用戶權(quán)限不是平等的。有些用戶需要有大量權(quán)利和特權(quán)——通常這些都是管理員。企業(yè)在允許特權(quán)用戶進(jìn)行管理以及支持活動(dòng)時(shí),還需要意識(shí)到特權(quán)用戶也有可能犯錯(cuò)。他們會(huì)犯錯(cuò)。他們可能也心懷惡意。他們同樣也會(huì)遭受黑客或身份盜竊,給業(yè)務(wù)造成重大損失。所以監(jiān)督高級(jí)別用戶權(quán)限,變得非常重要。 特權(quán)身份管理(PIM)能夠識(shí)別特權(quán)用戶并監(jiān)視他們的活動(dòng),以確認(rèn)這些活動(dòng)都被記錄并且與組織的政策一致。例如,有必要為一些用戶提供永久的資源訪問(wèn)特權(quán),如Azure訂閱、Office 365和其他本地或Saas工具。但即使是通過(guò)一位絕對(duì)有信用也可靠的管理員,在之后的日子里想記住誰(shuí)擁有哪些訪問(wèn)權(quán)限,也幾乎是不可能的。缺乏監(jiān)控與控制,這樣的失誤可能暴露安全漏洞,企業(yè)也可能違規(guī)。
Microsoft Azure Active Directory Privileged Identity Management(PIM AD)允許企業(yè)識(shí)別、監(jiān)控和管理特權(quán)用戶身份以及他們?cè)L問(wèn)AD與云服務(wù)的敏感商業(yè)資源。Azure AD PIM可以發(fā)現(xiàn)哪些用戶擁有訪問(wèn)Azure AD的管理級(jí)權(quán)限,報(bào)告管理員訪問(wèn)歷史,對(duì)管理員授權(quán)方面的訪問(wèn)或變更發(fā)送告警通知,甚至是提供臨時(shí)訪問(wèn)AD資源的用戶,某些用戶可能需要一次性或臨時(shí)訪問(wèn)AD以完成某些任務(wù)。 Azure AD PIM擁有默認(rèn)的內(nèi)置AD角色管理,包括全局、計(jì)費(fèi)、服務(wù)、以及用戶與密碼管理角色。Azure AD PIM通過(guò)Azure門(mén)戶進(jìn)行管理,其中的儀表板提供了PIM詳細(xì)內(nèi)容,包括了管理員訪問(wèn)歷史,永久管理員和臨時(shí)管理員數(shù)量以及每個(gè)特權(quán)角色用戶數(shù)。只有全局管理員可以為某個(gè)目錄啟用PIM。 活動(dòng)目錄構(gòu)成企業(yè)身份認(rèn)證與特權(quán)用戶管理的基石。Azure公有云存在一定風(fēng)險(xiǎn),活動(dòng)目錄技術(shù)將以Azure AD的方式存在并依舊是Microsoft Azure的核心。本地與云AD平臺(tái)可以獨(dú)立存在,但新工具如Azure AD Connect可以把兩者結(jié)合在一起。如此可以形成無(wú)縫并有凝聚力的混合AD環(huán)境,如此就可以利用AD聯(lián)邦實(shí)現(xiàn)跨越組織邊界的單點(diǎn)登錄功能——進(jìn)一步擴(kuò)大了AD范圍。
京公網(wǎng)安備 11010502049343號(hào)