Vad är Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) är en tjänst i Azure Active Directory (Azure AD) som gör att du kan hantera, kontrollera och övervaka åtkomsten till viktiga resurser i din organisation. Dessa resurser omfattar resurser i Azure AD, Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune. I följande video introduceras viktiga PIM-begrepp och -funktioner.

Skäl att använda

Organisationer vill minimera antalet personer som har åtkomst till säker information eller resurser, eftersom det minskar risken för

  • en illvillig aktör som får åtkomst
  • en behörig användare oavsiktligt påverkar en känslig resurs

Användarna måste dock fortfarande utföra privilegierade åtgärder i Azure AD, Azure, Microsoft 365 eller SaaS-appar. Organisationer kan ge användare privilegierad just-in-time-åtkomst till Azure- och Azure AD-resurser och kan övervaka vad dessa användare gör med sin privilegierade åtkomst.

Licenskrav

Den här funktionen kräver en Azure AD Premium P2 licens. Information om hur du hittar rätt licens för dina krav finns i Jämför allmänt tillgängliga funktioner i Azure AD.

Information om licenser för användare finns i Licenskrav för att använda Privileged Identity Management.

Vad gör den?

Privileged Identity Management ger tidsbaserad och godkännandebaserad rollaktivering för att minska riskerna med överdriven, onödig eller missbrukad åtkomstbehörighet för resurser som är viktiga för dig. Här är några av de viktigaste funktionerna i Privileged Identity Management:

  • Ge privilegierad just-in-time-åtkomst till Azure AD och Azure-resurser
  • Tilldela tidsbunden åtkomst till resurser med hjälp av start- och slutdatum
  • Kräv godkännande för att aktivera privilegierade roller
  • Framtvinga multifaktorautentisering för aktivering av roller
  • Använd motivering för att förstå varför användare aktiverar
  • meddelanden när privilegierade roller aktiveras
  • Utför åtkomstgranskningar för att se till att användare fortfarande behöver ha vissa roller
  • Ladda ned granskningshistorik för intern eller extern granskning
  • Förhindrar borttagning av den senaste aktiva rolltilldelningen Global administratör

Vad kan jag göra med den?

När du har Privileged Identity Management visas alternativen Uppgifter,Hantera och Aktivitet i den vänstra navigeringsmenyn. Som administratör kan du välja mellan alternativ som att hantera Azure AD-roller, hantera Azure-resursroller eller privilegierade åtkomstgrupper. När du väljer vad du vill hantera visas en lämplig uppsättning alternativ för det alternativet.

Screenshot of Privileged Identity Management in the Azure portal

Vem kan göra vad?

För Azure AD-roller i Privileged Identity Management kan endast en användare som har rollen Privilegierad rolladministratör eller Global administratör hantera tilldelningar för andra administratörer. Globala administratörer, säkerhetsadministratörer, globala läsare och säkerhetsläsare kan också visa tilldelningar till Azure AD-roller i Privileged Identity Management.

För Azure-resursroller i Privileged Identity Management kan endast en prenumerationsadministratör, en resursägare eller en administratör för resursanvändaråtkomst hantera tilldelningar för andra administratörer. Användare som är privilegierade rolladministratörer, säkerhetsadministratörer eller säkerhetsläsare har som standard inte åtkomst till att visa tilldelningar till Azure-resursroller i Privileged Identity Management.

Terminologi

För att bättre Privileged Identity Management och dess dokumentation bör du granska följande termer.

