Wat is Microsoft Entra Privileged Identity Management?

Privileged Identity Management (PIM) is een service in Microsoft Entra ID waarmee u de toegang tot belangrijke resources in uw organisatie kunt beheren, beheren en bewaken. Deze resources omvatten resources in Microsoft Entra ID, Azure en andere Microsoft Online Services, zoals Microsoft 365 of Microsoft Intune. In de volgende video worden belangrijke PIM-concepten en -functies uitgelegd.

Redenen voor gebruik

Organisaties willen het aantal personen dat toegang heeft tot beveiligde informatie of resources minimaliseren, omdat dat de kans op

  • een kwaadwillende actor die toegang krijgt
  • een geautoriseerde gebruiker per ongeluk van invloed is op een gevoelige resource

Gebruikers moeten echter nog steeds bevoorrechte bewerkingen uitvoeren in Microsoft Entra ID, Azure, Microsoft 365 of SaaS-apps. Organisaties kunnen gebruikers Just-In-Time bevoegde toegang geven tot Azure- en Microsoft Entra-resources en kunnen toezicht houden op wat deze gebruikers doen met hun bevoorrechte toegang.

Licentievereisten

Voor het gebruik van Privileged Identity Management zijn licenties vereist. Zie Microsoft Entra ID-governance basisprincipes van licenties voor meer informatie over licenties.

Wat doet het?

Privileged Identity Management biedt op tijd en goedkeuring gebaseerde rolactiveringen om de risico's van buitensporige, onnodige of verkeerd gebruikte toegangsmachtigingen te beperken voor resources die u belangrijk vindt. Hier volgen enkele van de belangrijkste functies van Privileged Identity Management:

  • Just-In-Time bevoegde toegang bieden tot Microsoft Entra ID en Azure-resources
  • Tijdsgebonden toegang bieden aan resources met behulp van begin- en einddatums
  • Goedkeuring vereisen om bevoorrechte rollen te activeren
  • Meervoudige verificatie afdwingen om een rol te activeren
  • Gebruikmaken van redenen om te begrijpen waarom gebruikers activeren
  • Meldingen ontvangen wanneer bevoorrechte rollen zijn geactiveerd
  • Toegangsbeoordelingen uitvoeren om te controleren of gebruikers rollen nog steeds nodig hebben
  • Controlegeschiedenis downloaden voor interne of externe controle
  • Voorkomt het verwijderen van de laatste actieve globale Beheer istrator en bevoorrechte roltoewijzingen Beheer istrator

Wat kan ik ermee doen?

Zodra u Privileged Identity Management hebt ingesteld, ziet u de opties Taken, Beheren en Activiteit in het navigatiemenu links. Als beheerder kunt u kiezen tussen opties zoals het beheren van Microsoft Entra-rollen, het beheren van Azure-resourcerollen of PIM voor groepen. Wanneer u hebt gekozen wat u wilt beheren, ziet u de juiste set opties voor die optie.

Screenshot of Privileged Identity Management in the Azure portal.

Wie kan wat doen?

Voor Microsoft Entra-rollen in Privileged Identity Management kunnen alleen gebruikers met de rol Privileged Role Beheer istrator of Global Beheer istrator toewijzingen voor andere beheerders beheren. Globale Beheer istrators, Security Beheer istrators, Global Readers en Security Readers kunnen ook toewijzingen bekijken aan Microsoft Entra-rollen in Privileged Identity Management.

Voor rollen voor Azure-resources in Privileged Identity Management geldt dat alleen een abonnementsbeheerder, een resource-eigenaar of een beheerder voor gebruikerstoegang tot resources toewijzingen voor andere beheerders kan beheren. Gebruikers met bevoorrechte rollen Beheer istrators, beveiliging Beheer istrators of beveiligingslezers hebben niet standaard toegang om toewijzingen weer te geven aan Azure-resourcerollen in Privileged Identity Management.

Terminologie

Bekijk de volgende terminologie voor een beter begrip van Privileged Identity Management en de bijbehorende documentatie.

