Udostępnij za pośrednictwem


Planowanie wdrożenia usługi Privileged Identity Management

Usługa Privileged Identity Management (PIM) zapewnia aktywację roli opartą na czasie i zatwierdzania w celu ograniczenia ryzyka nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu do ważnych zasobów. Te zasoby obejmują zasoby w usłudze Microsoft Entra ID, Azure i innych usługach online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune.

Usługa PIM umożliwia zezwolenie na określony zestaw akcji w określonym zakresie. Najważniejsze funkcje:

  • Zapewnianie uprzywilejowanego dostępu just in time do zasobów

  • Przypisywanie uprawnień do członkostwa lub własności usługi PIM dla grup

  • Przypisywanie czasowego dostępu do zasobów przy użyciu daty rozpoczęcia i zakończenia

  • Wymaganie zatwierdzenia aktywowania ról uprzywilejowanych

  • Wymuszanie uwierzytelniania wieloskładnikowego w celu aktywowania dowolnej roli

  • Wymuszanie zasad dostępu warunkowego w celu aktywowania dowolnej roli (publiczna wersja zapoznawcza)

  • Używanie uzasadnień w celu uzyskania informacji, dlaczego użytkownicy aktywują role

  • Otrzymywanie powiadomień o aktywowaniu ról uprzywilejowanych

  • Przeprowadzanie przeglądów dostępu w celu upewnienia się, że użytkownicy nadal potrzebują ról

  • Pobieranie historii inspekcji w celu przeprowadzenia inspekcji wewnętrznej lub zewnętrznej

Aby uzyskać największe korzyści z tego planu wdrożenia, należy zapoznać się z pełnym omówieniem usługi Co to jest usługa Privileged Identity Management.

Informacje o usłudze PIM

Pojęcia dotyczące usługi PIM w tej sekcji pomogą Ci zrozumieć wymagania dotyczące tożsamości uprzywilejowanej organizacji.

Co można zarządzać w usłudze PIM

Obecnie możesz używać usługi PIM z:

  • Role entra firmy Microsoft — czasami nazywane rolami katalogu role entra firmy Microsoft obejmują wbudowane i niestandardowe role do zarządzania identyfikatorem Entra firmy Microsoft i innymi Usługi online platformy Microsoft 365.

  • Role platformy Azure — role kontroli dostępu opartej na rolach (RBAC) na platformie Azure, które udzielają dostępu do grup zarządzania, subskrypcji, grup zasobów i zasobów.

  • Usługa PIM dla grup — aby skonfigurować dostęp just in time do roli członka i właściciela grupy zabezpieczeń Firmy Microsoft Entra. Usługa PIM dla grup nie tylko zapewnia alternatywny sposób konfigurowania usługi PIM dla ról firmy Microsoft Entra i ról platformy Azure, ale także umożliwia skonfigurowanie usługi PIM pod kątem innych uprawnień w usłudze Microsoft Usługi online, takich jak Intune, Azure Key Vaults i Azure Information Protection. Jeśli grupa jest skonfigurowana do aprowizacji aplikacji, aktywacja członkostwa w grupie wyzwala aprowizowanie członkostwa w grupach (i konto użytkownika, jeśli nie zostało aprowizowanie) do aplikacji przy użyciu protokołu System for Cross-Domain Identity Management (SCIM).

Do tych ról lub grup można przypisać następujące elementy:

  • Użytkownicy — aby uzyskać dostęp just in time do ról firmy Microsoft, ról platformy Azure i usługi PIM dla grup.

  • Grupy — każda osoba w grupie, aby uzyskać dostęp just in time do ról firmy Microsoft Entra i ról platformy Azure. W przypadku ról firmy Microsoft Entra grupa musi być nowo utworzoną grupą w chmurze, która jest oznaczona jako przypisana do roli w przypadku ról platformy Azure, grupa może być dowolną grupą zabezpieczeń firmy Microsoft Entra. Nie zalecamy przypisywania/zagnieżdżania grupy do usługi PIM dla grup.

