規劃 Privileged Identity Management 部署

Privileged Identity Management (PIM) 提供以時間為基礎和以核准為基礎的角色啟用,可降低因重要資源上有過多、不必要或誤用的存取權限而帶來的風險。 這些資源包括 Azure Active Directory (Azure AD)、Azure 與其他 Microsoft 線上服務 (如 Microsoft 365 或 Microsoft Intune) 中的資源。

PIM 可讓您在特定範圍內允許一組特定的動作。 主要功能包括:

  • 提供資源的即時特殊權限存取

  • 指派特殊權限存取群組的成員資格或擁有權

  • 使用開始和結束日期指派有時限的資源存取權

  • 需要核准才能啟用特殊權限角色

  • 強制使用多重要素驗證以啟用任何角色

  • 使用理由來了解使用者啟用的原因

  • 在特殊權限角色啟用時取得通知

  • 進行存取權檢閱以確保使用者仍然需要角色

  • 下載稽核歷程記錄以供內部或外部稽核

若要充分利用此部署計畫,請務必完整了解 Privileged Identity Management 的內容

了解 PIM

本節中的 PIM 概念將協助您了解貴組織的特殊權限身分識別需求。

您可以在 PIM 中管理的內容

現在,您可以搭配使用 PIM 與:

  • Azure AD 角色 – (有時稱為目錄角色),Azure AD 角色包含內建和自訂角色,以管理 Azure AD 和其他 Microsoft 365 線上服務。

  • Azure 角色 – 角色型存取控制 (azure 中的 RBAC) 角色,可授與管理群組、訂用帳戶、資源群組和資源的存取權。

  • 特殊權限存取群組 – 可設定 Azure AD 安全性群組的成員和擁有者角色的即時存取權。 特殊權限存取群組不僅可讓您為 Azure AD 角色和 azure 角色設定 PIM,還可讓您在 Microsoft 線上服務 (例如 Intune、Azure Key Vaults 和 Azure 資訊保護) 上設定 PIM 以取得其他權限。

您可以將下列內容指派給這些角色或群組:

  • 使用者 – 取得 Azure AD 角色、Azure 角色和特殊權限存取群組的即時存取權。

  • 群組 – 群組中的任何人都能取得 Azure AD 角色和 Azure 角色的即時存取權。 針對 Azure AD 角色,群組必須是新建立的雲端群組,並標示為可指派給角色,而在 Azure 角色中,群組可以是任何 Azure AD 的安全性群組。 我們不建議將群組指派/巢狀給特殊權限存取群組。

注意

您無法將服務主體指派為符合 Azure AD 角色、Azure 角色和特殊權限存取群組的資格,但您可以將限時的作用中指派授與這三個角色。

最低權限原則

您將角色指派給使用者,以執行其工作所需的最低權限。 這種做法只需要最少量的全域管理員,並會改為針對特定案例使用特定的管理員角色。

注意

Microsoft 擁有極少數的全域管理員。 深入了解 Microsoft 如何使用 Privileged Identity Management

指派的類型

指派的類型有兩種:符合資格有效。 如果使用者已有資格使用角色,即表示他們可以在需要執行特殊權限工作時啟用該角色。

您也可以設定每個指派類型的開始和結束時間。 這項新增功能提供四種可能的指派類型:

  • 永久合格

  • 永久有效

  • 符合時間限制,具有指定的開始和結束日期來進行指派

  • 具有時間限制,具有指定的開始和結束日期來進行指派

如果角色過期,您可以擴充更新這些指派。

我們建議您除了建議的兩個急用緊急存取帳戶外,就不要再提供任何永久有效的指派,因為這兩個帳戶應該就有永久性的全域系統管理員角色。

規劃專案

當技術專案失敗時,通常是因為對影響、結果與責任的預期不符所導致。 若要避免這些問題,請確定您已包含適當的專案關係人,並且了解專案中的專案關係人角色。

規劃試驗

在您部署的每個階段中,請確定您持續評估結果符合預期。 請參閱試驗的最佳做法

  • 從較少的使用者 (試驗群組) 開始,並確認原則如預期般運作。

  • 確認您為角色或特殊權限存取群組設定的所有組態是否可正常運作。

  • 只有在經過徹底測試之後,才將其復原到生產環境。

規劃通訊

溝通對於任何新服務的成功非常重要。 主動與您的使用者溝通其體驗將如何改變、何時會改變,以及如何在遇到問題時取得支援。

使用內部 IT 支援設定時間,以逐步解說 PIM 工作流程。 請向這些人員提供適當的文件以及您的連絡資訊。

規劃測試和復原

注意

針對 Azure AD 角色,組織通常會先測試並推出全域管理員,而針對 Azure 資源,通常會一次測試 PIM 一個 Azure 訂用帳戶。

規劃測試

建立測試使用者可讓您驗證 PIM 設定如預期般運作,且避免影響實際使用者以及中斷其應用程式與資源存取的可能性。 建立測試計畫可用來比較預期結果和實際結果。

下表顯示範例結果:

角色 啟動期間的預期行為 實際結果
全域管理員
  • 需要 MFA
  • 需要核准
  • 核准者收到通知並可核准
  • 角色在預設時間過後到期
  • 針對 Azure AD 和 Azure 資源角色,請確定您的使用者已代表誰將採用這些角色。 此外,當您在暫存環境中測試 PIM 時,請考慮下列角色:

    角色 Azure AD 角色 Azure 資源角色 具有特殊權限存取的群組
    群組的成員 x
    角色的成員 x x
    IT 服務擁有者 x x
    訂用帳戶/資源擁有者 x x
    特殊權限存取群組擁有者 x

    規劃復原

    如果 PIM 無法在生產環境中如預期運作,您可以再次將角色指派從合格的狀態變更為「作用中」。 針對您已設定的每個角色,選取指派類型符合資格的所有使用者的省略符號 (...)。 然後,您可以選取 [設為使用中] 選項來返回,並讓角色指派成為使用中

    規劃和執行 Azure AD 角色的 PIM

    遵循這些工作來準備 PIM 以管理 Azure AD 角色。

    探索和緩和特殊權限角色

    列出組織中具有特殊權限角色的人員。 請檢查指派的使用者,找出不再需要該角色的系統管理員,並將其從指派中移除。

    您可以使用 Azure AD 角色存取權檢閱,將探索、檢閱和核准或移除作業自動化。

    判斷要由 PIM 管理的角色

    優先保護擁有最多權限的 Azure AD 角色。 也請務必想好,對於貴組織來說最為敏感的資料和權限是什麼。

    首先,請確定所有的全域和安全性系統管理員角色都是使用 PIM 來管理,因為這些是在遭入侵時可能會造成損害的使用者。 然後考量更多應該管理的角色,因為這些角色會很容易受到攻擊。

    針對 Azure AD 角色設定 PIM 設定

    針對您的組織所使用的每個特殊權限 Azure AD 角色,草擬並設定您的 PIM 設定

    下表顯示範例設定:

    角色 需要 MFA 通知 事件票證 需要核准 核准者 啟動持續時間 永久系統管理員
    全域管理員 ✔️ ✔️ ✔️ ✔️ 其他全域管理員 1 小時 緊急存取帳戶
    Exchange 管理員 ✔️ ✔️ 2 小時
    技術服務管理員 ✔️ 8 小時

    指派及啟用 Azure AD 角色

    對於 PIM 中的 Azure AD 角色,只有特殊權限角色管理員或全域系統管理員角色的使用者可以管理其他系統管理員的指派。 全域管理員、安全性系統管理員、全域讀者和安全性讀取者也可以在 PIM 中檢視 Azure AD 角色指派。

    請遵循下列連結中的指示:

    1. 提供合格的指派

    2. 允許合格的使用者及時啟動 Azure AD 角色

    當角色接近其到期日時,請使用 PIM 來延長或更新角色。 兩者的使用者起始動作都需要全域管理員或具特殊權限角色管理員的核准。

    當這些重要事件發生在 Azure AD 角色時,PIM 會根據角色、事件和通知設定,將電子郵件通知和每週摘要電子郵件傳送給版權管理員。 這些電子郵件也可能包含相關工作 (例如啟用或更新角色) 的連結。

    注意

    您也可以使用 Azure AD 角色的 Microsoft Graph API 來執行這些 PIM 工作。

    核准或拒絕 PIM 啟用要求

    當要求正在等待核准時,委派的核准者會收到電子郵件通知。 請遵循下列步驟來 核准或拒絕啟用 Azure 資源角色的要求

    檢視 Azure AD 角色的稽核歷程記錄

    針對 Azure AD 角色,查看過去 30 天內所有角色指派和啟用的稽核歷程記錄。 如果您是全域系統管理員或特殊權限角色系統管理員,就可以存取稽核記錄。

    我們建議您每週讓至少一位系統管理員看過所有稽核事件,並每月匯出稽核事件。

    Azure AD 角色的安全性警示

    設定 Azure AD 角色的安全性警示,以在發生可疑和不安全的活動時觸發警示。

    規劃和執行適用於 Azure 資源角色的 PIM

    遵循這些工作來準備 PIM 以管理 Azure 資源角色。

    探索和緩和特殊權限角色

    讓連結至每個訂用帳戶或資源的擁有者和使用者存取系統管理員指派減到最少,以及要移除不必要的指派。

    以全域管理員身分,您可以提高存取權以管理所有 Azure 訂用帳戶。 然後,您可以尋找每個訂用帳戶的擁有者,然後與其合作來移除其訂用帳戶不必要的指派。

    使用 Azure 資源的存取權檢閱來稽核和移除不必要的角色指派。

    判斷要由 PIM 管理的角色

    在決定應使用 PIM 管理 Azure 資源的哪些角色指派時,您必須先識別對組織最為重要的管理群組、訂用帳戶、資源群組和資源。 請考慮使用管理群組來組織其組織內的所有資源。

