Co je Microsoft Entra Privileged Identity Management?

  • Článek

Privileged Identity Management (PIM) je služba v Microsoft Entra ID, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci. Mezi tyto prostředky patří prostředky v Microsoft Entra ID, Azure a dalších online službách Microsoftu, jako je Microsoft 365 nebo Microsoft Intune. Následující video vysvětluje důležité koncepty a funkce PIM.

Důvody použití

Organizace chtějí minimalizovat počet lidí, kteří mají přístup k zabezpečeným informacím nebo prostředkům, protože tím se snižuje pravděpodobnost, že

  • Objekt actor se zlými úmysly, který získá přístup
  • autorizovaný uživatel neúmyslně ovlivňuje citlivý prostředek.

Uživatelé ale stále potřebují provádět privilegované operace v aplikacích Microsoft Entra ID, Azure, Microsoft 365 nebo SaaS. Organizace můžou uživatelům poskytnout privilegovaný přístup za běhu k prostředkům Azure a Microsoft Entra a můžou dohlížet na to, co tito uživatelé dělají s jejich privilegovaným přístupem.

Požadavky na licenci

Použití Privileged Identity Management vyžaduje licence. Další informace o licencování naleznete v tématu Základy licencování zásad správného řízení pro Id Microsoftu .

Co dělá?

Privileged Identity Management poskytuje aktivaci rolí na základě času a schválení, aby se snížila rizika nadměrných, nepotřebných nebo zneužití přístupových oprávnění k prostředkům, o které vám záleží. Tady jsou některé klíčové funkce Privileged Identity Management:

  • Poskytnutí privilegovaného přístupu za běhu k prostředkům Microsoft Entra ID a Azure
  • Přiřazení časového přístupu k prostředkům pomocí počátečního a koncového data
  • Vyžadování schválení pro aktivaci privilegovaných rolí
  • Vynucení vícefaktorového ověřování pro aktivaci jakékoli role
  • Vysvětlení , proč se uživatelé aktivují, použijte odůvodnění .
  • Získání oznámení při aktivaci privilegovaných rolí
  • Proveďte kontroly přístupu, abyste zajistili, že uživatelé stále potřebují role.
  • Stažení historie auditu pro interní nebo externí audit
  • Zabrání odebrání poslední aktivní globální Správa istratoru a přiřazení privilegovaných rolí Správa istratoru.

Co s tím můžu dělat?

Po nastavení Privileged Identity Management se v levé navigační nabídce zobrazí možnosti Úlohy, Správa a Aktivita . Jako správce si můžete vybrat mezi možnostmi, jako je správa rolí Microsoft Entra, správa rolí prostředků Azure nebo PIM pro skupiny. Když zvolíte, co chcete spravovat, zobrazí se příslušná sada možností pro tuto možnost.

Snímek obrazovky služby Privileged Identity Management na webu Azure Portal

Kdo může co dělat?

Pro role Microsoft Entra v Privileged Identity Management může spravovat přiřazení pro jiné správce pouze uživatel, který je v privilegované roli Správa istrator nebo globální Správa istrator. Globální Správa istrátory, Správa istrátory zabezpečení, globální čtenáři a čtenáři zabezpečení můžou také zobrazit přiřazení k rolím Microsoft Entra v Privileged Identity Management.

V případě rolí prostředků Azure ve službě Privileged Identity Management může přiřazení pro jiné správce spravovat jenom správce předplatného, vlastník prostředku nebo správce uživatelských přístupů. Uživatelé, kteří jsou privilegovanými rolemi Správa istrátory, zabezpečení Správa istrátory nebo čtenáři zabezpečení, nemají ve výchozím nastavení přístup k zobrazení přiřazení k rolím prostředků Azure v Privileged Identity Management.

Terminologie

Abyste lépe pochopili Privileged Identity Management a její dokumentaci, měli byste si projít následující podmínky.

