Udostępnij za pośrednictwem


Szybki Przewodnik Startu Zarządzania Uprawnieniami Microsoft Entra

Uwaga

Od 1 kwietnia 2025 r. usługa Microsoft Entra Permissions Management nie będzie już dostępna do zakupu, a 1 października 2025 r. wycofamy i przestaniemy obsługiwać ten produkt. Więcej informacji można znaleźć tutaj.

Witamy w Przewodniku szybkiego startu do zarządzania uprawnieniami Microsoft Entra.

Zarządzanie uprawnieniami to rozwiązanie do zarządzania upoważnieniami infrastruktury chmurowej (CIEM), które zapewnia kompleksowy wgląd w uprawnienia przypisane do wszystkich tożsamości. Te tożsamości obejmują nadmiernie uprzywilejowane zadania oraz tożsamości użytkowników, a także akcje i zasoby w infrastrukturach wielochmurowych w usługach Microsoft Azure, Amazon Web Services (AWS) oraz Google Cloud Platform (GCP). Zarządzanie uprawnieniami pomaga organizacji skutecznie zabezpieczyć uprawnienia do chmury i zarządzać nimi, wykrywając, automatycznie zmieniając rozmiar i stale monitorując nieużywane i nadmierne uprawnienia.

W tym przewodniku Szybki start skonfigurujesz środowiska wielochmurowe, skonfigurujesz zbieranie danych i włączysz dostęp do uprawnień w celu zapewnienia, że tożsamości w chmurze są zarządzane i bezpieczne.

Wymagania wstępne

Przed rozpoczęciem potrzebny jest dostęp do tych narzędzi dla procesu wprowadzania:

  • Uzyskaj dostęp do lokalnej powłoki BASH za pomocą Azure CLI lub Azure Cloud Shell w środowisku BASH (w zestawie jest również Azure CLI).
  • Dostęp do konsol AWS, Azure i GCP.
  • Użytkownik musi mieć przypisaną rolę Administratora Zarządzania Uprawnieniami, aby utworzyć nową rejestrację aplikacji w dzierżawie Microsoft Entra, co jest wymagane w przypadku dołączania usług AWS i GCP.

Krok 1. Konfigurowanie zarządzania uprawnieniami

Aby włączyć zarządzanie uprawnieniami, musisz mieć tenant Microsoft Entra (na przykład centrum administracyjne Microsoft Entra).

  • Jeśli masz konto Azure, automatycznie posiadasz dzierżawcę w centrum administracyjnym Microsoft Entra.
  • Jeśli jeszcze go nie masz, utwórz bezpłatne konto w entra.microsoft.com.

Jeśli powyższe punkty zostaną spełnione, kontynuuj wykonywanie następujących czynności:

Włączanie usługi Zarządzanie uprawnieniami Microsoft Entra w organizacji

Upewnij się, że jesteś administratorem zarządzania uprawnieniami. Dowiedz się więcej o rolach i uprawnieniach w Zarządzaniu Uprawnieniami.

Diagram pokazujący, gdzie Microsoft Entra łączy się z rolami platformy Azure w dzierżawie Microsoft Entra.

Krok 2. Dołączanie środowiska wielochmurowego

Jak dotąd, zrobiłeś/zrobiłaś,

  1. Przypisano rolę Administratora ds. zarządzania uprawnieniami w dzierżawie centrum administracyjnego Microsoft Entra.
  2. Zakupiono licencje lub aktywowano 45-dniową bezpłatną wersję próbną usługi Permissions Management.
  3. Pomyślnie uruchomiono Zarządzanie Uprawnieniami.

Teraz zapoznasz się z rolą i ustawieniami trybów kontrolerów i zbierania danych w obszarze Zarządzanie uprawnieniami.

Ustawianie kontrolera

Kontroler umożliwia określenie poziomu dostępu przyznanego użytkownikom w obszarze Zarządzanie uprawnieniami.

  • Włączenie kontrolera podczas procesu wdrażania zapewnia pełny dostęp administracyjny do zarządzania uprawnieniami lub dostęp do odczytu i zapisu, dzięki czemu użytkownicy mogą dostosowywać uprawnienia i korygować je bezpośrednio za pomocą usługi Permissions Management (zamiast przechodzić do konsol AWS, Azure lub GCP). 

  • Wyłączenie kontrolera podczas dołączania lub nigdy jego nie włączenie przyznaje użytkownikowi zarządzania uprawnieniami dostęp tylko do odczytu do twojego/waszego środowiska(ów).

