部署方案是有关如何合并和测试Microsoft安全产品和服务的指导。 你可以了解功能如何协同工作,以提高工作效率,增强安全性,并更轻松地满足合规性和法规要求。
使用此方案帮助确定您是否需要 Microsoft Entra ID Governance 来为组织创建和授予访问权限。 了解如何管理特权标识及其请求的访问权限。
本指南中显示了以下产品和服务:
- Microsoft Entra ID 治理
- Microsoft Entra
- Privileged Identity Management (PIM)
- 组的 PIM
- 发现和见解
- 资源仪表板
- Microsoft Entra 条件访问。
- 访问评审
- Azure
时间线
时间线显示大致的交付阶段持续时间,并基于方案复杂性。 时间是估计值,具体取决于环境。
- 发现和见解 - 1 小时
- Microsoft Entra ID 角色 - 1 小时
- Azure 角色 - 1 小时
- 组的 PIM - 1 小时
- 访问评审 - 1 小时
- PIM 和条件访问 - 1 小时
要求
确保满足以下要求。
- 具有需要按需服务的特权角色的标识
- 基于审批的实时 (JIT) 管理访问激活 Azure 资源
- Microsoft具有组成员身份的 Entra ID 角色和应用
- 角色激活和特权角色运行状况检查后,需要符合的设备或身份验证强度
用户生命周期发现
若要为方案做好准备,请执行当前用户生命周期过程的发现。
- 收集可用的体系结构关系图
- 使用试点用户组
- 确定技术所有者进行修正或调查
- 使用以下命令在目标租户上启用帐户:
- 用户管理员,
- 标识治理管理员,
- 特权角色管理员,或
- 全局管理员
详细了解 Microsoft Entra ID 中的特权角色和权限。
Privileged Identity Management
若要管理、控制和监视对组织中的资源的访问,请使用 Microsoft Entra ID 中的 Privileged Identity Management (PIM) 服务:Microsoft Entra ID、Azure 和其他服务(如 Microsoft 365 或 Microsoft Intune)。 此外,还可以管理和审核管理员角色。
- 查看分配给特权角色的用户
- 启用按需 JIT 管理访问权限
- 为特权激活设置审批流
- 获取警报并查看管理员激活和作,随着时间的推移
- 将 PIM 用于:
- Microsoft Entra ID 目录角色 - 特权角色管理 Microsoft Entra ID 和其他 Microsoft 365 联机服务
- Azure 资源角色 - 授予对管理组、订阅、资源组和资源的访问权限的基于角色的访问控制(RBAC)角色。
- 特权访问组 - 对组使用 PIM 设置对Microsoft Entra ID 安全组中的成员和所有者的 JIT 访问权限, 或
- 使用组Microsoft Entra ID 角色和 Azure 角色分配,以及其他权限
了解如何 开始使用 Privileged Identity Management。
PIM 分配类型
这两种分配类型符合条件且处于活动状态。
- 符合条件 - 要求成员在角色激活之前激活角色或执行某些作。 作包括多重身份验证(MFA)、业务理由或审批者批准。
- 活动 - 在使用前不需要成员激活角色。 活动成员具有已分配可供使用的权限。 将此分配类型用于没有 PIM 的客户。
了解如何 在 PIM 中分配角色。
规划 PIM 部署
若要降低过度、不必要的或滥用访问的风险,请使用 PIM 进行角色激活。
了解如何 规划 PIM 部署。
发现和见解
PIM 中的发现和见解是一项分析和作功能,显示特权角色分配。 使用它将永久角色分配更改为 JIT 分配。 将用户移动到符合条件的状态,也可以根据需要将其删除。 为全局管理员创建访问评审。 配置角色设置,例如:
- 最长激活持续时间
- 激活时 MFA
- 要求条件访问身份验证
- 需要理由、票证信息、审批等
- 分配持续时间
了解如何 使用 PIM API 管理Microsoft Entra 角色分配。
适用于 Azure 角色的 PIM
