Часто задаваемые вопросы

  • Статья

В этой статье приведены ответы на часто задаваемые вопросы о Управление разрешениями Microsoft Entra.

Что Управление разрешениями Microsoft Entra?

Управление разрешениями Microsoft Entra (управление разрешениями) — это решение для управления правами на доступ к облачной инфраструктуре (CIEM), которое обеспечивает полное представление о разрешениях, назначенных всем удостоверениям. Например, слишком привилегированная рабочая нагрузка и удостоверения пользователей, действия и ресурсы в многооблачных инфраструктурах в Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). Управление разрешениями обнаруживает разрешения, автоматически подбирает их уровни и постоянно наблюдает за неиспользуемыми и избыточными разрешениями. CloudKnox усиливает стратегию безопасности, основанную на модели "Никому не доверяй", чтобы расширить принцип доступа с минимальными необходимыми привилегиями.

Что необходимо для работы с Управлением разрешениями?

Управление разрешениями поддерживает сбор данных из AWS, GCP и (или) Microsoft Azure. Для сбора и анализа данных клиентам требуется учетная запись Microsoft Entra для использования управления разрешениями.

Может ли клиент использовать управление разрешениями, если у них есть другие удостоверения с доступом к своей платформе IaaS, которая еще не установлена в идентификаторе Microsoft Entra?

Да, клиент может обнаруживать, устранять и отслеживать риски для учетных записей AWS IAM или GCP или других поставщиков удостоверений, таких как Okta или AWS IAM.

Где клиенты могут получить доступ к Управлению разрешениями?

Клиенты могут получить доступ к интерфейсу управления разрешениями из Центра администрирования Microsoft Entra.

Могут ли клиенты, отличные от облака, использовать локальное управление разрешениями?

Нет, Управление разрешениями является размещенным в облаке предложением.

Могут ли клиенты, не относящиеся к Azure, использовать Управление разрешениями?

Да, клиенты, не относящиеся к Azure, могут использовать наше решение. Управление разрешениями — это решение с несколькими облаками, поэтому даже клиенты, у которых нет подписки на Azure, могут воспользоваться им.

Доступно ли Управление разрешениями для арендаторов, размещенных в Европейском Союзе (ЕС)?

Да, Управление разрешениями сейчас доступно для арендаторов, размещенных в Европейском Союзе (ЕС)?

Если я уже использую идентификатор Microsoft Entra id управление привилегированными пользователями (PIM) для Azure, какое значение предоставляет управление разрешениями?

Управление разрешениями дополняет Microsoft Entra PIM. Microsoft Entra PIM предоставляет JIT-доступ для ролей администратора в Azure и Microsoft Online Services и приложениях, использующих группы. Управление разрешениями позволяет выполнять многооблачное обнаружение, исправление и мониторинг привилегированного доступа в Azure, AWS и GCP.

Какие общедоступные облачные инфраструктуры поддерживают управление разрешениями?

Сейчас Управление разрешениями поддерживает три основных общедоступных облака: Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure.

Поддерживает ли Управление разрешениями гибридные среды?

Управление разрешениями сейчас не поддерживает гибридные среды.

Какие типы удостоверений поддерживают управление разрешениями?

Управление разрешениями поддерживает удостоверения пользователей (например, сотрудников, клиентов, внешних партнеров) и удостоверения рабочей нагрузки (например, виртуальных машин, контейнеров, веб-приложений, бессерверных функций).

Доступно ли Управление разрешениями в облаке для государственных организаций?

Нет, Управление разрешениями сейчас недоступно в облаках для государственных организаций.

Доступно ли Управление разрешениями для независимых облаков?

Нет, Управление разрешениями сейчас недоступно в независимых облаках.

Как Управление разрешениями собирает информацию об использовании разрешений?

Управление разрешениями имеет сборщик данных, который собирает разрешения на доступ, назначенные различным удостоверениям, журналам действий и метаданным ресурсов. Сборщик данных обеспечивает полную видимость разрешений, предоставленных всем удостоверениям для доступа к ресурсам и подробным сведениям об использовании предоставленных разрешений.

Как Управление разрешениями оценивает риски, связанные с облачными разрешениями?

Управление разрешениями предоставляет детальную информацию обо всех удостоверениях и их разрешениях, предоставленных и используемых, в облачных инфраструктурах, что позволяет обнаружить любые действия, выполняемые любым удостоверением с любым ресурсом. Видимость не ограничивается только удостоверениями пользователей, но и удостоверениями рабочей нагрузки, такими как виртуальные машины, ключи доступа, контейнеры и скрипты. На панели мониторинга приводятся общие сведения о профиле разрешений для выявления удостоверений и ресурсов, связанных с наибольшим риском.

