Co je Microsoft Entra Privileged Identity Management?
Privileged Identity Management (PIM) je služba v Microsoft Entra ID, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. Mezi tyto prostředky patří prostředky v Microsoft Entra ID, Azure a dalších online službách Microsoftu, jako je Microsoft 365 nebo Microsoft Intune. Následující video vysvětluje důležité koncepty a funkce PIM.
Důvody použití
Organizace chtějí minimalizovat počet lidí, kteří mají přístup k zabezpečeným informacím nebo prostředkům, protože tím se snižuje pravděpodobnost, že
- Objekt actor se zlými úmysly, který získá přístup
- autorizovaný uživatel neúmyslně ovlivňuje citlivý prostředek.
Uživatelé ale stále potřebují provádět privilegované operace v aplikacích Microsoft Entra ID, Azure, Microsoft 365 nebo SaaS. Organizace můžou uživatelům poskytnout privilegovaný přístup za běhu k prostředkům Azure a Microsoft Entra a můžou dohlížet na to, co tito uživatelé dělají s jejich privilegovaným přístupem.
Požadavky na licenci
Použití Privileged Identity Management vyžaduje licence. Další informace o licencování naleznete v tématu Základy licencování zásad správného řízení pro Id Microsoftu .
Co dělá?
Privileged Identity Management poskytuje aktivaci rolí na základě času a schválení, aby se snížila rizika nadměrných, nepotřebných nebo zneužití přístupových oprávnění k prostředkům, o které vám záleží. Tady jsou některé klíčové funkce Privileged Identity Management:
- Poskytnutí privilegovaného přístupu za běhu k prostředkům Microsoft Entra ID a Azure
- Přiřazení časového přístupu k prostředkům pomocí počátečního a koncového data
- Vyžadování schválení pro aktivaci privilegovaných rolí
- Vynucení vícefaktorového ověřování pro aktivaci jakékoli role
- Vysvětlení , proč se uživatelé aktivují, použijte odůvodnění .
- Získání oznámení při aktivaci privilegovaných rolí
- Proveďte kontroly přístupu, abyste zajistili, že uživatelé stále potřebují role.
- Stažení historie auditu pro interní nebo externí audit
- Zabrání odebrání posledního aktivního přiřazení rolí globálního správce a správce privilegovaných rolí.
Co s tím můžu dělat?
Po nastavení Privileged Identity Management se v levé navigační nabídce zobrazí možnosti Úlohy, Správa a Aktivita . Jako správce si můžete vybrat mezi možnostmi, jako je správa rolí Microsoft Entra, správa rolí prostředků Azure nebo PIM pro skupiny. Když zvolíte, co chcete spravovat, zobrazí se příslušná sada možností pro tuto možnost.
Kdo může co dělat?
V případě rolí Microsoft Entra v Privileged Identity Management může přiřazení pro jiné správce spravovat pouze uživatel, který je v roli Správce privilegovaných rolí nebo globální správce. Globální správci, správci zabezpečení, globální čtenáři a čtenáři zabezpečení můžou také zobrazit přiřazení k rolím Microsoft Entra ve službě Privileged Identity Management.
V případě rolí prostředků Azure ve službě Privileged Identity Management může přiřazení pro jiné správce spravovat pouze správce předplatného, vlastník prostředku nebo správce uživatelských přístupů. Uživatelé, kteří jsou správci privilegovaných rolí, správci zabezpečení nebo čtenáři zabezpečení, nemají ve výchozím nastavení přístup k zobrazení přiřazení k rolím prostředků Azure ve službě Privileged Identity Management.
Terminologie
Abyste lépe pochopili Privileged Identity Management a její dokumentaci, měli byste si projít následující podmínky.
