Wat is Azure AD Privileged Identity Management?What is Azure AD Privileged Identity Management?

Azure Active Directory (Azure AD) Privileged Identity Management (PIM) is een service waarmee u toegang tot belangrijke resources in uw organisatie kunt beheren, controleren en bewaken.Azure Active Directory (Azure AD) Privileged Identity Management (PIM) is a service that enables you to manage, control, and monitor access to important resources in your organization. Deze resources omvatten resources in azure AD, Azure en andere online services van micro soft, zoals Office 365 of Microsoft Intune.These resources include resources in Azure AD, Azure, and other Microsoft Online Services like Office 365 or Microsoft Intune.

Redenen om te gebruikenReasons to use

Organisaties willen het aantal mensen dat toegang heeft tot beveiligde gegevens of resources beperken, om zo de kans te verkleinen dat een kwaadwillende gebruiker toegang verkrijgt of een geautoriseerde gebruiker per ongeluk een gevoelige resource wijzigt.Organizations want to minimize the number of people who have access to secure information or resources, because that reduces the chance of a malicious actor getting that access, or an authorized user inadvertently impacting a sensitive resource. Gebruikers moeten echter wel bevoorrechte bewerkingen kunnen uitvoeren in Azure AD, Azure, Office 365 of SaaS-apps.However, users still need to carry out privileged operations in Azure AD, Azure, Office 365, or SaaS apps. Organisaties kunnen gebruikers daarom bevoorrechte JIT-toegang (Just-In-Time) geven tot Azure-resources en Azure Active Directory.Organizations can give users just-in-time (JIT) privileged access to Azure resources and Azure AD. Het is belangrijk dat er toezicht is op wat gebruikers met hun beheerdersbevoegdheden doen.There is a need for oversight for what those users are doing with their administrator privileges.

Wat doet het?What does it do?

Privileged Identity Management biedt op tijd gebaseerde activeringen op basis van een rol om de Risico's van buitensporige, onnodige of ongebruikte toegangs machtigingen te beperken voor bronnen die u bevalt.Privileged Identity Management provides time-based and approval-based role activation to mitigate the risks of excessive, unnecessary, or misused access permissions on resources that you care about. Hier volgen enkele van de belangrijkste functies van Privileged Identity Management:Here are some of the key features of Privileged Identity Management:

  • Bevoorrechte JIT-toegang (Just-In-Time) bieden aan Azure Active Directory- en Azure-resourcesProvide just-in-time privileged access to Azure AD and Azure resources
  • Tijdsgebonden toegang bieden aan resources met behulp van begin- en einddatumsAssign time-bound access to resources using start and end dates
  • Goedkeuring vereisen om bevoorrechte rollen te activerenRequire approval to activate privileged roles
  • Meervoudige verificatie afdwingen om een rol te activerenEnforce multi-factor authentication to activate any role
  • Gebruikmaken van redenen om te begrijpen waarom gebruikers activerenUse justification to understand why users activate
  • Meldingen ontvangen wanneer bevoorrechte rollen zijn geactiveerdGet notifications when privileged roles are activated
  • Toegangsbeoordelingen uitvoeren om te controleren of gebruikers rollen nog steeds nodig hebbenConduct access reviews to ensure users still need roles
  • Controlegeschiedenis downloaden voor interne of externe controleDownload audit history for internal or external audit

Wat kan ik ermee doen?What can I do with it?

Zodra u Privileged Identity Management hebt ingesteld, ziet u opties voor taken, beheeren activiteiten in het navigatie menu aan de linkerkant.Once you set up Privileged Identity Management, you'll see Tasks, Manage, and Activity options in the left navigation menu. Als beheerder kiest u tussen het beheren van Azure Active Directory-rollen en Azure-resourcerollen.As an administrator, you'll choose between managing Azure AD roles and Azure resource roles. Als u het type te beheren rollen kiest, ziet u een soortgelijke set met opties voor dat roltype.When you choose the type of roles to manage, you see a similar set of options for that role type.

Scherm opname van Privileged Identity Management in het Azure Portal

Wie kan er wat doen?Who can do what?

