Планируете развертывание управления привилегированными пользователями?
Управление привилегированными пользователями (PIM) обеспечивает активацию ролей на основе времени и утверждений, чтобы снизить риски, связанные с чрезмерным, ненужным или неправильным использованием разрешений на доступ к важным ресурсам. К этим ресурсам относятся ресурсы в идентификаторе Microsoft Entra, Azure и других веб-службах Майкрософт, таких как Microsoft 365 или Microsoft Intune.
PIM позволяет разрешить определенный набор действий в определенной области. Ключевые возможности:
предоставление привилегированного JIT-доступа к ресурсам;
Назначение права на членство или владение PIM для групп
назначение доступа с временным ограничением к ресурсам с помощью даты начала и окончания;
требование утверждения для активации привилегированных ролей;
Принудительное применение многофакторной проверки подлинности для активации любой роли
Принудительное применение политик условного доступа для активации любой роли (общедоступная предварительная версия)
использование обоснования, чтобы понять причину активации;
получение уведомлений при активации привилегированных ролей;
проведение проверки доступа, чтобы убедиться в необходимости ролей для пользователей;
скачивание журнала аудита для операций внутреннего и внешнего аудита.
чтобы получить максимальную выгоду от этого плана развертывания, важно получить полный обзор управление привилегированными пользователями.
Общие сведения о PIM
Концепции PIM, описанные в этом разделе, помогут вам понять требования к привилегированным удостоверениям вашей организации.
Чем можно управлять в PIM
Сейчас PIM можно использовать для следующего:
Роли Microsoft Entra — иногда называются ролями каталога, роли Microsoft Entra включают встроенные и настраиваемые роли для управления идентификатором Microsoft Entra и другими веб-службы Microsoft 365.
Роли Azure — роли управления доступом на основе РОЛЕЙ (RBAC) в Azure, которые предоставляют доступ к группам управления, подпискам, группам ресурсов и ресурсам.
PIM для групп — настройка JIT-доступа к роли члена и владельца группы безопасности Microsoft Entra. PIM для групп не только предоставляет альтернативный способ настройки PIM для ролей Microsoft Entra и ролей Azure, но и позволяет настроить PIM для других разрешений в Microsoft веб-службы, таких как Intune, Azure Key Vault и Azure Information Protection. Если группа настроена для подготовки приложений, активация членства в группах активирует подготовку членства в группах (и учетную запись пользователя, если она не была подготовлена) для приложения с помощью протокола System for Cross-Domain Identity Management (SCIM).
Этим ролям или группам можно назначить следующее:
Пользователи. Чтобы получить JIT-доступ к ролям Microsoft Entra, ролям Azure и PIM для групп.
Группы — любой пользователь в группе, чтобы получить JIT-доступ к ролям Microsoft Entra и ролям Azure. Для ролей Microsoft Entra группа должна быть созданной облачной группой, которая помечена как назначенная роли в то время как для ролей Azure, группа может быть любой группой безопасности Microsoft Entra. Не рекомендуется назначать или вложить группу в PIM для групп.
Примечание.
Вы не можете назначать субъекты-службы в качестве допустимых ролей Microsoft Entra, ролей Azure и PIM для групп, но вы можете предоставить ограниченное время активного назначения всем трем.
Принцип наименьших привилегий
Вы назначаете пользователям роль с минимальными привилегиями, необходимыми для выполнения их задач. Такой подход позволяет свести к минимуму количество глобальных администраторов. Вместо этого используются определенные роли администратора для конкретных сценариев.
Примечание.
В корпорации Майкрософт очень мало глобальных администраторов. Узнайте больше о том, как корпорация Майкрософт использует управление привилегированными пользователями.
Тип назначений
Есть два типа назначений: допустимое и активное. Назначение роли пользователю означает, что он может активировать роль, когда ему необходимо выполнить привилегированные задачи.
Вы также можете установить время начала и окончания для каждого типа задания. Это дополнение предоставляет вам четыре возможных типа назначений:
постоянное допустимое
постоянное активное
Допустимое ограничение по времени с указанными датами начала и окончания для назначения
Активное ограничение по времени с указанными датами начала и окончания для назначения
Если истечет срок действия роли, вы можете продлить или возобновить эти назначения.
Мы рекомендуем не использовать постоянно активные назначения для ролей, кроме рекомендуемых двух учетных записей аварийного доступа, для которых необходима постоянная роль глобального администратора.
Планирование проекта
Причиной неудач технических проектов обычно являются неоправданные ожидания относительно их возможностей, результатов и обязанностей. Чтобы избежать этих ловушек, необходимо привлечь соответствующих заинтересованных лиц, а их роли в проекте должны быть очевидны.
