Opis możliwości usługi Privileged Identity Management

  • 5 min

Privileged Identity Management (PIM) to usługa identyfikatora Entra firmy Microsoft, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji. Obejmują one zasoby w usłudze Microsoft Entra, Azure i innych Usługi online firmy Microsoft, takich jak Microsoft 365 lub Microsoft Intune. Usługa PIM ogranicza ryzyko nadmiernego, niepotrzebnego lub nieprawidłowego użycia uprawnień dostępu. Wymaga uzasadnienia, aby zrozumieć, dlaczego użytkownicy chcą uprawnień i wymuszają uwierzytelnianie wieloskładnikowe w celu aktywowania dowolnej roli.

Usługa PIM to:

  • Just in time, zapewniając uprzywilejowany dostęp tylko wtedy, gdy jest to konieczne, a nie wcześniej.
  • Ograniczenie czasu przez przypisanie dat rozpoczęcia i zakończenia, które wskazują, kiedy użytkownik może uzyskać dostęp do zasobów.
  • Na podstawie zatwierdzenia wymagane jest określone zatwierdzenie w celu aktywowania uprawnień.
  • Widoczne, wysyłanie powiadomień po aktywowaniu ról uprzywilejowanych.
  • Inspekcja umożliwiająca pobranie pełnej historii dostępu.

Dlaczego warto używać usługi PIM?

Usługa PIM zmniejsza prawdopodobieństwo uzyskania dostępu przez złośliwego aktora przez zminimalizowanie liczby osób, które mają dostęp do bezpiecznych informacji lub zasobów. Przez ograniczenie czasu autoryzowanych użytkowników zmniejsza ryzyko nieumyślnego wpływu autoryzowanego użytkownika na poufne zasoby. Usługa PIM zapewnia również nadzór nad tym, co użytkownicy wykonują z uprawnieniami administratora.

Co można zrobić z usługą PIM?

Obecnie możesz używać usługi PIM z:

  • Role entra firmy Microsoft — czasami określane jako role katalogów, role entra firmy Microsoft obejmują wbudowane i niestandardowe role do zarządzania identyfikatorem Entra firmy Microsoft i innymi Usługi online microsoft 365.

  • Role platformy Azure — role kontroli dostępu opartej na rolach (RBAC) na platformie Azure, które udzielają dostępu do grup zarządzania, subskrypcji, grup zasobów i zasobów.

  • Usługa PIM dla grup — podaj członkostwo just in time w grupie i własność just in time grupy. Funkcja Microsoft Entra Privileged Identity Management for Groups może służyć do zarządzania dostępem do różnych scenariuszy obejmujących role firmy Microsoft Entra, role platformy Azure, a także usługę Azure SQL, Azure Key Vault, usługę Intune, inne role aplikacji i aplikacje innych firm.

Ogólny przepływ pracy

Istnieje kilka kroków, które są zazwyczaj częścią podstawowego przepływu pracy podczas wdrażania usługi PIM. Te kroki to: przypisywanie, aktywowanie, zatwierdzanie/odrzucanie i rozszerzanie/odnawianie.

  • Przypisywanie — proces przypisywania rozpoczyna się od przypisania ról do członków. Aby udzielić dostępu do zasobu, administrator przypisuje role użytkownikom, grupom, jednostkom usługi lub tożsamościom zarządzanym. Przypisanie zawiera następujące dane:

    • Członkowie lub właściciele — członkowie lub właściciele, którzy mają zostać przypisani do roli.
    • Zakres — zakres ogranicza przypisaną rolę do określonego zestawu zasobów.
    • Typ przypisania — dostępne są dwie opcje. Kwalifikujące się przypisania wymagają, aby członek roli wykonał akcję w celu użycia roli. Akcje mogą obejmować aktywację lub żądanie zatwierdzenia od wyznaczonych osób zatwierdzających. Aktywne przypisania nie wymagają od członka wykonania żadnej akcji w celu użycia roli. Członkowie przypisani jako aktywni mają przypisane uprawnienia do roli.
    • Czas trwania — czas trwania przydziału jest definiowany przez daty rozpoczęcia i zakończenia lub jest ustawiony na stały.

    Przechwytywanie ekranu przedstawiające krok przypisania.

  • Aktywowanie — jeśli użytkownicy zostali uprawnieni do roli, muszą aktywować przypisanie roli przed użyciem roli. Aby aktywować rolę, użytkownicy wybierają określony czas trwania aktywacji w ramach maksymalnej wartości (skonfigurowanej przez administratorów) i przyczynę żądania aktywacji.

    Przechwytywanie ekranu przedstawiające krok aktywacji.

  • Zatwierdzanie lub odrzucanie — osoby zatwierdzające delegowane otrzymują powiadomienia e-mail, gdy żądanie roli oczekuje na zatwierdzenie. Osoby zatwierdzające mogą wyświetlać, zatwierdzać lub odrzucać te oczekujące żądania w usłudze PIM. Po zatwierdzeniu żądania członek może rozpocząć korzystanie z roli.

    Przechwytywanie ekranu przedstawiające krok zatwierdzania lub odmowy.

  • Rozszerzanie i odnawianie — gdy przypisanie roli zbliża się do wygaśnięcia, użytkownik może zażądać rozszerzenia dla przypisania roli za pomocą usługi PIM. Gdy przypisanie roli już wygasło, użytkownik może zażądać odnowienia przypisania roli za pomocą usługi Privileged Identity Management.

    Przechwytywanie ekranu przedstawiające opcję rozszerzenia przypisania.

Audit

Historia inspekcji usługi Privileged Identity Management (PIM) umożliwia wyświetlanie wszystkich przypisań ról i aktywacji w ciągu ostatnich 30 dni dla wszystkich ról uprzywilejowanych.

Przechwytywanie ekranu przedstawiające historię inspekcji usługi PIM.