Wat is Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) is een service in Azure Active Directory (Azure AD) waarmee u toegang tot belangrijke resources in uw organisatie kunt beheren, controleren en bewaken. Deze resources omvatten resources in Azure AD, Azure en andere Microsoft-onlineservices, zoals Microsoft 365 of Microsoft Intune. In de volgende video kunt u kennismaken met belangrijke PIM-concepten en -functies.

Redenen voor gebruik

Organisaties willen het aantal mensen dat toegang heeft tot beveiligde informatie of resources minimaliseren, omdat dit de kans verkleint

  • een kwaadwillende actor die toegang krijgt
  • een geautoriseerde gebruiker per ongeluk een gevoelige resource beïnvloedt

Gebruikers moeten echter wel bevoorrechte bewerkingen kunnen uitvoeren in Azure AD, Azure, Microsoft 365 of SaaS-apps. Organisaties kunnen gebruikers just-in-time bevoegde toegang geven tot Azure- en Azure AD-resources en kunnen controleren wat deze gebruikers doen met hun bevoorrechte toegang.

Licentievereisten

Voor deze functie hebt u een Azure AD Premium P2-licentie nodig. Zie Algemeen beschik bare functies van de gratis, Office 365-apps en Premium-edities vergelijkenom de juiste licentie voor uw vereisten te vinden.

Zie Licentievereisten voor het gebruik van Privileged Identity Management voor informatie over licenties voor gebruikers.

Wat doet het?

Privileged Identity Management biedt op tijd en goedkeuring gebaseerde rolactiveringen om de risico's van buitensporige, onnodige of verkeerd gebruikte toegangsmachtigingen te beperken voor resources die u belangrijk vindt. Hier volgen enkele van de belangrijkste functies van Privileged Identity Management:

  • Bevoorrechte JIT-toegang (Just-In-Time) bieden aan Azure Active Directory- en Azure-resources
  • Tijdsgebonden toegang bieden aan resources met behulp van begin- en einddatums
  • Goedkeuring vereisen om bevoorrechte rollen te activeren
  • Meervoudige verificatie afdwingen om een rol te activeren
  • Gebruikmaken van redenen om te begrijpen waarom gebruikers activeren
  • Meldingen ontvangen wanneer bevoorrechte rollen zijn geactiveerd
  • Toegangsbeoordelingen uitvoeren om te controleren of gebruikers rollen nog steeds nodig hebben
  • Controlegeschiedenis downloaden voor interne of externe controle

Wat kan ik ermee doen?

Zodra u Privileged Identity Management hebt ingesteld, ziet u de opties Taken, Beheren en Activiteit in het navigatiemenu links. Als beheerder kunt u kiezen uit opties zoals het beheren van Azure AD-rollen, het beheren van Azure-resource-rollen of groepen met uitgebreide toegang. Wanneer u hebt gekozen wat u wilt beheren, ziet u de juiste set opties voor die optie.

Schermopname van Privileged Identity Management in Azure Portal

Wie kan wat doen?

Voor Azure AD-rollen in Privileged Identity Management kan alleen een gebruiker met de rol Beheerder met bevoorrechte rol of Globale beheerder toewijzingen voor andere beheerders beheren. Globale beheerders, beveiligingsbeheerders, globale lezers en beveiligingslezers kunnen ook toewijzingen aan Azure AD-rollen in Privileged Identity Management.

Voor rollen voor Azure-resources in Privileged Identity Management geldt dat alleen een abonnementsbeheerder, een resource-eigenaar of een beheerder voor gebruikerstoegang tot resources toewijzingen voor andere beheerders kan beheren. Gebruikers die beheerder voor bevoorrechte rollen, beveiligingsbeheerder of beveiligingslezer zijn, kunnen niet standaard toewijzingen aan rollen voor Azure-resources in Privileged Identity Management weergeven.

Toewijzingen uitbreiden en vernieuwen

Nadat u de tijdgebonden eigenaar- of lidtoewijzingen hebt ingesteld, is de eerste vraag die in u opkomt: wat gebeurt er als een toewijzing verloopt? In deze nieuwe versie bieden we twee opties voor dit scenario:

  • Verlengen: wanneer een roltoewijzing bijna is verlopen, kan de gebruiker Privileged Identity Management gebruiken om een verlenging aan te vragen voor de roltoewijzing
  • Vernieuwen: wanneer een roltoewijzing al is verlopen, kan de gebruiker Privileged Identity Management gebruiken om vernieuwing aan te vragen voor de roltoewijzing

Beide door de gebruiker geïnitieerde acties vereisen goedkeuring van een globale beheerder of beheerder met bevoorrechte rol. Beheerders hoeven het verloop van toewijzingen niet te beheren. U kunt gewoon wachten tot de uitbreidings- of verlengingsaanvragen binnenkomen voor eenvoudige goedkeuring of weigering.

Scenario's

Privileged Identity Management ondersteunt de volgende scenario's:

Beheerdersmachtigingen voor bevoorrechte rollen

  • Goedkeuring voor specifieke rollen inschakelen
  • Gebruikers of groepen toewijzen als fiatteur om aanvragen goed te keuren
  • De geschiedenis van aanvragen en goedkeuringen bekijken voor alle bevoorrechte rollen

Machtigingen van fiatteurs

  • Goedkeuringen in behandeling (aanvragen) bekijken
  • Aanvragen voor rolverhoging goedkeuren of afwijzen (afzonderlijk en bulksgewijs)
  • De reden voor de goedkeuring of afwijzing opgeven

Gebruikersmachtigingen van in aanmerking komende rollen

  • Activering van een rol waarvoor goedkeuring nodig is, aanvragen
  • De status van uw aanvraag voor activeren bekijken
  • Uw taak voltooien in Azure AD als de activering is goedgekeurd

Azure AD-groepen met uitgebreide toegang beheren (preview)

In Privileged Identity Management (PIM) kunt u nu de geschiktheid voor lidmaatschap of eigendom van groepen met uitgebreide toegang toewijzen. Met deze preview-versie kunt u ingebouwde Azure AD-rollen (Azure Active Directory) toewijzen aan cloudgroepen en PIM gebruiken voor het beheren van de geschiktheid en activering van groepsleden en eigenaren. Zie Cloudgroepen gebruiken voor het beheren van roltoewijzingen in Azure Active Directory (preview) voor meer informatie over groepen waarin in Azure AD rollen kunnen worden toegewezen.