Планирование пилотного проекта
На каждом этапе развертывания обязательно оценивайте результаты, чтобы убедиться, что они соответствуют ожиданиям. Ознакомьтесь с рекомендациями по пилотным проектам.
Для начала примените PIM к небольшой группе пользователей (пилотной группе) и убедитесь, что оно правильно работает.
Проверьте правильность работы всей конфигурации, настроенной для ролей или PIM для групп.
Развертывайте ее в рабочей среде только после тщательного тестирования.
Планирование информирования
Информирование важно для успеха любой новой службы. Упреждающее взаимодействие с пользователями о том, как изменяется их опыт, когда он изменяется, и как получить поддержку при возникновении проблем.
Настройте время при взаимодействии с сотрудниками внутренней службой ИТ-поддержки, чтобы провести их по всем этапам рабочего процесса PIM. Предоставьте им соответствующую документацию и свои контактные данные.
Планирование тестирования и отката
Примечание.
Для ролей Microsoft Entra организации часто тестируют и развертывают глобальные Администратор istrators, в то время как для ресурсов Azure они обычно проверяют одну подписку PIM в Azure одновременно.
Планирование тестирования
Чтобы убедиться, что все параметры PIM работают правильно, примените их к специально созданным тестовым пользователям. Лишь после этого применяйте их к реальным пользователям, когда создается риск нарушения доступа к приложениям и ресурсам. Разработайте план тестирования, чтобы сравнить ожидаемые и фактически полученные результаты.
В следующей таблице показан пример тестового случая.
| Роль | Ожидаемое поведение во время активации | Фактические результаты |
|---|---|---|
| Глобальный администратор |
Для ролей идентификатора Microsoft Entra и ресурса Azure убедитесь, что у вас есть пользователи, которые будут принимать эти роли. Кроме того, при тестировании PIM в промежуточной среде учитывайте следующие роли:
| Роли | Роли Microsoft Entra | Роли ресурсов Azure | PIM для групп |
|---|---|---|---|
| Член группы | x | ||
| Члены роли | x | x | |
| Ответственный со стороны ИТ-служб | x | x | |
| Владелец подписки или ресурса | x | x | |
| PIM для владельца групп | x |
Планирование отката
Если PIM не работает, как требуется в рабочей среде, можно снова изменить назначение роли с "допустимое" на "активное". Для каждой настроенной роли выберите многоточие (...) для всех пользователей с типом назначения в качестве подходящих. Затем вы сможете выбрать параметр Сделать активным, чтобы вернуться и сделать назначение роли активным.
Планирование и реализация PIM для ролей Microsoft Entra
Следуйте этим задачам, чтобы подготовить PIM для управления ролями Microsoft Entra.
Обнаружение и устранение привилегированных ролей
Составьте список пользователей с привилегированными ролями в организации. Ознакомьтесь с назначенными пользователями, найдите администраторов, которым больше не нужна роль, и удалите их из их назначений.
Вы можете использовать проверки доступа к ролям Microsoft Entra для автоматизации обнаружения, проверки и утверждения или удаления назначений.
Определение ролей, управляемых PIM
Приоритеты защиты ролей Microsoft Entra с наибольшими разрешениями. Необходимо также учесть, какие данные и разрешения являются наиболее важными для вашей организации.
Во-первых, убедитесь, что все глобальные роли и роли администраторов безопасности управляются с помощью PIM, поскольку это те пользователи, компрометация которых нанесет больше всего ущерба. Затем рассмотрите другие роли, которыми следует управлять и которые могут быть уязвимы для атак.
С помощью метки Privileged можно определить роли с высокими привилегиями, которыми можно управлять с помощью PIM. Привилегированная метка присутствует в ролях и Администратор istrator в Центре администрирования Microsoft Entra. Дополнительные сведения см. в статье о встроенных ролях Microsoft Entra.
Настройка параметров PIM для ролей Microsoft Entra
Черновик и настройка параметров PIM для каждой привилегированной роли Microsoft Entra, которую использует ваша организация.
В следующей таблице показан пример параметров:
| Роль | Требовать многофакторную идентификацию. | Требовать условный доступ | Notification | Обращение об инциденте | Требуется утверждение | Утверждающий | Длительность активации | Администратор разрешений |
|---|---|---|---|---|---|---|---|---|
| Глобальный администратор | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | Другой глобальный Администратор istrator | Час | Учетные записи для аварийного доступа |
| Администратор Exchange | ✔️ | ✔️ | ✔️ | ❌ | ❌ | нет | 2 часа | нет |
| Администратор службы поддержки | ❌ | ❌ | ❌ | ✔️ | ❌ | нет | 8 часов | нет |
Назначение и активация ролей Microsoft Entra
Для ролей Microsoft Entra в PIM только пользователь, который находится в роли привилегированной роли Администратор istrator или глобальной роли Администратор istrator, может управлять назначениями для других администраторов. Глобальные Администратор istrator, средства безопасности Администратор istrator, глобальные читатели и средства чтения безопасности также могут просматривать назначения для ролей Microsoft Entra в PIM.
