Начало работы с управлением привилегированными пользователями
Используйте управление привилегированными пользователями (PIM) для управления, контроля и мониторинга доступа в организации Microsoft Entra. С помощью PIM вы можете предоставлять доступ по мере необходимости и JIT-доступ к ресурсам Azure, ресурсам Microsoft Entra и другим microsoft веб-службы, таким как Microsoft 365 или Microsoft Intune.
В этой статье объясняется, как включить управление привилегированными пользователями Privileged Identity Management (PIM) и приступить к использованию этой службы.
Необходимые компоненты
Чтобы использовать управление привилегированными пользователями, необходимо иметь лицензию Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra. Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.
Активация назначений ролей
Если клиент Microsoft Entra имеет лицензию Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, пользователи с активными назначениями ролей могут выполнять следующие действия:
- Откройте страницу " Роли и администраторы" в идентификаторе Microsoft Entra и выберите роль;
- Откройте страницу управление привилегированными пользователями;
- Вызовы PIM с помощью API ролей Microsoft Entra.
Microsoft Entra включает PIM для клиента следующим образом:
- Начиная с начала вы можете создавать подходящие или ограниченные по времени назначения для ролей Microsoft Entra;
- Глобальные администраторы или администраторы привилегированных ролей могут начать получать дополнительные сообщения электронной почты, например еженедельный дайджест PIM;
- Имя субъекта-службы PIM (MS–PIM) может быть указано в событиях журнала аудита, связанных с управлением назначениями ролей.
Это поведение ожидается и не должно влиять на рабочие процессы.
Подготовка PIM для ролей Microsoft Entra
Ниже приведены задачи, которые мы рекомендуем подготовить управление привилегированными пользователями для управления ролями Microsoft Entra:
- Настройка параметров роли Microsoft Entra
- Предоставление подходящих назначений
- Разрешить пользователям активировать роль Microsoft Entra jit
Подготовка к управлению ролями Azure AD
Ниже перечислены задачи, которые мы рекомендуем выполнить, чтобы подготовить средства PIM для управления ролями Azure в подписке.
- Обнаружение ресурсов Azure
- Настройка параметров роли Azure
- Предоставление подходящих назначений
- Разрешить пользователям активировать свои роли Azure JIT
Переход к задачам
После настройки PIM вы можете ознакомиться с этой системой.
| Задача и управление | Description |
|---|---|
| Мои роли | Отображается список назначенных вам действительных и активных ролей. Здесь можно активировать все действительные назначенные роли. |
| Мои запросы | Отображаются все запросы, ожидающие активации назначения действительных ролей. |
| Утверждение запросов | Отображается список запросов на активацию действительных ролей в вашем каталоге для пользователей, которых вы должны подтвердить. |
| Проверка доступа | Приведены активные проверки доступа, которые вы должны выполнить (для себя или для кого-то другого). |
| Роли Microsoft Entra | Отображает панель мониторинга и параметры для администраторов привилегированных ролей для управления назначениями ролей Microsoft Entra. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. Эти пользователи имеют доступ к специальной панели мониторинга My view (Мое представление). На панели мониторинга My view (Мое представление) отображаются только сведения о пользователе, который получает доступ к панели мониторинга, а не обо всей организации. |
| Группы | Управление JIT-членством в группе или jit-владельцем группы. Группы можно использовать для предоставления доступа к ролям Microsoft Entra, ролям Azure и различным другим сценариям. Чтобы управлять группой Microsoft Entra в PIM, необходимо перенести ее под управление в PIM. |
| Ресурсы Azure | Отображаются панель мониторинга и параметры для администраторов привилегированных ролей, чтобы они могли управлять назначениями ролей ресурса Azure. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. Эти пользователи имеют доступ к специальной панели мониторинга My view (Мое представление). На панели мониторинга My view (Мое представление) отображаются только сведения о пользователе, который получает доступ к панели мониторинга, а не обо всей организации. |
| Общие параметры | Выберите приложения, которые могут вызывать API Microsoft Graph только для PIM. |