Privileged Identity Management (PIM) csoportokhoz
A Microsoft Entra ID lehetővé teszi, hogy a felhasználók igény szerinti tagságot és csoportok tulajdonjogát biztosíthassa a csoportok számára a Privileged Identity Management (PIM) használatával. A csoportok különböző forgatókönyvekhez való hozzáférés szabályozására használhatók, beleértve a Microsoft Entra-szerepköröket, az Azure-szerepköröket, az Azure SQL-et, az Azure Key Vaultot, az Intune-t, az egyéb alkalmazásszerepköröket és a külső alkalmazásokat.
Mi az a PIM a csoportokhoz?
A csoportokhoz készült PIM a Microsoft Entra Privileged Identity Management része – a Microsoft Entra-szerepkörökhöz készült PIM és az Azure-erőforrásokhoz készült PIM mellett a csoportokhoz készült PIM lehetővé teszi a felhasználók számára, hogy aktiválják a Microsoft Entra biztonsági csoport vagy a Microsoft 365-csoport tulajdonjogát vagy tagságát. A csoportok különböző forgatókönyvekhez való hozzáférés szabályozására használhatók, például Microsoft Entra-szerepkörökhöz, Azure-szerepkörökhöz, Azure SQL-hez, Azure Key Vaulthoz, Intune-hoz, más alkalmazásszerepkörökhöz és külső alkalmazásokhoz.
A CSOPORTOKHOZ KÉSZÜLT PIM-hez hasonló szabályzatokat használhat a PIM-ben a Microsoft Entra-szerepkörökhöz és az Azure-erőforrásokHOZ készült PIM-hez: jóváhagyást kérhet a tagsághoz vagy a tulajdonjog aktiválásához, kényszerítheti a többtényezős hitelesítést (MFA), indoklást igényelhet, korlátozhatja a maximális aktiválási időt stb. A PIM for Groups minden csoportjának két szabályzata van: az egyik a tagság aktiválására, a másik a csoport tulajdonjogának aktiválására. 2023 januárjáig a PIM for Groups funkció neve "Privileged Access Groups" volt.
Feljegyzés
A Microsoft Entra-szerepkörökbe való emeléshez használt csoportok esetében javasoljuk, hogy a jogosult tag-hozzárendelésekhez jóváhagyási folyamatot igényeljön. A jóváhagyás nélkül aktiválható hozzárendelések sebezhetővé tehetik a kevésbé jogosultsággal rendelkező rendszergazdák biztonsági kockázatait. A segélyszolgálat Rendszergazda istrator például jogosult felhasználó jelszavának alaphelyzetbe állítására.
Mik azok a Microsoft Entra szerepkörhöz rendelhető csoportok?
A Microsoft Entra ID használatakor Microsoft Entra biztonsági csoportot vagy Microsoft 365-csoportot rendelhet egy Microsoft Entra-szerepkörhöz. Ez csak szerepkör-hozzárendelhetőként létrehozott csoportok esetén lehetséges.
A Microsoft Entra szerepkör-hozzárendelhető csoportjaival kapcsolatos további információkért lásd : Szerepkör-hozzárendelhető csoport létrehozása a Microsoft Entra-azonosítóban.
A szerepkör-hozzárendelhető csoportok további védelmet élveznek a nem szerepkörhöz hozzárendelhető csoportokkal összehasonlítva:
- Szerepkörhöz hozzárendelhető csoportok – a csoportot csak a Globális Rendszergazda istrator, a Privileged Role Rendszergazda istrator vagy a csoporttulajdonos kezelheti. Emellett más felhasználók nem módosíthatják a csoport (aktív) tagjainak hitelesítő adatait. Ez a funkció segít megakadályozni, hogy a rendszergazda a kérési és jóváhagyási eljárás nélkül emeljen magasabb jogosultsági szintű szerepkörre.
- Nem szerepkörhöz hozzárendelhető csoportok – különböző Microsoft Entra-szerepkörök kezelhetik ezeket a csoportokat – beleértve az Exchange Rendszergazda istratorokat, a csoportok Rendszergazda istratorokat, a felhasználói Rendszergazda istratorokat stb. Emellett a Microsoft Entra különböző szerepkörei módosíthatják a csoport (aktív) tagjai hitelesítő adatait, beleértve a hitelesítési Rendszergazda istratorokat, az ügyfélszolgálati Rendszergazda istratorokat, a felhasználói Rendszergazda istratorokat stb.
A Beépített Microsoft Entra szerepkörökről és azok engedélyeiről további információt a Microsoft Entra beépített szerepköreivel kapcsolatban talál.
A Microsoft Entra szerepkörhöz hozzárendelhető csoportfunkció nem része a Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) szolgáltatásnak. A licenceléssel kapcsolatos további információkért lásd Microsoft Entra ID-kezelés licencelési alapismereteket.
A szerepkörhöz hozzárendelhető csoportok és a csoportokhoz tartozó PIM közötti kapcsolat
A Microsoft Entra-azonosítóban lévő csoportok szerepkör-hozzárendelhetőként vagy nem hozzárendelhetőként besorolhatók. Emellett bármely csoport engedélyezhető vagy nem engedélyezhető a Microsoft Entra Privileged Identity Management (PIM) csoportokhoz való használatához. Ezek a csoport független tulajdonságai. Bármely Microsoft Entra biztonsági csoport és bármely Microsoft 365-csoport (kivéve a helyszíni környezetből szinkronizált dinamikus csoportokat és csoportokat) engedélyezhető a CSOPORTOK PIM-ben. A csoportnak nem kell szerepkör-hozzárendelhető csoportnak lennie ahhoz, hogy engedélyezve legyen a PIM for Groups szolgáltatásban.
Ha Microsoft Entra-szerepkört szeretne hozzárendelni egy csoporthoz, akkor szerepkör-hozzárendelhetőnek kell lennie. Még ha nem is kíván Microsoft Entra-szerepkört hozzárendelni a csoporthoz, de a csoport hozzáférést biztosít a bizalmas erőforrásokhoz, érdemes megfontolni a csoport szerepkör-hozzárendelhetőként való létrehozását. Ennek oka az, hogy a szerepkör-hozzárendelhető csoportok további védelemmel rendelkeznek – lásd : "Mik azok a Microsoft Entra szerepkör-hozzárendelhető csoportok?" a fenti szakaszban.
Fontos
2023 januárjáig minden Privileged Access-csoportnak (a PIM for Groups szolgáltatás korábbi neve) szerepkör-hozzárendelhető csoportnak kellett lennie. Ez a korlátozás jelenleg el van távolítva. Emiatt bérlőnként több mint 500 csoportot engedélyezhet a PIM-ben, de legfeljebb 500 csoport lehet szerepkör-hozzárendelhető.
Felhasználók csoportjának jogosultságának biztosítása a Microsoft Entra szerepkörre
A Microsoft Entra szerepkörre kétféleképpen lehet jogosultságot adni a felhasználók egy csoportjának:
- Végezze el a felhasználók aktív hozzárendelését a csoporthoz, majd rendelje hozzá a csoportot egy aktiválásra jogosult szerepkörhöz.
- Szerepkör aktív hozzárendelése csoporthoz, és felhasználók hozzárendelése csoporttagságra való jogosultsághoz.
Ha a Microsoft Entra-szerepkörökhöz való igény szerinti hozzáférést szeretne biztosítani a felhasználók egy csoportjának a SharePoint, az Exchange vagy a Security &Microsoft Purview megfelelőségi portál engedélyeivel (például Exchange Rendszergazda istrator szerepkörrel), győződjön meg arról, hogy a felhasználók aktív hozzárendelést kapnak a csoporthoz, majd hozzárendelik a csoportot egy aktiválásra jogosult szerepkörhöz (fenti 1. lehetőség). Ha úgy dönt, hogy aktív hozzárendelést ad egy csoporthoz egy szerepkörhöz, és felhasználókat rendel hozzá a csoporttagsághoz, jelentős időbe telhet, amíg a szerepkör összes engedélye aktiválva van és használatra kész.
Privileged Identity Management és csoportos beágyazás
A Microsoft Entra ID-ban a szerepkör-hozzárendelhető csoportok nem ágyazhatók be más csoportokba. További információ: Szerepkör-hozzárendelések kezelése a Microsoft Entra-csoportok használatával. Ez az aktív tagságra vonatkozik: az egyik csoport nem lehet aktív tagja egy másik, szerepkörhöz hozzárendelhető csoportnak.
Az egyik csoport egy másik csoport jogosult tagja lehet, még akkor is, ha az egyik csoport szerepkör-hozzárendelhető.
Ha egy felhasználó aktív tagja az A csoportnak, és az A csoport a B csoport jogosult tagja, a felhasználó aktiválhatja a B csoport tagságát. Ez az aktiválás csak az aktiválást kérő felhasználó számára történik, ez nem jelenti azt, hogy a teljes A csoport a B csoport aktív tagjává válik.
Privileged Identity Management és alkalmazáskiépítés
Ha a csoport alkalmazáskiépítésre van konfigurálva, a csoporttagság aktiválása aktiválja a csoporttagság kiépítését (és magát a felhasználói fiókot, ha korábban még nem volt kiépítve) az alkalmazáshoz SCIM protokoll használatával.
Rendelkezünk egy olyan funkcióval, amely közvetlenül a csoporttagság PIM-ben való aktiválása után aktiválja a kiépítést. A kiépítési konfiguráció az alkalmazástól függ. Általában azt javasoljuk, hogy legalább két csoport legyen hozzárendelve az alkalmazáshoz. Az alkalmazásban lévő szerepkörök számától függően további "kiemelt csoportokat" is definiálhat.
Csoport | Cél | Tagok | Csoporttagság | Az alkalmazásban hozzárendelt szerepkör |
---|---|---|---|---|
Minden felhasználócsoport | Győződjön meg arról, hogy az alkalmazáshoz hozzáférést igénylő összes felhasználó folyamatosan ki van építve az alkalmazáshoz. | Minden felhasználónak hozzá kell férnie az alkalmazáshoz. | Aktív | Nincs vagy alacsony jogosultságú szerepkör |
Kiemelt csoport | Biztosítson igény szerint hozzáférést a kiemelt szerepkörhöz az alkalmazásban. | Azok a felhasználók, akiknek időben hozzá kell férni a kiemelt szerepkörhöz az alkalmazásban. | Jogosultak | Kiemelt szerepkör |
Fő szempontok
- Mennyi ideig tart, amíg egy felhasználó ki van építve az alkalmazáshoz?
- Ha egy felhasználó a Microsoft Entra-azonosítóban lévő csoporthoz a Microsoft Entra Privileged Identity Management (PIM) használatával nem aktiválja a csoporttagságát:
- A csoporttagság ki lesz építve az alkalmazásban a következő szinkronizálási ciklus során. A szinkronizálási ciklus 40 percenként fut.
- Amikor egy felhasználó aktiválja a csoporttagságukat a Microsoft Entra PIM-ben:
- A csoporttagság 2–10 perc alatt ki lesz építve. Ha egyszerre magas a kérelmek száma, a kérelmek szabályozása 10 másodpercenként öt kéréssel történik.
- Az első öt felhasználó 10 másodperces időszakon belül aktiválja a csoporttagságukat egy adott alkalmazáshoz, a csoporttagság 2–10 percen belül ki lesz építve az alkalmazásban.
- A hatodik és újabb felhasználó számára egy 10 másodperces időtartamon belül, amely aktiválja a csoporttagságukat egy adott alkalmazáshoz, a csoporttagság ki lesz építve az alkalmazás számára a következő szinkronizálási ciklusban. A szinkronizálási ciklus 40 percenként fut. A szabályozási korlátok vállalati alkalmazásonként vannak megadva.
- Ha egy felhasználó a Microsoft Entra-azonosítóban lévő csoporthoz a Microsoft Entra Privileged Identity Management (PIM) használatával nem aktiválja a csoporttagságát:
- Ha a felhasználó nem tudja elérni a célalkalmazásban a szükséges csoportot, tekintse át a PIM-naplókat és a kiépítési naplókat annak érdekében, hogy a csoporttagság sikeresen frissüljön. A célalkalmazás létrehozásának módjától függően további időt vehet igénybe, mire a csoporttagság érvénybe lép az alkalmazásban.
- Az Azure Monitor használatával az ügyfelek riasztásokat hozhatnak létre a hibákról.