在 Privileged Identity Management 中設定 Microsoft Entra 角色的安全性警示
當組織中的 Microsoft Entra ID 中存在可疑或不安全的活動時,Privileged Identity Management (PIM) 會產生警示。 觸發警示時,會顯示在 Privileged Identity Management 儀表板上。 選取警示,以查看詳列觸發警示之使用者或角色的報告。
注意
Privileged Identity Management 中的一個事件可以向多個收件者 (受託人、核准者或系統管理員) 產生電子郵件通知。 每個事件傳送的最大通知數為 1000。 如果收件者數超過 1000,則只有前 1000 位收件者會收到電子郵件通知。 這不會防止其他受託人、系統管理員或核准者在 Microsoft Entra ID 和 Privileged Identity Management 中使用他們的權限。
授權需求
使用 Privileged Identity Management 需要授權。 如需授權的詳細資訊,請參閱 Microsoft Entra ID 控管授權基本概念 。
安全性警訊
此區段會列出 Microsoft Entra 角色的所有安全性警示,以及說明如何修正和如何避免。 嚴重性具有下列意義:
- 高:因為發生原則違規而需要立即採取行動。
- 中:不需要立即採取動作,但表示可能發生原則違規。
- 低:不需要立即採取動作,但建議進行原則變更。
注意
只有下列角色能夠讀取 Microsoft Entra 角色的 PIM 安全性警示:全域管理員、特殊權限角色管理員、全域閱讀程式、安全性管理員和安全性閱讀程式。
系統管理員未使用其特殊權限角色
嚴重性:低
| 描述 | |
|---|---|
| 為什麼會收到此警示? | 將特殊權限角色指派給不需要的使用者會增加受攻擊的機會。 攻擊者也比較容易忽視未受到積極使用的帳戶。 |
| 如何修正? | 檢閱清單中的使用者,然後將他們從他們不需要的特殊權限角色中移除。 |
| 預護 | 只將特殊權限角色指派給具有正當業務理由的使用者。 排程定期存取權檢閱,以確認使用者仍然需要其存取權。 |
| 入口網站內風險降低措施 | 從其特殊權限角色中移除帳戶。 |
| 觸發程序 | 如果使用者在不啟用角色的情況下超過指定的天數,就會觸發。 |
| 天數 | 此設定指定使用者可以維持不啟用角色的天數上限 (從 0 到 100)。 |
角色不需要多重要素驗證來進行啟用
嚴重性:低
| 描述 | |
|---|---|
| 為什麼會收到此警示? | 如果沒有多重要素驗證,遭入侵的使用者就可以啟用特殊權限角色。 |
| 如何修正? | 檢閱角色清單,並針對每個角色要求多重要素驗證。 |
| 預護 | 針對每一個角色要求 MFA。 |
| 入口網站內風險降低措施 | 啟用特殊權限角色需要多重要素驗證。 |
組織沒有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管
嚴重性:低
| 描述 | |
|---|---|
| 為什麼會收到此警示? | 目前 Microsoft Entra 組織沒有 Microsoft Entra ID P2 或 Microsoft Entra ID 控管。 |
| 如何修正? | 檢閱 Microsoft Entra 版本的相關資訊。 升級至 Microsoft Entra ID P2 或 Microsoft Entra ID 控管。 |
特殊權限角色中的潛在過時帳戶
嚴重性:中
| 描述 | |
|---|---|
| 為什麼會收到此警示? | 此警示不會再根據帳戶的上次變更密碼日期而觸發。 此警示適用於在過去 n 天內未登入的特殊權限角色帳戶,其中 n 是介於 1 到 365 之間的可設定天數。 這些帳戶可能是未受到維護且容易遭到攻擊的服務或共用帳戶。 |
| 如何修正? | 檢閱清單中的帳戶。 如果他們不再需要存取,請將它們從其特殊權限角色中移除。 |
| 預護 | 確定共用帳戶會在知道密碼的使用者有所變更時,輪替使用強式密碼。 使用存取權檢閱功能定期檢閱具備特殊權限角色的帳戶,並移除不再需要的角色指派。 |
| 入口網站內風險降低措施 | 從其特殊權限角色中移除帳戶。 |
| 最佳作法 | 使用密碼進行驗證且指派給高特殊許可權系統管理角色的共用、服務和緊急存取帳戶,例如全域管理員或安全性系統管理員,其密碼應該輪替下列情況:
|
在 Privileged Identity Management 之外指派角色
嚴重性:高
| 描述 | |
|---|---|
| 為什麼會收到此警示? | 在 Privileged Identity Management 之外進行的特殊權限角色指派未得到適當監視,可能表明存在主動攻擊。 |
| 如何修正? | 檢閱清單中的使用者並將其從在 Privileged Identity Management 之外指派的特殊權限角色中刪除。 您也可以在警示設定中啟用或停用警示及其隨附的電子郵件通知。 |
| 預護 | 調查在 Privileged Identity Management 之外為使用者指派特殊權限角色的位置,並禁止將來從該處指派。 |
| 入口網站內風險降低措施 | 從其特殊權限角色中移除使用者。 |
注意
當從警示設定啟用警示時,PIM 會針對 [在 PIM 外部指派角色] 警示傳送電子郵件通知。對於 PIM 中的 Microsoft Entra 角色,電子郵件會傳送至已啟用 Privileged Identity Management 的 [特殊權限角色管理員]、[安全性系統管理員] 以及 [全域管理員]。 對於 PIM 中的 Azure 資源,電子郵件會傳送至擁有者和使用者存取系統管理員。
全域管理員過多
嚴重性:低
| 描述 | |
|---|---|
| 為什麼會收到此警示? | 全域管理員是最高特殊許可權角色。 如果全域管理員遭到入侵,則攻擊者會取得其所有權限的存取權,這會讓整個系統面臨風險。 |
| 如何修正? | 檢閱清單中的使用者,並移除不需要全域管理員角色的任何使用者。 請改為將較低特殊權限角色指派給這些使用者。 |
| 預護 | 將使用者所需的最低特殊權限角色指派給使用者。 |
| 入口網站內風險降低措施 | 從其特殊權限角色中移除帳戶。 |
| 觸發程序 | 當符合兩個不同的條件時就會觸發,而您可以同時設定這兩個條件。 首先,您必須達到全域管理員角色指派的特定閾值。 其次,您角色指派總數的一定百分比必須是全域管理員。 如果您只符合其中一個度量,則不會出現警示。 |
| 全域管理員數目下限 | 這項設定會指定全域管理員角色指派的數目 (從 2 到 100),您認為對 Microsoft Entra 組織而言太少。 |
| 全域管理員百分比 | 此設定會指定全域管理員的最小百分比,從 0% 到 100%,低於您不希望Microsoft Entra 組織下降。 |
啟用角色的次數太頻繁
嚴重性:低
| 描述 | |
|---|---|
| 為什麼會收到此警示? | 同一使用者多次啟用相同的特殊權限角色是受到攻擊的徵兆。 |
| 如何修正? | 檢閱清單中的使用者,並確定為他們的特殊權限角色設定的啟用持續時間夠長,足以讓他們執行工作。 |
| 預護 | 確保特殊權限角色的啟用持續時間夠長,足以讓使用者執行其工作。 對於具有多個系統管理員共用之帳戶的特殊權限角色,需要多重要素驗證。 |
| 入口網站內風險降低措施 | N/A |
| 觸發程序 | 當使用者在指定期間內多次啟用相同的特殊權限角色時,就會觸發。 您可以同時設定時段和啟用次數。 |
| 啟用更新時間範圍 | 此設定會以天、小時、分鐘及秒為單位,指定您想要用來追蹤可疑更新的時段。 |
| 啟用更新次數 | 這項設定會指定在您選擇的時間範圍內,想要收到通知的啟用次數 (從 2 到 100)。 您可以移動滑桿或在文字方塊中輸入數字,以變更此設定。 |
自訂安全性警示設定
遵循這些步驟,以在 Privileged Identity Management 中設定 Microsoft Entra 角色的安全性警示:
以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別控管]>[Privileged Identity Management]>[Microsoft Entra 角色]>[角色]>[設定]。 如需如何將 Privileged Identity Management 磚新增至儀表板的詳細資訊,請參閱開始使用 Privileged Identity Management。
自訂不同警示的設定,以便合您的環境和安全性目標。