Term eller begrepp Kategori för rolltilldelning Beskrivning
berättigad Typ En rolltilldelning som kräver att en användare utför en eller flera åtgärder för att använda rollen. Om en användare har gjorts berättigad för en roll innebär det att användaren kan aktivera rollen när det finns behov av att utföra privilegierade åtgärder. Det finns ingen skillnad i den åtkomst som ges till någon med en permanent kontra berättigad rolltilldelning. Den enda skillnaden är att vissa användare inte behöver den åtkomsten hela tiden.
aktiv Typ En rolltilldelning som inte kräver att en användare utför några åtgärder för att använda rollen. Användare som är tilldelade som aktiva har de behörigheter som rollen har tilldelats.
aktivera Processen med att utföra en eller flera åtgärder för att använda en roll som en användare är berättigad för. Det kan vara åtgärder som att utföra en kontroll av multifaktorautentisering (MFA), ange en affärsmotivering eller begära godkännande från utnämnda godkännare.
tilldelad Tillstånd En användare som har en aktiv rolltilldelning.
aktiverad Tillstånd En användare som har en berättigad rolltilldelning, utförde åtgärderna för att aktivera rollen och nu är aktiv. När den har aktiverats kan användaren använda rollen under en förkonfigurerad tidsperiod innan de behöver aktivera igen.
permanent berättigad Varaktighet En rolltilldelning där en användare alltid är berättigad att aktivera rollen.
permanent aktiv Varaktighet En rolltilldelning där en användare alltid kan använda rollen utan att utföra några åtgärder.
berättigad till tidsbunden Varaktighet En rolltilldelning där en användare endast kan aktivera rollen inom start- och slutdatum.
tidsbunden aktiv Varaktighet En rolltilldelning där en användare endast kan använda rollen inom start- och slutdatum.
just-in-time-åtkomst (JIT) En modell i vilken användarna får tillfällig behörighet att utföra privilegierade uppgifter, vilket hindrar skadliga eller obehöriga användare från att få åtkomst när behörigheterna har gått ut. Åtkomst beviljas endast när användare behöver den.
princip om minsta behörighetsåtkomst En rekommenderad säkerhetsrutin där varje användare endast har fått de minsta privilegier som krävs för att utföra uppgifterna som de har behörighet att utföra. Den här metoden minimerar antalet globala administratörer och använder i stället specifika administratörsroller för vissa scenarier.

Utöka och förnya tilldelningar

När du har ställt in dina tidsbundna ägar- eller medlemstilldelningar är den första frågan som du kan ställa vad som händer om en tilldelning upphör att gälla? I den här nya versionen tillhandahåller vi två alternativ för det här scenariot:

  • Utöka – När en rolltilldelning snart upphör att gälla kan användaren använda Privileged Identity Management för att begära ett tillägg för rolltilldelningen
  • Förnya – När en rolltilldelning redan har upphört att gälla kan användaren använda Privileged Identity Management för att begära en förnyelse för rolltilldelningen

Båda användarinitierade åtgärderna kräver godkännande från en global administratör eller privilegierad rolladministratör. Administratörer behöver inte hantera förfallotid för tilldelningar. Du kan bara vänta tills tilläggs- eller förnyelsebegäranden tas emot för enkelt godkännande eller nekande.

Scenarier

Privileged Identity Management stöder följande scenarier:

Privilegierad rolladministratörsbehörighet

  • aktivera godkännande för specifika roller
  • Ange godkännare av användare eller grupper för att godkänna begäranden
  • visa historik för begäranden och godkännanden för alla privilegierade roller.

Godkännarbehörigheter

  • visa väntande godkännanden (begäranden)
  • Godkänna eller avvisa begäranden om utökade roller (en och flera)
  • Ange en motivering för mitt godkännande eller avvisande

Behörigheter för berättigade rollanvändare

  • begära aktivering av roller som kräver godkännande
  • visa status för begäran att aktivera
  • slutföra uppgiften i Azure AD om aktiveringen godkändes.

Hantera Privilegierad åtkomst för Azure AD-grupper (förhandsversion)

I Privileged Identity Management (PIM) kan du nu tilldela behörighet för medlemskap eller ägarskap för privilegierade åtkomstgrupper. Från och med den här förhandsversionen kan du tilldela inbyggda Azure Active Directory-roller (Azure AD) till molngrupper och använda PIM för att hantera behörighet och aktivering av gruppmedlem och ägare. Mer information om rolltilldelningsbara grupper i Azure AD finns i Använda Azure AD-grupper för att hantera rolltilldelningar.

