De mogelijkheden van Privileged Identity Management beschrijven

  • 5 minuten

Privileged Identity Management (PIM) is een service van Microsoft Entra ID waarmee u de toegang tot belangrijke resources in uw organisatie kunt beheren, beheren en bewaken. Dit zijn resources in Microsoft Entra, Azure en andere Microsoft onlineservices zoals Microsoft 365 of Microsoft Intune. PIM beperkt de risico's van overmatige, onnodige of misbruikte toegangsmachtigingen. Het vereist een reden om te begrijpen waarom gebruikers machtigingen willen en meervoudige verificatie afdwingen om een rol te activeren.

PIM is:

  • Just-in-time, alleen bevoegde toegang bieden wanneer dat nodig is, en niet eerder.
  • Tijdgebonden, door begin- en einddatums toe te wijzen die aangeven wanneer een gebruiker toegang heeft tot resources.
  • Op basis van goedkeuring, waarvoor specifieke goedkeuring is vereist om bevoegdheden te activeren.
  • Zichtbaar, meldingen verzenden wanneer bevoorrechte rollen worden geactiveerd.
  • Controleerbaar, zodat een volledige toegangsgeschiedenis kan worden gedownload.

Waarom PIM gebruiken?

PIM vermindert de kans dat een kwaadwillende actor toegang krijgt door het aantal personen dat toegang heeft tot beveiligde informatie of resources te minimaliseren. Door de tijdsbeperking van geautoriseerde gebruikers wordt het risico beperkt dat een geautoriseerde gebruiker per ongeluk van invloed is op gevoelige resources. PIM biedt ook toezicht op wat gebruikers doen met hun beheerdersbevoegdheden.

Wat kunt u doen met PIM?

Vandaag kunt u PIM gebruiken met:

  • Microsoft Entra-rollen: soms ook wel directoryrollen genoemd, bevatten Microsoft Entra-rollen ingebouwde en aangepaste rollen voor het beheren van Microsoft Entra-id en andere Microsoft 365-onlineservices.

  • Azure-rollen: de RBAC-rollen (op rollen gebaseerd toegangsbeheer) in Azure die toegang verlenen tot beheergroepen, abonnementen, resourcegroepen en resources.

  • PIM for Groups – Bied Just-In-Time-lidmaatschap aan de groep en Just-In-Time eigendom van de groep. De functie Microsoft Entra Privileged Identity Management voor groepen kan worden gebruikt voor het beheren van toegang tot verschillende scenario's met Microsoft Entra-rollen, Azure-rollen, evenals Azure SQL, Azure Key Vault, Intune, andere toepassingsrollen en toepassingen van derden.

Algemene werkstroom

Er zijn enkele stappen die over het algemeen deel uitmaken van een basiswerkstroom bij het implementeren van PIM. Deze stappen zijn: toewijzen, activeren, goedkeuren/weigeren en uitbreiden/verlengen.

  • Toewijzen : het toewijzingsproces begint met het toewijzen van rollen aan leden. Om toegang te verlenen tot een resource, wijst de beheerder rollen toe aan gebruikers, groepen, service-principals of beheerde identiteiten. De toewijzing bevat de volgende gegevens:

    • Leden of eigenaren: de leden of eigenaren die aan de rol moeten worden toegewezen.
    • Bereik: het bereik beperkt de toegewezen rol tot een bepaalde set resources.
    • Toewijzingstype: er zijn twee opties. Voor Geschikte toewijzingen moet het lid van de rol een actie uitvoeren om de rol te kunnen gebruiken. Acties kunnen activering omvatten of goedkeuring aanvragen van aangewezen goedkeurders. Voor actieve toewijzingen hoeft het lid geen actie uit te voeren om de rol te gebruiken. Leden die als actief zijn toegewezen, hebben de bevoegdheden toegewezen aan de rol.
    • Duur: de duur van de toewijzing wordt gedefinieerd door begin- en einddatums of is ingesteld op permanent.

    Schermopname met de toewijzingsstap.

  • Activeren : als gebruikers in aanmerking komen voor een rol, moeten ze de roltoewijzing activeren voordat ze de rol gebruiken. Om de rol te activeren, selecteren gebruikers een specifieke activeringsduur binnen het maximum (geconfigureerd door beheerders) en de reden voor de activeringsaanvraag.

    Schermopname met de activeringsstap.

  • Goedkeuren of weigeren : gedelegeerde goedkeurders ontvangen e-mailmeldingen wanneer een rolaanvraag in behandeling is voor goedkeuring. Goedkeurders kunnen deze aanvragen in PIM bekijken, goedkeuren of weigeren. Nadat de aanvraag is goedgekeurd, kan het lid de rol gaan gebruiken.

    Schermopname met de stap goedkeuren of weigeren.

  • Uitbreiden en verlengen : wanneer een roltoewijzing bijna verloopt, kan de gebruiker PIM gebruiken om een extensie aan te vragen voor de roltoewijzing. Wanneer een roltoewijzing al is verlopen, kan de gebruiker Privileged Identity Management gebruiken om een verlenging voor de roltoewijzing aan te vragen.

    Schermopname met de optie om een opdracht uit te breiden.

Audit

U kunt de controlegeschiedenis van Privileged Identity Management (PIM) gebruiken om alle roltoewijzingen en activeringen in de afgelopen 30 dagen te bekijken voor alle bevoorrechte rollen.

Schermopname met de PIM-controlegeschiedenis.