Azure 资源角色设置定义角色分配属性。 这些属性需要多重身份验证和审批才可激活、分配最长持续时间、进行通知设置等。
了解如何 在 PIM 中配置 Azure 资源角色设置,以及如何 激活它们。
组的 PIM
使用发现过程将组置于管理之下。 为成员或所有者角色选择符合条件的用户。 用户在 Microsoft Entra 管理中心激活符合条件的角色。
可分配角色和非可分配角色
可以启用 PIM 来管理对具有可分配角色的组或Microsoft Entra 角色的资源的管理访问权限。 若要管理特权访问风险,请限制活动访问,管理访问范围,并提供可审核的特权访问日志。
可分配角色
- 全局管理员,
- 特权角色管理员,或
- 管理组的组所有者
- 其他任何角色都无法更改活动成员凭据
不可分配角色
- 更多Microsoft Entra ID 角色可以管理组
- 各种角色可以更改活动成员凭据
可以使用 PIM 为 Microsoft Entra 角色分配管理角色。
组的 PIM 注意事项
阅读有关对组使用 PIM 的以下详细信息:
- 可分配角色的组不能嵌套其他组
- 组是Microsoft Entra ID 安全组或 Microsoft 365 组
- 一个组可以是另一个组的合格成员,即使一个组是可分配角色的组
- 用户是组 A 的活动成员,该组是组 B 的合格成员,因此用户可以在组 B 中激活成员身份。
- 激活适用于请求激活的用户
- 组 A 不会成为 B 组的成员
资源仪表板
在 PIM 中使用资源仪表板进行访问评审。
- 资源角色激活的图形表示形式
- 按分配类型分配角色分配的图表
- 具有新角色分配的数据区域
了解如何 使用资源仪表板在 PIM 中执行访问评审。
PIM 中的访问评审
使用访问评审可以:
- 控制对关键应用、Microsoft Teams 和 Office 365 组的访问权限
- 降低 Azure AD B2B 来宾的访问风险
- 确保特权角色中的用户需要权限
- 查看具有过多访问权限的计算机帐户
- 管理条件访问策略例外列表
在 PIM 中,使用访问评审来:
- 自动发现过时的角色分配
- 查看 Azure 和 Microsoft Entra ID 角色
- 在访问评审后从角色中删除用户
Azure 角色:
-
Azure AD 角色 - 分配可分配角色的组。 使用可分配角色的组创建评审时,组名称将显示在审阅中,而不会展开组成员身份。
- 批准或拒绝对组的访问。 应用评审结果时,被拒绝的组将失去角色分配。
-
Azure 资源角色 - 将安全组分配给该角色。 使用分配的安全组创建评审时,分配的用户将展开并对审阅者可见。
- 通过安全组拒绝分配给角色的用户
- 用户不会从组中删除,拒绝结果不成功
PIM 和条件访问集成
可以使用条件访问身份验证上下文要求符合条件的用户满足条件访问策略要求。 管理员可以通过条件访问策略添加安全要求:
- 仅需要从符合 Intune 的设备提升
- 强制实施强身份验证方法,例如网络钓鱼抵抗
有关详细信息,请参阅:
部署 PIM
- 发现要在 PIM 中管理的 Azure 资源
- 将组引入 PIM
- 了解Microsoft Entra ID 角色的角色设置
- 了解 Azure 资源角色的角色设置
- 为 PIM 启用组设置
- 在 PIM 中分配Microsoft Entra ID 角色
- 在 PIM 中分配 Azure 资源
- 在 PIM 中分配组
- 在 PIM 中激活Microsoft Entra ID 角色
- 在 PIM 中激活 Azure 资源
- 激活 PIM 中的组
- 在 PIM 中批准Microsoft Entra ID 角色
- 在 PIM 中批准 Azure 资源
- 批准 PIM 中的组
- 在 PIM 中扩展Microsoft Entra ID 角色
- 在 PIM 中扩展 Azure 资源
- 在 PIM 中扩展组
- 创建访问评审
- 执行访问评审
后续步骤
- Microsoft Entra ID 治理部署指南简介
- 方案 1:员工生命周期自动化
- 方案 2:分配员工对资源的访问权限
- 方案 3:管理来宾和合作伙伴访问权限
- 方案 4:控制特权标识及其访问权限