共用方式為

常見問題集 (FAQ)

  • 發行項

本文回答 Microsoft Entra 權限管理 的常見問題。

Microsoft Entra 權限管理是什麼?

Microsoft Entra 權限管理 (許可權管理) 是雲端基礎結構權利管理 (CIEM) 解決方案,可提供指派給所有身分識別之許可權的完整可見度。 例如,Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中多雲端基礎結構的過度特權工作負載和使用者身分識別、動作和資源。 權限管理會偵測、自動調整正確的大小,以及不斷地監視未使用與過多的權限。 它藉由增強最低許可權存取原則來深化 零信任 安全性策略。

使用許可權管理的必要條件為何?

許可權管理支援從 AWS、GCP 和/或 Microsoft Azure 收集數據。 針對數據收集和分析,客戶必須有 Microsoft Entra 帳戶才能使用許可權管理。

如果客戶有其他身分識別可存取尚未在 Microsoft Entra ID 中的 IaaS 平台,客戶可以使用許可權管理嗎?

是,客戶可以偵測、減輕及監視 AWS IAM 或 GCP 帳戶的風險,或來自 Okta 或 AWS IAM 等其他身分識別提供者的風險。

客戶可以在哪裡存取許可權管理?

客戶可以從 Microsoft Entra 系統管理中心存取許可權管理介面

非雲端客戶是否可以使用內部部署的許可權管理?

否,許可權管理是託管的雲端供應專案。

非 Azure 客戶可以使用許可權管理嗎?

是,非 Azure 客戶可以使用我們的解決方案。 許可權管理是多雲端解決方案,因此即使是沒有 Azure 訂用帳戶的客戶也能從中受益。

許可權管理是否適用於裝載於歐盟(EU)的租使用者?

是,許可權管理目前適用於裝載於歐盟 (EU) 的租使用者。

如果我已經在使用適用於 Azure 的 Microsoft Entra ID Privileged Identity Management (PIM),許可權管理會提供什麼值?

許可權管理可補充 Microsoft Entra PIM。 Microsoft Entra PIM 針對 Azure 中的系統管理員角色,以及使用群組的 Microsoft Online Services 和應用程式,提供 Just-In-Time 存取。 版權管理允許跨 Azure、AWS 和 GCP 進行特殊權限存取的多雲端探索、補救和監視。

許可權管理支援哪些公用雲端基礎結構?

許可權管理目前支援三個主要的公用雲端:Amazon Web Services (AWS)、Google Cloud Platform (GCP)和 Microsoft Azure。

許可權管理是否支援混合式環境?

許可權管理目前不支援混合式環境。

許可權管理支援哪些類型的身分識別?

許可權管理支援使用者身分識別(例如,員工、客戶、外部合作夥伴)和工作負載身分識別(例如虛擬機、容器、Web 應用程式、無伺服器函式)。

政府雲端是否提供許可權管理?

否,政府雲端目前無法使用許可權管理。

許可權管理是否適用於主權雲端?

否,主權雲端目前無法使用許可權管理。

許可權管理如何收集許可權使用方式的深入解析?

許可權管理具有數據收集器,可收集指派給各種身分識別、活動記錄和資源元數據的訪問許可權。 數據收集器可完整查看授與所有身分識別的許可權,以存取資源,以及授與許可權使用方式的詳細數據。

許可權管理如何評估雲端許可權風險?

許可權管理可針對所有身分識別及其授與的許可權,跨雲端基礎結構提供更細微的可見性,以找出任何資源上任何身分識別所執行的任何動作。 可見度不僅限於使用者身分識別,也僅限於工作負載身分識別,例如虛擬機、存取密鑰、容器和腳本。 儀錶板提供許可權配置檔的概觀,以找出風險最高的身分識別和資源。

什麼是許可權爬行索引?

許可權爬行索引 (PCI) 是與身分識別或角色相關聯之風險的量化量值,其決定方式是比較授與的許可權與行使的許可權。 它可讓使用者立即評估與身分識別和資源之間未使用或過度布建許可權數目相關聯的風險層級。 其會根據身分識別所擁有的權限來測量可能造成多少損害。

客戶如何使用許可權管理來刪除未使用或過度的許可權?

許可權管理可讓使用者以適當大小調整許可權,並只需按幾下滑鼠,即可自動執行最低許可權原則。 解決方案會持續分析每個身分識別的歷程記錄許可權使用量數據,並讓客戶能夠將該身分識別的許可權調整為僅供日常作業使用的許可權。 所有未使用和其他有風險的許可權都可以自動移除。

為什麼我刪除的使用者仍然會顯示在 [分析] 索引標籤中?

檢查使用者是否已獲指派傳統 管理員 istrator 角色。 刪除使用者時,傳統系統管理員角色不會消失。 若要解決此問題,請移至傳統 系統管理員頁面 ,並個別刪除該角色指派給使用者。

客戶如何使用許可權管理來隨選授與許可權?

對於身分識別需要在一組特定資源上執行特定動作的任何斷斷或一次性案例,身分識別可以使用自助工作流程在有限的時間內要求這些許可權。 客戶可以使用內建工作流程引擎或其IT服務管理 (ITSM) 工具。 任何身分識別類型、身分識別來源(本機、企業目錄或同盟)和雲端的用戶經驗都相同。

隨選許可權與 Just-In-Time 存取之間的差異為何?

Just-In-Time (JIT) 存取是用來強制執行最低許可權原則的方法,以確保身分識別具有手邊執行工作的最低許可權層級。 隨選許可權是一種 JIT 存取,可允許暫時提高許可權,讓身分識別能夠依要求依時間存取資源。

客戶如何使用許可權管理來監視許可權使用方式?

客戶只需要追蹤其許可權爬行索引 (PCI) 的演進,以監視許可權使用量。 客戶可以在 [分析] 索引標籤的 [許可權管理] 儀錶板中監視PCI。

客戶是否可以產生許可權使用報告?

是,許可權管理有各種類型的系統報告可供擷取特定的數據集。 這些報告可讓客戶:

  • 及時做出決策。
  • 分析使用趨勢和系統/使用者效能。
  • 識別高風險區域。

如需許可權使用報告的相關信息,請參閱 產生和下載許可權分析報告

許可權管理是否與第三方 ITSM (資訊技術服務管理) 工具整合?

與 ServiceNow 等 ITMS 工具的整合,是未來的藍圖。

如何部署許可權管理?

指派許可權管理 管理員 istrator 角色的客戶必須先將許可權管理上架到其 Microsoft Entra 租使用者,然後上線其 AWS 帳戶、GCP 專案和 Azure 訂用帳戶。 如需有關上線的詳細資訊,請參閱我們的 產品檔

部署許可權管理需要多久時間?

這取決於每個客戶,以及他們擁有多少 AWS 帳戶、GCP 專案和 Azure 訂用帳戶。

部署許可權管理之後,如何快速取得許可權深入解析?

在數據收集設定完全上線之後,客戶可以在數小時記憶體取許可權使用見解。 我們的機器學習引擎每小時會重新整理許可權爬行索引,讓客戶可以立即啟動其風險評估。

許可權管理是否收集和儲存機密個人資料?

否,許可權管理無法存取機密個人資料。

哪裡可以找到有關許可權管理的詳細資訊?

您可以閱讀我們的 部落格 並瀏覽我們的 網頁。 您也可以與 Microsoft 連絡點連絡以排程示範。

什麼是數據解構/解除委任程式?

如果客戶起始免費試用 45 天的許可權管理,且不會在試用到期后的 45 天內轉換為付費授權,所有收集的數據都會在試用到期日的 30 天內刪除。

如果客戶決定停止授權服務,則會在授權終止后的 30 天內刪除所有先前收集的數據。

如果許可權管理 管理員 管理員使用許可權管理服務檔案官方數據主體要求,客戶也可以移除、匯出或修改特定數據。 若要提出要求:

如果您是企業客戶,您可以連絡 Microsoft 代表、帳戶小組或租用戶系統管理員,以提出要求數據主體要求的高優先順序 IcM 支援票證。 請勿在 IcM 要求中包含詳細數據或任何個人標識資訊。 只有在提交 IcM 之後,我們才會與您連絡以取得這些詳細數據。

如果您是自助客戶(您在 Microsoft 365 系統管理中心 中設定試用版或付費授權),您可以選取配置檔下拉功能表,然後在 [許可權管理] 中連絡 [許可權管理] 隱私權小組。帳戶 設定。 請依照指示提出數據主體要求。

深入瞭解 Azure 數據主體要求

是否需要授權才能使用 Microsoft Entra 權限管理?

是,自 2022 年 7 月 1 日起,新客戶必須取得免費的 45 天試用授權或付費授權才能使用服務。 您可以在這裡啟用試用版:或直接在這裡購買以資源為基礎的授權: https://aka.ms/TryPermissionsManagementhttps://aka.ms/BuyPermissionsManagement

許可權管理如何定價?

許可權管理是每個資源/年 $125 美元(每個資源/月 $10.40 美元)。 許可權管理需要工作負載的授權,其中包括任何使用計算或記憶體的資源。

我需要支付所有資源的費用嗎?

雖然許可權管理支援所有資源,但 Microsoft 只需要每個雲端環境可計費資源的授權。 若要深入瞭解可計費資源,請瀏覽 檢視授權系統中所列的可計費資源

如何? 計算我擁有的可計費資源數目?

若要計算您在多重雲端基礎結構中擁有的可計費資源,您必須先啟用 許可權管理 45 天的免費試用 ,或 購買付費授權。 在 [許可權管理] 中,選取 [設定 (齒輪圖示),然後按兩下 [可計費資源] 索引標籤。在 [授權總數] 欄中檢視可計費的資源數量。

如果我使用舊版的 CloudKnox 服務,該怎麼辦?

我們目前正在開發移轉計劃,協助客戶在 2022 年稍後將原始 CloudKnox 服務移至新的 Microsoft Entra 權限管理 服務。

我可以在歐盟中使用 Microsoft Entra 權限管理 嗎?

是,產品符合規範。

如何啟用 GA 版本中支援的其中一種新 18 種語言?

我們現在以 18 種語言當地語系化。 我們尊重您的瀏覽器設定,或者您可以將查詢字串後綴新增至您的 Microsoft Entra 權限管理 URL,以手動啟用您選擇的語言:

?lang=xx-XX

其中 xx-XX 是下列其中一個可用的語言參數:'cs-CZ'、'de-DE'、'en-US'、 'es-ES'、'fr-FR'、'hu-HU'、'id-ID'、'it-IT'、'ja-JP'、'ko-KR'、'nl-NL'、'pl-PL'、'pt-BR'、'pt-PT'、'ru-RU'、'sv-SE'、'tr-TR'、'zh-CN'或 'zh-TW'。

資源

下一步