使用 PIM（特权身份管理）保护特权访问

2024年4月15日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师在 Microsoft Entra ID（以前称为 Azure Active Directory）中实施和管理特权身份管理 (PIM)。 PIM 是一项服务，允许您管理、控制和监控对组织中重要资源的访问，提供对特权功能的即时 (JIT) 和恰足访问 (JEA) 访问，从而最大限度地降低特权滥用的风险 [1]。

简介

具有管理权限的帐户是网络攻击的主要目标，因为它们的妥协可能导致对组织的系统和数据的完全控制。永久分配特权帐户的传统安全模型增加了攻击面和攻击者横向移动的风险。 PIM 通过引入“即时”(JIT) 和“恰到好处”(JEA) 访问概念来应对这一挑战，确保用户仅在必要时且在严格要求的时间内拥有提升的权限 [2]。

本实用指南将涵盖 Microsoft Entra ID 中的 PIM 配置，从激活服务到分配角色资格、配置激活策略以及激活特权角色的过程。将提供分步说明、实际示例和验证方法，以便读者可以在其 Microsoft 环境中实施和加强特权访问安全性，减少风险暴露并确保合规性。

为什么特权身份管理至关重要？

减少攻击面：最大限度地减少特权帐户保持活动状态的时间，从而减少攻击者的机会。
JIT/JEA 访问：根据零信任原则，以最低权限授予临时访问权限。
可见性和审计：提供所有特权功能激活的详细日志，方便审计和合规性。
批准流程：允许您要求批准才能激活关键功能，增加额外的安全层。
访问审查：促进定期访问审查，以确保授予的权限仍然适当。

先决条件

要实施特权身份管理 (PIM)，您将需要以下项目：

许可：Microsoft Enroll ID Premium P2（以前称为 Azure AD Premium P2）许可证。 PIM 是该许可证的独特功能[3]。
管理访问权限：在 Microsoft 中具有“全局管理员”或“特权角色管理员”角色的帐户输入 ID 以配置 PIM。
用户和组：Microsoft Entra ID 上需要特权访问的用户和/或安全组。

分步：配置和使用 PIM

我们将为关键管理角色（例如“全局管理员”）配置 PIM，并演示激活过程。

1. 在 Microsoft Entra ID 上激活 PIM

如果 PIM 尚未在您的租户中激活，您将需要激活它。

访问 Microsoft Entra 管理中心门户：https://entra.microsoft.com。
在左侧导航窗格中，选择身份治理 > 特权身份管理。
如果这是您第一次，您将看到启用 PIM 的选项。单击它。

2. 分配角色资格

首先，让我们让用户有资格担任“全局管理员”角色。

在 PIM 左侧导航窗格中，选择 Microsoft Entra 角色 > 角色。
在角色列表中，查找“全局管理员”并单击它。
在“全局管理员”角色详细信息页面上，单击“添加角色”。
在“添加分配”部分中，单击“选择成员”。
搜索并选择您想要授予此角色资格的用户或组。单击“选择”。
在分配类型下，选择“合格”。
在永久分配下，您可以设置资格的开始和结束日期，或将其永久化。对于高度特权的角色，应避免永久分配，但出于目的出于演示目的，我们可以保持原样。
单击“分配”。

3. 配置角色设置

角色定义控制用户如何激活其权限。

在 PIM 左侧导航窗格中，选择 Microsoft Entra Functions > 设置。
在角色列表中，搜索“全局管理员”并单击“编辑”。
在激活部分：
- 最大激活持续时间：定义用户可以激活该功能的最长时间（例如：“4”小时）。建议时间较短。
- 激活时需要多重身份验证：选中此选项。 强烈推荐所有特权角色。
- 激活时需要理由：选择此选项。用户将需要提供激活原因。
- 需要批准才能激活：选中此选项可添加审批流程。单击“选择批准者”并添加一个或多个可以批准激活请求的用户/组。
在作业部分：
- 允许永久合格分配：对于“全局管理员”，请考虑禁用此选项以强制所有分配都是临时的。
在通知部分：
- 配置应通知谁该功能的激活。
单击“更新”保存设置。

4. 启用特权功能（用户体验）

现在，让我们演示合格的用户如何激活“全局管理员”角色。

合格用户访问 Microsoft Entra 管理中心门户：“https://entra.microsoft.com”。
导航到 身份治理 > 特权身份管理。
在左侧导航窗格中，选择 我的角色 > Microsoft 登录角色。
在 Eligible Roles 选项卡中，用户将看到“Global Administrator”角色。
单击“全局管理员”角色旁边的启用。
在激活窗口中：
- 持续时间：用户可以指定激活持续时间（受函数定义中定义的最大持续时间限制）。
- 原因：用户必须提供激活理由（例如“在服务器 X 上执行维护”）。 （如果已配置）安全检查*：可能会提示用户执行 MFA 检查。
单击激活。
如果需要批准，请求将发送给批准者。用户将看到状态为“待批准”。

5. 批准激活请求（批准者体验）

指定的审批者将收到有关激活请求的通知（通过电子邮件或 PIM 门户）。

审批者访问 Microsoft Entra 管理中心门户：“https://entra.microsoft.com”。
导航到 身份治理 > 特权身份管理。
在左侧导航窗格中，选择“批准请求”。
审批人将看到待处理的请求。单击它可查看详细信息。
批准者可以批准或拒绝请求，并提供理由。
批准后，请求用户将在指定期限内拥有活动角色。

验证和测试

验证 PIM 实施对于确保特权访问控制按预期工作至关重要。

1. 检查激活状态

激活（并批准，如果适用）后，用户可以返回 PIM 中的 我的角色 > Microsoft 登录角色 页面。
在 活动角色 选项卡中，“全局管理员”角色应显示为“活动”状态和剩余时间。

2. 测试提升权限访问

激活该功能后，用户必须尝试访问资源或执行需要“全局管理员”角色的操作（例如在 Microsoft Entra ID 中创建新用户）。
行动必须成功。

3.检查PIM审计日志

在 PIM 左侧导航窗格中，选择审核 > Microsoft Entra 角色审核。
过滤日志以查看角色激活、批准和其他 PIM 相关活动。这提供了完整的记录，包括谁激活了哪个功能、何时激活、激活了多长时间以及理由是什么。

4. 测试激活有效期

激活时间到期后，用户必须失去自动提升权限。尝试再次执行特权操作；她一定会失败。

安全提示和最佳实践

最小权限原则：仅分配用户执行其任务所需的角色。如果特权较低的角色就足够了，请避免分配“全局管理员”。
资格分配与活动分配：只要有可能，对特权角色使用“合格”而不是永久“活动”分配。
MFA 强制：始终需要 MFA 来激活特权功能。这增加了关键的安全层。
所需的理由：要求用户为每次激活提供理由。这有助于审核和理解访问的目的。
审批流程：对于关键功能，配置审批流程以确保激活由其他人审核和授权。
访问审查：在 PIM 中安排定期访问审查，以确保特权角色的资格仍然适当，并删除不必要的分配。
通知：配置特权角色激活或发生可疑活动时向管理员发出的通知。
与条件访问集成：激活 PIM 功能时使用条件访问强制实施其他策略（例如，要求从受支持的设备或受信任的网络位置进行激活）。

常见故障排除

用户无法激活该功能：检查用户是否拥有 Microsoft Entra ID Premium P2 许可证。检查他是否在符合该职位资格的人员名单中。检查角色设置（例如是否需要MFA且用户未配置）。
功能激活失败：检查 PIM 审核日志中是否有错误消息。这可能是由于 MFA 失败、缺乏理由或被批准者拒绝。
审批者不会收到通知：检查角色设置中的通知设置。确保审批者的电子邮件地址正确，并且没有收件箱规则阻止通知。
功能不会自动停用：检查功能设置中的最长激活持续时间。如果问题仍然存在，可能是由于服务同步延迟造成的。
权限冲突：如果用户通过PIM角色和常规角色拥有相同的权限，则以常规角色为准。最好为也符合 PIM 资格的用户删除永久特权角色分配。

结论

对于任何希望保护其特权访问并加强其安全状况的组织来说，Microsoft Entra 特权身份管理 (PIM) 是不可或缺的工具。通过采用“及时”和“恰到好处”的访问原则，PIM 有助于显着减少攻击面，提供详细的审计跟踪，并对管理功能实施严格的控制。仔细实施 PIM，结合安全最佳实践和用户培训，使 IT 和安全团队能够有效管理权限，降低与特权帐户受损相关的风险，并确保更安全、更合规的环境。

参考资料：

[1] 微软学习。 什么是 Microsoft Entra 特权身份管理？。网址：https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] 微软学习。 零信任指导原则。网址：https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] 微软学习。 Microsoft Entra Privileged Identity Management 的许可要求。网址：https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements