Definiera en strategi för privilegierad åtkomst för administrativa användare
Vad är Privileged Identity Management (PIM)?
PIM är en tjänst i Microsoft Entra ID för att hantera åtkomst till privilegierade resurser. MED PIM kan du hantera, kontrollera och övervaka åtkomsten till viktiga resurser i din organisation. Sådana resurser omfattar dem i Microsoft Entra-ID, Azure och andra Microsoft Online-tjänster, till exempel Microsoft 365 eller Microsoft Intune.
Vad gör PIM?
PIM tillhandahåller tidsbaserad och godkännandebaserad rollaktivering för åtkomst till resurser. Detta bidrar till att minska risken för överdriven, onödig eller missbrukad åtkomstbehörighet för resurser som du bryr dig om. Viktiga funktioner i PIM är:
- Ge privilegierad just-in-time-åtkomst till Microsoft Entra-ID och Azure-resurser
- Tilldela tidsbunden åtkomst till resurser med hjälp av start- och slutdatum
- Kräv godkännande för att aktivera privilegierade roller
- Framtvinga Azure Multifactor Authentication för att aktivera valfri roll
- Använd motivering för att förstå varför användare aktiverar
- Få meddelanden när privilegierade roller aktiveras
- Utför åtkomstgranskningar för att se till att användare fortfarande behöver ha vissa roller
- Ladda ned granskningshistorik för intern eller extern granskning
Innan du distribuerar PIM i din organisation följer du anvisningarna och förstår begreppen i det här avsnittet. Detta hjälper dig att skapa en plan som är anpassad efter organisationens privilegierade identitetskrav.
Kommentar
PIM kräver en Premium P2-licens.
Identifiera dina intressenter
Följande avsnitt hjälper dig att identifiera alla intressenter som är involverade i projektet. Du kommer att titta på vem som behöver godkänna, granska eller hålla dig informerad. Den innehåller separata tabeller för distribution av PIM för Microsoft Entra-roller och PIM för Azure-roller. Lägg till intressenter i följande tabell efter behov för din organisation.
SO = Godkännande för det här projektet
R = Granska det här projektet och ange indata
I = Informerad om det här projektet
Intressenter: Privileged Identity Management för Microsoft Entra-roller
| Namn | Roll | Åtgärd |
|---|---|---|
| Namn och e-post | Identitetsarkitekt eller Global Azure-administratör – en representant från identitetshanteringsteamet som ansvarar för att definiera hur den här ändringen ska anpassas till kärninfrastrukturen för identitetshantering i din organisation. | SO/R/I |
| Namn och e-post | Tjänstägare eller Linjechef – en representant från IT-ägarna till en tjänst eller en grupp med tjänster. De är viktiga för att fatta beslut och hjälpa till att distribuera PIM för sitt team. | SO/R/I |
| Namn och e-post | Säkerhetsägare – en representant från säkerhetsteamet som kan godkänna att planen uppfyller organisationens säkerhetskrav. | SO/R |
| Namn och e-post | IT-supportansvarig/supportavdelning – En representant från IT-supportorganisationen som kan ge feedback om supporten för den här ändringen ur ett supportperspektiv. | R/I |
| Namn och e-post för pilotanvändare | Privilegierade rollanvändare – den grupp av användare som privilegierad identitetshantering implementeras för. De måste veta hur de ska aktivera sina roller när PIM har implementerats. | I |
Intressenter: Privileged Identity Management för Azure-roller
| Namn | Roll | Åtgärd |
|---|---|---|
| Namn och e-post | Prenumeration/resursägare – En representant från IT-ägarna för varje prenumeration eller resurs som du vill distribuera PIM för. | SO/R/I |
| Namn och e-post | Säkerhetsägare – en representant från säkerhetsteamet som kan godkänna att planen uppfyller organisationens säkerhetskrav. | SO/R |
| Namn och e-post | IT-supportansvarig/supportavdelning – En representant från IT-supportorganisationen som kan ge feedback om supporten för den här ändringen ur ett supportperspektiv. | R/I |
| Namn och e-post för pilotanvändare | Azure-rollanvändare – den grupp användare som privilegierad identitetshantering implementeras för. De måste veta hur de ska aktivera sina roller när PIM har implementerats. | I |
Börja använda Privileged Identity Management
Som en del av planeringsprocessen förbereder du PIM genom att följa artikeln "Börja använda Privileged Identity Management". PIM ger dig åtkomst till vissa funktioner som är utformade för att hjälpa dig med distributionen.
