技能解封初始篇章-資源環境風險漏洞(Azure Conditional Access)
面對裡裡外外的紛擾風波不斷讓劇情上演,天使城其中一術士精煉師獻策把畢身研究提煉的淨化之眼符石與能夠賦予權力的身份印記融合一體,接下來這樣的印記出現像是生命似的不但能追朔賦予權力的將士們的歷史時間軸外,也可以讓需要賦予權力的新天使能更真正的被識別不會有魚目混珠的狀況發生,而能有效保護城中的子民及世界之石。
重拾權力之鎖的解析回到人類聽得懂的代名詞"特權身分管理"小弟先簡述一下此服務究竟為何?
Azure 中非常重要的當屬資源無誤,但是要能操弄其資源的非人類莫屬(即使你要說的人工智慧還是需要人去做前導給予無論是監督或非監督式,這就不在此篇章做深入討論),只要是人就一定要有其身份,再數位的世界中代表人這個身份就屬帳號了,而每個帳號能有多大的能耐做甚麼樣的事情就回歸到所賦予的權力(存取權限)。所以回到正題上 Azure AD 就是一組組的帳號,而 Privileged Identity Management (PIM) 這項特權身份管理服務顧名思義就是,大幅強化管理、控制和監視組織內重要資源的身份識別存取。
而一個公司組織如想要保有一個安全無虞的環境,每種各項使用存取特定資源的人是越少越好,進而降低惡意行為取得存取權或授權用戶非故意的觸碰到敏感資料機率。雖然 市面上方法技術很多,也包含到望後篇章提到的資安中心的 Just-In-Time (JIT) 特殊存取權限藉由時效性來限制使用者。針對使用者根本的管理權限方式做監督管理。 PIM 可讓不必要或誤用的存取權限風險降低。
Privileged Identity Management 主要功用?
指派具有時效性的資源存取權進行管控。
需核准才能啟用特殊權限角色。
啟用角色可透過強制多重要素驗證(MFA)來強化帳戶安全。
特權角色啟用時獲取郵件通知。
存取權檢閱來檢視用戶仍使用之角色。
下載稽核歷程記錄供內外部來做稽核。
使用 PIM,帳戶目錄本身須具有以下其中一個付費/試用授權
哪些用戶必須要有授權?
PS:只要是想從 PIM 獲得管理監視效益者的每個管理員/使用者都須具有效授權。
有使用 PIM 所管理 Azure AD 角色的管理員
有使用 PIM 所管理 Azure 資源角色的管理員
指派給「特殊權限角色管理員」角色的管理員
指派為符合使用 PIM 管理之 Azure AD 角色資格的使用者
能夠在 PIM 中核准/拒絕要求的使用者
指派給 Azure 資源角色 (透過及時或直接 (以時間為基礎) 的方式指派) 的使用者
指派給存取權檢閱的使用者
執行存取權檢閱的使用者
PIM 授權一旦過期對帳戶會有何影響?
簡述 PIM 運作流程:
有三種角色是無法被 PIM 來管理的:
前十大 AAD 具最多角色保護權限從大至小依序排列如下:
而光說不練怎麼行,實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com Blog連結內容如下:
如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!
iThome鐵人賽
看影片追技術