Termín nebo koncept | Kategorie přiřazení role | Popis |
---|---|---|
způsobilý | Typ | Přiřazení role, které vyžaduje, aby uživatel provedl jednu nebo více akcí pro použití této role. Pokud má uživatel nárok na roli, znamená to, že může aktivovat roli, když potřebuje provádět privilegované úlohy. Přístup udělený někomu s trvalým a oprávněným přiřazením role se nijak neliší. Jediným rozdílem je, že někteří lidé nepotřebují přístup po celou dobu. |
aktivní | Typ | Přiřazení role, které nevyžaduje, aby uživatel k použití role provedl žádnou akci. Uživatelé přiřazení jako aktivní mají přiřazená oprávnění k roli. |
aktivovat | Proces provádění jedné nebo více akcí pro použití role, pro kterou má uživatel nárok. Akce můžou zahrnovat provedení kontroly vícefaktorového ověřování (MFA), poskytnutí obchodního odůvodnění nebo vyžádání schválení od určených schvalovatelů. | |
přiřazený | State | Uživatel, který má aktivní přiřazení role. |
aktivovaný | State | Uživatel s oprávněným přiřazením role, provedl akce k aktivaci role a je teď aktivní. Po aktivaci může uživatel roli použít pro předkonfigurované časové období předtím, než se bude muset znovu aktivovat. |
trvalé nároky | Doba trvání | Přiřazení role, ve kterém má uživatel vždy nárok na aktivaci role. |
trvalé aktivní | Doba trvání | Přiřazení role, ve kterém může uživatel vždy používat roli bez provedení jakýchkoli akcí. |
nárok na časovou vazbu | Doba trvání | Přiřazení role, ve kterém má uživatel nárok na aktivaci role pouze v počátečním a koncovém datu. |
Aktivní vázaná na čas | Doba trvání | Přiřazení role, ve kterém může uživatel tuto roli používat pouze v počátečním a koncovém datu. |
Přístup za běhu (JIT) | Model, ve kterém uživatelé obdrží dočasná oprávnění k provádění privilegovaných úloh, což brání škodlivým nebo neoprávněným uživatelům získat přístup po vypršení platnosti oprávnění. Přístup se uděluje jenom v případě, že ho uživatelé potřebují. | |
princip přístupu s nejnižšími oprávněními | Doporučený postup zabezpečení, ve kterém je každý uživatel poskytován pouze s minimálními oprávněními potřebnými k provádění úloh, které mají oprávnění k provedení. Tento postup minimalizuje počet globálních správců a místo toho pro určité scénáře používá konkrétní role správce. |
Přehled přiřazení rolí
Přiřazení rolí PIM poskytují bezpečný způsob, jak udělit přístup k prostředkům ve vaší organizaci. Tato část popisuje proces přiřazení. Zahrnuje přiřazování rolí členům, aktivaci přiřazení, schvalování nebo zamítnutí žádostí, prodloužení a prodloužení přiřazení.
PIM vás informuje odesláním e-mailových oznámení ostatním účastníkům. Tyto e-maily můžou obsahovat také odkazy na relevantní úkoly, jako je aktivace, schválení nebo zamítnutí žádosti.
Následující snímek obrazovky ukazuje e-mailovou zprávu poslanou PIM. E-mail informuje Patti, že Alex aktualizoval přiřazení role pro Emily.
Přiřadit
Proces přiřazení začíná přiřazením rolí členům. Aby správce udělil přístup k prostředku, přiřadí role uživatelům, skupinám, instančním objektům nebo spravovaným identitám. Přiřazení obsahuje následující data:
- Členové nebo vlastníci, kteří mají roli přiřadit.
- Rozsah přiřazení. Obor omezuje přiřazenou roli na konkrétní sadu prostředků.
- Typ přiřazení
- Způsobilá přiřazení vyžadují, aby člen role provedl akci, která má roli použít. Akce můžou zahrnovat aktivaci nebo žádost o schválení od určených schvalovatelů.
- Aktivní přiřazení nevyžadují, aby člen provedl žádnou akci pro použití této role. Členové přiřazení jako aktivní mají přiřazená oprávnění k roli.
- Doba trvání přiřazení s použitím počátečního a koncového data nebo trvalého termínu. U oprávněných přiřazení můžou členové aktivovat nebo požádat o schválení během počátečního a koncového data. Pro aktivní přiřazení můžou členové během tohoto časového období použít roli přiřazení.
Následující snímek obrazovky ukazuje, jak správce přiřadí roli členům.
Další informace najdete v následujících článcích: Přiřazení rolí Microsoft Entra, přiřazení rolí prostředků Azure a přiřazení způsobilosti pro PIM pro skupiny
Aktivovat
Pokud mají uživatelé nárok na roli, musí před použitím role aktivovat přiřazení role. Pokud chcete aktivovat roli, uživatelé vyberou konkrétní dobu aktivace v maximálním počtu (nakonfigurovaných správci) a důvod žádosti o aktivaci.
Následující snímek obrazovky ukazuje, jak členové aktivují svou roli na omezenou dobu.
Pokud role vyžaduje schválení k aktivaci, zobrazí se v pravém horním rohu prohlížeče uživatele oznámení, že žádost čeká na schválení. Pokud schválení není povinné, člen může tuto roli začít používat.
Další informace najdete v následujících článcích: Aktivace rolí Microsoft Entra, Aktivace rolí prostředků Azure a Aktivace PIM pro role skupin
Schválit nebo odepřít
Delegovaní schvalovatelé dostanou e-mailová oznámení, když žádost o roli čeká na schválení. Schvalovatelé můžou tyto nevyřízené žádosti v PIM zobrazit, schválit nebo zamítnout. Po schválení žádosti může člen tuto roli začít používat. Pokud byl například uživateli nebo skupině přiřazena role Příspěvek ke skupině prostředků, může danou konkrétní skupinu prostředků spravovat.
Další informace najdete v následujících článcích: Schválení nebo zamítnutí žádostí o role Microsoft Entra, schválení nebo zamítnutí žádostí o prostředky Azure a schválení žádostí o aktivaci pro PIM pro skupiny
Prodloužení a prodloužení platnosti přiřazení
Když správci nastaví přiřazení vlastníka nebo člena s časovým limitem, je první otázka, kterou můžete položit, co se stane, když vyprší platnost přiřazení? V této nové verzi poskytujeme dvě možnosti pro tento scénář:
- Extend – Když se přiřazení role blíží vypršení platnosti, může uživatel použít Privileged Identity Management k vyžádání rozšíření pro přiřazení role.
- Prodloužení – Pokud už vypršela platnost přiřazení role, může uživatel požádat o prodloužení přiřazení role pomocí Privileged Identity Management.
Obě akce iniciované uživatelem vyžadují schválení od globálního správce nebo správce privilegovaných rolí. Správci nemusí být ve firmě správy vypršení platnosti přiřazení. Můžete jenom počkat, až žádost o prodloužení nebo žádost o prodloužení přijde, aby bylo možné provést jednoduché schválení nebo odepření.
Další informace najdete v následujících článcích: Prodloužení nebo prodloužení přiřazení rolí Microsoft Entra, rozšíření nebo prodloužení přiřazení rolí prostředků Azure a rozšíření nebo prodloužení platnosti PIM pro přiřazení skupin
Scénáře
Privileged Identity Management podporuje následující scénáře:
Oprávnění správce privilegovaných rolí
- Povolit schvalování pro konkrétní role
- Určení uživatelů nebo skupin schvalovatele ke schválení žádostí
- Zobrazit historii žádostí a schválení pro všechny privilegované role
Oprávnění schvalovatele
- Zobrazit žádosti čekající na schválení
- Schválení nebo odmítnutí žádostí o zvýšení oprávnění role (jednoduché a hromadné)
- Uveďte odůvodnění schválení nebo zamítnutí.
Oprávnění uživatele oprávněné role
- Požádat o aktivaci role, která vyžaduje schválení
- Zobrazit stav vaší žádosti o aktivaci
- Dokončení úkolu v MICROSOFT Entra ID, pokud byla aktivace schválena
Rozhraní Microsoft Graph API
Privileged Identity Management můžete programově používat prostřednictvím následujících rozhraní Microsoft Graph API: