Popis možností služby Privileged Identity Management
Privileged Identity Management (PIM) je služba Microsoft Entra ID, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. Patří sem prostředky v Microsoft Entra, Azure a dalších online služby Microsoftu, jako je Microsoft 365 nebo Microsoft Intune. PIM snižuje rizika nadměrných, nepotřebných nebo zneužití přístupových oprávnění. Vyžaduje odůvodnění, abyste pochopili, proč uživatelé chtějí oprávnění, a vynucuje vícefaktorové ověřování k aktivaci jakékoli role.
PIM je:
- Za běhu poskytuje privilegovaný přístup pouze v případě potřeby, a ne dříve.
- Časový limit přiřazením počátečního a koncového data označujícího, kdy má uživatel přístup k prostředkům.
- Na základě schválení vyžadující konkrétní schválení k aktivaci oprávnění.
- Viditelné odesílání oznámení při aktivaci privilegovaných rolí.
- Auditovatelné, což umožňuje stažení úplné historie přístupu.
Proč používat PIM?
PIM snižuje šanci, že herec se zlými úmysly získá přístup, protože minimalizuje počet lidí, kteří mají přístup k zabezpečeným informacím nebo prostředkům. Díky časovému omezení autorizovaných uživatelů snižuje riziko neúmyslného ovlivnění citlivých prostředků autorizovaným uživatelem. PIM také poskytuje dohled nad tím, co uživatelé dělají s oprávněními správce.
Co můžete dělat s PIM?
V současné chvíli můžete PIM používat s:
Role Microsoft Entra – někdy označované jako role adresáře, role Microsoft Entra zahrnují předdefinované a vlastní role pro správu ID Microsoft Entra a dalších online služby Microsoftu 365.
Role Azure – Role řízení přístupu na základě role (RBAC) v Azure, které udělují přístup ke skupinám pro správu, předplatným, skupinám prostředků a prostředkům.
PIM pro skupiny – Poskytuje členství ve skupině za běhu a vlastnictví skupiny za běhu. Funkci Microsoft Entra Privileged Identity Management for Groups můžete použít k řízení přístupu k různým scénářům, mezi které patří role Microsoft Entra, role Azure a Azure SQL, Azure Key Vault, Intune, další aplikační role a aplikace třetích stran.
Obecný pracovní postup
Při nasazování PIM je obecně součástí základního pracovního postupu několik kroků. Tyto kroky jsou: přiřazení, aktivace, schválení nebo zamítnutí a prodloužení/prodloužení platnosti.
Přiřadit – proces přiřazení začíná přiřazením rolí členům. Aby správce udělil přístup k prostředku, přiřadí role uživatelům, skupinám, instančním objektům nebo spravovaným identitám. Přiřazení obsahuje následující data:
- Členové nebo vlastníci – Členové nebo vlastníci, kteří mají roli přiřadit.
- Obor – Obor omezuje přiřazenou roli na konkrétní sadu prostředků.
- Typ přiřazení – Existují dvě možnosti. Způsobilá přiřazení vyžadují, aby člen role provedl akci, která má roli použít. Akce můžou zahrnovat aktivaci nebo žádost o schválení od určených schvalovatelů. Aktivní přiřazení nevyžadují, aby člen provedl žádnou akci pro použití této role. Členové přiřazení jako aktivní mají přiřazená oprávnění k roli.
- Doba trvání – Doba trvání přiřazení je definována počátečním a koncovým datem nebo je nastavena na trvalou dobu.
Aktivace – Pokud mají uživatelé nárok na roli, musí před použitím role aktivovat přiřazení role. Pokud chcete aktivovat roli, uživatelé vyberou konkrétní dobu aktivace v maximálním počtu (nakonfigurovaných správci) a důvod žádosti o aktivaci.
Schválit nebo odepřít – Delegovaní schvalovatelé obdrží e-mailová oznámení, když žádost o roli čeká na schválení. Schvalovatelé můžou tyto nevyřízené žádosti v PIM zobrazit, schválit nebo zamítnout. Po schválení žádosti může člen tuto roli začít používat.
Prodloužení a prodloužení – Když se přiřazení role blíží vypršení platnosti, může uživatel použít PIM k vyžádání rozšíření pro přiřazení role. Pokud už vypršela platnost přiřazení role, může uživatel požádat o prodloužení přiřazení role pomocí Privileged Identity Management.
Audit
Historii auditu PIM (Privileged Identity Management) můžete použít k zobrazení všech přiřazení rolí a aktivací za posledních 30 dnů pro všechny privilegované role.
