Поделиться через


Обнаружение ресурсов Azure для управления ими с помощью Privileged Identity Management (PIM)

Вы можете использовать управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, чтобы улучшить защиту ресурсов Azure. Это поможет:

  • Организации, которые уже используют управление привилегированными пользователями для защиты ролей Microsoft Entra
  • владельцев групп управления и подписок, которые пытаются защитить рабочие ресурсы.

При первой настройке Privileged Identity Management для ресурсов Azure следует найти и выбрать ресурсы, которые нужно защитить с его помощью. При обнаружении ресурсов с помощью Privileged Identity Management PIM создает субъект-службу PIM (MS-PIM), назначаемый в качестве администратора доступа пользователей к ресурсу. Количество ресурсов, которыми вы можете управлять с помощью инструмента "Привилегированное управление идентификацией", не ограничено. Однако мы рекомендуем начать с наиболее важных производственных ресурсов.

Примечание.

PIM теперь может автоматически управлять ресурсами Azure в клиенте без необходимости подключения. Обновленный интерфейс пользователя использует последнюю версию API ARM PIM, что позволяет повысить производительность и степень детализации при выборе правильной области управления.

Необходимые разрешения

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Вы можете просматривать и контролировать группы управления или подписки, для которых у вас есть разрешения Microsoft.Authorization/roleAssignments/write с такими ролями, как, например, Администратор доступа пользователей или Владелец. Если вы не являетесь владельцем подписки, но являетесь глобальным администратором и не видите никаких подписок Или групп управления Azure для управления, вы можете повысить доступ к управлению ресурсами.

Обнаружение ресурсов

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.

  2. Перейдите к управлению удостоверениями> управление привилегированными пользователями> Azure Resources.

    Если вы впервые используете Privileged Identity Management для ресурсов Azure, отобразится страница Обнаружение ресурсов.

    Снимок экрана: область

    Если ресурсами Azure в Privileged Identity Management уже управляет другой администратор вашей организации, вы увидите список ресурсов, находящихся под управлением в настоящий момент.

    Снимок экрана: область

  3. Выберите Обнаружение ресурсов, чтобы запустить процесс обнаружения.

    Снимок экрана: область обнаружения содержит ресурсы, которые можно управлять, например подписки и группы управления

  4. На странице Обнаружение используйте Фильтр состояния ресурсов и команду Выберите тип ресурса, чтобы отфильтровать группы управления или подписки, для которых у вас есть разрешение на запись. Удобнее начать с параметра Все.

    Вы можете найти и выбрать ресурсы группы управления или подписки для управления в Privileged Identity Management. При управлении группой управления или подпиской с помощью Privileged Identity Management можно также управлять ее дочерними ресурсами.

    Примечание.

    При добавлении нового дочернего ресурса Azure в группу управления под управлением PIM можно перенести дочерний ресурс в раздел "Управление", выполнив поиск в PIM.

  5. Выберите неуправляемые ресурсы, для которых необходимо управление.

  6. Выберите Управление ресурсом и приступите к управлению выбранными ресурсами. Субъект-служба PIM (MS-PIM) назначается в качестве администратора доступа пользователей к ресурсу.

    Примечание.

    После настройки управления для группы управления или подписки ее невозможно будет сделать неуправляемой. В связи с этим другой администратор не сможет удалить заданные вами параметры PIM.

    Область обнаружения с выбранным ресурсом и выделенным параметром

  7. Если вы видите сообщение для подтверждения подключения выбранного ресурса для управления, выберите Да. После этого PIM будет настроен для управления всеми новыми и существующими дочерними объектами в ресурсах.

    Снимок экрана: сообщение, подтверждающее подключение выбранных ресурсов для управления.

Следующие шаги