Uwaga

Jeśli nie włączysz kontrolera podczas procesu wdrażania, możesz włączyć go po jego zakończeniu. Aby ustawić kontroler w usłudze Zarządzanie uprawnieniami po dołączeniu, zobacz Włączanie lub wyłączanie kontrolera po dołączeniu. W przypadku środowisk AWS po włączeniu kontrolera nie można go wyłączyć.

Aby ustawić ustawienia kontrolera podczas konfiguracji:

  1. Wybierz pozycję Włącz , aby przyznać dostęp do odczytu i zapisu do zarządzania uprawnieniami.
  2. Wybierz pozycję Wyłącz , aby przyznać dostęp tylko do odczytu do zarządzania uprawnieniami.

Konfigurowanie zbierania danych

Istnieją trzy tryby do wyboru w celu zbierania danych w usłudze Permissions Management.

  • Automatyczne (zalecane) Zarządzanie uprawnieniami automatycznie odnajduje, dołącza i monitoruje wszystkie bieżące i przyszłe subskrypcje.

  • Ręcznie wprowadź poszczególne subskrypcje do zarządzania uprawnieniami, aby je odnaleźć, dołączyć i monitorować. Możesz wprowadzić maksymalnie 100 subskrypcji w ramach zbierania danych.

  • Wybierz Zarządzanie uprawnieniami automatycznie odnajduje wszystkie bieżące subskrypcje. Po odkryciu wybierasz, które subskrypcje dodać i monitorować.

Uwaga

Aby korzystać z trybów automatycznych lub wybierz , kontroler musi być włączony podczas konfigurowania zbierania danych.

Aby skonfigurować zbieranie danych:

  1. W sekcji Zarządzanie uprawnieniami przejdź do strony Zbieracze danych.
  2. Wybierz środowisko chmury: AWS, Azure lub GCP.
  3. Kliknij pozycję Utwórz konfigurację.

Uwaga

Proces zbierania danych zajmuje trochę czasu i występuje w około 4–5 godzinach w większości przypadków. Przedział czasu zależy od rozmiaru posiadanego systemu autoryzacji i ilości danych dostępnych dla kolekcji.

Rozpoczynanie korzystania z Amazon Web Services (AWS)

Ponieważ zarządzanie uprawnieniami jest hostowane w usłudze Microsoft Entra, istnieje więcej kroków, które należy wykonać w celu dołączenia środowiska AWS.

Aby połączyć AWS z zarządzaniem uprawnieniami, musisz utworzyć aplikację Microsoft Entra w dzierżawie centrum administracyjnego Microsoft Entra, w którym włączono zarządzanie uprawnieniami. Ta aplikacja Firmy Microsoft Entra służy do konfigurowania połączenia OIDC ze środowiskiem platformy AWS.

OpenID Connect (OIDC) to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0.

Diagram przedstawiający połączenie między identyfikatorem Entra firmy Microsoft i środowiskiem chmury platformy AWS.

Wymagania wstępne

Aby utworzyć nową rejestrację aplikacji w usłudze Microsoft Entra ID, użytkownik musi mieć przypisanie roli Administrator zarządzania uprawnieniami.

Identyfikatory kont i role dla:

  • Konto OIDC platformy AWS: konto AWS wyznaczone przez Ciebie do tworzenia i hostowania połączenia OIDC za pośrednictwem IdP OIDC
  • Konto rejestrowania platformy AWS (opcjonalne, ale zalecane)
  • Konto usługi AWS Management (opcjonalne, ale zalecane)
  • Konta członków platformy AWS monitorowane i zarządzane przez zarządzanie uprawnieniami (w trybie ręcznym)

Aby użyć trybów automatycznego lub wybierania zbierania danych, musisz połączyć konto usługi AWS Management.

W tym kroku możesz włączyć kontroler, wprowadzając nazwę zasobnika S3 zawierającego dzienniki aktywności AWS CloudTrail (znajdującego się na śladach AWS).

Aby dołączyć środowisko AWS i skonfigurować zbieranie danych, zobacz Dołączanie konta usług Amazon Web Services (AWS).

Dołączanie platformy Microsoft Azure

Po włączeniu Zarządzania Uprawnieniami w dzierżawie Microsoft Entra utworzono aplikację dla przedsiębiorstwa dla CIEM. Aby dołączyć środowisko platformy Azure, przyznasz uprawnienia do tej aplikacji do zarządzania uprawnieniami.

  1. W dzierżawie Microsoft Entra, w której włączono zarządzanie uprawnieniami, znajdź aplikację Cloud Infrastructure Entitlement Management (CIEM).

