Privileged Identity Management (PIM) là một dịch vụ trong Microsoft Entra ID cho phép bạn quản lý, kiểm soát và giám sát quyền truy cập vào các tài nguyên quan trọng trong tổ chức của mình. Các tài nguyên này bao gồm các tài nguyên trong Microsoft Entra ID, Azure và các Dịch vụ trực tuyến khác của Microsoft như Microsoft 365 hoặc Microsoft Intune.
- Kẻ xấu có quyền truy cập
- Người dùng được ủy quyền vô tình tác động đến tài nguyên nhạy cảm
Tuy nhiên, người dùng vẫn cần thực hiện các hoạt động đặc quyền trong Microsoft Entra ID, Azure, Microsoft 365 hoặc các ứng dụng SaaS. Các tổ chức có thể cấp cho người dùng quyền truy cập đặc quyền tức thời vào các tài nguyên Azure và Microsoft Entra và có thể giám sát những gì người dùng đó đang làm với quyền truy cập đặc quyền của họ.
Các tổ chức muốn sử dụng Privileged Identity Management yêu cầu phải có giấy phép Microsoft Entra ID P2, giấy phép này đã bao gồm trong Microsoft 365 E5 for enterprise.
Task 1 – Cấu Hình Require Approval Cho Global Administrator Role
Task này sẽ chỉ định User Approval quyền Global Administrator Role cho user đủ điều kiện sở hữu quyền này
- Vào trình duyệt, truy cập vào trang http://admin.microsoft.com, bằng user têncủabạn@customdomain.
- Màn hình Microsoft 365 admin center, menu trái chọn Identity
- Màn hình Microsoft Entra Admin Center, menu trái chọn Billing/Licenses
- Màn hình Licenses, menu trái chọn All products, ấn Try/Buy.
- Trong phần Enterprise Mobility + Security E5 chọn Free trial và chọn Activate.
- Trở lại Licenses | All products, chọn Enterprise Mobility + Security E5
- Màn hình Enterprise Mobility + Security E5, ấn + Assign, chọn + Add users and groups, chọn têncủabạn@customdomain, ấn Select, ấn Review + Assign, và ấn Assign.
- Màn hình Microsoft Entra Admin Center, menu trái chọn Identity Governance\Privileged Identity Management
- Màn hình Privileged Identity Management, menu trái chọn Microsoft Entra roles, chọn Settings, bên phải chọn Global Administrator
7. Màn hình Role setting details – Global Administrator ấn Edit
8. Màn hình Edit role setting – Global Administrator, check checkbox Require Approval to activate.
9. Trong phần Select approver(s) ấn dấu (+), tìm và chọn têncủabạn@customdomain, ấn Select và ấn Update.
Task 2 – Gán Quyền Global Admin Role Cho User Eligible
Chỉ định User sẽ Gán Quyền Global Admin
- Màn hình Privileged Identity Management, menu trái chọn Microsoft Entra roles, cửa sổ Privileged Identity Management trong phần Assign chọn Assign Eligibility
- Tìm và chọn Global Administrator, chọn +Add assignments
- Màn hình Add assignments, tại tab Membership trong phần Select member(s), chọn No member selected, tìm và chọn user2@customdomain ấn Select, ấn next
- Tại tab Settings, trong phần Assignment type chọn option Eligible, ấn Assign
- Màn hình Global Administrator | Assignments, quan sát đã có user2 trong tab Eligible assignments
Task 3 – Submit a request for the Global Admin Role
User gửi yêu cầu quyền Global Admin khi đủ điều kiện.
- Mở trình duyệt khác, truy cập trang https://portal.azure.com, bằng user2@customdomain.
- Menu trái chọn All services tìm và chọn Microsoft Entra Privileged Identity Management.
- Màn hình Privileged Identity Management menu trái chọn My Roles
- Tại tab Eligible assignments, tại cột Action của Global Administrator role chọn Activate.
- Cửa sổ Activate – Global Administrator, click vào link additional verification required
- Xuất hiện cửa sổ More information required ấn Next.
- Nhập password của user2, nhập số điện thoại, nhận và nhập code, ấn Verify ấn Done. (bạn cũng có thể cài Microsoft Authenticator App trên điện thoại, thực hiện scan QR code để đăng nhập)
- Trở lại cửa sổ Activate – Global Administrator, nhập nội dung là test PIM vào phần Reason ấn Activate.
- Tại màn hình My roles, menu trái chọn Microsoft Entra roles,chọn tab Active roles, quan sát chưa có user nào. (Vì chưa được Approval)
Task 4 – Approve Yêu Cầu Global Admin Role Của User
- Trở lại trình duyệt đang đăng nhập bằng têncủabạn@customdomain, Tại màn hình Microsoft Entra Admin Center, menu trái chọn Identity Governance\Privileged Identity Management.
- Màn hình Privileged Identity Management, menu trái chọn Microsoft Entra Roles, bên phải tìm phần Approve chọn Approve requests.
- Trong phần Requests for role activations, check chọn Global Administrator của user2 ấn Approve.
- Xuất hiện cửa sổ Approve Request, nhập nội dung cho phần Justification, ấn Confirm
- Trở lại Trình Duyệt đăng đăng nhập bằng User2@customdomain, Tại màn hình Azure Active Directory admin center, menu trái chọn Azure AD Privileged Identity Management.
- Memu trái chọn My Roles, chọn tab Active assignments, quan sát thấy Global Administrator đã gán cho User2.
Hoàn Tất Bài Lab