Поделиться через


управление привилегированными идентичностями (PIM) для групп

Microsoft Entra ID позволяет предоставлять пользователям мгновенное членство и владение членством в группах через управление привилегированными идентификаторами (PIM) для групп. Группы можно использовать для управления доступом к различным сценариям, включая роли Microsoft Entra, роли Azure, Azure SQL, Azure Key Vault, Intune, роли других приложений и сторонние приложения.

Что такое PIM для групп?

PIM для групп является частью Microsoft Entra Управление привилегированными пользователями. Наряду с PIM для ролей Microsoft Entra и PIM для ресурсов Azure, PIM для групп позволяет пользователям активировать владение или членство в группе безопасности Microsoft Entra или группе Microsoft 365. Группы можно использовать для управления доступом к различным сценариям, включая роли Microsoft Entra, роли Azure, Azure SQL, Azure Key Vault, Intune, другие роли приложений и сторонние приложения.

С помощью PIM для групп можно использовать политики, аналогичные тем, которые используются в PIM для ролей Microsoft Entra и PIM для ресурсов Azure: вы можете требовать утверждения для членства или активации владения, принудительно применять многофакторную проверку подлинности (MFA), требовать обоснование, ограничить максимальное время активации и многое другое. Каждая группа в PIM для групп имеет две политики: одну для активации членства и другую для активации владения в группе. До января 2023 г. функция PIM для групп называлась "Группы привилегированного доступа".

Примечание.

Для групп, используемых для назначения на роли Microsoft Entra, рекомендуется требовать процесс утверждения для назначения участников, которые соответствуют критериям. Назначения, которые могут быть активированы без утверждения, создают риск нарушения безопасности менее привилегированным администратором. Например, у администратора службы поддержки есть разрешение на сброс паролей разрешенных пользователей.

PIM для групп и деактивации владения

Идентификатор Microsoft Entra не позволяет удалить последнего (активного) владельца группы. Например, рассмотрим группу с активным владельцем A и соответствующим владельцем B. Если пользователь B активирует свою собственность с помощью PIM, а затем пользователь A удаляется из группы или из клиента, деактивация владения пользователем B не будет выполнена.

PIM попытается отключить владение пользователя B до 30 дней. Если в группу добавляется другой активный владелец C, деактивация будет выполнена успешно. Если деактивация окажется безуспешной в течение 30 дней, PIM перестанет пытаться деактивировать владение пользователем B, и пользователь B продолжит быть активным владельцем.

Что такое группы Microsoft Entra, которым можно назначать роли?

При работе с идентификатором Microsoft Entra можно назначить группе безопасности Microsoft Entra или группе Microsoft 365 роль Microsoft Entra. Это возможно только с группами, созданными как доступные для назначения ролей.

Чтобы узнать больше о группах с возможностью назначения ролей в Microsoft Entra, см. Создание группы с возможностью назначения ролей в Microsoft Entra ID.

Группы с назначаемыми ролями обладают дополнительной защитой в сравнении с группами без назначаемых ролей.

  • Группы с возможностью назначения ролей — только глобальный администратор, администратор привилегированных ролей или владелец группы может управлять группой. Кроме того, другие пользователи не могут изменять учетные данные пользователей, которые являются (активными) членами группы. Эта функция помогает запретить администраторам сменить роль на более привилегированною без прохождения процедуры запроса и утверждения.
  • Не назначаемые ролями группы — различные роли Microsoft Entra могут управлять этими группами, включая администраторов Exchange, администраторов групп, администраторов пользователей и т. д. Кроме того, различные роли Microsoft Entra могут изменять учетные данные пользователей, которые являются (активными) членами группы, включая администраторов проверки подлинности, администраторов службы технической поддержки, администраторов пользователей и т. д.

Дополнительные сведения о встроенных ролях Microsoft Entra и их разрешениях см. в статье о встроенных ролях Microsoft Entra.

Функция назначения ролей в группе Microsoft Entra не является частью Microsoft Entra для управления привилегированными пользователями (Microsoft Entra PIM). Дополнительные сведения о лицензировании см. в статье «Основы лицензирования для управления идентификацией Microsoft Entra».

Связь между группами с возможностью назначения ролей и PIM для групп

Группы в идентификаторе Microsoft Entra можно классифицировать как назначаемые роли или не назначаемые роли. Кроме того, любая группа может быть включена или отключена для использования в Microsoft Entra Управлении привилегированными идентификациями (PIM) для групп. Это независимые свойства группы. Любую группу безопасности Microsoft Entra и любую группу Microsoft 365 (за исключением динамических групп членства и групп, синхронизированных из локальной среды), можно включить в PIM для групп. Для группы не обязательно быть группой с возможностью назначения ролей, чтобы включить ее в PIM для групп.

Если вы хотите назначить группе роль в Microsoft Entra, она должна быть доступной для назначения. Даже если вы не планируете назначать группе роль Microsoft Entra, но группа предоставляет доступ к конфиденциальным ресурсам, рекомендуется все же рассмотреть возможность создания группы, назначаемой для ролей. Это связано с дополнительными мерами защиты, которые имеют группы, назначаемые ролями, см. статью "Что такое группы, назначаемые ролью Microsoft Entra?" в приведенном выше разделе.