Uwaga

Nie można przypisywać jednostek usługi jako uprawnionych do ról firmy Microsoft, ról platformy Azure i usługi PIM dla grup, ale możesz udzielić ograniczonego czasu aktywnego przypisania do wszystkich trzech.

Zasada najmniejszych uprawnień

Przypisujesz użytkownikom rolę z najmniejszymi uprawnieniami niezbędnymi do wykonywania swoich zadań. Takie rozwiązanie pozwala zminimalizować liczbę administratorów globalnych i zamiast tego korzystać ze specyficznych ról administratorów dla konkretnych scenariuszy.

Uwaga

Firma Microsoft ma bardzo niewielu administratorów globalnych. Dowiedz się więcej na temat korzystania z usługi Privileged Identity Management przez firmę Microsoft.

Typ przypisań

Istnieją dwa typy przydziałów — kwalifikujące się i aktywne. Jeśli użytkownik został zakwalifikowany do roli, oznacza to, że może aktywować tę rolę, kiedy musi wykonać zadanie uprzywilejowane.

Można również ustawić godzinę rozpoczęcia i zakończenia dla każdego typu przypisania. Ten dodatek zapewnia cztery możliwe typy przypisań:

  • Stałe kwalifikujące się

  • Stałe aktywne

  • Kwalifikujące się terminy z określonymi datami rozpoczęcia i zakończenia przydziału

  • Aktywna granica czasowa z określonymi datami rozpoczęcia i zakończenia przypisania

Jeśli rola wygaśnie, możesz rozszerzyć lub odnowić te przypisania.

Zalecamy zachowanie zerowych trwale aktywnych przypisań dla ról innych niż konta dostępu awaryjnego.

Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.

Planowanie projektu

Gdy projekty technologiczne kończą się niepowodzeniem, zwykle wynika to z niedopasowanych oczekiwań dotyczących wpływu, wyników i obowiązków. Aby uniknąć tych pułapek, upewnij się, że angażujesz odpowiednich uczestników projektu i że role uczestników projektu są dobrze zrozumiałe.

Planowanie pilotażu

Na każdym etapie wdrożenia upewnij się, że oceniasz, czy wyniki są zgodnie z oczekiwaniami. Zobacz najlepsze rozwiązania dotyczące pilotażu.

  • Zacznij od małego zestawu użytkowników (grupy pilotażowej) i sprawdź, czy usługa PIM działa zgodnie z oczekiwaniami.

  • Sprawdź, czy wszystkie konfiguracje skonfigurowane dla ról lub usługi PIM dla grup działają prawidłowo.

  • Przerzuć go do środowiska produkcyjnego dopiero po jego dokładnym przetestowaniu.

Planowanie komunikacji

Komunikacja ma kluczowe znaczenie dla sukcesu każdej nowej usługi. Proaktywne komunikowanie się z użytkownikami w jaki sposób zmienia się ich środowisko, kiedy się zmienia i jak uzyskać pomoc techniczną, jeśli wystąpią problemy.

Skonfiguruj czas z wewnętrzną pomocą techniczną IT, aby przejść przez przepływ pracy usługi PIM. Podaj odpowiednie dokumenty i informacje kontaktowe.

Planowanie testowania i wycofywania

Uwaga

W przypadku ról firmy Microsoft Entra organizacje często testują i wdrażają administratorów globalnych jako pierwsze, podczas gdy w przypadku zasobów platformy Azure zwykle testują jedną subskrypcję platformy Azure w danym momencie.

Planowanie testowania

Utwórz użytkowników testowych, aby sprawdzić, czy ustawienia usługi PIM działają zgodnie z oczekiwaniami, zanim wpłyniesz na rzeczywistych użytkowników i potencjalnie zakłócisz dostęp do aplikacji i zasobów. Skompiluj plan testowy, aby porównać oczekiwane wyniki z rzeczywistymi wynikami.

