为管理用户定义特权访问策略
什么是 Privileged Identity management (PIM)?
PIM 是Microsoft Entra ID 中的服务,用于管理对特权资源的访问。 PIM 使你能够管理、控制和监视对组织中重要资源的访问。 此类资源包括 Microsoft Entra ID、Azure 和其他 Microsoft Online Services(如 Microsoft 365 或 Microsoft Intune)中的资源。
PIM 的作用是什么?
PIM 提供基于时间的和基于审批的角色激活来访问资源。 这有助于缓解对所关注资源的过度、不必要的或滥用访问权限的风险。 PIM 的主要功能包括:
- 提供对 Microsoft Entra ID 和 Azure 资源的实时特权访问权限
- 使用开始日期和结束日期为资源分配时间限制访问权限
- 需要批准才能激活特权角色
- 强制实施 Azure 多重身份验证以激活任何角色
- 使用理由了解用户激活的原因
- 激活特权角色时获取通知
- 进行访问审核以确保用户仍需要角色
- 下载内部或外部审核的审核历史记录
在组织中部署 PIM 之前,请按照说明并了解本部分中的概念。 这将帮助你创建一个根据组织的特权标识要求定制的计划。
注意
PIM 需要高级 P2 许可证。
确定利益干系人
以下部分可帮助你确定参与项目的所有利益干系人。 你将了解需要批准、审阅或保持知情的人员。 它包括用于 Microsoft Entra 角色的 PIM 部署的单独表格,以及用于 Azure 角色的 PIM 部署的单独表格。 根据您组织的需要,将利益干系人添加到下列表格中。
SO = 对此项目进行审批
R = 查看此项目并提供输入
我已知悉这个项目
利益干系人:Microsoft Entra 角色的特权身份管理
| 名称 | 角色 | 行动 |
|---|---|---|
| 名称和电子邮件 | 标识架构师或 Azure 全局管理员 - 标识管理团队的代表,负责定义如何将此更改与组织中的核心标识管理基础结构保持一致。 | SO/R/I |
| 名称和电子邮件 | 服务所有者或 Line manager - 服务或一组服务的 IT 所有者的代表。 他们是制定决策和帮助为团队推出 PIM 的关键。 | SO/R/I |
| 名称和电子邮件 | 安全所有者 - 安全团队的代表,可以批准该计划满足组织的安全要求。 | SO/R |
| 名称和电子邮件 | IT 支持经理/支持人员 - IT 支持组织的代表,可以从支持人员的角度提供有关此更改可支持性的反馈。 | R/I |
| 试点用户的名称和电子邮件 | 特权角色用户 - 实现特权标识管理的用户组。 实施 PIM 后,他们需要知道如何激活其角色。 | 我 |
相关方:Azure 角色的特权身份管理
| 名称 | 角色 | 操作 |
|---|---|---|
| 名称和电子邮件 | 订阅/资源所有者 - 要为其部署 PIM 的每个订阅或资源的 IT 所有者的代表。 | SO/R/I |
| 名称和电子邮件 | 安全所有者 - 安全团队的代表,可以批准该计划满足组织的安全要求。 | SO/R |
| 名称和电子邮件 | IT 支持经理/支持人员 - IT 支持组织的代表,可以从支持人员的角度提供有关此更改可支持性的反馈。 | R/I |
| 试点用户的名称和电子邮件 | Azure 角色用户 - 实现特权标识管理的用户组。 实施 PIM 后,他们需要知道如何激活其角色。 | 我 |
开始使用 Privileged Identity Management
作为规划过程的一部分,请按照我们的文章“开始使用特权身份管理”准备 PIM。 PIM 允许你访问一些旨在帮助部署的功能。
如果你的目标是为 Azure 资源部署 PIM,请参阅我们的文章“发现 Azure 资源以在特权身份管理中进行管理”。 只有订阅和管理组的所有者才能使这些资源由 PIM 管理。 管理后,PIM 功能可供所有级别的所有者使用,包括管理组、订阅、资源组和资源。 如果你是尝试为 Azure 资源部署 PIM 的全局管理员,则可以提升访问权限以管理所有 Azure 订阅,以授予你对目录中所有 Azure 资源的访问权限以供发现。 但是,我们建议在使用 PIM 管理其资源之前,获得每个订阅所有者的批准。
强制实施最低特权原则
请务必确保已针对 Microsoft Entra D 和 Azure 角色强制实施组织中最低特权原则。
计划最小特权委派
对于Microsoft Entra 角色,当大多数管理员只需要一两个特定且不太强大的管理员角色时,组织通常会将全局管理员角色分配给许多管理员。 拥有大量全局管理员或其他高特权角色时,很难密切跟踪特权角色分配。
按照以下步骤为 Microsoft Entra 角色实现最低特权原则。
通过阅读和了解可用的 Microsoft Entra 管理员角色,深入理解角色的详细分工。 你和你的团队还应该根据 Microsoft Entra ID 中的标识任务来参考管理员角色,该任务解释了用于特定任务的最低特权角色。
列出组织中具有特权角色的人员。 可以使用 PIM 发现和见解(预览版)减少曝光。
对于组织中的所有全局管理员,请了解他们需要该角色的原因。 然后从全局管理员角色中删除它们,并在 Microsoft Entra ID 中分配具有较低权限的内置角色或自定义角色。 FYI,Microsoft目前只有大约 10 名具有全局管理员角色的管理员。
对于所有其他Microsoft Entra 角色,请查看分配列表,识别不再需要该角色的管理员,并从其分配中删除这些角色。
若要自动执行最后两个步骤,可以在 PIM 中使用访问评审。 按照“在 Privileged Identity Management 中为Microsoft Entra 角色启动访问评审”中的步骤,可以为具有一个或多个成员的每个Microsoft Entra ID 角色设置访问评审。
将审阅者设置为 成员(自身)。 角色中的所有用户将收到一封电子邮件,要求他们确认他们需要访问权限。 此外,请在高级设置中启用 审批时需提供理由,以便用户必须说明他们需要该角色的原因。 根据此信息,你可以从不必要的角色中删除用户,或将其委托给更精细的管理员角色。
访问评审依赖于电子邮件来通知用户评审他们对角色的访问权限。 如果你的特权帐户未链接电子邮件,请确保在这些帐户上填充辅助电子邮件字段。
规划 Azure 资源角色委派
对于 Azure 订阅和资源,可以设置类似的访问评审过程,以查看每个订阅或资源中的角色。 此过程的目标是最大程度地减少附加到每个订阅或资源的所有者和用户访问管理员分配,并删除不必要的分配。 但是,组织通常会将此类任务委托给每个订阅或资源的所有者,因为他们更好地了解特定角色(尤其是自定义角色)。
如果处于尝试为组织中的 Azure 角色部署 PIM 的全局管理员角色,则可以提升访问权限以管理所有 Azure 订阅,以获取对每个订阅的访问权限。 然后,可以找到每个订阅所有者并与其协作以删除不必要的分配,并最大程度地减少所有者角色分配。
具有 Azure 订阅的“所有者”角色的用户还可以使用 Azure 资源的访问评审来审核和删除不必要的角色分配,这与前面针对 Microsoft Entra 角色所述的过程类似。
确定哪些角色分配应受 Privileged Identity Management 保护
清理组织中的特权角色分配后,需要确定要使用 PIM 保护哪些角色。
如果某个角色受 PIM 保护,则分配给该角色的合格用户必须提升权限才能使用该角色授予的权限。 提升过程可能包括使用 Azure 多重身份验证获取批准,并提供激活原因。 PIM 还可以通过通知和 Microsoft Entra 审核事件日志跟踪权限提升。
选择使用 PIM 进行保护的角色可能很困难,并且对于每个组织来说将有所不同。 本部分提供了 Microsoft Entra 角色和 Azure 角色的最佳实践。
Microsoft Entra 角色
请务必优先保护具有最大权限的 Microsoft Entra 角色。 根据所有 PIM 客户的使用模式,PIM 托管的前 10 个Microsoft Entra 角色包括:
全局管理员
安全管理员
用户管理员
Exchange 管理员
SharePoint 管理员
Intune 管理员
安全读取器
服务管理员
计费管理员
Skype for Business 管理员
提示
Microsoft建议使用 PIM 管理所有全局管理员和安全管理员作为第一步,因为它们是在遭到入侵时可能会造成最大伤害的用户。
