共用方式為


規劃 Privileged Identity Management 部署

Privileged Identity Management (PIM) 提供以時間為基礎和以核准為基礎的角色啟用,可降低因重要資源上有過多、不必要或誤用的存取權限而帶來的風險。 這些資源包括 Microsoft Entra ID、Azure 與其他 Microsoft Online Services (例如 Microsoft 365 或 Microsoft Intune) 中的資源。

PIM 可讓您在特定範圍內允許一組特定的動作。 主要功能包括:

  • 對資源提供 Just-In-Time 特殊權限存取

  • 指派群組 PIM 的成員資格或擁有權

  • 使用開始和結束日期指派有時限的資源存取權

  • 需要核准才能啟用特殊權限角色

  • 強制執行多重要素驗證以啟用任何角色

  • 強制執行條件式存取原則以啟用任何角色 (公開預覽)

  • 使用理由來了解使用者啟用的原因

  • 在啟用特殊權限角色時獲得通知

  • 進行存取權檢閱以確保使用者仍然需要角色

  • 下載稽核記錄以供內部或外部稽核

若要充分利用此部署計畫,請務必完整了解 Privileged Identity Management 的內容

了解 PIM

本節中的 PIM 概念可協助您了解貴組織的特殊許可權身分識別需求。

您可以在 PIM 中管理的內容

現在,您可以搭配下項使用 PIM:

  • Microsoft Entra 角色 – 有時稱為目錄角色,Microsoft Entra 角色包含內建角色,以及用來管理 Microsoft Entra ID 和其他 Microsoft 365 在線服務的自定義角色。

  • Azure 角色 – Azure 中角色型存取控制 (RBAC) 角色,授予對管理群組、訂用帳戶、資源群組和資源的存取權限。

  • 群組 PIM – 設定對 Microsoft Entra 安全性群組成員和擁有者角色的 Just-In-Time 存取權。 群組 PIM 不僅為您提供為 Microsoft Entra 角色和 Azure 角色設定 PIM 的替代方法,也可讓您針對如 Intune、Azure Key Vault 和 Azure 資訊保護等 Microsoft 線上服務的其他權限設定 PIM。 如果群組已設定為應用程式佈建,則啟用群組成員資格會觸發群組成員資格的佈建 (如果未佈建則為使用者帳戶) 到應用程式使用系統進行跨網域身分識別管理 (SCIM) 通訊協定。

您可以將下列項目指派給這些角色或群組:

  • 使用者: 取得 Microsoft Entra 角色、Azure 角色和群組 PIM 的 JIT 存取權。

  • 群組: 群組中的任何人都能取得 Microsoft Entra 角色和 Azure 角色 JIT 存取權。 對於 Microsoft Entra 角色,該群組必須是新建立的雲端群組,且該群組在 Azure 角色中標示為可指派給角色,該群組可以是任何 Microsoft Entra 安全群組。 不建議將群組指派/巢狀至群組 PIM。

注意

您無法將服務主體指派為符合 Microsoft Entra 角色、Azure 角色和群組 PIM 的資格,但您可以將有時間限制的作用中指派授與這三個角色。

最低權限原則

您會以執行其工作所需的最低權限來指派使用者角色。 這種做法會將全域管理員的數目降到最低,並改為針對特定案例使用特定的系統管理員角色。

注意

Microsoft 有很少的全域管理員。 若要深入了解,請參閱 Microsoft 如何使用 Privileged Identity Management

指派類型

有兩種類型的指派 - 符合資格作用中。 如果使用者符合角色資格,他們可以在需要執行特殊許可權工作時啟用角色。

您也可以為每個指派類型設定開始和結束時間。 新增功能提供四種可能的指派類型:

  • 永久符合資格

  • 永久作用中

  • 限定時間的符合資格:具有指定指派開始和結束日期

  • 限定時間的作用中:具有指定指派開始和結束日期

如果角色過期,您可以擴充更新這些指派。

建議您針對緊急存取帳戶以外的角色保留零永久作用中指派。

Microsoft 建議組織擁有兩個僅限雲端,並永久指派為全域管理員角色的緊急存取帳戶。 這些帳戶具有高度特殊權限,不會指派給特定個人。 這些帳戶僅限於無法使用一般帳戶,或所有其他系統管理員均意外鎖在系統外的緊急狀況或「緊急安全窗口」情況時。應遵循緊急存取帳戶建議來建立這些帳戶。