Termín nebo koncept Kategorie přiřazení role Popis
Způsobilé Typ Přiřazení role, které vyžaduje, aby uživatel provedl jednu nebo více akcí pro použití této role. Pokud má uživatel nárok na roli, znamená to, že může aktivovat roli, když potřebuje provádět privilegované úlohy. Přístup udělený někomu s trvalým a oprávněným přiřazením role se nijak neliší. Jediným rozdílem je, že někteří lidé nepotřebují přístup po celou dobu.
active Typ Přiřazení role, které nevyžaduje, aby uživatel k použití role provedl žádnou akci. Uživatelé přiřazení jako aktivní mají přiřazená oprávnění k roli.
aktivovat Proces provádění jedné nebo více akcí pro použití role, pro kterou má uživatel nárok. Akce můžou zahrnovat provedení kontroly vícefaktorového ověřování (MFA), poskytnutí obchodního odůvodnění nebo vyžádání schválení od určených schvalovatelů.
Přiřazen Stav Uživatel, který má aktivní přiřazení role.
Aktivován Stav Uživatel s oprávněným přiřazením role, provedl akce k aktivaci role a je teď aktivní. Po aktivaci může uživatel roli použít pro předkonfigurované časové období předtím, než se bude muset znovu aktivovat.
trvalé nároky Doba trvání Přiřazení role, ve kterém má uživatel vždy nárok na aktivaci role.
trvalé aktivní Doba trvání Přiřazení role, ve kterém může uživatel vždy používat roli bez provedení jakýchkoli akcí.
nárok na časovou vazbu Doba trvání Přiřazení role, ve kterém má uživatel nárok na aktivaci role pouze v počátečním a koncovém datu.
Aktivní vázaná na čas Doba trvání Přiřazení role, ve kterém může uživatel tuto roli používat pouze v počátečním a koncovém datu.
Přístup za běhu (JIT) Model, ve kterém uživatelé obdrží dočasná oprávnění k provádění privilegovaných úloh, což brání škodlivým nebo neoprávněným uživatelům získat přístup po vypršení platnosti oprávnění. Přístup se uděluje jenom v případě, že ho uživatelé potřebují.
princip přístupu s nejnižšími oprávněními Doporučený postup zabezpečení, ve kterém je každý uživatel poskytován pouze s minimálními oprávněními potřebnými k provádění úloh, které mají oprávnění k provedení. Tento postup minimalizuje počet globálních Správa istrátorů a místo toho pro určité scénáře používá konkrétní role správce.

Přehled přiřazení rolí

Přiřazení rolí PIM poskytují bezpečný způsob, jak udělit přístup k prostředkům ve vaší organizaci. Tato část popisuje proces přiřazení. Zahrnuje přiřazování rolí členům, aktivaci přiřazení, schvalování nebo zamítnutí žádostí, prodloužení a prodloužení přiřazení.

PIM vás informuje odesláním e-mailových oznámení ostatním účastníkům. Tyto e-maily můžou obsahovat také odkazy na relevantní úkoly, jako je aktivace, schválení nebo zamítnutí žádosti.

Následující snímek obrazovky ukazuje e-mailovou zprávu poslanou PIM. E-mail informuje Patti, že Alex aktualizoval přiřazení role pro Emily.

Snímek obrazovky ukazuje e-mailovou zprávu odeslanou službou Privileged Identity Management.

Přiřadit

Proces přiřazení začíná přiřazením rolí členům. Aby správce udělil přístup k prostředku, přiřadí role uživatelům, skupinám, instančním objektům nebo spravovaným identitám. Přiřazení obsahuje následující data:

  • Členové nebo vlastníci, kteří mají roli přiřadit.
  • Rozsah přiřazení. Obor omezuje přiřazenou roli na konkrétní sadu prostředků.
  • Typ přiřazení
    • Způsobilá přiřazení vyžadují, aby člen role provedl akci, která má roli použít. Akce můžou zahrnovat aktivaci nebo žádost o schválení od určených schvalovatelů.
    • Aktivní přiřazení nevyžadují, aby člen provedl žádnou akci pro použití této role. Členové přiřazení jako aktivní mají přiřazená oprávnění k roli.
  • Doba trvání přiřazení s použitím počátečního a koncového data nebo trvalého termínu. U oprávněných přiřazení můžou členové aktivovat nebo požádat o schválení během počátečního a koncového data. Pro aktivní přiřazení můžou členové během tohoto časového období použít roli přiřazení.