Belangrijk

Als u een bevoorrechte toegangsgroep wilt toewijzen aan een rol voor beheerderstoegang tot Exchange, het beveiligings- en nalevingscentrum of SharePoint, gebruikt u de Azure AD-portal Rollen en beheerders en niet de interface voor bevoorrechte toegangsgroepen om ervoor te zorgen dat de gebruiker of groep in aanmerking komt voor activering in de groep.

Verschillende Just-In-Time-beleidsregels voor elke groep

Sommige organisaties gebruiken hulpprogramma's zoals samenwerking via Azure AD Business-to-Business (B2B) om hun partners uit te nodigen als gasten in hun Azure AD-organisatie. In plaats van slechts één Just-In-Time-beleid voor alle toewijzingen aan een bevoorrechte rol, kunt u twee verschillende groepen met uitgebreide toegang maken, met elk hun eigen beleid. U kunt minder strikte vereisten afdwingen voor uw vertrouwde medewerkers en strengere vereisten, zoals een goedkeuringswerkstroom voor uw partners, wanneer ze activering aanvragen in hun toegewezen groep.

Meerdere roltoewijzingen in één aanvraag activeren

Met de preview voor groepen met uitgebreide toegang kunt u workloadspecifieke beheerders snelle toegang geven tot meerdere rollen met één Just-In-Time-aanvraag. Stelt u zich voor dat uw beheerders uit laag 3 Just-In-Time-toegang nodig hebben tot de rollen Exchange-beheerder, Office Apps-beheerder, Team-beheerder en Zoekbeheerder om incidenten dagelijks grondig te onderzoeken. Vóór vandaag zouden hiervoor vier opeenvolgende aanvragen nodig zijn. Dit is een proces dat enige tijd in beslag neemt. In plaats daarvan kunt u een groep maken met de naam 'Office-beheerders laag 3' waaraan rollen kunnen worden toegewezen, deze toewijzen aan elk van de vier eerder genoemde rollen (of ingebouwde rollen van Azure AD) en deze inschakelen voor bevoegde toegang in de sectie Activiteit van de groep. Wanneer bevoegde toegang eenmaal is ingeschakeld, kunt u de Just-In-Time-instellingen voor leden van de groep configureren en uw beheerders en eigenaren toewijzen als hiervoor in aanmerking komend. Wanneer het lidmaatschap van de beheerders wordt verhoogd naar de groep, worden ze lid van alle vier de Azure AD-rollen.

Gastgebruikers uitnodigen en Azure-resourcerollen toewijzen in Privileged Identity Management

Azure Active Directory gastgebruikers (Azure AD) maken deel uit van de B2B-samenwerkingsmogelijkheden (Business-to-Business) in Azure AD, zodat u externe gastgebruikers en leveranciers als gasten in Azure AD kunt beheren. U kunt deze Privileged Identity Management-functies bijvoorbeeld gebruiken voor Azure-identiteitstaken met gasten, zoals het toewijzen van toegang tot specifieke Azure-resources, het opgeven van de toewijzingsduur en einddatum of het vereisen van verificatie in twee stappen bij actieve toewijzing of activering. Zie Add B2B collaboration users in the Azure AD portal (B2B-samenwerkingsgebruikerstoevoegen in de Azure AD-portal) voor meer informatie over het uitnodigen van een gast voor uw organisatie en het beheren van hun toegang.

Wanneer zou u gasten uitnodigen?

Hier zijn enkele voorbeelden van wanneer u gasten kunt uitnodigen voor uw organisatie:

  • Sta een externe zelfstandige leverancier die alleen een e-mailaccount heeft, toegang tot uw Azure-resources voor een project toe.
  • Een externe partner in een grote organisatie die gebruikmaakt van on-premises Active Directory Federation Services toegang geven tot uw onkostentoepassing.
  • Sta ondersteuningstechnici toe die zich niet in uw organisatie (zoals Microsoft Ondersteuning) tijdelijk toegang verlenen tot uw Azure-resource om problemen op te lossen.

Hoe werkt samenwerking met B2B-gasten?

Wanneer u B2B-samenwerking gebruikt, kunt u een externe gebruiker als gast uitnodigen voor uw organisatie. De gast kan worden beheerd als een gebruiker in uw organisatie, maar een gast moet worden geverifieerd in de eigen organisatie en niet in uw Azure AD-organisatie. Dit betekent dat als de gast geen toegang meer heeft tot de thuisorganisatie, ze ook geen toegang meer hebben tot uw organisatie. Als de gast bijvoorbeeld de organisatie verlaat, verliezen ze automatisch de toegang tot resources die u met hen hebt gedeeld in Azure AD zonder dat u iets hoeft te doen. Zie Wat is gastgebruikerstoegang in Azure Active Directory B2B? voor meer informatie over B2B-samenwerking.

Diagram waarin wordt getoond hoe een gastgebruiker wordt geverifieerd in de basismap

Volgende stappen