Часто задаваемые вопросы
В этой статье приведены ответы на часто задаваемые вопросы о Управление разрешениями Microsoft Entra.
Что такое Управление разрешениями Microsoft Entra?
Управление разрешениями Microsoft Entra (Permissions Management) — это решение для управления правами на доступ к облачной инфраструктуре (CIEM), которое обеспечивает всесторонний обзор разрешений, назначенных всем сущностям. Например, рабочие нагрузки с чрезмерными привилегиями, удостоверения пользователей, действия и ресурсы в многооблачных инфраструктурах Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). Управление разрешениями обнаруживает разрешения, автоматически подбирает их уровни и постоянно наблюдает за неиспользуемыми и избыточными разрешениями. Углубляет стратегию безопасности Zero Trust, расширяя принцип наименьших привилегий.
Что необходимо для работы с Управлением разрешениями?
Управление разрешениями поддерживает сбор данных из AWS, GCP и (или) Microsoft Azure. Для сбора и анализа данных клиентам требуется учетная запись Microsoft Entra для использования управления разрешениями.
Может ли клиент использовать управление разрешениями, если у них есть другие удостоверения с доступом к своей платформе IaaS, которые еще не добавлены в Microsoft Entra ID?
Да, клиент может обнаруживать, устранять и отслеживать риски для учетных записей AWS IAM или GCP или других поставщиков удостоверений, таких как Okta или AWS IAM.
Где клиенты могут получить доступ к Управлению разрешениями?
Клиенты могут получить доступ к интерфейсу управления разрешениями из Центра администрирования Microsoft Entra.
Могут ли клиенты, отличные от облака, использовать локальное управление разрешениями?
Нет, Управление разрешениями является размещенным в облаке предложением.
Могут ли клиенты, не относящиеся к Azure, использовать Управление разрешениями?
Да, клиенты, не относящиеся к Azure, могут использовать наше решение. Управление разрешениями — это решение с несколькими облаками, поэтому даже клиенты, у которых нет подписки на Azure, могут воспользоваться им.
Доступно ли Управление разрешениями для арендаторов, размещенных в Европейском Союзе (ЕС)?
Да, Управление разрешениями сейчас доступно для арендаторов, размещенных в Европейском Союзе (ЕС)?
Если я уже использую Microsoft Entra ID для Управления привилегированными идентичностями (PIM) в Azure, какую ценность предоставляет Управление разрешениями?
Управление разрешениями дополняет Microsoft Entra PIM. Microsoft Entra PIM предоставляет JIT-доступ для ролей администратора в Azure и в Microsoft Online Services, а также в приложениях, использующих группы пользователей. Управление разрешениями позволяет выполнять многооблачное обнаружение, исправление и мониторинг привилегированного доступа в Azure, AWS и GCP.
Какие общедоступные облачные инфраструктуры поддерживают управление разрешениями?
Сейчас Управление разрешениями поддерживает три основных общедоступных облака: Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure.
Поддерживает ли Управление разрешениями гибридные среды?
Управление разрешениями сейчас не поддерживает гибридные среды.
Какие типы идентичностей поддерживает Система управления правами доступа?
Управление разрешениями поддерживает удостоверения пользователей (например, сотрудников, клиентов, внешних партнеров) и идентификации рабочих нагрузок (например, виртуальных машин, контейнеров, веб-приложений, бессерверных функций).
Доступно ли Управление разрешениями в облаке для государственных организаций?
Нет, Управление разрешениями сейчас недоступно в облаках для государственных организаций.
Доступно ли Управление разрешениями для независимых облаков?
Нет, Управление разрешениями сейчас недоступно в независимых облаках.
Как Управление разрешениями собирает информацию об использовании разрешений?
Управление разрешениями имеет сборщик данных, который собирает разрешения на доступ, назначенные различным субъектам, а также журналы действий и метаданные ресурсов. Сборщик данных обеспечивает полную видимость разрешений, предоставленных всем идентификациям для доступа к ресурсам, а также детальную информацию об использовании этих разрешений.
Как Управление разрешениями оценивает риски, связанные с облачными разрешениями?
Управление разрешениями предоставляет детальную информацию обо всех удостоверениях и их разрешениях, предоставленных и используемых, в облачных инфраструктурах, что позволяет обнаружить любые действия, выполняемые любым удостоверением с любым ресурсом. Видимость не ограничивается только идентификаторами пользователей, но и идентификаторами рабочих нагрузок, таких как виртуальные машины, ключи доступа, контейнеры и скрипты. На панели мониторинга приводятся общие сведения о профиле разрешений для выявления удостоверений и ресурсов, связанных с наибольшим риском.
Что такое индекс ползучего увеличения разрешений?
Индекс смещения разрешений (PCI) — это количественная мера рисков, связанных с личностью или ролью, которую определяют путем сравнения предоставленных и используемых разрешений. Он позволяет пользователям мгновенно оценить уровень риска, связанный с количеством неиспользуемых или чрезмерно предоставленных разрешений для идентификаций и ресурсов. Он оценивает, какой ущерб могут причинить учётные записи в зависимости от имеющихся у них прав доступа.
Как клиенты могут использовать Управление разрешениями для удаления неиспользуемых или избыточных разрешений?
Управление разрешениями позволяет пользователям легко устранить избыточные разрешения и автоматизировать применение политики минимальных необходимых разрешений. Решение постоянно анализирует данные об использовании исторических разрешений для каждой учётной записи и предоставляет клиентам возможность оптимального распределения разрешений, которые используются только для повседневных операций. Все неиспользуемые и другие связанные с риском разрешения могут быть автоматически удалены.
Почему пользователь, который я удалил, по-прежнему отображается на вкладке "Аналитика"?
Проверьте, назначена ли пользователю роль классического администратора . Классические роли администратора не удаляются при удалении пользователя. Чтобы устранить эту проблему, перейдите на страницу классического администратора и удалите назначение этой роли отдельно для пользователя.
Как клиенты могут предоставлять разрешения по запросу с помощью Управления разрешениями?
Для любых экстренных или исключительных случаев, когда учетная запись должна выполнить набор конкретных действий с набором определенных ресурсов, она может запросить эти разрешения на ограниченный период времени с помощью рабочего процесса самообслуживания. Клиенты могут использовать встроенный обработчик рабочих процессов или средство управление ИТ-услугами (ITSM). Взаимодействие с пользователем будет одинаковым для любого типа удостоверения, источника удостоверения (локального, корпоративного каталога или федеративного) и облака.
В чем разница между разрешениями по запросу и доступом по принципу 'точно в срок'?
JIT-доступ — это метод, который используется для реализации принципа наименьших привилегий, чтобы учетные записи получали минимальный уровень привилегий для выполнения поставленной задачи. Разрешения по запросу являются типом JIT-доступа, который обеспечивает временное повышение уровня разрешений, позволяя идентификациям обращаться к ресурсам на ограниченный период по запросу.
Как клиенты могут отслеживать использование разрешений с помощью Управления разрешениями?
Клиентам нужно отслеживать эволюцию их индекса Permission Creep Index (PCI), чтобы контролировать использование разрешений. Клиенты могут отслеживать PCI на вкладке "Аналитика " на панели мониторинга управления разрешениями.
Могут ли клиенты создавать отчеты об использовании разрешений?
Да, в Управлении разрешениями доступны разные типы системных отчетов для записи определенных наборов данных. Эти отчеты позволяют клиентам:
- принимать своевременные решения;
- анализировать тенденции использования и производительность системы и пользователей;
- выявлять областей с высоким риском.
Сведения об отчетах об использовании разрешений см. а статье Создание и скачивание отчета аналитики разрешений.
Интегрируется ли Управление разрешениями со сторонними инструментами управления безопасностью информационных технологий (ITSM)?
Интеграция с инструментами ITSM, такими как ServiceNow, запланирована на будущее.
Как осуществляется развертывание Управления разрешениями?
Клиенты, которым назначена роль администратора управления разрешениями, сначала должны подключить управление разрешениями к клиенту Microsoft Entra, а затем подключить свои учетные записи AWS, проекты GCP и подписки Azure. Дополнительные сведения о подключении см. в нашей документации по продукту.
Сколько времени займет развертывание Управления разрешениями?
Это зависит от каждого клиента и количества учетных записей AWS, проектов GCP и подписок Azure.
Как быстро можно получить аналитические сведения о разрешениях после развертывания Управления разрешениями?
После полного подключения с настройкой сбора данных клиенты могут получить доступ к аналитическим сведениям об использовании разрешений в течение нескольких часов. Наша система машинного обучения обновляет Индекс избыточных разрешений каждый час, чтобы клиенты могли сразу приступить к оценке рисков.
Осуществляет ли Управление разрешениями сбор и хранение конфиденциальных персональных данных?
Нет, Управление разрешениями не имеет доступа к конфиденциальным персональным данным.
Где можно найти дополнительные сведения об Управлении разрешениями?
Вы можете прочитать наш блог и посетить нашу веб-страницу. Вы также можете связаться с точкой контакта корпорации Майкрософт, чтобы запланировать демонстрацию.
Что собой представляет процесс уничтожения или ликвидации данных?
Если клиент инициирует бесплатную пробную версию управления разрешениями 45 дней и не преобразуется в платную лицензию в течение 45 дней окончания срока действия пробной версии, все собранные данные удаляются в течение 30 дней после окончания срока действия пробной версии.
Если клиент решит прекратить лицензирование службы, все собранные ранее данные удаляются в течение 30 дней после прекращения лицензии.
Клиенты также могут удалять, экспортировать или изменять определенные данные, если администратор управления разрешениями делает официальный запрос субъекта данных с помощью службы "Управление разрешениями". Чтобы отправить запрос, выполните приведенные действия.
Если вы являетесь корпоративным клиентом, вы можете обратиться к представителю Майкрософт, группе учетных записей или администратору клиента, чтобы отправить запрос в службу поддержки IcM с высоким приоритетом, запрашивая запрос субъекта данных. Не включайте сведения или персональные данные в запрос IcM. Мы будем обращаться к вам за этими сведениями только после подачи IcM.
Если вы являетесь клиентом самообслуживания (вы настроили пробную или платную лицензию в Центр администрирования Microsoft 365), вы можете связаться с командой конфиденциальности "Управление разрешениями", выбрав раскрывающееся меню профиля, а затем параметры учетной записи в разделе "Управление разрешениями". Следуйте инструкциям, чтобы сделать запрос субъекта данных.
Дополнительные сведения о запросах субъекта данных Azure.
Нужна ли лицензия для использования Microsoft Entra для управления разрешениями?
Да, по состоянию на 1 июля 2022 г. новые клиенты должны получить бесплатную пробную лицензию на 45 дней или платную лицензию для использования службы. Вы можете включить пробную версию по ссылке https://aka.ms/TryPermissionsManagement либо напрямую приобрести лицензии на основе ресурсов здесь: https://aka.ms/BuyPermissionsManagement.
Какова стоимость управления разрешениями?
Управление разрешениями составляет $125 за ресурсы/год ($10,40 за ресурс/месяц). Для управления разрешениями требуются лицензии для рабочих нагрузок, включая любой ресурс, использующий вычислительные ресурсы или память.
Нужно ли платить за все ресурсы?
Хотя управление разрешениями поддерживает все ресурсы, корпорация Майкрософт требует только лицензии для оплачиваемых ресурсов в облачной среде. Чтобы узнать больше о оплачиваемых ресурсах, см. "Просмотр оплачиваемых ресурсов", перечисленных в вашей системе авторизации.
Как рассчитать количество оплачиваемых ресурсов?
Чтобы вычислить оплачиваемые ресурсы, которые у вас есть в многооблачной инфраструктуре, сначала необходимо активировать бесплатную пробную версию управления разрешениями 45 дней или приобрести платную лицензию. В разделе "Управление разрешениями" выберите "Параметры" (значок шестеренки), а затем перейдите навкладку "Оплачиваемые ресурсы". Просмотрите количество оплачиваемых ресурсов в столбце "Общее число лицензий".
Что делать, если я использую устаревшую версию службы CloudKnox?
В настоящее время мы работаем над разработкой плана миграции, чтобы помочь клиентам в исходной службе CloudKnox перейти на новую службу Управление разрешениями Microsoft Entra позже в 2022 году.
Можно ли использовать Управление разрешениями Microsoft Entra в ЕС?
Да, этот продукт соответствует требованиям.
Как включить один из новых 18 языков, поддерживаемых в общедоступной версии?
Служба теперь локализована на 18 языков. Мы уважаем параметры браузера или вы можете вручную включить выбранный язык, добавив суффикс строки запроса в URL-адрес Управление разрешениями Microsoft Entra:
?lang=xx-XX
Здесь xx-XX является одним из следующих доступных языковых параметров: cs-CZ, de-DE, en-US, es-ES, Fr-FR, hu-HU, id-ID, it-IT, ja-JP, ko-KR, nl-NL, pl-PL, pt-BR, pt-PT, ru-RU, sv-SE, tr-TR, zh-CN или zh-TW.
Ресурсы
- Блог Microsoft Entra
- Веб-страница Управления разрешениями
- Дополнительные сведения об условиях конфиденциальности и безопасности корпорации Майкрософт см. в документе Условия коммерческого лицензирования.
- Дополнительные сведения об условиях обработки данных и безопасности корпорации Майкрософт при подписке на продукт см. в документе Дополнение к положениям по защите данных в продуктах и службах Майкрософт (DPA).
- Дополнительные сведения см. в разделе Запросы субъектов данных Azure в рамках GDPR и CCPA.
Следующие шаги
- Общие сведения об управлении разрешениями см. в статье "Что такое Управление разрешениями Microsoft Entra?".
- Углубите свои знания с помощью учебного модуля Введение в управление разрешениями Microsoft Entra.
- Сведения о том, как подключить Управление разрешениями для вашей организации, см. в разделе Включение Управления разрешениями в организации.