Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
В Управлении привилегированными идентификациями (PIM) в Microsoft Entra ID, который является частью Microsoft Entra, настройки ролей определяют свойства назначения ролей. Эти свойства включают многофакторную проверку подлинности и требования к утверждению для активации, максимальной длительности назначения и параметров уведомлений. В этой статье показано, как настроить параметры ролей и настроить рабочий процесс утверждения, чтобы указать, кто может утвердить или запретить запросы на повышение привилегий.
Для управления параметрами роли PIM для роли Microsoft Entra необходимо иметь по крайней мере роль администратора привилегированных ролей. Параметры роли определяются для каждой роли. Все назначения для одной роли соответствуют одинаковым параметрам ролей. Настройки одной роли независимы от настроек другой роли.
Параметры роли PIM также называются политиками PIM.
Откройте параметры роли
Чтобы открыть параметры роли Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора Привилегированных Ролей.
Перейдите к Управление идентификацией>Управление привилегиями удостоверений>Роли Microsoft Entra>Роли.
На этой странице вы увидите список ролей Microsoft Entra, доступных в клиенте, включая встроенные и настраиваемые роли.
Выберите роль, параметры которой нужно настроить.
Выберите Параметры роли. На странице параметров роли можно просмотреть текущие параметры роли PIM для выбранной роли.
Выберите "Изменить", чтобы обновить параметры роли.
Выберите Обновить.
Параметры роли
В этом разделе рассматриваются опции настройки ролей.
Максимальная длительность активации
С помощью ползунка Максимальная длительность активации установите максимальное время в часах, в течение которого запрос активации на назначение роли остается активным до истечения срока его действия. Это значение может составлять от 1 до 24 часов.
При активации требуется многофакторная проверка подлинности
Вы можете требовать от пользователей, имеющих право на роль, чтобы доказать, кто они являются с помощью функции многофакторной проверки подлинности в идентификаторе Microsoft Entra ID, прежде чем они смогут активировать. Многофакторная проверка подлинности помогает защитить доступ к данным и приложениям. Он предоставляет еще один уровень безопасности с помощью второй формы проверки подлинности.
Пользователи могут не получить запрос на многофакторную аутентификацию, если они прошли аутентификацию с использованием надежных учетных данных или выполнили многофакторную аутентификацию ранее в сеансе.
Если ваша цель заключается в том, чтобы пользователи должны были предоставить проверку подлинности во время активации, вы можете использовать контекст проверки подлинности условного доступа Microsoft Entra при активации вместе с уровнями надежности проверки подлинности. Эти параметры требуют, чтобы пользователи прошли проверку подлинности во время активации с помощью методов, отличных от методов, которые они использовали для входа на компьютер.
Например, если пользователи войдут на компьютер с помощью Windows Hello для бизнеса, можно использовать при активации, требуется контекст проверки подлинности для условного доступа Microsoft Entra и уровни надежности проверки подлинности. Этот параметр требует, чтобы пользователи выполняли вход без пароля в Microsoft Authenticator при активации роли.
После того как пользователь предоставляет вход без пароля в Microsoft Authenticator один раз в этом примере, он может выполнить следующую активацию в этом сеансе без другой проверки подлинности. Вход без пароля с помощью Microsoft Authenticator уже является частью их токена.
Включите функцию многофакторной проверки подлинности идентификатора Microsoft Entra для всех пользователей. Дополнительные сведения см. в статье Планирование развертывания многофакторной проверки подлинности Microsoft Entra.
Для активации требуется контекст аутентификации условного доступа Microsoft Entra.
Вы можете требовать, чтобы пользователи, имеющие право на роль, соответствовали требованиям политики условного доступа. Например, вы можете требовать, чтобы пользователи использовали определенный метод проверки подлинности, обеспечиваемый за счёт уровней проверки подлинности, повысить уровень доступа с устройства, совместимого с Intune, и соблюдать условия использования.
Чтобы применить это требование, создайте контекст проверки подлинности условного доступа.
Настройте политику условного доступа, которая применяет требования к этому контексту проверки подлинности.
Область политики условного доступа должна включать всех пользователей или тех, которые подходят для определенной роли. Не создавайте политику условного доступа, ограниченную контекстом проверки подлинности и ролью каталога одновременно. Во время активации пользователь еще не имеет роли, поэтому политика условного доступа не будет применяться.
Ознакомьтесь с инструкциями в конце этого раздела о ситуации, когда может потребоваться две политики условного доступа. Один должен быть ограничен контекстом проверки подлинности, а другой должен быть ограничен ролью.
Настройте контекст проверки подлинности в параметрах PIM для роли.
Если параметры PIM имеют параметр On activation, требуется контекст проверки подлинности условного доступа Microsoft Entra, политики условного доступа определяют условия, которые пользователь должен соответствовать требованиям к доступу.
Это означает, что субъекты безопасности с разрешениями на управление политиками условного доступа, такими как администраторы условного доступа или администраторы безопасности, могут изменять требования, удалять их или блокировать активацию роли соответствующими пользователями. Субъекты безопасности, которые могут управлять политиками условного доступа, должны рассматриваться как высоко привилегированные и защищенные соответствующим образом.
Создайте и включите политику условного доступа для контекста проверки подлинности перед настройкой контекста проверки подлинности в параметрах PIM. В качестве резервного защитного механизма, если в клиенте нет политик условного доступа, нацеленных на контекст аутентификации, настроенный в параметрах PIM, во время активации роли PIM требуется включение многофакторной проверки подлинности в Microsoft Entra ID, так как будет установлен параметр При активации требовать многофакторную проверку подлинности.
Этот механизм защиты резервного копирования предназначен исключительно для защиты от сценария, когда параметры PIM были обновлены до создания политики условного доступа из-за ошибки конфигурации. Этот механизм защиты резервного копирования не активируется, если политика условного доступа отключена, находится в режиме только для отчетов или имеет соответствующего пользователя, исключенного из политики.
Чтобы применить повторную проверку подлинности для каждой активации роли, настройте политику условного доступа, предназначенную для контекста проверки подлинности, с частотой входа, заданной каждый раз в элементах управления сеансом. Это гарантирует, что пользователи должны повторно выполнять проверку подлинности при каждом активации привилегированной роли, даже если у них есть активный сеанс.
Когда пользователь повторно выполняет проверку подлинности для одной активации роли, применяется 10-минутное окно. Если пользователь активирует другую доступную роль в этом окне, не потребуется повторная проверка подлинности. 10-минутное окно применяется к ролям Microsoft Entra, ролям ресурсов Azure и PIM для групп.
Когда пользователь активирует доступную роль, настроенную с помощью контекста проверки подлинности, он увидит сообщение "Политика условного доступа включена и может потребовать дополнительной проверки. Щелкните, чтобы продолжить". Затем пользователь перенаправляется на завершение повторной проверки подлинности, как определено политикой условного доступа.
При активации параметры Требовать контекст проверки подлинности Microsoft Entra Условного доступа определяют требования к контексту проверки подлинности, которым пользователи должны соответствовать при активации роли. После активации роли пользователи не ограничены в использовании другого сеанса, устройства или местоположения для использования разрешений.
Например, пользователи могут использовать устройство, совместимое с Intune, для активации роли. Затем после активации роли они могут войти в ту же учетную запись пользователя с другого устройства, которое не соответствует Intune и использовать ранее активированную роль.
Чтобы предотвратить эту ситуацию, создайте две политики условного доступа:
- Первая политика условного доступа предназначена для контекста проверки подлинности. Он должен включать всех пользователей или соответствующих пользователей в их области охвата. Эта политика указывает требования, которые должны соответствовать пользователям для активации роли.
- Вторая политика условного доступа предназначена для ролей каталога. Эта политика указывает требования, которые пользователи должны соответствовать для входа с активированной ролью каталога.
Обе политики могут применять одинаковые или разные требования в зависимости от ваших потребностей.
Другим вариантом является область применения политик условного доступа, которые применяют определенные требования непосредственно для соответствующих пользователей. Например, вы можете требовать, чтобы пользователи, имеющие право на определенные роли, всегда использовали устройства, совместимые с Intune.
Дополнительные сведения о контексте проверки подлинности условного доступа см. в разделе "Условный доступ": облачные приложения, действия и контекст проверки подлинности.
Требовать обоснование при активации
Вы можете требовать, чтобы пользователи вводили бизнес-обоснование при активации соответствующего назначения.
Требовать сведения о билете при активации
При активации соответствующего назначения пользователям может потребоваться ввести номер запроса в службу поддержки. Этот параметр является полем только для сведений. Корреляция с информацией в любой системе управления заявками не обязательна.
Для активации требуется утверждение
Требовать утверждения для активации соответствующего назначения. Утверждающий не должен иметь ролей. При использовании этого параметра выберите как минимум одного утвердителя. Мы рекомендуем выбрать как минимум двух утвердителей. Если определенные утверждающие не выбраны, активные администраторы привилегированных ролей или глобальные администраторы становятся утверждателями по умолчанию.
Это важно
Вы будете заблокированы из вашего арендатора, если все следующие условия верны:
- Все администраторы привилегированных ролей или глобальные администраторы имеют соответствующие назначения, но ни один из них не активен.
- Утверждение требуется для активации.
- Утверждающие не настроены.
Избегайте этой ситуации, настроивучетные записи аварийного доступа и указав конкретных утверждающих.
Дополнительные сведения об утверждениях см. в статье «Утверждение или отклонение запросов для ролей Microsoft Entra в Privileged Identity Management».
