Vanliga frågor (FAQ)
Den här artikeln besvarar vanliga frågor och svar om Microsoft Entra – behörighetshantering.
Vad är Microsoft Entra – behörighetshantering?
Microsoft Entra – behörighetshantering (Behörighetshantering) är en CIEM-lösning (rights management) för molninfrastruktur som ger omfattande insyn i behörigheter som tilldelats alla identiteter. Till exempel överprivilegierade arbetsbelastningar och användaridentiteter, åtgärder och resurser i flera molninfrastrukturer i Microsoft Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP). Behörighetshantering identifierar, automatiskt rätt storlekar och övervakar kontinuerligt oanvända och överdrivna behörigheter. Den fördjupar Nolltillit säkerhetsstrategi genom att utöka principen för åtkomst med minst privilegier.
Vilka är kraven för att använda behörighetshantering?
Behörighetshantering stöder datainsamling från AWS, GCP och/eller Microsoft Azure. För datainsamling och analys måste kunderna ha ett Microsoft Entra-konto för att kunna använda Behörighetshantering.
Kan en kund använda Behörighetshantering om de har andra identiteter med åtkomst till sin IaaS-plattform som ännu inte finns i Microsoft Entra-ID?
Ja, en kund kan identifiera, minimera och övervaka risken för AWS IAM- eller GCP-konton, eller från andra identitetsprovidrar som Okta eller AWS IAM.
Var kan kunderna komma åt behörighetshantering?
Kunder kan komma åt gränssnittet behörighetshantering från administrationscentret för Microsoft Entra .
Kan icke-molnkunder använda behörighetshantering lokalt?
Nej, Behörighetshantering är ett värdbaserat molnerbjudande.
Kan icke-Azure-kunder använda behörighetshantering?
Ja, icke-Azure-kunder kan använda vår lösning. Behörighetshantering är en lösning för flera moln, så även kunder som inte har någon prenumeration på Azure kan dra nytta av den.
Är Behörighetshantering tillgängligt för klientorganisationer som finns i Europeiska unionen (EU)?
Ja, Behörighetshantering är för närvarande för klienter som finns i Europeiska unionen (EU).
Vilket värde tillhandahåller behörighetshantering om jag redan använder Microsoft Entra ID Privileged Identity Management (PIM) för Azure?
Behörighetshantering kompletterar Microsoft Entra PIM. Microsoft Entra PIM ger just-in-time-åtkomst för administratörsroller i Azure och Microsoft Online Services och appar som använder grupper. Behörighetshantering tillåter identifiering, reparation och övervakning av privilegierad åtkomst i Azure, AWS och GCP för flera moln.
Vilka offentliga molninfrastrukturer stöder Behörighetshantering?
Behörighetshantering stöder för närvarande de tre stora offentliga molnen: Amazon Web Services (AWS), Google Cloud Platform (GCP) och Microsoft Azure.
Stöder Behörighetshantering hybridmiljöer?
Behörighetshantering stöder för närvarande inte hybridmiljöer.
Vilka typer av identiteter stöder behörighetshantering?
Behörighetshantering stöder användaridentiteter (till exempel anställda, kunder, externa partner) och arbetsbelastningsidentiteter (till exempel virtuella datorer, containrar, webbappar, serverlösa funktioner).
Är Behörighetshantering tillgängligt i Government Cloud?
Nej, Behörighetshantering är för närvarande inte tillgängligt i myndighetsmoln.
Är Behörighetshantering tillgängligt för nationella moln?
Nej, Behörighetshantering är för närvarande inte tillgängligt i nationella moln.
Hur samlar Behörighetshantering in insikter om behörighetsanvändning?
Behörighetshantering har en datainsamlare som samlar in åtkomstbehörigheter som tilldelas till olika identiteter, aktivitetsloggar och resursmetadata. Datainsamlaren ger fullständig insyn i behörigheter som beviljats alla identiteter för att få åtkomst till resurser och information om användningen av beviljade behörigheter.
Hur utvärderar Behörighetshantering risken för molnbehörigheter?
Behörighetshantering ger detaljerad insyn i alla identiteter och deras behörigheter som beviljats jämfört med användning i molninfrastrukturer för att upptäcka alla åtgärder som utförs av alla identiteter på alla resurser. Synligheten är inte bara begränsad till användaridentiteter, utan även arbetsbelastningsidentiteter som virtuella datorer, åtkomstnycklar, containrar och skript. Instrumentpanelen ger en översikt över behörighetsprofilen för att hitta de mest riskfyllda identiteterna och resurserna.
Vad är behörigheternas creep-index?
