描述 Privileged Identity Management 的功能
Privileged Identity Management (PIM) 是一项 Microsoft Entra ID 服务,可以通过该服务管理、控制和监视对组织中重要资源的访问。 这些资源包括 Microsoft Entra、Azure 和其他 Microsoft 联机服务(例如 Microsoft 365 或 Microsoft Intune)中的资源。 PIM 可降低访问权限过多、不必要或误用的风险。 它需要正当理由来理解用户为何需要权限,并在激活任何角色前强制执行多重身份验证。
PIM 具有以下特征:
- 及时:仅在需要时提供特权访问权限,而不是提前提供。
- 有时限:通过分配开始日期和结束日期来指示用户何时可以访问资源。
- 基于审批:需要特定审批才能激活权限。
- 可见:在激活特权角色时发送通知。
- 可审核:允许下载完整的访问历史记录。
为何使用 PIM?
PIM 可最大限度地减少有权访问安全信息或资源的人员数量,从而减少恶意使用者获得访问权限的机会。 通过对授权用户进行时间限制,可以降低授权用户意外影响敏感资源的风险。 PIM 还可以监督用户使用其管理员权限执行的操作。
PIM 有哪些用途?
目前,PIM 可用于管理:
Microsoft Entra 角色 - Microsoft Entra 角色有时称为目录角色,包括用于管理 Microsoft Entra ID 和其他 Microsoft 365 联机服务的内置角色和自定义角色。
Azure 角色 - Azure 中基于角色的访问控制 (RBAC) 角色,可授予对管理组、订阅、资源组和资源的访问权限。
针对组的 PIM - 提供组的即时成员身份和组的即时所有权。 Microsoft Entra 针对组的 Privileged Identity Management 功能可用于控制对各种方案的访问,包括 Microsoft Entra 角色、Azure 角色,以及 Azure SQL、Azure Key Vault、Intune、其他应用程序角色和第三方应用程序。
常规工作流
部署 PIM 时,有几个步骤通常是基本工作流的一部分。 这些步骤包括:分配、激活、批准/拒绝和延期/续订。
分配 - 分配过程首先将角色分配给成员。 若要授予对资源的访问权限,管理员需要将角色分配给用户、组、服务主体或托管标识。 分配内容包括以下数据:
- 成员或所有者 - 要分配给角色的成员或所有者。
- 范围 - 范围将分配的角色限制为一组特定的资源。
- 分配类型 - 有两个选项。 “合格” 分配要求该角色的成员执行某个操作才能使用该角色。 操作可能包括激活或请求指定审批者的批准。 “活动” 分配不要求成员执行任何操作便可使用该角色。 分配为“活动”的成员拥有分配给该角色的特权。
- 持续时间 - 分配的持续时间由开始日期和结束日期定义,或设置为永久。
激活 - 如果用户已获得角色资格,则必须在使用该角色之前激活角色分配。 若要激活角色,用户在(管理员配置的)最大范围中选择特定的激活持续时间,以及激活请求的原因。
批准或拒绝 - 有角色请求等待审批时,委派的审批者将收到电子邮件通知。 审批者可以在 PIM 中查看、批准或拒绝这些等待审批的请求。 请求获得批准后,成员可以开始使用该角色。
延期和续订 - 当角色分配快要到期时,用户可以使用 PIM 请求对角色分配进行延期。 当角色分配已到期时,用户可使用 Privileged Identity Management 请求对角色分配进行续订。
审核
可以使用 Privileged Identity Management (PIM) 审核历史记录来查看过去 30 天内所有特权角色的所有角色分配和激活操作。
