共用方式為


Microsoft Entra Privileged Identity Management 是什麼? (部分機器翻譯)

Privileged Identity Management (PIM) 是 Microsoft Entra ID 中的一項服務,可讓您管理、控制和監視組織內重要資源的存取權。 這些資源包括 Microsoft Entra ID、Azure 與其他 Microsoft Online Services (例如 Microsoft 365 或 Microsoft Intune) 中的資源。 下列影片說明重要的 PIM 概念和功能。

使用原因

組織想將可存取安全資訊或資源的人數降至最低,因為這可減少下列機會:

  • 惡意執行者取得存取權
  • 獲得授權的使用者不慎影響到敏感性資源

不過,使用者仍然需要在 Microsoft Entra ID、Azure、Microsoft 365 或 SaaS 應用程式中執行特殊權限作業。 組織可以將 Azure 和 Microsoft Entra 資源的 Just-In-Time 特殊權限存取權提供給使用者,而且可利用其特殊權限存取權監督這些使用者正在執行的操作。

授權需求

使用 Privileged Identity Management 需要授權。 如需授權的詳細資訊,請參閱 Microsoft Entra ID 控管授權基本概念

用途

Privileged Identity Management 提供以時間為基礎和以核准為基礎的角色啟用,可降低因重要資源上有過多、不必要或誤用的存取權限而帶來的風險。 以下是 Privileged Identity Management 的一些重要功能:

  • 提供 Microsoft Entra ID 和 Azure 資源的 Just-In-Time 特殊存取權限
  • 使用開始和結束日期指派有時限的資源存取權
  • 需要核准才能啟用特殊權限角色
  • 強制使用多重要素驗證以啟用任何角色
  • 使用理由來了解使用者啟用的原因
  • 在啟用特殊權限角色時獲得通知
  • 進行存取權檢閱以確保使用者仍然需要角色
  • 下載稽核記錄以供內部或外部稽核
  • 預防移除最後的使用中全域管理員特殊權限角色管理員角色指派

有何用途?

設定 Privileged Identity Management 後,您會在左側導覽功能表中看到 [工作]、[管理] 和 [活動] 選項。 身為管理員的您可以選擇管理 Microsoft Entra 角色、管理 Azure 資源角色或群組 PIM 等選項。 當您選擇想要管理的內容後,您會看到適當的選項組。

螢幕擷取畫面,其中顯示 Azure 入口網站中的 Privileged Identity Management。

誰能做什麼?

對於 Privileged Identity Management 中的 Microsoft Entra 角色,只有具備特殊權限角色管理員或全域管理員角色的使用者可以管理其他管理員的指派。 全域管理員、安全性管理員、全域讀者和安全性讀者也可以檢視 Privileged Identity Management 中的 Microsoft Entra 角色指派。

對於 Privileged Identity Management 中的 Azure 資源角色,只有訂用帳戶管理員、資源擁有者、或資源使用者存取系統管理員可以管理其他系統管理員的指派。 根據預設,身為特殊權限角色管理員、安全性管理員或安全性讀者的使用者沒有權限檢視 Privileged Identity Management 中的 Azure 資源角色指派。

詞彙

若要進一步了解 Privileged Identity Management 及其文件,您應該檢閱下列條款。

詞彙或概念 角色指派類別 描述
合格 類型 需要使用者執行一或多個動作才能使用角色的角色指派。 如果使用者已獲得角色的資格,即表示他們可以在需要執行特殊權限工作時啟用該角色。 使用者不論是具有永久角色指派還是合格角色指派,獲得的存取權並無差異。 唯一的差異在於有些使用者並不一直需要該存取權。
作用中 類型 不要求使用者執行任何動作即可使用角色的角色指派。 指派為有效的使用者具有指派給角色的權限。
啟用 此程序會執行一或多個動作,讓使用者使用有資格使用的角色。 動作可能包括執行多重要素驗證 (MFA) 檢查、提供業務理由,或向指定的核准者要求核准。
已指派 州/省 具有作用中角色指派的使用者。
已啟用 州/省 具有合格角色指派、已執行動作來啟用角色,且目前為作用中的使用者。 啟動後,使用者便可在必須加以重新啟動之前,先為預先設定的期限使用該角色。
永久合格 期間 使用者一律有資格啟用角色的角色指派。
永久有效 期間 使用者一律可以使用角色而不需執行任何動作的角色指派。
有時限的合格 期間 使用者只能在開始和結束日期內有資格啟動角色的角色指派。
有時限的作用中 期間 使用者只能在開始和結束日期內使用角色的角色指派。
Just-In-Time (JIT) 存取 一種模型,使用者會在其中獲得臨時權限以執行特殊權限的工作,這可防止惡意或未經授權的使用者在權限過期後取得存取權。 只有當使用者需要時才會獲得存取權。
最低權限存取的原則 建議的安全性做法,只授與每位使用者獲授權執行的工作所需的最低權限。 這種做法會將全域管理員的數目降到最低,並改為針對特定案例使用特定的系統管理員角色。

角色指派概觀

PIM 角色指派可讓您安全地授權存取組織中的資源。 這個章節描述指派流程。 其中包括將角色指派給成員、啟用指派、核准或拒絕要求、延長和更新指派。

PIM 會傳送電子郵件通知給您和其他參與者,讓您隨時了解情況。 這些電子郵件還可能包含相關工作的連結,例如啟用、核准或拒絕要求。

下列螢幕擷取畫面顯示 PIM 傳送的電子郵件訊息。 電子郵件通知 Patti,Alex 已更新 Emily 的角色指派。

螢幕擷取畫面,其中顯示 Privileged Identity Management 傳送的電子郵件訊息。

指派

指派流程從將角色指派給成員開始。 為了授與資源的存取權,系統管理員會將角色指派給使用者、群組、服務主體或受控身分識別。 指派包含下列資料:

  • 指派角色的成員或擁有者。
  • 指派的範圍。 範圍會將指派的角色限制為一組特定的資源。
  • 指派的類型
    • 符合資格的指派會要求角色成員先執行某個動作才能使用此角色。 動作可能包含啟用或向指定的核准者要求核准。
    • 使用中指派不要求成員執行任何動作,即可使用角色。 指派為使用中的成員會具有指派給角色的權限。
  • 指派的持續時間,使用開始和結束日期或永久。 對於合格指派,成員可以在開始和結束日期期間啟用或要求核准。 對於使用中指派,成員可以在這段期間內使用指派角色。

下列螢幕擷取畫面顯示管理員如何指派角色給成員。

螢幕擷取畫面,其中顯示 Privileged Identity Management 角色指派。

如需詳細資訊,請參閱下列文章:指派 Microsoft Entra 角色指派 Azure 資源角色,以及指派群組 PIM 的資格

啟動

如果使用者已符合角色的資格,則必須先啟用角色指派,才能使用角色。 若要啟用角色,使用者需要在期限 (由管理員設定) 內選取具體的啟用持續時間,以及啟用要求的原因。

以下螢幕擷取畫面顯示成員如何在有限的時間內啟動其角色。

螢幕擷取畫面,其中顯示 Privileged Identity Management 角色啟用。

如果角色需要核准才能啟用,使用者的瀏覽器右上角會出現通知,表示要求是待核准的狀態。 如果不需要核准,成員就可以開始使用角色。

如需詳細資訊,請參閱下列文章:啟用 Microsoft Entra 角色啟用 Azure 資源角色,以及啟用群組的 PIM 角色

核准或拒絕

當角色要求等待核准時,委派核准者會收到電子郵件通知。 核准者可以在 PIM 中檢視、核准或拒絕這些擱置的要求。 要求核准之後,成員就可以開始使用角色。 例如,如果使用者或群組已獲指派資源群組的參與者角色,他們就能夠管理該特定資源群組。

如需詳細資訊,請參閱下列文章:核准或拒絕 Microsoft Entra 角色的要求核准或拒絕 Azure 資源角色的要求,以及核准群組 PIM 的啟用要求

延長及更新指派

當管理員設定有時限的擁有者或成員指派後,您第一個想問的問題可能是指派過期時該怎麼辦? 在這個新版本中,我們針對這種案例提供了兩個選項:

  • 延長 – 當角色指派接近到期時,使用者可以使用特殊權限身分識別要求角色指派延期
  • 更新 – 當角色指派已過期時,使用者可以使用特殊權限身分識別要求更新角色指派

這兩個使用者起始的動作都需要全域管理員或特殊權限角色管理員的核准。 系統管理員不需要負責管理指派到期的工作。 您只需等到延期或更新要求抵達,就能直接核准或拒絕。

如需詳細資訊,請參閱下列文章:延長或更新 Microsoft Entra 角色指派延長或更新 Azure 資源角色指派,以及延長或更新群組 PIM 指派

案例

特殊權限身分識別管理支援以下案例:

特殊權限角色管理員權限

  • 啟用特定角色的核准
  • 指定核准者、使用者或群組來核准要求
  • 檢視所有特殊權限角色的要求和核准歷史記錄

核准者權限

  • 檢視等待的核准(要求)
  • 核准或拒絕角色提高權限要求 (單個和大量)
  • 提供我核准或拒絕的理由

符合資格的角色使用者權限

  • 要求啟用需要核准的角色
  • 檢視您的啟用要求的狀態
  • 如果已核准啟用,請在 Microsoft Entra ID 中完成您的工作

Microsoft Graph API

您可以透過下列 Microsoft Graph API 以程式設計的方式使用 Privileged Identity Management:

下一步