Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
управление привилегированными пользователями (PIM) — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. К этим ресурсам относятся ресурсы в идентификаторе Microsoft Entra, Azure и других веб-службах Майкрософт, таких как Microsoft 365 или Microsoft Intune. В следующем видео объясняется важные понятия и функции PIM.
Причины использования
Организациям необходимо свести к минимуму число пользователей, имеющих доступ к защищенным сведениям или ресурсам. Это снижает вероятность того, что
- такой доступ получит злоумышленник;
- случайное вмешательство уполномоченного пользователя в работу конфиденциального ресурса.
Однако пользователям по-прежнему необходимо выполнять привилегированные операции в приложениях Microsoft Entra ID, Azure, Microsoft 365 или SaaS. Организации могут предоставлять пользователям доступ к ресурсам Azure и Microsoft Entra с правами доступа к ресурсам в режиме по требованию и контролировать их действия с этим доступом.
Требования к лицензиям
Для использования Управления привилегированными идентификаторами требуются лицензии. Для получения дополнительной информации о лицензировании см. основы лицензирования Microsoft Entra ID Governance.
В чем его функция?
Управление привилегированными пользователями обеспечивает активацию ролей на основе времени и утверждений, чтобы снизить риски, связанные с чрезмерным, ненужным или неправильным использованием разрешений на доступ к ресурсам, которые вас интересуют. Ниже приведены некоторые основные возможности управления привилегированными пользователями:
- Предоставьте привилегированный доступ просто вовремя к Microsoft Entra ID и ресурсам Azure.
- назначение доступа с временным ограничением к ресурсам с помощью даты начала и окончания;
- требование утверждения для активации привилегированных ролей;
- принудительное применение многофакторной проверки подлинности для активации любой роли;
- использование обоснования, чтобы понять причину активации;
- получение уведомлений при активации привилегированных ролей;
- проведение проверки доступа, чтобы убедиться в необходимости ролей для пользователей;
- скачивание истории аудита для проведения внутреннего или внешнего аудита.
- Запретить удаление последних активных назначений ролей глобального администратора и администраторов привилегированных ролей
Что я могу с этим сделать?
После настройки PIM в меню навигации слева вы увидите параметры Задачи, Управление и Действие. Администратор может выбрать варианты управления ролями Microsoft Entra, управления ролями ресурсов Azure или PIM для групп. Когда вы выбираете, что хотите управлять, вы увидите соответствующий набор вариантов для этого параметра.
Кто что может делать?
Для ролей Microsoft Entra в Privileged Identity Management только пользователь, который имеет роль "Администратор привилегированных ролей" или "Глобальный администратор", может управлять назначениями других администраторов. Глобальные администраторы, администраторы безопасности, глобальные читатели и читатели безопасности также могут просматривать назначения ролей Microsoft Entra в Управлении привилегированной идентификацией.
Для ролей ресурсов Azure в Управление привилегированными идентификациями только администратор подписки, владелец ресурса или администратор доступа к ресурсам пользователя может управлять назначениями для других администраторов. Пользователи, которые являются администраторами привилегированных ролей, администраторами безопасности или читателями безопасности, по умолчанию не имеют доступа к просмотру назначений на роли ресурсов Azure в Privileged Identity Management (PIM).
Терминология
Чтобы лучше понять PIM и сопутствующую документацию, изучите следующие термины.
| Термин или понятие | Категория назначения ролей | Описание |
|---|---|---|
| подходящий | Тип | Назначение роли, в соответствии с которым пользователь должен выполнить одно или несколько действий для использования роли. Если пользователь имеет право на роль, он может активировать роль при необходимости выполнения привилегированных задач. Доступ, предоставленный пользователю с постоянной ролью и пользователю с назначением на подходящую роль, ничем не отличается. Единственное различие заключается в том, что некоторым людям не нужен постоянный доступ. |
| активный | Тип | Назначение роли, которое не требует от пользователя выполнения каких-либо действий для ее использования. Пользователи, назначенные в качестве активных, имеют все полномочия, присвоенные роли. |
| активировать | Процесс выполнения одного или нескольких действий для использования роли, на которую имеет право пользователь. Действия могут включать выполнение проверки многофакторной аутентификации (MFA), предоставление бизнес-обоснования или запрос на утверждение от назначенных утверждающих. | |
| назначено | Штат | Пользователь с назначенной активной ролью. |
| активировано | Штат | Пользователь, который имеет назначение допустимой роли, выполнил действия по активации роли, и теперь она активна. После активации пользователь может использовать роль для предварительно настроенного периода времени, прежде чем снова активировать его. |
| постоянное допустимое | Продолжительность | Назначение роли, где пользователь всегда имеет право активировать роль. |
| постоянный активный режим | Продолжительность | Назначение роли, где пользователь всегда может использовать роль, не выполняя каких-либо действий. |
| допустимое ограничение по времени | Продолжительность | Назначение роли, при котором пользователь может активировать роль только в период между указанными датами начала и окончания. |
| активность с временным ограничением | Продолжительность | Назначение роли, когда пользователь может использовать роль только в период между указанными датами начала и окончания. |
| Доступ по принципу "в нужный момент" (JIT-доступ) | Модель, в которой пользователи получают временные разрешения на выполнение привилегированных задач, что предотвращает получение доступа злоумышленниками или несанкционированными пользователями после истечения срока действия разрешений. Доступ предоставляется только в том случае, если он необходим пользователю. | |
| Принцип доступа с минимальными привилегиями | Рекомендуемый метод обеспечения безопасности, когда каждому пользователю предоставляются только минимальные привилегии, необходимые для выполнения задач, которые ему разрешено выполнять. Такой подход позволяет свести к минимуму количество глобальных администраторов. Вместо этого используются определенные роли администратора для конкретных сценариев. |
Общие сведения о назначении ролей
Назначения ролей PIM обеспечивают безопасный способ предоставления доступа к ресурсам в организации. В этом разделе описан процесс назначения. Он включает назначение ролей членам, активацию назначений, утверждение или отклонение запросов, расширение и продление назначений.