Внимание

До января 2023 года требуется, чтобы каждая группа привилегированного доступа (прежнее имя этой функции PIM для групп) должна быть группой с возможностью назначения ролей. Это ограничение в настоящее время удаляется. Из-за этого теперь можно добавить более 500 групп на каждый клиентский аккаунт в PIM, но только до 500 групп могут быть назначены на роли.

Создание группы пользователей, имеющих право на роль Microsoft Entra

Существует два способа сделать группу пользователей имеющей право на роль Microsoft Entra:

  1. Назначьте пользователей в группу активно, а затем назначьте группе роль как подходящую для активации.
  2. Сделайте активным назначение роли группе и предоставьте пользователям возможность быть членами группы.

Чтобы предоставить группе пользователей доступ «точно вовремя» к ролям Microsoft Entra с разрешениями в SharePoint, Exchange или портале соответствия Microsoft Purview (например, роль администратора Exchange), убедитесь, что пользователи активно назначены в группу, а затем назначьте группе роль как допустимых для активации (см. вариант 1 выше). Если вы решите активно назначить группу на роль и вместо этого предоставить пользователям право быть претендентами на членство в группе, может потребоваться значительное время, чтобы все разрешения роли были активированы и готовы к использованию.

Другими словами, чтобы избежать задержек активации, используйте PIM для ролей Microsoft Entra, вместо PIM для групп, чтобы обеспечить JIT-доступ к порталу соответствия SharePoint, Exchange или Microsoft Purview. Дополнительные сведения см. в статье об ошибке при доступе к SharePoint или OneDrive после активации ролей вPIM.

управление привилегированными пользователями и вложение групп

В идентификаторе Microsoft Entra группы, назначаемые ролью, не могут содержать другие группы, вложенные внутри них. Дополнительные сведения см. в статье "Использование групп Microsoft Entra для управления назначениями ролей". Это применимо к активному членству: одна группа не может быть активным участником другой группы, в которой могут быть назначены роли.

Одна группа может быть участником другой группы, даже если одна из этих групп является группой, назначающей роли.

Если пользователь является активным участником группы A, а группа A является допустимым членом группы B, пользователь может активировать свое членство в группе B. Эта активация доступна только для пользователя, запрашивающего активацию, это не означает, что вся группа А становится активным участником группы B.

управление привилегированными учетными записями и развертывание и настройка приложений

Если группа настроена для подготовки приложений, активация членства в группе активирует подготовку членства в группе (и учетную запись пользователя, если она не была подготовлена ранее) в приложении с помощью протокола SCIM.

У нас есть функция, которая запускает обеспечение сразу после активации членства в группе в PIM. Конфигурация настройки зависит от приложения. Как правило, мы рекомендуем назначать для приложения как минимум две группы. В зависимости от количества ролей в приложении можно определить дополнительные "привилегированные группы".

Группа Цель Участники Членство в группе Роль, назначенная в приложении
Группа всех пользователей Убедитесь, что все пользователи, которым необходим доступ к приложению, постоянно обеспечены таким доступом. Все пользователи, которым требуется доступ к приложению. Активно Нет или роль с низким уровнем привилегий
Привилегированная группа Предоставьте доступ в режиме just-in-time к привилегированной роли в приложении. Пользователи, которым требуется доступ к привилегированной роли в приложении по принципу «точно в срок». Допустимо Привилегированная роль

Основные рекомендации

  • Сколько времени требуется для подготовки пользователя к приложению?
    • Когда пользователь добавляется в группу в Microsoft Entra ID без активации членства в группе через Microsoft Entra Управление Привилегированными Идентификационными Данными (PIM):
      • Членство в группе включается в приложении во время следующего цикла синхронизации. Цикл синхронизации выполняется каждые 40 минут.
    • Когда пользователь активирует членство в группе в Microsoft Entra PIM:
      • Членство в группе подготавливается в течение 2–10 минут. При высокой нагрузке запросов одновременно, запросы ограничиваются до 5 запросов за 10 секунд.
      • Для первых пяти пользователей в течение 10-секундного периода активации членства в группе для определенного приложения членство в группах подготавливается в приложении в течение 2–10 минут.
      • Для шестого и последующих пользователей, активировавших членство в группе для определенного приложения в течение 10 секунд, членство в группе предоставляется приложению в следующем цикле синхронизации. Цикл синхронизации выполняется каждые 40 минут. Ограничения пропускной способности устанавливаются на каждое корпоративное приложение.
  • Если пользователю не удается получить доступ к необходимой группе в целевом приложении, просмотрите журналы PIM и журналы подготовки, чтобы убедиться, что членство в группе было успешно обновлено. В зависимости от того, как было разработано целевое приложение, может потребоваться дополнительное время для вступления в силу членства в группе в приложении.
  • С помощью Azure Monitor клиенты могут создавать оповещения о сбоях.

Следующие шаги