什麼是 Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) 是 Azure Active Directory (Azure AD) 中的一項服務,可供您管理、控制和監視組織內重要資源的存取。 這些資源包括 Azure AD、Azure 與其他 Microsoft 線上服務 (如 Microsoft 365 或 Microsoft Intune) 中的資源。 下列影片說明重要的 PIM 概念和功能。

使用的理由

組織想要將能夠存取安全資訊或資源的人數降到最低,因為這樣可以降低發生下列情況的機率:

  • 惡意執行者取得存取權
  • 授權使用者不慎影響到敏感性資源

不過,使用者仍然需要在 Azure AD、Azure、Microsoft 365 或 SaaS 應用程式中執行特殊權限作業。 組織可以為使用者提供 Azure 和 Azure AD 資源的 Just-In-Time 特殊權限存取權,並可監看這些使用者使用其特殊權限存取權做了什麼事。

授權需求

使用此功能需要擁有 Azure AD Premium P2 授權。 若要尋找適合您需求的授權,請參閱比較 Azure AD 正式推出的功能

如需使用者的授權相關資訊,請參閱使用 Privileged Identity Management 的授權需求

用途

Privileged Identity Management 提供以時間為基礎和以核准為基礎的角色啟用,可降低因重要資源上有過多、不必要或誤用的存取權限而帶來的風險。 以下是 Privileged Identity Management 的一些主要功能:

  • 提供 Azure AD 和 Azure 資源的 Just-In-Time 特殊存取權限
  • 使用開始和結束日期指派有時限的資源存取權
  • 需要核准才能啟用特殊權限角色
  • 強制多重要素驗證以啟用任何角色
  • 使用理由來了解使用者啟用的原因
  • 在特殊權限角色啟用時取得通知
  • 進行存取權檢閱以確保使用者仍然需要角色
  • 下載稽核歷程記錄以供內部或外部稽核
  • 防止移除最後一個作用中的全域管理員特殊權限角色管理員角色指派

用途為何?

設定 Privileged Identity Management 後,您會在左側導覽功能表中看到 [工作]、[管理] 和 [活動] 選項。 身為系統管理員,您將在選項之間做選擇,例如管理 Azure AD 角色、管理 Azure 資源角色或特殊權限存取群組。 當您選擇想要管理的內容時,您會看到該選項的適當選項組。

Azure 入口網站中的 Privileged Identity Management 螢幕擷取畫面。

角色與角色權限為何?

對於 Privileged Identity Management 中的 Azure AD 角色,只有特殊權限角色管理員或全域管理員角色的使用者可以管理其他管理員的指派。 全域管理員、安全性系統管理員、全域讀者和安全性讀取者也可以在 Privileged Identity Management 中檢視 Azure AD 角色指派。

對於 Privileged Identity Management 中的 Azure 資源角色,只有訂用帳戶管理員、資源擁有者、或資源使用者存取系統管理員可以管理其他系統管理員的指派。 如果使用者是特殊權限角色管理員、安全性系統管理員或安全性讀取者,則在 Privileged Identity Management 中預設沒有權限檢視對 Azure 資源角色的指派。

詞彙

若要深入了解 Privileged Identity Management 及其文件,請檢閱下列詞彙。

詞彙或概念 角色指派類別 描述
合格 類型 需要使用者執行一或多個動作才能使用角色的角色指派。 如果使用者已有資格使用角色,即表示他們可以在需要執行特殊權限工作時啟用該角色。 使用者不論是具有永久角色指派還是合格角色指派,獲得的存取權並無差異。 唯一的差異在於有些使用者並不一直需要該存取權。
作用中 類型 不要求使用者執行任何動作即可使用角色的角色指派。 指派為有效的使用者具有指派給角色的權限。
啟用 此程序會執行一或多個動作,讓使用者使用有資格使用的角色。 動作可能包含執行多重要素驗證 (MFA) 檢查、提供業務理由,或是向指定的核准者要求核准。
已指派 State 具有作用中角色指派的使用者。
已啟用 State 具有合格角色指派、已執行動作來啟用角色,且目前為作用中的使用者。 啟動後,使用者便可在必須加以重新啟動之前,先為預先設定的期限使用該角色。
永久合格 Duration 使用者一律有資格啟用角色的角色指派。
永久有效 Duration 使用者一律可以使用角色而不需執行任何動作的角色指派。
有時限的合格 持續時間 使用者只能在開始和結束日期內有資格啟動角色的角色指派。
有時限的作用中 持續時間 使用者只能在開始和結束日期內使用角色的角色指派。
Just-In-Time (JIT) 存取 一種模型,使用者會在其中獲得臨時權限以執行特殊權限的工作,這可防止惡意或未經授權的使用者在權限過期後取得存取權。 只有當使用者需要時才會獲得存取權。
最低權限存取的原則 建議的安全性做法,只授與每位使用者獲授權執行的工作所需的最低權限。 這種做法只需要最少量的全域管理員,並會改為針對特定案例使用特定的管理員角色。

角色指派概觀

PIM 角色指派可讓您安全地授權存取組織中的資源。 本節說明指派程序。 其中包括將角色指派給成員、啟用指派、核准或拒絕要求、延長和更新指派。

PIM 會傳送電子郵件通知給您和其他參與者,讓您隨時了解情況。 這些電子郵件也可能包含相關工作的連結,例如啟用、核准或拒絕要求。

下列螢幕擷取畫面顯示 PIM 傳送的電子郵件訊息。 電子郵件通知 Patti,Alex 已更新 Emily 的角色指派。

螢幕擷取畫面顯示 Privileged Identity Management 傳送的電子郵件訊息。

指派

指派程序從將角色指派給成員開始。 為了授與對資源的存取權,管理員會將角色指派給使用者、群組、服務主體或受控識別。 指派包含下列資料:

  • 負責指派角色的成員或擁有者。
  • 指派的範圍。 範圍將指派的角色限定為一組特定的資源。
  • 指派的類型
    • 符合資格的指派會要求角色成員先執行某個動作才能使用此角色。 動作可能包括啟用,或向指定的核准者要求核准。
    • 有效的指派不要求成員先執行某個動作才能使用此角色。 指派為有效的成員具有指派給角色的權限。
  • 指派的持續時間,使用開始和結束日期或永久。 若為合格的指派,成員可以在開始和結束日期期間啟用或要求核准。 若為有效的指派,成員可以在這段期間使用指派角色。

下列螢幕擷取畫面顯示管理員如何將角色指派給成員。

Privileged Identity Management 角色指派的螢幕擷取畫面。

如需詳細資訊,請參閱下列文章:指派 Azure AD 角色指派 Azure 資源角色,以及指派特殊權限存取群組的資格

啟動

如果使用者已符合角色的資格,則必須先啟用角色指派,才能使用角色。 若要啟用角色,使用者需要在期限 (由管理員設定) 內選取具體的啟用持續時間,以及啟用要求的原因。

下列螢幕擷取畫面顯示成員如何啟用角色達到時間上限。

Privileged Identity Management 角色啟用的螢幕擷取畫面。

如果角色需要核准才能啟用,使用者的瀏覽器右上角會出現通知,表示要求正在等待核准。 如果不需要核准,則成員可以開始使用角色。

如需詳細資訊,請參閱下列文章:啟用 Azure AD 角色啟用我的 Azure 資源角色,以及啟用我的特殊權限存取群組角色

核准或拒絕

當角色要求等待核准時,委派核准者會收到電子郵件通知。 核准者可以在 PIM 中檢視、核准或拒絕這些擱置的要求。 核准要求之後,成員就可以開始使用角色。 例如,如果使用者或群組獲指派資源群組的參與者角色,則能夠管理該特定資源群組。

如需詳細資訊,請參閱下列文章:核准或拒絕 Azure AD 角色的要求核准或拒絕 Azure 資源角色的要求,以及核准特殊權限存取群組的啟用要求

延長和更新指派

在管理員設定有時限的擁有者或成員指派之後,您的第一個問題可能是指派到期時怎麼辦? 在這個新版本中,我們提供兩個適用於此案例的選項:

  • 延長 - 當角色指派接近到期時,使用者可以使用 Privileged Identity Management 來要求延長角色指派
  • 更新 - 當角色指派接近到期時,使用者可以使用 Privileged Identity Management 來要求更新角色指派

兩者的使用者起始動作都需要全域管理員或具特殊權限角色管理員的核准。 管理員不需要負責管理指派到期事宜。 您可以逕至等候延長或更新要求抵達,再單純地核准或拒絕即可。

如需詳細資訊,請參閱下列文章:延長或更新 Azure AD 角色指派延長或更新 Azure 資源角色指派,以及延長或更新特殊權限存取群組指派

案例

Privileged Identity Management 支援下列案例:

特殊權限角色管理員權限

  • 啟用特定角色的核准
  • 指定核准者使用者或群組來核准要求
  • 檢視所有特殊權限角色的要求和核准歷程記錄

核准者權限

  • 檢視待決的核准 (要求)
  • 核准或拒絕提高角色權限的要求 (單一和大量)
  • 提供我的核准或拒絕理由

符合資格的角色使用者權限

  • 要求啟用需要核准的角色
  • 檢視要啟用之要求的狀態
  • 如果已核准啟用,在 Azure AD 中完成您的工作

管理特殊權限存取 Azure AD 群組 (預覽)

在 Privileged Identity Management (PIM) 中,您現在可以指派具特殊存取權限群組的成員資格或所有權資格。 從本預覽版開始,您可以將 Azure Active Directory (Azure AD) 內建角色指派給雲端群組,並使用 PIM 來管理群組成員和擁有者資格與啟用。 如需 Azure AD 中可指派角色群組的詳細資訊,請參閱使用 Azure AD 群組來管理角色指派

重要

若要將特殊權限存取群組指派給某個角色,以對 Exchange、安全性 & 合規性中心或 SharePoint 進行管理存取,請使用 Azure AD 入口網站的 [角色和系統管理員] 體驗,而非 [特殊權限存取群組] 體驗,讓使用者或群組有資格在群組中啟用。

每個群組有不同的 Just-In-Time 原則

有些組織使用像是 Azure AD 的企業對企業 (B2B) 共同作業工具,邀請合作夥伴作為其 Azure AD 組織的來賓。 您可以使用其各自的原則建立兩個不同的具特殊存取權限群組,而不是所有指派給具特殊權限角色的一次性原則。 您可以針對信任的員工強制執行較不嚴格的需求,而在合作夥伴要求啟用指派群組的核准工作流程時,強制執行較嚴格的需求。

在一個要求中啟動多個角色指派

使用特殊存取權限群組預覽,您可以讓工作負載特定的管理員快速存取多個具有單一 Just-In-Time 要求的角色。 例如,您的第 3 層級 Office 管理員可能需要 Exchange 管理員、Office 應用程式管理員、Teams 管理員和搜尋管理角色的 Just-In-Time 存取權,才能完整調查每日事件。 在今天之前,系統需要四個連續的要求,表示這個流程需要一些時間才能完成。 但您可以建立名為「第 3 層級 Office 管理員」的可指派角色群組,將其指派給之前提到的四個角色 (或任何 Azure AD 內建角色),並在群組的活動區段中啟用具特殊存取權限。 一旦啟用了具特殊存取權限,您可以針對群組成員設定 Just-In-Time 設定,並將管理員和擁有者設為符合資格。 當管理員升格至群組時,會成為這四個 Azure AD 角色的成員。

在 Privileged Identity Management 中邀請來賓使用者並指派 Azure 資源角色

Azure Active Directory (Azure AD) 來賓使用者是 Azure AD 內的企業對企業 (B2B) 共同作業功能一部分,因此您可以在 Azure AD 中以來賓的形式管理外部來賓使用者和廠商。 例如,您可以將這些 Privileged Identity Management 功能用於來賓的 Azure 身分識別工作,例如指派特定 Azure 資源的存取權、指定指派持續時間和結束日期,或要求進行雙步驟驗證以獲得作用中的指派或啟動。 如需有關如何邀請來賓進入組織及管理其存取權的詳細資訊,請參閱在 Azure AD 入口網站中新增 B2B 共同作業使用者

何時會邀請來賓?

以下是您可能會邀請來賓進入組織的一些範例:

  • 允許只有電子郵件帳戶的外部自營廠商存取專案的 Azure 資源。
  • 允許大型組織中使用內部部署 Active Directory Federation Services 的外部夥伴存取您的費用應用程式。
  • 允許不在貴組織 (例如 Microsoft 支援服務) 的支援工程師暫時存取您的 Azure 資源,針對問題進行疑難排解。

使用 B2B 來賓的共同作業會如何運作?

在使用 B2B 共同作業時,您可以邀請外部使用者以來賓身分進入組織。 您可以將來賓視為組織中的使用者來進行管理,但來賓必須在其主要組織中進行驗證,而不是在您的 Azure AD 組織中進行驗證。 這表示,如果來賓無法再存取其主要組織,便也無法再存取您的組織。 例如,如果來賓離開其組織,您不必採取任何動作,他們就會自動無法存取您在 Azure AD 中與其共用的任何資源。 如需 B2B 共同作業的詳細資訊,請參閱什麼是 Azure Active Directory B2B 中的來賓使用者存取權?

此圖顯示如何在主目錄中驗證來賓使用者

後續步驟