Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Управление привилегированными пользователями (PIM) обеспечивает активацию ролей на основе времени и утверждений, чтобы снизить риски, связанные с чрезмерным, ненужным или неправильным использованием разрешений на доступ к важным ресурсам. К этим ресурсам относятся ресурсы в идентификаторе Microsoft Entra, Azure и других веб-службах Майкрософт, таких как Microsoft 365 или Microsoft Intune.
PIM позволяет разрешить определенный набор действий в определенной области. Ключевые возможности:
предоставьте привилегированный доступ к ресурсам точно в срок;
Назначение права на участие в членстве или владении PIM для групп
назначение доступа с временным ограничением к ресурсам с помощью даты начала и окончания;
требование утверждения для активации привилегированных ролей;
Принудительное применение многофакторной проверки подлинности для активации любой роли
Применение политик условного доступа для активации любой роли (публичная предварительная версия)
использование обоснования, чтобы понять причину активации;
получение уведомлений при активации привилегированных ролей;
проведение проверки доступа, чтобы убедиться в необходимости ролей для пользователей;
Скачать историю аудита для внутреннего или внешнего аудита.
Чтобы получить максимальную выгоду от этого плана развертывания, важно получить полный обзор Управление привилегированными учетными данными.
Общие сведения о PIM
Основные понятия PIM в этом разделе помогают понять требования к привилегированным учетным записям в вашей организации.
Чем можно управлять в PIM
Сейчас PIM можно использовать для следующего:
роли Microsoft Entra — иногда называемые ролями каталогов, роли Microsoft Entra включают встроенные и пользовательские роли для управления идентификатором Microsoft Entra и другими онлайн-сервисами Microsoft 365.
Роли Azure — роли управления доступом на основе ролей (RBAC) в Azure, которые предоставляют доступ к группам управления, подпискам, группам ресурсов и ресурсам.
PIM для групп — чтобы настроить доступ в режиме реального времени к роли участника и владельца группы безопасности Microsoft Entra. PIM для групп не только предоставляет альтернативный способ настройки PIM для ролей Microsoft Entra и ролей Azure, но и позволяет настроить PIM для других разрешений в Microsoft онлайн-службах, таких как Intune, Хранилище ключей Azure и Защита информации Azure. Если группа настроена для управления приложениями, активация членства в группе запускает предоставление членства в группе (а также учетной записи пользователя, если она ещё не была предоставлена) для приложения с использованием протокола управления идентичностью SCIM.
Этим ролям или группам можно назначить следующее:
Пользователи. Чтобы получить JIT-доступ к ролям Microsoft Entra, ролям Azure и PIM для групп.
Группы — любой участник группы может получить JIT-доступ к ролям Microsoft Entra и ролям Azure. Для ролей Microsoft Entra группа должна быть недавно созданной облачной группой, которая помечена как назначаемая на роль, тогда как для ролей Azure группа может быть любой группой безопасности Microsoft Entra. Назначение или добавление группы в PIM for Groups не рекомендуется.
Примечание.
Вы не можете назначать сервисные учетные записи в качестве допустимых для ролей Microsoft Entra, ролей Azure и PIM для групп, но можете предоставить активное назначение на ограниченное время для всех трех.
Принцип наименьших привилегий
Вы назначаете пользователям роль с минимальными привилегиями, необходимыми для выполнения их задач. Такой подход позволяет свести к минимуму количество глобальных администраторов. Вместо этого используются определенные роли администратора для конкретных сценариев.
Примечание.
Корпорация Майкрософт имеет несколько глобальных администраторов. Узнайте больше о том, как корпорация Майкрософт использует управление привилегированными пользователями.
Тип назначений
Есть два типа назначений: допустимое и активное. Если пользователь имеет право на роль, он может активировать роль при необходимости выполнения привилегированных задач.
Вы также можете установить время начала и окончания для каждого типа задания. Это дополнение предоставляет вам четыре возможных типа назначений:
постоянная допустимость
постоянно активный
Допустимое ограничение по времени с указанными датами начала и окончания для назначения
Активное ограничение по времени с указанными датами начала и окончания для назначения
Если истечет срок действия роли, вы можете продлить или возобновить эти назначения.
Поддерживайте минимальное количество активных назначений для ролей, если они не относятся к учетным записям аварийного доступа.
Корпорация Майкрософт рекомендует организациям постоянно назначать двум учетным записям экстренного доступа только в облаке роль Глобального администратора. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного реагирования или сценариями 'разбить стекло', если обычные учетные записи не могут быть использованы или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями для учетной записи аварийного доступа.
Планирование проекта
Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их возможностей, результатов и обязанностей. Чтобы избежать этих ловушек, необходимо привлечь соответствующих заинтересованных лиц, а их роли в проекте должны быть очевидны.
Планирование пилотного проекта
На каждом этапе развертывания убедитесь, что результаты оцениваются должным образом. Ознакомьтесь с рекомендациями по пилотным проектам.
Начните с небольшого набора пользователей (пилотной группы) и убедитесь, что PIM работает должным образом.
Проверьте правильность работы всей конфигурации, настроенной для ролей или PIM для групп.
Развертывайте ее в рабочей среде только после тщательного тестирования.
Планирование информирования
Информирование важно для успеха любой новой службы. Упреждающее взаимодействие с пользователями о том, как изменяется их опыт, когда он изменяется, и как получить поддержку при возникновении проблем.
Назначьте время для встречи с вашей внутренней ИТ-службой поддержки, чтобы провести их по этапам рабочего процесса PIM. Предоставьте им соответствующую документацию и контактные данные.
Планирование тестирования и отмены изменений
Примечание.
Для ролей Microsoft Entra организации часто тестируют и развертывают глобальных администраторов, в то время как для ресурсов Azure они обычно проверяют PIM одну подписку Azure одновременно.
Планирование тестирования
Чтобы убедиться, что все параметры PIM работают правильно, примените их к специально созданным тестовым пользователям. Лишь после этого применяйте их к реальным пользователям, когда создается риск нарушения доступа к приложениям и ресурсам. Разработайте план тестирования, чтобы сравнить ожидаемые и фактически полученные результаты.
В следующей таблице показан пример тестового случая.
| Роль | Ожидаемое поведение во время активации | Фактические результаты |
|---|---|---|
| Глобальный администратор |
Для ролей идентификатора Microsoft Entra и ресурса Azure убедитесь, что у вас есть пользователи, которые будут принимать эти роли. Кроме того, при тестировании PIM в промежуточной среде учитывайте следующие роли:
| Роли | Роли Microsoft Entra | Роли ресурсов Azure | PIM для групп |
|---|---|---|---|
| Член группы | x | ||
| Члены роли | x | x | |
| Владелец ИТ-сервиса | x | x | |
| Владелец подписки или ресурса | x | x | |
| PIM для владельца групп | x |
Планирование отката
Если PIM не работает, как требуется в рабочей среде, можно снова изменить назначение роли с "допустимое" на "активное". Для каждой настроенной роли выберите многоточие (...) для всех пользователей с типом назначения в качестве подходящих. Затем вы сможете выбрать параметр Сделать активным, чтобы вернуться и сделать назначение роли активным.
Планирование и внедрение PIM для ролей Microsoft Entra
Выполните следующие задачи, чтобы подготовить PIM к управлению ролями Microsoft Entra.
Обнаружение и устранение привилегированных ролей
Составьте список пользователей с привилегированными ролями в организации. Ознакомьтесь с назначенными пользователями, найдите администраторов, которым больше не нужна роль, и удалите их из их назначений.
Вы можете использовать проверки доступа к ролям Microsoft Entra для автоматизации обнаружения, проверки и утверждения или удаления назначений.
Определение ролей, управляемых PIM
Ставьте в приоритет защиту ролей Microsoft Entra с наибольшим количеством разрешений. Необходимо также учесть, какие данные и разрешения являются наиболее важными для вашей организации.
Во-первых, убедитесь, что все роли глобального администратора и администратора безопасности управляются с помощью PIM, так как они являются пользователями, которые могут причинить наибольший ущерб при компрометации. Затем рассмотрите другие роли, которыми следует управлять и которые могут быть уязвимы для атак.
С помощью метки Privileged можно определить роли с высокими привилегиями, которыми можно управлять с помощью PIM. Привилегированная метка присутствует на Ролях и Администраторе в Центре администрирования Microsoft Entra. Дополнительные сведения см. в статье о встроенных ролях Microsoft Entra.
Настройка параметров PIM для ролей Microsoft Entra
Создайте и настройте параметры PIM для каждой привилегированной роли Microsoft Entra, которую использует ваша организация.
В следующей таблице показан пример параметров:
| Роль | Требовать многофакторную аутентификацию. | Требовать условный доступ | Уведомление | Заявка на инцидент | Требуется утверждение | Утверждающий | Длительность активации | Администратор разрешений |
|---|---|---|---|---|---|---|---|---|
| Глобальный администратор | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | Другой глобальный администратор | Один час | Учетные записи для аварийного доступа |
| Администратор Exchange | ✔️ | ✔️ | ✔️ | ❌ | ❌ | нет | Два часа | нет |
| Администратор службы поддержки | ❌ | ❌ | ❌ | ✔️ | ❌ | нет | Восемь часов | нет |
Назначение и активация ролей Microsoft Entra
Для ролей Microsoft Entra в PIM только пользователь, являющийся администратором привилегированных ролей или ролью глобального администратора, может управлять назначениями для других администраторов. Глобальные администраторы, администраторы безопасности, глобальные читатели и читатели безопасности также могут просматривать назначения ролей Microsoft Entra в системе PIM.
