規劃 Privileged Identity Management 部署

Privileged Identity Management (PIM) 提供以時間為基礎的和以核准為基礎的角色啟用,以降低重要資源過度、不必要或誤用訪問許可權的風險。 這些資源包括 Microsoft Entra ID、Azure 與其他 Microsoft Online Services (例如 Microsoft 365 或 Microsoft Intune) 中的資源。

PIM 可讓您在特定範圍內允許一組特定的動作。 主要功能包括:

  • 對資源提供 Just-In-Time 特殊權限存取

  • 指派群組 PIM 的成員資格或擁有權

  • 使用開始和結束日期指派有時限的資源存取權

  • 需要核准才能啟用特殊權限角色

  • 強制執行多重要素驗證以啟用任何角色

  • 強制執行條件式存取原則以啟用任何角色 (公開預覽)

  • 使用理由來了解使用者啟用的原因

  • 在啟用特殊權限角色時獲得通知

  • 進行存取權檢閱以確保使用者仍然需要角色

  • 下載稽核記錄以供內部或外部稽核

若要充分利用此部署計劃,請務必取得什麼是 Privileged Identity Management 的完整概觀

了解 PIM

本節中的 PIM 概念可協助您了解貴組織的特殊權限身分識別需求。

您可以在 PIM 中管理哪些內容

現在,您可以搭配下項使用 PIM:

  • Microsoft Entra 角色 – (有時稱為目錄角色),Microsoft Entra 角色包含內建和自訂角色,以管理 Microsoft Entra ID 和其他 Microsoft 365 線上服務。

  • Azure 角色 – Azure 中角色型存取控制 (RBAC) 角色,授予對管理群組、訂用帳戶、資源群組和資源的存取權限。

  • 群組 PIM – 設定對 Microsoft Entra 安全性群組成員和擁有者角色的 Just-In-Time 存取權。 群組 PIM 不僅為您提供為 Microsoft Entra 角色和 Azure 角色設定 PIM 的替代方法,也可讓您針對如 Intune、Azure Key Vault 和 Azure 資訊保護等 Microsoft 線上服務的其他權限設定 PIM。 如果群組已設定為應用程式佈建,則啟用群組成員資格會觸發群組成員資格的佈建 (如果未佈建則為使用者帳戶) 到應用程式使用系統進行跨網域身分識別管理 (SCIM) 通訊協定。

您可以將下列項目指派給這些角色或群組:

  • 使用者 - 取得 Microsoft Entra 角色、Azure 角色和群組 PIM 的 Just-In-Time 存取權。

  • 群組- 群組中的任何人,以取得 Microsoft Entra 角色和 Azure 角色的 Just-In-Time 存取權。 對於 Microsoft Entra 角色,該群組必須是新建立的雲端群組,且該群組在 Azure 角色中標示為可指派給角色,該群組可以是任何 Microsoft Entra 安全群組。 不建議將群組指派/巢狀至群組 PIM。

注意

您無法將服務主體指派為符合 Microsoft Entra 角色、Azure 角色和群組 PIM 的資格,但您可以將有時間限制的作用中指派授與這三個角色。

最低權限原則

您會以執行其工作所需的最低許可權來指派使用者角色。 這種做法會將全域管理員的數目降到最低,並改為針對特定案例使用特定的系統管理員角色。

注意

Microsoft 很少有全域 管理員。 深入瞭解 Microsoft 如何使用 Privileged Identity Management

指派類型

有兩種類型的指派 - 符合資格作用中。 如果使用者已獲得角色的資格,即表示他們可以在需要執行特殊權限工作時啟用該角色。

您也可以為每個指派類型設定開始和結束時間。 新增功能提供四種可能的指派類型:

  • 永久符合資格

  • 永久作用中

  • 限定時間的符合資格:具有指定指派開始和結束日期

  • 限定時間的作用中:具有指定指派開始和結束日期

如果角色過期,您可以擴充更新這些指派。

我們建議您除了建議的兩個緊急存取帳戶外,角色不要有永久作用中的指派,因為這些帳戶應有永久全域管理員角色。

規劃專案

當技術專案失敗時,通常是因為對影響、結果和責任不符預期。 若要避免這些陷阱, 請確定您參與正確的項目關係人 ,以及專案中的項目關係人角色已充分瞭解。

規劃試驗

在您部署的每個階段中,請確定您持續評估結果符合預期。 請參閱 試驗的最佳做法。

  • 從較少的使用者開始 (試驗群組) 並確認 PIM 如預期般運作。

  • 確認您為角色或群組 PIM 設定的所有設定是否正常運作。

  • 只有在經過徹底測試之後,才將其投入至生產環境。

方案通訊

溝通對於任何新服務的成功非常重要。 主動與您的使用者溝通他們的體驗如何改變、何時會改變,以及如何在遇到問題時取得支援。

使用內部 IT 支援設定時間,以逐步引導他們完成 PIM 工作流程。 請提供適當的文件和您的連絡資訊。

規劃測試和復原

注意

針對 Microsoft Entra 角色,組織通常會先測試並推出全域管理員,而針對 Azure 資源,他們通常會一次測試一個 Azure 訂用帳戶的 PIM。

規劃測試

建立測試使用者以驗證 PIM 設定如預期般運作,且避免影響實際使用者以及中斷其應用程式與資源存取的可能性。 建立測試計畫以比較預期的結果和實際結果。

下表顯示範例測試案例:

角色 啟用期間的預期行為 實際結果
全域管理員
  • 需要 MFA
  • 需要核准
  • 需要條件式存取內容 (公開預覽)
  • 核准者會收到通知,並可核准
  • 角色在預設時間之後到期
  • 針對 Microsoft Entra ID 和 Azure 資源角色,請確定您代表將擔任這些角色的使用者。 此外,在分段環境中測試 PIM 時,請考慮下列角色:

    角色 Microsoft Entra 角色 Azure 資源角色 群組 PIM
    群組的成員 x
    角色的成員 x x
    IT 服務擁有者 x x
    訂用帳戶或資源擁有者 x x
    群組 PIM 擁有者 x

    規劃復原

    如果 PIM 無法在生產環境中如預期般運作,您可以將角色指派從符合資格再次變更為作用中。 針對您已設定的每個角色,對所有指派類型為符合資格的使用者選取省略號 ()。 然後,您可以選取 [啟用作用中] 選項返回,並讓角色指派成為作用中

    規劃和實作 Microsoft Entra 角色的 PIM

    請遵循這些工作來準備 PIM 以管理 Microsoft Entra 角色。

    探索並減少特殊權限角色

    列出組織中誰具有特殊權限角色。 檢閱使用者指派、識別不再需要該角色的管理員,然後將他們從指派中移除。

    您可以使用 Microsoft Entra 角色存取權檢閱 ,將探索、檢閱和核准或移除指派自動化。

    判斷要由 PIM 管理的角色

    務必優先保護具有最多權限的 Microsoft Entra 角色。 考量您組織中最敏感的資料與權限也非常重要。

    首先,請確定所有全域和安全性系統管理員角色都是使用 PIM 來管理,因為它們是在遭到入侵時可造成最大危害的使用者。 然後,考量更多應該管理可能容易受到攻擊的角色。

    您可以使用「特殊權限」標籤來識別具有可使用 PIM 管了的高權限角色。 特殊許可權卷標存在於 Microsoft Entra 系統管理中心的角色和 管理員 istrator 上。 若要深入瞭解, 請參閱 Microsoft Entra 內建角色 一文。

    設定 Microsoft Entra 角色的 PIM 設定。

    針對貴組織所使用的每個特殊許可權 Microsoft Entra 角色,起草並設定您的 PIM 設定

    下表顯示範例設定:

    角色 需要 MFA 設定條件式存取 通知 事件票證 需要核准 核准者 啟用持續時間 Perm 管理員
    全域管理員 ✔️ ✔️ ✔️ ✔️ ✔️ 其他全域管理員 1 小時 緊急存取帳戶
    Exchange 系統管理員 ✔️ ✔️ ✔️ 2 小時
    服務台管理員 ✔️ 8 小時

    指派並啟用 Microsoft Entra 角色

    對於 PIM 中的 Microsoft Entra 角色,只有具備特殊權限角色管理員或全域管理員角色的使用者可以管理其他管理員的指派。 全域管理員、安全性管理員、全域讀者和安全性讀者也可以檢視 PIM 中的 Microsoft Entra 角色指派。

    請遵循下列連結中的指示:

    1. 提供合格的指派

    2. 允許合格使用者立即啟用其 Microsoft Entra 角色

    當角色接近到期時,請使用 PIM 來擴充或更新角色。 兩者的使用者起始動作都需要全域管理員或具特殊權限角色管理員的核准。

    當 Microsoft Entra 角色中發生這些重要事件時,PIM 會根據角色、事件和通知設定,將電子郵件通知和每周摘要電子郵件 傳送給特殊許可權系統管理員。 這些電子郵件還可能包含相關工作的連結,例如啟用或更新角色。

    注意

    您也可以使用適用於 Microsoft Entra 角色的 Microsoft Graph API 來執行這些 PIM 工作

    核准或拒絕 PIM 啟用要求

    委派的核准者會在要求暫止以待核准時收到電子郵件通知。 請遵循下列步驟來 核准或拒絕啟用 Azure 資源角色的要求。

    檢視 Microsoft Entra 角色的稽核記錄

    檢視 Microsoft Entra 角色過去 30 天內所有角色指派和啟用 的稽核歷程記錄。 如果您是全域管理員或特殊權限角色管理員,則可以存取稽核記錄。

    建議您每週至少一個系統管理員閱讀所有稽核事件,並每月匯出稽核事件。

    Microsoft Entra 角色的安全性警示

    設定 Microsoft Entra 角色 的安全性警示,以在可疑和不安全的活動時觸發警示。

    規劃和實作 Azure 資源角色的 PIM

    請遵循這些工作來準備 PIM 以管理 Azure 資源角色。

    探索並減少特殊權限角色

    讓附加至每個訂用帳戶或資源的擁有者和使用者存取系統管理員指派減到最少,以及移除不必要的指派。

    身為全域 管理員 管理員,您可以提升管理所有 Azure 訂用帳戶的存取權。 然後,您可以找到每個訂用帳戶擁有者,一起合作移除其訂用帳戶中不必要的指派。

    使用 Azure 資源的 存取權檢閱來稽核和移除不必要的角色指派。

    判斷要由 PIM 管理的角色

    決定應針對 Azure 資源使用 PIM 管理哪些角色指派時,您必須先識別 組織最重要的管理群組、訂用帳戶、資源群組和資源。 請考量使用管理群組來組織其組織內的所有資源。

    建議您使用 PIM 管理所有訂用帳戶擁有者和使用者存取系統管理員角色。

    請與訂用帳戶擁有者合作,記錄每個訂用帳戶所管理的資源,並在遭到入侵時為每個資源的風險層級進行分類。 請根據風險層級來設定使用 PIM 管理資源的優先順序。 這也包含附加至訂用帳戶的自訂資源。

    我們也建議您 與重要服務的訂用帳戶或資源擁有者合作,為敏感性訂用帳戶或資源內的所有角色設定 PIM 工作流程。

    對於不重要的訂用帳戶或資源,您不需要為所有角色設定 PIM。 不過,您還是應該以 PIM 保護擁有者和使用者存取管理員角色。

    設定 Azure 資源角色的 PIM 設定

    針對您計劃使用 PIM 保護的 Azure 資源角色草稿和 設定設定。

    下表顯示範例設定:

    角色 需要 MFA 通知 設定條件式存取 需要核准 核准者 啟用持續時間 作用中管理員 作用中到期 資格到期
    重要訂用帳戶的擁有者 ✔️ ✔️ ✔️ ✔️ 訂用帳戶的其他擁有者 1 小時 None n/a 3 個月
    較不重要訂用帳戶的使用者存取管理員 ✔️ ✔️ ✔️ 1 小時 None n/a 3 個月

    指派並啟用 Azure 資源角色

    針對 PIM 中的 Azure 資源角色,只有擁有者或使用者存取系統管理員可以管理其他系統管理員的指派。 特殊許可權角色 管理員 istrators、Security 管理員 istrators 或 Security Readers 的使用者預設無法檢視 Azure 資源角色的指派。

    請遵循下列連結中的指示:

    1.提供合格的指派

    2.允許合格使用者立即啟用其 Azure 角色

    當特殊許可權角色指派接近到期時, 請使用 PIM 來擴充或更新角色。 這兩個使用者起始的動作都需要資源擁有者或使用者存取系統管理員的核准。

    當 Azure 資源角色中發生這些重要事件時,PIM 會將電子郵件通知傳送給擁有者和使用者存取 管理員 istrators。 這些電子郵件還可能包含相關工作的連結,例如啟用或更新角色。

    注意

    您也可以使用適用於 Azure 資源角色的 Microsoft Azure Resource Manager API 來執行這些 PIM 工作

    核准或拒絕 PIM 啟用要求

    核准或拒絕 Microsoft Entra 角色的啟用要求- 委派的核准者會在要求擱置核准時收到電子郵件通知。

    檢視 Azure 資源角色的稽核歷程記錄

    針對 Azure 資源角色,檢視過去 30 天內所有指派和啟用 的稽核歷程記錄。

    Azure 資源角色的安全性警示

    設定 Azure 資源角色 的安全性警示,以在發生任何可疑和不安全的活動時觸發警示。

    針對群組的 PIM 規劃和實作 PIM

    請遵循這些工作來準備 PIM 來管理群組的 PIM。

    探索群組的 PIM

    可能是個人透過 PIM 對 Microsoft Entra 角色有五或六個合格指派的情況。 他們必須個別啟用每個角色,以降低生產力。 更糟的是,他們也可能獲得數十或數百個 Azure 資源指派,使得問題更加惡化。

    在此情況下,您應該針對群組使用 PIM。 建立群組的 PIM,並將永久的作用中存取權授與多個角色。 請參閱群組的特殊許可權身分識別管理 (PIM)(預覽版)。

    若要將 Microsoft Entra 角色可指派的群組管理為群組的 PIM,您必須 在 PIM 中將其帶入管理之下。

    設定群組 PIM 的 PIM 設定

    針對您計劃使用 PIM 保護的群組,草稿和 設定 PIM 的設定。

    下表顯示範例設定:

    角色 需要 MFA 通知 設定條件式存取 需要核准 核准者 啟用持續時間 作用中管理員 作用中到期 資格到期
    負責人 ✔️ ✔️ ✔️ ✔️ 資源的其他擁有者 一小時 None n/a 3 個月
    member ✔️ ✔️ ✔️ 五小時 None n/a 3 個月

    指派群組 PIM 的資格

    您可以將 資格指派給群組之 PIM 的成員或擁有者。 只要啟用一個,他們就能存取所有鏈接的資源。

    注意

    您可以將群組指派給一或多個 Microsoft Entra ID 和 Azure 資源角色,就像將角色指派給使用者一樣。 最多可以在單一 Microsoft Entra 組織中建立 500 個可指派角色的群組 (租用戶)。

    Diagram of assign eligibility for PIM for Groups.

    當群組指派接近其到期時,請使用 PIM 來擴充或更新群組指派。 此作業需要群組擁有者核准。

    核准或拒絕 PIM 啟用要求

    設定群組 PIM 的成員和擁有者以要求核准啟用,並從您的 Microsoft Entra 組織選擇使用者或群組作為委派的核准者。 我們建議為每個群組選取兩個或以上的核准者,以減少特殊權限角色管理員的工作負載。

    核准或拒絕群組 PIM 的角色啟用要求。 身為委派的核准者,您會在要求暫止以待核准時收到電子郵件通知。

    檢視群組 PIM 的稽核記錄

    針對群組的 PIM,檢視過去 30 天內所有指派和啟用 的稽核歷程記錄。

    下一步