PcI (Permissions Creep Index) är ett kvantitativt mått på risker som är associerade med en identitet eller roll som bestäms genom att jämföra behörigheter som beviljats jämfört med behörigheter som har utövats. Det gör att användarna omedelbart kan utvärdera den risknivå som är associerad med antalet oanvända eller överetablerade behörigheter för identiteter och resurser. Den mäter hur mycket skada identiteter kan orsaka baserat på de behörigheter de har.
Hur kan kunder använda Behörighetshantering för att ta bort oanvända eller överdrivna behörigheter?
Behörighetshantering gör det möjligt för användare att rätt storleksanpassa överdrivna behörigheter och automatisera tvingande av principen för lägsta behörighet med bara några få klick. Lösningen analyserar kontinuerligt historiska behörighetsanvändningsdata för varje identitet och ger kunderna möjlighet att ändra identitetens behörigheter till behörigheter som endast används för dagliga åtgärder. Alla oanvända och andra riskfyllda behörigheter kan tas bort automatiskt.
Varför visas fortfarande en användare som jag har tagit bort på fliken Analys?
Kontrollera om användaren har tilldelats en klassisk administratörsroll . Klassiska administratörsroller försvinner inte när en användare tas bort. Lös problemet genom att gå till den klassiska administratörssidan och ta bort rolltilldelningen separat för användaren.
Hur kan kunder bevilja behörigheter på begäran med Behörighetshantering?
För scenarier med brytglas eller engångsscenarier där en identitet behöver utföra en specifik uppsättning åtgärder på en uppsättning specifika resurser kan identiteten begära dessa behörigheter på begäran under en begränsad period med ett arbetsflöde med självbetjäning. Kunder kan antingen använda den inbyggda arbetsflödesmotorn eller sitt IT-tjänsthanteringsverktyg (ITSM). Användarupplevelsen är densamma för alla identitetstyper, identitetskällor (lokala kataloger, företagskataloger eller federerade) och moln.
Vad är skillnaden mellan behörigheter på begäran och just-in-time-åtkomst?
Just-in-time-åtkomst (JIT) är en metod som används för att framtvinga principen om minsta behörighet för att säkerställa att identiteter får den lägsta behörighetsnivån för att utföra den aktuella uppgiften. Behörigheter på begäran är en typ av JIT-åtkomst som gör det möjligt att tillfälligt utöka behörigheter, vilket gör det möjligt för identiteter att komma åt resurser efter begäran, tidsbegränsad.
Hur kan kunder övervaka behörighetsanvändning med Behörighetshantering?
Kunder behöver bara spåra utvecklingen av sitt PCI (Permission Creep Index) för att övervaka behörighetsanvändningen. Kunder kan övervaka PCI på fliken Analys från instrumentpanelen för behörighetshantering.
Kan kunder generera användningsrapporter för behörigheter?
Ja, Behörighetshantering har olika typer av systemrapporter som samlar in specifika datamängder. Dessa rapporter gör det möjligt för kunder att:
- Fatta beslut i tid.
- Analysera användningstrender och system-/användarprestanda.
- Identifiera högriskområden.
Information om användningsrapporter för behörigheter finns i Generera och ladda ned rapporten Behörighetsanalys.
Integreras Behörighetshantering med ITSM-verktyg (Information Technology Service Management) från tredje part?
Integrering med ITMS-verktyg, till exempel ServiceNow, finns i den framtida översikten.
Hur distribueras behörighetshantering?
Kunder som tilldelats rollen Administratör för behörighetshantering måste först registrera behörighetshantering till sin Microsoft Entra-klientorganisation och sedan registrera sina AWS-konton, GCP-projekt och Azure-prenumerationer. Mer information om registrering finns i vår produktdokumentation.
Hur lång tid tar det att distribuera behörighetshantering?
Det beror på varje kund och hur många AWS-konton, GCP-projekt och Azure-prenumerationer de har.
Hur snabbt kan jag få behörighetsinsikter när behörighetshantering har distribuerats?
När de är helt registrerade med konfiguration av datainsamling kan kunderna få åtkomst till användningsinsikter för behörigheter inom några timmar. Vår maskininlärningsmotor uppdaterar Permission Creep Index varje timme så att kunderna kan starta riskbedömningen direkt.
Samlar Behörighetshantering in och lagrar känsliga personuppgifter?
Nej, Behörighetshantering har inte åtkomst till känsliga personuppgifter.
Var hittar jag mer information om behörighetshantering?
Du kan läsa vår blogg och besöka vår webbsida. Du kan också komma i kontakt med din Microsoft-kontaktpunkt för att schemalägga en demo.
Vad är processen för dataförstörelse/inaktivering?
Om en kund initierar en kostnadsfri 45-dagars utvärderingsversion av Behörighetshantering och inte konverterar till en betald licens inom 45 dagar efter att utvärderingsversionen upphör att gälla, tas alla insamlade data bort inom 30 dagar från förfallodatumet för utvärderingsversionen.