Выполните инструкции по каждому из следующих шагов:
&
Разрешить уполномоченным пользователям активировать их роль Microsoft Entra в нужный момент.&
Когда роль приближается к истечению срока ее действия, используйте PIM для расширения или обновления ролей. Оба инициированных пользователем действия должен утвердить глобальный администратор или администратор привилегированных ролей.
Когда эти важные события происходят с ролями Microsoft Entra, PIM отправляет уведомления по электронной почте и еженедельные сводки администраторам привилегий в зависимости от роли, события и настроек уведомлений. Эти электронные письма также могут содержать ссылки на соответствующие задачи, такие как активация или продление роли.
Примечание.
Вы также можете выполнять эти задачи с помощью API Microsoft Graph для ролей Microsoft Entra в PIM.
Утверждение или отклонение запросов на активацию PIM
Делегированный утверждающий получает уведомление по электронной почте, когда поступает запрос, ожидающий утверждения. Выполните следующие действия, чтобы утвердить или отклонить запросы на активацию роли ресурсов Azure.
Просмотр истории аудита для ролей Microsoft Entra
Просмотрите журнал аудита для всех назначений ролей и активаций за последние 30 дней для ролей Microsoft Entra. Вы можете получить доступ к журналам аудита, если вы являетесь глобальным администратором или администратором привилегированных ролей.
Пусть как минимум один администратор каждую неделю просматривает все события аудита и экспортирует события аудита ежемесячно.
Оповещения безопасности для ролей Microsoft Entra
Настройте оповещения безопасности для ролей Microsoft Entra, чтобы вызывать оповещение в случае подозрительной и небезопасной активности.
Планирование и реализация PIM для ролей ресурсов Azure
Выполните следующие задачи, чтобы подготовить PIM к управлению ролями ресурсов Azure.
Обнаружение и устранение привилегированных ролей
Минимизируйте назначения ролей администратора владельцам и пользователям, подключенным к каждой подписке или ресурсу и удалите ненужные назначения.
Как глобальный администратор вы можете повысить уровень доступа для управления всеми подписками Azure. Затем можно найти владельца каждой подписки и взаимодействовать с ним, чтобы удалить ненужные задания в их подписках.
Используйте проверки доступа для ресурсов Azure, чтобы выполнять аудит назначений ролей и удалять ненужные.
Определение ролей, управляемых PIM
Решая, какие назначения ролей должны управляться с помощью PIM для ресурсов Azure, необходимо сначала определить группы управления, подписки, группы ресурсов и ресурсы, которые наиболее важны для вашей организации. Рекомендуется использовать группы управления для организации всех своих ресурсов в организации.
Управление всеми ролями владельца подписки и администратора доступа пользователей с помощью PIM.
Работайте с владельцами подписки, чтобы документировать ресурсы, управляемые каждой подпиской, и классифицировать уровень риска каждого ресурса, если он скомпрометирован. Назначьте приоритеты для управления ресурсами с помощью PIM на основе уровней риска. Сюда также входят пользовательские ресурсы, присоединенные к подписке.
Обратитесь к владельцам подписок или ресурсов критически важных служб, чтобы настроить рабочий процесс PIM для всех ролей в конфиденциальных подписках или ресурсах.
Для подписок или ресурсов, которые не настолько важны, не нужно настраивать PIM для всех ролей. Тем не менее следует защитить с помощью PIM роли владельца или администратора доступа пользователей.
Настройка параметров PIM для ролей ресурсов Azure
Настройте параметры для ролей ресурсов Azure, которые вы запланировали защищать с помощью PIM.
В следующей таблице показан пример параметров:
| Роль | Требовать многофакторную аутентификацию. | Уведомление | Требовать условный доступ | Требуется утверждение | Утверждающий | Длительность активации | Активный администратор | Активное истечение срока | Допустимый срок истечения |
|---|---|---|---|---|---|---|---|---|---|
| Владелец критических подписок | ✔️ | ✔️ | ✔️ | ✔️ | Другие владельцы подписки | Один час | нет | Н/Д | Три месяца |
| Администратор доступа пользователей для менее важных подписок | ✔️ | ✔️ | ✔️ | ❌ | нет | Один час | нет | Н/Д | Три месяца |
Назначение и активация роли ресурсов в Azure
Для ролей ресурсов Azure в PIM только владелец или администратор доступа пользователей могут управлять назначениями для других администраторов. Пользователи, которые являются администраторами привилегированных ролей, администраторами безопасности или читателями безопасности, по умолчанию не имеют доступа к просмотру назначений к ролям ресурсов Azure.
Выполните инструкции, приведенные по ссылкам ниже.
Когда назначение привилегированной роли приближается к истечению срока ее действия, используйте PIM для расширения или обновления ролей. Оба действия, инициированные пользователем, требуют утверждения от владельца ресурса или администратора доступа пользователей.
При возникновении этих важных событий в ролях ресурсов Azure PIM отправляет уведомления по электронной почте владельцам и администраторам доступа пользователей. Эти электронные письма также могут содержать ссылки на соответствующие задачи, такие как активация или продление роли.
Примечание.
Вы также можете выполнять эти задачи PIM с помощью API Microsoft Azure Resource Manager для ролей ресурсов Azure.
Утверждение или отклонение запросов на активацию PIM
Утверждать или отклонять запросы на активацию роли Microsoft Entra. Делегированный утверждающий получает уведомление по электронной почте, когда запрос находится в ожидании утверждения.
Просмотр журнала аудита для ролей ресурсов Azure
Просматривайте журнал аудита для всех назначений и активаций ролей за последние 30 дней для ролей ресурсов Azure.
Оповещения безопасности для ролей ресурсов в Azure
Настройте оповещения системы безопасности для ролей ресурсов Azure , которые активируют оповещение при подозрительном и небезопасном действии.
Планирование и внедрение PIM для управления группами
Выполните эти задачи, чтобы подготовить PIM к управлению групповыми ресурсами.
Ознакомьтесь с PIM для групп
У кого-то может быть пять или шесть подходящих назначений для ролей Microsoft Entra через PIM. Они должны активировать каждую роль по отдельности, что может снизить производительность. Что ещё хуже, у них также могут быть назначены десятки или сотни ресурсов Azure, что усугубляет проблему.
В этом случае следует использовать PIM для групп. Создайте PIM для групп и предоставьте ему постоянный активный доступ к нескольким ролям. См. Управление привилегиями (PIM) для групп (предварительный просмотр).
Чтобы управлять группой, ролью назначаемой Microsoft Entra в качестве PIM для групп, необходимо включить её в управление через PIM.
Настройка параметров PIM для PIM для групп
Подготовьте черновик и настройте параметры для PIM для групп, которые вы планируете защитить с использованием PIM.
В следующей таблице показан пример параметров:
| Роль | Требовать многофакторную аутентификацию. | Уведомление | Требовать условный доступ | Требуется утверждение | Утверждающий | Длительность активации | Активный администратор | Активное истечение срока | Допустимый срок истечения |
|---|---|---|---|---|---|---|---|---|---|
| Владелец | ✔️ | ✔️ | ✔️ | ✔️ | Другие владельцы ресурса | Один час | нет | Н/Д | Три месяца |
| Член | ✔️ | ✔️ | ✔️ | ❌ | нет | Пять часов | нет | Н/Д | Три месяца |
Назначение доступа к PIM для групп
Вы можете назначать права участникам или владельцам PIM для групп. С одной активацией у них есть доступ ко всем связанным ресурсам.
Примечание.
Группу можно назначить на одну или несколько ролей ресурсов Microsoft Entra ID и Azure так же, как назначаются роли пользователям. В одной организации Microsoft Entra (клиент) можно создать не более 500 групп с возможностью назначения ролей.
Когда назначение группы приближается к истечению срока действия, используйте PIM для расширения или продления назначения группы. Для этой операции требуется утверждение владельца группы.
Утверждение или отклонение запроса на активацию PIM
Настройте PIM для участников групп и владельцев, чтобы для активации требовалось утверждение, и выберите пользователей или группы из вашей организации Microsoft Entra в качестве делегированных утверждающих. Рекомендуется выбрать двух или более утверждающих для каждой группы, чтобы уменьшить рабочую нагрузку администратора привилегированных ролей.
Утверждение или отклонение запросов на активацию ролей для PIM для групп. Делегированные утверждающие получают уведомления по электронной почте, когда запрос ожидает утверждения.
Просмотр истории аудита PIM для групп
Просмотр журнала аудита для всех назначений и активаций за последние 30 дней для PIM для групп.
Следующие шаги
Если возникли проблемы, связанные с PIM, см. раздел устранение неполадок с PIM.