Что такое Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) — это служба в Azure Active Directory (Azure AD), которая позволяет администрировать и отслеживать доступ к важным ресурсам в организации. Эти ресурсы включают ресурсы в Azure AD, Azure и других веб-службах Microsoft, таких как Microsoft 365 или Microsoft Intune. В следующем видео описаны важные понятия и возможности PIM.

Причины использования

Организациям необходимо свести к минимуму число пользователей, имеющих доступ к защищенным сведениям или ресурсам. Это снижает вероятность того, что

  • такой доступ получит злоумышленник;
  • действия полномочного пользователя случайно окажут негативное воздействие на конфиденциальный ресурс.

Однако пользователям иногда требуется выполнять привилегированные операции в приложениях Azure AD, Azure, Microsoft 365 или SaaS. Организации могут предоставлять пользователям привилегированный JIT-доступ к ресурсам Azure и Azure AD, а также следить за тем, как эти пользователи распоряжаются своим привилегированным доступом.

Требования лицензий

Для использования этой функции требуется лицензия Azure AD Premium P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций Azure AD.

Сведения о лицензиях для пользователей см. в статье License requirements to use Privileged Identity Management (Требования к лицензии для использования PIM).

Функция

Управление привилегированными пользователями обеспечивает активацию ролей на основе времени и утверждений, чтобы снизить риски, связанные с чрезмерным, ненужным или неправильным использованием разрешений на доступ к ресурсам, которые вас интересуют. Ниже приведены некоторые основные возможности управления привилегированными пользователями:

  • предоставление привилегированного JIT-доступа к ресурсам Azure и Azure AD;
  • назначение доступа с временным ограничением к ресурсам с помощью даты начала и окончания;
  • требование утверждения для активации привилегированных ролей;
  • принудительное применение многофакторной проверки подлинности для активации любой роли;
  • использование обоснования, чтобы понять причину активации;
  • получение уведомлений при активации привилегированных ролей;
  • проведение проверки доступа, чтобы убедиться в необходимости ролей для пользователей;
  • скачивание журнала аудита для операций внутреннего и внешнего аудита.
  • защита от удаления последнего активного назначения роли глобального администратора.

Что можно сделать?

После настройки PIM в меню навигации слева вы увидите параметры Задачи, Управление и Действие. В качестве администратора вы можете выбрать один из вариантов: управление ролями Azure AD, ролями ресурсов Azure или группами привилегированного доступа. Выбрав нужный вариант, вы увидите соответствующий набор параметров.

Screenshot of Privileged Identity Management in the Azure portal

Какие существуют роли пользователей и доступные им действия?

Для ролей Azure AD в PIM только пользователь, которому назначена роль администратора привилегированных ролей или глобального администратора, может управлять назначением других администраторов. Глобальные администраторы, администраторы безопасности, глобальные читатели и читатели сведений о безопасности могут просматривать назначения ролей Azure AD в PIM.

Для ролей ресурсов Azure только администратор подписки, владелец ресурса или администратор доступа пользователей к ресурсам могут управлять назначениями других администраторов в PIM. Администратор привилегированных ролей, администратор безопасности и читатель сведений о безопасности по умолчанию не могут просматривать назначения ролей ресурсов Azure в PIM.

Терминология

Чтобы лучше понять PIM и сопутствующую документацию, изучите следующие термины.

Термин или понятие Категория назначения ролей Описание
допустимое Тип Назначение роли, в соответствии с которым пользователь должен выполнить одно или несколько действий для использования роли. Назначение роли пользователю означает, что он может активировать роль, когда ему необходимо выполнить привилегированные задачи. Доступы, предоставленные пользователю с постоянной ролью и пользователю с временной ролью, ничем не отличаются. Единственное различие состоит в том, что второму типу пользователей доступ не требуется постоянно.
active Тип Назначение роли, которое не требует от пользователя выполнения каких-либо действий для ее использования. Пользователи, назначенные в качестве активных, имеют все полномочия, присвоенные роли.
активация Процесс выполнения одного или нескольких действий для использования роли, на которую имеет право пользователь. Поддерживаются такие действия, как прохождение многофакторной проверки подлинности (MFA), предоставление коммерческого обоснования или запрос утверждения от назначенных утверждающих.
назначено Состояние Пользователь, который имеет назначение активной роли.
активировано Состояние Пользователь, который имеет назначение допустимой роли, выполнил действия по активации роли, и теперь она активна. После активации пользователь может использовать роль в течение предварительно настроенного периода, пока ее не потребуется активировать повторно.
постоянное допустимое Duration Назначение роли, где пользователь всегда имеет право активировать роль.
постоянное активное Duration Назначение роли, где пользователь всегда может использовать роль, не выполняя каких-либо действий.
допустимое ограничение по времени Duration Назначение роли, когда пользователь может активировать роль в только в период между указанными датами начала и окончания.
активное ограничение по времени Duration Назначение роли, когда пользователь может использовать роль в только в период между указанными датами начала и окончания.
JIT-доступ Это модель, в которой пользователи получают временные разрешения для выполнения привилегированных задач, что не позволяет злоумышленникам или неавторизованным пользователям получить доступ по истечении срока действия разрешения. Доступ предоставляется только в том случае, если он необходим пользователю.
Принцип доступа с минимальными привилегиями Рекомендуемый метод обеспечения безопасности, при котором каждому пользователю предоставляются только минимальные привилегии, необходимые для выполнения задач, которые ему разрешено выполнять. Такой подход позволяет свести к минимуму количество глобальных администраторов. Вместо этого используются определенные роли администратора для конкретных сценариев.

Продлевать и обновлять назначения

После настройки назначений владельцев или участников с временным ограничением, возможно, сначала вы зададите вопрос "Что случится, если срок действия назначения закончится?". В этой новой версии мы предоставляем два варианта для такого сценария:

  • Отсрочка — если срок действия назначения роли скоро истечет, пользователь может с помощью Privileged Identity Management запросить отсрочку для назначения роли.
  • Продление — если срок действия назначения уже истек, пользователь может с помощью Privileged Identity Management запросить продление назначения роли.

Оба инициированных пользователем действия должен утвердить глобальный администратор или администратор привилегированных ролей. Администраторам больше не нужно управлять сроками действия назначений. Можно просто дождаться запроса на отсрочку или продление и утвердить его либо отклонить.

Сценарии

Управление привилегированными пользователями поддерживает следующие сценарии:

Разрешения администратора привилегированных ролей

  • Включение утверждений для конкретных ролей
  • Указание утверждающих лиц или групп с правом утверждения запросов
  • Просмотр истории запросов и утверждений для всех привилегированных ролей

Разрешения утверждающего

  • Просмотр запросов, ожидающих утверждения
  • Утверждение или отклонение запросов на повышение роли (по одному и массово)
  • Указание обоснования для своего утверждения или отказа

Допустимые разрешения пользователя роли

  • Запрос активации роли, для которой требуется утверждение
  • Просмотр состояния запроса на активацию
  • Выполнение задачи в Azure AD, если запрос на активацию утвержден

Управление группами Azure AD с привилегированным доступом (предварительная версия)

В Privileged Identity Management вы теперь можете назначить возможность получения прав участия или владения для групп с привилегированным доступом. В этой предварительной версии вы можете назначить встроенные роли Azure Active Directory (Azure AD) облачным группам и использовать PIM для управления возможностью получения прав и активацией участников и владельцев групп. Подробные сведения о группах с возможностью назначения ролей в Azure AD см. в статье Использование групп Azure AD для управления назначением ролей.

Важно!