Viktigt

Om du vill tilldela en privilegierad åtkomstgrupp till en roll för administrativ åtkomst till Exchange, Security Compliance Center eller SharePoint använder du & azure AD-portalens roll- och administratörsupplevelse och inte i upplevelsen Privilegierade åtkomstgrupper för att göra användaren eller gruppen berättigad till aktivering i gruppen. &

Olika just-in-time-principer för varje grupp

Vissa organisationer använder verktyg som B2B-samarbete (business-to-business) i Azure AD för att bjuda in sina partner som gäster till sin Azure AD-organisation. I stället för en enda just-in-time-princip för alla tilldelningar till en privilegierad roll kan du skapa två olika privilegierade åtkomstgrupper med egna principer. Du kan tillämpa mindre strikta krav för dina betrodda anställda och striktare krav som godkännandearbetsflöde för dina partner när de begär aktivering i sin tilldelade grupp.

Aktivera flera rolltilldelningar i en begäran

Med förhandsversionen av privilegierade åtkomstgrupper kan du ge arbetsbelastningsspecifika administratörer snabb åtkomst till flera roller med en enda just-in-time-begäran. Dina administratörer på nivå 3 Office kan till exempel behöva just-in-time-åtkomst till rollerna Exchange Admin, Office Apps Admin, Teams Admin och Search Admin för att noggrant undersöka incidenter dagligen. Innan idag skulle det kräva fyra på varandra följande begäranden, vilket är en process som tar lite tid. I stället kan du skapa en roll tilldelningsbar grupp med namnet "Nivå 3 Office-administratörer", tilldela den till var och en av de fyra rollerna som nämnts tidigare (eller eventuella inbyggda Azure AD-roller) och aktivera den för Privilegierad åtkomst i gruppens aktivitetsavsnitt. När det har aktiverats för privilegierad åtkomst kan du konfigurera just-in-time-inställningarna för medlemmar i gruppen och tilldela dina administratörer och ägare som berättigade. När administratörerna höjer sig till gruppen blir de medlemmar i alla fyra Azure AD-roller.

Bjud in gästanvändare och tilldela Azure-resursroller i Privileged Identity Management

Azure Active Directory (Azure AD)-gästanvändare är en del av B2B-samarbetsfunktionerna (business-to-business) i Azure AD så att du kan hantera externa gästanvändare och leverantörer som gäster i Azure AD. Du kan till exempel använda dessa Privileged Identity Management-funktioner för Azure-identitetsuppgifter med gäster, till exempel tilldela åtkomst till specifika Azure-resurser, ange tilldelningstid och slutdatum eller kräva tvåstegsverifiering för aktiv tilldelning eller aktivering. Mer information om hur du bjuder in en gäst till din organisation och hanterar deras åtkomst finns i Lägga till B2B-samarbetsanvändare i Azure AD-portalen.

När skulle du bjuda in gäster?

Här följer några exempel på när du kan bjuda in gäster till din organisation:

  • Tillåt en extern oberoende leverantör som bara har ett e-postkonto att komma åt dina Azure-resurser för ett projekt.
  • Tillåt en extern partner i en stor organisation som använder lokal Active Directory Federation Services för att få åtkomst till ditt utgiftsprogram.
  • Tillåt supporttekniker som inte finns i din organisation (till exempel Microsoft Support) att tillfälligt komma åt din Azure-resurs för att felsöka problem.

Hur fungerar samarbete med B2B-gäster?

När du använder B2B-samarbete kan du bjuda in en extern användare till din organisation som gäst. Gästen kan hanteras som en användare i din organisation, men en gäst måste autentiseras i sin hemorganisation och inte i din Azure AD-organisation. Det innebär att om gästen inte längre har åtkomst till sin hemorganisation förlorar de också åtkomst till din organisation. Om gästen till exempel lämnar organisationen förlorar den automatiskt åtkomsten till alla resurser som du har delat med dem i Azure AD utan att du behöver göra något. Mer information om B2B-samarbete finns i Vad är gästanvändaråtkomst i Azure Active Directory B2B?.

Diagram showing how a guest user is authenticated in their home directory

Nästa steg