EMS 动手实验3:使用 Privileged Identity Management建立管理角色的审批和授权

前言:

本系列实验将引导用户完成O365 企业移动性和安全性(Enterprise Mobility Security)的常用操作和配置,本着实用性和安全性的原则,该系列实验会建议一些最佳实践。本系列实验主要分为以下几个阶段:

  1. 将Azure AD 登陆和审核日志发送到Azure Monitor
  2. 用户自助密码重设&条件访问策略强制用户使用MFA二次验证&启用标识保护配置风险检测
  3. 3.         使用 Privileged Identity Management建立管理角色的审批和授权
  4. 使用Intune 管理设备和移动设备
  5. 使用Azure Information Protection 保护云中数据
  6. 使用Azure Advanced Treat Protection保护混合环境的安全

 

环境要求:

  1. O365企业版 E1/E3/E5(有O365国际版许可即可);
  2. EMS E3/E5(部分用到E5的部分会做说明);
  3. Azure订阅

实验说明:

在一个企业环境中,通常管理角色分很多种,除了全局管理员,还有账户管理员,服务管理员,安全管理员,计费管理员等等管理角色的细分,当企业分支机构庞大,业务部门复杂起来之后,我们希望对这些管理角色的申请有一个监督过程,Privileged Identity Management(PIM)就是解决这个问题的,本篇实验将带你了解PIM的功能和设置过程。

实验步骤:

实验开始前,我们仍然要顺着前面的习惯理一下现在的用户情况:

主要全局管理员:[email protected]

备用全局管理员:[email protected]

用户:[email protected](属于组mfagroup)

组:[email protected]

本实验需要再创建一个用户[email protected],赋予她全局管理员权限和计费管理员权限。

1,启用PIM,设置

全局管理员账户登录到https://portal.azure.com,搜索框搜索Azure AD Privileged Identity Management ,点击搜索结果,进入AAD PIM管理界面:

打开之后可能会检查你的身份信息,要求输入账号和密码及二次认证,按指示完成即可。完成后看到如下页面,点击【许可】。这一步是根据PIM服务的逻辑,先启用了该服务。

启用服务后,PMI->Azure AD 角色->我的角色,如下页面,点击注册。这一步是PIM服务的注册逻辑:只有全局管理员有权限注册PIM服务角色,从而有资格去管理其他管理员角色的审核等流程。

PMI->Azure AD 角色->向导,点击【发现特权角色】

下图我们可以看到,这里罗列了当前活动目录中所有管理角色的数目和人员,与我们实验开始时设置的角色一致。【永久】和【符合条件】的区别:【永久】是长时间爵位,除非被贬为庶民,否则永远是爵,【符合条件】是认为你有这个资格,给你一个爵位的暂任券,你得亲自拿着这个暂任券来报道,阐明你能胜任的理由,准备在位的时间等等细节,老大觉着没问题,批准了,你就可以拿官印了,但是你在系统中的身份仍然是【暂任】。

点击【全局管理员】,对于Julia这个用户,我们认为她做计费管理员没问题,有些时候她可能需要全局管理员的权限,有时候不需要,因此,我们把她从全局管理员的角色从永久设为【符合条件】,如下勾选:

完成后可以看到如下结果,这样我们就把julia同志转为暂任管理员了。

这时候别忘了备用管理员user0,虽然是备用,也应该拥有姓名,该有的权限不能少,因此我们这里把他添加为【特权管理员】:PIM->Azure AD 角色- 角色->添加成员,如下选好角色,最后记得把他从【符合条件】提为【指定永久】。

授予用于管理 PIM 的访问权限:

管理员侧操作完了,我们再从Julia的视角看下发生了什么。用Julia的账号登录portal后,在PIM->我的角色->Azure AD角色,因为被设置为“暂任”,如上面说过的,需要自己手动【激活】完成领“官印”的过程,如下点击【激活】,这里会要求你输入时间,理由等信息。这个信息页可以由管理员自定义设置需要填什么东西,先按下面图片操作完。

最后我们讲一下上面提到的管理员自定义要求部分,以管理员账号登录Portal,PIM->Azure AD角色->设置->角色,尝试自己对这些条目做一些设置,设置完之后再验证一下结果。

2. 定期审核这些角色

1)         按照https://docs.microsoft.com/zh-cn/azure/active-directory/privileged-identity-management/pim-how-to-start-security-review 中的步骤设置评审条目;

2)         完成评审:https://docs.microsoft.com/zh-cn/azure/active-directory/privileged-identity-management/pim-how-to-complete-review

参考文档:

https://docs.microsoft.com/zh-cn/azure/active-directory/privileged-identity-management/pim-how-to-change-default-settings

