azure-active-directory - Azure AD 访问评论
问题描述
我想知道 Azure PIM 访问评论建议的标准是什么?在文档中,它给出了一个交互式用户在过去 30 天内未登录的示例。PIM 访问审核是否查看未激活其合格角色的人员?是否有相应的报告可用于查看在过去 x 天内未请求提升其权限的任何人?
解决方案
如果用户超过指定天数而未激活角色,您可以为 azure ad PIM 配置安全警报。触发警报时,它会显示在 Privileged Identity Management 仪表板上。选择警报以查看列出触发警报的用户或角色的报告。我们在安全警报中有三个严重级别。
高:由于违反政策而需要立即采取措施。
中:不需要立即采取行动,但表示可能违反政策。
低:不需要立即采取行动,但建议进行更可取的政策改变。
我们有一个名为管理员未使用其特权角色的默认规则,您可以配置此警报以获取列表。
为什么我会收到此警报?
被分配了他们不需要的特权角色的用户增加了攻击的机会。
触发器: 如果用户超过指定的天数而没有激活角色,则触发。
天数:此设置指定用户在不激活角色的情况下可以执行的最大天数(从 0 到 100)。
预防 仅将特权角色分配给具有业务理由的用户。安排定期访问审查以验证用户是否仍需要其访问权限。
怎么修?查看列表中的用户并将他们从不需要的特权角色中删除。
PIM 中 Azure AD 角色的安全警报 - Azure AD | 微软文档
您还可以检索使用 power shell 命令或脚本激活的组成员信息和用户
下面是一些使用 power shell 命令的参考资料
https://practical365.com/powershell-script-to-report-rbac-role-group-membership/
推荐阅读
- chef-infra - 无法使用 TestKitchen 解决厨师角色
- python - Requests 只获取网站源代码的一部分
- amazon-web-services - 当所有胶水爬虫都运行时执行我的 lambda
- swift - 从外部视图触发动画
- php - WooCommerce - 在运输方式标签的(之前)特定字符处插入新行
- javascript - 当 Promise 的 1 被拒绝时如何什么都不做
- swift - 将 firebase 数据库值转换为 Swift 变量
- javascript - 如何从 NPM 包中导入 Typescript 类型?
- node.js - Nodejs PayloadTooLargeError:请求实体太大
- node.js - 使用 fileS 缓冲区上传到 s3