Konfigurowanie ustawień roli zasobów platformy Azure w usłudze Privileged Identity Management

  • Artykuł

W usłudze Privileged Identity Management (PIM) w usłudze Microsoft Entra ID, która jest częścią firmy Microsoft Entra, ustawienia ról definiują właściwości przypisania roli. Te właściwości obejmują wymagania dotyczące uwierzytelniania wieloskładnikowego i zatwierdzania dla aktywacji, maksymalnego czasu trwania przypisania i ustawień powiadomień. W tym artykule pokazano, jak skonfigurować ustawienia roli i skonfigurować przepływ pracy zatwierdzania w celu określenia, kto może zatwierdzać lub odrzucać żądania podniesienia uprawnień.

Aby zarządzać ustawieniami ról usługi PIM dla zasobu, musisz mieć rolę właściciela lub dostępu użytkowników Administracja istrator. Ustawienia roli są definiowane na rolę i na zasób. Wszystkie przypisania dla tej samej roli są zgodne z tymi samymi ustawieniami roli. Ustawienia roli jednej roli są niezależne od ustawień roli innej roli. Ustawienia roli jednego zasobu są niezależne od ustawień roli innego zasobu. Ustawienia roli skonfigurowane na wyższym poziomie, takie jak Subskrypcja, na przykład, nie są dziedziczone na niższym poziomie, takim jak grupa zasobów.

Ustawienia roli usługi PIM są również nazywane zasadami pim.

Otwieranie ustawień roli

Aby otworzyć ustawienia roli zasobu platformy Azure:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Przejdź do zarządzania tożsamościami>Privileged Identity Management>Zasobów platformy Azure. Na tej stronie możesz wybrać typ zasobu, którym chcesz zarządzać. Rozpocznij od listy rozwijanej Grupy zarządzania lub listy rozwijanej Subskrypcje, a następnie wybierz pozycję Grupy zasobów lub Zasoby zgodnie z potrzebami.

    Screenshot that shows the list of Azure resources discovered in Privileged Identity Management.

  3. Wybierz zasób, dla którego chcesz skonfigurować ustawienia roli usługi PIM.

  4. Wybierz Ustawienia. Wyświetl listę zasad USŁUGI PIM dla wybranego zasobu.

    Screenshot that shows the list of PIM policies for a selected resource.

  5. Wybierz rolę lub zasady, które chcesz skonfigurować.

  6. Wybierz pozycję Edytuj , aby zaktualizować ustawienia roli.

  7. Wybierz Aktualizuj.

Ustawienia roli

W tej sekcji omówiono opcje ustawień roli.

Maksymalny czas trwania aktywacji

Użyj suwaka Maksymalny czas trwania aktywacji, aby ustawić maksymalny czas w godzinach, przez który żądanie aktywacji dla przypisania roli pozostaje aktywne przed wygaśnięciem. Ta wartość może wynosić od 1 do 24 godzin.

Po aktywacji wymagaj uwierzytelniania wieloskładnikowego

Aby móc aktywować tę funkcję, możesz wymagać od użytkowników, którzy kwalifikują się do roli, aby udowodnić, kim są za pomocą funkcji uwierzytelniania wieloskładnikowego w usłudze Microsoft Entra ID. Uwierzytelnianie wieloskładnikowe pomaga chronić dostęp do danych i aplikacji. Zapewnia kolejną warstwę zabezpieczeń przy użyciu drugiej formy uwierzytelniania.

Użytkownicy mogą nie być monitowani o uwierzytelnianie wieloskładnikowe, jeśli uwierzytelnili się przy użyciu silnych poświadczeń lub dostarczyli uwierzytelnianie wieloskładnikowe wcześniej w tej sesji.

Jeśli twoim celem jest zapewnienie użytkownikom uwierzytelniania podczas aktywacji, możesz użyć opcji W ramach aktywacji, wymagaj kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft Entra wraz z siłami uwierzytelniania. Te opcje wymagają od użytkowników uwierzytelniania podczas aktywacji przy użyciu metod innych niż ta, która była używana do logowania się na maszynie.

Jeśli na przykład użytkownicy logują się na maszynie przy użyciu Windows Hello dla firm, możesz użyć opcji Aktywacja włączona, wymagaj kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft i siły uwierzytelniania, aby wymagać od użytkowników logowania bez hasła w aplikacji Microsoft Authenticator po aktywowaniu roli.

Gdy użytkownik udostępni logowanie bez hasła w aplikacji Microsoft Authenticator raz w tym przykładzie, może wykonać kolejną aktywację w tej sesji bez innego uwierzytelniania. Logowanie bez hasła przy użyciu aplikacji Microsoft Authenticator jest już częścią tokenu.

Zalecamy włączenie funkcji uwierzytelniania wieloskładnikowego identyfikatora Entra firmy Microsoft dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz Planowanie wdrożenia uwierzytelniania wieloskładnikowego firmy Microsoft.

