Поделиться через


Начало работы с управлением привилегированными пользователями

Используйте управление привилегированными пользователями (PIM) для управления, контроля и мониторинга доступа в организации Microsoft Entra. С помощью PIM вы можете предоставлять доступ по мере необходимости и JIT-доступ к ресурсам Azure, ресурсам Microsoft Entra и другим microsoft веб-службы, таким как Microsoft 365 или Microsoft Intune.

В этой статье объясняется, как включить управление привилегированными пользователями Privileged Identity Management (PIM) и приступить к использованию этой службы.

Необходимые компоненты

Чтобы использовать управление привилегированными пользователями, необходимо иметь лицензию Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra. Дополнительные сведения о лицензировании см. в Управление идентификацией Microsoft Entra основах лицензирования.

Активация назначений ролей

Если клиент Microsoft Entra имеет лицензию Microsoft Entra ID P2 или Управление идентификацией Microsoft Entra, пользователи с активными назначениями ролей могут выполнять следующие действия:

  • Откройте страницу " Роли и администраторы" в идентификаторе Microsoft Entra и выберите роль;
  • Откройте страницу управление привилегированными пользователями;
  • Вызовы PIM с помощью API ролей Microsoft Entra.

Microsoft Entra включает PIM для клиента следующим образом:

  • Начиная с начала вы можете создавать подходящие или ограниченные по времени назначения для ролей Microsoft Entra;
  • Глобальные администраторы или администраторы привилегированных ролей могут начать получать дополнительные сообщения электронной почты, например еженедельный дайджест PIM;
  • Имя субъекта-службы PIM (MS–PIM) может быть указано в событиях журнала аудита, связанных с управлением назначениями ролей.

Это поведение ожидается и не должно влиять на рабочие процессы.

Подготовка PIM для ролей Microsoft Entra

Ниже приведены задачи, которые мы рекомендуем подготовить управление привилегированными пользователями для управления ролями Microsoft Entra:

  1. Настройка параметров роли Microsoft Entra
  2. Предоставление подходящих назначений
  3. Разрешить пользователям активировать роль Microsoft Entra jit

Подготовка к управлению ролями Azure AD

Ниже перечислены задачи, которые мы рекомендуем выполнить, чтобы подготовить средства PIM для управления ролями Azure в подписке.

  1. Обнаружение ресурсов Azure
  2. Настройка параметров роли Azure
  3. Предоставление подходящих назначений
  4. Разрешить пользователям активировать свои роли Azure JIT

После настройки PIM вы можете ознакомиться с этой системой.

Снимок экрана: окно навигации в управление привилегированными пользователями с параметрами

Задача и управление Description
Мои роли Отображается список назначенных вам действительных и активных ролей. Здесь можно активировать все действительные назначенные роли.
Мои запросы Отображаются все запросы, ожидающие активации назначения действительных ролей.
Утверждение запросов Отображается список запросов на активацию действительных ролей в вашем каталоге для пользователей, которых вы должны подтвердить.
Проверка доступа Приведены активные проверки доступа, которые вы должны выполнить (для себя или для кого-то другого).
Роли Microsoft Entra Отображает панель мониторинга и параметры для администраторов привилегированных ролей для управления назначениями ролей Microsoft Entra. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. Эти пользователи имеют доступ к специальной панели мониторинга My view (Мое представление). На панели мониторинга My view (Мое представление) отображаются только сведения о пользователе, который получает доступ к панели мониторинга, а не обо всей организации.
Группы Управление JIT-членством в группе или jit-владельцем группы. Группы можно использовать для предоставления доступа к ролям Microsoft Entra, ролям Azure и различным другим сценариям. Чтобы управлять группой Microsoft Entra в PIM, необходимо перенести ее под управление в PIM.
Ресурсы Azure Отображаются панель мониторинга и параметры для администраторов привилегированных ролей, чтобы они могли управлять назначениями ролей ресурса Azure. Эта панель мониторинга отключена для всех, кто не является администратором привилегированных ролей. Эти пользователи имеют доступ к специальной панели мониторинга My view (Мое представление). На панели мониторинга My view (Мое представление) отображаются только сведения о пользователе, который получает доступ к панели мониторинга, а не обо всей организации.
Общие параметры Выберите приложения, которые могут вызывать API Microsoft Graph только для PIM.

Следующие шаги