  2. Przypisz rolę Reader w aplikacji CIEM, aby umożliwić zarządzaniu uprawnieniami do odczytywania subskrypcji Microsoft Entra w Twoim środowisku.

Diagram przedstawiający połączenie ról Microsoft Entra z subskrypcją Azure.

Wymagania wstępne

  • Użytkownik z uprawnieniami Microsoft.Authorization/roleAssignments/write na poziomie subskrypcji lub grupy zarządzania w celu przypisania ról w aplikacji CIEM.

  • Aby użyć trybu Automatycznego lub Wybierz zbierania danych, musisz przypisać rolę Czytelnik w zakresie grupy zarządzania.

  • Aby włączyć kontroler, musisz przypisać rolę administratora dostępu użytkowników do aplikacji CIEM.

Aby dołączyć środowisko platformy Azure i skonfigurować zbieranie danych, zobacz Dołączanie subskrypcji platformy Microsoft Azure.

Dołączanie platformy Google Cloud Platform (GCP)

Ponieważ zarządzanie uprawnieniami jest hostowane na platformie Microsoft Azure, należy wykonać dodatkowe czynności, aby dołączyć środowisko GCP.

Aby połączyć GCP z Zarządzaniem Uprawnieniami, należy utworzyć aplikację centrum administracyjnego Microsoft Entra w dzierżawie Microsoft Entra, gdzie Zarządzanie Uprawnieniami jest włączone. Ta aplikacja centrum administracyjnego firmy Microsoft Entra służy do konfigurowania połączenia OIDC ze środowiskiem GCP.

OpenID Connect (OIDC) to interoperowalny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0.

Diagram przedstawiający połączenie między aplikacją Microsoft Entra OIDC i środowiskiem chmury GCP.

Wymagania wstępne

Użytkownik mający możliwość utworzenia nowej rejestracji aplikacji w Microsoft Entra (potrzebnej do ułatwienia połączenia OIDC) jest potrzebny przy wdrażaniu AWS i GCP.

Szczegóły identyfikatora dla:

  • Projekt GCP OIDC: projekt GCP wyznaczony przez Użytkownika do tworzenia i hostowania połączenia OIDC za pośrednictwem dostawcy tożsamości OIDC.
    • Numer projektu i identyfikator projektu
  • Tożsamość zadania GCP OIDC
    • ID puli, ID dostawcy puli
  • Konto usługi GCP OIDC
    • Nazwa sekretu IdP G-suite i adres e-mail użytkownika IdP G-suite (opcjonalnie)
    • Identyfikatory projektów GCP, które chcesz dołączyć (opcjonalnie, dla trybu ręcznego)

Przypisz role Przeglądającego i Recenzenta zabezpieczeń do konta usługi GCP na poziomie organizacji, folderu lub projektu, aby przyznać prawa do odczytu zarządzania uprawnieniami w środowisku GCP.

W tym kroku możesz włączyć tryb kontrolera, przypisując role Administratora ról i Administratora zabezpieczeń do konta usługi GCP na poziomie organizacji, folderu lub projektu.

Uwaga

Domyślny zakres zarządzania uprawnieniami znajduje się na poziomie projektu.

Aby dołączyć środowisko GCP i skonfigurować zbieranie danych, zobacz Dołączanie projektu GCP.

Podsumowanie

Gratulacje! Zakończyłeś konfigurowanie zbierania danych dla swojego/swoich środowiska(ów), a proces zbierania danych został rozpoczęty. Proces zbierania danych zajmuje trochę czasu; w większości przypadków około 4–5 godzin. Przedział czasu zależy od ilości dołączonych systemów autoryzacji i ilości danych dostępnych do zbierania.

Kolumna status w interfejsie użytkownika zarządzania uprawnieniami pokazuje, na którym etapie zbierania danych jesteś.

  • Oczekujące: Zarządzanie uprawnieniami jeszcze nie rozpoczęło wykrywania lub wprowadzania.
  • Odnajdywanie: Zarządzanie uprawnieniami wykrywa systemy autoryzacji.
  • W toku: Zarządzanie uprawnieniami zakończyło wykrywanie systemów autoryzacji i rozpoczyna proces wdrażania.
  • Zintegrowane: Zbieranie danych zostało ukończone, a wszystkie wykryte systemy autoryzacji zostały zintegrowane z usługą Permissions Management.

Uwaga

Podczas procesu zbierania danych można rozpocząć konfigurowanie użytkowników i grup w obszarze Zarządzanie uprawnieniami.

Następne kroki

Dokumentacja: