常见问题 (FAQ)
本文回答了有关 Microsoft Entra 权限管理的常见问题。
什么是 Microsoft Entra 权限管理?
Microsoft Entra 权限管理 (权限管理) 是云基础结构权利管理 (CIEM) 解决方案,提供对分配给所有标识的权限全面可见性。 例如,Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中跨多云基础结构的超特权工作负载以及用户标识、操作和资源。 权限管理可检测、自动调整大小,并持续监视未使用和使用过多的权限。 它通过增强最小权限访问原则来深化零信任安全策略。
使用权限管理的先决条件是什么?
权限管理支持从 AWS、GCP 和/或 Microsoft Azure 收集数据。 关于数据收集和分析,客户需要拥有 Microsoft Entra 帐户才能使用权限管理。
如果客户有其他标识可以访问其 IaaS 平台,但尚未在 Microsoft Entra ID 中,那么他们可以使用权限管理吗?
是的,客户可以检测、缓解和监视 AWS IAM 或 GCP 账户的风险,或来自其他标识提供者(如 Okta 或 AWS IAM)的风险。
客户可在何处访问权限管理?
客户可以从 Microsoft Entra 管理中心访问权限管理界面。
非云客户可以在本地使用权限管理吗?
否,权限管理是一项托管云产品/服务。
非 Azure 客户是否可以使用权限管理?
能,非 Azure 客户可以使用我们的解决方案。 权限管理是一种多云解决方案,即使没有 Azure 订阅的客户也能从中受益。
权限管理是否适用于在欧盟 (EU) 托管的租户?
是的,权限管理目前适用于在欧盟 (EU) 托管的租户。
如果我已经在使用 Microsoft Entra ID Privileged Identity Management (PIM) for Azure,权限管理能提供哪些价值?
权限管理对 Microsoft Entra PIM 做出了补充。 Microsoft Entra PIM 为 Azure 和 Microsoft Online Services 中的管理员角色以及使用组的应用程序提供实时访问。 权限管理允许跨 Azure、AWS 和 GCP 对特权访问进行多云发现、修正和监视。
权限管理支持哪些公有云基础结构?
权限管理目前支持三种主要公有云:Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Microsoft Azure。
权限管理是否支持混合环境?
权限管理目前不支持混合环境。
权限管理支持哪些类型的标识?
权限管理支持用户标识(例如员工、客户、外部合作伙伴)和工作负载标识(例如虚拟机、容器、Web 应用、无服务器功能)。
权限管理是否在政府云中可用?
否,权限管理目前在政府云中不可用。
权限管理是否在主权云中可用?
否,权限管理目前在主权云中不可用。
权限管理如何收集有关权限使用情况的见解?
权限管理有数据收集器,用于收集分配给各种标识、活动日志和资源元数据的访问权限。 数据收集器提供对向所有标识授予的权限(为了访问资源)的完全可见性,以及已授予权限使用情况的详细信息。
权限管理如何评估云权限风险?
通过权限管理,可精确了解各云基础结构中的所有标识以及它们获得和使用的权限,以了解任何标识对任何资源执行的任何操作。 可见性不仅限于用户标识,还包括工作负载标识,如虚拟机、访问密钥、容器和脚本。 在该仪表板中可以概览权限配置文件,以确定风险最高的标识和资源。
什么是权限蠕变指数?
权限蠕变指数 (PCI) 是一种与标识或角色相关的风险的定量测量,通过比较授予的权限与使用的权限来确定。 借助它,用户可以立即评估风险级别,这与各标识和资源中未使用的或过度预配的权限数量相关。 它根据标识具有的权限来衡量标识可能造成的损害程度。
客户如何使用权限管理来删除未使用或过度预配的权限?
使用权限管理,用户只需单击几下即可调整过度预配的权限并自动实施最小特权策略。 该解决方案会持续分析每个标识的历史权限使用情况数据,并使客户能够将该标识的权限调整为仅用于日常操作的权限。 所有未使用的及其他有风险的权限都可以自动删除。
为什么我删除的用户仍显示在“分析”选项卡中?
检查用户是否已分配经典管理员角色。 删除用户时,经典管理员角色不会消失。 若要解决此问题,请转到经典管理页面,并单独删除该用户的角色分配。
客户如何使用权限管理按需授予权限?
对于某个标识需要对一组特定资源执行一组特定操作的任何紧急情况或一次性方案,该标识可以使用自助工作流在有限的时间内按需请求这些权限。 客户可以使用内置工作流引擎或其 IT 服务管理 (ITSM) 工具。 任何标识类型、标识源(本地、企业目录或联合)和云的用户体验都是相同的。
按需权限和即时访问有什么区别?
即时 (JIT) 访问是一种方法,用于强制执行最小权限原则,以确保为标识提供执行手头任务的最小权限级别。 按需权限是一种 JIT 访问,它支持临时提升权限,使标识能够按请求、定时访问资源。
客户如何使用权限管理监视权限使用情况?
客户只需跟踪其权限蠕变指数 (PCI) 的变化即可监视权限的使用情况。 客户可以在“权限管理”面板的“分析”选项卡中监视 PCI。
客户能否生成权限使用报告?
