Share via

Настройка параметров PIM для групп

  • Статья

В управление привилегированными пользователями (PIM) для групп в идентификаторе Microsoft Entra параметры роли определяют свойства членства или назначения владения. Эти свойства включают многофакторную проверку подлинности и требования к утверждению для активации, максимальной длительности назначения и параметров уведомлений. В этой статье показано, как настроить параметры ролей и настроить рабочий процесс утверждения, чтобы указать, кто может утвердить или запретить запросы на повышение привилегий.

Вам нужны разрешения управления группами для управления параметрами. Для групп, назначаемых ролями, необходимо иметь по крайней мере роль Администратор istrator привилегированной роли или быть владельцем группы. Для групп, не назначаемых ролем, необходимо иметь по крайней мере роль записи каталогов, групп Администратор istrator, управления удостоверениями Администратор istrator или роль пользователя Администратор istrator или быть владельцем группы. Назначения ролей для администраторов должны быть область на уровне каталога (а не на уровне административной единицы).

Примечание.

Другие роли с разрешениями на управление группами (такими как администраторы Exchange для групп, не назначаемых ролями) и администраторы с назначениями, область на уровне административной единицы, могут управлять группами с помощью API групп или пользовательского интерфейса и переопределять изменения, внесенные в Microsoft Entra управление привилегированными пользователями.

Параметры роли определяются для каждой роли для каждой группы. Все назначения для одной роли (члена или владельца) для одной группы соответствуют одинаковым параметрам ролей. Параметры роли одной группы не зависят от параметров роли другой группы. Параметры роли для одной роли (участника) не зависят от параметров роли для другой роли (владельца).

Обновление параметров роли

Чтобы открыть параметры для групповой роли, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Groups.

  3. Выберите группу, для которой нужно настроить параметры роли.

  4. Выберите Параметры.

  5. Выберите роль, для которой необходимо настроить параметры роли. Параметры — "Член" или "Владелец".

    Снимок экрана, на котором показано, где выбрать роль, для которой необходимо настроить параметры роли.

  6. Просмотрите текущие параметры роли.

  7. Выберите "Изменить", чтобы обновить параметры роли.

    Снимок экрана, на котором показано, где выбрать

  8. Выберите Обновить.

Параметры роли

В этом разделе рассматриваются параметры параметров ролей.

Максимальная длительность активации

С помощью ползунка Максимальная длительность активации установите максимальное время в часах, когда назначение ролей остается активным до истечения срока его действия. Это значение может составлять от 1 до 24 часов.

При активации требуется многофакторная проверка подлинности

Вы можете требовать от пользователей, имеющих право на роль, чтобы доказать, кто они являются с помощью функции многофакторной проверки подлинности в идентификаторе Microsoft Entra ID, прежде чем они смогут активировать. Многофакторная проверка подлинности помогает защитить доступ к данным и приложениям. Он предоставляет еще один уровень безопасности с помощью второй формы проверки подлинности.

Пользователи могут не запрашивать многофакторную проверку подлинности, если они прошли проверку подлинности с помощью надежных учетных данных или предоставили многофакторную проверку подлинности ранее в этом сеансе. Если ваша цель заключается в том, чтобы пользователи могли предоставлять проверку подлинности во время активации, вы можете использовать режим активации, требовать контекст проверки подлинности условного доступа Microsoft Entra вместе с надежностью проверки подлинности.

Пользователи должны пройти проверку подлинности во время активации с помощью методов, отличных от методов, которые они использовали для входа на компьютер. Например, если пользователи войдете на компьютер с помощью Windows Hello для бизнеса, то при активации требуется контекст проверки подлинности Microsoft Entra условного доступа и сила проверки подлинности, чтобы пользователи могли выполнять вход без пароля с помощью Microsoft Authenticator при активации роли.

После того как пользователь предоставляет вход без пароля в Microsoft Authenticator один раз в этом примере, он сможет выполнить следующую активацию в этом сеансе без другой проверки подлинности. Вход без пароля с помощью Microsoft Authenticator уже является частью их токена.

Рекомендуется включить функцию многофакторной проверки подлинности в идентификаторе Microsoft Entra для всех пользователей. Дополнительные сведения см. в статье Планирование развертывания многофакторной проверки подлинности Microsoft Entra.

