为管理用户定义特权访问策略
什么是 Privileged Identity Management (PIM)?
PIM 是 Microsoft Entra ID 中的一项服务,可用于管理对特权资源的访问。 通过 PIM,你可以管理、控制和监视对组织中重要资源的访问。 此类资源包括 Microsoft Entra ID、Azure 和其他 Microsoft 联机服务(例如 Microsoft 365 或 Microsoft Intune)中的资源。
PIM 的作用是什么?
PIM 提供基于时间和批准的角色激活以访问资源。 这有助于缓解对所关注资源的过多、不必要或误用访问权限的风险。 PIM 的主要功能包括:
- 提供对 Microsoft Entra ID 和 Azure 资源的实时特权访问权限
- 使用开始和结束日期分配对资源的限时访问权限
- 要求获得批准才能激活特权角色
- 强制执行 Azure 多重身份验证以激活任何角色
- 使用理由来了解用户激活角色的原因
- 激活特权角色时获取通知
- 开展访问评审,以确保用户仍然需要角色
- 下载审核历史记录进行内部或外部审核
在组织中部署 PIM 之前,请按照说明执行操作并了解本节中的概念。 这将帮助你创建一个针对组织的特权标识要求量身定制的计划。
注意
PIM 需要 Premium P2 许可证。
标识利益干系人
以下部分的内容可帮助你确定项目中涉及的所有利益干系人。 你将了解谁需要批准,谁需要评审,或者随时了解情况。 它包括用于为 Microsoft Entra 角色部署 PIM 和为 Azure 角色部署 PIM 的单独表格。 根据组织情况,将利益干系者添加到下表中。
SO = 此项目的批准情况
R = 审查此项目并提供输入
I = 了解此项目的新情况
利益干系人:适用于 Microsoft Entra 角色的 Privileged Identity Management
| Name | 角色 | Action |
|---|---|---|
| 姓名和电子邮件 | 标识架构师或 Azure 全局管理员 - 标识管理团队的代表,负责定义如何将此更改与组织中的核心标识管理基础结构保持一致。 | SO/R/I |
| 姓名和电子邮件 | 服务所有者或职能经理 - 一项服务或一组服务的 IT 所有者代表。 他们是做出决策并帮助其团队推出 PIM 的关键人员。 | SO/R/I |
| 姓名和电子邮件 | 安全所有者 - 安全团队的代表,可以批准计划满足组织的安全要求。 | SO/R |
| 姓名和电子邮件 | IT 支持经理/支持人员 - IT 支持组织的代表,可以从支持人员的角度为此更改的可支持性提供反馈。 | R/I |
| 试点用户的姓名和电子邮件 | 特权角色用户 - 为其实现特权标识管理的用户组。 他们需要知道如何在实现 PIM 后激活角色。 | I |
利益干系人:针对 Azure 角色的 Privileged Identity Management
| Name | 角色 | Action |
|---|---|---|
| 姓名和电子邮件 | 订阅/资源所有者 - 要为其部署 PIM 的每个订阅或资源的 IT 所有者的代表。 | SO/R/I |
| 姓名和电子邮件 | 安全所有者 - 安全团队的代表,可以批准计划满足组织的安全要求。 | SO/R |
| 姓名和电子邮件 | IT 支持经理/支持人员 - IT 支持组织的代表,可以从支持人员的角度为此更改的可支持性提供反馈。 | R/I |
| 试点用户的姓名和电子邮件 | Azure 角色用户 - 为其实现特权标识管理的用户组。 他们需要知道如何在实现 PIM 后激活角色。 | I |
开始使用 Privileged Identity Management
作为计划过程的一部分,请按照“开始使用 Privileged Identity Management”一文来准备 PIM。 通过 PIM,可以访问为帮助部署而设计的某些功能。
如果你的目标是为 Azure 资源部署 PIM,请按照“发现要通过 Privileged Identity Management 管理的 Azure 资源”一文进行操作。 只有订阅和管理组的所有者可以通过 PIM 管理这些资源。 资源受管理之后,PIM 功能可供所有级别(包括管理组、订阅、资源组和资源)的所有者使用。 如果你是全局管理员并尝试为 Azure 资源部署 PIM,则可以提升访问权限以管理所有 Azure 订阅,以便能够发现和访问目录中的所有 Azure 资源。 但是,建议在使用 PIM 管理其资源之前先获取每个订阅所有者的批准。
强制执行最低权限原则
请务必确保已在组织中针对 Microsoft Entra ID 角色和 Azure 角色强制执行最小特权原则。
规划最低权限委托
对于 Microsoft Entra 角色,当大多数管理员只需要一个或两个权限较低的特定管理员角色时,组织通常会将全局管理员角色分配给多个管理员。 由于存在大量全局管理员角色或其他权限较高的角色,因此很难密切跟踪特权角色分配。
请按照下列步骤对 Microsoft Entra 角色实施最低特权原则。
请通过阅读和理解可用的 Microsoft Entra 管理员角色来了解角色粒度。 你和你的团队还应参考 Microsoft Entra 中按标识任务划分的管理员角色,其中对面向特定任务的最低权限角色进行了说明。
列出组织中有特权角色的人员。 可以使用 PIM 发现和见解(预览版)来降低风险。
对于组织中的所有全局管理员,找出他们需要该角色的原因。 然后,将其从全局管理员角色中移除,并在 Microsoft Entra ID 中分配内置角色或权限较低的自定义角色。 另外说一下,Microsoft 目前只有 10 个管理员拥有全局管理员角色。
对于所有其他 Microsoft Entra 角色,请查看分配列表,标识不再需要该角色的管理员,并在分配中将其移除。
若要自动执行最后两个步骤,可以在 PIM 中使用访问评审。 按照“在 Privileged Identity Management 中开始对 Microsoft Entra 角色进行访问评审”中的步骤操作,可为每个具有一个或多个成员的 Microsoft Entra ID 角色设置访问评审。
将审阅者设置为“成员(自己)”。 该角色的所有用户将会收到一封要求他们确认是否需要该访问权限的电子邮件。 另外,请在高级设置中启用“需要批准理由”,以要求用户必须说明其需要该角色的原因。 根据这些信息,你可以从不必要的角色中移除用户,或者将他们委托给更细化的管理员角色。
访问评审依赖电子邮件来通知人员查看其角色访问权限。 如果你的特权帐户未链接电子邮件,请务必填充这些帐户上的辅助电子邮件字段。
计划 Azure 资源角色委托
对于 Azure 订阅和资源,可以设置类似的访问评审流程,用于评审每个订阅或资源中的角色。 此过程的目标是最大程度地减少附加到每个订阅或资源的所有者和用户访问管理员分配数,以及移除不必要的分配。 但是,组织通常会将此类任务委派给每个订阅或资源的所有者,因为他们对特定角色(尤其是自定义角色)有更深入的了解。
如果你是全局管理员角色,并尝试为组织中的 Azure 角色部署 PIM,则可以提升访问权限以管理所有 Azure 订阅,从而获取对每个订阅的访问权限。 然后可以找到每个订阅的所有者,与其协作,删除不必要的分配,最大程度减少所有者角色分配量。
具有 Azure 订阅所有者角色的用户还可以使用 Azure 资源的访问评审来审核并移除不必要的角色分配,这类似于之前所述用于 Microsoft Entra 角色的过程。
确定 Privileged Identity Management 应保护哪些角色分配
清理组织中的特权角色分配后,需要确定要使用 PIM 保护的角色。
如果某个角色受 PIM 保护,则分配给它的符合条件的用户必须提升权限才能使用该角色授予的权限。 权限提升过程还可能包括获取批准、使用 Azure 多重身份验证以及提供激活原因。 PIM 还可以通过通知、PIM 和 Microsoft Entra 审核事件日志来跟踪权限提升进程。
要选择使用 PIM 保护哪些角色可能存在一定困难,而且每个组织的情况都不一样。 本部分提供了适用于 Microsoft Entra 角色和 Azure 角色的最佳做法。
Microsoft Entra 角色
应优先保护具有最多权限的 Microsoft Entra 角色,这一点很重要。 基于所有 PIM 客户的使用模式,PIM 管理下排在前 10 位的 Microsoft Entra 角色为:
全局管理员
安全管理员
用户管理员
Exchange 管理员
SharePoint 管理员
Intune 管理员
安全读取者
服务管理员
计费管理员
Skype for Business 管理员
提示
