Microsoft Entra 權限管理 快速入門指南
歡迎使用 Microsoft Entra 權限管理 快速入門指南。
許可權管理是雲端基礎結構權利管理 (CIEM) 解決方案,可提供指派給所有身分識別之許可權的完整可見性。 這些身分識別包括跨 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中多重雲端基礎結構的超特殊許可權工作負載和使用者身分識別、動作和資源。 許可權管理可藉由偵測、自動調整大小,以及持續監視未使用和過度的許可權,協助貴組織有效保護及管理雲端許可權。
在本快速入門指南中,您將設定多重雲端環境、設定數據收集,以及啟用許可權存取,以確保您的雲端身分識別受到管理和保護。
必要條件
開始之前,您需要存取這些工具以進行上線程式:
- 使用 Azure CLI 或使用 BASH 環境存取本機 BASH 殼層或 Azure Cloud Shell(包含 Azure CLI)。
- 存取 AWS、Azure 和 GCP 控制台。
- AWS 和 GCP 上線需要有全域 管理員 istrator 角色指派,才能在 Microsoft Entra 租使用者中建立新的應用程式註冊。
步驟 1:設定許可權管理
若要啟用許可權管理,您必須擁有 Microsoft Entra 租使用者(例如 Microsoft Entra 系統管理中心)。
- 如果您有 Azure 帳戶,則會自動擁有 Microsoft Entra 系統管理中心租使用者。
- 如果您還沒有帳戶,請在 entra.microsoft.com 建立免費帳戶。
如果符合上述點,請繼續進行:
請確定您是全域 管理員 istrator。 深入了解 許可權管理角色和許可權。
步驟 2:將多重雲端環境上線
到目前為止,您已經
- 已獲指派 Microsoft Entra 系統管理中心租使用者中的許可權管理 管理員 istrator 角色。
- 已購買授權或啟用許可權管理的 45 天免費試用。
- 已成功啟動許可權管理。
現在,您將了解許可權管理中控制器和數據收集模式的角色和設定。
設定控制器
控制器可讓您選擇決定您在 [許可權管理] 中授與使用者的存取層級。
在上線期間啟用控制器會授與許可權管理系統管理員存取權,或讀取和寫入存取權,讓使用者可以直接透過許可權管理來調整許可權並補救 (而不是移至 AWS、Azure 或 GCP 控制台)。
在上線期間停用控制器,或永遠不會啟用它,授與許可權管理使用者對環境只讀存取權。
注意
如果您在上線期間未啟用控制器,您可以選擇在上線完成後加以啟用。 若要在上線后的許可權管理中設定控制器,請參閱 在上線后啟用或停用控制器。 針對 AWS 環境,一旦啟用控制器,就無法將其停用。
若要在上線期間設定控制器設定:
- 選取 [ 啟用 ] 以授與許可權管理的讀取和寫入許可權。
- 選取 [停用 ] 以授與許可權管理的只讀存取權。
設定數據收集
有三種模式可供選擇,以便在許可權管理中收集數據。
自動 (建議) 許可權管理會自動探索、上線及監視所有目前和未來的訂用帳戶。
手動 輸入許可權管理的個別訂用帳戶,以探索、上線和監視。 每個數據收集最多可以輸入 100 個訂用帳戶。
選取 [許可權管理] 會自動探索所有目前的訂用帳戶。 探索到之後,您可以選取要上線和監視的訂用帳戶。
注意
若要使用 自動 或 選取 模式,必須在設定數據收集時啟用控制器。
若要設定資料收集:
- 在 [許可權管理] 中,移至 [數據收集器] 頁面。
- 選取雲端環境: AWS、 Azure 或 GCP。
- 按兩下 [ 建立組態]。
注意
在大部分情況下,數據收集程式需要一些時間,並以大約 4-5 小時間隔發生。 時間範圍取決於您擁有的授權系統大小,以及可供收集的數據量。
將 Amazon Web Services 上線 (AWS)
由於許可權管理裝載於 Microsoft Entra 上,因此有更多步驟可讓 AWS 環境上線。
若要將 AWS 連線到許可權管理,您必須在已啟用許可權管理的 Microsoft Entra 系統管理中心租使用者中建立 Microsoft Entra 應用程式。 此 Microsoft Entra 應用程式可用來設定與 AWS 環境的 OIDC 連線。
OpenID 連線 (OIDC) 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。
必要條件
用戶必須具有全域 管理員 istrator 或 Permissions Management 管理員 istrator 角色指派,才能在 Microsoft Entra ID 中建立新的應用程式註冊。
帳戶識別碼和角色:
- AWS OIDC 帳戶:由您指定的 AWS 成員帳戶,可透過 OIDC IdP 建立及裝載 OIDC 連線
- AWS 記錄帳戶(選擇性但建議)
- AWS 管理帳戶(選擇性但建議)
- 受許可權管理監視和管理的 AWS 成員帳戶(適用於手動模式)
若要使用 自動 或 選取 資料收集模式,您必須連線 AWS 管理帳戶。
在此步驟中,您可以使用 AWS CloudTrail 活動記錄輸入 S3 貯體的名稱來啟用控制器(在 AWS 追蹤中找到)。
若要將 AWS 環境上線並設定數據收集,請參閱 將 Amazon Web Services (AWS) 帳戶上線。
將 Microsoft Azure 上線
當您在 Microsoft Entra 租使用者中啟用許可權管理時,會建立 CIEM 的企業應用程式。 若要將 Azure 環境上線,您可以授與此應用程式的許可權以進行許可權管理。
在啟用許可權管理的 Microsoft Entra 租使用者中,找出 雲端基礎結構權利管理 (CIEM) 企業應用程式。
將 讀者 角色指派給 CIEM 應用程式,以允許許可權管理讀取您環境中的 Microsoft Entra 訂用帳戶。
必要條件
具有
Microsoft.Authorization/roleAssignments/write訂用帳戶或管理群組範圍許可權的使用者,將角色指派給 CIEM 應用程式。若要使用 自動 或 選取 資料收集模式,您必須在管理群組範圍中指派 讀取者 角色。
若要啟用控制器,您必須將使用者存取 管理員 istrator 角色指派給 CIEM 應用程式。
若要將 Azure 環境上線並設定數據收集,請參閱 將 Microsoft Azure 訂用帳戶上線。
將 Google Cloud Platform 上線 (GCP)
由於許可權管理裝載於 Microsoft Azure 上,因此有額外的步驟可讓 GCP 環境上線。
若要將 GCP 連線到許可權管理,您必須在已啟用許可權管理的 Microsoft Entra 租使用者中建立 Microsoft Entra 系統管理中心應用程式。 此 Microsoft Entra 系統管理中心應用程式可用來設定與 GCP 環境的 OIDC 連線。
OpenID 連線 (OIDC) 是以 OAuth 2.0 系列規格為基礎的互通驗證通訊協定。
必要條件
AWS 和 GCP 上線需要能夠在 Microsoft Entra 中建立新的應用程式註冊的使用者(需要協助 OIDC 連線)。
識別碼詳細資料:
- GCP OIDC 專案:由您指定的 GCP 專案,可透過 OIDC IdP 建立及裝載 OIDC 連線。
- 項目編號和專案標識碼
- GCP OIDC 工作負載身分識別
- 集區標識碼、集區提供者標識碼
- GCP OIDC 服務帳戶
- G-suite IdP 秘密名稱和 G-suite IdP 使用者電子郵件(選用)
- 您要上線之 GCP 專案的識別碼 (選擇性,適用於手動模式)
將 查看器 和安全性 檢閱者 角色指派給組織、資料夾或專案層級的 GCP 服務帳戶,以授與許可權管理對 GCP 環境的讀取許可權。
在此步驟中,您可以選擇將 Role 管理員 istrator and Security 管理員 istrator 角色指派給組織、資料夾或專案層級的 GCP 服務帳戶,以啟用控制器模式。
注意
[許可權管理] 預設範圍位於專案層級。
若要將 GCP 環境上線並設定資料收集,請參閱 將 GCP 項目上線。
摘要
恭喜! 您已完成為環境設定數據收集,而且數據收集程序已開始。 數據收集程式需要一些時間;在大部分情況下,大約 4-5 小時。 時間範圍取決於您上線的授權系統數量,以及可供收集的數據量。
[許可權管理] UI 中的 [狀態] 資料行會顯示您所在的數據收集步驟。
- 擱置:許可權管理尚未開始偵測或上線。
- 探索:許可權管理正在偵測授權系統。
- 進行中:許可權管理已完成偵測授權系統並上線。
- 上線:數據收集已完成,且所有偵測到的授權系統都會上線至許可權管理。
注意
數據收集程式繼續進行時,您可以在 [許可權管理] 中開始設定使用者和群組。
下一步
參考: