przypisać rolę.
  • Zakres przypisania. Zakres ogranicza przypisaną rolę do określonego zestawu zasobów.
  • Typ przypisania
    • Kwalifikujące się przypisania wymagają, aby członek roli wykonał akcję w celu użycia roli. Akcje mogą obejmować aktywację lub żądanie zatwierdzenia od wyznaczonych osób zatwierdzających.
    • Aktywne przypisania nie wymagają od członka wykonania żadnej akcji w celu korzystania z roli. Członkowie przypisani jako aktywni mają przypisane uprawnienia do roli.
  • Czas trwania przypisania przy użyciu dat rozpoczęcia i zakończenia lub stałego. W przypadku kwalifikujących się przypisań członkowie mogą aktywować lub żądać zatwierdzenia podczas dat rozpoczęcia i zakończenia. W przypadku aktywnych przypisań członkowie mogą używać roli przypisywania w tym okresie.

Poniższy zrzut ekranu przedstawia sposób przypisywania roli przez administratora do członków.

Zrzut ekranu przedstawiający przypisanie roli Privileged Identity Management.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami: Przypisywanie ról Azure AD, Przypisywanie ról zasobów platformy Azure i Przypisywanie uprawnień do uprzywilejowanej grupy dostępu

Activate

Jeśli użytkownicy kwalifikowali się do roli, muszą aktywować przypisanie roli przed użyciem roli. Aby aktywować rolę, użytkownicy wybierają określony czas trwania aktywacji w ramach maksymalnej wartości (skonfigurowanej przez administratorów) i przyczynę żądania aktywacji.

Poniższy zrzut ekranu przedstawia sposób aktywowania roli przez członków do ograniczonego czasu.

Zrzut ekranu przedstawiający aktywację roli Privileged Identity Management.

Jeśli rola wymaga zatwierdzenia , w prawym górnym rogu przeglądarki użytkownika zostanie wyświetlone powiadomienie informujące o tym, że żądanie oczekuje na zatwierdzenie. Jeśli zatwierdzenie nie jest wymagane, członek może rozpocząć korzystanie z roli.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami: Aktywowanie ról Azure AD, Aktywowanie ról zasobów platformy Azure i Aktywowanie ról grupy uprzywilejowanego dostępu

Zatwierdzanie lub odrzucanie

Osoby zatwierdzające delegowane otrzymują powiadomienia e-mail, gdy żądanie roli oczekuje na zatwierdzenie. Osoby zatwierdzające mogą wyświetlać, zatwierdzać lub odrzucać oczekujące żądania w usłudze PIM. Po zatwierdzeniu żądania członek może rozpocząć korzystanie z roli. Jeśli na przykład użytkownik lub grupa została przypisana z rolą Współautor do grupy zasobów, będzie on mógł zarządzać określoną grupą zasobów.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami: Zatwierdzanie lub odrzucanie żądań dotyczących ról Azure AD, Zatwierdzanie lub odrzucanie żądań dotyczących ról zasobów platformy Azure oraz Zatwierdzanie żądań aktywacji dla uprzywilejowanej grupy dostępu

Rozszerzanie i odnawianie przypisań

Po skonfigurowaniu przez administratorów przypisań właściciela lub członka, pierwsze pytanie, które możesz zadać, jest to, co się stanie, jeśli przypisanie wygaśnie? W tej nowej wersji udostępniamy dwie opcje dla tego scenariusza:

  • Extend — gdy przypisanie roli zbliża się do wygaśnięcia, użytkownik może użyć Privileged Identity Management, aby zażądać rozszerzenia dla przypisania roli
  • Odnów — po wygaśnięciu przypisania roli użytkownik może użyć Privileged Identity Management, aby zażądać odnowienia przypisania roli

Obie akcje inicjowane przez użytkownika wymagają zatwierdzenia od administratora globalnego lub administratora ról uprzywilejowanych. Administratorzy nie muszą być w firmie zarządzania wygaśnięciem przydziałów. Możesz po prostu poczekać na nadejście żądań rozszerzenia lub odnowienia w celu uzyskania prostego zatwierdzenia lub odmowy.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami: Rozszerzanie lub odnawianie przypisań ról Azure AD, Rozszerzanie lub odnawianie przypisań ról zasobów platformy Azure oraz Rozszerzanie lub odnawianie uprzywilejowanych przypisańgrup dostępu

Scenariusze

Usługa Privileged Identity Management obsługuje następujące scenariusze:

Uprawnienia administratora ról uprzywilejowanych

  • Włączanie zatwierdzeń dla określonych ról
  • Określanie użytkowników lub grup osób zatwierdzanych do zatwierdzania żądań
  • Wyświetlanie historii żądań i zatwierdzeń dla wszystkich ról uprzywilejowanych

Uprawnienia osoby zatwierdzającej

  • Wyświetlanie oczekujących zatwierdzeń (żądań)
  • Zatwierdzanie lub odrzucanie żądań podniesienia uprawnień roli (pojedyncze i zbiorcze)
  • Podaj uzasadnienie mojego zatwierdzenia lub odrzucenia

Uprawnienia użytkownika kwalifikującej się roli

  • Żądanie aktywacji roli wymagającej zatwierdzenia
  • Wyświetlanie stanu żądania uaktywnienia
  • Wykonywanie zadania w usłudze Azure AD w przypadku zatwierdzenia uaktywnienia

Zarządzanie uprzywilejowanymi grupami Azure AD dostępu (wersja zapoznawcza)

W usłudze Privileged Identity Management (PIM) można teraz przypisać uprawnienia do członkostwa lub własności grup dostępu uprzywilejowanego. Począwszy od tej wersji zapoznawczej, możesz przypisać wbudowane role usługi Azure Active Directory (Azure AD) do grup w chmurze i używać usługi PIM do zarządzania uprawnieniami i aktywacją członka grupy i właściciela. Aby uzyskać więcej informacji na temat grup z możliwością przypisania do roli w usłudze Azure Active Directory, zobacz Zarządzanie przypisaniami ról za pomocą grup usługi Azure Active Directory.