Длительность назначений
При настройке параметров роли можно выбрать один из двух вариантов длительности назначения для каждого типа назначения: допустимый и активный. Эти параметры определяют максимальную длительность по умолчанию для пользователей, которым назначается эта роль в управлении привилегированными пользователями.
Вы можете выбрать один из вариантов длительности, подходящих для этих назначений.
| Настройка | Описание |
|---|---|
| Разрешить постоянное допустимое назначение | Администраторы ресурсов могут назначать постоянные подходящие назначения. |
| Истечение срока действия допустимого назначения | Администраторы ресурсов могут потребовать, чтобы у всех допустимых назначений были заданы даты начала и окончания действия. |
Вы также можете выбрать один из этих параметров длительности активных назначений.
| Настройка | Описание |
|---|---|
| Разрешить постоянное активное назначение | Администраторы ресурсов могут назначать постоянные активные назначения. |
| Установить срок истечения активного назначения | Администраторы ресурсов могут потребовать, чтобы у всех активных назначений были заданы даты начала и окончания действия. |
Глобальные администраторы и администраторы привилегированных ролей могут обновлять все назначения, имеющие указанную дату окончания. Кроме того, пользователи могут самостоятельно создавать запросы на продление или обновление назначений роли.
Требовать многофакторную аутентификацию для активного назначения
Вы можете требовать, чтобы администраторы предоставляли многофакторную проверку подлинности при создании активного (а не соответствующего) назначения. Управление привилегированными учетными записями не может применять многофакторную проверку подлинности, если пользователь использует назначение роли, поскольку он уже активен в этой роли с момента ее назначения.
Администратор может не запрашивать многофакторную проверку подлинности, если они прошли проверку подлинности с помощью надежных учетных данных или предоставили многофакторную проверку подлинности ранее в этом сеансе.
Требовать обоснование для активного назначения
Вы можете требовать, чтобы пользователи вводили бизнес-обоснование при создании активного (а не доступного) задания.
На вкладке "Уведомления" на странице параметров роли управление привилегированными пользователями обеспечивает детальный контроль над тем, кто получает уведомления и какие уведомления они получают. Вам доступны следующие варианты:
- Отключение сообщения электронной почты. Вы можете отключить определенные сообщения электронной почты, снимите флажок получателя по умолчанию и удалив всех других получателей.
- Ограничить электронную почту отправкой только на указанные адреса: вы можете отключить отправку сообщений электронной почты по умолчанию, сняв флажок опции для получателей по умолчанию. Затем можно добавить другие адреса электронной почты в качестве получателей. Если вы хотите добавить несколько адресов электронной почты, разделите их с запятой (;).
- Отправлять сообщения электронной почты как получателям по умолчанию, так и другим получателям: вы можете отправлять сообщения электронной почты как получателю по умолчанию, так и другому получателю. Установите флажок получателя по умолчанию и добавьте адреса электронной почты для других получателей.
- Только критически важные сообщения электронной почты: для каждого типа электронной почты можно установить флажок только для получения критически важных сообщений электронной почты. С помощью этого параметра управление привилегированными пользователями продолжает отправлять сообщения электронной почты указанным получателям только в том случае, если сообщение электронной почты требует немедленного действия. Например, сообщения электронной почты, которые просят пользователей расширить назначение ролей, не активируются. Сообщения электронной почты, требующие от администраторов утверждения запроса на расширение, активируются.
Примечание.
Одно событие в Управлении привилегированными идентификационными данными может создавать уведомления по электронной почте для нескольких получателей — назначенных, утверждающих или администраторов. Максимальное количество уведомлений, отправленных на одно событие, равно 1000. Если число получателей превышает 1000, то только первые 1000 получателей получат уведомление по электронной почте. Это не мешает другим назначенным, администраторам или утвердителям использовать свои разрешения в Microsoft Entra ID и Privileged Identity Management.
Управление параметрами ролей с помощью Microsoft Graph
Чтобы управлять параметрами ролей Microsoft Entra через API PIM в Microsoft Graph, используйте тип ресурса unifiedRoleManagementPolicy и связанные методы.
В Microsoft Graph параметры ролей называются правилами. Они назначаются ролям Microsoft Entra с помощью политик контейнеров. Каждой роли Microsoft Entra назначен определенный объект политики. Вы можете получить все политики, которые относятся к ролям Microsoft Entra. Для каждой $expand политики можно получить связанную коллекцию правил с помощью параметра запроса. У этого запроса следующий синтаксис:
GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules
Дополнительные сведения об управлении параметрами ролей с помощью API PIM в Microsoft Graph см. в разделе "Параметры роли" и PIM. Примеры того, как обновить правила, см. в разделе "Обновление правил в PIM с использованием Microsoft Graph".