Управление привилегированными пользователями: повысьте безопасность Azure

Microsoft Azure имеет отличные встроенные инструменты для защиты безопасности вашей облачной среды. Одним из преимуществ Microsoft Azure по сравнению с другими облачными провайдерами является интеграция вашей локальной Active Directory с Azure Active Directory, что позволяет вам использовать одни и те же учетные данные для назначения разрешений вашим ресурсам в Microsoft Azure. Управление привилегированными пользователями добавляет дополнительный уровень безопасности, предоставляя своевременный доступ к Azure AD или ресурсам Azure. Процесс предоставления пользователю имеет несколько возможностей, таких как время для доступа к работе, процесс утверждения, может потребоваться обоснование, включая или нет номер билета, помимо всего, что мы можем применить многофакторную аутентификацию и получить уведомление.

Еще одна замечательная функция, которая поставляется с PIM, — это возможность выполнять проверку доступа и проводить аудит всех проведенных транзакций, что полезно для любого аудита, который может потребоваться вашему бизнесу. В этой статье мы рассмотрим начальные шаги по включению этой функции и разрешения, которые вводятся, когда эта функция используется.

Базовая безопасность и роли

До PIM все пользователи были статическими, и если они были назначены в группу ресурсов (непосредственно или в качестве члена группы), они оставались там навсегда. Этот тип назначения называется постоянным в юниверсе PIM.

Одной из основных особенностей PIM является предоставление пользователям права доступа, что означает, что пользователь имеет право запрашивать привилегию. Когда пользователь делает запрос, мы можем оценить его и применить уровень безопасности, который мы хотим реализовать для предоставления доступа.

PIM опирается на три роли, и они необходимы. PIM предоставляет мастер для управления и защиты этих ключевых ролей следующим образом:

• Администратор роли привилегий позволяет своим членам управлять PIM, который является ключевым компонентом решения безопасности. Эта роль также может управлять назначениями ролей в Azure Active Directory.
• Администратор безопасности: эта роль может управлять всеми функциями, связанными с безопасностью, в сфере Microsoft Cloud. Включая доступ для чтения к PIM (чтение всей доступной информации), Azure AD Identity Protection, Office 365 (Центр безопасности) и Azure Information Protection.
• Глобальный администратор: эта роль должна быть защищена любой ценой. Эта роль может назначать другие роли, сбрасывать пароли и управлять Azure AD и любой службой, использующей удостоверения Azure AD.

Получение лицензии Active Directory

Первым шагом является требование лицензии. Чтобы воспользоваться преимуществами функции PIM, нам нужна лицензия Azure AD Premium P2, связанная с нашим арендатором. Лицензия включает в себя все навороты, доступные на платформе, и уникальные функции в области и .

Вот как это сделать. Войдите на портал Azure, щелкните Azure AD, щелкните элемент «Лицензии» с левой стороны. В колонке щелкните Все продукты, и отобразится список всех существующих лицензий, связанных с вашим клиентом.

Если вы не видите Azure AD Premium P2, не волнуйтесь, вы можете подать заявку на 30-дневную пробную версию (пробная версия включает 100 лицензий). Нажмите «Попробовать/купить», разверните Azure AD Premium P2 и нажмите «Активировать». Подождите пару минут, чтобы дать время для завершения активации.

Начало работы с Privileged Identity Management

Перед началом настройки PIM необходимо выполнить процедуру. Нам нужно пройти аутентификацию с помощью MFA и настроить . Для выполнения задач в этом разделе требуется глобальный администратор, и эта учетная запись будет автоматически добавлена к роли администратора привилегированной роли.

Первый шаг — найти PIM в поиске и нажать на результаты . В новой колонке нажмите Consent to PIM.

Если ваш текущий пользователь не настроен на использование MFA, будет отображаться следующая ошибка (Подтвердите мою личность), и администратор облака должен настроить MFA, прежде чем продолжить процесс согласия. Если вы используете MFA, сообщение должно быть похоже на то, что показано на рисунке ниже («Проверка состояния завершена. Нажмите кнопку «Согласие», чтобы дать согласие на использование службы управления привилегированными пользователями»).

Нажмите «Согласие » и в новом диалоговом окне нажмите « Да» для подтверждения.

Включение ресурсов Azure в PIM

Теперь, когда у нас есть полностью работающая PIM, наш следующий логический шаг — начать адаптацию ресурсов. С помощью PIM мы можем управлять ролями Azure AD, ресурсами Azure и пользовательскими ролями Azure AD (предварительная версия).

Начнем с подключения ресурсов Azure. Нажмите «Ресурсы Azure», выберите тип ресурса, который вы собираетесь обнаружить (по умолчанию — подписка), затем нажмите «Обнаружить ресурсы». В этой области мы можем контролировать разрешения на нескольких уровнях, таких как и даже .

Запустится процесс обнаружения, и будут перечислены все обнаруженные ресурсы. В нашем примере ниже была найдена подписка. Выберите одну или несколько записей из списка (элемент 1), нажмите «Управление ресурсами» (элемент 2) и нажмите « Да», чтобы подтвердить процесс подключения.

При подключении ресурсов, таких как подписка, всеми дочерними объектами под ресурсом будет управлять PIM. Нет необходимости выполнять обнаружение групп ресурсов при выборе подписки.

Ближайшие достопримечательности

В этой статье мы ознакомились с преимуществами управления привилегированными пользователями в Microsoft Azure. Мы рассмотрели шаги, необходимые для его включения в вашем клиенте и начала интеграции ваших ресурсов в PIM. В нашей следующей статье, которая скоро будет опубликована здесь, на TechGenix, мы пойдем еще дальше с PIM.