Azure Active Directory中的特权身份管理如何运作?

日期: 2016-03-15 作者:Stephen J. Bigelow翻译:陈德文 来源:TechTarget中国 英文

用户权限不是平等的。有些用户需要有大量权利和特权——通常这些都是管理员。企业在允许特权用户进行管理以及支持活动时,还需要意识到特权用户也有可能犯错。他们会犯错。

他们可能也心怀恶意。他们同样也会遭受黑客或身份盗窃,给业务造成重大损失。所以监督高级别用户权限,变得非常重要。 特权身份管理(PIM)能够识别特权用户并监视他们的活动,以确认这些活动都被记录并且与组织的政策一致。

例如,有必要为一些用户提供永久的资源访问特权,如Azure订阅、Office 365和其他本地或Saas工具。但即使是通过一位绝对有信用也可靠的管理员,在之后的日子里想记住谁拥有哪些访问权限,也几乎是不可能的。缺乏监控与控制,这……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

用户权限不是平等的。有些用户需要有大量权利和特权——通常这些都是管理员。企业在允许特权用户进行管理以及支持活动时,还需要意识到特权用户也有可能犯错。他们会犯错。他们可能也心怀恶意。他们同样也会遭受黑客或身份盗窃,给业务造成重大损失。所以监督高级别用户权限,变得非常重要。

特权身份管理(PIM)能够识别特权用户并监视他们的活动,以确认这些活动都被记录并且与组织的政策一致。例如,有必要为一些用户提供永久的资源访问特权,如Azure订阅、Office 365和其他本地或Saas工具。但即使是通过一位绝对有信用也可靠的管理员,在之后的日子里想记住谁拥有哪些访问权限,也几乎是不可能的。缺乏监控与控制,这样的失误可能暴露安全漏洞,企业也可能违规。

Microsoft Azure Active Directory Privileged Identity Management(PIM AD)允许企业识别、监控和管理特权用户身份以及他们访问AD与云服务的敏感商业资源。Azure AD PIM可以发现哪些用户拥有访问Azure AD的管理级权限,报告管理员访问历史,对管理员授权方面的访问或变更发送告警通知,甚至是提供临时访问AD资源的用户,某些用户可能需要一次性或临时访问AD以完成某些任务。

Azure AD PIM拥有默认的内置AD角色管理,包括全局、计费、服务、以及用户与密码管理角色。Azure AD PIM通过Azure门户进行管理,其中的仪表板提供了PIM详细内容,包括了管理员访问历史,永久管理员和临时管理员数量以及每个特权角色用户数。只有全局管理员可以为某个目录启用PIM。

活动目录构成企业身份认证与特权用户管理的基石。Azure公有云存在一定风险,活动目录技术将以Azure AD的方式存在并依旧是Microsoft Azure的核心。本地与云AD平台可以独立存在,但新工具如Azure AD Connect可以把两者结合在一起。如此可以形成无缝并有凝聚力的混合AD环境,如此就可以利用AD联邦实现跨越组织边界的单点登录功能——进一步扩大了AD范围。


作者

Stephen J. Bigelow
Stephen J. Bigelow

数据中心和虚拟化网站的高级技术编辑,拥有20年的PC和技术写作经验。

翻译

陈德文
陈德文

TechTarget中国特约编辑

相关推荐