原文地址:https://www.cnblogs.com/changruijun/p/12122262.html

时间: 2024-11-04 16:02:10

EMS 动手实验3:使用 Privileged Identity Management建立管理角色的审批和授权的相关文章

EMS 动手实验1:将Azure AD 登陆和审核日志发送到Azure Monitor

前言: 本系列实验将引导用户完成O365 企业移动性和安全性(Enterprise Mobility Security)的常用操作和配置,本着实用性和安全性的原则,该系列实验会建议一些最佳实践.本系列实验主要分为以下几个阶段:          将Azure AD 登陆和审核日志发送到Azure Monitor          用户自助密码重设&条件访问策略强制用户使用MFA二次验证&启用标识保护配置风险检测          使用 Privileged Identity Managem

EMS 动手实验2:用户自助密码重设&条件访问策略强制用户使用MFA二次验证&启用标识保护配置风险检测

前言: 本系列实验将引导用户完成O365 企业移动性和安全性(Enterprise Mobility Security)的常用操作和配置,本着实用性和安全性的原则,该系列实验会建议一些最佳实践.本系列实验主要分为以下几个阶段: 将Azure AD 登陆和审核日志发送到Azure Monitor 用户自助密码重设&条件访问策略强制用户使用MFA二次验证&启用标识保护配置风险检测 使用 Privileged Identity Management建立管理角色的审批和授权 使用Intune 管理

拯救你的文档 – 【DevOps敏捷开发动手实验】开源文档发布

今天上海的天气真是不错,风和日丽.再次来到微软上海紫竹研发中心,心情很是愉快,喜欢这里的大草坪,喜欢这里的工程气氛,更喜欢今天来陪我的小伙伴们. 这次动手实验培训与以往最大的不同就是采用了开源文档的方式.其实,小编一直在寻找一种更好的技术文档编写方式.说到文档,我在过去的几年中也写了不下500份不同类型的文档.我估计,每个写过技术文档的同学都有类似这样的文件夹. 是不是很有一种蛋疼的感觉,没有办法啊,需求改来改去,客户的要求变来变去 … … 最后么,就没有最后了,你就自己苦逼去吧. 所以,自从开

Run Repository Creation Utility (RCU) for Oracle Identity Management components

Run Repository Creation Utility (RCU) for Oracle Identity Management components Installing Oracle Fusion Applications > Setting up Identity and Access Management Node > Run Repository Creation Utility (RCU) for Oracle Identity Management components

Install Identity management Database

Install Identity management Database Installing Oracle Fusion Applications > Setting up Identity and Access Management Node > Install Oracle 11g Database (Identity management Database) Previous: Install Fusion Applications Provisioning Framework on

第七讲继承与接口动手实验和动手动脑

[动手实验一] 继承条件下的构造方法调用 运行 TestInherits.java示例,观察输出,注意总结父类与子类之间构造方法的调用关系修改Parent构造方法的代码,显式调用GrandParent的另一个构造函数,注意这句调用代码是否是第一句,影响重大! 结论:通过 super 调用基类构造方法,必须是子类构造方法中的第一个语句. TestInherits.java class Grandparent { public Grandparent() { System.out.println("

BizTalk动手实验(十七)ODBC适配器使用

更多内容请查看:BizTalk动手实验系列目录 BizTalk 开发系列 1 课程简介 通过本课程熟悉ODBC适配器的的使用,本练习采用BizTalk 2010 ODBC 适配器 2 准备工作 1. 下载.安装和配置BizTalk ODBC适配器 2. 新建BizTalk空项目 3. 配置BizTalk项目的应用程序名称及程序签名. 注:创建BizTalk项目过程请参见:<BizTalk开发综合实验> 3 演示 3.1 创建ODBC数据源 3.1.1 在Oracle Client目录下创建TN

Setup RHEVM Identity Management With IPA

The directory servers supported for use with Red Hat Enterprise Virtualization 3.3 are: Active Directory Identity Management (IDM) Red Hat Directory Server 9 (RHDS 9) OpenLDAP     From this article,you'll learn following: How to setup master IPA How

Packet Tracer 5.0实验(一) 交换机的基本配置与管理

Packet Tracer 5.0实验(一) 交换机的基本配置与管理 一.实验目标 掌握交换机基本信息的配置与管理 二.技术原理 交换机的管理方式基本分为两种:带内管理和带外管理. 通过交换机的Console端口管理交换机属于带外管理:这种管理方式不占用交换机的网络端口,第一次配置交换机必须利用Console端口进行配置. 通过远程Telnet.拨号等方式属于带内管理. 三.交换机的命令行操作模式 主要包括: 用户模式           Switch> 特权模式           Switc