設定 Privileged Identity Management
- 5 分鐘
Microsoft Entra ID 會自動將 Microsoft 365 安全性系統管理員角色和特殊許可權角色系統管理員角色指派給第一個在組織的 Microsoft Entra ID 實例中使用 Privileged Identity Management (PIM) 的人員。 此人員必須是合格的 Microsoft Entra 使用者。 只有特殊許可權角色管理員可以管理使用者 Microsoft Entra 目錄角色指派。
PIM 角色指派可讓組織安全地授與其資源的存取權。 PIM 角色指派程式包含下列工作,而此單元會更詳細地檢查每個工作:
- 設定 PIM 角色設定。
- 將角色指派給使用者。
- 啟用角色指派。
- 核准或拒絕要求。
- 擴充和更新指派。
Privileged Identity Management 可讓您知道 Microsoft Entra 組織中何時發生重要的角色相關事件。 例如,當系統管理員指派或啟用角色時。 PIM 會傳送您和其他參與者的電子郵件通知,讓您隨時掌握通知。 這些電子郵件也可能包含相關工作的連結,例如啟用或更新角色。
設定 PIM 角色設定
在 Privileged Identity Management 中,角色設定會定義角色指派屬性,例如:
- 多重要素驗證 (啟用的 MFA) 和核准需求
- 工作分派最大持續時間
- 通知設定
您必須具有全域管理員或特殊許可權角色管理員角色,才能管理 Microsoft Entra 角色的 PIM 角色設定。 您可以定義每個角色的角色設定。 換句話說,相同角色的所有指派都會遵循相同的角色設定。 一個角色的角色設定與另一個角色的角色設定無關。
組織應該完成下列工作來設定 PIM 角色設定。
工作 1 - 探索和降低特殊許可權角色
您應該識別組織中有特殊許可權角色的人員。 在此程式中,您應該:
- 檢閱指派的使用者。
- 識別不再需要該角色的系統管理員。
- 將它們從其指派中移除。
您可以使用 Microsoft Entra 角色存取權檢閱,將探索、檢閱、核准或移除指派自動化。
工作 2 - 判斷您想要 PIM 管理的角色
探索並降低特殊許可權角色之後,您應該優先保護具有最多許可權的 Microsoft Entra 角色。 您也應該考慮哪些數據和許可權對您的組織而言最為敏感。
首先,您應該確保 PIM 管理所有全域和安全性系統管理員角色。 為什麼? 因為指派給這些角色的使用者在遭到入侵時會造成最大的傷害。 然後考慮整個組織中可能容易遭受攻擊的其他角色。 您應該確定 PIM 也會管理這些角色。
工作 3 - 設定 Microsoft Entra 角色的 PIM 設定
最後,您應該針對貴組織所使用的每個特殊許可權 Microsoft Entra 角色,草擬並設定您的 PIM 設定。
下圖提供組織如何規劃其角色設定的範例。
您可以設定下列 PIM 角色設定:
啟用持續時間上限。 使用 [ 啟用持續時間上限 ] 滑桿可設定角色指派的啟用要求在到期前維持作用中的時間上限,以小時為單位。 這個值可以是 1 到 24 小時。 如果您輸入大於 24 小時的值,系統會將其還原回 24。
啟用時,需要多重要素驗證。 符合角色資格的使用者可以啟用角色之前,您可以要求他們使用 Microsoft Entra 多重要素驗證來證明其身分識別, (MFA) 。 MFA 可確保使用者具有合理的確定性。 強制執行此選項可在可能遭到入侵的用戶的情況下保護重要資源。 如果使用者使用強式認證進行驗證,或稍早在其會話中提供多重要素驗證,系統就不會提示用戶進行多重要素驗證。
提示
Microsoft建議組織為其所有系統管理員要求 MFA。 多重要素驗證可使用遭入侵的密碼來降低攻擊的風險。 您可以要求使用者在登入時完成多重要素驗證挑戰。 您也可以要求使用者在 PIM 中啟用角色時,完成多重要素驗證挑戰。 如此一來,即使使用者在登入時未完成多重要素驗證,PIM 仍會要求他們這麼做。
需要啟用的理由。 您可以要求使用者在啟用合格指派時輸入業務理由。
需要啟用的票證資訊。 您可以要求使用者在啟用合格指派時輸入支援票證號碼。 此設定是僅限資訊的欄位。 PIM 不會強制與來自任何票證系統的資訊相互關聯。
