为管理用户定义特权访问策略
什么是 Privileged Identity management (PIM)?
PIM 是Microsoft Entra ID 中的服务,用于管理对特权资源的访问。 PIM 使你能够管理、控制和监视对组织中重要资源的访问。 此类资源包括 Microsoft Entra ID、Azure 和其他 Microsoft Online Services(如 Microsoft 365 或 Microsoft Intune)中的资源。
PIM 的作用是什么?
PIM 提供基于时间的和基于审批的角色激活来访问资源。 这有助于缓解对所关注资源的过度、不必要的或滥用访问权限的风险。 PIM 的主要功能包括:
- 提供对 Microsoft Entra ID 和 Azure 资源的实时特权访问权限
- 使用开始日期和结束日期为资源分配时间限制访问权限
- 需要批准才能激活高权限角色
- 强制实施 Azure 多重身份验证以激活任何角色
- 使用理由了解用户激活的原因
- 激活特权角色时获取通知
- 开展访问评审,以确保用户仍然需要角色
- 下载内部或外部审核的审核历史记录
在组织中部署 PIM 之前,请按照说明并了解本部分中的概念。 这将帮助你创建一个根据组织的特权标识要求定制的计划。
注意
PIM 需要高级 P2 许可证。
确定利益干系人
以下部分可帮助你确定参与项目的所有利益干系人。 你将了解谁需要批准,谁需要评审,或者随时了解情况。 它包括用于 Microsoft Entra 角色的 PIM 部署的单独表格,以及用于 Azure 角色的 PIM 部署的单独表格。 根据您组织的需要,将利益干系人添加到下列表格中。
SO = 对此项目进行审批
R = 查看此项目并提供输入
我已知悉这个项目
利益干系人:适用于 Microsoft Entra 角色的 Privileged Identity Management
| 名称 | 角色 | 操作 |
|---|---|---|
| 名称和电子邮件 | 标识架构师或 Azure 全局管理员 - 标识管理团队的代表,负责定义如何将此更改与组织中的核心标识管理基础结构保持一致。 | SO/R/I |
| 名称和电子邮件 | 服务所有者或 Line manager - 服务或一组服务的 IT 所有者的代表。 他们是制定决策和帮助为团队推出 PIM 的关键。 | SO/R/I |
| 名称和电子邮件 | 安全所有者 - 来自安全团队的代表,他们负责批准该计划是否符合组织的安全要求。 | SO/R |
| 名称和电子邮件 | IT 支持经理/支持人员 - IT 支持组织的代表,可以从支持人员的角度就此更改的可支持性提供反馈。 | R/I |
| 试点用户的名称和电子邮件 | 特权角色用户 - 实现特权标识管理的用户组。 实施 PIM 后,他们需要知道如何激活其角色。 | I |
利益干系人:Azure 角色的 Privileged Identity Management
| 名称 | 角色 | 操作 |
|---|---|---|
| 名称和电子邮件 | 订阅/资源所有者 - 要为其部署 PIM 的每个订阅或资源的 IT 所有者的代表。 | SO/R/I |
| 名称和电子邮件 | 安全所有者 - 安全团队的代表,可以批准计划满足组织的安全要求。 | SO/R |
| 名称和电子邮件 | IT 支持经理/支持人员 - IT 支持组织的代表,可以从支持人员的角度就此更改的可支持性提供反馈。 | R/I |
| 试点用户的名称和电子邮件 | Azure 角色用户 - 实现特权标识管理的用户组。 实施 PIM 后,他们需要知道如何激活其角色。 | I |
开始使用 Privileged Identity Management
作为计划过程的一部分,请按照“开始使用 Privileged Identity Management”一文来准备 PIM。 PIM 允许你访问一些旨在帮助部署的功能。
如果你的目标是为 Azure 资源部署 PIM,请参阅我们的文章“发现 Azure 资源以在特权身份管理中进行管理”。 只有订阅和管理组的所有者才能使这些资源由 PIM 管理。 管理后,PIM 功能可供所有级别的所有者使用,包括管理组、订阅、资源组和资源。 如果你是尝试为 Azure 资源部署 PIM 的全局管理员,则可以提升访问权限以管理所有 Azure 订阅,以授予你对目录中所有 Azure 资源的访问权限以供发现。 但是,我们建议在使用 PIM 管理其资源之前,获得每个订阅所有者的批准。