Microsoft 建议首先使用 PIM 管理所有全局管理员和安全管理员,因为他们是受到攻击后可造成最大损害的用户。
请务必考虑组织中最敏感的数据和权限。 例如,某些组织希望使用 PIM 保护其 Power BI 管理员角色或其 Teams 管理员角色,因为这些角色能够访问数据并更改核心工作流。
如有任何角色分配了来宾用户,则会容易受到攻击。
提示
Microsoft 建议使用 PIM 管理包含来宾用户的所有角色,以降低与来宾用户帐户相关的攻击风险。
诸如目录读取者、消息中心读取者和安全读取者等读取者角色有时被认为不如其他角色重要,因为这些角色没有写入权限。 但我们的某些客户也会保护这些角色,因为获得这些帐户访问权限的攻击者可能读取敏感数据,包括个人数据。 在决定是否要使用 PIM 管理组织中的读取者角色时,应考虑到这一风险。
Azure 角色
在决定应使用 PIM 为 Azure 资源管理哪些角色分配时,必须首先确定对组织而言最重要的订阅/资源。 此类订阅/资源的示例有:
- 托管最敏感数据的资源。
- 核心的、面向客户的应用程序所依赖的资源。
如果你是全局管理员,并且无法确定哪些订阅和资源最为重要,则应联系组织中的订阅所有者,以收集每个订阅管理的资源的列表。 然后与订阅所有者合作,以根据资源所受攻击的严重性级别(低、中、高)对资源进行分组。 根据此严重性级别,确定使用 PIM 管理资源的优先级。
提示
Microsoft 建议与关键服务的订阅/资源所有者合作,为敏感订阅/资源中的所有角色设置 PIM 工作流。
Azure 资源的 PIM 支持时限服务帐户。 应以对待常规用户帐户的方式来对待服务帐户。
对于不太重要的订阅/资源,无需为所有角色设置 PIM。 但是,仍应使用 PIM 保护所有者和用户访问管理员角色。
提示
Microsoft 建议使用 PIM 管理所有订阅/资源的所有者角色和用户访问管理员角色。
确定是否使用组来分配角色
是否将角色分配给组而不是各个用户是一项战略决策。 请在规划时考虑将角色分配给组,以便在以下情况中管理角色分配:
- 向一个角色分配了多个用户。
- 想要委托分配角色。
向一个角色分配了多个用户
手动跟踪向角色分配的用户以及根据用户需要管理其角色分配这一过程,可能会花费一些时间。 若要将组分配给角色,首先请创建一个可分配角色的组,然后将该组分配为符合角色条件的组。 此操作使该组中的每个人都遵循与符合将权限提升至角色的单个用户所执行的相同的激活过程。 组成员使用 PIM 激活请求和审批过程来单独激活对组的分配。 组没有被激活,只是激活用户的组成员身份。
想要委托分配角色
组所有者可以管理组的成员身份。 对于可分配 Microsoft Entra ID 角色的组,只有特权角色管理员、全局管理员和组所有者可以管理组成员身份。 管理员向组添加新成员时,无论分配是符合条件还是处于活动状态,该成员都可以访问组分配到的角色。 使用组所有者为已分配的角色委托组成员身份管理,从而减小所需特权的广度。
提示
Microsoft 建议使用 PIM 管理可分配 Microsoft Entra ID 角色的组。 使用 PIM 管理可分配角色的组之后,该组称为特权访问组。 使用 PIM 要求组所有者先激活其所有者角色分配,然后他们才能管理组成员身份。
确定哪些角色分配应为永久分配或合格分配
确定要由 PIM 管理的角色列表后,必须确定哪些用户应获取符合条件的角色,哪些用户应获取永久活动角色。 永久活动角色是通过 Microsoft Entra ID 和 Azure 资源分配的常规角色,而符合条件的角色只能通过 PIM 分配。
Microsoft 建议除了推荐的两个紧急访问帐户(应具有永久性全局管理员角色)以外,不要对 Microsoft Entra 角色和 Azure 角色进行永久性活动分配。
虽然我们建议不设置长期有效的管理员,但有时组织很难立刻实现这一点。 做出该决策时应考虑的事项包括:
提升频率 - 如果用户只需要一次特权分配,他们不应拥有永久分配。 另一方面,如果用户需要某个角色来处理日常工作且使用 PIM 会极大降低其工作效率,则可考虑向其分配永久角色。
特定于组织的案例 - 如果被授予符合条件的角色的人员来自遥远的团队或为高级管理人员,不便沟通和执行提升过程,则可考虑为其分配永久角色。
提示
Microsoft 建议你为具有永久角色分配的用户设置定期访问评审。
草拟 Privileged Identity Management 设置
在实现 PIM 解决方案之前,最好为组织使用的每个特权角色起草 PIM 设置。 本部分包含一些用于特定角色的 PIM 设置的示例;这些示例仅供参考,与组织所需可能不同。 表格详细说明了前面提及的每一个设置并在表格后面提供了相关 Microsoft 建议。
Microsoft Entra 角色的 Privileged Identity Management 设置
| 设置 | 全局管理员 | Exchange 管理员 | 支持管理员 |
|---|---|---|---|
| 需要执行 MFA;双重验证 | 是 | 是 | 否 |
| 通知 | 是 | 是 | 否 |
| 事件工单 | 是 | No | 是 |
| 需要审批 | 是 | 否 | 否 |
| 审批者 | 其他全局管理员 | 无 | 无 |
| 激活持续时间 | 1 小时 | 2 小时 | 8 小时 |
| 永久管理员 | 紧急访问帐户 | 无 | 无 |
适用于 Azure 角色的 Privileged Identity Management 设置
| 设置 | 关键订阅的所有者 | 次要订阅的用户访问管理员 | 虚拟机参与者 |
|---|---|---|---|
| 需要执行 MFA;双重验证 | 是 | 是 | 否 |
| 通知 | 是 | 是 | 是 |
| 需要审批 | 是 | 否 | 否 |
| 审批者 | 订阅的其他所有者 | 无 | 无 |
| 激活持续时间 | 1 小时 | 1 小时 | 3 小时 |
| 活动管理员 | 无 | None | 无 |
| 活动期限 | 不适用 | 不适用 | 不适用 |
下表说明了每个设置。
| 设置 | 描述 |
|---|---|
| 角色 | 要为其定义设置的角色的名称。 |
| 需要执行 MFA;双重验证 | 符合条件的用户是否需要执行 MFA;激活角色之前进行双重验证。 |
| Microsoft 建议强制执行 MFA;所有管理员角色需要通过双重验证,尤其是在角色具有来宾用户时。 | |
| 通知 | 如果设置为 true,当符合条件的用户激活角色时,组织中的全局管理员、特权角色管理员和安全管理员会收到电子邮件通知。 |
| 一些组织没有与其管理员帐户绑定的电子邮件地址。 若要获取电子邮件通知,请设置一个备用的电子邮件地址,以便管理员接收这些电子邮件。 | |
| 事件工单 | 激活角色时符合条件的用户需要记录事件工单号。 此设置可帮助组织使用内部事件编号识别每次激活,以减少无效激活的次数。 |
| Microsoft 建议利用事件票证号来将 PIM 绑定到内部系统。 此方法对于需要激活操作上下文的审批者来说非常有用。 | |
| 需要审批 | 符合条件的用户是否需要获取批准才能激活角色。 |
| Microsoft 建议为权限最多的角色设置审批。 根据所有 PIM 客户的使用模式,全局管理员、用户管理员、Exchange 管理员、安全管理员和密码管理员是所需审批的最常见角色。 | |
| 审批者 | 如果符合条件的角色需要执行审批操作来进行激活,请列出批准请求的人员。 默认情况下,PIM 将具有特权角色管理员(无论是永久性管理员还是符合条件的管理员)身份的用户设置为审批者。 |
| 如果用户同时符合 Microsoft Entra 角色和该角色审批者身份的条件,则将无法为自己执行审批。 | |
| Microsoft 建议选择最了解角色及其常见用户的用户而非全局管理员作为审批者。 | |
| 激活持续时间 | 在角色到期之前,用户拥有该角色的有效期。 |
| 永久管理员 | 将成为某个角色的永久管理员的用户的列表(永远不必激活)。 |
| Microsoft 建议所有角色(全局管理员除外)均不设立长期管理员。 | |
| 活动管理员 | 对于 Azure 资源,活动管理员是永远不必激活角色便可使用角色的用户的列表。 此列表不会称为永久管理员,这与 Microsoft Entra 角色中的情况不同,因为你可以设置用户将会失去此角色的到期时间。 |
| 活动期限 | 配置的持续时间结束后,Azure 角色的活动角色分配将会到期。 可选择的期限有 15 天、1 个月、3 个月、6 个月、1 年或永久有效。 |
| 合格期限 | 在此持续时间结束后,Azure 角色符合条件的角色分配将会到期。 可选择的期限有 15 天、1 个月、3 个月、6 个月、1 年或永久符合条件。 |