分享方式:

常見問題集 (FAQ)

  • 文章

本文回答關於 Microsoft Entra 權限管理的常見問題 (FAQ)。

什麼是 Microsoft Entra 權限管理?

Microsoft Entra 權限管理 (權限管理) 是雲端基礎結構權利管理 (CIEM) 解決方案,可讓您全面了解指派給所有身分識別的權限。 例如,Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中多雲端基礎結構的過度特權工作負載和使用者身分識別、動作和資源。 權限管理會偵測、自動調整正確的大小,以及不斷地監視未使用與過多的權限。 其藉由增強最低權限存取原則來深化零信任安全性策略。

使用權限管理的必要條件有哪些?

權限管理支援從 AWS、GCP 和/或 Microsoft Azure 收集資料。 若要進行資料收集和分析,客戶必須擁有 Microsoft Entra 帳戶才能使用權限管理。

如果客戶有其他身分識別且其 IaaS 平台的存取尚未於 Microsoft Entra ID 中,則該客戶是否可以使用權限管理?

是,客戶可以偵測、減緩和監視 AWS IAM 或 GCP 帳戶或來自 Okta 或 AWS IAM 等其他身分識別提供者的風險。

客戶可以在哪裡存取權限管理?

客戶可以從 Microsoft Entra 系統管理中心存取權限管理介面。

非雲端客戶是否可以使用內部部署的權限管理嗎?

不行,權限管理為託管雲端供應項目。

非 Azure 客戶是否可以使用權限管理?

是,非 Azure 客戶可以使用我們的解決方案。 權限管理是多雲端解決方案,因此即使沒有 Azure 訂用帳戶的客戶也可以從中獲益。

權限管理適用託管於歐盟 (EU) 的租用戶嗎?

是,權限管理目前適用於歐盟 (EU) 中所託管的租用戶。

如果我已針對 Azure 使用 Microsoft Entra ID Privileged Identity Management (PIM),權限管理可提供哪些價值?

權限管理可使 Microsoft Entra PIM 更臻完善。 Microsoft Entra PIM 為 Azure 和 Microsoft Online Services 中的系統管理員角色及使用群組的應用程式提供 Just-In-Time 存取權。 版權管理允許跨 Azure、AWS 和 GCP 進行特殊權限存取的多雲端探索、補救和監視。

權限管理支援哪些公用雲端基礎結構?

權限管理目前支援三個主要公用雲端:Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Microsoft Azure。

權限管理是否支援混合式環境?

權限管理目前不支援混合式環境。

權限管理支援哪些類型的身分識別?

權限管理支援使用者身分識別 (例如,員工、客戶、外部合作夥伴) 和工作負載身分識別 (例如虛擬機器、容器、Web 應用程式、無伺服器功能)。

Government 雲端中提供權限管理嗎?

否,權限管理目前不適用於 Government 雲端。

主權雲端中提供權限管理嗎?

否,權限管理目前不適用於主權雲端。

權限管理如何收集權限使用情況的見解?

權限管理具有資料收集器,可收集指派給各種身分識別、活動記錄和資源中繼資料的存取權限。 資料收集器對授與所有身分識別的權限提供完整可見度,以存取資源和所授與權限使用情況的詳細資料。

權限管理如何評估雲端權限風險?

權限管理可對所有身分識別及其授與和已使用的許可權,跨雲端基礎結構提供細微的可見度,以找出任何資源上任何身分識別所執行的任何動作。 此可見度不只限於使用者身分識別,也限於工作負載身分識別,例如虛擬機器、存取金鑰、容器和指令碼。 儀表板提供權限設定檔的概觀,以找出風險最高的身分識別和資源。

什麼是權限蔓延索引?

權限蔓延索引 (PCI) 是與身分識別或角色相關聯的風險量化量測,而這些身分識別和角色是透過比較授與的權限與所執行的權限來決定。 其可讓使用者跨身分識別和資源立即評估與未使用或過度佈建權限數目相關聯的風險層級。 其會根據身分識別所擁有的權限來測量可能造成多少損害。

客戶如何使用權限管理來刪除未使用或過多的權限?

權限管理可讓使用者只需按幾下滑鼠,即可將過多的權限調整為適當的大小,並自動強制執行最低權限原則。 解決方案會持續分析每個身分識別的歷程記錄權限使用情況資料,並讓客戶能夠將該身分識別的權限大小適當地調整為僅用於日常作業的權限。 所有未使用和其他有風險的權限都可以自動移除。

為什麼我刪除的使用者仍顯示在 [分析] 索引標籤中?

檢查以了解使用者是否已受指派傳統系統管理員角色。 刪除使用者時,傳統系統管理員角色不會消失。 若要解決此問題,請移至傳統系統管理員頁面並為使用者個別刪除該角色指派。

客戶如何使用權限管理授與隨選權限?

對於身分識別需要對一組特定資源執行一組特定動作的任何緊急情況或一次性案例,身分識別可以在有限期間使用自助工作流程要求這些權限。 客戶可以使用內建工作流程引擎或其 IT 服務管理 (ITSM) 工具。 對於任何身分識別類型、身分識別來源 (本機、企業目錄或同盟) 和雲端,使用者體驗都相同。

隨選權限與 Just-In-Time 存取之間有何差異?

Just-In-Time (JIT) 存取是一種方法,用來強制執行最低權限原則,以確保身分識別獲取最低層級的權限來執行手邊工作。 隨選權限是一種 JIT 存取,允許暫時提高許可權,讓身分識別能夠依要求根據時間存取資源。

客戶如何使用權限管理監視權限使用情況?

客戶只需要追蹤其權限蔓延指標 (PCI) 的演進,以監視權限使用情況。 客戶可以從權限管理儀表板的 [分析] 索引標籤中監視 PCI。

客戶是否可以產生權限使用情況報告?

可以,權限管理有不同類型的系統報告類型,可用來擷取特定的資料集。 這些報告可讓客戶:

  • 做出及時決策。
  • 分析使用情況趨勢和系統/使用者效能。
  • 識別高風險區域。

如需權限使用情況報告的相關資訊,請參閱產生和下載權限分析報告

權限管理是否與協力廠商 ITSM (資訊技術服務管理) 工具整合?

與 ServiceNow 等 ITMS 工具整合是未來的藍圖。

如何部署權限管理?

受指派權限管理系統管理員角色的客戶必須先將權限管理上線至 Microsoft Entra 租用戶,然後上線其 AWS 帳戶、GCP 專案和 Azure 訂用帳戶。 有關上線的其他詳細資料可在我們的產品文件中找到。

部署權限管理要花費多少時間?

其取決於每個客戶,以及他們具有多少 AWS 帳戶、GCP 專案和 Azure 訂用帳戶。

一旦部署了權限管理,如何快速取得權限見解?

完全上線並設定資料收集之後,客戶就可以在數小時內存取權限使用情況深入解析。 我們的機器學習引擎每小時會重新整理權限蔓延索引,讓客戶可以立即開始風險評估。

權限管理是否收集並儲存敏感性個人資料?

否,權限管理無法存取敏感性資料。

我可以在哪裡找到有關權限管理的詳細資訊?

您可以閱讀我們的部落格並迼訪我們的網頁。 您也可以與 Microsoft 連絡點接觸,以排定示範時間。

什麼是資料解構/解除委任程序?

如果客戶起始免費權限管理 45 天試用,但未在 45 天試用到期內轉換為付費授權,則我們將會在 30 天試用到期日內刪除所有收集的資料。

如果客戶決定停止授權服務,則在 30 天授權終止內刪除所有先前收集到的資料。

如果使用權限管理服務的權限管理系統管理員提出正式資料主體要求,則客戶也可以移除、匯出或修改特定資料。 若要提出要求:

如果您是企業客戶,您可以連絡您的 Microsoft 代表、帳戶小組或租用戶系統管理員以提出要求資料主體要求的高優先順序 IcM 支援票證。 請勿在 IcM 要求中包含詳細資料或任何個人識別資訊。 僅當提出 IcM 後,我們才會與您連絡以取得這些詳細資料。

如果您是自助服務客戶 (您在 Microsoft 365 系統管理中心中設定試用或付費授權),則您可以透過選取設定檔下拉式功能表並選取權限管理中的 [帳戶設定] 以連絡權限管理隱私權小組。 請依照指示以提出資料主體要求。

深入了解 Azure 資料主體要求

我需要授權才能使用 Microsoft Entra 權限管理嗎?

是,自 2022 年 7 月 1 日起,新客戶必須取得免費 45 天試用授權或付費授權,才能使用服務。 您可以在這裡啟用試用:https://aka.ms/TryPermissionsManagement,也可以在這裡直接購買資源型授權:https://aka.ms/BuyPermissionsManagement

權限管理如何定價?

權限管理為 $125 美元每個資源/年 ($ 10.40 美元每個資源/月)。 權限管理需要工作負載的授權,其中包含使用計算或記憶體的資源。

我需要支付所有資源的費用嗎?

即使權限管理支援所有資源,Microsoft 仍僅需要每個雲端環境的計費資源授權。 如需深入了解計費資源,請造訪檢視授權系統中列出的計費資源

如何計算我所有的計費資源數目?

若要計算您在多重雲端基礎結構中所有的計費資源,您必須先啟用 45 天免費試用的權限管理或購買付費授權。 在權限管理中,選取 [設定] (齒輪圖示),然後按一下 [計費資源] 索引標籤。在 [授權總數目] 資料行中,檢視計費資源數量。

如果我使用舊版的 CloudKnox 服務,則該怎麼辦?

我們目前正在開發移轉方案,以協助原始 CloudKnox 服務上的客戶在 2022 年稍後移至新的 Microsoft Entra 權限管理服務。

我是否可以在 EU 使用 Microsoft Entra 權限管理?

是,產品符合規範。

如何啟用 GA 發行版本中支援的新 18 種語言的其中一種?

我們現在以 18 種語言當地語系化。 我們遵守瀏覽器設定,或者您可以將查詢字串尾碼新增至您的 Microsoft Entra 權限管理 URL,以手動啟用您選擇的語言:

?lang=xx-XX

其中 xx-XX 是下列其中一個可用的語言參數:'cs-CZ'、'de-DE'、'en-US'、'es-ES'、'fr-FR'、'hu-HU'、'id-ID'、'it-IT'、'ja-JP'、'ko-KR'、'nl-NL'、'pl-PL'、'pt-BR'、'pt-PT'、'ru-RU'、'sv-SE'、'tr-TR'、'zh-CN' 或 'zh-TW'。

資源

下一步