Настройка параметров роли ресурса Azure в Azure Active Directory Privileged Identity Management
В управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, который является частью Microsoft Entra, параметры роли определяют свойства назначения ролей. Эти свойства включают многофакторную проверку подлинности и требования к утверждению для активации, максимальной длительности назначения и параметров уведомлений. В этой статье показано, как настроить параметры ролей и настроить рабочий процесс утверждения, чтобы указать, кто может утвердить или запретить запросы на повышение привилегий.
Для управления параметрами ролей PIM для ресурса необходимо иметь роль владельца или доступа пользователей Администратор istrator. Параметры роли определяются для каждой роли и для каждого ресурса. Все назначения для одной роли соответствуют одинаковым параметрам ролей. Параметры роли одной роли не зависят от параметров роли другой роли. Параметры ролей одного ресурса не зависят от параметров роли другого ресурса. Параметры ролей, настроенные на более высоком уровне, например подписка, не наследуются на более низком уровне, например в группе ресурсов.
Параметры роли PIM также называются политиками PIM.
Открытие параметров роли
Чтобы открыть параметры роли ресурса Azure, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> Azure Resources. На этой странице можно выбрать тип ресурса, который требуется управлять. Начните с раскрывающегося списка группы управления или в раскрывающемся списке "Подписки", а затем выберите группы ресурсов или ресурсы по мере необходимости.
Выберите ресурс, для которого необходимо настроить параметры роли PIM.
Выберите Параметры. Просмотрите список политик PIM для выбранного ресурса.
Выберите роль или политику, которую требуется настроить.
Выберите "Изменить", чтобы обновить параметры роли.
Выберите Обновить.
Параметры роли
В этом разделе рассматриваются параметры параметров роли.
Максимальная длительность активации
С помощью ползунка Максимальная длительность активации установите максимальное время в часах, когда назначение ролей остается активным до истечения срока его действия. Это значение может быть от 1 до 24 часов.
При активации требуется многофакторная проверка подлинности
Вы можете требовать от пользователей, имеющих право на роль, чтобы доказать, кто они являются с помощью функции многофакторной проверки подлинности в идентификаторе Microsoft Entra ID, прежде чем они смогут активировать. Многофакторная проверка подлинности помогает защитить доступ к данным и приложениям. Он предоставляет еще один уровень безопасности с помощью второй формы проверки подлинности.
Пользователи могут не запрашивать многофакторную проверку подлинности, если они прошли проверку подлинности с помощью надежных учетных данных или предоставили многофакторную проверку подлинности ранее в этом сеансе.
Если ваша цель заключается в том, чтобы пользователи могли обеспечить проверку подлинности во время активации, вы можете использовать режим активации, требовать контекст проверки подлинности условного доступа Microsoft Entra вместе с преимуществами проверки подлинности. Эти параметры требуют, чтобы пользователи прошли проверку подлинности во время активации с помощью методов, отличных от методов, которые они использовали для входа на компьютер.
Например, если пользователи войдете на компьютер с помощью Windows Hello для бизнеса, то при активации требуется контекст проверки подлинности Microsoft Entra условного доступа и сила проверки подлинности, чтобы пользователи могли выполнять вход без пароля с помощью Microsoft Authenticator при активации роли.
После того как пользователь предоставляет вход без пароля в Microsoft Authenticator один раз в этом примере, он может выполнить следующую активацию в этом сеансе без другой проверки подлинности. Вход без пароля с помощью Microsoft Authenticator уже является частью их токена.
Рекомендуется включить функцию многофакторной проверки подлинности идентификатора Microsoft Entra для всех пользователей. Дополнительные сведения см. в статье Планирование развертывания многофакторной проверки подлинности Microsoft Entra.
Для активации требуется контекст проверки подлинности условного доступа Microsoft Entra
Вы можете требовать, чтобы пользователи, имеющие право на роль, соответствовали требованиям политики условного доступа. Например, вы можете требовать, чтобы пользователи использовали определенный метод проверки подлинности, применяемый с помощью возможностей проверки подлинности, повысить роль с устройства, совместимого с Intune, и соблюдать условия использования.
Чтобы применить это требование, необходимо создать контекст проверки подлинности условного доступа.
Настройте политику условного доступа, которая будет применять требования для этого контекста проверки подлинности.
Настройте контекст проверки подлинности в параметрах PIM для роли.
Если параметры PIM имеют параметр On activation, требуется контекст проверки подлинности условного доступа Microsoft Entra, политики условного доступа определяют условия, которые пользователь должен соответствовать требованиям к доступу.
Это означает, что субъекты безопасности с разрешениями на управление политиками условного доступа, такими как администраторы условного доступа или администраторы безопасности, могут изменять требования, удалять их или блокировать активацию роли соответствующими пользователями. Субъекты безопасности, которые могут управлять политиками условного доступа, должны рассматриваться как высоко привилегированные и защищенные соответствующим образом.
Рекомендуется создать и включить политику условного доступа для контекста проверки подлинности перед настройкой контекста проверки подлинности в параметрах PIM. В качестве механизма защиты резервных копий, если в клиенте нет политик условного доступа, настроенных в параметрах PIM, во время активации роли PIM функция многофакторной проверки подлинности в идентификаторе Microsoft Entra ID требуется, чтобы параметр многофакторной проверки подлинности был установлен.
Этот механизм защиты резервного копирования предназначен исключительно для защиты от сценария, когда параметры PIM были обновлены до создания политики условного доступа из-за ошибки конфигурации. Этот механизм защиты резервного копирования не активируется, если политика условного доступа отключена, находится в режиме только для отчетов или имеет соответствующего пользователя, исключенного из политики.
