当属于 Microsoft Entra ID 的组织中存在可疑或不安全活动时,Privileged Identity Management (PIM) 会生成警报。 触发警报时,它显示在 Privileged Identity Management 仪表板上。 选择警报以查看列出了已触发该警报的用户或角色的报告。
注意
Privileged Identity Management 中的一个事件可以生成发往多个收件人(被分派人、审批者或管理员)的电子邮件通知。 每个事件发送的最大通知数为 1000。 如果收件人数超过 1000,则只有前 1000 个收件人会收到电子邮件通知。 这不会阻止其他被分派人、管理员或审批者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其权限。
许可要求
使用 Privileged Identity Management 需要许可证。 有关许可的详细信息,请参阅 Microsoft Entra ID Governance 许可基础知识 。
安全警报
本部分列出 Microsoft Entra 角色的所有安全警报,以及如何修复和防止这些警报。 严重性的含义如下:
- 高:由于政策违规,需要马上采取行动。
- 中:不需要立即采取行动,但表示可能的政策违规。
- 低:不需要立即行动,但建议进行政策上的改善。
注意
只有以下角色能够读取 Microsoft Entra 角色的 PIM 安全警报:全局管理员、特权角色管理员、全局读取者、安全管理员以及安全读取者。
管理员不使用其特权角色
严重级别:低
| 说明 | |
|---|---|
| 为什么会收到此警报? | 分配他们不需要的特权角色的用户会增大受攻击的可能性。 在不经常使用的帐户中,攻击者也更容易隐藏。 |
| 如何修复? | 查看列表中的用户,将其从不需要的特权角色中移除。 |
| 预防 | 特权角色只分配给有业务需要的用户。
计划定期 访问评审 ,以验证用户是否仍需要其访问权限。 |
| 门户内缓解措施 | 从用户的特权角色中删除其帐户。 |
| 触发 | 如果用户在指定天数过后未激活角色,将触发此警报。 |
| 天数 | 此设置指定用户可以不激活角色的最大天数(0 到 100)。 |
角色无需多重身份验证进行激活
严重级别:低
| 说明 | |
|---|---|
| 为什么会收到此警报? | 如果不执行多重身份验证,则遭到入侵的用户可以激活特权角色。 |
| 如何修复? | 查看角色列表,并要求对每个角色进行 多重身份验证 。 |
| 预防 | 每个角色都需要 MFA 。 |
| 门户内缓解措施 | 要求在激活特权角色时执行多重身份验证。 |
组织没有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理
严重级别:低
| 说明 | |
|---|---|
| 为什么会收到此警报? | 当前 Microsoft Entra 组织没有 Microsoft Entra ID P2 或 Microsoft Entra ID 治理。 |
| 如何修复? | 查看有关 Microsoft Entra 版本的信息。 升级到 Microsoft Entra ID P2 或 Microsoft Entra ID 治理。 |
可能有过时的帐户充当特权角色
严重级别:中
| 说明 | |
|---|---|
| 为什么会收到此警报? | 此警报不再基于帐户的上一次密码更改日期触发。 此警报适用于在过去 n 天内未登录的特权角色中的帐户,其中 n 是天数,可以在 1-365 天的范围内进行配置。 这些帐户可能是未维护且易受攻击者攻击的服务帐户或共享帐户。 |
| 如何修复? | 请检查列表中的帐户。 如果它们不再需要访问权限,请将其从特权角色中删除。 |
| 预防 | 确保当知道密码的用户有变化时,共享的帐户会轮换使用强密码。
使用 访问评审 定期查看具有特权角色的帐户,并删除不再需要的角色分配。 |
| 门户内缓解措施 | 从用户的特权角色中删除其帐户。 |
| 最佳做法 | 使用密码进行身份验证并分配给高特权管理角色(如全局管理员或安全管理员)的共享帐户、服务帐户和紧急访问帐户应针对以下情况轮换其密码:
|
在 Privileged Identity Management 之外分配角色
严重级别:高
| 说明 | |
|---|---|
| 为什么会收到此警报? | 在 Privileged Identity Management 外部进行的特权角色分配未受到正确的监视,可能表示正遭到攻击。 |
| 如何修复? | 查看列表中的用户,将其从 Privileged Identity Management 外部分配的特权角色中删除。 你还可以在警报设置中启用或禁用警报及其附带的电子邮件通知。 |
| 预防 | 调查在 Privileged Identity Management 外部的哪个位置为用户分配了特权角色,禁止将来在该位置进行分配。 |
| 门户内缓解措施 | 从用户的特权角色中删除用户。 |
注意
当在 警报设置 中启用针对 PIM 外分配的角色 的警报时,PIM 会向启用了特权身份管理的 特权角色管理员、安全管理员 和 全局管理员 发送电子邮件通知。 对于 PIM 中的 Azure 资源,电子邮件将发送至所有者和用户访问管理员。
全局管理员过多
严重级别:低
| 说明 | |
|---|---|
| 为什么会收到此警报? | 全局管理员是特权最高的角色。 如果全局管理员遭到入侵,则攻击者可以获取其所有访问权限,使整个系统面临风险。 |
| 如何修复? | 检查列表中的用户,并删除不是绝对需要全局管理员角色的所有用户。
改为这些用户分配特权更低的角色。 |
| 预防 | 为用户分配他们所需的最低特权角色。 |
| 门户内缓解措施 | 从用户的特权角色中删除其帐户。 |
| 触发 | 如果满足两个不同的条件并且可以同时配置这两个条件,将触发此警报。 首先,需要达到全局管理员角色分配的某个特定阈值。 其次,总角色分配的特定百分比必须是全局管理员。 如果只满足其中一个度量,不会显示该警报。 |
| 全局管理员的最小数量 | 此设置指定的全局管理员角色分配数量(2 到 100)你认为对你的 Microsoft Entra 组织来说太少。 |
| 全局管理员百分比 | 此设置指定属于全局管理员的管理员的最小百分比(0% 到 100%),你不希望你的 Microsoft Entra 组织降到该值之下。 |
角色激活过于频繁
严重级别:低
| 说明 | |
|---|---|
| 为什么会收到此警报? | 同一用户多次激活同一特权角色是受到攻击的迹象。 |
| 如何修复? | 查看列表中的用户,并确保为其特权角色的 激活持续时间 设置足够长,以便他们执行其任务。 |
| 预防 | 确保特权角色的激活持续时间设置足够长,以便用户执行其任务。 要求对具有多个管理员共享帐户的特权角色进行多重身份验证。 |
| 门户内缓解措施 | 不适用 |
| 触发 | 如果用户在指定期限内多次激活同一特权角色,将触发此警报。 可以同时配置时间段和激活次数。 |
| 激活续订时间范围 | 此设置以天、小时、分钟和秒为单位指定要用于跟踪可疑续订的时间段。 |
| 激活续期次数 | 此设置指定你希望在所选时间范围内获得通知的激活次数(2 到 100)。 可通过移动滑块或在文本框中键入数字更改此设置。 |
自定义安全警报设置
按照以下步骤,在 Privileged Identity Management 中为 Microsoft Entra 角色配置安全警报:
以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>特权身份管理>Microsoft Entra 角色>警报>设置。 有关如何将 Privileged Identity Management 磁贴添加到仪表板的信息,请参阅 “开始使用 Privileged Identity Management”。
在各个警报上自定义设置以适应你的环境和安全目标。