    建議您使用 PIM 來管理所有訂用帳戶擁有者和使用者存取系統管理員角色。

    請與訂用帳戶擁有者合作,以記錄每個訂用帳戶所管理的資源,並在可能受到損害時將每個資源的風險層級分類。 根據風險層級以 PIM 管理資源的優先順序。 這也包含附加至訂用帳戶的自訂資源。

    我們也建議您與重要服務的訂用帳戶或資源擁有者合作,來為敏感訂用帳戶/資源內的所有角色設定 PIM 工作流程。

    對於不是那麼重要的訂用帳戶或資源,則不必為所有角色設定 PIM。 不過,仍應使用 PIM 保護擁有者和使用者存取系統管理員角色。

    設定 Azure 資源角色的 PIM 設定

    針對您規劃要使用 PIM 保護的 Azure 資源角色,進行草擬並設定

    下表顯示範例設定:

    角色 需要 MFA 通知 需要核准 核准者 啟動持續時間 有效系統管理員 有效到期日 合格到期日
    重要訂用帳戶的擁有者 ✔️ ✔️ ✔️ 訂用帳戶的其他擁有者 1 小時 n/a 3 個月
    較不重要訂用帳戶的使用者存取系統管理員 ✔️ ✔️ 1 小時 n/a 3 個月

    指派及啟用 Azure 資源角色

    針對 PIM 中的 Azure 資源角色,只有擁有者或使用者存取系統管理員可以管理其他系統管理員的指派。 作為特殊權限角色系統管理員、安全性系統管理員或安全性讀取者的使用者,依預設沒有存取權限可檢視 Azure 資源角色指派。

    請遵循下列連結中的指示:

    1.提供合格的指派

    2.允許合格的使用者及時啟動 Azure 角色

    當特殊權限角色指派接近其到期日時,請 使用 PIM 來延長或更新角色。 使用者起始的動作都需要資源擁有者或使用者存取系統管理員的核准。

    當這些重要事件發生在 Azure 資源角色時,PIM 會將 電子郵件通知傳送給擁有者和使用者存取系統管理員。 這些電子郵件也可能包含相關工作 (例如啟用或更新角色) 的連結。

    核准或拒絕 PIM 啟用要求

    核准或拒絕 Azure AD 角色的啟用要求-委派核准者會在要求等待核准時收到電子郵件通知。

    檢視 Azure 資源角色的稽核記錄

    針對 Azure 資源角色,查看過去 30 天內所有角色指派和啟用的稽核歷程記錄。

    Azure 資源角色的安全性警示

    設定 Azure 資源角色的安全性警示,以在發生任佇可疑和不安全的活動時觸發警示。

    為特殊權限存取群組規劃和執行 PIM

    請遵循這些工作來準備 PIM,以管理特殊權限存取群組。

    探索特殊權限存取群組

    透過 PIM,個人或許會有五或六個符合資格的指派至 Azure AD 角色。 他們必須個別啟用每個角色,以期降低生產力。 更糟的是,他們也可以指派數十或數百個 Azure 資源,讓問題更加嚴重。

    在此情況下,您應該使用特殊權限的特殊權限存取群組。 建立特殊權限存取群組,並為其授與對多個角色的永久作用中存取。 請參閱特殊權限存取群組管理功能

    若要管理 Azure AD 角色可指派群組作為特殊權限存取群組,您必須將其置於 PIM 的管理下

    設定特殊權限存取群組的 PIM 設定

    針對您規劃要使用 PIM 保護的特殊權限存取群組,進行草擬並設定

    下表顯示範例設定:

    角色 需要 MFA 通知 需要核准 核准者 啟動持續時間 有效系統管理員 有效到期日 合格到期日
    擁有者 ✔️ ✔️ ✔️ 資源的其他擁有者 1 小時 n/a 3 個月
    成員 ✔️ ✔️ 5 小時 n/a 3 個月

    指派特殊權限存取群組的資格

    您可以將資格指派給特殊權限存取群組的成員或擁有者。只要啟用一次,就可以存取所有連結的資源。

    注意

    您可以透過將角色指派給使用者的相同方式,將特殊權限群組指派給一或多個 Azure AD 和 Azure 資源角色。 最多可以在單一 Azure AD 組織 (租用戶) 中建立 400 個可指派角色的群組。

    Assign eligibility for privileged access groups

    當特殊權限群組指派指派接近其到期日時,請使用 PIM 來延長或更新群組指派。 您將需要群組擁有者的核准。

    核准或拒絕 PIM 啟用要求

    將特殊權限存取群組成員和擁有者設定為需要核准才能啟用,並選擇您的 Azure AD 組織中的使用者或群組作為委派核准者。 我們建議您為每個群組選取兩個或多個核准者,以降低特殊權限角色系統管理員的工作負載。

    核准或拒絕具特殊存取權限群組的角色啟用要求。 身為委派核准者,當要求正在等待您的核准時,您將會收到電子郵件通知。

    查看特殊權限存取群組的稽核歷程記錄

    針對特殊權限存取群組,查看過去 30 天內所有角色指派和啟用的稽核歷程記錄。

    後續步驟