在 Privileged Identity Management 中为 Azure 角色配置安全警报
当属于 Microsoft Entra ID 的组织中存在可疑或不安全活动时,Privileged Identity Management (PIM) 会生成警报。 当警报触发时,它将显示在“警报”页上。
注意
Privileged Identity Management 中的一个事件可以生成发往多个收件人(被分派人、审批者或管理员)的电子邮件通知。 每个事件发送的最大通知数为 1000。 如果收件人数超过 1000,则只有前 1000 个收件人会收到电子邮件通知。 这不会阻止其他被分派人、管理员或审批者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其权限。
查看警报
选择某个警报可查看报告,其中列出了触发该警报的用户或角色以及修正指导。
警报
警报 | 严重性 | 触发器 | 建议 |
---|---|---|---|
向资源分配的所有者过多 | 中 | 拥有所有者角色的用户过多。 | 查看列表中的用户,并将某些用户重新分配到具有较低权限的角色。 |
向资源分配的永久所有者过多 | 中 | 太多用户永久地分配到了某个角色。 | 查看列表中的用户,并将某些用户重新分配为需要激活才能使用该角色。 |
创建了重复角色 | 中 | 多个角色具有相同的条件。 | 仅使用这些角色中的一个角色。 |
在 Privileged Identity Management 之外分配角色 | 高 | 通过 Azure IAM 资源或 Azure 资源管理器 API 直接管理角色。 | 查看列表中的用户,将其从 Privileged Identity Management 外部分配的特权角色中删除。 |
注意
对于“在 Privileged Identity Management 之外分配角色”警报,可能会遇到重复通知。 这些重复可能主要与再次发送通知的潜在实时现场站点事件有关。
严重性
- 高:因策略冲突需要立即采取措施。
- 中:不需要立即采取措施,但有潜在的策略冲突。
- 低:不需要立即采取措施,但建议考虑可取的策略更改。
配置安全警报设置
提示
本文中的步骤可能因开始使用的门户而略有不同。
按照以下步骤,在 Privileged Identity Management 中为 Azure 角色配置安全警报:
至少以特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识治理”>“Privileged Identity Management”>“Azure 资源”“选择订阅”>“警报”>“设置”。 有关如何将 Privileged Identity Management 磁贴添加到仪表板的信息,请参阅开始使用 Privileged Identity Management。
在各个警报上自定义设置以适应你的环境和安全目标。
注意
“角色在 Privileged Identity Management 之外分配”警报在为 Azure 订阅创建角色分配时会触发,但在“管理组”、“资源组”或“资源”范围内分配角色时不会触发。