Konfigurowanie ustawień roli entra firmy Microsoft w usłudze Privileged Identity Management
W usłudze Privileged Identity Management (PIM) w usłudze Microsoft Entra ID, która jest częścią firmy Microsoft Entra, ustawienia ról definiują właściwości przypisania roli. Te właściwości obejmują wymagania dotyczące uwierzytelniania wieloskładnikowego i zatwierdzania dla aktywacji, maksymalnego czasu trwania przypisania i ustawień powiadomień. W tym artykule pokazano, jak skonfigurować ustawienia roli i skonfigurować przepływ pracy zatwierdzania w celu określenia, kto może zatwierdzać lub odrzucać żądania podniesienia uprawnień.
Aby zarządzać ustawieniami roli PIM dla roli Entra firmy Microsoft, musisz mieć co najmniej rolę Administrator ról uprzywilejowanych. Ustawienia roli są definiowane na rolę. Wszystkie przypisania dla tej samej roli są zgodne z tymi samymi ustawieniami roli. Ustawienia roli jednej roli są niezależne od ustawień roli innej roli.
Ustawienia roli usługi PIM są również nazywane zasadami pim.
Otwieranie ustawień roli
Aby otworzyć ustawienia roli Entra firmy Microsoft:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
Przejdź do sekcji Identity governance>Privileged Identity Management>— Role> usługi Microsoft Entra.
Na tej stronie jest wyświetlana lista ról Microsoft Entra dostępnych w dzierżawie, w tym ról wbudowanych i niestandardowych.
Wybierz rolę, której ustawienia chcesz skonfigurować.
Wybierz pozycję Ustawienia roli. Na stronie Ustawienia roli można wyświetlić bieżące ustawienia roli usługi PIM dla wybranej roli.
Wybierz pozycję Edytuj , aby zaktualizować ustawienia roli.
Wybierz Aktualizuj.
Ustawienia roli
W tej sekcji omówiono opcje ustawień ról.
Maksymalny czas trwania aktywacji
Użyj suwaka Maksymalny czas trwania aktywacji, aby ustawić maksymalny czas w godzinach, przez który żądanie aktywacji dla przypisania roli pozostaje aktywne przed wygaśnięciem. Ta wartość może wynosić od jednego do 24 godzin.
Po aktywacji wymagaj uwierzytelniania wieloskładnikowego
Aby móc aktywować tę funkcję, możesz wymagać od użytkowników, którzy kwalifikują się do roli, aby udowodnić, kim są za pomocą funkcji uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra ID. Uwierzytelnianie wieloskładnikowe pomaga chronić dostęp do danych i aplikacji. Zapewnia kolejną warstwę zabezpieczeń przy użyciu drugiej formy uwierzytelniania.
Użytkownicy mogą nie być monitowani o uwierzytelnianie wieloskładnikowe, jeśli uwierzytelnili się przy użyciu silnych poświadczeń lub dostarczyli uwierzytelnianie wieloskładnikowe wcześniej w sesji.
Jeśli twoim celem jest zapewnienie użytkownikom uwierzytelniania podczas aktywacji, możesz użyć opcji W ramach aktywacji, wymagaj kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft Entra wraz z siłami uwierzytelniania. Te opcje wymagają od użytkowników uwierzytelniania podczas aktywacji przy użyciu metod innych niż ta, która była używana do logowania się na maszynie.
Jeśli na przykład użytkownicy loguje się do maszyny przy użyciu Windows Hello dla firm, możesz użyć opcji Aktywacja włączona, wymagaj kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft i siły uwierzytelniania. Ta opcja wymaga od użytkowników logowania bez hasła przy użyciu aplikacji Microsoft Authenticator po aktywowaniu roli.
Gdy użytkownik udostępni logowanie bez hasła w aplikacji Microsoft Authenticator raz w tym przykładzie, może wykonać kolejną aktywację w tej sesji bez innego uwierzytelniania. Logowanie bez hasła przy użyciu aplikacji Microsoft Authenticator jest już częścią tokenu.
Zalecamy włączenie funkcji uwierzytelniania wieloskładnikowego identyfikatora Entra firmy Microsoft dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft.