需要核准才能啟用。 您可以要求核准以啟用合格的指派。 核准者不需要任何角色,核准者也不需要是系統管理員。 使用此選項時,您必須選取至少一個核准者 (Microsoft建議您至少選取兩個核准者) 。 沒有預設核准者。
工作分派持續時間。 當您設定角色的設定時,您可以從每個指派類型的兩個指派持續時間選項中選擇 (合格和作用中) 。 當系統管理員將使用者指派給 PIM 中的角色時,這些選項會成為預設的持續時間上限。
- 您可以選擇下列其中一個合格的指派持續時間選項:
- 允許永久合格指派。 資源管理員可以指派永久合格的指派。
- 合格指派到期之後。 資源管理員可以要求所有合格的指派都有指定的開始和結束日期。
- 您可以選擇下列其中一個作用中指派持續時間選項:
允許永久作用中指派。 資源管理員可以指派永久的作用中指派。
作用中指派到期之後。 資源管理員可以要求所有作用中指派都有指定的開始和結束日期。
注意事項
全域管理員和特殊許可權角色管理員可以更新具有指定結束日期的所有指派。 此外,使用者可以起始自助式要求,以擴充或更新角色指派。
- 您可以選擇下列其中一個合格的指派持續時間選項:
使用中指派時需要多重要素驗證。 您可以要求系統管理員在建立作用中 (時提供多重要素驗證,而不是合格的) 指派。 當使用者使用其角色指派時,PIM 無法強制執行 MFA,因為他們從系統管理員指派角色起就已在角色中。 如果 PIM 稍早在其工作階段中使用強式認證進行驗證或提供多重要素驗證,則 PIM 不會提示系統管理員進行多重要素驗證。
需要作用中指派的理由。 您可以要求使用者在建立作用中 (時輸入業務理由,而不是符合資格的) 指派。 在 [角色設定] 頁面的 [通知] 索引標籤中,PIM 可讓您更細微地控制接收通知的人員,以及他們收到的通知。
- 關閉電子郵件。 您可以清除預設收件者複選框並刪除任何其他收件者,以關閉特定的電子郵件。
- 將電子郵件限制為指定的電子郵件位址。 您可以清除預設收件者複選框,以關閉傳送給預設收件者的電子郵件。 然後,您可以將其他電子郵件位址新增為收件者。 如果您想要新增多個電子郵件位址,請使用分號 (;) 分隔。
- 將電子郵件傳送給預設收件者和更多收件者。 您可以選取預設收件者複選框,並新增其他收件者的電子郵件位址,將電子郵件傳送給預設收件者和其他收件者。
- 僅限重要電子郵件。 針對每種類型的電子郵件,您可以選取複選框,只接收重要電子郵件。 這表示只有當電子郵件需要立即採取動作時,PIM 才會傳送電子郵件給指定的收件者。 例如,PIM 不會傳送要求使用者擴充其角色指派的電子郵件,但會傳送需要系統管理員核准擴充要求的電子郵件。
指派角色給使用者
透過 Microsoft Entra ID,全域管理員可以進行永久 Microsoft Entra 系統管理員角色指派。 全域管理員可以使用 Microsoft Entra 系統管理中心 或 PowerShell 命令來建立這些指派。 PIM 服務也可讓特殊許可權角色管理員進行永久的系統管理員角色指派。 特殊許可權角色管理員也可以讓使用者符合 Microsoft Entra 系統管理員角色的資格。 合格的系統管理員可以在需要時啟用該角色。 啟用的角色會在其指派期間保持作用中。
Privileged Identity Management 支援內建和自定義 Microsoft Entra 角色。
指派程式會從將角色指派給成員開始。 若要授與資源的存取權,系統管理員會將角色指派給使用者、群組、服務主體或受控識別。 指定包含下列資料:
- 要指派角色的成員或擁有者。
- 指派的範圍。 範圍會將指派的角色限製為一組特定的資源。
-
指派的型別。 指派有兩種類型:
-
符合資格。 這些指派需要角色的成員執行動作才能使用角色。 動作可以包括:
- 執行多重要素驗證 (MFA) 檢查
- 提供業務理由
- 向指定的核准者要求核准
- 作用中。 這些指派不需要成員執行任何動作即可使用角色。 指派為作用中的成員具有指派給角色的許可權。
-
符合資格。 這些指派需要角色的成員執行動作才能使用角色。 動作可以包括:
-
指派的持續時間。 您可以將指派的持續時間設定為:
- 永久。 這些指派沒有到期日。 針對經常需要角色許可權的永久背景工作角色,請使用此選項。
- 時間系結。 這些指派會在指定的期間結束時到期。 使用此選項搭配暫存或合約背景工作角色。 例如,其專案具有已知結束日期和時間的背景工作角色。
對於特定角色,系統管理員可以使用 PIM 將授與的許可權範圍限制為單一管理單位、服務主體或應用程式。 此程式是指派具有管理單位範圍之角色的範例。 如需透過管理單位支援範圍的角色清單,請參閱 將限域角色指派給管理單位。
其他閲讀資源。 如需詳細資訊,請參閱指派 Microsoft Entra 角色、指派 Azure 資源角色和指派 PIM 的群組資格。
啟用角色指派
如果使用者符合系統管理角色的資格,他們必須在需要執行特殊許可權動作時啟用角色指派。 例如,如果您偶爾管理 Microsoft 365 功能,貴組織的 Privileged Role Administrators 可能不會讓您成為永久的全域管理員。 特殊許可權角色管理員對於指派永久全域管理員角色十分啟發,因為它會影響太多其他服務。 相反地,它們會讓您符合特定服務角色的資格,例如 Exchange Online 系統管理員。 當您需要該角色的許可權時,您可以要求啟用該角色。 這麼做可讓您在預先決定的時間週期內提供系統管理員控制。
如果系統管理員已將 PIM 中的角色設定為需要核准才能啟用,PIM 會傳送電子郵件通知給核准者。 如果角色不需要核准即可啟用,指派的使用者可以立即開始使用角色。
其他閲讀資源。 如需詳細資訊,請參閱啟用 Microsoft Entra 角色、啟用我的 Azure 資源角色和啟用我的 PIM for Groups 角色。
核准或拒絕要求
當角色要求擱置其核准時,委派的核准者會收到電子郵件通知。 核准者可以在 PIM 中檢視、核准或拒絕這些擱置的要求。 核准者核准要求之後,成員就可以開始使用角色。 例如,如果 PIM 將具有貢獻角色的使用者或群組指派給資源群組,則他們可以接著開始管理該特定資源群組。
其他閲讀資源。 如需詳細資訊,請參閱核准或拒絕 Microsoft Entra 角色的要求、核准或拒絕 Azure 資源角色的要求,以及核准 PIM for Groups 的啟用要求。
擴充和更新指派
系統管理員可以使用開始和結束日期屬性來指派具有固定持續時間的角色。 當指派結束時,Privileged Identity Management 傳送電子郵件通知給受影響的使用者或群組。 它也會傳送電子郵件通知給資源的系統管理員,以確保他們保有適當的存取權。
注意事項
不論系統管理員是否延長存取權,系統都可以更新指派,並在過期狀態下保持最多 30 天的可見狀態。
組織可以透過下列兩種方式之一來處理限時指派的到期:
- 擴展。 當角色指派即將到期時,使用者可以使用 PIM 來要求角色指派的擴充功能。
- 更新。 當角色指派到期時,使用者可以使用 PIM 來要求角色指派的更新。
這兩個使用者起始的動作都需要全域管理員或特殊許可權角色管理員的核准。 使用 PIM 時,組織不需要擔心其系統管理員持續尋找即將到期的指派。 相反地,系統管理員可以只等候延伸模組或續約要求送達,以進行簡單的核准或拒絕。
只有資源的系統管理員可以擴充或更新角色指派。 受影響的使用者或群組可以要求擴充即將到期的角色,並要求更新已過期的角色。
Privileged Identity Management 傳送電子郵件通知給系統管理員,以及在到期前 14 天和一天內到期的受影響使用者或角色群組。 當指派正式到期時,它會傳送另一封電子郵件。
當使用者或群組指派要擴充或更新的過期或過期角色要求時,系統管理員會收到通知。 當特定系統管理員解決要求時,系統會通知所有其他系統管理員解決決策 (核准或拒絕) 。 然後,它會通知要求的使用者或決策群組。
核准擴充角色指派的要求時,資源管理員可以選擇新的開始日期、結束日期和指派類型。 如果系統管理員想要提供有限的存取權,以在一天 (完成特定工作,例如) ,則可能需要變更指派類型。 在此範例中,系統管理員可以將指派從 [合格] 變更為 [作用中]。 這項變更表示他們可以提供要求者的存取權,而不需要他們啟用。
如果指派給角色的使用者未要求角色指派的擴充功能,系統管理員可以代表用戶擴充指派。 角色指派的系統管理延伸不需要核准。 不過,系統會在使用者或系統管理員擴充角色之後,將通知傳送給所有其他系統管理員。
其他閲讀資源。 如需詳細資訊,請參閱:
知識檢查
為以下每個問題選擇最佳的回應。