能,权限管理具有各种类型的系统报表,可用于捕获特定数据集。 这些报告使客户能够:
- 及时做出决策。
- 分析使用趋势和系统/用户性能。
- 识别高风险领域。
有关权限使用报告的信息,请参阅生成并下载权限分析报告。
权限管理是否与第三方 ITSM(信息技术服务管理)工具集成?
与 ServiceNow 等 ITMS 工具的集成已在未来的路线图中。
如何部署权限管理?
分配有权限管理管理员角色的客户必须先将权限管理加入其 Microsoft Entra 租户,然后再将其 AWS 帐户、GCP 项目和 Azure 订阅加入。 有关加入的更多详细信息,可参阅我们的产品文档。
部署权限管理需要多长时间?
这取决于每个客户以及他们拥有的 AWS 帐户、GCP 项目和 Azure 订阅的数量。
部署权限管理后,可以多快获得权限见解?
完全启用数据收集设置后,客户可以在数小时内访问权限使用情况见解。 我们的机器学习引擎每小时刷新一次权限蠕变指数,让客户可以立即开始进行风险评估。
权限管理是否收集和存储敏感的个人数据?
否,权限管理无权访问敏感数据。
在哪里可以找到有关权限管理的更多信息?
可阅读我们的博客并访问我们的网页。 还可以与 Microsoft 联系人联系以安排演示。
数据销毁/停用流程是什么?
如果客户启动了 45 天的免费权限管理试用版,并且未在试用到期后的 45 天内转换为付费许可证,则所有收集的数据都会在试用到期后的 30 天内删除。
如果客户决定停止授权服务,所有之前收集的数据将在许可终止后 30 天内删除。
如果使用权限管理服务的权限管理管理员提交正式的数据主体请求,客户还可以删除、导出或修改特定数据。 要提交请求:
如果你是企业客户,可以联系你的 Microsoft 代表、账户团队或租户管理员,以提交请求数据主体请求的高优先级 IcM 支持票证。 请勿在 IcM 请求中包含详细信息或任何个人身份信息。 只有在提交 IcM 后,我们才会联系你以获取这些详细信息。
如果你是自助服务客户(你在 Microsoft 365 管理中心中设置了试用或付费许可证),则可以联系权限管理隐私团队,方法是选择个人资料下拉菜单,然后选择“权限管理”中的“帐户设置”。 按照说明发出数据主体请求。
详细了解 Azure 数据主体请求。
我是否需要许可证才能使用 Microsoft Entra 权限管理?
是,从 2022 年 7 月 1 日起,新客户必须获得 45 天的免费试用许可证或付费许可证才能使用该服务。 可以在此处启用试用:https://aka.ms/TryPermissionsManagement,也可以在此处直接购买基于资源的许可证:https://aka.ms/BuyPermissionsManagement
权限管理如何定价?
权限管理的价格是每年每资源 125 美元(每月每资源 10.40 美元)。 权限管理需要工作负载的许可证,其中涵盖使用计算或内存的任何资源。
是否需要对所有资源付费?
尽管权限管理支持所有资源,但 Microsoft 只要求每个云环境的可计费资源具备许可证。 若要详细了解可计费资源,请访问查看授权系统中列出的可计费资源
如何计算我拥有的可计费资源的数量?
若要计算跨多云基础结构的可计费资源,必须先激活“权限管理”的 45 天免费试用版或购买付费许可证。 在“权限管理”中,选择“设置”(齿轮图标),然后单击“可计费资源”选项卡。在“许可证总数”列中查看可计费资源的数量。
如果我使用的是旧版 CloudKnox 服务,该怎么办?
我们目前正在制定一个迁移计划,以帮助使用原始 CloudKnox 服务版本的客户在 2022 年晚些时候迁移到新的 Microsoft Entra 权限管理服务。
我是否可以在欧盟使用 Microsoft Entra 权限管理?
可以,该产品是合规的。
如何启用 GA 版本中支持的 18 种新语言之一?
我们现在已本地化为 18 种语言。 我们尊重你的浏览器设置,或者你可以通过将查询字符串后缀添加到 Microsoft Entra 权限管理 URL 来手动启用所选语言:
?lang=xx-XX
其中 xx-XX 是以下可用语言参数之一:'cs-CZ'、'de-DE'、'en-US'、'es-ES'、'fr-FR'、'hu-HU'、' id-ID'、'it-IT'、'ja-JP'、'ko-KR'、'nl-NL'、'pl-PL'、'pt-BR'、'pt-PT'、'ru- RU'、'sv-SE'、'tr-TR'、'zh-CN' 或 'zh-TW'。
资源
- Microsoft Entra 博客
- 权限管理网页
- 有关 Microsoft 隐私和安全条款的详细信息,请参阅商业许可条款。
- 有关订阅产品时 Microsoft 的数据处理和安全条款的详细信息,请参阅 Microsoft 产品和服务数据保护附录 (DPA)。
- 有关详细信息,请参阅针对 GDPR 和 CCPA 的 Azure 数据主体请求。
后续步骤
- 有关权限管理的概述,请参阅什么是 Microsoft Entra 权限管理?。
- 通过 Microsoft Entra 权限管理简介学习模块来加深学习。
- 有关如何在组织中加入权限管理的信息,请参阅在组织中启用权限管理。