请务必考虑组织最敏感的数据和权限。 例如,某些组织希望使用 PIM 保护其 Power BI 管理员角色或 Teams 管理员角色,因为它们可以访问数据和更改核心工作流。
如果有分配了来宾用户的角色,则这些角色容易受到攻击。
提示
Microsoft建议使用 PIM 管理来宾用户的所有角色,以减少与已泄露的来宾用户帐户相关的风险。
读取者角色(如目录读取者、消息中心读取者和安全读取者)有时被视为比其他角色不太重要,因为它们没有写入权限。 但是,我们有一些客户也保护这些角色,因为有权访问这些帐户的攻击者可能能够读取敏感数据,包括个人数据。 在决定是否希望组织中的读者角色使用 PIM 进行管理时,请考虑到此风险。
Azure 角色
在确定应对 Azure 资源使用 PIM 管理哪些角色分配时,必须先确定对组织至关重要的订阅/资源。 此类订阅/资源的示例包括:
- 托管最敏感数据的资源。
- 面向客户的核心应用程序所依赖的资源。
如果你是全局管理员,在确定哪些订阅和资源最重要的方面遇到问题,则应联系组织中的订阅所有者收集每个订阅管理的资源列表。 然后,请与订阅所有者协作,根据严重性级别对资源进行分组,以防它们遭到入侵(低、中、高)。 根据此严重性级别确定使用 PIM 管理资源的优先级。
提示
Microsoft建议与关键服务的订阅/资源所有者合作,为敏感订阅/资源中的所有角色设置 PIM 工作流。
Azure 资源的 PIM 支持有时限的服务帐户。 你应该像对待常规用户帐户一样对待服务帐户。
对于非关键订阅/资源,无需为所有角色设置 PIM。 但是,你仍应使用 PIM 保护所有者和用户访问管理员角色。
提示
Microsoft建议使用 PIM 管理所有订阅/资源的所有者角色和用户访问管理员角色。
决定是否使用小组来分配角色
是否向组分配角色而不是向单个用户分配角色是一项战略决策。 规划时,请考虑在以下情况下将某个角色指派给一个组,以便由该组管理角色分配:
- 许多用户被分配到角色。
- 你想要把角色分配委托给别人。
许多用户被分配到一个角色中
手动跟踪分配给角色的人员,并根据他们的需求时机来管理这些分配。 若要将组分配到角色,请先创建可分配角色的组,然后将该组分配为符合角色条件。 此操作将使组中的每个人接受与有资格提升到角色的单个用户相同的激活过程。 每个组成员使用 PIM 激活请求和审批过程,分别激活分配给他们的组任务。 该组未启用,只有用户的组成员身份有效。
你想委托他人来分配这个角色
组所有者可以管理组的成员。 对于Microsoft Entra ID 可分配角色的组,只有特权角色管理员、全局管理员和组所有者才能管理组成员身份。 当管理员向组中添加新成员时,无论分配是符合条件的还是激活中的,该成员都可以访问分配给该组的角色。 使用组所有者来委托分配角色下的组成员管理,以减少所需特权的范围。
提示
Microsoft 建议将 Microsoft Entra ID 可分配角色的组交由 PIM 管理。 在 PIM 的管理下,角色可分配组被称为特权访问组。 使用 PIM 来要求组所有者在他们能管理组成员之前,必须先激活他们的所有者角色分配。
确定哪些角色分配应为永久或符合条件
确定要由 PIM 管理的角色列表后,必须确定哪些用户应获得符合条件的角色,而不是永久处于活动状态的角色。 永久活动角色是通过 Microsoft Entra ID 和 Azure 资源分配的正常角色,而符合条件的角色只能在 PIM 中分配。
Microsoft建议为Microsoft Entra角色和Azure角色分配零个永久活动角色,除了建议保留的两个断玻璃紧急访问帐户,这些帐户应具有永久的全局管理员角色。
尽管我们建议零位管理员,但组织有时很难立即实现这一目标。 做出此决定时要考虑的事项包括:
提升频率 – 如果用户只需要一次特权分配,则他们不应具有永久分配。 另一方面,如果用户需要某个角色来完成其日常工作,而使用 PIM 会极大降低他们的工作效率,则可以考虑赋予他们永久角色。
特定于组织的情况 – 如果被赋予合格角色的人来自一个遥远的团队或是高管,以至于沟通和执行提升过程变得困难,那么可以考虑让其担任永久角色。
提示
Microsoft建议为具有永久角色分配的用户设置定期访问评审。
起草特权身份管理设置
在实现 PIM 解决方案之前,最好为组织使用的每个特权角色起草 PIM 设置。 本部分提供了特定角色的 PIM 设置的一些示例;它们仅供参考,对于组织来说可能有所不同。 每个设置都在表格后详细介绍,并附有Microsoft的建议。
Microsoft Entra 角色的特权身份管理设置
| 设置 | 全局管理员 | Exchange 管理员 | 支持人员管理员 |
|---|---|---|---|
| 需要 MFA;双重验证 | 是的 | 是的 | 不 |
| 通知 | 是的 | 是的 | 不 |
| 事件票证 | 是的 | 不 | 是的 |
| 需要审批 | 是的 | 不 | 不 |
| 审批者 | 其他全局管理员 | 没有 | 没有 |
| 激活持续时间 | 1 小时 | 2 小时 | 8 小时 |
| 永久管理员 | 紧急访问帐户 | 没有 | 没有 |
Azure 角色的特权身份管理设置
| 设置 | 关键订阅的所有者 | 不太关键订阅的用户访问管理员 | 虚拟机贡献者 |
|---|---|---|---|
| 需要 MFA;双重验证 | 是的 | 是的 | 不 |
| 通知 | 是的 | 是的 | 是的 |
| 需要审批 | 是的 | 不 | 不 |
| 审批者 | 订阅的其他所有者 | 没有 | 没有 |
| 激活持续时间 | 1 小时 | 1 小时 | 3 小时 |
| 活跃管理员 | 没有 | 没有 | 没有 |
| 活动过期时间 | n/a | n/a | n/a |
下表描述了每个设置。
| 设置 | 说明 |
|---|---|
| 角色 | 要为其定义设置的角色的名称。 |
| 需要 MFA;双重验证 | 符合条件的用户是否需要执行 MFA;激活角色之前进行双重验证。 |
| Microsoft建议对所有管理员角色实施 MFA 和双重验证,尤其是在这些角色有来宾用户时。 | |
| 通知 | 如果设置为 true,则当符合条件的用户激活角色时,组织中的全局管理员、特权角色管理员和安全管理员将收到电子邮件通知。 |
| 某些组织没有与其管理员帐户关联的电子邮件地址。 若要获取这些电子邮件通知,请设置备用电子邮件地址,以便管理员会收到这些电子邮件。 | |
| 事件票证 | 符合条件的用户在激活其角色时是否需要记录事件票证编号。 此设置可帮助组织使用内部事件编号标识每个激活,以缓解不需要的激活。 |
| Microsoft建议 利用事件票证号码将 PIM 集成到内部系统中。 此方法对于需要了解激活背景的审批者非常有用。 | |
| 需要审批 | 符合条件的用户是否需要获得批准才能激活角色。 |
| Microsoft建议为具有最多权限的角色设置审批流程。 根据所有 PIM 客户的使用模式,全局管理员、用户管理员、Exchange 管理员、安全管理员和密码管理员是最常见的角色,需要审批。 | |
| 审批者 | 如果需要审批才能激活符合条件的角色,请列出应批准请求的人员。 默认情况下,PIM 将审批者设置为所有具有特权角色管理员的用户,无论他们是永久的还是符合条件的。 |
| 如果用户既有资格获得 Microsoft Entra 角色并且是这个角色的审批者,他们将无法批准自身。 | |
| Microsoft建议 你选择那些对该角色及其频繁用户最了解的用户作为审批者,而不是全局管理员。 | |
| 激活持续时间 | 用户将在角色中启用直至过期的时间长度。 |
| 永久管理员 | 将成为该角色的永久管理员的用户列表(永远不必激活)。 |
| Microsoft建议 除全局管理员之外,其他所有角色不应有常驻管理员。 | |
| 活跃管理员 | 对于 Azure 资源,常驻管理员是无需激活即可使用角色的用户列表。 此列表不像 Microsoft Entra 角色中那样称为永久管理员,因为您可以设置用户失去此角色的过期时间。 |
| 活动过期时间 | Azure 角色的主动角色分配将在配置的时限后过期。 可以选择 15 天、1 个月、3 个月、6 个月、1 年或永久活动。 |
| 符合条件的过期时间 | 在此持续时间后,Azure 的合格角色分配将过期。 可以选择 15 天、1 个月、3 个月、6 个月、1 年或永久资格。 |