Обнаружение ресурсов Azure для управления ими с помощью Privileged Identity Management (PIM)
Вы можете использовать управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra, чтобы улучшить защиту ресурсов Azure. Это поможет:
- Организации, которые уже используют управление привилегированными пользователями для защиты ролей Microsoft Entra
- владельцев групп управления и подписок, которые пытаются защитить рабочие ресурсы.
При первой настройке Privileged Identity Management для ресурсов Azure следует найти и выбрать ресурсы, которые нужно защитить с его помощью. При обнаружении ресурсов с помощью Privileged Identity Management PIM создает субъект-службу PIM (MS-PIM), назначаемый в качестве администратора доступа пользователей к ресурсу. Количество ресурсов, которыми вы можете управлять с помощью инструмента "Привилегированное управление идентификацией", не ограничено. Однако мы рекомендуем начать с наиболее важных производственных ресурсов.
Примечание.
PIM теперь может автоматически управлять ресурсами Azure в клиенте без необходимости подключения. Обновленный интерфейс пользователя использует последнюю версию API ARM PIM, что позволяет повысить производительность и степень детализации при выборе правильной области управления.
Необходимые разрешения
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Вы можете просматривать и контролировать группы управления или подписки, для которых у вас есть разрешения Microsoft.Authorization/roleAssignments/write с такими ролями, как, например, Администратор доступа пользователей или Владелец. Если вы не являетесь владельцем подписки, но являетесь глобальным администратором и не видите никаких подписок Или групп управления Azure для управления, вы можете повысить доступ к управлению ресурсами.
Обнаружение ресурсов
Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
Перейдите к управлению удостоверениями> управление привилегированными пользователями> Azure Resources.
Если вы впервые используете Privileged Identity Management для ресурсов Azure, отобразится страница Обнаружение ресурсов.
Если ресурсами Azure в Privileged Identity Management уже управляет другой администратор вашей организации, вы увидите список ресурсов, находящихся под управлением в настоящий момент.
Выберите Обнаружение ресурсов, чтобы запустить процесс обнаружения.
На странице Обнаружение используйте Фильтр состояния ресурсов и команду Выберите тип ресурса, чтобы отфильтровать группы управления или подписки, для которых у вас есть разрешение на запись. Удобнее начать с параметра Все.
Вы можете найти и выбрать ресурсы группы управления или подписки для управления в Privileged Identity Management. При управлении группой управления или подпиской с помощью Privileged Identity Management можно также управлять ее дочерними ресурсами.
Примечание.
При добавлении нового дочернего ресурса Azure в группу управления под управлением PIM можно перенести дочерний ресурс в раздел "Управление", выполнив поиск в PIM.
Выберите неуправляемые ресурсы, для которых необходимо управление.
Выберите Управление ресурсом и приступите к управлению выбранными ресурсами. Субъект-служба PIM (MS-PIM) назначается в качестве администратора доступа пользователей к ресурсу.
Примечание.
После настройки управления для группы управления или подписки ее невозможно будет сделать неуправляемой. В связи с этим другой администратор не сможет удалить заданные вами параметры PIM.
Если вы видите сообщение для подтверждения подключения выбранного ресурса для управления, выберите Да. После этого PIM будет настроен для управления всеми новыми и существующими дочерними объектами в ресурсах.
