備註
自 2025 年 4 月 1 日起,Microsoft Entra Permissions Management 將不再可供購買,並在 2025 年 10 月 1 日淘汰並停止支援本產品。 您可以在這裡找到詳細資訊。
Microsoft Entra Permissions Management(Permissions Management)將於 2025 年 10 月 1 日停用,自 2025 年 4 月 1 日起新的購買將無法進行。 現有的付費客戶將在 2025 年 4 月 1 日至 2025 年 9 月 30 日期間繼續存取許可權管理。
在 2025 年 10 月 1 日,許可權管理將會自動下線並刪除相關聯的數據收集。 如需在 2025 年 10 月 1 日前下線的客戶,請參閱本指南中的 下架步驟 一節。
為什麼即將停用權限管理?
我們在深入考慮創新組合後,決定從Microsoft安全性產品組合中逐步淘汰Microsoft Entra Permissions Management,以便更專注於提供最佳的創新,這些創新不僅符合我們突出領域的需求,還能在相關領域與生態系統中的合作夥伴密切配合。 我們仍然致力於跨Microsoft Entra 組合提供最上層解決方案,其中包括Microsoft Entra ID、Microsoft Entra Suite(包括標識符保護、標識符治理、已驗證的標識符、因特網存取和私人存取),Microsoft Entra 外部標識符、Microsoft Entra 工作負載標識符等等。
建議的解決方案
由於許可權管理即將淘汰,Microsoft建議已在其環境中將產品上線的客戶開始規劃轉換。 未上線的客戶應該避免上線。
為了支援此轉換,Microsoft與 Delinea 合作。 Delinea 提供雲端原生、完全Microsoft相容的雲端基礎結構權利管理 (CIEM) 解決方案,雲端權利的許可權控制(PCCE)。 PCCE 提供與許可權管理類似的功能,包括持續探索可讓您監視和調整人類和計算機身分識別訪問許可權的權利。
建議您在 9 月 30 日之前儘快從許可權管理開始轉移。 我們致力於與合作夥伴 Delinea 一起提供廣泛的支援。
移轉至 Delinea 之前的建議步驟
若要確保您繼續使用我們建議的合作夥伴的 CIEM 目標,建議您從您的許可權管理入口網站記下下列資訊:
首先,移至 Microsoft Entra 系統管理中心,然後登入 Microsoft Entra ID,接著從導覽刀鋒視窗選擇 許可權管理。
- 正在跨 Azure、Amazon Web Service (AWS) 和 Google Cloud Platform (GCP) 監視的授權系統識別碼。 若要尋找此問題,請啟動 [許可權管理 ] 入口網站,選取 [ 設定] (齒輪圖示), 然後選取 [ 授權系統] 索引卷標以檢視授權系統標識符清單。
- 在 Entra ID 中,具有權限管理系統管理員角色的群組和使用者獲得系統管理員存取權。 若要尋找此專案,請啟動 [專案標識符],選取 [ 角色和系統管理員],搜尋 [許可權管理系統管理員] 角色,選取 [ 指派]。
- 透過許可權管理入口網站為群組提供的授權系統特定存取權。 若要尋找此專案,請啟動 [許可權管理 ] 入口網站,選取 [使用者管理],然後按兩下 [ 群組 ] 索引標籤以檢視所有群組指派。
- 在您的環境中設定的自訂報表。 若要尋找此專案,請啟動 [許可權管理 ] 入口網站,選取 [ 報表],流覽至 [自定義報表]。
- 在您的環境中設定的警示。 若要尋找此專案,請啟動 [許可權管理 ] 入口網站,選取 [ 警示 ](鈴鐺圖示),流覽至個別的 [警示] 索引卷標。
離職步驟
一旦上線至我們建議的合作夥伴和/或任何其他廠商,客戶就可以起始下架。 依照下列步驟順序執行:
- 拿掉 AWS、Azure 和 GCP 中指派的許可權。
- 拿掉 AWS 和 GCP 環境的 OIDC 應用程式。
- 刪除相關聯的數據收集器,停止收集整個帳戶/訂用帳戶/專案清單的數據:這可確保不會收集任何新數據,而且您將無法再存取任何歷程記錄數據。
- 停用使用者登入雲端基礎結構權利管理 (CIEM) 企業應用程式
繼續以獲得這些步驟的詳細指導方針。
拿掉 AWS、Azure 和 GCP 中指派的許可權
若要成功卸除數據,請從上線的雲端提供者 (Azure、AWS 或 GCP) 和許可權管理中移除許可權。 應該移除上線期間指派的任何角色和許可權。 這可確保您的環境在從 [許可權管理] 下線後,不會有過度許可權的存取權, 以確保您的環境安全。
從許可權管理入口網站參閱數據收集器組態,然後選取設定(齒輪圖示)。 記下組態設定,以移除在個別雲端提供者中指派的角色和許可權。
拿掉 AWS 和 GCP 環境的 OIDC 應用程式
針對 AWS 和 GCP,刪除在已啟用許可權管理之 Microsoft Entra Admin Center 租使用者中建立的應用程式。 此應用程式用來設定與 AWS 和 GCP 環境的 OIDC (OpenID Connect) 連線。
若要尋找已建立的企業應用程式並用來設定與您的 AWS 和 GCP 環境的 OIDC 連線,請按照以下步驟進行:
備註
用戶必須具有 許可權管理系統管理員 和 雲端應用程式管理員 角色指派,才能執行這項工作。
- 移至 Microsoft Entra 系統管理中心 ,然後登入 Microsoft Entra 識別符。
- 啟動 許可權管理 入口網站。
- 選取 [設定 ] (齒輪圖示),然後選取 [ 數據收集器] 索引標籤 。
- 在 [ 資料收集器 ] 儀錶板上,選取您的授權系統類型:
- AWS 即 Amazon Web Services。
- GCP 適用於 Google Cloud Platform。
- 選擇表格中行末尾的省略號(...)。
- 選擇 編輯組態設定。 應用程式位於 Azure 應用程式 名稱底下。
- 移至 Microsoft Entra 系統管理中心 ,然後登入 Microsoft Entra 識別符。
- 流覽至 Entra ID>應用程式註冊。
- 在搜尋方塊中輸入現有應用程式的名稱,然後從搜尋結果中選取應用程式。
- 從 [概觀] 頁面中,選取 [ 刪除]。 請閱讀刪除可能造成的影響。 如果窗格底部出現方塊,則請選取它。
- 選取 [刪除] 以確認您想要刪除應用程式。
停止數據收集
刪除相關聯的數據收集器,以停止收集帳戶/訂用帳戶/專案清單的數據。
備註
用戶必須具有 許可權管理系統管理員 角色指派,才能執行這項工作。
- 移至 Microsoft Entra 系統管理中心 ,然後登入 Microsoft Entra 識別符。
- 選取 [許可權管理 ],然後按兩下 [ 啟動入口網站]。
- 選取 [設定 ] (齒輪圖示),然後選取 [ 數據收集器] 索引標籤 。
- 在 [ 資料收集器 ] 儀錶板上,選取您的授權系統類型:
- AWS 即 Amazon Web Services。
- 適用於 Microsoft Azure 的 Azure。
- GCP 適用於 Google Cloud Platform。
- 選擇表格中行末尾的省略號(...)。
- 選擇 [刪除設定]。 [權限管理導入 - 摘要] 方塊顯示。
- 選擇 刪除。
- 檢查您的電子郵件是否有一次性密碼 (OTP) 代碼,然後在 [輸入 OTP] 中輸入。
- 如果您沒有收到 OTP,請選取 [[重新傳送 OTP]。
- 下列訊息會顯示:
Successfully deleted configuration。
停用使用者登入雲端基礎結構權利管理 (CIEM) 企業應用程式
數據收集停止所有 AWS 帳戶、Azure 訂用帳戶和 GCP 項目之後,請停用雲端基礎結構權利管理 (CIEM) 應用程式,使其無法登入。 這可確保許可權管理無法再存取您的環境(帳戶、訂用帳戶和專案)。
備註
用戶必須具有 雲端應用程式管理員 角色指派,才能執行這項工作。
若要停用 CIEM 應用程式,以防使用者登入:
- 移至 Microsoft Entra 系統管理中心 ,然後登入 Microsoft Entra 識別符。
- 流覽至 Entra ID>企業應用程式>所有應用程式。
- 查找 雲端基礎結構權利管理。 如果您找不到應用程式,請重設篩選條件。
- 開啟 屬性。
- 切換 [已啟用],讓使用者登入 [否]。
後續步驟
- 如需許可權管理產品淘汰的詳細資訊,請瀏覽 aka.ms/MEPMretire