Po aktywacji wymagaj kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft Entra
Możesz wymagać od użytkowników, którzy kwalifikują się do roli, aby spełnić wymagania zasad dostępu warunkowego. Możesz na przykład wymagać od użytkowników użycia określonej metody uwierzytelniania wymuszanej za pomocą siły uwierzytelniania, podniesienia poziomu roli z urządzenia zgodnego z usługą Intune i zachowania zgodności z warunkami użytkowania.
Aby wymusić to wymaganie, należy utworzyć kontekst uwierzytelniania dostępu warunkowego.
Skonfiguruj zasady dostępu warunkowego, które wymuszają wymagania dla tego kontekstu uwierzytelniania.
Zakres zasad dostępu warunkowego powinien obejmować wszystkich lub uprawnionych użytkowników do roli. Nie twórz zasad dostępu warunkowego w zakresie kontekstu uwierzytelniania i roli katalogu w tym samym czasie. Podczas aktywacji użytkownik nie ma jeszcze roli, więc zasady dostępu warunkowego nie będą stosowane.
Zapoznaj się z krokami na końcu tej sekcji na temat sytuacji, w której mogą być potrzebne dwie zasady dostępu warunkowego. Należy ograniczyć zakres do kontekstu uwierzytelniania, a drugi musi być o określonym zakresie dla roli.
Skonfiguruj kontekst uwierzytelniania w ustawieniach usługi PIM dla roli.
Jeśli ustawienia usługi PIM mają włączoną aktywację, wymagaj skonfigurowania kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft, zasady dostępu warunkowego definiują warunki, które użytkownik musi spełnić, aby spełnić wymagania dostępu.
Oznacza to, że podmioty zabezpieczeń z uprawnieniami do zarządzania zasadami dostępu warunkowego, takie jak administratorzy dostępu warunkowego lub administratorzy zabezpieczeń, mogą zmieniać wymagania, usuwać je lub blokować aktywowanie roli uprawnionych użytkowników. Podmioty zabezpieczeń, które mogą zarządzać zasadami dostępu warunkowego, powinny być odpowiednio uznawane za wysoce uprzywilejowane i chronione.
Zalecamy utworzenie i włączenie zasad dostępu warunkowego dla kontekstu uwierzytelniania przed skonfigurowaniem kontekstu uwierzytelniania w ustawieniach usługi PIM. Jako mechanizm ochrony kopii zapasowych, jeśli w dzierżawie nie ma zasad dostępu warunkowego skonfigurowanego w ustawieniach uwierzytelniania pim, podczas aktywacji roli PIM funkcja uwierzytelniania wieloskładnikowego w identyfikatorze Entra firmy Microsoft jest wymagana jako aktywacja włączona, wymaganie ustawienia uwierzytelniania wieloskładnikowego zostanie ustawione.
Ten mechanizm ochrony kopii zapasowych został zaprojektowany tak, aby chronić wyłącznie przed scenariuszem, w przypadku gdy ustawienia usługi PIM zostały zaktualizowane przed utworzeniem zasad dostępu warunkowego z powodu błędu konfiguracji. Ten mechanizm ochrony kopii zapasowych nie jest wyzwalany, jeśli zasady dostępu warunkowego są wyłączone, są w trybie tylko dla raportu lub mają uprawnionego użytkownika wykluczonego z zasad.
Ustawienie Kontekst uwierzytelniania włączonego wymaga ustawienia kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft definiuje wymagania dotyczące kontekstu uwierzytelniania, które użytkownicy muszą spełnić podczas aktywowania roli. Po aktywowaniu roli użytkownicy nie mogą używać innej sesji przeglądania, urządzenia ani lokalizacji do korzystania z uprawnień.
Na przykład użytkownicy mogą użyć zgodnego z usługą Intune urządzenia do aktywowania roli. Następnie po aktywowaniu roli mogą zalogować się do tego samego konta użytkownika z innego urządzenia, które nie jest zgodne z usługą Intune i korzystać z wcześniej aktywowanej roli z tego miejsca.
Aby zapobiec takiej sytuacji, utwórz dwie zasady dostępu warunkowego:
- Pierwsze zasady dostępu warunkowego są przeznaczone dla kontekstu uwierzytelniania. Powinien mieć wszystkich użytkowników lub uprawnionych użytkowników w swoim zakresie. Te zasady określają wymagania, które użytkownicy muszą spełnić, aby aktywować rolę.
- Drugie zasady dostępu warunkowego są przeznaczone dla ról katalogu. Te zasady określają wymagania, które użytkownicy muszą spełnić, aby zalogować się przy użyciu aktywowanej roli katalogu.
Obie zasady mogą wymuszać te same lub różne wymagania w zależności od potrzeb.
Inną opcją jest określanie zakresu zasad dostępu warunkowego, które wymuszają określone wymagania bezpośrednio uprawnionych użytkowników. Możesz na przykład wymagać od użytkowników, którzy kwalifikują się do niektórych ról, aby zawsze używali urządzeń zgodnych z usługą Intune.
Aby dowiedzieć się więcej na temat kontekstu uwierzytelniania dostępu warunkowego, zobacz Dostęp warunkowy: aplikacje w chmurze, akcje i kontekst uwierzytelniania.
Wymagaj uzasadnienia przy aktywacji
Możesz wymagać od użytkowników wprowadzenia uzasadnienia biznesowego po aktywowaniu kwalifikującego się przypisania.
Wymaganie informacji o biletach dotyczących aktywacji
Możesz wymagać od użytkowników wprowadzenia numeru biletu pomocy technicznej po aktywowaniu kwalifikującego się przypisania. Ta opcja jest polem tylko do informacji. Korelacja z informacjami w żadnym systemie biletów nie jest wymuszana.
Wymagaj zatwierdzenia w celu aktywowania
Możesz wymagać zatwierdzenia aktywacji kwalifikującego się przypisania. Osoba zatwierdzająca nie musi mieć żadnych ról. W przypadku korzystania z tej opcji należy wybrać co najmniej jeden osoba zatwierdzająca. Zalecamy wybranie co najmniej dwóch osób zatwierdzających. Jeśli nie wybrano określonych osób zatwierdzających, administrator ról uprzywilejowanych/administratorzy globalni stają się domyślnymi osobami zatwierdzających.
Aby dowiedzieć się więcej na temat zatwierdzeń, zobacz Zatwierdzanie lub odrzucanie żądań dotyczących ról usługi Microsoft Entra w usłudze Privileged Identity Management.
Czas trwania przydziału
Podczas konfigurowania ustawień roli można wybrać jedną z dwóch opcji czasu trwania przypisania dla każdego typu przypisania: kwalifikujących się i aktywnych. Te opcje stają się domyślnym maksymalnym czasem trwania, gdy użytkownik jest przypisany do roli w usłudze Privileged Identity Management.
Możesz wybrać jedną z tych kwalifikujących się opcji czasu trwania przypisania.
Ustawienie | opis |
---|---|
Zezwalaj na stałe kwalifikujące się przypisanie | Administratorzy zasobów mogą przypisywać stałe kwalifikujące się przypisania. |
Wygasanie kwalifikującego się przypisania po | Administratorzy zasobów mogą wymagać, aby wszystkie kwalifikujące się przypisania miały określoną datę rozpoczęcia i zakończenia. |
Możesz również wybrać jedną z tych aktywnych opcji czasu trwania przypisania.
Ustawienie | opis |
---|---|
Zezwalaj na stałe aktywne przypisanie | Administratorzy zasobów mogą przypisywać stałe aktywne przypisania. |
Wygasanie aktywnego przypisania po | Administratorzy zasobów mogą wymagać, aby wszystkie aktywne przypisania miały określoną datę rozpoczęcia i zakończenia. |
Administratorzy globalni i administratorzy ról uprzywilejowanych mogą odnowić wszystkie przypisania, które mają określoną datę zakończenia. Ponadto użytkownicy mogą inicjować żądania samoobsługowe w celu rozszerzenia lub odnowienia przypisań ról.
Wymaganie uwierzytelniania wieloskładnikowego przy aktywnym przypisaniu
Administratorzy mogą wymagać, aby administratorzy zapewniali uwierzytelnianie wieloskładnikowe podczas tworzenia aktywnego (w przeciwieństwie do kwalifikującego się) przypisania. Usługa Privileged Identity Management nie może wymusić uwierzytelniania wieloskładnikowego, gdy użytkownik używa przypisania roli, ponieważ jest już aktywny w roli od momentu jej przypisania.
Administrator może nie zostać poproszony o uwierzytelnienie wieloskładnikowe, jeśli uwierzytelnił się przy użyciu silnych poświadczeń lub dostarczył uwierzytelnianie wieloskładnikowe wcześniej w tej sesji.
Wymagaj uzasadnienia aktywnego przypisania
Możesz wymagać od użytkowników wprowadzenia uzasadnienia biznesowego podczas tworzenia aktywnego (w przeciwieństwie do kwalifikującego się) przypisania.
Na karcie Powiadomienia na stronie Ustawienia roli usługa Privileged Identity Management umożliwia szczegółową kontrolę nad tym, kto odbiera powiadomienia i które powiadomienia otrzymują. Do wyboru są następujące opcje:
- Wyłączanie wiadomości e-mail: możesz wyłączyć określone wiadomości e-mail, usuwając domyślne pole wyboru adresata i usuwając innych adresatów.
- Ogranicz wiadomości e-mail do określonych adresów e-mail: możesz wyłączyć wiadomości e-mail wysyłane do domyślnych adresatów, usuwając pole wyboru domyślnego adresata. Następnie możesz dodać inne adresy e-mail jako adresatów. Jeśli chcesz dodać więcej niż jeden adres e-mail, oddziel je średnikiem (;).
- Wysyłanie wiadomości e-mail do domyślnych adresatów i większej liczby adresatów: możesz wysyłać wiadomości e-mail zarówno do domyślnego adresata, jak i do innego adresata. Zaznacz domyślne pole wyboru adresata i dodaj adresy e-mail dla innych adresatów.
- Tylko krytyczne wiadomości e-mail: dla każdego typu wiadomości e-mail można zaznaczyć pole wyboru, aby otrzymywać tylko krytyczne wiadomości e-mail. Dzięki tej opcji usługa Privileged Identity Management nadal wysyła wiadomości e-mail do określonych adresatów tylko wtedy, gdy wiadomość e-mail wymaga natychmiastowej akcji. Na przykład wiadomości e-mail z prośbą użytkowników o rozszerzenie przypisania roli nie są wyzwalane. Wiadomości e-mail, które wymagają od administratorów zatwierdzenia żądania rozszerzenia, są wyzwalane.
Uwaga
Jedno zdarzenie w usłudze Privileged Identity Management może generować powiadomienia e-mail do wielu adresatów — osoby przypisane, osoby zatwierdzające lub administratorzy. Maksymalna liczba wysyłanych powiadomień na jedno zdarzenie wynosi 1000. Jeśli liczba adresatów przekroczy 1000 , tylko pierwszych 1000 adresatów otrzyma powiadomienie e-mail. Nie zapobiega to używaniu uprawnień innych osób, administratorów ani osób zatwierdzających w usłudze Microsoft Entra ID i Privileged Identity Management.
Zarządzanie ustawieniami roli przy użyciu programu Microsoft Graph
Aby zarządzać ustawieniami ról usługi Microsoft Entra przy użyciu interfejsów API usługi PIM w programie Microsoft Graph, użyj typu zasobu unifiedRoleManagementPolicy i powiązanych metod.
W programie Microsoft Graph ustawienia roli są określane jako reguły. Są one przypisywane do ról firmy Microsoft Entra za pomocą zasad kontenera. Każda rola Microsoft Entra ma przypisany określony obiekt zasad. Możesz pobrać wszystkie zasady, które są ograniczone do ról firmy Microsoft Entra. Dla każdej zasady można pobrać skojarzona kolekcja reguł przy użyciu parametru $expand
zapytania. Składnia żądania jest następująca:
GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules
Aby uzyskać więcej informacji na temat zarządzania ustawieniami ról za pośrednictwem interfejsów API usługi PIM w programie Microsoft Graph, zobacz Ustawienia ról i usługa PIM. Przykłady aktualizowania reguł można znaleźć w temacie Update rules in PIM by using Microsoft Graph (Aktualizowanie reguł w usłudze PIM przy użyciu programu Microsoft Graph).