Om målet är att distribuera PIM för Azure-resurser följer du artikeln "Identifiera Azure-resurser att hantera i Privileged Identity Management". Endast ägare av prenumerationer och hanteringsgrupper kan hantera dessa resurser av PIM. När den är under hantering är PIM-funktionen tillgänglig för ägare på alla nivåer, inklusive hanteringsgrupp, prenumeration, resursgrupp och resurs. Om du är global administratör som försöker distribuera PIM för dina Azure-resurser kan du öka åtkomsten för att hantera alla Azure-prenumerationer för att ge dig själv åtkomst till alla Azure-resurser i katalogen för identifiering. Vi rekommenderar dock att du får godkännande från var och en av dina prenumerationsägare innan du hanterar deras resurser med PIM.
Framtvinga principen om lägsta behörighet
Det är viktigt att se till att du har tillämpat principen om lägsta behörighet i din organisation för både Microsoft Entra D och dina Azure-roller.
Planera minsta behörighetsdelegering
För Microsoft Entra-roller är det vanligt att organisationer tilldelar rollen Global administratör till ett antal administratörer när de flesta administratörer bara behöver en eller två specifika och mindre kraftfulla administratörsroller. Med ett stort antal globala administratörer eller andra roller med hög behörighet är det svårt att spåra dina privilegierade rolltilldelningar tillräckligt nära.
Följ dessa steg för att implementera principen om lägsta behörighet för dina Microsoft Entra-roller.
Förstå rollernas kornighet genom att läsa och förstå tillgängliga Microsoft Entra-administratörsroller. Du och ditt team bör också referera till administratörsroller efter identitetsuppgift i Microsoft Entra-ID, vilket förklarar den minst privilegierade rollen för specifika uppgifter.
Visa en lista över vilka som har privilegierade roller i din organisation. Du kan använda PIM-identifiering och insikter (förhandsversion) för att minska exponeringen.
Ta reda på varför de behöver rollen för alla globala administratörer i din organisation. Ta sedan bort dem från rollen Global administratör och tilldela inbyggda roller eller anpassade roller med lägre behörighet i Microsoft Entra-ID. FYI, Microsoft har för närvarande bara cirka 10 administratörer med rollen Global administratör.
För alla andra Microsoft Entra-roller läser du listan över tilldelningar, identifierar administratörer som inte längre behöver rollen och tar bort dem från sina tilldelningar.
Om du vill automatisera de två sista stegen kan du använda åtkomstgranskningar i PIM. Genom att följa stegen i "Starta en åtkomstgranskning för Microsoft Entra-roller i Privileged Identity Management" kan du konfigurera en åtkomstgranskning för varje Microsoft Entra-ID-roll som har en eller flera medlemmar.
Ställ in granskarna på Medlemmar (själv). Alla användare i rollen får ett e-postmeddelande där de uppmanas att bekräfta att de behöver åtkomsten. Aktivera också Kräv orsak vid godkännande i de avancerade inställningarna så att användarna måste ange varför de behöver rollen. Baserat på den här informationen kan du ta bort användare från onödiga roller eller delegera dem till mer detaljerade administratörsroller.
Åtkomstgranskningar förlitar sig på e-postmeddelanden för att meddela personer att granska sin åtkomst till rollerna. Om du har privilegierade konton som inte har länkade e-postmeddelanden bör du fylla i det sekundära e-postfältet på dessa konton.
Planera azure-resursrolldelegering
För Azure-prenumerationer och resurser kan du konfigurera en liknande åtkomstgranskningsprocess för att granska rollerna i varje prenumeration eller resurs. Målet med den här processen är att minimera tilldelningar av ägar- och användaråtkomstadministratörer som är kopplade till varje prenumeration eller resurs och att ta bort onödiga tilldelningar. Organisationer delegerar dock ofta sådana uppgifter till ägaren av varje prenumeration eller resurs eftersom de har en bättre förståelse för de specifika rollerna (särskilt anpassade roller).
Om du har rollen Global administratör som försöker distribuera PIM för Azure-roller i din organisation kan du öka åtkomsten för att hantera alla Azure-prenumerationer för att få åtkomst till varje prenumeration. Du kan sedan hitta varje prenumerationsägare och arbeta med dem för att ta bort onödiga tilldelningar och minimera tilldelningen av ägarrollen.