Ważne

Aby przypisać uprzywilejowaną grupę dostępu do roli dostępu administracyjnego do programu Exchange, Centrum zgodności zabezpieczeń & lub programu SharePoint, użyj środowiska ról i administratorów portalu Azure AD, a nie w środowisku uprzywilejowanych grup dostępu, aby użytkownik lub grupa kwalifikowała się do aktywacji w grupie.

Różne zasady just in time dla każdej grupy

Niektóre organizacje używają narzędzi, takich jak współpraca Azure AD biznesowa (B2B), aby zaprosić swoich partnerów jako gości do organizacji Azure AD. Zamiast jednej zasady just in time dla wszystkich przypisań do roli uprzywilejowanej można utworzyć dwie różne uprzywilejowane grupy dostępu z własnymi zasadami. Możesz wymusić mniej rygorystyczne wymagania dla zaufanych pracowników i bardziej rygorystyczne wymagania, takie jak przepływ pracy zatwierdzania dla partnerów, gdy żądają aktywacji do przypisanej grupy.

Aktywowanie wielu przypisań ról w jednym żądaniu

W wersji zapoznawczej uprzywilejowanych grup dostępu można zapewnić administratorom specyficznym dla obciążenia szybki dostęp do wielu ról za pomocą jednego żądania just in time. Na przykład administratorzy usługi Office w warstwie 3 mogą potrzebować dostępu just in time do Administracja Exchange, office apps Administracja, teams Administracja i search Administracja role, aby dokładnie zbadać zdarzenia codziennie. Przed dzisiaj wymagałoby to czterech kolejnych żądań, które są procesem, który zajmuje trochę czasu. Zamiast tego można utworzyć grupę z możliwością przypisania roli o nazwie "Administratorzy pakietu Office w warstwie 3", przypisywać ją do każdej z czterech ról wymienionych wcześniej (lub dowolnych Azure AD wbudowanych ról) i włączyć ją dla dostępu uprzywilejowanego w sekcji Działanie grupy. Po włączeniu dostępu uprzywilejowanego można skonfigurować ustawienia just in time dla członków grupy i przypisać administratorów i właścicieli jako uprawnionych. Gdy administratorzy z podwyższonym poziomem uprawnień do grupy staną się członkami wszystkich czterech Azure AD ról.

Zapraszanie użytkowników-gości i przypisywanie ról zasobów platformy Azure w Privileged Identity Management

Użytkownicy-goście usługi Azure Active Directory (Azure AD) są częścią możliwości współpracy między firmami (B2B) w ramach Azure AD, dzięki czemu można zarządzać zewnętrznymi użytkownikami-gośćmi jako gośćmi w Azure AD. Można na przykład użyć tych funkcji Privileged Identity Management dla zadań tożsamości platformy Azure z gośćmi, takimi jak przypisywanie dostępu do określonych zasobów platformy Azure, określanie czasu trwania przydziału i daty zakończenia lub wymaganie weryfikacji dwuetapowej w przypadku aktywnego przypisania lub aktywacji. Aby uzyskać więcej informacji na temat zapraszania gościa do organizacji i zarządzania dostępem, zobacz Dodawanie użytkowników współpracy B2B w portalu Azure AD.

Kiedy zapraszasz gości?

Oto kilka przykładów zapraszania gości do organizacji:

  • Zezwalaj zewnętrznemu dostawcy działającemu na własny rachunek, który ma tylko konto e-mail, aby uzyskać dostęp do zasobów platformy Azure dla projektu.
  • Zezwalaj partnerowi zewnętrznemu w dużej organizacji, która korzysta z usług federacyjnych lokalna usługa Active Directory w celu uzyskania dostępu do aplikacji wydatków.
  • Zezwól inżynierom pomocy technicznej, aby nie w twojej organizacji (np. pomocy technicznej firmy Microsoft) tymczasowo uzyskiwać dostęp do zasobu platformy Azure w celu rozwiązywania problemów.

Jak działa współpraca przy użyciu gości B2B?

W przypadku korzystania ze współpracy B2B możesz zaprosić użytkownika zewnętrznego do organizacji jako gościa. Gość może być zarządzany jako użytkownik w organizacji, ale gość musi zostać uwierzytelniony w swojej organizacji domowej, a nie w organizacji Azure AD. Oznacza to, że jeśli gość nie ma już dostępu do swojej organizacji domowej, utraci również dostęp do organizacji. Jeśli na przykład gość opuści organizację, automatycznie utraci dostęp do wszystkich zasobów udostępnionych im w Azure AD bez konieczności wykonywania jakichkolwiek czynności. Aby uzyskać więcej informacji na temat współpracy B2B, zobacz Co to jest dostęp użytkowników-gości w usłudze Azure Active Directory B2B?.

Diagram przedstawiający sposób uwierzytelniania użytkownika-gościa w katalogu głównym

Następne kroki