Skydda åtkomst till privata program med Privileged Identity Management (PIM) och global säker åtkomst

Microsoft Entra privatåtkomst ger säker åtkomst till privata program. Privat åtkomst innehåller inbyggda funktioner för att upprätthålla en säker miljö. Microsoft Entra privatåtkomst gör detta genom att kontrollera åtkomsten till privata appar och förhindra obehöriga eller komprometterade enheter från att komma åt kritiska resurser. Allmän företagsåtkomst finns i Microsoft Entra Private Access.

I scenariot där du behöver styra åtkomsten till specifika kritiska resurser, till exempel högt värderade servrar och program, rekommenderar Microsoft att du lägger till ett extra säkerhetslager genom att framtvinga just-in-time-privilegierad åtkomst ovanpå deras redan skyddade privata åtkomst.

I den här artikeln beskrivs hur du använder Microsoft Entra privatåtkomst för att aktivera Privileged Identity Management (PIM) med global säker åtkomst. Mer information om aktivering (PIM) finns i Vad är Microsoft Entra Privileged Identity Management?.

Säkerställa säker åtkomst till dina privata program med högt värde

Kunder bör överväga att konfigurera PIM med global säker åtkomst för att aktivera:

Förbättrad säkerhet: PIM möjliggör just-in-time-privilegierad åtkomst, vilket minskar risken för överdriven, onödig eller missbrukad åtkomstbehörighet i din miljö. Den här förbättrade säkerheten överensstämmer med nollförtroendeprincipen , vilket säkerställer att användarna bara har åtkomst när de behöver den.

Efterlevnad och granskning: Genom att använda PIM med Microsoft Global Secure Access kan du se till att din organisation uppfyller efterlevnadskraven genom att tillhandahålla detaljerad spårning och loggning av privilegierade åtkomstbegäranden. Mer information om PIM-licensiering finns i Grunderna för Microsoft Entra ID-styrningslicensiering

Förutsättningar

• Microsoft Entra ID-licens som innehåller Privileged Identity Management (PIM)
• Privat åtkomst till Microsoft Entra

Säker privat åtkomst

Om du vill implementera säker privat åtkomst måste du utföra följande tre steg:

1. Konfigurera och tilldela grupper
2. Aktivera privilegierad åtkomst
3. Följ efterlevnadsvägledningen

Steg 1: Konfigurera och tilldela grupper

Till att börja med konfigurerar och tilldelar vi grupper genom att skapa en Microsoft Entra-ID-grupp, registrera den som en PIM-hanterad grupp, uppdatera grupptilldelningar med berättigat medlemskap och ange åtkomst för användare och enheter.

1. Logga in på Microsoft Entra som minst en privilegierad rolladministratör.

2. Bläddra till Entra ID>Grupper>Alla grupper.

   

3. Välj Ny grupp.

4. I grupptypen väljer du Säkerhet.

5. Ange ett gruppnamn; till exempel FinReport-SeniorAnalyst-SecureAccess.

   • Det här gruppnamnsexemplet anger programmet (FinReport), rollen (SeniorAnalyst) och gruppens natur (SecureAccess). Vi rekommenderar att du väljer ett namn som återspeglar gruppens funktion eller de tillgångar som den skyddar.

6. I alternativet Medlemskapstyp väljer du Tilldelad.

7. Välj Skapa.

   

Registrera gruppen i PIM

1. Logga in på Microsoft Entra som minst en privilegierad rolladministratör.
2. Bläddra till ID Governance>Privileged Identity Management.
3. Välj Grupper och sedan Identifiera grupper.
4. Välj den grupp som du skapade. Välj till exempel FinReport-SeniorAnalyst-SecureAccessHantera grupper.
5. När du uppmanas att registrera dig väljer du OK.

Uppdatera PIM-principrollinställningar (valfritt steg)

1. Välj Inställning och sedan Medlem.
2. Justera alla andra inställningar som du vill ha på fliken Aktivering .
3. Ange maximal varaktighet för aktivering. till exempel 0,5 timmar.
4. I alternativet Vid aktivering kräver du Azure MFA och väljer Uppdatera.

Tilldela berättigat medlemskap

1. Välj Tilldelningar och sedan Lägg till tilldelningar.

   

2. I alternativet Roll väljer du Medlem och sedan Nästa.

3. Lägg till de valda medlemmar som du vill inkludera för rollen.

4. I alternativet Tilldelningstyp väljer du Berättigad och sedan Tilldela.

Snabb åtkomsttilldelning

1. Logga in på Microsoft Entra som minst en privilegierad rolladministratör.
2. Bläddra till >>
3. Välj Lägg till användare/grupp och ange sedan den grupp som du skapade. till exempel FinReport-SeniorAnalyst-SecureAccess.

Kommentar

Det här scenariot är mest effektivt när du väljer Åtkomst per app, eftersom snabbåtkomst endast används här som referens. Använd samma steg om du väljer Företagsprogram.

Upplevelse på klientsidan

Även om en användare och deras enhet uppfyller säkerhetskraven resulterar försök att komma åt en privilegierad resurs till ett fel. Det här felet beror på att Microsoft Entra privatåtkomst känner igen att användaren inte har tilldelats åtkomst till programmet.

Steg 2: Aktivera privilegierad åtkomst

Därefter aktiverar vi gruppmedlemskap med hjälp av administrationscentret för Microsoft Entra och försöker sedan ansluta med den nya rollen aktiverad.

1. Logga in på Microsoft Entra.

2. Bläddra till ID Governance>Privileged Identity Management.

3. Välj Mina roller>Grupper för att se alla berättigade tilldelningar.

   

4. Välj Aktivera och skriv sedan orsaken i rutan Orsak . Du kan också välja att justera parametrarna för sessionen och sedan välja Aktivera.

   

5. När rollen har aktiverats får du en bekräftelse från portalen.

   

Försök att ansluta igen med rollen aktiverad

Bläddra bland någon av de publicerade resurserna, eftersom du bör kunna ansluta till dem.

Inaktivera rollen

Om arbetet har slutförts före den tid du allokerade kan du välja att inaktivera rollen. Den här åtgärden avslutar rollmedlemskapet.

1. Logga in på Microsoft Entra.

2. Bläddra till ID Governance>Privileged Identity Management.

3. Välj Mina roller och sedan Grupper.

4. Välj Inaktivera.

   

5. En bekräftelse skickas till dig när rollen har inaktiverats.

Steg 3: Följ efterlevnadsvägledningen

Med det här sista steget kan du upprätthålla en historik över åtkomstbegäranden och aktiveringar. Standardloggformatet hjälper till att uppfylla vägledningen för spårning och loggningsefterlevnad och tillhandahålla en spårningslogg.