Användare med rollen Ägare för en Azure-prenumeration kan också använda åtkomstgranskningar för Azure-resurser för att granska och ta bort onödiga rolltilldelningar som liknar den process som beskrevs tidigare för Microsoft Entra-roller.
Bestäm vilka rolltilldelningar som ska skyddas av Privileged Identity Management
När du har rensat privilegierade rolltilldelningar i din organisation måste du bestämma vilka roller som ska skyddas med PIM.
Om en roll skyddas av PIM måste berättigade användare som tilldelats den höjas för att använda de privilegier som beviljas av rollen. Höjningsprocessen kan också omfatta att få godkännande, använda Azure Multifactor Authentication och ange orsaken till att de aktiveras. PIM kan också spåra utökade privilegier via meddelanden och PIM- och Microsoft Entra-granskningshändelseloggar.
Att välja vilka roller som ska skyddas med PIM kan vara svårt och kommer att vara olika för varje organisation. Det här avsnittet innehåller våra metodtips för Microsoft Entra-roller och Azure-roller.
Microsoft Entra-roller
Det är viktigt att prioritera skyddet av Microsoft Entra-roller som har flest behörigheter. Baserat på användningsmönster bland alla PIM-kunder är de 10 främsta Microsoft Entra-rollerna som hanteras av PIM:
Global administratör för
Säkerhetsadministratör
Användaradministratör
Exchange-administratör
SharePoint-administratör
Intune-administratör
Säkerhetsläsare
Tjänstadministratör
Faktureringsadministratör
Skype för företag administratör
Dricks
Microsoft rekommenderar att du hanterar alla dina globala administratörer och säkerhetsadministratörer med PIM som ett första steg, eftersom de är de användare som kan göra mest skada när de komprometteras.
Det är viktigt att ta hänsyn till de känsligaste data och behörigheter för din organisation. Till exempel vill vissa organisationer skydda sin Power BI-administratörsroll eller sin teamsadministratörsroll med hjälp av PIM, eftersom de kan komma åt data och ändra kärnarbetsflöden.
Om det finns några roller med gästanvändare tilldelade är de sårbara för angrepp.
Dricks
Microsoft rekommenderar att du hanterar alla roller med gästanvändare som använder PIM för att minska risken för komprometterade gästanvändarkonton.
Läsarroller som Katalogläsare, Meddelandecenterläsare och Säkerhetsläsare betraktas ibland som mindre viktiga än andra roller, eftersom de inte har skrivbehörighet. Vi har dock vissa kunder som också skyddar dessa roller eftersom angripare med åtkomst till dessa konton kanske kan läsa känsliga data, inklusive personliga data. Ta hänsyn till den här risken när du bestämmer om du vill att läsarroller i din organisation ska hanteras med PIM.
Azure-roller
När du bestämmer vilka rolltilldelningar som ska hanteras med hjälp av PIM för Azure-resurser måste du först identifiera de prenumerationer/resurser som är viktigast för din organisation. Exempel på sådana prenumerationer/resurser är:
- Resurser som är värdar för de känsligaste data.
- Resurser som viktiga kundinriktade program är beroende av.
Om du är global administratör som har problem med att bestämma vilka prenumerationer och resurser som är viktigast bör du kontakta prenumerationsägare i din organisation för att samla in en lista över resurser som hanteras av varje prenumeration. Arbeta sedan med prenumerationsägarna för att gruppera resurserna baserat på allvarlighetsgrad om de komprometteras (låg, medel, hög). Prioritera hantering av resurser med PIM baserat på den här allvarlighetsgraden.
Dricks
Microsoft rekommenderar att du arbetar med prenumerations-/resursägare för kritiska tjänster för att konfigurera PIM-arbetsflöde för alla roller i känsliga prenumerationer/resurser.
PIM för Azure-resurser stöder tidsbundna tjänstkonton. Du bör behandla tjänstkonton på exakt samma sätt som du skulle behandla ett vanligt användarkonto.
För prenumerationer/resurser som inte är lika viktiga behöver du inte konfigurera PIM för alla roller. Du bör dock fortfarande skydda rollerna Ägare och Administratör för användaråtkomst med PIM.
Dricks
Microsoft rekommenderar att du hanterar ägarroller och administratörsroller för användaråtkomst för alla prenumerationer/resurser med PIM.
Bestäm om du vill använda en grupp för att tilldela roller
Om du vill tilldela en roll till en grupp i stället för till enskilda användare är ett strategiskt beslut. När du planerar bör du överväga att tilldela en roll till en grupp för att hantera rolltilldelningar när:
- Många användare tilldelas till en roll.
- Du vill delegera tilldelningen av rollen.
Många användare tilldelas till en roll
Att manuellt hålla reda på vem som är tilldelad till en roll och hantera deras tilldelningar baserat på när de behöver det kan ta tid. Om du vill tilldela en grupp till en roll skapar du först en rolltilldelningsbar grupp och tilldelar sedan gruppen som berättigad till en roll. Den här åtgärden utsätter alla i gruppen för samma aktiveringsprocess som enskilda användare som är berättigade att upphöja sig till rollen. Gruppmedlemmar aktiverar sina tilldelningar till gruppen individuellt med hjälp av PIM-aktiveringsbegäran och godkännandeprocessen. Gruppen är inte aktiverad – bara användarens gruppmedlemskap.
Du vill delegera tilldelning av rollen
En gruppägare kan hantera medlemskap för en grupp. För rolltilldelningsbara microsoft entra-ID-grupper kan endast privilegierad rolladministratör, global administratör och gruppägare hantera gruppmedlemskap. När en administratör lägger till nya medlemmar i gruppen får medlemmen åtkomst till de roller som gruppen tilldelas om tilldelningen är berättigad eller aktiv. Använd gruppägare för att delegera hanteringen av gruppmedlemskap för en tilldelad roll för att minska den behörighet som krävs.
Dricks
Microsoft rekommenderar att du hanterar rolltilldelningsbara Microsoft Entra-ID-grupper av PIM. När en rolltilldelningsbar grupp hanteras av PIM kallas den för en privilegierad åtkomstgrupp. Använd PIM för att kräva att gruppägare aktiverar rolltilldelningen Ägare innan de kan hantera gruppmedlemskap.
Bestäm vilka rolltilldelningar som ska vara permanenta eller berättigade
När du har bestämt listan över roller som ska hanteras av PIM måste du bestämma vilka användare som ska få den berättigade rollen jämfört med den permanent aktiva rollen. Permanent aktiva roller är de normala roller som tilldelas via Microsoft Entra-ID och Azure-resurser, medan berättigade roller endast kan tilldelas i PIM.
Microsoft rekommenderar att du inte har några permanent aktiva tilldelningar för både Microsoft Entra-roller och Azure-roller, förutom de rekommenderade två kontona för nödåtkomst med brytglas, som ska ha den permanenta rollen Global administratör.
Även om vi rekommenderar noll stående administratörer är det ibland svårt för organisationer att uppnå detta direkt. Saker att tänka på när du fattar det här beslutet är:
Höjningsfrekvens – Om användaren bara behöver den privilegierade tilldelningen en gång bör de inte ha den permanenta tilldelningen. Å andra sidan, om användaren behöver rollen för sitt dagliga jobb och användningen av PIM avsevärt skulle minska produktiviteten, kan de övervägas för den permanenta rollen.
Fall som är specifika för din organisation – Om personen som får den kvalificerade rollen kommer från ett avlägset team eller en högt uppsatt chef till den grad att det är svårt att kommunicera och framtvinga höjningsprocessen kan de övervägas för den permanenta rollen.
Dricks
Microsoft rekommenderar att du konfigurerar återkommande åtkomstgranskningar för användare med permanenta rolltilldelningar.
Utkast till inställningar för privileged Identity Management
Innan du implementerar din PIM-lösning är det bra att utarbeta dina PIM-inställningar för varje privilegierad roll som din organisation använder. Det här avsnittet innehåller några exempel på PIM-inställningar för vissa roller. de är endast för referens och kan vara olika för din organisation. Var och en av dessa inställningar beskrivs i detalj med Microsofts rekommendationer efter tabellerna.