Po aktywacji wymagaj kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft Entra

Możesz wymagać od użytkowników, którzy kwalifikują się do roli, aby spełnić wymagania zasad dostępu warunkowego. Możesz na przykład wymagać od użytkowników użycia określonej metody uwierzytelniania wymuszanej za pomocą siły uwierzytelniania, podniesienia poziomu roli z urządzenia zgodnego z usługą Intune i zachowania zgodności z warunkami użytkowania.

Aby wymusić to wymaganie, należy utworzyć kontekst uwierzytelniania dostępu warunkowego.

  1. Skonfiguruj zasady dostępu warunkowego, które wymuszają wymagania dla tego kontekstu uwierzytelniania.

  2. Skonfiguruj kontekst uwierzytelniania w ustawieniach usługi PIM dla roli.

    Screenshot that shows the Edit role settings Attestation Reader page.

Jeśli ustawienia usługi PIM mają włączoną aktywację, wymagaj skonfigurowania kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft, zasady dostępu warunkowego definiują warunki, które użytkownik musi spełnić, aby spełnić wymagania dostępu.

Oznacza to, że podmioty zabezpieczeń z uprawnieniami do zarządzania zasadami dostępu warunkowego, takie jak administratorzy dostępu warunkowego lub administratorzy zabezpieczeń, mogą zmieniać wymagania, usuwać je lub blokować aktywowanie roli uprawnionych użytkowników. Podmioty zabezpieczeń, które mogą zarządzać zasadami dostępu warunkowego, powinny być odpowiednio uznawane za wysoce uprzywilejowane i chronione.

Zalecamy utworzenie i włączenie zasad dostępu warunkowego dla kontekstu uwierzytelniania przed skonfigurowaniem kontekstu uwierzytelniania w ustawieniach usługi PIM. Jako mechanizm ochrony kopii zapasowych, jeśli w dzierżawie nie ma zasad dostępu warunkowego skonfigurowanego w ustawieniach uwierzytelniania pim, podczas aktywacji roli PIM funkcja uwierzytelniania wieloskładnikowego w identyfikatorze Entra firmy Microsoft jest wymagana jako aktywacja włączona, wymaganie ustawienia uwierzytelniania wieloskładnikowego zostanie ustawione.

Ten mechanizm ochrony kopii zapasowych został zaprojektowany tak, aby chronić wyłącznie przed scenariuszem, w przypadku gdy ustawienia usługi PIM zostały zaktualizowane przed utworzeniem zasad dostępu warunkowego z powodu błędu konfiguracji. Ten mechanizm ochrony kopii zapasowych nie jest wyzwalany, jeśli zasady dostępu warunkowego są wyłączone, są w trybie tylko dla raportu lub mają uprawnionego użytkownika wykluczonego z zasad.

Ustawienie Kontekst uwierzytelniania włączonego wymaga ustawienia kontekstu uwierzytelniania dostępu warunkowego firmy Microsoft definiuje wymagania dotyczące kontekstu uwierzytelniania, które użytkownicy muszą spełnić podczas aktywowania roli. Po aktywowaniu roli użytkownicy nie mogą używać innej sesji przeglądania, urządzenia ani lokalizacji do korzystania z uprawnień.

Na przykład użytkownicy mogą użyć zgodnego z usługą Intune urządzenia do aktywowania roli. Następnie po aktywowaniu roli mogą zalogować się do tego samego konta użytkownika z innego urządzenia, które nie jest zgodne z usługą Intune i korzystać z wcześniej aktywowanej roli z tego miejsca.

Aby zapobiec takiej sytuacji, można określić zakres zasad dostępu warunkowego, aby wymusić określone wymagania dla uprawnionych użytkowników bezpośrednio. Możesz na przykład wymagać od użytkowników, którzy kwalifikują się do niektórych ról, aby zawsze używali urządzeń zgodnych z usługą Intune.

Aby dowiedzieć się więcej na temat kontekstu uwierzytelniania dostępu warunkowego, zobacz Dostęp warunkowy: aplikacje w chmurze, akcje i kontekst uwierzytelniania.

Wymagaj uzasadnienia przy aktywacji

Możesz wymagać od użytkowników wprowadzenia uzasadnienia biznesowego po aktywowaniu kwalifikującego się przypisania.

Wymaganie informacji o biletach dotyczących aktywacji

Możesz wymagać od użytkowników wprowadzenia numeru biletu pomocy technicznej po aktywowaniu kwalifikującego się przypisania. Ta opcja jest polem tylko do informacji. Korelacja z informacjami w żadnym systemie biletów nie jest wymuszana.

Wymagaj zatwierdzenia w celu aktywowania

Możesz wymagać zatwierdzenia aktywacji kwalifikującego się przypisania. Osoba zatwierdzająca nie musi mieć żadnych ról. W przypadku korzystania z tej opcji należy wybrać co najmniej jeden osoba zatwierdzająca. Zalecamy wybranie co najmniej dwóch osób zatwierdzających. Brak domyślnych osób zatwierdzających.