PIM информирует вас, отправляя вам и другим участникам уведомления по электронной почте. Эти электронные письма также могут содержать ссылки на соответствующие задачи, такие как активация, утверждение или отклонение запроса.
На следующем снимка экрана показано сообщение электронной почты, отправленное PIM. Сообщение информирует Патти о том, что Алекс обновил назначение роли для Эмили.
Назначить
Процесс назначения начинается с назначения ролей участникам. Чтобы предоставить доступ к ресурсу, администратор назначает роли пользователям, группам, субъектам-службам или управляемым удостоверениям. Назначение содержит следующие данные:
- Члены или владельцы назначают на роль.
- Область назначения. Область ограничивает назначенную роль определенным набором ресурсов.
- Тип назначения.
- Назначение допустимой роли означает, что участник роли должен выполнить определенное действие для использования этой роли. Действия могут включать активацию или запрос утверждения у назначенных утверждающих лиц.
- Назначения активных ролей не требуют, чтобы член выполнял какие-либо действия для использования роли. Участники, назначенные в качестве активных, имеют все полномочия, назначенные роли.
- Продолжительность назначения с использованием дат начала и окончания или постоянная. Для соответствующих назначений участники могут активировать или запросить утверждение во время дат начала и окончания. Для активных назначений участники могут использовать назначенную роль в течение этого периода времени.
На следующем снимке экрана показано, как администратор назначает роль участникам.
Дополнительные сведения см. в следующих статьях: назначение ролей Microsoft Entra, назначение ролей ресурсов Azure и назначение прав на PIM для групп.
Активировать
Если пользователи имеют право на роль, они должны активировать назначение роли перед использованием роли. Чтобы активировать роль, пользователи должны выбрать определенную продолжительность активации в пределах максимального значения (настраивается администраторами) и указать причину запроса на активацию.
На следующем снимке экрана показано, как участники активируют свою роль на ограниченное время.
Если роль требует утверждения для активации, уведомление появится в правом верхнем углу браузера пользователя, информируя о том, что запрос ожидает утверждения. Если утверждение не требуется, участник может начать использовать роль.
Дополнительные сведения см. в следующих статьях: Активизация ролей Microsoft Entra, Активизация моих ролей ресурсов Azure и Активизация моих ролей PIM для групп.
Утверждение или отклонение
Делегированные утверждающие получают уведомления по электронной почте, когда запрос на роль находится на рассмотрении. Утвердители могут просматривать, утверждать или отклонять эти ожидающие запросы в PIM. После утверждения запроса участник может начать использовать роль. Например, если пользователю или группе назначена роль "Вклад" в группу ресурсов, она может управлять этой конкретной группой ресурсов.
Дополнительные сведения см. в следующих статьях: утверждение или отклонение запросов для ролей Microsoft Entra, утверждение или отклонение запросов на роли ресурсов Azure и утверждение запросов на активацию PIM для групп
Продлевать и обновлять назначения
После того, как администраторы установят назначения владельцев или участников с привязкой ко времени, первый вопрос, который вы можете задать, — что произойдет, если срок действия назначения истечет? В этой новой версии мы предоставляем два варианта для такого сценария:
- Отсрочка — если срок действия назначения роли скоро истечет, пользователь может с помощью Privileged Identity Management запросить отсрочку для назначения роли.
- Продление — когда срок действия назначения роли истекает, пользователь может использовать Привилегированное Управление Удостоверениями (ПУУ) для запроса продления назначения роли.
Оба инициированных пользователем действия должен утвердить глобальный администратор или администратор привилегированных ролей. Администраторам больше не нужно управлять сроками действия назначений. Можно просто дождаться запроса на отсрочку или продление и утвердить его либо отклонить.
Дополнительные сведения см. в следующих статьях: Расширение или продление назначений ролей Microsoft Entra, Расширение или продление назначений ролей ресурсов Azure, и Расширение или продление PIM для назначений групп
Сценарии
Управление привилегированными пользователями поддерживает следующие сценарии:
Разрешения администратора привилегированных ролей
- Включите утверждение для конкретных ролей
- Укажите пользователей или группы для утверждения запросов
- Просмотр истории запросов и утверждений для всех привилегированных ролей
Разрешения утверждающего
- Просмотр запросов, ожидающих утверждения
- Утверждение или отклонение запросов на повышение роли (по одному и массово)
- Предоставьте обоснование для моего одобрения или отклонения
Допустимые права пользователей ролей
- Запрос активации роли, для которой требуется утверждение
- Просмотр состояния запроса на активацию
- Выполните задачу в идентификаторе Microsoft Entra, если активация утверждена
API-интерфейсы Microsoft Graph
Вы можете использовать управление привилегированными пользователями программным способом с помощью следующих API Microsoft Graph:
Следующие шаги
- License requirements to use Privileged Identity Management (Требования к лицензии для использования PIM)
- Защита привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra
- Deploy Azure AD Privileged Identity Management (PIM) (Развертывание Azure AD Privileged Identity Management (PIM))