W poniższej tabeli przedstawiono przykładowy przypadek testowy:

Rola Oczekiwane zachowanie podczas aktywacji Rzeczywiste wyniki
Globalny administrator usługi
  • Wymaganie uwierzytelniania wieloskładnikowego
  • Wymagaj zatwierdzenia
  • Wymaganie kontekstu dostępu warunkowego (publiczna wersja zapoznawcza)
  • Osoba zatwierdzająca otrzymuje powiadomienie i może zatwierdzić
  • Rola wygasa po wstępnie ustawionym czasie
  • W przypadku roli zasobów Microsoft Entra ID i Azure upewnij się, że masz użytkowników reprezentujących te role. Ponadto podczas testowania usługi PIM w środowisku przygotowanym należy wziąć pod uwagę następujące role:

    Role Role Microsoft Entra Role zasobów platformy Azure Usługa PIM dla grup
    Członek grupy x
    Członkowie roli x x
    Właściciel usługi IT x x
    Właściciel subskrypcji lub zasobu x x
    Usługa PIM dla właściciela grup x

    Wycofywanie planu

    Jeśli usługa PIM nie działa zgodnie z potrzebami w środowisku produkcyjnym, możesz ponownie zmienić przypisanie roli z kwalifikującego się do aktywnego. Dla każdej skonfigurowanej roli wybierz wielokropek (...) dla wszystkich użytkowników z typem przypisania jako uprawnionych. Następnie możesz wybrać opcję Ustaw aktywne, aby wrócić i uaktywnić przypisanie roli.

    Planowanie i implementowanie usługi PIM dla ról firmy Microsoft Entra

    Wykonaj następujące zadania, aby przygotować usługę PIM do zarządzania rolami firmy Microsoft Entra.

    Odnajdywanie i eliminowanie ról uprzywilejowanych

    Lista osób, które mają uprzywilejowane role w organizacji. Przejrzyj przypisanych użytkowników, zidentyfikuj administratorów, którzy nie potrzebują już roli, i usuń ich z przypisań.

    Możesz użyć przeglądów dostępu ról firmy Microsoft Entra, aby zautomatyzować odnajdywanie, przeglądanie i zatwierdzanie lub usuwanie przypisań.

    Określanie ról, które mają być zarządzane przez usługę PIM

    Określ priorytety ochrony ról firmy Microsoft Entra, które mają największe uprawnienia. Ważne jest również, aby wziąć pod uwagę, jakie dane i uprawnienia są najbardziej wrażliwe dla Twojej organizacji.

    Najpierw upewnij się, że wszystkie role administratora globalnego i administratora zabezpieczeń są zarządzane przy użyciu usługi PIM, ponieważ są to użytkownicy, którzy mogą wyrządzić największe szkody w przypadku naruszenia zabezpieczeń. Następnie rozważ więcej ról, które powinny być zarządzane, które mogą być narażone na ataki.

    Etykieta Privileged umożliwia identyfikowanie ról z wysokimi uprawnieniami, którymi można zarządzać za pomocą usługi PIM. Etykieta uprzywilejowana jest obecna w obszarze Role i administrator w centrum administracyjnym firmy Microsoft Entra. Aby dowiedzieć się więcej, zobacz artykuł Microsoft Entra wbudowane role .

    Konfigurowanie ustawień usługi PIM dla ról firmy Microsoft Entra

    Wersję roboczą i skonfiguruj ustawienia usługi PIM dla każdej uprzywilejowanej roli firmy Microsoft Entra używanej przez twoją organizację.

    W poniższej tabeli przedstawiono przykładowe ustawienia:

    Rola Wymaganie uwierzytelniania wieloskładnikowego Wymaganie dostępu warunkowego Powiadomienie Bilet zdarzenia Wymagaj zatwierdzenia Osoba zatwierdzająca Czas trwania aktywacji Administrator perm
    Globalny administrator usługi ✔️ ✔️ ✔️ ✔️ ✔️ Inny administrator globalny 1 godzina Konta dostępu awaryjnego
    Administrator programu Exchange ✔️ ✔️ ✔️ Brak 2 godziny Brak
    Administrator pomocy technicznej ✔️ Brak 8 godz. Brak

    Przypisywanie i aktywowanie ról firmy Microsoft Entra

    W przypadku ról firmy Microsoft Entra w usłudze PIM tylko użytkownik będący administratorem ról uprzywilejowanych lub administratorem globalnym może zarządzać przypisaniami dla innych administratorów. Administratorzy globalni, administratorzy zabezpieczeń, czytelnicy globalni i czytelnicy zabezpieczeń mogą również wyświetlać przypisania do ról firmy Microsoft w usłudze PIM.

    Postępuj zgodnie z instrukcjami pod poniższymi linkami:

    1. Nadaj kwalifikujące się przydziały.

    2. Zezwalaj uprawnionym użytkownikom na aktywowanie roli just-in-time firmy Microsoft

    Gdy rola zbliża się do jego wygaśnięcia, użyj usługi PIM, aby rozszerzyć lub odnowić role. Obie akcje inicjowane przez użytkownika wymagają zatwierdzenia od administratora globalnego lub administratora ról uprzywilejowanych.

    Gdy te ważne zdarzenia występują w rolach firmy Microsoft Entra, usługa PIM wysyła powiadomienia e-mail i cotygodniowe wiadomości e-mail do administratorów uprzywilejowanych w zależności od roli, zdarzenia i ustawień powiadomień. Te wiadomości e-mail mogą również zawierać linki do odpowiednich zadań, takich jak aktywowanie lub odnawianie roli.

    Zatwierdzanie lub odrzucanie żądań aktywacji usługi PIM

    Osoba zatwierdzająca delegowana otrzymuje powiadomienie e-mail, gdy żądanie oczekuje na zatwierdzenie. Wykonaj następujące kroki, aby zatwierdzić lub odrzucić żądania aktywowania roli zasobu platformy Azure.

    Wyświetlanie historii inspekcji dla ról firmy Microsoft Entra

    Wyświetl historię inspekcji dla wszystkich przypisań ról i aktywacji w ciągu ostatnich 30 dni dla ról firmy Microsoft Entra. Możesz uzyskać dostęp do dzienników inspekcji, jeśli jesteś administratorem globalnym lub administratorem ról uprzywilejowanych.

    Zalecamy , aby co najmniej jeden administrator odczytywał wszystkie zdarzenia inspekcji co tydzień i co miesiąc eksportował zdarzenia inspekcji.

    Alerty zabezpieczeń dla ról firmy Microsoft Entra

    Skonfiguruj alerty zabezpieczeń dla ról firmy Microsoft Entra, które wyzwalają alert w przypadku podejrzanej i niebezpiecznej aktywności.

    Planowanie i implementowanie usługi PIM dla ról zasobów platformy Azure

    Wykonaj następujące zadania, aby przygotować usługę PIM do zarządzania rolami zasobów platformy Azure.

    Odnajdywanie i eliminowanie ról uprzywilejowanych

    Zminimalizuj przypisania właściciela i administratora dostępu użytkowników dołączone do każdej subskrypcji lub zasobu i usuń niepotrzebne przypisania.

    Jako administrator globalny możesz podnieść poziom dostępu, aby zarządzać wszystkimi subskrypcjami platformy Azure. Następnie możesz znaleźć każdego właściciela subskrypcji i pracować z nimi, aby usunąć niepotrzebne przypisania w ramach swoich subskrypcji.

    Przeglądy dostępu dla zasobów platformy Azure umożliwiają przeprowadzanie inspekcji i usuwanie niepotrzebnych przypisań ról.

    Określanie ról, które mają być zarządzane przez usługę PIM

    Podczas podejmowania decyzji, które przypisania ról powinny być zarządzane przy użyciu usługi PIM dla zasobu platformy Azure, należy najpierw zidentyfikować grupy zarządzania, subskrypcje, grupy zasobów i zasoby, które są najważniejsze dla organizacji. Rozważ użycie grup zarządzania w celu zorganizowania wszystkich zasobów w organizacji.

    Zalecamy zarządzanie wszystkimi rolami właściciela subskrypcji i administratora dostępu użytkowników przy użyciu usługi PIM.

    Skontaktuj się z właścicielami subskrypcji, aby udokumentować zasoby zarządzane przez każdą subskrypcję i sklasyfikować poziom ryzyka każdego zasobu w przypadku naruszenia zabezpieczeń. Określanie priorytetów zarządzania zasobami za pomocą usługi PIM na podstawie poziomu ryzyka. Obejmuje to również zasoby niestandardowe dołączone do subskrypcji.

    Zalecamy również pracę z właścicielami subskrypcji lub zasobów usług krytycznych w celu skonfigurowania przepływu pracy usługi PIM dla wszystkich ról w poufnych subskrypcjach lub zasobach.

    W przypadku subskrypcji lub zasobów, które nie są tak krytyczne, nie trzeba konfigurować usługi PIM dla wszystkich ról. Jednak nadal należy chronić role Właściciel i Administrator dostępu użytkowników za pomocą usługi PIM.

    Konfigurowanie ustawień usługi PIM dla ról zasobów platformy Azure

    Wersje robocze i konfigurowanie ustawień ról zasobów platformy Azure, które mają być chronione za pomocą usługi PIM.

    W poniższej tabeli przedstawiono przykładowe ustawienia:

    Rola Wymaganie uwierzytelniania wieloskładnikowego Powiadomienie Wymaganie dostępu warunkowego Wymagaj zatwierdzenia Osoba zatwierdzająca Czas trwania aktywacji Aktywny administrator Aktywne wygaśnięcie Kwalifikowane wygaśnięcie
    Właściciel krytycznych subskrypcji ✔️ ✔️ ✔️ ✔️ Inni właściciele subskrypcji 1 godzina Brak nie dotyczy 3 miesiące
    Administrator dostępu użytkowników z mniej krytycznymi subskrypcjami ✔️ ✔️ ✔️ Brak 1 godzina Brak nie dotyczy 3 miesiące

    Przypisywanie i aktywowanie roli zasobu platformy Azure

    W przypadku ról zasobów platformy Azure w usłudze PIM tylko właściciel lub administrator dostępu użytkowników może zarządzać przypisaniami dla innych administratorów. Użytkownicy, którzy są administratorami ról uprzywilejowanych, administratorami zabezpieczeń lub czytelnikami zabezpieczeń, nie mają domyślnie dostępu do wyświetlania przypisań ról zasobów platformy Azure.

    Postępuj zgodnie z instrukcjami pod poniższymi linkami:

    1.Nadaj kwalifikujące się przydziały

    2.Zezwalaj uprawnionym użytkownikom na aktywowanie ról platformy Azure just in time

    Gdy przypisanie ról uprzywilejowanych zbliża się do jego wygaśnięcia, użyj usługi PIM, aby rozszerzyć lub odnowić role. Obie akcje inicjowane przez użytkownika wymagają zatwierdzenia od właściciela zasobu lub administratora dostępu użytkowników.

    Gdy te ważne zdarzenia występują w rolach zasobów platformy Azure, usługa PIM wysyła powiadomienia e-mail do administratorów właścicieli i użytkowników. Te wiadomości e-mail mogą również zawierać linki do odpowiednich zadań, takich jak aktywowanie lub odnawianie roli.

    Zatwierdzanie lub odrzucanie żądań aktywacji usługi PIM

    Zatwierdzanie lub odrzucanie żądań aktywacji dla roli Entra firmy Microsoft — osoba zatwierdzająca delegowana otrzymuje powiadomienie e-mail, gdy żądanie oczekuje na zatwierdzenie.

    Wyświetlanie historii inspekcji dla ról zasobów platformy Azure

    Wyświetl historię inspekcji dla wszystkich przypisań i aktywacji w ciągu ostatnich 30 dni dla ról zasobów platformy Azure.

