Начало работы с управлением привилегированными пользователями

  • Статья

В этой статье объясняется, как включить управление привилегированными пользователями Privileged Identity Management (PIM) и приступить к использованию этой службы.

Используйте управление привилегированными пользователями (PIM) для управления, контроля и мониторинга доступа в организации Microsoft Entra. С помощью PIM вы можете предоставлять доступ по мере необходимости и JIT-доступ к ресурсам Azure, ресурсам Microsoft Entra и другим microsoft веб-службы, таким как Microsoft 365 или Microsoft Intune.

Необходимые компоненты

Для работы со средствами управления привилегированными пользователями необходима одна из следующих лицензий:

  • Для использования управление привилегированными пользователями требуются лицензии. Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.

Дополнительные сведения см. в статье Требования к лицензии для использования PIM.

Примечание.

Если пользователь, активный в привилегированной роли в организации Microsoft Entra с лицензией Premium P2, переходит к ролям и администраторам в идентификаторе Microsoft Entra и выбирает роль (или даже просто посещает управление привилегированными пользователями):

  • Мы автоматически включаем PIM для организации.
  • Пользователь получает возможность назначить роль "обычным" образом или выполнить назначение допустимой роли.

Когда у вас включены средства PIM, это не создает для вашего рабочего процесса никаких потенциальных проблем. Эта служба предоставляет дополнительные возможности, такие как назначение активных и допустимых ролей с временем начала и окончания. PIM также позволяет задать область назначения ролей с помощью административных единиц и настраиваемых ролей. Если вы являетесь глобальным администратором или администратором привилегированных ролей, вы будете иногда получать дополнительные сообщения электронной почты, например еженедельный дайджест PIM. Кроме того, в журнале аудита, связанном с назначением ролей, может отображаться субъект-служба MS-PIM. Это ожидаемое изменение, которое не должно никак повлиять на ваш рабочий процесс.

Подготовка PIM для ролей Microsoft Entra

Ниже приведены задачи, которые мы рекомендуем подготовить управление привилегированными пользователями для управления ролями Microsoft Entra:

  1. Настройка параметров роли Microsoft Entra.
  2. Настройте допустимые назначения.
  3. Разрешить пользователям активировать роль Microsoft Entra jit.<

Подготовка к управлению ролями Azure AD

Ниже перечислены задачи, которые мы рекомендуем выполнить, чтобы подготовить средства PIM для управления ролями Azure в подписке.

  1. Обнаружение ресурсов Azure
  2. Настройте параметры ролей Azure.
  3. Настройте допустимые назначения.
  4. Разрешите допустимым пользователям активировать роль Azure в режиме JIT.

После настройки PIM вы можете ознакомиться с этой системой.

Снимок экрана: окно навигации в управление привилегированными пользователями с параметрами

Задача и управление Description
Мои роли Отображается список назначенных вам действительных и активных ролей. Здесь можно активировать все действительные назначенные роли.
Ожидающие запросы Отображаются все запросы, ожидающие активации назначения действительных ролей.
Утверждение запросов Отображается список запросов на активацию действительных ролей в вашем каталоге для пользователей, которых вы должны подтвердить.
Проверка доступа Приведены активные проверки доступа, которые вы должны выполнить (для себя или для кого-то другого).
Роли Microsoft Entra Отображает панель мониторинга и параметры для администраторов привилегированных ролей для управления назначениями ролей Microsoft Entra. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. Эти пользователи имеют доступ к специальной панели мониторинга My view (Мое представление). На панели мониторинга My view (Мое представление) отображаются только сведения о пользователе, который получает доступ к панели мониторинга, а не обо всей организации.
Ресурсы Azure Отображаются панель мониторинга и параметры для администраторов привилегированных ролей, чтобы они могли управлять назначениями ролей ресурса Azure. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. Эти пользователи имеют доступ к специальной панели мониторинга My view (Мое представление). На панели мониторинга My view (Мое представление) отображаются только сведения о пользователе, который получает доступ к панели мониторинга, а не обо всей организации.

Следующие шаги