Inställningar för privileged Identity Management för Microsoft Entra-roller
| Inställning | Global administratör för | Exchange-administratör | Supportadministratör |
|---|---|---|---|
| Kräv MFA; tvåstegsverifiering | Ja | Ja | Nej |
| Meddelande | Ja | Ja | Nej |
| Incidentbiljett | Ja | No | Ja |
| Kräv godkännande | Ja | No | Nej |
| Godkännare | Andra globala administratörer | Ingen | Ingen |
| Aktiveringstid | 1 timme | 2 timmar | 8 timmar |
| Permanent administratör | Konton för nödåtkomst | Ingen | Ingen |
Inställningar för privileged Identity Management för Azure-roller
| Inställning | Ägare till kritiska prenumerationer | Administratör för användaråtkomst för mindre kritiska prenumerationer | Virtuell datordeltagare |
|---|---|---|---|
| Kräv MFA; tvåstegsverifiering | Ja | Ja | Nej |
| Meddelande | Ja | Ja | Ja |
| Kräv godkännande | Ja | No | Nej |
| Godkännare | Andra ägare av prenumerationen | Ingen | Ingen |
| Aktiveringstid | 1 timme | 1 timme | 3 timmar |
| Aktiv administratör | Ingen | Inga | Ingen |
| Aktiv förfallotid | saknas | n/a | saknas |
I följande tabell beskrivs var och en av inställningarna.
| Inställning | Beskrivning |
|---|---|
| Roll | Namnet på den roll som du definierar inställningarna för. |
| Kräv MFA; tvåstegsverifiering | Om den berättigade användaren behöver utföra MFA; tvåstegsverifiering innan du aktiverar rollen. |
| Microsoft rekommenderar att du tillämpar MFA, tvåstegsverifiering för alla administratörsroller , särskilt om rollerna har gästanvändare. | |
| Meddelande | Om värdet är true får global administratör, privilegierad rolladministratör och säkerhetsadministratör i organisationen ett e-postmeddelande när en berättigad användare aktiverar rollen. |
| Vissa organisationer har ingen e-postadress kopplad till sina administratörskonton. För att få dessa e-postmeddelanden anger du en alternativ e-postadress så att administratörer får dessa e-postmeddelanden. | |
| Incidentbiljett | Om den berättigade användaren behöver registrera ett ärendenummer för incidenter när de aktiverar sin roll. Den här inställningen hjälper en organisation att identifiera varje aktivering med ett internt incidentnummer för att minimera oönskade aktiveringar. |
| Microsoft rekommenderar att du använder incidentbiljettnummer för att koppla PIM till ditt interna system. Den här metoden kan vara användbar för godkännare som behöver kontext för aktiveringen. | |
| Kräv godkännande | Om den berättigade användaren måste få godkännande för att aktivera rollen. |
| Microsoft rekommenderar att du konfigurerar godkännande för roller med mest behörighet. Baserat på användningsmönster för alla PIM-kunder är global administratör, användaradministratör, Exchange-administratör, säkerhetsadministratör och lösenordsadministratör de vanligaste rollerna med godkännande som krävs. | |
| Godkännare | Om godkännande krävs för att aktivera den berättigade rollen, lista de personer som ska godkänna begäran. Som standard anger PIM att godkännaren ska vara alla användare som är privilegierade rolladministratörer oavsett om de är permanenta eller berättigade. |
| Om en användare både är berättigad till en Microsoft Entra-roll och en godkännare av rollen kan de inte godkänna sig själva. | |
| Microsoft rekommenderar att du väljer godkännare som användare som är mest kunniga om rollen och dess frekventa användare i stället för en global administratör. | |
| Aktiveringstid | Hur lång tid en användare ska aktiveras i rollen innan den upphör att gälla. |
| Permanent administratör | Lista över användare som kommer att vara permanent administratör för rollen (behöver aldrig aktivera). |
| Microsoft rekommenderar att du har noll stående administratör för alla roller förutom globala administratörer. | |
| Aktiv administratör | För Azure-resurser är aktiv administratör listan över användare som aldrig behöver aktivera för att använda rollen. Den här listan kallas inte permanent administratör, till exempel i Microsoft Entra-roller eftersom du kan ange en förfallotid för när användaren förlorar den här rollen. |
| Aktiv förfallotid | Aktiva rolltilldelningar för Azure-roller upphör att gälla efter den konfigurerade varaktigheten. Du kan välja mellan 15 dagar, 1 månad, 3 månader, 6 månader, 1 år eller permanent aktiv. |
| Berättigande förfallodatum | Berättigade rolltilldelningar för Azure-roller upphör att gälla efter den här varaktigheten. Du kan välja mellan 15 dagar, 1 månad, 3 månader, 6 månader, 1 år eller permanent berättigad. |