Для активации требуется параметр контекста проверки подлинности Microsoft Entra Условного доступа определяет требования к контексту проверки подлинности, которые пользователи должны удовлетворять при активации роли. После активации роли пользователи не запрещают использовать другой сеанс просмотра, устройство или расположение для использования разрешений.
Например, пользователи могут использовать устройство, совместимое с Intune, для активации роли. Затем после активации роли они могут войти в ту же учетную запись пользователя с другого устройства, которое не соответствует Intune и использовать ранее активированную роль.
Чтобы предотвратить эту ситуацию, можно область политики условного доступа для применения определенных требований для соответствующих пользователей напрямую. Например, вы можете требовать, чтобы пользователи, имеющие право на определенные роли, всегда использовали устройства, совместимые с Intune.
Дополнительные сведения о контексте проверки подлинности условного доступа см. в разделе "Условный доступ": облачные приложения, действия и контекст проверки подлинности.
Требовать обоснование при активации
Вы можете требовать, чтобы пользователи вводили бизнес-обоснование при активации соответствующего назначения.
Требовать сведения о билете при активации
При активации соответствующего назначения пользователям может потребоваться ввести номер запроса в службу поддержки. Этот параметр является полем только для сведений. Корреляция с информацией в любой системе билетов не применяется.
Для активации требуется утверждение
Для активации соответствующего назначения можно требовать утверждение. Утверждающий не должен иметь ролей. При использовании этого параметра необходимо выбрать по крайней мере один утверждающий. Рекомендуется выбрать по крайней мере два утверждающих. Утверждающих по умолчанию нет.
Дополнительные сведения об утверждениях см. в статье "Утверждение или отклонение запросов для ролей Microsoft Entra" в управление привилегированными пользователями.
Длительность назначений
При настройке параметров роли можно выбрать один из двух вариантов длительности назначения для каждого типа назначения: допустимый и активный. Эти параметры определяют максимальную длительность по умолчанию для пользователей, которым назначается эта роль в управлении привилегированными пользователями.
Вы можете выбрать один из следующих вариантов продолжительности для допустимых назначений.
| Параметр | Description |
|---|---|
| Разрешить постоянное соответствующее назначение | Администраторы ресурсов могут назначать постоянные подходящие назначения. |
| Установить срок действия допустимой роли | Администраторы ресурсов могут потребовать, чтобы у всех допустимых назначений были заданы даты начала и окончания действия. |
Вы также можете выбрать один из этих параметров длительности активных назначений.
| Параметр | Description |
|---|---|
| Разрешить постоянное активное назначение | Администраторы ресурсов могут назначать постоянные активные назначения. |
| Установить срок действия активной роли | Администраторы ресурсов могут потребовать, чтобы у всех активных назначений были заданы даты начала и окончания действия. |
Все назначения, имеющие указанную дату окончания, могут быть продлены глобальными администраторами и администраторами привилегированных ролей. Кроме того, пользователи могут самостоятельно создавать запросы на продление или обновление назначений роли.
Требовать Многофакторную идентификацию для активного назначения
Администратор может требовать, чтобы администратор предоставлял многофакторную проверку подлинности при создании активного назначения (в отличие от соответствующего назначения). управление привилегированными пользователями не может применять многофакторную проверку подлинности, если пользователь использует назначение роли, так как он уже активен в роли с момента назначения.
Администратор может не запрашивать многофакторную проверку подлинности, если они прошли проверку подлинности с помощью надежных учетных данных или предоставили многофакторную проверку подлинности ранее в этом сеансе.
Требовать обоснование для активного назначения
Вы можете требовать, чтобы пользователи ввели бизнес-обоснование при создании активного (а не соответствующего) назначения.
На вкладке "Уведомления" на странице параметров роли управление привилегированными пользователями обеспечивает детальный контроль над тем, кто получает уведомления и какие уведомления они получают.
- Отключение сообщения электронной почты. Вы можете отключить определенные сообщения электронной почты, очищая получатель по умолчанию проверка box и удаляя других получателей.
- Ограничить адреса электронной почты указанными адресами электронной почты: вы можете отключить сообщения электронной почты, отправленные получателям по умолчанию, очистив адрес получателя по умолчанию проверка box. Затем можно добавить другие адреса электронной почты в качестве получателей. Если вы хотите добавить несколько адресов электронной почты, разделите их с запятой (;).
- Отправлять сообщения электронной почты как получателям по умолчанию, так и другим получателям: вы можете отправлять сообщения электронной почты как получателю по умолчанию, так и другому получателю. Выберите получатель по умолчанию проверка box и добавьте адреса электронной почты для других получателей.
- Только критически важные сообщения электронной почты: для каждого типа электронной почты можно выбрать проверка box только для получения критически важных сообщений электронной почты. управление привилегированными пользователями продолжает отправлять сообщения электронной почты указанным получателям только в том случае, если сообщение электронной почты требует немедленного действия. Например, сообщения электронной почты, которые просят пользователей расширить назначение ролей, не активируются. Сообщения электронной почты, требующие от администраторов утверждения запроса на расширение, активируются.
Примечание.
Одно событие в управление привилегированными пользователями может создавать Уведомления по электронной почте для нескольких получателей— назначателей, утверждающих или администраторов. Максимальное количество уведомлений, отправленных на одно событие, равно 1000. Если число получателей превышает 1000, то только первые 1000 получателей получат уведомление по электронной почте. Это не препятствует другим назначателям, администраторам или утверждавшим использовать их разрешения в идентификаторе Microsoft Entra и управление привилегированными пользователями.