управление привилегированными пользователями (PIM) для групп
Идентификатор Microsoft Entra позволяет предоставлять пользователям JIT-членство и владение группами через управление привилегированными пользователями (PIM) для групп. Группы можно использовать для управления доступом к различным сценариям, включая роли Microsoft Entra, роли Azure, SQL Azure, Azure Key Vault, Intune, другие роли приложений и сторонние приложения.
Что такое PIM для групп?
PIM для групп является частью Microsoft Entra управление привилегированными пользователями , а также PIM для ролей Microsoft Entra и PIM для ресурсов Azure, PIM для групп позволяет пользователям активировать владение или членство в группе безопасности Microsoft Entra или группы Microsoft 365. Группы можно использовать для управления доступом к различным сценариям, включая роли Microsoft Entra, роли Azure, SQL Azure, Azure Key Vault, Intune, другие роли приложений и сторонние приложения.
С помощью PIM для групп можно использовать политики, аналогичные тем, которые используются в PIM для ролей Microsoft Entra и PIM для ресурсов Azure: вы можете требовать утверждения для членства или активации владения, принудительно применять многофакторную проверку подлинности (MFA), требовать обоснование, ограничить максимальное время активации и многое другое. Каждая группа в PIM для групп имеет две политики: одну для активации членства и другую для активации владения в группе. До января 2023 г. функция PIM для групп называлась "Группы привилегированного доступа".
Примечание.
Для групп, используемых для повышения привилегий в роли Microsoft Entra, рекомендуется требовать процесс утверждения для соответствующих назначений участников. Назначения, которые могут быть активированы без утверждения, создают риск нарушения безопасности менее привилегированным администратором. Например, у администратора службы поддержки есть разрешение на сброс паролей разрешенных пользователей.
Что такое группы, назначаемые ролью Microsoft Entra?
При работе с идентификатором Microsoft Entra можно назначить группе безопасности Microsoft Entra или группе Microsoft 365 роль Microsoft Entra. Это возможно только с группами, созданными как назначаемые ролью.
Дополнительные сведения о группах, назначаемых ролем Microsoft Entra, см. в статье "Создание группы с возможностью назначения ролей" в идентификаторе Microsoft Entra.
Группы, назначаемые ролями, получают преимущества дополнительной защиты по сравнению с группами, не назначаемыми ролями:
- Группы с возможностью назначения ролей — только глобальные Администратор istrator, привилегированные роли Администратор istrator или владелец группы может управлять группой. Кроме того, другие пользователи не могут изменять учетные данные пользователей, которые являются (активными) членами группы. Эта функция помогает запретить администраторам сменить роль на более привилегированною без прохождения процедуры запроса и утверждения.
- Не назначаемые ролями группы — различные роли Microsoft Entra могут управлять этими группами, включая Администратор istratorы Exchange, группы Администратор istrator, user Администратор istrator и т. д. Кроме того, различные роли Microsoft Entra могут изменять учетные данные пользователей, которые являются (активными) участниками группы, включая проверки подлинности Администратор istrators, helpdesk Администратор istrators, user Администратор istrator и т. д.
Дополнительные сведения о встроенных ролях Microsoft Entra и их разрешениях см. в статье о встроенных ролях Microsoft Entra.
Компонент группы, назначаемой ролью Microsoft Entra, не является частью Microsoft Entra управление привилегированными пользователями (Microsoft Entra PIM). Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.
Связь между группами с возможностью назначения ролей и PIM для групп
Группы в идентификаторе Microsoft Entra можно классифицировать как назначаемые роли или не назначаемые роли. Кроме того, любая группа может быть включена или не включена для использования с Microsoft Entra управление привилегированными пользователями (PIM) для групп. Это независимые свойства группы. Любую группу безопасности Microsoft Entra и любую группу Microsoft 365 (за исключением динамических групп и групп, синхронизированных из локальной среды), можно включить в PIM для групп. Группе не нужно назначить группу с возможностью назначения ролей, чтобы включить ее в PIM для групп.
Если вы хотите назначить роль Microsoft Entra группе, она должна быть назначаемой ролью. Даже если вы не планируете назначать роль Microsoft Entra группе, но группа предоставляет доступ к конфиденциальным ресурсам, рекомендуется по-прежнему рассмотреть возможность создания группы в качестве назначаемой ролей. Это связано с дополнительными группами защиты, назначаемыми ролями, см. статью "Что такое группы, назначаемые ролью Microsoft Entra?" в приведенном выше разделе.
Внимание
До января 2023 года требуется, чтобы каждая группа привилегированного доступа (прежнее имя этой функции PIM для групп) должна быть группой с возможностью назначения ролей. Это ограничение в настоящее время удаляется. Из-за этого теперь можно включить более 500 групп на каждого клиента в PIM, но только 500 групп можно назначить роль.
Создание группы пользователей, имеющих право на роль Microsoft Entra
Существует два способа сделать группу пользователей правой на роль Microsoft Entra:
- Внесите активные назначения пользователей в группу, а затем назначьте группе роль в качестве правой активации.
- Сделайте активное назначение роли группе и назначьте пользователей право на членство в группах.
Предоставление группе пользователей с JIT-доступом к ролям Microsoft Entra с разрешениями в SharePoint, Exchange или Security и Портал соответствия требованиям Microsoft Purview (например, Exchange Администраторistrator role), обязательно убедитесь, что активные назначения пользователей в группу, а затем назначьте группу роли в качестве допустимой для активации (вариант 1 выше). Если вы решили сделать активное назначение группы роли и назначить пользователей право на членство в группах вместо этого, может потребоваться значительное время, чтобы иметь все разрешения роли активированы и готовы к использованию.
управление привилегированными пользователями и вложение групп
В идентификаторе Microsoft Entra группы, назначаемые ролью, не могут содержать другие группы, вложенные внутри них. Дополнительные сведения см. в статье "Использование групп Microsoft Entra для управления назначениями ролей". Это применимо к активному членству: одна группа не может быть активным участником другой группы, которая является назначаемой ролью.
Одна группа может быть участником другой группы, даже если одна из этих групп является назначаемой ролью.
Если пользователь является активным участником группы A, а группа A является допустимым членом группы B, пользователь может активировать свое членство в группе B. Эта активация доступна только для пользователя, запрашивающего активацию, это не означает, что вся группа А становится активным участником группы B.
управление привилегированными пользователями и подготовка приложений
Если группа настроена для подготовки приложений, активация членства в группе активирует подготовку членства в группе (и учетную запись пользователя, если она не была подготовлена ранее) в приложении с помощью протокола SCIM.
У нас есть функциональность, которая активирует подготовку сразу после активации членства в группе в PIM. Конфигурация подготовки зависит от приложения. Как правило, рекомендуется назначить приложению по крайней мере две группы. В зависимости от количества ролей в приложении можно определить дополнительные "привилегированные группы".
| Групповой | Характер использования | Участники | Членство в группе | Роль, назначенная в приложении |
|---|---|---|---|---|
| Группа всех пользователей | Убедитесь, что все пользователи, которым требуется доступ к приложению, постоянно подготавливаются к приложению. | Все пользователи, которым требуется доступ к приложению. | Активно | Нет или роль с низким уровнем привилегий |
| Привилегированная группа | Предоставьте jit-доступ к привилегированной роли в приложении. | Пользователи, которым требуется JIT-доступ к привилегированной роли в приложении. | Допустимо | Привилегированная роль |
Основные рекомендации
- Сколько времени требуется для подготовки пользователя к приложению?
- Когда пользователь добавляется в группу в идентификаторе Microsoft Entra ID за пределами активации членства в группе с помощью Microsoft Entra управление привилегированными пользователями (PIM):
- Членство в группе подготавливается в приложении во время следующего цикла синхронизации. Цикл синхронизации выполняется каждые 40 минут.
- Когда пользователь активирует членство в группе в Microsoft Entra PIM:
- Членство в группе подготавливается в течение 2–10 минут. При наличии высокой частоты запросов в один раз запросы регулируются с частотой 5 запросов в 10 секунд.
- Для первых пяти пользователей в течение 10-секундного периода активации членства в группе для определенного приложения членство в группах подготавливается в приложении в течение 2–10 минут.
- Для шестого пользователя и выше в течение 10-секундного периода активации членства в группе для определенного приложения членство в группе подготавливается к приложению в следующем цикле синхронизации. Цикл синхронизации выполняется каждые 40 минут. Ограничения регулирования относятся к корпоративному приложению.
- Когда пользователь добавляется в группу в идентификаторе Microsoft Entra ID за пределами активации членства в группе с помощью Microsoft Entra управление привилегированными пользователями (PIM):
- Если пользователю не удается получить доступ к необходимой группе в целевом приложении, просмотрите журналы PIM и журналы подготовки, чтобы убедиться, что членство в группе было успешно обновлено. В зависимости от того, как было разработано целевое приложение, может потребоваться дополнительное время для вступления в силу членства в группе в приложении.
- С помощью Azure Monitor клиенты могут создавать оповещения о сбоях.