    Alerty zabezpieczeń dla ról zasobów platformy Azure

    Skonfiguruj alerty zabezpieczeń dla ról zasobów platformy Azure, które wyzwalają alert w przypadku wszelkich podejrzanych i niebezpiecznych działań.

    Planowanie i implementowanie usługi PIM dla grup

    Wykonaj następujące zadania, aby przygotować usługę PIM do zarządzania usługą PIM dla grup.

    Odnajdywanie usługi PIM dla grup

    Może się zdarzyć, że dana osoba ma pięć lub sześć kwalifikujących się przypisań do ról firmy Microsoft za pośrednictwem usługi PIM. Muszą aktywować każdą rolę indywidualnie, co może zmniejszyć produktywność. Co gorsza, mogą również mieć przydzielone dziesiątki lub setki zasobów platformy Azure, co pogarsza problem.

    W takim przypadku należy użyć usługi PIM dla grup. Utwórz usługę PIM dla grup i przyznaj jej stały aktywny dostęp do wielu ról. Zobacz Privileged Identity Management (PIM) for Groups (wersja zapoznawcza).

    Aby zarządzać grupą z możliwością przypisywania ról firmy Microsoft jako usługa PIM dla grup, musisz przenieść ją do zarządzania w usłudze PIM.

    Konfigurowanie ustawień usługi PIM dla grup

    Wersje robocze i konfigurowanie ustawień usługi PIM dla grup, które mają być chronione za pomocą usługi PIM.

    W poniższej tabeli przedstawiono przykładowe ustawienia:

    Rola Wymaganie uwierzytelniania wieloskładnikowego Powiadomienie Wymaganie dostępu warunkowego Wymagaj zatwierdzenia Osoba zatwierdzająca Czas trwania aktywacji Aktywny administrator Aktywne wygaśnięcie Kwalifikowane wygaśnięcie
    Właściciel ✔️ ✔️ ✔️ ✔️ Inni właściciele zasobu Jedna godzina Brak nie dotyczy 3 miesiące
    Element członkowski ✔️ ✔️ ✔️ Brak Pięć godzin Brak nie dotyczy 3 miesiące

    Przypisywanie uprawnień do usługi PIM dla grup

    Możesz przypisać uprawnienia do członków lub właścicieli usługi PIM dla grup. Po prostu jedna aktywacja będzie miała dostęp do wszystkich połączonych zasobów.

    Uwaga

    Grupę można przypisać do co najmniej jednego identyfikatora Entra firmy Microsoft i ról zasobów platformy Azure w taki sam sposób, jak przypisywanie ról do użytkowników. W jednej organizacji firmy Microsoft Entra (dzierżawca) można utworzyć maksymalnie 500 grup z możliwością przypisywania ról.

    Diagram przypisywania uprawnień do usługi PIM dla grup.

    Gdy przypisanie grupy zbliża się do jego wygaśnięcia, użyj usługi PIM, aby rozszerzyć lub odnowić przypisanie grupy. Ta operacja wymaga zatwierdzenia właściciela grupy.

    Zatwierdzanie lub odrzucanie żądania aktywacji usługi PIM

    Skonfiguruj usługę PIM dla członków i właścicieli grup, aby wymagać zatwierdzenia aktywacji, a następnie wybierz użytkowników lub grupy z organizacji Firmy Microsoft Entra jako osoby zatwierdzające delegowane. Zalecamy wybranie co najmniej dwóch osób zatwierdzających dla każdej grupy w celu zmniejszenia obciążenia administratora ról uprzywilejowanych.

    Zatwierdzanie lub odrzucanie żądań aktywacji roli dla usługi PIM dla grup. Jako osoba zatwierdzająca delegowane otrzymasz powiadomienie e-mail, gdy żądanie oczekuje na zatwierdzenie.

    Wyświetlanie historii inspekcji usługi PIM dla grup

    Wyświetl historię inspekcji dla wszystkich przypisań i aktywacji w ciągu ostatnich 30 dni dla usługi PIM dla grup.

    Następne kroki