Microsoft Entra 權限管理 快速入門指南

歡迎使用 Microsoft Entra 權限管理 快速入門指南。

許可權管理是雲端基礎結構權利管理 （CIEM） 解決方案，可提供指派給所有身分識別之許可權的完整可見性。 這些身分識別包括跨 Microsoft Azure、Amazon Web Services （AWS） 和 Google Cloud Platform （GCP） 中多重雲端基礎結構的超特殊許可權工作負載和使用者身分識別、動作和資源。 許可權管理可藉由偵測、自動調整大小，以及持續監視未使用和過度的許可權，協助貴組織有效保護及管理雲端許可權。

在本快速入門指南中，您將設定多重雲端環境、設定數據收集，以及啟用許可權存取，以確保您的雲端身分識別受到管理和保護。

必要條件

開始之前，您需要存取這些工具以進行上線程式：

• 使用 Azure CLI 或使用 BASH 環境存取本機 BASH 殼層或 Azure Cloud Shell（包含 Azure CLI）。
• 存取 AWS、Azure 和 GCP 控制台。
• AWS 和 GCP 上線需要用戶許可權管理 管理員 istrator 角色指派，才能在 Microsoft Entra 租使用者中建立新的應用程式註冊。

步驟 1：設定許可權管理

若要啟用許可權管理，您必須擁有 Microsoft Entra 租使用者（例如 Microsoft Entra 系統管理中心）。

• 如果您有 Azure 帳戶，則會自動擁有 Microsoft Entra 系統管理中心租使用者。
• 如果您還沒有帳戶，請在 entra.microsoft.com 建立免費帳戶。

如果符合上述點，請繼續進行：

在您的組織中啟用 Microsoft Entra 權限管理

請確定您是許可權管理 管理員 istrator。 深入了解 許可權管理角色和許可權。

步驟 2：將多重雲端環境上線

到目前為止，您已經

1. 已獲指派 Microsoft Entra 系統管理中心租使用者中的許可權管理 管理員 istrator 角色。
2. 已購買授權或啟用許可權管理的 45 天免費試用。
3. 已成功啟動許可權管理。

現在，您將了解許可權管理中控制器和數據收集模式的角色和設定。

設定控制器

控制器可讓您選擇決定您在 [許可權管理] 中授與使用者的存取層級。

• 在上線期間啟用控制器會授與許可權管理系統管理員存取權，或讀取和寫入存取權，讓使用者可以直接透過許可權管理來調整許可權並補救 （而不是移至 AWS、Azure 或 GCP 控制台）。 

• 在上線期間停用控制器，或永遠不會啟用它，授與許可權管理使用者對環境只讀存取權。

注意

如果您在上線期間未啟用控制器，您可以選擇在上線完成後加以啟用。 若要在上線后的許可權管理中設定控制器，請參閱 在上線后啟用或停用控制器。 針對 AWS 環境，一旦啟用控制器，就無法將其停用。

若要在上線期間設定控制器設定：

1. 選取 [ 啟用 ] 以授與許可權管理的讀取和寫入許可權。
2. 選取 [停用 ] 以授與許可權管理的只讀存取權。

設定資料收集

有三種模式可供選擇，以便在許可權管理中收集數據。

• 自動 （建議） 許可權管理會自動探索、上線及監視所有目前和未來的訂用帳戶。

• 手動 輸入許可權管理的個別訂用帳戶，以探索、上線和監視。 每個數據收集最多可以輸入 100 個訂用帳戶。

• 選取 [許可權管理] 會自動探索所有目前的訂用帳戶。 探索到之後，您可以選取要上線和監視的訂用帳戶。

注意

若要使用 自動 或 選取 模式，必須在設定數據收集時啟用控制器。

若要設定資料收集：

1. 在 [許可權管理] 中，移至 [數據收集器] 頁面。
2. 選取雲端環境： AWS、 Azure 或 GCP。
3. 按兩下 [ 建立組態]。

注意

在大部分情況下，數據收集程式需要一些時間，並以大約 4-5 小時間隔發生。 時間範圍取決於您擁有的授權系統大小，以及可供收集的數據量。

將 Amazon Web Services 上線 （AWS）

由於許可權管理裝載於 Microsoft Entra 上，因此有更多步驟可讓 AWS 環境上線。

若要將 AWS 連線到許可權管理，您必須在已啟用許可權管理的 Microsoft Entra 系統管理中心租使用者中建立 Microsoft Entra 應用程式。 此 Microsoft Entra 應用程式可用來設定與 AWS 環境的 OIDC 連線。