Чтобы назначить группу с привилегированным доступом роли для получения административного доступа к Exchange, центру безопасности & соответствия требованиям или SharePoint, вам нужно предоставить пользователю или группе пользователей право на активацию в группе. Для этого используйте функцию &, а не функцию в разделе групп с привилегированным доступом.

Собственные JIT-политики для каждой группы

Некоторые организации используют инструменты Azure AD, например Совместная работа B2B, для отправки гостевых приглашений партнерам в свою организацию Azure AD. Вместо одной JIT-политики для всех назначений привилегированной роли вы можете создать две разных группы с привилегированным доступом, которые имеют собственные политики. Вы можете применить менее строгие требования к своим доверенным сотрудникам и более строгие, например рабочий процесс утверждения, для партнеров, когда они запрашивают активацию в назначенной им группе.

Активация нескольких назначений ролей в одном запросе

С помощью групп с привилегированным доступом (предварительная версия) вы можете предоставлять быстрый административный доступ на основе конкретных рабочих нагрузок к нескольким ролям с помощью всего одного JIT-запроса. Например, вашим администраторам Office уровня 3 может потребоваться JIT-доступ к ролям администратора Exchange, администратора приложений Office, администратора Teams и администратора службы поиска для тщательного ежедневного анализа инцидентов. До сегодняшнего дня вам пришлось бы отправить четыре последовательных запроса, на выполнение которых потребовалось бы много времени. Сейчас же вы можете создать группу с возможностью назначения ролей с именем "Администраторы Office уровня 3", назначить ее каждой из упомянутых выше четырех ролей (или любым встроенным ролям Azure AD) и включить ее для привилегированного доступа в разделе "Действия" группы. После включения привилегированного доступа вы можете настроить JIT-параметры для участников группы и назначить администраторам и владельцам возможность использовать права такого доступа. Когда администраторы получают права привилегированного доступа в группе, они становятся участниками всех четырех ролей Azure AD.

Приглашение гостевых пользователей и назначение ролей ресурсов Azure в управлении привилегированными пользователями

Гостевые пользователи Azure Active Directory (Azure AD) являются частью возможностей совместной работы для B2B в Azure AD, что позволяет управлять внешними гостевыми пользователями и поставщиками в роли гостей в Azure AD. Например, можно использовать функции управления привилегированными пользователями для задач идентификации Azure в отношении гостей, в том числе для назначения доступа к определенным ресурсам Azure, задания длительности назначения и даты его окончания, а также для запроса двухфакторной проверки подлинности в случае активного назначения или при активации. Дополнительные сведения о том, как приглашать гостей в свою организацию и управлять их доступом, см. в статье Добавление пользователей службы совместной работы B2B на портале Azure AD.

В каких ситуациях можно приглашать гостей?

Вот несколько примеров того, когда вы можете приглашать гостей в вашу организацию:

  • предоставление доступа к ресурсам Azure для определенного проекта внешнему независимому поставщику, у которого есть только учетная запись электронной почты;
  • предоставление доступа к приложению контроля расходов внешнему партнеру из крупной организации, в которой используются локальные службы федерации Active Directory;
  • предоставление доступа к ресурсам Azure инженерам службы поддержки, не входящей в вашу организацию (например, службе поддержки Майкрософт) для устранения неполадок.

Как работает совместная работа с гостями для B2B?

При совместной работе для B2B можно пригласить внешнего пользователя в организацию в качестве гостя. Гость может управляться как пользователь в вашей организации, однако гость должен проходить проверку подлинности в своей организации, а не в вашей организации Azure AD. Это означает, что если гость больше не имеет доступа к своей организации, он также теряет доступ к вашей. Например, если гость увольняется из своей организации, он автоматически теряет доступ ко всем предоставленным ему ресурсам в вашем каталоге Azure AD, и для этого вам не нужно ничего делать. Дополнительные действия см. в статье Что представляет собой гостевой доступ в службе совместной работы Azure Active Directory B2B?

Diagram showing how a guest user is authenticated in their home directory

Дальнейшие действия