Voor Azure AD-rollen in Privileged Identity Management kan alleen een gebruiker met de rol beheerder van geprivilegieerde rol of globale beheerder toewijzingen voor andere beheerders beheren.For Azure AD roles in Privileged Identity Management, only a user who is in the Privileged role administrator or Global administrator role can manage assignments for other administrators. U kunt andere beheerders toegang verlenen voor het beheren van privileged Identity Management.You can grant access to other administrators to manage Privileged Identity Management. Globale beheerders, beveiligings beheerders, globale lezers en beveiligings lezers kunnen ook toewijzingen weer geven voor Azure AD-rollen in Privileged Identity Management.Global Administrators, Security Administrators, Global readers, and Security Readers can also view assignments to Azure AD roles in Privileged Identity Management.

Voor Azure-resource rollen in Privileged Identity Management kan alleen een abonnements beheerder, een resource-eigenaar of een resource gebruiker Access-beheerder toewijzingen voor andere beheerders beheren.For Azure resource roles in Privileged Identity Management, only a subscription administrator, a resource Owner, or a resource User Access administrator can manage assignments for other administrators. Gebruikers die geprivilegieerde rol beheerders, beveiligings beheerders of beveiligings lezers zijn, hebben standaard geen toegang voor het weer geven van toewijzingen aan Azure-resource rollen in Privileged Identity Management.Users who are Privileged Role Administrators, Security Administrators, or Security Readers do not by default have access to view assignments to Azure resource roles in Privileged Identity Management.

Scenario'sScenarios

Privileged Identity Management ondersteunt de volgende scenario's:Privileged Identity Management supports the following scenarios:

Beheerders machtigingen voor geprivilegieerde rollenPrivileged Role administrator permissions

  • Goedkeuring voor specifieke rollen inschakelenEnable approval for specific roles
  • Gebruikers of groepen voor goed keurder opgeven om aanvragen goed te keurenSpecify approver users or groups to approve requests
  • De geschiedenis van aanvragen en goedkeuringen bekijken voor alle bevoorrechte rollenView request and approval history for all privileged roles

Machtigingen voor goed keurderApprover permissions

  • Goedkeuringen in behandeling (aanvragen) bekijkenView pending approvals (requests)
  • Aanvragen voor uitbrei ding van rol goed keuren of afwijzen (enkel en bulksgewijs)Approve or reject requests for role elevation (single and bulk)
  • Geef een reden voor mijn goed keuring of weigeringProvide justification for my approval or rejection

Gebruikers machtigingen in aanmerking komende rollenEligible role user permissions

  • Activering van een rol waarvoor goedkeuring nodig is, aanvragenRequest activation of a role that requires approval
  • De status van uw aanvraag voor activeren bekijkenView the status of your request to activate
  • Uw taak voltooien in Azure AD als de activering is goedgekeurdComplete your task in Azure AD if activation was approved

TerminologieTerminology

Raadpleeg de volgende voor waarden als u meer wilt weten over Privileged Identity Management en de bijbehorende documentatie.To better understand Privileged Identity Management and its documentation, you should review the following terms.

