Konfigurera azure-resursrollinställningar i Privileged Identity Management

  • Artikel

I Privileged Identity Management (PIM) i Microsoft Entra ID, som är en del av Microsoft Entra, definierar rollinställningar rolltilldelningsegenskaper. Dessa egenskaper omfattar krav på multifaktorautentisering och godkännande för aktivering, maximal varaktighet för tilldelning och meddelandeinställningar. Den här artikeln visar hur du konfigurerar rollinställningar och konfigurerar arbetsflödet för godkännande för att ange vem som kan godkänna eller neka begäranden om utökade privilegier.

Du måste ha rollen Ägare eller Administratör för användaråtkomst för att hantera PIM-rollinställningar för resursen. Rollinställningar definieras per roll och per resurs. Alla tilldelningar för samma roll följer samma rollinställningar. Rollinställningar för en roll är oberoende av rollinställningar för en annan roll. Rollinställningarna för en resurs är oberoende av rollinställningarna för en annan resurs. Rollinställningar som konfigurerats på en högre nivå, till exempel Prenumeration, ärvs inte på en lägre nivå, till exempel resursgrupp.

PIM-rollinställningar kallas även PIM-principer.

Öppna rollinställningar

Så här öppnar du inställningarna för en Azure-resursroll:

  1. Logga in på administrationscentret för Microsoft Entra.

  2. Bläddra till Azure-resurser för identitetsstyrning>Privileged Identity Management.> På den här sidan kan du välja den resurstyp som du vill hantera. Börja antingen i listrutan Hanteringsgrupp eller i listrutan Prenumerationer och välj sedan Resursgrupper eller Resurser efter behov.

    Screenshot that shows the list of Azure resources discovered in Privileged Identity Management.

  3. Välj den resurs som du behöver konfigurera PIM-rollinställningar för.

  4. Välj Inställningar. Visa en lista över PIM-principer för en vald resurs.

    Screenshot that shows the list of PIM policies for a selected resource.

  5. Välj den roll eller princip som du vill konfigurera.

  6. Välj Redigera för att uppdatera rollinställningarna.

  7. Välj Uppdatera.

Rollinställningar

I det här avsnittet beskrivs alternativ för rollinställningar.

Maximal varaktighet för aktivering

Använd skjutreglaget Aktiverings maximal varaktighet för att ange den maximala tid i timmar som en aktiveringsbegäran för en rolltilldelning förblir aktiv innan den upphör att gälla. Det här värdet kan vara mellan 1 och 24 timmar.

Vid aktivering kräver du multifaktorautentisering

Du kan kräva att användare som är berättigade till en roll kan bevisa vilka de är genom att använda multifaktorautentiseringsfunktionen i Microsoft Entra-ID:t innan de kan aktiveras. Multifaktorautentisering hjälper till att skydda åtkomsten till data och program. Det ger ytterligare ett säkerhetslager med hjälp av en andra form av autentisering.

Användare kanske inte tillfrågas om multifaktorautentisering om de autentiserades med starka autentiseringsuppgifter eller tillhandahöll multifaktorautentisering tidigare i den här sessionen.

Om ditt mål är att se till att användarna måste tillhandahålla autentisering under aktiveringen kan du använda Vid aktivering, kräva Microsoft Entra-kontext för villkorsstyrd åtkomstautentisering tillsammans med autentiseringsstyrkor. De här alternativen kräver att användarna autentiserar under aktiveringen med andra metoder än de använde för att logga in på datorn.

Om användarna till exempel loggar in på datorn med hjälp av Windows Hello för företag kan du använda Vid aktivering, kräva autentiseringskontext för Microsoft Entra-autentisering och autentiseringsstyrkor för att kräva att användarna gör lösenordslös inloggning med Microsoft Authenticator när de aktiverar rollen.

När användaren har skapat lösenordslös inloggning med Microsoft Authenticator en gång i det här exemplet kan de göra sin nästa aktivering i den här sessionen utan någon annan autentisering. Lösenordslös inloggning med Microsoft Authenticator är redan en del av deras token.

