Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Если вы начинаете использовать управление привилегированными пользователями (PIM) в идентификаторе Microsoft Entra для управления назначениями ролей в организации, вы можете использовать страницу обнаружения и аналитических сведений (предварительная версия) для начала работы. Эта функция показывает, кому назначены привилегированные роли в вашей организации, а также как использовать Управление Привилегированными Идентичностями (PIM) для быстрого преобразования устойчивых назначений ролей в назначения по мере необходимости. Вы можете просматривать или вносить изменения в назначения постоянных привилегированных ролей в модуле "Обнаружение и аналитика" (предварительная версия). Это инструмент анализа и инструмент действия.
Обнаружение и аналитика (предварительная версия)
Прежде чем ваша организация начнет использовать управление привилегированными пользователями, все назначения ролей будут постоянными. Пользователи всегда находятся в назначенных им ролях, даже если им не нужны их привилегии. Обнаружение и аналитика (предварительная версия), заменяющие прежний мастер безопасности, показывает список привилегированных ролей и количество пользователей, которые в настоящее время находятся в этих ролях. Вы можете составить список назначений для роли, чтобы узнать больше о назначенных пользователях, если один или несколько из них вам неизвестны.
✔️ Корпорация Майкрософт рекомендует организациям иметь две учетные записи аварийного доступа только в облаке, которым постоянно назначена роль Глобального администратора. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничены сценариями аварийного реагирования или "разбивания стекла", когда обычные учетные записи не могут использоваться, или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по учетным записям аварийного доступа.
Кроме того, сохраняйте постоянные назначения ролей, если у пользователя есть учетная запись Майкрософт (другими словами, учетная запись, которую он использует для входа в службы Майкрософт, такие как Skype или Outlook.com). Если для активации назначения ролей требуется многофакторная проверка подлинности для пользователя с учетной записью Майкрософт, пользователь заблокирован.
Открыть обнаружение и аналитику (предварительная версия)
Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора Привилегированных Ролей.
Перейдите к
управлению удостоверениями (ID Governance) управлению привилегированными удостоверениями ролям Microsoft Entra обзор и аналитика (предварительная версия) . При открытии страницы начинается процесс поиска и обнаружения соответствующих назначений ролей.
Выберите «Уменьшить число глобальных администраторов».
Просмотрите список назначений ролей глобального администратора.
Нажмите Далее, чтобы выбрать пользователей или группы, которых вы хотите сделать допущенными, а затем выберите Сделать подходящим или Удалить назначение.
При необходимости требуется, чтобы все глобальные администраторы проверяли собственный доступ.
После выбора любого из этих изменений вы увидите уведомление Azure.
Выберите «Исключить постоянный доступ» или «Проверить пользователей-службы», чтобы повторить описанные выше действия для других привилегированных ролей и назначений ролей пользователей-службы. Для назначений ролей сервисного принципала можно только удалять эти назначения.