Term of conceptTerm or concept RoltoewijzingscategorieRole assignment category BeschrijvingDescription
in aanmerking komendeligible TypeType Een roltoewijzing die vereist dat een gebruiker een of meer acties uitvoert om de rol te kunnen gebruiken.A role assignment that requires a user to perform one or more actions to use the role. Als een gebruiker in aanmerking komt voor een rol, betekent dit dat de gebruiker de rol kan activeren wanneer deze nodig is om bevoegde taken uit te voeren.If a user has been made eligible for a role, that means they can activate the role when they need to perform privileged tasks. Er is geen verschil in de toegang voor iemand met een permanente roltoewijzing ten opzichte van iemand die in aanmerking komt voor een roltoewijzing.There's no difference in the access given to someone with a permanent versus an eligible role assignment. Het enige verschil is dat sommige gebruikers niet voortdurend toegang nodig hebben.The only difference is that some people don't need that access all the time.
actiefactive TypeType Een roltoewijzing die niet vereist dat een gebruiker een actie uitvoert om de rol te kunnen gebruiken.A role assignment that doesn't require a user to perform any action to use the role. Gebruikers die zijn toegewezen als actief zijn in het bezit van de bevoegdheden die zijn toegewezen aan de rol.Users assigned as active have the privileges assigned to the role.
activerenactivate Het proces van het uitvoeren van een of meer acties om de rol te kunnen gebruiken waarvoor de gebruiker in aanmerking komt.The process of performing one or more actions to use a role that a user is eligible for. Acties kunnen bijvoorbeeld een meervoudige verificatiecontrole, het opgeven van een zakelijke reden of het vragen om toestemming bij aangewezen fiatteurs zijn.Actions might include performing a multi-factor authentication (MFA) check, providing a business justification, or requesting approval from designated approvers.
toegewezenassigned StatusState Een gebruiker met een actieve roltoewijzing.A user that has an active role assignment.
geactiveerdactivated StatusState Een gebruiker die in aanmerking komt voor een roltoewijzing, de acties voor het activeren van de rol heeft uitgevoerd en nu actief is.A user that has an eligible role assignment, performed the actions to activate the role, and is now active. Wanneer de rol is geactiveerd, kan de gebruiker deze gebruiken gedurende een vooraf geconfigureerde periode voordat ze de rol opnieuw moeten activeren.Once activated, the user can use the role for a preconfigured period-of-time before they need to activate again.
permanent in aanmerking komendpermanent eligible DuurDuration Een roltoewijzing waarbij een gebruiker altijd in aanmerking komt om de rol te activeren.A role assignment where a user is always eligible to activate the role.
permanent actiefpermanent active DuurDuration Een roltoewijzing waarbij een gebruiker de rol altijd kan gebruiken zonder acties te hoeven uitvoeren.A role assignment where a user can always use the role without performing any actions.
verlopen - in aanmerking komendexpire eligible DuurDuration Een roltoewijzing waarbij een gebruiker de rol binnen een opgegeven begin- en datum mag activeren.A role assignment where a user is eligible to activate the role within a specified start and end date.
verlopen - actiefexpire active DuurDuration Een roltoewijzing waarbij een gebruiker de rol kan gebruiken zonder acties te hoeven uitvoeren binnen een opgegeven begin- en einddatum.A role assignment where a user can use the role without performing any actions within a specified start and end date.
Just-in-time-toegang (JIT)just-in-time (JIT) access Een model waarbij gebruikers tijdelijke machtigingen ontvangen om bepaalde taken uit te mogen voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang kunnen krijgen na het verlopen van deze machtigingen.A model in which users receive temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben.Access is granted only when users need it.
Principe van toegang met minimale bevoegdhedenprinciple of least privilege access Een aanbevolen beveiligingsprocedure waarbij alle gebruikers enkel de minimale bevoegdheden krijgt toegewezen die nodig zijn om de taken uit te voeren waarvoor ze bevoegd zijn.A recommended security practice in which every user is provided with only the minimum privileges needed to accomplish the tasks they are authorized to perform. Met deze procedure wordt het aantal globale beheerders tot het minimum beperkt en worden er specifieke beheerdersrollen gebruikt voor bepaalde scenario's.This practice minimizes the number of Global Administrators and instead uses specific administrator roles for certain scenarios.

LicentievereistenLicense requirements

Voor het gebruik van deze functie is een Azure AD Premium P2-licentie vereist.Using this feature requires an Azure AD Premium P2 license. ZieĀ Algemeen beschik bare functies van de gratis, basis en Premium-edities vergelijkenom de juiste licentie voor uw vereisten te vinden.To find the right license for your requirements, seeĀ Comparing generally available features of the Free, Basic, and Premium editions.

Zie licentie vereisten voor het gebruik van privileged Identity Managementvoor meer informatie over licenties voor gebruikers.For information about licenses for users, see License requirements to use Privileged Identity Management.

Volgende stappenNext steps