Для активации требуется контекст проверки подлинности условного доступа Microsoft Entra

Вы можете требовать, чтобы пользователи, имеющие право на роль, соответствовали требованиям политики условного доступа. Например, вы можете требовать, чтобы пользователи использовали определенный метод проверки подлинности, применяемый с помощью возможностей проверки подлинности, повысить роль с устройства, совместимого с Intune, и соблюдать условия использования.

Чтобы применить это требование, необходимо создать контекст проверки подлинности условного доступа.

  1. Настройте политику условного доступа, которая будет применять требования для этого контекста проверки подлинности.

    Область политики условного доступа должны включать всех или соответствующих пользователей для членства в группе или владения. Не создавайте политику условного доступа, область для контекста проверки подлинности и группы одновременно. Во время активации у пользователя еще нет членства в группах, поэтому политика условного доступа не будет применяться.

  2. Настройте контекст проверки подлинности в параметрах PIM для роли.

    Снимок экрана: страница

Если параметры PIM имеют параметр On activation, требуется контекст проверки подлинности условного доступа Microsoft Entra, политики условного доступа определяют, какие условия пользователи должны соответствовать требованиям к доступу.

Это означает, что субъекты безопасности с разрешениями на управление политиками условного доступа, такими как администраторы условного доступа или администраторы безопасности, могут изменять требования, удалять их или блокировать активацию членства в группе или владения соответствующими пользователями. Субъекты безопасности, которые могут управлять политиками условного доступа, должны рассматриваться как привилегированные и защищенные соответствующим образом.

Рекомендуется создать и включить политику условного доступа для контекста проверки подлинности перед настройкой контекста проверки подлинности в параметрах PIM. В качестве механизма защиты резервных копий, если в клиенте нет политик условного доступа, настроенных в параметрах PIM, во время активации членства в группе или владения функция многофакторной проверки подлинности в идентификаторе Microsoft Entra ID требуется, чтобы параметр многофакторной проверки подлинности был установлен.

Этот механизм защиты резервного копирования предназначен исключительно для защиты от сценария, когда параметры PIM были обновлены до создания политики условного доступа из-за ошибки конфигурации. Этот механизм защиты резервного копирования не активируется, если политика условного доступа отключена, находится в режиме только для отчетов или имеет подходящих пользователей, исключенных из политики.

Для активации требуется параметр контекста проверки подлинности условного доступа Microsoft Entra определяет требования к контексту проверки подлинности, которые пользователи должны удовлетворять при активации членства в группе или владения. После активации членства в группе или владения пользователи не препятствуют использованию другого сеанса просмотра, устройства или расположения для использования членства в группе или владения.

Например, пользователи могут использовать устройство, совместимое с Intune, для активации членства в группах или владения. Затем после активации роли они могут войти в ту же учетную запись пользователя с другого устройства, которое не соответствует Intune, и использовать ранее активированное право владения и членства в группе.

Чтобы предотвратить эту ситуацию, можно область политики условного доступа для применения определенных требований для соответствующих пользователей напрямую. Например, вы можете требовать, чтобы пользователи, имеющие право на определенное членство в группах или владение, всегда использовали устройства, совместимые с Intune.

Дополнительные сведения о контексте проверки подлинности условного доступа см. в разделе "Условный доступ": облачные приложения, действия и контекст проверки подлинности.

Требовать обоснование при активации

Вы можете требовать, чтобы пользователи вводили бизнес-обоснование при активации соответствующего назначения.

Требовать сведения о билете при активации

Вы можете требовать, чтобы пользователи ввели запрос в службу поддержки при активации соответствующего назначения. Этот параметр является полем только для сведений. Корреляция с информацией в любой системе билетов не применяется.

Для активации требуется утверждение

Для активации соответствующего назначения можно требовать утверждение. Утверждающий не должен быть членом группы или владельцем. При использовании этого параметра необходимо выбрать по крайней мере один утверждающий. Рекомендуется выбрать по крайней мере два утверждающих. Утверждающих по умолчанию нет.

Дополнительные сведения об утверждениях см. в статье "Утверждение запросов на активацию PIM для участников групп и владельцев".

Длительность назначений

При настройке параметров роли можно выбрать один из двух вариантов длительности назначения для каждого типа назначения: допустимый и активный. Эти параметры определяют максимальную длительность по умолчанию для пользователей, которым назначается эта роль в управлении привилегированными пользователями.

Вы можете выбрать один из следующих вариантов продолжительности для допустимых назначений.

Параметр Description
Разрешить постоянное соответствующее назначение Администраторы ресурсов могут назначать постоянные подходящие назначения.
Установить срок действия допустимой роли Администраторы ресурсов могут потребовать, чтобы у всех допустимых назначений были заданы даты начала и окончания действия.

Вы также можете выбрать один из этих параметров длительности активных назначений.

Параметр Description
Разрешить постоянное активное назначение Администраторы ресурсов могут назначать постоянные активные назначения.
Установить срок действия активной роли Администраторы ресурсов могут потребовать, чтобы у всех активных назначений были заданы даты начала и окончания действия.

Администраторы ресурса могут обновлять назначения с указанной датой окончания. Кроме того, пользователи могут самостоятельно создавать запросы на продление или обновление назначений роли.

Требовать Многофакторную идентификацию для активного назначения

Вы можете требовать, чтобы администратор или владелец группы предоставлял многофакторную проверку подлинности при создании активного (а не соответствующего) назначения. управление привилегированными пользователями не может применять многофакторную проверку подлинности, если пользователь использует назначение роли, так как он уже активен в роли с момента назначения.

Администратор или владелец группы может не запрашивать многофакторную проверку подлинности, если они прошли проверку подлинности с помощью надежных учетных данных или предоставили многофакторную проверку подлинности ранее в этом сеансе.

Требовать обоснование для активного назначения

Вы можете требовать, чтобы пользователи ввели бизнес-обоснование при создании активного (а не соответствующего) назначения.

На вкладке "Уведомления" на странице параметров роли управление привилегированными пользователями обеспечивает детальный контроль над тем, кто получает уведомления и какие уведомления они получают. Вам доступны следующие варианты:

  • Отключение сообщения электронной почты. Вы можете отключить определенные сообщения электронной почты, очищая получатель по умолчанию проверка box и удаляя других получателей.
  • Ограничить адреса электронной почты указанными адресами электронной почты: вы можете отключить сообщения электронной почты, отправленные получателям по умолчанию, очистив адрес получателя по умолчанию проверка box. Затем можно добавить другие адреса электронной почты в качестве получателей. Если вы хотите добавить несколько адресов электронной почты, разделите их с запятой (;).
  • Отправлять сообщения электронной почты как получателям по умолчанию, так и другим получателям: вы можете отправлять сообщения электронной почты как получателю по умолчанию, так и другому получателю. Выберите получатель по умолчанию проверка box и добавьте адреса электронной почты для других получателей.
  • Только критически важные сообщения электронной почты: для каждого типа электронной почты можно выбрать проверка box только для получения критически важных сообщений электронной почты. управление привилегированными пользователями продолжает отправлять сообщения электронной почты указанным получателям только в том случае, если сообщение электронной почты требует немедленного действия. Например, сообщения электронной почты, которые просят пользователей расширить назначение ролей, не активируются. Сообщения электронной почты, требующие от администраторов утверждения запроса на расширение, активируются.

Примечание.

Одно событие в управление привилегированными пользователями может создавать Уведомления по электронной почте для нескольких получателей— назначателей, утверждающих или администраторов. Максимальное количество уведомлений, отправленных на одно событие, равно 1000. Если число получателей превышает 1000, то только первые 1000 получателей получат уведомление по электронной почте. Это не препятствует другим назначателям, администраторам или утверждавшим использовать их разрешения в идентификаторе Microsoft Entra и управление привилегированными пользователями.

Управление параметрами ролей с помощью Microsoft Graph

Чтобы управлять параметрами ролей для групп с помощью API PIM в Microsoft Graph, используйте тип ресурса unifiedRoleManagementPolicy и связанные с ним методы.

В Microsoft Graph параметры ролей называются правилами. Они назначаются группам с помощью политик контейнеров. Вы можете получить все политики, которые область в группу и для каждой политики. Извлеките связанную коллекцию правил с помощью $expand параметра запроса. У этого запроса следующий синтаксис:

GET https://graph.microsoft.com/beta/policies/roleManagementPolicies?$filter=scopeId eq '{groupId}' and scopeType eq 'Group'&$expand=rules

Дополнительные сведения об управлении параметрами ролей с помощью API PIM в Microsoft Graph см. в разделе "Параметры роли" и PIM. Примеры обновления правил см. в разделе "Правила обновления" в PIM с помощью Microsoft Graph.

Следующие шаги

Назначение права на группу в управление привилегированными пользователями