描述 Privileged Identity Management 的功能
Privileged Identity Management (PIM) 是 Microsoft Entra ID 中的一項服務,可讓您管理、控制和監視組織內重要資源的存取權。 這些包括 Microsoft Entra、Azure 與其他 Microsoft 線上服務 (如 Microsoft 365 或 Microsoft Intune) 中的資源。 PIM 可減少過度、不必要或誤用的存取權限風險。 它需要理由來了解使用者需要權限的原因,並強制執行多重要素驗證以啟用任何角色。
PIM:
- 可在需要時及時提供特殊權限存取,而不是在事前提供。
- 具有時間界限,藉由指派開始和結束日期來指出使用者可以存取資源的時間。
- 以核准為基礎,需要特定核准才能啟用權限。
- 具有可見度,可在特殊權限角色啟用時傳送通知。
- 可稽核,允許下載完整存取歷程記錄。
為何要使用 PIM?
PIM 藉由將可存取安全資訊或資源的人數降到最低,來降低惡意執行者取得存取權的機會。 透過有時間限制的授權使用者,可降低授權使用者不慎影響敏感性資源的風險。 PIM 也會針對使用者使用其系統管理員權限進行的工作,提供監督。
您可以使用 PIM 做什麼?
現在,您可以搭配下項使用 PIM:
Microsoft Entra 角色 – (有時稱為目錄角色),Microsoft Entra 角色包含內建和自訂角色,以管理 Microsoft Entra ID 和其他 Microsoft 365 線上服務。
Azure 角色 – Azure 中角色型存取控制 (RBAC) 角色,授予對管理群組、訂用帳戶、資源群組和資源的存取權限。
群組的 PIM – 在群組中提供 Just-In-Time 成員資格,以及群組的 Just-In-Time 擁有權。 群組功能的 Microsoft Entra Privileged Identity Management可用來控管各種案例的存取權,包括 Microsoft Entra 角色、Azure 角色,以及 Azure SQL、Azure Key Vault、Intune、其他應用程式角色和協力廠商應用程式。
一般工作流程
部署 PIM 時,通常屬於基本工作流程的一些步驟。 這些步驟包括:指派、啟用、核准/拒絕和擴充/更新。
指派 - 指派流程從將角色指派給成員開始。 為了授與資源的存取權,系統管理員會將角色指派給使用者、群組、服務主體或受控身分識別。 指派包含下列資料:
- 成員或擁有者 - 要指派給角色的成員或擁有者。
- 範圍 - 範圍會將指派的角色限制為一組特定的資源。
- 指派類型 - 有兩個選項。 合格指派要求角色的成員執行動作,才能使用角色。 動作可能包含啟用或向指定的核准者要求核准。 有效指派不要求成員執行任何動作亦可使用角色。 指派為使用中的成員會具有指派給角色的權限。
- 期間 - 指派的持續時間是由開始和結束日期所定義,或設定為永久。
啟用 - 如果使用者已符合角色的資格,則必須先啟用角色指派,才能使用角色。 若要啟用角色,使用者需要在期限 (由管理員設定) 內選取具體的啟用持續時間,以及啟用要求的原因。
核准或拒絕 - 當角色要求等待核准時,委派核准者會收到電子郵件通知。 核准者可以在 PIM 中檢視、核准或拒絕這些擱置的要求。 要求核准之後,成員就可以開始使用角色。
延長與更新 – 當角色指派接近到期時,使用者可以使用 PIM 要求角色指派延期。 當角色指派已過期時,使用者可以使用 Privileged Identity Management 要求更新角色指派。
稽核
您可以使用 Privileged Identity Management (PIM) 稽核歷程記錄,以查看過去 30 天內所有特殊權限角色的所有角色指派和啟用。