Následující snímek obrazovky ukazuje, jak správce přiřadí roli členům.

Snímek obrazovky s přiřazením role Privileged Identity Management

Další informace najdete v následujících článcích: Přiřazení rolí Microsoft Entra, přiřazení rolí prostředků Azure a přiřazení způsobilosti pro PIM pro skupiny

Aktivovat

Pokud mají uživatelé nárok na roli, musí před použitím role aktivovat přiřazení role. Pokud chcete aktivovat roli, uživatelé vyberou konkrétní dobu aktivace v maximálním počtu (nakonfigurovaných správci) a důvod žádosti o aktivaci.

Následující snímek obrazovky ukazuje, jak členové aktivují svou roli na omezenou dobu.

Snímek obrazovky s aktivací role Privileged Identity Management

Pokud role vyžaduje schválení k aktivaci, zobrazí se v pravém horním rohu prohlížeče uživatele oznámení, že žádost čeká na schválení. Pokud schválení není povinné, člen může tuto roli začít používat.

Další informace najdete v následujících článcích: Aktivace rolí Microsoft Entra, Aktivace rolí prostředků Azure a Aktivace PIM pro role skupin

Schválit nebo odepřít

Delegovaní schvalovatelé dostanou e-mailová oznámení, když žádost o roli čeká na schválení. Schvalovatelé můžou tyto nevyřízené žádosti v PIM zobrazit, schválit nebo zamítnout. Po schválení žádosti může člen tuto roli začít používat. Pokud byl například uživateli nebo skupině přiřazena role Příspěvek ke skupině prostředků, může danou konkrétní skupinu prostředků spravovat.

Další informace najdete v následujících článcích: Schválení nebo zamítnutí žádostí o role Microsoft Entra, schválení nebo zamítnutí žádostí o prostředky Azure a schválení žádostí o aktivaci pro PIM pro skupiny

Prodloužení a prodloužení platnosti přiřazení

Když správci nastaví přiřazení vlastníka nebo člena s časovým limitem, je první otázka, kterou můžete položit, co se stane, když vyprší platnost přiřazení? V této nové verzi poskytujeme dvě možnosti pro tento scénář:

  • Extend – Když se přiřazení role blíží vypršení platnosti, může uživatel použít Privileged Identity Management k vyžádání rozšíření pro přiřazení role.
  • Prodloužení – Pokud už vypršela platnost přiřazení role, může uživatel požádat o prodloužení přiřazení role pomocí Privileged Identity Management.

Obě akce iniciované uživatelem vyžadují schválení globálního Správa istratoru nebo privilegované role Správa istrator. Správa nemusí být ve firmě správy vypršení platnosti přiřazení. Můžete jenom počkat, až žádost o prodloužení nebo žádost o prodloužení přijde, aby bylo možné provést jednoduché schválení nebo odepření.

Další informace najdete v následujících článcích: Prodloužení nebo prodloužení přiřazení rolí Microsoft Entra, rozšíření nebo prodloužení přiřazení rolí prostředků Azure a rozšíření nebo prodloužení platnosti PIM pro přiřazení skupin

Scénáře

Privileged Identity Management podporuje následující scénáře:

Oprávnění privilegované role Správa istrator

  • Povolit schvalování pro konkrétní role
  • Určení uživatelů nebo skupin schvalovatele ke schválení žádostí
  • Zobrazit historii žádostí a schválení pro všechny privilegované role

Oprávnění schvalovatele

  • Zobrazit žádosti čekající na schválení
  • Schválení nebo odmítnutí žádostí o zvýšení oprávnění role (jednoduché a hromadné)
  • Uveďte odůvodnění schválení nebo zamítnutí.

Oprávnění uživatele oprávněné role

  • Požádat o aktivaci role, která vyžaduje schválení
  • Zobrazit stav vaší žádosti o aktivaci
  • Dokončení úkolu v MICROSOFT Entra ID, pokud byla aktivace schválena

Rozhraní Microsoft Graph API

Privileged Identity Management můžete programově používat prostřednictvím následujících rozhraní Microsoft Graph API:

Další kroky