Om en kund bestämmer sig för att avbryta licensiering av tjänsten tas alla tidigare insamlade data bort inom 30 dagar efter licensavslut.
Kunder kan också ta bort, exportera eller ändra specifika data om en administratör för behörighetshantering med hjälp av tjänsten Behörighetshantering skickar en officiell begäran om datasubjekt. Så här skickar du en begäran:
Om du är företagskund kan du kontakta din Microsoft-representant, kontoteam eller klientorganisationsadministratör för att skicka in en IcM-supportbegäran med hög prioritet och begära en begäran från datasubjektet. Inkludera inte information eller personligt identifierbar information i IcM-begäran. Vi kontaktar dig först efter att en IcM har lämnats in.
Om du är självbetjäningskund (du konfigurerar en utvärderingsversion eller betald licens i Administrationscenter för Microsoft 365) kan du kontakta sekretessteamet för behörighetshantering genom att välja den nedrullningsbara profilmenyn och sedan Kontoinställningar i Behörighetshantering. Följ anvisningarna för att göra en begäran om datasubjekt.
Läs mer om Begäranden om Azure-datasubjekt.
Behöver jag en licens för att använda Microsoft Entra – behörighetshantering?
Ja, från och med den 1 juli 2022 måste nya kunder skaffa en kostnadsfri 45-dagars utvärderingslicens eller en betald licens för att använda tjänsten. Du kan aktivera en utvärderingsversion här: https://aka.ms/TryPermissionsManagement eller så kan du köpa resursbaserade licenser direkt här: https://aka.ms/BuyPermissionsManagement
Hur prissätts Behörighetshantering?
Behörighetshantering är $125 per resurser/år ($10.40 per resurs/månad). Behörighetshantering kräver licenser för arbetsbelastningar, som omfattar alla resurser som använder beräkning eller minne.
Måste jag betala för alla resurser?
Även om Behörighetshantering stöder alla resurser kräver Microsoft endast licenser för fakturerbara resurser per molnmiljö. Mer information om fakturerbara resurser finns i Visa fakturerbara resurser som anges i ditt auktoriseringssystem
Hur gör jag för att beräkna antalet fakturerbara resurser jag har?
Om du vill beräkna de fakturerbara resurser som du har i infrastrukturen för flera moln måste du först aktivera en 45-dagars kostnadsfri utvärderingsversion av Behörighetshantering eller köpa en betald licens. I Behörighetshantering väljer du Inställningar (kugghjulsikon) och klickar sedan på fliken Fakturerbara resurser . Visa mängden fakturerbara resurser i kolumnen Totalt antal licenser .
Vad gör jag om jag använder den äldre versionen av CloudKnox-tjänsten?
Vi arbetar för närvarande med att utveckla en migreringsplan som hjälper kunder med den ursprungliga CloudKnox-tjänsten att gå över till den nya Microsoft Entra – behörighetshantering-tjänsten senare under 2022.
Kan jag använda Microsoft Entra – behörighetshantering i EU?
Ja, produkten är kompatibel.
Hur aktiverar jag ett av de nya 18 språk som stöds i GA-versionen?
Vi är nu lokaliserade på 18 språk. Vi respekterar din webbläsarinställning eller så kan du manuellt aktivera ditt valfritt språk genom att lägga till ett frågesträngssuffix i din Microsoft Entra – behörighetshantering URL:
?lang=xx-XX
Där xx-XX är en av följande tillgängliga språkparametrar: "cs-CZ", "de-DE", "en-US", "es-ES", "fr-FR", "hu-HU", "id-ID", "it-IT", "ja-JP", "ko-KR", "nl-NL", "pl-PL", "pt-BR", "pt-PT", "ru-RU", "sv-SE", "tr-TR", "zh-CN" eller "zh-TW".
Resurser
- Microsoft Entra-blogg
- Webbsida för behörighetshantering
- Mer information om Microsofts sekretess- och säkerhetsvillkor finns i Kommersiella licensvillkor.
- Mer information om Microsofts databehandlings- och säkerhetsvillkor när du prenumererar på en produkt finns i Microsoft Products and Services Data Protection Addendum (DPA).
- Mer information finns i Begäranden om Azure-datasubjekt för GDPR och CCPA.
Nästa steg
- En översikt över behörighetshantering finns i Vad är Microsoft Entra – behörighetshantering?.
- Fördjupa din inlärning med modulen Introduktion till Microsoft Entra – behörighetshantering learn.
- Information om hur du registrerar behörighetshantering i din organisation finns i Aktivera behörighetshantering i din organisation.