規劃專案

當技術專案失敗時,通常是因為對影響、結果和責任不符預期。 若要避免這些錯誤,請務必納入合適的專案關係人,且專案中的專案關係人已充分了解。

規劃試驗

在您部署的每個階段中,請確定您持續評估結果符合預期。 請參閱試驗的最佳做法

  • 從較少的使用者開始 (試驗群組) 並確認 PIM 如預期般運作。

  • 確認您為角色或群組 PIM 設定的所有設定是否正常運作。

  • 只有在經過徹底測試之後,才將其投入至生產環境。

方案通訊

溝通對於任何新服務的成功非常重要。 主動與您的使用者溝通他們的體驗如何改變、何時會改變,以及如何在遇到問題時取得支援。

使用內部 IT 支援設定時間,以逐步引導他們完成 PIM 工作流程。 請提供適當的文件和您的連絡資訊。

規劃測試和復原

注意

針對 Microsoft Entra 角色,組織通常會先測試並推出全域管理員,而針對 Azure 資源,他們通常會一次測試一個 Azure 訂用帳戶的 PIM。

規劃測試

建立測試使用者以驗證 PIM 設定如預期般運作,且避免影響實際使用者以及中斷其應用程式與資源存取的可能性。 建立測試計畫以比較預期的結果和實際結果。

下表顯示範例測試案例:

角色 啟用期間的預期行為 實際結果
全域系統管理員
  • 需要 MFA
  • 需要核准
  • 需要條件式存取內容 (公開預覽)
  • 核准者收到通知並可核准
  • 角色在預設時間之後到期
  • 針對 Microsoft Entra ID 和 Azure 資源角色,請確定您代表將擔任這些角色的使用者。 此外,在分段環境中測試 PIM 時,請考慮下列角色:

    角色 Microsoft Entra 角色 Azure 資源角色 群組 PIM
    群組的成員 x
    角色的成員 x x
    IT 服務擁有者 x x
    訂用帳戶或資源擁有者 x x
    群組 PIM 擁有者 x

    規劃復原

    如果 PIM 無法在生產環境中如預期般運作,您可以將角色指派從符合資格再次變更為作用中。 針對您已設定的每個角色,對所有指派類型為符合資格的使用者選取省略號 ()。 然後,您可以選取 [啟用作用中] 選項返回,並讓角色指派成為作用中

    規劃和實作 Microsoft Entra 角色的 PIM

    請遵循這些工作來準備 PIM 以管理 Microsoft Entra 角色。

    探索並減少特殊權限角色

    列出組織中誰具有特殊權限角色。 檢閱使用者指派、識別不再需要該角色的管理員,然後將他們從指派中移除。

    您可以使用 Microsoft Entra 角色存取檢閱,將探索、檢閱和核准或移除指派自動化。

    判斷要由 PIM 管理的角色

    務必優先保護具有最多權限的 Microsoft Entra 角色。 考量您組織中最敏感的資料與權限也非常重要。

    首先,請確定所有的全域系統管理員和安全性系統管理員角色都是使用 PIM 來管理,因為這些是在遭入侵時可能會造成損害的使用者。 然後,考量更多應該管理可能容易受到攻擊的角色。

    您可以使用「特殊權限」標籤來識別具有可使用 PIM 管了的高權限角色。 特殊權限標籤會出現在 Microsoft Entra ID 系統管理中心的角色和管理員上。 若要深入了解,請參閱 Microsoft Entra 內建角色一文。

    設定 Microsoft Entra 角色的 PIM 設定。

    為貴組織所使用的每個特殊權限 Microsoft Entra 角色,起草並設定您的 PIM 設定

    下表顯示範例設定:

    角色 需要 MFA 設定條件式存取 通知 事件票證 需要核准 核准者 啟用持續時間 Perm 管理員
    全域系統管理員 ✔️ ✔️ ✔️ ✔️ ✔️ 其他全域管理員 1 小時 緊急存取帳戶
    Exchange 系統管理員 ✔️ ✔️ ✔️ 兩小時
    服務台管理員 ✔️ 八小時

    指派並啟用 Microsoft Entra 角色

    對於 PIM 中的 Microsoft Entra 角色,只有具備特殊權限角色管理員或全域管理員角色的使用者可以管理其他管理員的指派。 全域管理員、安全性管理員、全域讀者和安全性讀者也可以檢視 PIM 中的 Microsoft Entra 角色指派。

    請遵循下列連結中的指示:

    1. 提供合格的指派

    2. 允許合格的使用者啟用其 Microsoft Entra 角色 Just-In-Time

    當角色接近到期時,請使用 PIM 來擴充或更新角色。 這兩個使用者起始的動作都需要全域管理員或特殊權限角色管理員的核准。

    當 Microsoft Entra 角色中發生這些重要事件時,PIM 會根據角色、事件和通知設定,將電子郵件通知和每週摘要電子郵件傳送給特殊權限系統管理員。 這些電子郵件還可能包含相關工作的連結,例如啟用或更新角色。

    注意

    您也可以使用適用於 Microsoft Entra 角色的 Microsoft Graph API 來執行這些 PIM 工作。

    核准或拒絕 PIM 啟用要求

    委派的核准者會在要求暫止以待核准時收到電子郵件通知。 請遵循下列步驟來核准或拒絕啟用 Azure 資源角色的要求

    檢視 Microsoft Entra 角色的稽核記錄

    針對 Microsoft Entra 角色過去 30 天內檢視所有角色指派和啟用的稽核記錄。 如果您是全域系統管理員或特殊權限角色系統管理員,就可以存取稽核記錄。

    建議您每週至少一個系統管理員閱讀所有稽核事件,並每月匯出稽核事件。

    Microsoft Entra 角色的安全性警示

    設定Microsoft Entra 角色的安全性警示,以在可疑和不安全的活動時觸發警示。

    規劃和實作 Azure 資源角色的 PIM

    請遵循這些工作來準備 PIM 以管理 Azure 資源角色。

    探索並減少特殊權限角色

    讓附加至每個訂用帳戶或資源的擁有者和使用者存取系統管理員指派減到最少,以及移除不必要的指派。

    身為全域管理員,您可以提升管理所有 Azure 訂用帳戶的存取權。 然後,您可以找到每個訂用帳戶擁有者,一起合作移除其訂用帳戶中不必要的指派。

    使用 Azure 資源的存取檢閱來稽核和移除不必要的角色指派。

    判斷要由 PIM 管理的角色

    在決定應使用 PIM 管理 Azure 資源的哪些角色指派時,您必須先識別對組織最為重要的管理群組、訂用帳戶、資源群組和資源。 請考量使用管理群組來組織其組織內的所有資源。

    建議您使用 PIM 管理所有訂用帳戶擁有者和使用者存取系統管理員角色。

    請與訂用帳戶擁有者合作,記錄每個訂用帳戶所管理的資源,並在遭到入侵時為每個資源的風險層級進行分類。 請根據風險層級來設定使用 PIM 管理資源的優先順序。 這也包含附加至訂用帳戶的自訂資源。

    我們也建議您與重要服務的訂用帳戶或資源擁有者合作,來為敏感訂用帳戶/資源內的所有角色設定 PIM 工作流程。

    對於不重要的訂用帳戶或資源,您不需要為所有角色設定 PIM。 不過,您還是應該以 PIM 保護擁有者和使用者存取管理員角色。

    設定 Azure 資源角色的 PIM 設定

    為您計劃使用 PIM 保護的 Azure 資源角色起草和配置設定

    下表顯示範例設定:

    角色 需要 MFA 通知 設定條件式存取 需要核准 核准者 啟用持續時間 作用中管理員 作用中到期 資格到期
    重要訂用帳戶的擁有者 ✔️ ✔️ ✔️ ✔️ 訂用帳戶的其他擁有者 1 小時 n/a 三個月
    較不重要訂用帳戶的使用者存取管理員 ✔️ ✔️ ✔️ 1 小時 n/a 三個月

    指派及啟用 Azure 資源角色

    針對 PIM 中的 Azure 資源角色,只有擁有者或使用者存取系統管理員可以管理其他系統管理員的指派。 特權角色管理員、安全性系統管理員或安全性讀取者預設無法檢視 Azure 資源角色的指派。

    請遵循下列連結中的指示:

    1.提供合格的指派

    2.允許合格的使用者及時啟動 Azure 角色

    當特殊權限角色指派接近其到期日時,請 使用 PIM 來延長或更新角色。 使用者起始的動作都需要資源擁有者或使用者存取系統管理員的核准。

    當這些重要事件發生在 Azure 資源角色時,PIM 會將 電子郵件通知傳送給擁有者和使用者存取系統管理員。 這些電子郵件還可能包含相關工作的連結,例如啟用或更新角色。

    核准或拒絕 PIM 啟用要求

    核准或拒絕 Microsoft Entra 角色的啟用要求- 委派核准者會在要求等待核准時收到電子郵件通知。

    檢視 Azure 資源角色的稽核記錄

    針對 Azure 資源角色,查看過去 30 天內所有角色指派和啟用的稽核歷程記錄。

    Azure 資源角色的安全性警示

    設定 Azure 資源角色的安全性警示,以在發生任何可疑和不安全的活動時觸發警示。

    針對群組的 PIM 規劃和實作 PIM

    請遵循這些工作來準備 PIM 以管理群組的 PIM。

    探索群組的 PIM

    一個人或許會有五或六個合格的指派透過 PIM 指派至 Microsoft Entra 角色。 他們必須個別啟用每個角色,這可能降低生產力。 更糟的是,他們也可能獲得數十或數百個 Azure 資源指派,使得問題更加惡化。

    在此情況下,您應該使用群組 PIM。 建立群組的 PIM,並授與它多個角色的永久作用中存取權。 請參閱 Privileged Identity Management (PIM) (預覽)

    若要將 Microsoft Entra 角色可指派的群組當作群組的 PIM 來管理,您必須將它帶入 PIM 中加以管理

    設定群組 PIM 的 PIM 設定

    草稿並設定您計劃使用 PIM 保護之群組的 PIM 設定

    下表顯示範例設定:

    角色 需要 MFA 通知 設定條件式存取 需要核准 核准者 啟用持續時間 作用中管理員 作用中到期 資格到期
    擁有者 ✔️ ✔️ ✔️ ✔️ 資源的其他擁有者 1 小時 n/a 三個月
    member ✔️ ✔️ ✔️ 5 小時 n/a 三個月

    指派群組 PIM 的資格

    您可以 將資格指派給群組之 PIM 的成員或擁有者。 只需啟用一次,他們就能存取所有連結的資源。

    注意

    您可以將群組指派給一或多個 Microsoft Entra ID 和 Azure 資源角色,就像將角色指派給使用者一樣。 最多可以在單一 Microsoft Entra 組織中建立 500 個可指派角色的群組 (租用戶)。

    圖表顯示指派群組 PIM 資格。

    當群組指派接近到期時,請使用 PIM 來擴充或更新群組指派。 此作業需要群組擁有者核准。

    核准或拒絕 PIM 啟用要求

    設定群組 PIM 的成員和擁有者以要求核准啟用,並從您的 Microsoft Entra 組織選擇使用者或群組作為委派的核准者。 我們建議您為每個群組選取兩個或多個核准者,以降低特殊權限角色系統管理員的工作負載。

    核准或拒絕群組 PIM 的角色啟用要求。 當要求等候核准時,委派的核准者會收到電子郵件通知。

    檢視群組 PIM 的稽核記錄

    針對群組 PIM 過去 30 天內檢視所有指派和啟用的稽核記錄

    下一步