V dnešním návodu se podíváme na to, jak nastavit co nejlépe Azure AD PIM, vysvětlíme si základní pojmy a pomocí praktické ukázky vytvoříme PIM u testovacího uživatele.
Podmínkou je mít v Azure AD licenci Premium P2. Licenci zjistíte na úvodní stránce Azure AD či Microsoft Entra.
PIM najdeme v "Centrum pro správu Microsoft Entra" zde a v levém menu klikneme na "Identity Governance" a následně na "Privileged Identity Management"
Vybereme si "Role Azure AD" a klikneme na "Role" a vybereme si jakou přesně roli chceme spravovat. V mém případě jsem si vybral roli "Globální správce" a rozklikneme roli. Je zbytečné nastavovat PIM pro role s malým oprávněním jako Reader atd.
Určíme si vlastní nastavení role. Dáme upravit a vidíme nastavení, které se může měnit.
Aktivace
Aktivace znamená, že uživatel může na omezenou dobu dostat práva Globálního správce dle hodnot, které nastavím:
Ideální je nastavit maximální dobu trvání zvýšeného oprávnění na co nejmenší (v mém případě hodina). Dále doporučuji Azure MFA (multifaktorová autentifikace, dozvíte se více v dalším článku) a při aktivaci vyžadovat odůvodnění. Schválení k aktivaci nechávám na Vás. Ale pokud se jedná o poměrně dost vysoké oprávnění, pak schválení není od věci. Na druhou stranu to hodně administrativně zatěžuje vedoucí pracovníky firmy.
Přiřazení
Přiřazení znamená, po jak dlouhou dobu chci dát možnost přidání role globálního správce k účtu uživatele.
Trvalé přiřazení oprávnění nám říká, že trvale dávám možnost přiřadit roli globálního správce k účtu, nebo zde dám časový rámec, po který může uživatel svoje práva navýšit.
Trvalé aktivní přiřazení znamená, že účtu je trvale aktivně přiřazena role Globálního správce, dokud nevyprší platnost. Běžně dáváme časové ohraničení. Příkladem může být přiřazení role globálního správce externímu uživateli, dokud trvá projekt, tedy na 1 rok, pak oprávnění skončí.
V tabu "Oznámení" můžeme spravovat, kdo všechno dostane emailové oznámení o přiřazení oprávnění atd. Ideální je tam nechat schvalovatele, aby role byla co nejdříve schválená a správce pro přehled. Nikdo nechce mít zahlcenou emailovou schránku od "Azure AD"
Jakmile mám nastavení této role hotové, pak jdu zpět na "Přiřazení" a dám "Přidat přiřazení"
Zkontrolujeme si, zda jsme vybrali správnou roli a vybereme členy, kterých se tato přiřazení bude týkat a potvrdíme výběr.
Dále v "Nastavení" vybereme typ přiřazení:
Oprávnění - znamená, že uživatel může za splnění podmínek mít roli Globálního správce na omezenou dobu.
Aktivní - znamená, že uživatel má aktivně přiřazenou roli Globálního správce na omezenou dobu.
Přiřazení začíná a končí dle našeho nastavení.
Výsledek je ten, že v mém příkladu dle obrázku mám dva uživatele (Jan Novák a Lee Gu), kteří po předem definovanou dobu (Čas zahájení a Koncový čas) mají oprávnění, že mohou být Globálními správci, když o to požádají a bude jim to schváleno. Což jsou "Oprávněná přiřazení". Vedlejší tab "Aktivní přiřazení" znamená, jací uživatelé mají aktuálně roli Globálního správce. V aktivních přiřazeních máme přehled, kdo má aktivní roli Globální správce a jak dlouho mu trvá. V mém případě je to jen a pouze jeden uživatel (Karel Kotyza) a to trvale bez časového omezení.
Uživatel potom jde pouze do svého PIM v Azure portálu, vybere "Moje role" a dá aktivovat roli.
PIM je tak dokonale vymyšlený, že má i skvěle organizovanou strukturu a pokud v PIM klikneme na "Prostředky Azure", pak si můžeme vybrat pro jaké předplatné, skupinu prostředků či dokonce jednotlivé zdroje, pro které PIM můžeme použit.
PIM je skvělá funkce, jak přiřazovat časově omezená práva pro uživatele. Je zapotřebí mít licenci Azure AD Premium P2 a je tou nejlepší volbou pro zabezpečení privilegovaných a administrátorských účtů. Dále ideální pro externí uživatele, kteří mají časově omezený projekt a po jeho skončení chcete práva omezit, či zrušit úplně. Za ty dve stovky měsíčně to za to stojí.