Azure AD 特权角色：管理和监控特权访问

教程

Azure AD 特权角色：管理和监控特权访问。您是否希望有效地管理和监控 Azure AD 中的特权角色和访问？本文提供了全面的信息，帮助您成功实现这一目标。

为了满足这一要求，文章首先解释了 Azure AD 特权角色。我们解释了这意味着什么，以及为什么监控这些角色至关重要。

之后，我们提供了使用 Azure Active Directory 工具监控和管理特权或增强权限的 3 种方法。

什么是 Azure Active Directory 特权角色

当角色直接分配给用户或通过组时，用户获得了与角色关联的权限。然而，这只是开始的简单部分。

除了通过Azure AD 角色分配授予权限之外，IT 安全管理员还必须确保他们的安全策略通过三项测试。

首先，他们必须确保IT管理员不被授予超出其任务要求的不必要权限。此外，特权访问应仅在有限的时间内授予。

最后，定期监控角色、特权和权限对于识别并撤销过度的用户权限至关重要。

幸运的是，Azure Active Directory提供了各种工具和功能，以满足这些角色和权限管理需求。

在本文的后续部分中，我们将解释监控和管理Azure AD特权访问的各种方法。

用户的特权访问需求定期变化。因此，需要定期监控以确保用户被分配了他们所需的确切权限。

Azure AD特权身份管理（PIM）提供了创建特权访问审查的选项。访问审查具体用于监控对Azure资源或Azure Active Directory角色的特权访问。

但是，在创建访问审查之前，请确保您的帐户符合许可和角色要求。

Azure AD Premium P2是许可的先决条件。此外，要创建访问审查，用户必须被分配全局管理员或特权角色管理员角色。

如果您的帐户符合许可和角色分配的要求，请按照以下步骤为Azure AD角色创建访问审查：

1. 登录portal.azure.com，搜索“身份管理”，并打开服务。

2. 页面打开后，在“特权身份管理”下，点击“Azure AD角色”。

3. 接下来，在“管理”菜单中选择“Azure AD角色”，然后在管理下点击“访问审查”，然后点击“新建”以创建新的访问审查。

4. 最后，在“创建访问审查”页面上输入所需的详细信息，并点击“开始”。

如果您需要帮助确定在创建访问审查时使用哪些选项，请获取访问审查各个部分的解释。

Azure活动目录允许检查用户或组分配的角色。这是通过查看各个角色分配来执行的。

按照以下步骤查看用户或组角色分配。1. 登录portal.azure.com并打开Azure活动目录。接下来，点击“用户”或“组”菜单。

1. 登录到 portal.azure.com 并打开 Azure Active Directory。然后，点击“用户”或“组”菜单。

I will click Groups to show how to list the role assignment for a group.

2. 如果您正在审查组的角色分配，请从列表中选择。或者，使用搜索字段。

3. 最后，点击“已分配的角色”以显示所有 Azure Identity 已分配角色的列表。

Azure 特权身份管理（PIM）保留了所有特权角色分配或移除的 30 天审计历史。IT 管理员使用此工具确定在过去 30 天内分配了特权角色的人员。

以下是在 Azure PIM 中使用“资源审计”日志的步骤：

1. 在 Azure 门户中打开“特权身份管理”。然后，在管理菜单中选择“Azure AD 角色”。

一旦打开 Azure 特权身份管理页面，请在活动菜单中选择“资源审计”。

默认的“时间跨度”过滤器是“最近一天”。因此，如果日志为空，请将过滤器修改为“最近一个月”。

最后，将 Azure AD 角色资源审计历史导出为 CSV以进行分析。

Azure AD 为组织提供多达 60 个特权角色，可分配以执行特定功能。但是，组织必须积极监视角色分配，原因有两个。

首先，确保用户没有比其工作所需的权限更多。其次，监视角色分配可确保用户不会比所需时间更长地被分配特权角色。

为帮助您实现这两个目标，本文解释了特权角色是什么。此外，它探讨了在 Azure AD 中管理和监控特权访问的三种方法。