Vi rekommenderar att du aktiverar multifaktorautentiseringsfunktionen i Microsoft Entra-ID för alla användare. Mer information finns i Planera en distribution av multifaktorautentisering i Microsoft Entra.

Vid aktivering kräver du autentiseringskontext för villkorsstyrd åtkomst i Microsoft Entra

Du kan kräva att användare som är berättigade till en roll uppfyller principkraven för villkorsstyrd åtkomst. Du kan till exempel kräva att användare använder en specifik autentiseringsmetod som framtvingas via autentiseringsstyrkor, höjer rollen från en Intune-kompatibel enhet och följer användningsvillkoren.

För att framtvinga det här kravet skapar du autentiseringskontext för villkorsstyrd åtkomst.

  1. Konfigurera en princip för villkorsstyrd åtkomst som skulle framtvinga krav för den här autentiseringskontexten.

  2. Konfigurera en autentiseringskontext i PIM-inställningar för rollen.

    Screenshot that shows the Edit role settings Attestation Reader page.

Om PIM-inställningarna har Vid aktivering, kräver microsoft Entra villkorlig åtkomst autentiseringskontext konfigurerad, definierar principerna för villkor för villkor som en användare måste uppfylla för att uppfylla åtkomstkraven.

Det innebär att säkerhetsobjekt med behörighet att hantera principer för villkorsstyrd åtkomst, till exempel administratörer för villkorsstyrd åtkomst eller säkerhetsadministratörer, kan ändra kraven, ta bort dem eller blockera berättigade användare från att aktivera rollen. Säkerhetsobjekt som kan hantera principer för villkorsstyrd åtkomst bör betraktas som högprivilegierade och skyddade i enlighet med detta.

Vi rekommenderar att du skapar och aktiverar en princip för villkorlig åtkomst för autentiseringskontexten innan autentiseringskontexten konfigureras i PIM-inställningar. Om det inte finns några principer för villkorsstyrd åtkomst i klientorganisationen som har konfigurerats i PIM-inställningarna under PIM-rollaktivering krävs multifaktorautentiseringsfunktionen i Microsoft Entra-ID som inställningen Vid aktivering.

Den här mekanismen för säkerhetskopieringsskydd är utformad för att enbart skydda mot ett scenario när PIM-inställningarna uppdaterades innan principen för villkorsstyrd åtkomst skapades på grund av ett konfigurationsfel. Den här mekanismen för säkerhetskopieringsskydd utlöses inte om principen för villkorsstyrd åtkomst är inaktiverad, är i rapportläge eller om en berättigad användare undantas från principen.

Inställningen Vid aktivering kräver autentiseringskontext för Microsoft Entra definierar de krav för autentiseringskontext som användarna måste uppfylla när de aktiverar rollen. När rollen har aktiverats hindras inte användare från att använda en annan webbläsarsession, enhet eller plats för att använda behörigheter.

Användare kan till exempel använda en Intune-kompatibel enhet för att aktivera rollen. När rollen har aktiverats kan de logga in på samma användarkonto från en annan enhet som inte är Intune-kompatibel och använda den tidigare aktiverade rollen därifrån.

För att förhindra den här situationen kan du omfångsbegränsa principer för villkorsstyrd åtkomst för att tillämpa vissa krav för berättigade användare direkt. Du kan till exempel kräva att användare som är berättigade till vissa roller alltid använder Intune-kompatibla enheter.

Mer information om autentiseringskontext för villkorsstyrd åtkomst finns i Villkorsstyrd åtkomst: Molnappar, åtgärder och autentiseringskontext.

Kräv motivering vid aktivering

Du kan kräva att användarna anger en affärsmotivering när de aktiverar den berättigade tilldelningen.

Kräv biljettinformation vid aktivering

Du kan kräva att användarna anger ett supportärendenummer när de aktiverar den berättigade tilldelningen. Det här alternativet är ett informationsfält. Korrelation med information i ett biljettsystem tillämpas inte.

Kräv godkännande för att aktivera

Du kan kräva godkännande för aktivering av en berättigad tilldelning. Godkännaren behöver inte ha några roller. När du använder det här alternativet måste du välja minst en godkännare. Vi rekommenderar att du väljer minst två godkännare. Det finns inga standardgodkännare.

Mer information om godkännanden finns i Godkänna eller neka begäranden för Microsoft Entra-roller i Privileged Identity Management.

Tilldelningsvaraktighet

När du konfigurerar inställningar för en roll kan du välja mellan två tilldelningsvaraktighetsalternativ för varje tilldelningstyp: berättigad och aktiv. De här alternativen blir den maximala standardvaraktigheten när en användare tilldelas rollen i Privileged Identity Management.

Du kan välja något av dessa alternativ för tilldelningens varaktighet.

Inställning beskrivning
Tillåt permanent berättigad tilldelning Resursadministratörer kan tilldela permanenta kvalificerade tilldelningar.
Förfalla berättigad tilldelning efter Resursadministratörer kan kräva att alla berättigade tilldelningar har ett angivet start- och slutdatum.

Du kan också välja något av dessa alternativ för aktiv tilldelningstid.

Inställning beskrivning
Tillåt permanent aktiv tilldelning Resursadministratörer kan tilldela permanenta aktiva tilldelningar.
Förfalla aktiv tilldelning efter Resursadministratörer kan kräva att alla aktiva tilldelningar har ett angivet start- och slutdatum.

Alla tilldelningar som har ett angivet slutdatum kan förnyas av globala administratörer och privilegierade rolladministratörer. Användarna kan också initiera självbetjäningsbegäranden för att utöka eller förnya rolltilldelningar.

Kräv multifaktorautentisering vid aktiv tilldelning

Du kan kräva att en administratör tillhandahåller multifaktorautentisering när de skapar en aktiv (i stället för berättigad) tilldelning. Privileged Identity Management kan inte framtvinga multifaktorautentisering när användaren använder sin rolltilldelning eftersom de redan är aktiva i rollen från den tidpunkt då den tilldelades.

En administratör kanske inte tillfrågas om multifaktorautentisering om de autentiserades med starka autentiseringsuppgifter eller tillhandahöll multifaktorautentisering tidigare i den här sessionen.

Kräv motivering för aktiv tilldelning

Du kan kräva att användarna anger en affärsmotivering när de skapar en aktiv (i stället för berättigad) tilldelning.

På fliken Meddelandensidan Rollinställningar ger Privileged Identity Management detaljerad kontroll över vem som tar emot meddelanden och vilka meddelanden de får.

  • Inaktivera ett e-postmeddelande: Du kan inaktivera specifika e-postmeddelanden genom att avmarkera kryssrutan standardmottagare och ta bort andra mottagare.
  • Begränsa e-post till angivna e-postadresser: Du kan inaktivera e-postmeddelanden som skickas till standardmottagare genom att avmarkera kryssrutan standardmottagare. Du kan sedan lägga till andra e-postadresser som mottagare. Om du vill lägga till fler än en e-postadress separerar du dem med hjälp av ett semikolon (;).
  • Skicka e-postmeddelanden till både standardmottagare och fler mottagare: Du kan skicka e-postmeddelanden till både standardmottagaren och en annan mottagare. Markera kryssrutan standardmottagare och lägg till e-postadresser för andra mottagare.
  • Endast kritiska e-postmeddelanden: För varje typ av e-post kan du markera kryssrutan för att endast ta emot kritiska e-postmeddelanden. Privileged Identity Management fortsätter att skicka e-postmeddelanden till de angivna mottagarna endast när e-postmeddelandet kräver omedelbara åtgärder. E-postmeddelanden som ber användarna att utöka sin rolltilldelning utlöses till exempel inte. E-postmeddelanden som kräver att administratörer godkänner en tilläggsbegäran utlöses.

Kommentar

En händelse i Privileged Identity Management kan generera e-postmeddelanden till flera mottagare – tilldelare, godkännare eller administratörer. Det maximala antalet meddelanden som skickas per en händelse är 1 000. Om antalet mottagare överstiger 1 000 får endast de första 1 000 mottagarna ett e-postmeddelande. Detta hindrar inte andra tilldelningar, administratörer eller godkännare från att använda sina behörigheter i Microsoft Entra ID och Privileged Identity Management.

Nästa steg