强制实施最低特权原则
请务必确保已针对 Microsoft Entra ID 和 Azure 角色强制实施组织中最低特权原则。
计划最小特权委派
对于Microsoft Entra 角色,当大多数管理员只需要一两个特定且不太强大的管理员角色时,组织通常会将全局管理员角色分配给许多管理员。 拥有大量全局管理员或其他高特权角色时,很难密切跟踪特权角色分配。
按照以下步骤为 Microsoft Entra 角色实现最低特权原则。
通过阅读和了解可用的 Microsoft Entra 管理员角色,深入理解角色的详细分工。 你和你的团队还应该根据 Microsoft Entra ID 中的标识任务来参考管理员角色,该任务解释了用于特定任务的最低特权角色。
列出组织中具有特权角色的人员。 可以使用 PIM 发现和见解(预览版)减少曝光。
对于组织中的所有全局管理员,请了解他们需要该角色的原因。 然后从全局管理员角色中删除它们,并在 Microsoft Entra ID 中分配具有较低权限的内置角色或自定义角色。 FYI,Microsoft目前只有大约 10 名具有全局管理员角色的管理员。
对于所有其他Microsoft Entra 角色,请查看分配列表,识别不再需要该角色的管理员,并从其分配中删除这些角色。
若要自动执行最后两个步骤,可以在 PIM 中使用访问评审。 按照“在 Privileged Identity Management 中为Microsoft Entra 角色启动访问评审”中的步骤,可以为具有一个或多个成员的每个Microsoft Entra ID 角色设置访问评审。
将审阅者设置为“成员(自己)”。 角色中的所有用户将收到一封电子邮件,要求他们确认他们需要访问权限。 另外,请在高级设置中启用“需要批准理由”,以要求用户必须说明其需要该角色的原因。 根据此信息,你可以从不必要的角色中删除用户,或将其委托给更精细的管理员角色。
访问评审依赖于电子邮件来通知用户评审他们对角色的访问权限。 如果你的特权帐户未链接电子邮件,请务必填充这些帐户上的辅助电子邮件字段。
计划 Azure 资源角色委托
对于 Azure 订阅和资源,可以设置类似的访问评审过程,以查看每个订阅或资源中的角色。 此过程的目标是最大程度地减少附加到每个订阅或资源的所有者和用户访问管理员分配,并删除不必要的分配。 但是,组织通常会将此类任务委托给每个订阅或资源的所有者,因为他们更好地了解特定角色(尤其是自定义角色)。
如果您是扮演全局管理员角色并尝试在组织中为 Azure 角色部署 PIM,那么您可以提升访问权限以管理所有 Azure 订阅,从而获取对每个订阅的访问权限。 然后,可以找到每个订阅所有者并与其协作以删除不必要的分配,并最大程度地减少所有者角色分配。
具有 Azure 订阅的“所有者”角色的用户还可以使用 Azure 资源的访问评审来审核和删除不必要的角色分配,这与前面针对 Microsoft Entra 角色所述的过程类似。
确定哪些角色分配应受 Privileged Identity Management 保护
清理组织中的特权角色分配后,需要确定要使用 PIM 保护哪些角色。
如果某个角色受 PIM 保护,则分配给该角色的合格用户必须提升权限才能使用该角色授予的权限。 提升过程可能包括使用 Azure 多重身份验证获取批准,并提供激活原因。 PIM 还可以通过通知、PIM 和 Microsoft Entra 审核事件日志来跟踪权限提升进程。
选择使用 PIM 进行保护的角色可能很困难,并且对于每个组织来说将有所不同。 本部分提供了 Microsoft Entra 角色和 Azure 角色的最佳实践。
Microsoft Entra 角色
请务必优先保护具有最大权限的 Microsoft Entra 角色。 根据所有 PIM 客户的使用模式,PIM 托管的前 10 个Microsoft Entra 角色包括:
全局管理员
安全管理员
用户管理员
Exchange 管理员
SharePoint 管理员
Intune 管理员
安全读取器
服务管理员
计费管理员
Skype for Business 管理员
提示
Microsoft建议使用 PIM 管理所有全局管理员和安全管理员作为第一步,因为它们是在遭到入侵时可能会造成最大伤害的用户。