OpenID 連線 （OIDC） 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。

必要條件

用戶必須具有許可權管理 管理員 istrator 角色指派，才能在 Microsoft Entra ID 中建立新的應用程式註冊。

帳戶識別碼和角色：

• AWS OIDC 帳戶：由您指定的 AWS 成員帳戶，可透過 OIDC IdP 建立及裝載 OIDC 連線
• AWS 記錄帳戶（選擇性但建議）
• AWS 管理帳戶（選擇性但建議）
• 受許可權管理監視和管理的 AWS 成員帳戶（適用於手動模式）

若要使用 自動 或 選取 資料收集模式，您必須連線 AWS 管理帳戶。

在此步驟中，您可以使用 AWS CloudTrail 活動記錄輸入 S3 貯體的名稱來啟用控制器（在 AWS 追蹤中找到）。

若要將 AWS 環境上線並設定數據收集，請參閱 將 Amazon Web Services （AWS） 帳戶上線。

將 Microsoft Azure 上線

當您在 Microsoft Entra 租使用者中啟用許可權管理時，會建立 CIEM 的企業應用程式。 若要將 Azure 環境上線，您可以授與此應用程式的許可權以進行許可權管理。

1. 在啟用許可權管理的 Microsoft Entra 租使用者中，找出 雲端基礎結構權利管理 （CIEM） 企業應用程式。

2. 將 讀者 角色指派給 CIEM 應用程式，以允許許可權管理讀取您環境中的 Microsoft Entra 訂用帳戶。

必要條件

• 具有 Microsoft.Authorization/roleAssignments/write 訂用帳戶或管理群組範圍許可權的使用者，將角色指派給 CIEM 應用程式。

• 若要使用 自動 或 選取 資料收集模式，您必須在管理群組範圍中指派 讀取者 角色。

• 若要啟用控制器，您必須將使用者存取 管理員 istrator 角色指派給 CIEM 應用程式。

若要將 Azure 環境上線並設定數據收集，請參閱 將 Microsoft Azure 訂用帳戶上線。

將 Google Cloud Platform 上線 （GCP）

由於許可權管理裝載於 Microsoft Azure 上，因此有額外的步驟可讓 GCP 環境上線。

若要將 GCP 連線到許可權管理，您必須在已啟用許可權管理的 Microsoft Entra 租使用者中建立 Microsoft Entra 系統管理中心應用程式。 此 Microsoft Entra 系統管理中心應用程式可用來設定與 GCP 環境的 OIDC 連線。

OpenID 連線 （OIDC） 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。

必要條件

AWS 和 GCP 上線需要能夠在 Microsoft Entra 中建立新的應用程式註冊的使用者（需要協助 OIDC 連線）。

識別碼詳細資料：

• GCP OIDC 專案：由您指定的 GCP 專案，可透過 OIDC IdP 建立及裝載 OIDC 連線。
  • 項目編號和專案標識碼
• GCP OIDC 工作負載身分識別
  • 集區標識碼、集區提供者標識碼
• GCP OIDC 服務帳戶
  • G-suite IdP 秘密名稱和 G-suite IdP 使用者電子郵件（選用）
  • 您要上線之 GCP 專案的識別碼 （選擇性，適用於手動模式）

將 查看器 和安全性 檢閱者 角色指派給組織、資料夾或專案層級的 GCP 服務帳戶，以授與許可權管理對 GCP 環境的讀取許可權。

在此步驟中，您可以選擇將角色 管理員 istrator 和安全性 管理員 istrator 角色指派給組織、資料夾或專案層級的 GCP 服務帳戶，以啟用控制器模式。

注意

[許可權管理] 預設範圍位於專案層級。

若要將 GCP 環境上線並設定資料收集，請參閱 將 GCP 項目上線。

摘要

恭喜！ 您已完成為環境設定數據收集，而且數據收集程序已開始。 數據收集程式需要一些時間;在大部分情況下，大約 4-5 小時。 時間範圍取決於您上線的授權系統數量，以及可供收集的數據量。

[許可權管理] UI 中的 [狀態] 資料行會顯示您所在的數據收集步驟。

• 擱置：許可權管理尚未開始偵測或上線。
• 探索：許可權管理正在偵測授權系統。
• 進行中：許可權管理已完成偵測授權系統並上線。
• 上線：數據收集已完成，且所有偵測到的授權系統都會上線至許可權管理。

注意

數據收集程式繼續進行時，您可以在 [許可權管理] 中開始設定使用者和群組。

下一步

• 在上線后啟用或停用控制器
• 完成上線之後新增帳戶/訂用帳戶/專案
• 建立資料夾以組織您的授權系統

參考：

• 許可權管理詞彙
• 許可權管理常見問題