什么是 Azure AD Privileged Identity Management?

Privileged Identity Management (PIM) 是 Azure Active Directory (Azure AD) 中用于管理、控制和监视对组织中重要资源的访问的服务。 这些资源包括 Azure AD、Azure 和其他 Microsoft Online Services(例如 Microsoft 365 或 Microsoft Intune)中的资源。

使用原因

组织希望尽量减少有权访问安全信息或资源的人数,因为这样做可以减少出现以下情况的机会:

  • 恶意参与者获得访问权限
  • 授权用户无意中影响敏感资源

但是,用户仍需在 Azure AD、Azure、Microsoft 365 或 SaaS 应用中执行特权操作。 组织可以为用户提供对 Azure 和 Azure AD 资源的即时特权访问,并可以监督这些用户使用其特权访问权限执行哪些操作。

许可要求

使用此功能需要 Azure AD Premium P2 许可证。 若要根据需要查找合适的许可证,请参阅比较 Azure AD 的正式发布功能

有关用户许可证的信息,请参阅使用 Privileged Identity Management 所要满足的许可证要求

它有什么作用?

Privileged Identity Management 提供基于时间和基于审批的角色激活,用于缓解所关注资源上出现的访问权限过度、不必要或滥用的风险。 下面是 Privileged Identity Management 的一些重要功能:

  • 提供对 Azure AD 和 Azure 资源的实时特权访问权限
  • 使用开始和结束日期分配对资源的限时访问权限
  • 要求获得批准才能激活特权角色
  • 强制要求在激活任何角色时执行多重身份验证
  • 使用理由来了解用户激活角色的原因
  • 激活特权角色时获取通知
  • 开展访问评审,以确保用户仍然需要角色
  • 下载审核历史记录进行内部或外部审核
  • 阻止删除最后一个活动的全局管理员特权角色管理员角色分配

它的作用是什么?

设置 Privileged Identity Management 时,左侧导航菜单中会显示“任务”、“管理”和“活动”选项。 作为管理员,你将在管理 Azure AD 角色,管理 Azure 资源角色或特权访问组等选项之间进行选择 。 选择要管理的选项时,将看到该选项的相应选项集。

Azure 门户中 Privileged Identity Management 的屏幕截图。

用户及其权限

对于 Privileged Identity Management 中的 Azure AD 角色,只有充当“特权角色管理员”或“全局管理员”角色的用户才能管理其他管理员分配。 全局管理员、安全管理员、全局读取者和安全读取者也可在 Privileged Identity Management 中查看 Azure AD 角色的分配。

对于 Privileged Identity Management 中的 Azure 资源角色,只有订阅管理员、资源所有者或资源用户访问管理员可以管理其他管理员的分配。 默认情况下,充当特权角色管理员、安全管理员或安全读取者的用户无权在 Privileged Identity Management 中查看 Azure 资源角色的分配。

术语

为了更好地理解 Privileged Identity Management 及其文档,应查看以下术语。

术语或概念 角色分配类别 说明
符合条件 类型 要求用户在使用角色之前执行一项或多项操作的角色分配。 如果用户符合某个角色的条件,则意味着他们在需要执行特权任务时可以激活该角色。 用户无论具有永久角色分配还是合格角色分配,获得的访问权限并无差异。 唯一的差异在于,有些用户并不是一直需要该访问权限。
活动 类型 不要求用户在使用角色之前执行任何操作的角色分配。 分配为“活动”的用户拥有分配给该角色的特权。
激活 合格用户在使用角色之前执行一项或多项操作的过程。 操作可能包括执行多重身份验证 (MFA) 检查、提供业务理由或请求获得指定审批者的批准。
已分配 状态 具有活动角色分配的用户。
已激活 状态 具有符合条件的角色分配、已执行激活角色的操作且现在处于活动状态的用户。 激活后,用户即可使用该角色,使用期限是预先配置的,过期之后需重新激活。
永久符合条件 持续时间 使用户始终有资格激活该角色的角色分配。
永久活动 持续时间 使用户无需执行任何操作,始终可以使用该角色的角色分配。
限时符合条件 持续时间 通过这种角色分配方式,用户只有在开始和结束日期范围内才有资格激活角色。
限时处于活动状态 持续时间 通过这种角色分配方式,用户只能在开始和结束日期范围内使用角色。
实时 (JIT) 访问 一种访问模式。在此模式下,用户会收到执行特权任务的临时权限,防止恶意用户或未授权用户在权限过期后获得访问权限。 只有在用户需要的情况下,才会授予访问权限。
最低访问权限原则 一种建议的安全做法,仅为每个用户提供所需的最低权限,以便完成有权执行的任务。 此做法会尽量减少全局管理员的数目,并使用适合特定方案的特定管理员角色。

角色分配概述

PIM 角色分配提供了一种安全的方式来授予对组织中资源的访问权限。 本节介绍分配过程。 该过程包括向成员分配角色、激活分配、批准或拒绝请求、延期并续订分配。

PIM 向你和其他参与者发送电子邮件通知,以便随时了解状况。 这些电子邮件可能还包含指向相关任务的链接,比如激活、批准或拒绝请求。

以下屏幕截图显示了 PIM 发送的电子邮件。 电子邮件中给 Patti 的通知内容为 Alex 更新了 Emily 的角色分配。

屏幕截图显示了 Privileged Identity Management 发送的电子邮件消息。

分配

分配过程首先将角色分配给成员。 若要授予对资源的访问权限,管理员需要将角色分配给用户、组、服务主体或托管标识。 分配内容包括以下数据:

  • 要分配角色的成员或所有者。
  • 分配的范围。 范围将分配的角色限制为一组特定的资源。
  • 分配的类型
    • “合格” 分配要求该角色的成员执行某个操作才能使用该角色。 操作可能包括激活或请求指定审批者的批准。
    • “活动” 分配不要求成员执行任何操作便可使用该角色。 分配为“活动”的成员拥有分配给该角色的特权。
  • 分配的持续时间,使用开始日期和结束日期或永久日期。 对于符合条件的分配,成员可以在开始日期和结束日期内激活或请求批准。 对于活动分配,成员可以在这段时间内使用分配角色。

以下屏幕截图显示了管理员如何向成员分配角色。

Privileged Identity Management 角色分配的屏幕截图。

有关详细信息,请查看以下文章:分配 Azure AD 角色分配 Azure 资源角色以及分配特权访问组的资格

激活

如果用户已获得角色资格,则必须在使用该角色之前激活角色分配。 若要激活角色,用户在(管理员配置的)最大范围中选择特定的激活持续时间,以及激活请求的原因。

以下屏幕截图显示了成员如何在有限时间内激活角色。

Privileged Identity Management 角色激活的屏幕截图。

如果角色需要审批才能激活,则用户浏览器右上角会显示一条通知,告知用户请求正在等待审批。 如果不需要审批,则成员可以开始使用角色。

有关详细信息,请查看以下文章:激活 Azure AD 角色激活 Azure 资源角色以及激活特权访问组角色

批准或拒绝

有角色请求等待审批时,委派的审批者将收到电子邮件通知。 审批者可以在 PIM 中查看、批准或拒绝这些等待审批的请求。 请求获得批准后,成员可以开始使用该角色。 例如,如果用户或组已为资源组分配了“贡献”角色,他们将能够管理该特定资源组。

有关详细信息,请查看以下文章:批准或拒绝 Azure AD 角色的请求批准或拒绝 Azure 资源角色的请求,以及批准特权访问组的激活请求

延期并续订分配

在管理员设置了受时间限制的所有者或成员分配之后,你可能提出的第一个问题是在分配到期后会出现什么情况? 在此新版本中,我们为此情形提供了两个选项:

  • 延期 - 当角色分配接近到期时,用户可以使用 Privileged Identity Management 请求对角色分配进行延期
  • 续订 - 当角色分配已到期时,用户可以使用 Privileged Identity Management 请求对角色分配进行续订

这两个用户发起的操作都需要获得全局管理员或特权角色管理员的批准。 管理员无需管理过期的分配。 只需等待延期或续订请求到达,然后进行简单批准或拒绝。

有关详细信息,请查看以下文章:延期或续订 Azure AD 角色分配延期或续订 Azure 资源角色分配,以及延期或续订特权访问组分配

方案

Privileged Identity Management 支持以下方案:

特权角色管理员权限

  • 启用对特定角色的审批
  • 指定要审批请求的审批者用户或组
  • 查看所有特权角色的请求和审批历史记录

审批者权限

  • 查看待批准(请求)
  • 批准或拒绝角色提升请求(单个和批量)
  • 提供批准或拒绝的理由

有资格的角色用户权限

  • 请求激活需要审批的角色
  • 查看要激活的请求的状态
  • 批准激活后,在 Azure AD 中完成任务

管理特权访问 Azure AD 组(预览版)

在 Privileged Identity Management (PIM) 中,现在可以针对特权访问组的成员资格或所有权分配资格。 从此预览版开始,可以将 Azure Active Directory (Azure AD) 内置角色分配给云组,并使用 PIM 管理组成员和所有者资格和激活。 有关 Azure AD 中可分配角色的组的详细信息,请参阅使用 Azure AD 组管理角色分配

重要

若要将特权访问组分配到角色,以实现对 Exchange、安全与合规中心或 SharePoint 的管理访问,请使用 Azure AD 门户“角色和管理员”体验,而不是使用“特权访问组”体验来允许将用户或组激活到组中。

每个组不同的即时策略

某些组织使用 Azure AD 企业到企业 (B2B) 协作之类的工具邀请其合作伙伴作为来宾加入其 Azure AD 组织。 可以使用创建两个不同的特权访问组及其自己的策略,而不是为针对某个特权角色的所有分配使用单一的实时策略。 可以对受信任员工实施不太严格的要求,而对合作伙伴请求激活到其分配的组时的审批流程等实施更严格的要求。

在一个请求中激活多个角色分配

借助特权访问组预览版,可以为特定于工作负载的管理员提供通过单个实时请求快速访问多个角色的权限。 例如,第 3 层 Office 管理员可能需要实时访问 Exchange 管理员、Office 应用管理员、Teams 管理员和搜索管理员角色,以便每天彻底调查事件。 今天之前这需要四个连续请求,是一个需要花费一些时间的过程。 相反,可以创建一个名为“第 3 层 Office 管理员”的可分配角色的组,将它分配给前面提到的所有四个角色(或任何 Azure AD 内置角色),并在该组的“活动”部分中为特权访问启用相应角色。 为特权访问启用后,可以为组成员配置实时设置,并将管理员和所有者分配为符合条件。 当管理员提升到组中时,他们会成为所有四个 Azure AD 角色的成员。

在 Privileged Identity Management 中邀请来宾用户并分配 Azure 资源角色

Azure Active Directory (Azure AD) 来宾用户是 Azure AD 中企业对企业 (B2B) 协作功能的一部分,因此你可以在 Azure AD 中将外部来宾用户和供应商作为来宾进行管理。 例如,可以将这些 Privileged Identity Management 功能用于来宾的 Azure 标识任务,例如分配对特定 Azure 资源的访问权限、指定分配持续时间和结束日期,或者要求对活动分配或激活进行双重验证。 若要详细了解如何邀请来宾加入组织并管理其访问权限,请参阅在 Azure AD 门户中添加 B2B 协作用户

你何时会邀请来宾?

下面是说明你何时会为组织邀请来宾的几个示例:

  • 允许仅拥有电子邮件帐户的外部个体私营供应商访问项目的 Azure 资源。
  • 允许使用本地 Active Directory 联合身份验证服务的大型组织的外部合作伙伴访问费用应用程序。
  • 允许组织外的支持工程师(如 Microsoft 支持部门)临时访问 Azure 资源,以解决问题。

使用 B2B 来宾的协作如何进行?

使用 B2B 协作时,可以将外部用户作为来宾邀请到你的组织。 可以将来宾作为你的组织中的用户进行管理,但来宾必须在其本组织中而不是在你的 Azure AD 组织中进行身份验证。 这意味着,如果来宾不再有权访问其本组织,他们也将失去对你的组织的访问权限。 例如,如果来宾离开其组织,则你无需执行任何操作,他们会自动失去对你在 Azure AD 中与他们共享的任何资源的访问权限。 有关 B2B 协作的详细信息,请参阅什么是 Azure Active Directory B2B 中的来宾用户访问权限?

显示了如何在来宾用户的本目录中对其进行身份验证的关系图

后续步骤