Vad är Microsoft Entra Privileged Identity Management?
Artikel
Privileged Identity Management (PIM) är en tjänst i Microsoft Entra-ID som gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation. Dessa resurser omfattar resurser i Microsoft Entra-ID, Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune. I följande video förklaras viktiga PIM-begrepp och funktioner.
Skäl att använda
Organisationer vill minimera antalet personer som har åtkomst till säker information eller resurser, eftersom det minskar risken för
en illvillig aktör som får åtkomst
en behörig användare som oavsiktligt påverkar en känslig resurs
Användarna måste dock fortfarande utföra privilegierade åtgärder i Microsoft Entra-ID, Azure, Microsoft 365 eller SaaS-appar. Organisationer kan ge användare just-in-time privilegierad åtkomst till Azure- och Microsoft Entra-resurser och kan övervaka vad dessa användare gör med sin privilegierade åtkomst.
Privileged Identity Management ger tidsbaserad och godkännandebaserad rollaktivering för att minska risken för överdriven, onödig eller missbrukad åtkomstbehörighet för resurser som du bryr dig om. Här är några av de viktigaste funktionerna i Privileged Identity Management:
Ge privilegierad just-in-time-åtkomst till Microsoft Entra-ID och Azure-resurser
Tilldela tidsbunden åtkomst till resurser med hjälp av start- och slutdatum
Kräv godkännande för att aktivera privilegierade roller
Framtvinga multifaktorautentisering för att aktivera valfri roll
Använd motivering för att förstå varför användare aktiverar
Få meddelanden när privilegierade roller aktiveras
Utför åtkomstgranskningar för att se till att användare fortfarande behöver ha vissa roller
Ladda ned granskningshistorik för intern eller extern granskning
Förhindrar borttagning av de senaste aktiva rolltilldelningarna global administratör och privilegierad rolladministratör
Vad kan jag göra med det?
När du har konfigurerat Privileged Identity Management visas alternativen Uppgifter, Hantera och Aktivitet i den vänstra navigeringsmenyn. Som administratör kan du välja mellan alternativ som att hantera Microsoft Entra-roller, hantera Azure-resursroller eller PIM för grupper. När du väljer vad du vill hantera visas lämplig uppsättning alternativ för det alternativet.
Vem kan göra vad?
För Microsoft Entra-roller i Privileged Identity Management kan endast en användare som har rollen Privilegierad rolladministratör eller global administratör hantera tilldelningar för andra administratörer. Globala administratörer, säkerhetsadministratörer, globala läsare och säkerhetsläsare kan också visa tilldelningar till Microsoft Entra-roller i Privileged Identity Management.
För Azure-resursroller i Privileged Identity Management kan endast en prenumerationsadministratör, resursägare eller resursadministratör för användaråtkomst hantera tilldelningar för andra administratörer. Användare som är privilegierade rolladministratörer, säkerhetsadministratörer eller säkerhetsläsare har som standard inte åtkomst till att visa tilldelningar till Azure-resursroller i Privileged Identity Management.
Terminologi
För att bättre förstå Privileged Identity Management och dess dokumentation bör du granska följande villkor.
Term eller begrepp
Kategori för rolltilldelning
beskrivning
berättigad
Typ
En rolltilldelning som kräver att en användare utför en eller flera åtgärder för att använda rollen. Om en användare är berättigad till en roll kan de aktivera rollen när de behöver utföra privilegierade uppgifter. Det finns ingen skillnad i den åtkomst som ges till någon med en permanent kontra berättigad rolltilldelning. Den enda skillnaden är att vissa användare inte behöver den åtkomsten hela tiden.
aktiv
Typ
En rolltilldelning som inte kräver att en användare utför några åtgärder för att använda rollen. Användare som är tilldelade som aktiva har de behörigheter som rollen har tilldelats.
aktivera
Processen med att utföra en eller flera åtgärder för att använda en roll som en användare är berättigad för. Åtgärder kan vara att utföra en MFA-kontroll (multifaktorautentisering), tillhandahålla en affärsmotivering eller begära godkännande från utsedda godkännare.
tilldelad
Tillstånd
En användare som har en aktiv rolltilldelning.
aktiverad
Tillstånd
En användare som har en berättigad rolltilldelning, utförde åtgärderna för att aktivera rollen och nu är aktiv. När den har aktiverats kan användaren använda rollen under en förkonfigurerad tidsperiod innan de behöver aktiveras igen.
permanent berättigad
Varaktighet
En rolltilldelning där en användare alltid är berättigad att aktivera rollen.
permanent aktiv
Varaktighet
En rolltilldelning där en användare alltid kan använda rollen utan att utföra några åtgärder.
tidsbegränsad berättigad
Varaktighet
En rolltilldelning där en användare är berättigad att aktivera rollen endast inom start- och slutdatum.
tidsbunden aktiv
Varaktighet
En rolltilldelning där en användare endast kan använda rollen inom start- och slutdatum.
just-in-time-åtkomst (JIT)
En modell där användare får tillfälliga behörigheter för att utföra privilegierade uppgifter, vilket hindrar skadliga eller obehöriga användare från att få åtkomst när behörigheterna har upphört att gälla. Åtkomst beviljas endast när användare behöver den.
princip om minsta behörighetsåtkomst
En rekommenderad säkerhetspraxis där varje användare endast har de minsta behörigheter som krävs för att utföra de uppgifter som de har behörighet att utföra. Den här metoden minimerar antalet globala administratörer och använder i stället specifika administratörsroller för vissa scenarier.
Översikt över rolltilldelning
PIM-rolltilldelningarna ger dig ett säkert sätt att bevilja åtkomst till resurser i din organisation. I det här avsnittet beskrivs tilldelningsprocessen. Den innehåller tilldela roller till medlemmar, aktivera tilldelningar, godkänna eller neka begäranden, utöka och förnya tilldelningar.
PIM håller dig informerad genom att skicka e-postmeddelanden till dig och andra deltagare. Dessa e-postmeddelanden kan också innehålla länkar till relevanta uppgifter, till exempel aktivera, godkänna eller neka en begäran.
Följande skärmbild visar ett e-postmeddelande som skickas av PIM. E-postmeddelandet informerar Patti om att Alex uppdaterade en rolltilldelning för Emily.
Tilldela
Tilldelningsprocessen startar genom att tilldela roller till medlemmar. För att ge åtkomst till en resurs tilldelar administratören roller till användare, grupper, tjänstens huvudnamn eller hanterade identiteter. Tilldelningen innehåller följande data:
De medlemmar eller ägare som ska tilldela rollen.
Tilldelningens omfattning. Omfånget begränsar den tilldelade rollen till en viss uppsättning resurser.
Typen av tilldelning
Berättigade tilldelningar kräver att rollens medlem utför en åtgärd för att använda rollen. Åtgärder kan omfatta aktivering eller begäran om godkännande från utsedda godkännare.
Aktiva tilldelningar kräver inte att medlemmen utför någon åtgärd för att använda rollen. Medlemmar som tilldelats som aktiva har tilldelats rollens behörigheter.
Varaktigheten för tilldelningen, med start- och slutdatum eller permanent. För berättigade tilldelningar kan medlemmarna aktivera eller begära godkännande under start- och slutdatumen. För aktiva tilldelningar kan medlemmarna använda den tilldelade rollen under den här tidsperioden.
Följande skärmbild visar hur administratören tilldelar en roll till medlemmar.
Om användarna är berättigade till en roll måste de aktivera rolltilldelningen innan de använder rollen. För att aktivera rollen väljer användarna specifik aktiveringstid inom det maximala värdet (konfigurerat av administratörer) och orsaken till aktiveringsbegäran.
Följande skärmbild visar hur medlemmar aktiverar sin roll till en begränsad tid.
Om rollen kräver godkännande för att aktiveras visas ett meddelande i det övre högra hörnet i användarens webbläsare som informerar dem om att begäran väntar på godkännande. Om ett godkännande inte krävs kan medlemmen börja använda rollen.
Delegerade godkännare får e-postaviseringar när en rollbegäran väntar på godkännande. Godkännare kan visa, godkänna eller neka dessa väntande begäranden i PIM. När begäran har godkänts kan medlemmen börja använda rollen. Om en användare eller grupp till exempel har tilldelats rollen Bidrag till en resursgrupp kan de hantera den specifika resursgruppen.
När administratörer har konfigurerat tidsbundna ägar- eller medlemstilldelningar är den första frågan du kan ställa dig vad som händer om en tilldelning upphör att gälla? I den här nya versionen tillhandahåller vi två alternativ för det här scenariot:
Utöka – När en rolltilldelning snart upphör att gälla kan användaren använda Privileged Identity Management för att begära ett tillägg för rolltilldelningen
Förnya – När en rolltilldelning upphör att gälla kan användaren använda Privileged Identity Management för att begära en förnyelse för rolltilldelningen
Båda användarinitierade åtgärder kräver ett godkännande från en global administratör eller privilegierad rolladministratör. Administratörer behöver inte hantera förfallodatum för tilldelningar. Du kan bara vänta tills tilläggs- eller förnyelsebegäranden tas emot för enkelt godkännande eller avslag.
This module examines how Microsoft Entra Privileged Identity Management (PIM) ensures users in your organization have just the right privileges to perform the tasks they need to accomplish.
Demonstrera funktionerna i Microsoft Entra ID för att modernisera identitetslösningar, implementera hybridlösningar och implementera identitetsstyrning.