Term of concept Roltoewijzingscategorie Beschrijving
in aanmerking komend Type Een roltoewijzing die vereist dat een gebruiker een of meer acties uitvoert om de rol te kunnen gebruiken. Als een gebruiker in aanmerking komt voor een rol, betekent dit dat de gebruiker de rol kan activeren wanneer deze nodig is om bevoegde taken uit te voeren. Er is geen verschil in de toegang voor iemand met een permanente roltoewijzing ten opzichte van iemand die in aanmerking komt voor een roltoewijzing. Het enige verschil is dat sommige gebruikers niet voortdurend toegang nodig hebben.
actief Type Een roltoewijzing die niet vereist dat een gebruiker een actie uitvoert om de rol te kunnen gebruiken. Gebruikers die zijn toegewezen als actief zijn in het bezit van de bevoegdheden die zijn toegewezen aan de rol.
activeren Het proces van het uitvoeren van een of meer acties om de rol te kunnen gebruiken waarvoor de gebruiker in aanmerking komt. Acties kunnen bestaan uit het uitvoeren van een meervoudige verificatiecontrole (MFA), het verstrekken van een zakelijke reden of het aanvragen van goedkeuring van aangewezen goedkeurders.
toegewezen Provincie Een gebruiker met een actieve roltoewijzing.
geactiveerd Provincie Een gebruiker die in aanmerking komt voor een roltoewijzing, de acties voor het activeren van de rol heeft uitgevoerd en nu actief is. Zodra deze is geactiveerd, kan de gebruiker de rol gebruiken voor een vooraf geconfigureerde periode voordat deze opnieuw moet worden geactiveerd.
permanent in aanmerking komend Duur Een roltoewijzing waarbij een gebruiker altijd in aanmerking komt om de rol te activeren.
permanent actief Duur Een roltoewijzing waarbij een gebruiker de rol altijd kan gebruiken zonder acties te hoeven uitvoeren.
tijdsgebonden in aanmerking komende Duur Een roltoewijzing waarbij een gebruiker in aanmerking komt om de rol alleen binnen de begin- en einddatum te activeren.
tijdsgebonden actieve Duur Een roltoewijzing waarbij een gebruiker de rol alleen binnen begin- en einddatums kan gebruiken.
Just-in-time-toegang (JIT) Een model waarbij gebruikers tijdelijke machtigingen ontvangen om bepaalde taken uit te mogen voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang kunnen krijgen na het verlopen van deze machtigingen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben.
Principe van toegang met minimale bevoegdheden Een aanbevolen beveiligingspraktijk waarbij elke gebruiker alleen de minimale bevoegdheden heeft die nodig zijn om de taken uit te voeren die ze mogen uitvoeren. Met deze procedure wordt het aantal globale beheerders tot het minimum beperkt en worden er specifieke beheerdersrollen gebruikt voor bepaalde scenario's.

Overzicht van roltoewijzing

De PIM-roltoewijzingen bieden u een veilige manier om toegang te verlenen tot resources in uw organisatie. In deze sectie wordt het toewijzingsproces beschreven. Het omvat het toewijzen van rollen aan leden, het activeren van toewijzingen, het goedkeuren of weigeren van aanvragen, het uitbreiden en vernieuwen van toewijzingen.

PIM houdt u op de hoogte door u en andere deelnemers e-mailmeldingen te sturen. Deze e-mailberichten kunnen ook koppelingen bevatten naar relevante taken, zoals het activeren, goedkeuren of weigeren van een aanvraag.

In de volgende schermopname ziet u een e-mailbericht dat is verzonden door PIM. In het e-mailbericht wordt Patti geïnformeerd dat Alex een roltoewijzing heeft bijgewerkt voor Emily.

Screenshot shows an email message sent by Privileged Identity Management.

Toewijzen

Het toewijzingsproces begint met het toewijzen van rollen aan leden. Om toegang te verlenen tot een resource, wijst de beheerder rollen toe aan gebruikers, groepen, service-principals of beheerde identiteiten. De toewijzing bevat de volgende gegevens:

  • De leden of eigenaren om de rol toe te wijzen.
  • Het bereik van de toewijzing. Het bereik beperkt de toegewezen rol tot een bepaalde set resources.
  • Het type toewijzing
    • Voor Geschikte toewijzingen moet het lid van de rol een actie uitvoeren om de rol te kunnen gebruiken. Acties kunnen activering omvatten of goedkeuring aanvragen van aangewezen goedkeurders.
    • Voor actieve toewijzingen hoeft het lid geen actie uit te voeren om de rol te gebruiken. Leden die als actief zijn toegewezen, hebben de bevoegdheden toegewezen aan de rol.
  • De duur van de toewijzing, met behulp van begin- en einddatums of permanent. Voor in aanmerking komende toewijzingen kunnen de leden goedkeuring activeren of aanvragen tijdens de begin- en einddatum. Voor actieve toewijzingen kunnen de leden de rol toewijzen gedurende deze periode gebruiken.

In de volgende schermopname ziet u hoe de beheerder een rol toewijst aan leden.

Screenshot of Privileged Identity Management role assignment.

Raadpleeg de volgende artikelen voor meer informatie: Microsoft Entra-rollen toewijzen, Azure-resourcerollen toewijzen en geschiktheid toewijzen voor een PIM voor groepen

Activeren

Als gebruikers in aanmerking komen voor een rol, moeten ze de roltoewijzing activeren voordat ze de rol gebruiken. Om de rol te activeren, selecteren gebruikers een specifieke activeringsduur binnen het maximum (geconfigureerd door beheerders) en de reden voor de activeringsaanvraag.

In de volgende schermopname ziet u hoe leden hun rol activeren tot een beperkte tijd.

Screenshot of Privileged Identity Management role activation.

Als voor de rol goedkeuring is vereist om te activeren, wordt rechtsboven in de browser van de gebruiker een melding weergegeven waarin wordt opgegeven dat de aanvraag in behandeling is. Als er geen goedkeuring is vereist, kan het lid de rol gaan gebruiken.

Raadpleeg de volgende artikelen voor meer informatie: Microsoft Entra-rollen activeren, Mijn Azure-resourcerollen activeren en mijn PIM activeren voor groepsrollen

Goedkeuren of weigeren

Gedelegeerde goedkeurders ontvangen e-mailmeldingen wanneer een rolaanvraag in afwachting is van goedkeuring. Goedkeurders kunnen deze aanvragen in PIM bekijken, goedkeuren of weigeren. Nadat de aanvraag is goedgekeurd, kan het lid de rol gaan gebruiken. Als een gebruiker of groep bijvoorbeeld is toegewezen met de rol Bijdrage aan een resourcegroep, kunnen ze die specifieke resourcegroep beheren.

Raadpleeg de volgende artikelen voor meer informatie: Aanvragen voor Microsoft Entra-rollen goedkeuren of weigeren, aanvragen voor Azure-resourcerollen goedkeuren of weigeren en activeringsaanvragen goedkeuren voor PIM voor groepen

Toewijzingen uitbreiden en vernieuwen

Nadat beheerders tijdgebonden eigenaar- of lidtoewijzingen hebben ingesteld, is de eerste vraag die u kunt stellen wat er gebeurt als een toewijzing verloopt? In deze nieuwe versie bieden we twee opties voor dit scenario:

  • Uitbreiden : wanneer een roltoewijzing bijna verloopt, kan de gebruiker Privileged Identity Management gebruiken om een extensie aan te vragen voor de roltoewijzing
  • Vernieuwen : wanneer een roltoewijzing al is verlopen, kan de gebruiker Privileged Identity Management gebruiken om een verlenging voor de roltoewijzing aan te vragen

Voor beide door de gebruiker geïnitieerde acties is een goedkeuring vereist van een globale Beheer istrator of bevoorrechte rol Beheer istrator. Beheer hoeven niet in het bedrijf te zijn van het beheren van de vervaldatums van toewijzingen. U kunt gewoon wachten totdat de extensie- of verlengingsaanvragen binnenkomen voor eenvoudige goedkeuring of weigering.

Raadpleeg de volgende artikelen voor meer informatie: Roltoewijzingen van Microsoft Entra uitbreiden of vernieuwen, Azure-resourceroltoewijzingen uitbreiden of vernieuwen en PIM uitbreiden of vernieuwen voor groepstoewijzingen

Scenario's

Privileged Identity Management ondersteunt de volgende scenario's:

Machtigingen voor bevoorrechte rollen Beheer istrator

  • Goedkeuring voor specifieke rollen inschakelen
  • Gebruikers of groepen toewijzen als fiatteur om aanvragen goed te keuren
  • De geschiedenis van aanvragen en goedkeuringen bekijken voor alle bevoorrechte rollen

Machtigingen van fiatteurs

  • Goedkeuringen in behandeling (aanvragen) bekijken
  • Aanvragen voor rolverhoging goedkeuren of afwijzen (afzonderlijk en bulksgewijs)
  • De reden voor de goedkeuring of afwijzing opgeven

Gebruikersmachtigingen van in aanmerking komende rollen

  • Activering van een rol waarvoor goedkeuring nodig is, aanvragen
  • De status van uw aanvraag voor activeren bekijken
  • Voltooi uw taak in Microsoft Entra-id als de activering is goedgekeurd

Microsoft Graph API's

U kunt Privileged Identity Management programmatisch gebruiken via de volgende Microsoft Graph-API's:

Volgende stappen