Что такое индекс смещения разрешений?

Индекс смещения разрешений (PCI) — это количественная мера рисков, связанных с удостоверением или ролью, определяемая путем сравнения предоставленных и используемых разрешений. Он позволяет пользователям мгновенно оценить уровень риска, связанный с количеством неиспользуемых или избыточно подготовленных разрешений для удостоверений и ресурсов. Он измеряет, какой ущерб могут вызвать удостоверения исходя из предоставленных им разрешений.

Как клиенты могут использовать Управление разрешениями для удаления неиспользуемых или избыточных разрешений?

Управление разрешениями позволяет пользователям легко устранить избыточные разрешения и автоматизировать применение политики минимальных необходимых разрешений. Решение постоянно анализирует данные об использовании исторических разрешений для каждого удостоверения и предоставляет клиентам возможность правильного размера разрешений для этих удостоверений только для повседневных операций. Все неиспользуемые и другие связанные с риском разрешения могут быть автоматически удалены.

Почему пользователь, который я удалил, по-прежнему отображается на вкладке "Аналитика"?

Проверьте, назначена ли пользователю роль классического Администратор istrator. Классические роли администратора не удаляются при удалении пользователя. Чтобы устранить эту проблему, перейдите на страницу классического администратора и удалите назначение этой роли отдельно для пользователя.

Как клиенты могут предоставлять разрешения по запросу с помощью Управления разрешениями?

Для любых сценариев, в которых требуется экстренный или однократный доступ, чтобы удостоверение могло выполнить определенный набор действий с набором определенных ресурсов, удостоверение может запросить эти разрешения на ограниченное время с помощью рабочего процесса самообслуживания. Клиенты могут использовать встроенный обработчик рабочих процессов или средство управление ИТ-услугами (ITSM). Взаимодействие с пользователем будет одинаковым для любого типа удостоверения, источника удостоверения (локального, корпоративного каталога или федеративного) и облака.

В чем разница между разрешениями по запросу и JIT-доступом?

JIT-доступ — это метод, который используется для реализации принципа наименьших необходимых разрешений, чтобы удостоверения получали минимальный уровень разрешений для выполнения поставленной задачи. Разрешения по запросу являются типом JIT-доступа, который обеспечивает временное повышение разрешений, позволяя удостоверениям получать доступ к ресурсам по запросу на ограниченное время.

Как клиенты могут отслеживать использование разрешений с помощью Управления разрешениями?

Клиентам необходимо отслеживать эволюцию индекса разрешений (PCI) только для отслеживания использования разрешений. Клиенты могут отслеживать PCI на вкладке "Аналитика " на панели мониторинга управления разрешениями.

Могут ли клиенты создавать отчеты об использовании разрешений?

Да, в Управлении разрешениями доступны разные типы системных отчетов для записи определенных наборов данных. Эти отчеты позволяют клиентам:

  • принимать своевременные решения;
  • анализировать тенденции использования и производительность системы и пользователей;
  • выявлять областей с высоким риском.

Сведения об отчетах об использовании разрешений см. а статье Создание и скачивание отчета аналитики разрешений.

Интегрируется ли Управление разрешениями со сторонними инструментами управления безопасностью информационных технологий (ITSM)?

Интеграция с инструментами ITMS, такими как ServiceNow, является частью будущих разработок.

Как развертывается Управление разрешениями?

Клиенты с ролью Global Администратор istrator сначала должны подключить управление разрешениями в клиенте Microsoft Entra, а затем подключить свои учетные записи AWS, проекты GCP и подписки Azure. Дополнительные сведения о подключении можно найти в документации по продукту.

Сколько времени займет развертывание Управления разрешениями?

Это зависит от каждого клиента и количества учетных записей AWS, проектов GCP и подписок Azure.

Как быстро можно получить аналитические сведения о разрешениях после развертывания Управления разрешениями?

После полного подключения с настройкой сбора данных клиенты могут получить доступ к аналитическим сведениям об использовании разрешений в течение нескольких часов. Наша подсистема машинного обучения обновляет индекс смещения разрешений каждый час, чтобы клиенты могли сразу же начать оценку рисков.

Осуществляет ли Управление разрешениями сбор и хранение конфиденциальных персональных данных?

Нет, Управление разрешениями не имеет доступа к конфиденциальным персональным данным.

Где можно найти дополнительные сведения об Управлении разрешениями?

Вы можете прочитать наш блог и посетить нашу веб-страницу. Вы также можете связаться с точкой контакта корпорации Майкрософт, чтобы запланировать демонстрацию.

Что собой представляет процесс уничтожения или ликвидации данных?

Если клиент инициирует бесплатную пробную версию управления разрешениями 45 дней и не преобразуется в платную лицензию в течение 45 дней окончания срока действия пробной версии, все собранные данные удаляются в течение 30 дней после окончания срока действия пробной версии.

Если клиент решит прекратить лицензирование службы, все собранные ранее данные удаляются в течение 30 дней после прекращения лицензии.

Клиенты также могут удалять, экспортировать или изменять определенные данные, если глобальный Администратор istrator с помощью файлов службы "Управление разрешениями" официального запроса субъекта данных. Чтобы отправить запрос, выполните приведенные действия.

Если вы являетесь корпоративным клиентом, вы можете обратиться к представителю Майкрософт, группе учетных записей или администратору клиента, чтобы отправить запрос в службу поддержки IcM с высоким приоритетом, запрашивая запрос субъекта данных. Не включайте сведения или личные сведения в запрос IcM. Мы будем обращаться к вам за этими сведениями только после подачи IcM.

Если вы являетесь клиентом самообслуживания (вы настроили пробную или платную лицензию в Центр администрирования Microsoft 365), вы можете связаться с командой конфиденциальности "Управление разрешениями", выбрав раскрывающееся меню профиля, а затем учетная запись Параметры в службе "Управление разрешениями". Следуйте инструкциям, чтобы сделать запрос субъекта данных.

Дополнительные сведения о запросах субъекта данных Azure.

Требуется ли лицензия на использование Управление разрешениями Microsoft Entra?

Да, по состоянию на 1 июля 2022 г. новые клиенты должны получить бесплатную пробную лицензию на 45 дней или платную лицензию для использования службы. Вы можете включить пробную версию по ссылке https://aka.ms/TryPermissionsManagement либо напрямую приобрести лицензии на основе ресурсов здесь: https://aka.ms/BuyPermissionsManagement.

Как ценовая цена на управление разрешениями?

Управление разрешениями составляет $125 за ресурсы/год ($10,40 за ресурс/месяц). Для управления разрешениями требуются лицензии для рабочих нагрузок, включая любой ресурс, использующий вычислительные ресурсы или память.

Нужно ли платить за все ресурсы?

Хотя управление разрешениями поддерживает все ресурсы, корпорация Майкрософт требует только лицензии для оплачиваемых ресурсов в облачной среде. Дополнительные сведения о оплачиваемых ресурсах см . в разделе "Просмотр оплачиваемых ресурсов", перечисленных в системе авторизации.

Разделы справки вычислить количество оплачиваемых ресурсов?

Чтобы вычислить оплачиваемые ресурсы, которые у вас есть в многооблачной инфраструктуре, сначала необходимо активировать бесплатную пробную версию управления разрешениями 45 дней или приобрести платную лицензию. В разделе "Управление разрешениями" выберите Параметры (значок шестеренки), а затем перейдите на вкладку "Оплачиваемые ресурсы". Просмотрите количество оплачиваемых ресурсов в столбце "Общее количество лицензий".

Что делать, если я использую устаревшую версию службы CloudKnox?

В настоящее время мы работаем над разработкой плана миграции, чтобы помочь клиентам в исходной службе CloudKnox перейти на новую службу Управление разрешениями Microsoft Entra позже в 2022 году.

Можно ли использовать Управление разрешениями Microsoft Entra в ЕС?

Да, этот продукт соответствует требованиям.

Как включить один из новых 18 языков, поддерживаемых в общедоступной версии?

Служба теперь локализована на 18 языков. Мы уважаем параметры браузера или вы можете вручную включить выбранный язык, добавив суффикс строки запроса в URL-адрес Управление разрешениями Microsoft Entra:

?lang=xx-XX

Здесь xx-XX является одним из следующих доступных языковых параметров: cs-CZ, de-DE, en-US, es-ES, Fr-FR, hu-HU, id-ID, it-IT, ja-JP, ko-KR, nl-NL, pl-PL, pt-BR, pt-PT, ru-RU, sv-SE, tr-TR, zh-CN или zh-TW.

Ресурсы

Следующие шаги