Aby dowiedzieć się więcej na temat zatwierdzeń, zobacz Zatwierdzanie lub odrzucanie żądań dotyczących ról usługi Microsoft Entra w usłudze Privileged Identity Management.

Czas trwania przydziału

Podczas konfigurowania ustawień roli można wybrać jedną z dwóch opcji czasu trwania przypisania dla każdego typu przypisania: kwalifikujących się i aktywnych. Te opcje stają się domyślnym maksymalnym czasem trwania, gdy użytkownik jest przypisany do roli w usłudze Privileged Identity Management.

Możesz wybrać jedną z tych kwalifikujących się opcji czasu trwania przypisania.

Ustawienie opis
Zezwalaj na stałe kwalifikujące się przypisanie Administratorzy zasobów mogą przypisywać stałe kwalifikujące się przypisania.
Wygasanie kwalifikującego się przypisania po Administratorzy zasobów mogą wymagać, aby wszystkie kwalifikujące się przypisania miały określoną datę rozpoczęcia i zakończenia.

Możesz również wybrać jedną z tych aktywnych opcji czasu trwania przypisania.

Ustawienie opis
Zezwalaj na stałe aktywne przypisanie Administratorzy zasobów mogą przypisywać stałe aktywne przypisania.
Wygasanie aktywnego przypisania po Administratorzy zasobów mogą wymagać, aby wszystkie aktywne przypisania miały określoną datę rozpoczęcia i zakończenia.

Wszystkie przypisania, które mają określoną datę zakończenia, można odnowić przez administratorów globalnych i administratorów ról uprzywilejowanych. Ponadto użytkownicy mogą inicjować żądania samoobsługowe w celu rozszerzenia lub odnowienia przypisań ról.

Wymaganie uwierzytelniania wieloskładnikowego przy aktywnym przypisaniu

Możesz wymagać, aby administrator zapewnia uwierzytelnianie wieloskładnikowe podczas tworzenia aktywnego (w przeciwieństwie do kwalifikującego się) przypisania. Usługa Privileged Identity Management nie może wymusić uwierzytelniania wieloskładnikowego, gdy użytkownik używa przypisania roli, ponieważ jest już aktywny w roli od momentu jej przypisania.

Administrator może nie zostać poproszony o uwierzytelnienie wieloskładnikowe, jeśli uwierzytelnił się przy użyciu silnych poświadczeń lub dostarczył uwierzytelnianie wieloskładnikowe wcześniej w tej sesji.

Wymagaj uzasadnienia aktywnego przypisania

Możesz wymagać od użytkowników wprowadzenia uzasadnienia biznesowego podczas tworzenia aktywnego (w przeciwieństwie do kwalifikującego się) przypisania.

Na karcie Powiadomienia na stronie Ustawienia roli usługa Privileged Identity Management umożliwia szczegółową kontrolę nad tym, kto odbiera powiadomienia i które powiadomienia otrzymują.

  • Wyłączanie wiadomości e-mail: możesz wyłączyć określone wiadomości e-mail, usuwając domyślne pole wyboru adresata i usuwając innych adresatów.
  • Ogranicz wiadomości e-mail do określonych adresów e-mail: możesz wyłączyć wiadomości e-mail wysyłane do domyślnych adresatów, usuwając pole wyboru domyślnego adresata. Następnie możesz dodać inne adresy e-mail jako adresatów. Jeśli chcesz dodać więcej niż jeden adres e-mail, oddziel je średnikiem (;).
  • Wysyłanie wiadomości e-mail do domyślnych adresatów i większej liczby adresatów: możesz wysyłać wiadomości e-mail zarówno do domyślnego adresata, jak i do innego adresata. Zaznacz domyślne pole wyboru adresata i dodaj adresy e-mail dla innych adresatów.
  • Tylko krytyczne wiadomości e-mail: dla każdego typu wiadomości e-mail można zaznaczyć pole wyboru, aby otrzymywać tylko krytyczne wiadomości e-mail. Usługa Privileged Identity Management nadal wysyła wiadomości e-mail do określonych adresatów tylko wtedy, gdy wiadomość e-mail wymaga natychmiastowej akcji. Na przykład wiadomości e-mail z prośbą użytkowników o rozszerzenie przypisania roli nie są wyzwalane. Wiadomości e-mail, które wymagają od administratorów zatwierdzenia żądania rozszerzenia, są wyzwalane.

Uwaga

Jedno zdarzenie w usłudze Privileged Identity Management może generować powiadomienia e-mail do wielu adresatów — osoby przypisane, osoby zatwierdzające lub administratorzy. Maksymalna liczba wysyłanych powiadomień na jedno zdarzenie wynosi 1000. Jeśli liczba adresatów przekroczy 1000 , tylko pierwszych 1000 adresatów otrzyma powiadomienie e-mail. Nie zapobiega to używaniu uprawnień innych osób, administratorów ani osób zatwierdzających w usłudze Microsoft Entra ID i Privileged Identity Management.

Następne kroki