Выполните инструкции, приведенные по ссылкам ниже.
Когда роль приближается к истечению срока ее действия, используйте PIM для расширения или обновления ролей. Оба инициированных пользователем действия требуют утверждения от глобального администратора или от администратора привилегированных ролей.
Когда эти важные события происходят в ролях Microsoft Entra, PIM отправляет Уведомления по электронной почте и еженедельно дайджест электронной почты администраторам привилегий в зависимости от ролей, событий и параметров уведомлений. В этих сообщениях электронной почты также могут содержаться ссылки на соответствующие задачи, такие как активация или обновление роли.
Примечание.
Вы также можете выполнять эти задачи PIM с помощью API Microsoft Graph для ролей Microsoft Entra.
Утверждение или отклонение запросов на активацию PIM
Делегированный утверждающий получает уведомление по электронной почте, когда поступает запрос, ожидающий утверждения. Выполните следующие действия, чтобы утвердить или отклонить запросы на активацию роли ресурсов Azure.
Просмотр журнала аудита для ролей Microsoft Entra
Просмотрите журнал аудита для всех назначений ролей и активаций за последние 30 дней для ролей Microsoft Entra. Доступ к журналам аудита может получить глобальный администратор или администратор привилегированных ролей.
Мы рекомендуем по крайней мере один администратор прочитать все события аудита еженедельно и экспортировать события аудита ежемесячно.
Оповещения системы безопасности для ролей Microsoft Entra
Настройте оповещения системы безопасности для ролей Microsoft Entra, которые активируют оповещение в случае подозрительного и небезопасного действия.
Планирование и реализация PIM для ролей ресурсов Azure
Выполните следующие задачи, чтобы подготовить PIM к управлению ролями ресурсов Azure.
Обнаружение и устранение привилегированных ролей
Минимизируйте назначения ролей администратора владельцам и пользователям, подключенным к каждой подписке или ресурсу и удалите ненужные назначения.
Как глобальный администратор вы можете повысить уровень доступа для управления всеми подписками Azure. Затем можно найти владельца каждой подписки и обратиться к нему, чтобы удалить ненужные назначения в их подписках.
Используйте проверки доступа для ресурсов Azure, чтобы выполнять аудит назначений ролей и удалять ненужные.
Определение ролей, управляемых PIM
Решая, какие назначения ролей должны управляться с помощью PIM для ресурсов Azure, необходимо сначала определить группы управления, подписки, группы ресурсов и ресурсы, которые наиболее важны для вашей организации. Рекомендуется использовать группы управления для организации всех своих ресурсов в организации.
Мы рекомендуем управлять всеми ролями владельца подписки и администратора доступа пользователей с помощью PIM.
Работайте с владельцами подписки, чтобы документировать ресурсы, управляемые каждой подпиской, и классифицировать уровень риска каждого ресурса, если он скомпрометирован. Назначьте приоритеты для управления ресурсами с помощью PIM на основе уровней риска. Сюда также входят пользовательские ресурсы, присоединенные к подписке.
Мы также рекомендуем обратиться к владельцам подписок и ресурсов критически важных служб, чтобы сформировать рабочий процесс PIM для всех ролей в критически важных подписках и ресурсах.
Для подписок или ресурсов, которые не настолько важны, не нужно настраивать PIM для всех ролей. Тем не менее следует защитить с помощью PIM роли владельца или администратора доступа пользователей.
Настройка параметров PIM для ролей ресурсов Azure
Настройте параметры для ролей ресурсов Azure, которые вы запланировали защищать с помощью PIM.
В следующей таблице показан пример параметров:
| Роль | Требовать многофакторную идентификацию. | Notification | Требовать условный доступ | Требуется утверждение | Утверждающий | Длительность активации | Активный администратор | Срок действия активной роли | Срок действия доступной роли |
|---|---|---|---|---|---|---|---|---|---|
| Владелец критических подписок | ✔️ | ✔️ | ✔️ | ✔️ | Другие владельцы подписки | Час | нет | Н/Д | 3 месяца |
| Администратор доступа пользователей для менее важных подписок | ✔️ | ✔️ | ✔️ | ❌ | нет | Час | нет | Н/Д | 3 месяца |
Назначение и активация роли ресурсов Azure
Для ролей ресурсов Azure в PIM только владелец или администратор доступа пользователей могут управлять назначениями для других администраторов. Администратор привилегированных ролей, администратор безопасности и читатель сведений о безопасности по умолчанию не могут просматривать назначения ролей ресурсов Azure.
Выполните инструкции, приведенные по ссылкам ниже.
1.Настройте допустимые назначения.
2.Разрешите допустимым пользователям активировать роли Azure в режиме JIT.
Когда назначение привилегированной роли приближается к истечению срока ее действия, используйте PIM для расширения или обновления ролей. Для обоих действий, инициированных пользователем, требуется утверждение от владельца ресурса или администратора доступа пользователей.
При возникновении этих важных событий в ролях ресурсов Azure PIM отправляет уведомления по электронной почте владельцам и администраторам доступа пользователей. В этих сообщениях электронной почты также могут содержаться ссылки на соответствующие задачи, такие как активация или обновление роли.
Примечание.
Вы также можете выполнять эти задачи PIM с помощью API Microsoft Azure Resource Manager для ролей ресурсов Azure.
Утверждение или отклонение запросов на активацию PIM
Утверждение или отклонение запросов активации для роли Microsoft Entra. Делегированный утверждающий получает уведомление по электронной почте, когда запрос ожидает утверждения.
Просмотр журнала аудита для ролей ресурсов Azure
Просматривайте журнал аудита для всех назначений и активаций ролей за последние 30 дней для ролей ресурсов Azure.
Оповещения системы безопасности для ролей ресурсов Azure
Настройте оповещения системы безопасности для ролей ресурсов Azure, которые активируют оповещение в случае каких-либо подозрительных и небезопасных действий.
Планирование и реализация PIM для PIM для групп
Следуйте этим задачам, чтобы подготовить PIM для управления PIM для групп.
Обнаружение PIM для групп
Это может быть так, что у человека есть пять или шесть подходящих назначений для ролей Microsoft Entra через PIM. Они должны активировать каждую роль по отдельности, что может снизить производительность. В худшем случае у него также могут быть назначены десятки или сотни ресурсов Azure, что только усугубляет проблему.
В этом случае следует использовать PIM для групп. Создайте PIM для групп и предоставьте ему постоянный активный доступ к нескольким ролям. См. управление привилегированными пользователями (PIM) для групп (предварительная версия).
Чтобы управлять группой, назначаемой ролями Microsoft Entra в качестве PIM для групп, необходимо выполнить управление в PIM.
Настройка параметров PIM для PIM для групп
Черновик и настройка параметров PIM для групп, которые вы планировали защитить с помощью PIM.
В следующей таблице показан пример параметров:
| Роль | Требовать многофакторную идентификацию. | Notification | Требовать условный доступ | Требуется утверждение | Утверждающий | Длительность активации | Активный администратор | Срок действия активной роли | Срок действия доступной роли |
|---|---|---|---|---|---|---|---|---|---|
| Ответственный | ✔️ | ✔️ | ✔️ | ✔️ | Другие владельцы ресурса | Один час | нет | Н/Д | 3 месяца |
| Элемент | ✔️ | ✔️ | ✔️ | ❌ | нет | Пять часов | нет | Н/Д | 3 месяца |
Назначение права на PIM для групп
Вы можете назначить права участникам или владельцам PIM для групп. При одной активации у них будет доступ ко всем связанным ресурсам.
Примечание.
Группу можно назначить одному или нескольким ролям ресурсов Microsoft Entra и Azure таким же образом, как и пользователям. В одной организации Microsoft Entra (клиент) можно создать не более 500 групп с возможностью назначения ролей.
Когда назначение группы приближается к истечению срока действия, используйте PIM для расширения или продления назначения группы. Для этой операции требуется утверждение владельца группы.
Утверждение или отклонение запроса на активацию PIM
Настройте PIM для участников групп и владельцев, чтобы требовать утверждения для активации и выбора пользователей или групп из организации Microsoft Entra в качестве делегированных утверждающих. Мы рекомендуем выбрать двух или более утверждающих для каждой группы, чтобы снизить нагрузку на администратора привилегированной роли.
Утверждение или отклонение запросов на активацию ролей для PIM для групп. При наличии запроса, ожидающего вашего утверждения, вы, как делегированный утверждающий, получите уведомление по электронной почте.
Просмотр журнала аудита для PIM для групп
Просмотр журнала аудита для всех назначений и активаций за последние 30 дней для PIM для групп.
Следующие шаги
Если имеются проблемы, связанные с PIM, см. раздел Устранение неполадок с PIM.