请务必考虑组织最敏感的数据和权限。 例如,某些组织希望使用 PIM 保护其 Power BI 管理员角色或 Teams 管理员角色,因为它们可以访问数据和更改核心工作流。
如果有分配了来宾用户的角色,则这些角色容易受到攻击。
提示
Microsoft建议使用 PIM 管理来宾用户的所有角色,以减少与已泄露的来宾用户帐户相关的风险。
读取者角色(如目录读取者、消息中心读取者和安全读取者)有时被视为比其他角色不太重要,因为它们没有写入权限。 但是,我们有一些客户也保护这些角色,因为有权访问这些帐户的攻击者可能能够读取敏感数据,包括个人数据。 在决定是否希望组织中的读者角色使用 PIM 进行管理时,请考虑到此风险。
Azure 角色
在确定应对 Azure 资源使用 PIM 管理哪些角色分配时,必须先确定对组织至关重要的订阅/资源。 此类订阅/资源的示例包括:
- 托管最敏感数据的资源。
- 面向客户的核心应用程序所依赖的资源。
如果你是全局管理员,在确定哪些订阅和资源最重要的方面遇到问题,则应联系组织中的订阅所有者收集每个订阅管理的资源列表。 然后,请与订阅所有者协作,根据严重性级别对资源进行分组,以防它们遭到入侵(低、中、高)。 根据此严重性级别确定使用 PIM 管理资源的优先级。
提示
Microsoft建议与关键服务的订阅/资源所有者合作,为敏感订阅/资源中的所有角色设置 PIM 工作流。
Azure 资源的 PIM 支持时限服务帐户。 你应该像对待常规用户帐户一样对待服务帐户。
对于非关键订阅/资源,无需为所有角色设置 PIM。 但是,你仍应使用 PIM 保护所有者和用户访问管理员角色。
提示
Microsoft建议使用 PIM 管理所有订阅/资源的所有者角色和用户访问管理员角色。
决定是否使用小组来分配角色
是否向组分配角色而不是向单个用户分配角色是一项战略决策。 规划时,请考虑在以下情况下将某个角色指派给一个组,以便由该组管理角色分配:
- 许多用户被分配到具体的角色中。
- 你想要把角色分配委托给别人。
向一个角色分配了多个用户
手动跟踪向角色分配的用户以及根据用户需要管理其角色分配这一过程,可能会花费一些时间。 若要将组分配给角色,首先请创建一个可分配角色的组,然后将该组分配为符合角色条件的组。 此操作将使组中的每个人接受与有资格提升到角色的单个用户相同的激活过程。 每个组成员使用 PIM 激活请求和审批过程,分别激活分配给他们的组任务。 组没有被激活,只是激活用户的组成员身份。
你想委托他人来分配这个角色
组所有者可以管理组的成员。 对于Microsoft Entra ID 可分配角色的组,只有特权角色管理员、全局管理员和组所有者才能管理组成员身份。 当管理员向组中添加新成员时,无论分配是符合条件的还是激活中的,该成员都可以访问分配给该组的角色。 使用组所有者为已分配的角色委托组成员身份管理,从而减小所需特权的广度。
提示
Microsoft 建议将 Microsoft Entra ID 可分配角色的组交由 PIM 管理。 在 PIM 的管理下,角色可分配组被称为特权访问组。 使用 PIM 来要求组所有者在他们能管理组成员之前,必须先激活他们的所有者角色分配。
确定哪些角色分配应为永久或符合条件
确定要由 PIM 管理的角色列表后,必须确定哪些用户应获得符合条件的角色,而不是永久处于活动状态的角色。 永久活动角色是通过 Microsoft Entra ID 和 Azure 资源分配的普通角色,而符合条件的角色只能在 PIM 中分配。
Microsoft 建议除了推荐的两个紧急访问帐户(应具有永久性全局管理员角色)以外,不要对 Microsoft Entra 角色和 Azure 角色进行永久性活动分配。
尽管我们建议零位管理员,但组织有时很难立即实现这一目标。 做出此决定时要考虑的事项包括:
提升频率 – 如果用户只需要一次特权分配任务,则不应给他们永久分配任务。 另一方面,如果用户需要某个角色来完成其日常工作,而使用 PIM 会极大降低他们的工作效率,则可以考虑赋予他们永久角色。
特定于组织的案例 - 如果被授予符合条件的角色的人员来自遥远的团队或为高级管理人员,不便沟通和执行提升过程,则可考虑为其分配永久角色。
提示
Microsoft建议为具有永久角色分配的用户设置定期访问评审。
草拟 Privileged Identity Management 设置
在实现 PIM 解决方案之前,最好为组织使用的每个特权角色起草 PIM 设置。 本部分提供了特定角色的 PIM 设置的一些示例;它们仅供参考,对于组织来说可能有所不同。 每个设置都在表格后详细介绍,并附有Microsoft的建议。
Microsoft Entra 角色的 Privileged Identity Management 设置
| 设置 | 全局管理员 | Exchange 管理员 | 支持人员管理员 |
|---|---|---|---|
| 需要执行 MFA;双重验证 | 是的 | 是的 | 不 |
| 通知 | 是的 | 是的 | 不 |
| 事件票证 | 是的 | 不 | 是的 |
| 需要审批 | 是的 | 不 | 不 |
| 审批者 | 其他全局管理员 | 没有 | 没有 |
| 激活持续时间 | 1 小时 | 2 小时 | 8 小时 |
| 永久管理员 | 紧急访问帐户 | 没有 | 没有 |
适用于 Azure 角色的 Privileged Identity Management 设置
| 设置 | 关键订阅的所有者 | 次要订阅的用户访问管理员 | 虚拟机参与者 |
|---|---|---|---|
| 需要执行 MFA;双重验证 | 是的 | 是的 | 不 |
| 通知 | 是的 | 是的 | 是的 |
| 需要审批 | 是的 | 不 | 不 |
| 审批者 | 订阅的其他所有者 | 没有 | 没有 |
| 激活持续时间 | 1 小时 | 1 小时 | 3 小时 |
| 活跃管理员 | 没有 | 没有 | 没有 |
| 活动期限 | n/a | n/a | n/a |
下表描述了每个设置。
| 设置 | 说明 |
|---|---|
| 角色 | 要为其定义设置的角色的名称。 |
| 需要执行 MFA;双重验证 | 符合条件的用户是否需要执行 MFA;激活角色之前进行双重验证。 |
| Microsoft 建议强制执行 MFA;所有管理员角色需要通过双重验证,尤其是在角色具有来宾用户时。 | |
| 通知 | 如果设置为 true,则当符合条件的用户激活角色时,组织中的全局管理员、特权角色管理员和安全管理员将收到电子邮件通知。 |
| 某些组织没有与其管理员帐户关联的电子邮件地址。 若要获取这些电子邮件通知,请设置备用电子邮件地址,以便管理员会收到这些电子邮件。 | |
| 事件票证 | 符合条件的用户在激活其角色时是否需要记录事件票证编号。 此设置可帮助组织使用内部事件编号标识每个激活,以缓解不需要的激活。 |
| Microsoft 建议利用事件票证号来将 PIM 绑定到内部系统。 此方法对于需要了解激活背景的审批者非常有用。 | |
| 需要审批 | 符合条件的用户是否需要获得批准才能激活角色。 |
| Microsoft 建议为权限最多的角色设置审批。 根据所有 PIM 客户的使用模式,全局管理员、用户管理员、Exchange 管理员、安全管理员和密码管理员是最常见的角色,需要审批。 | |
| 审批者 | 如果需要审批才能激活符合条件的角色,请列出应批准请求的人员。 默认情况下,PIM 将审批者设置为所有具有特权角色管理员的用户,无论他们是永久的还是符合条件的。 |
| 如果用户同时符合 Microsoft Entra 角色和该角色审批者身份的条件,则将无法为自己执行审批。 | |
| Microsoft 建议选择最了解角色及其常见用户的用户而非全局管理员作为审批者。 | |
| 激活持续时间 | 在角色到期之前,用户拥有该角色的有效期。 |
| 永久管理员 | 将成为该角色的永久管理员的用户列表(永远不必激活)。 |
| Microsoft 建议所有角色(全局管理员除外)均不设立长期管理员。 | |
| 活跃管理员 | 对于 Azure 资源,常驻管理员是无需激活即可使用角色的用户列表。 此列表不像 Microsoft Entra 角色中那样称为永久管理员,因为您可以设置用户失去此角色的过期时间。 |
| 活动期限 | 配置的持续时间结束后,Azure 角色的活动角色分配将会到期。 可以选择 15 天、1 个月、3 个月、6 个月、1 年或永久活动。 |
| 符合条件期限 | 在此持续时间结束后,Azure 角色符合条件的角色分配将会到期。 可以选择 15 天、1 个月、3 个月、6 个月、1 年或永久资格。 |