Lab Microsoft 365 – Module 26 Privileged Identity Management

Privileged Identity Management (PIM) là một dịch vụ trong Microsoft Entra ID cho phép bạn quản lý, kiểm soát và giám sát quyền truy cập vào các tài nguyên quan trọng trong tổ chức của mình. Các tài nguyên này bao gồm các tài nguyên trong Microsoft Entra ID, Azure và các Dịch vụ trực tuyến khác của Microsoft như Microsoft 365 hoặc Microsoft Intune.

Các tổ chức nên giảm thiểu số lượng người có quyền truy cập vào thông tin hoặc tài nguyên an toàn, vì điều đó làm giảm khả năng
  • Kẻ xấu có quyền truy cập
  • Người dùng được ủy quyền vô tình tác động đến tài nguyên nhạy cảm

Tuy nhiên, người dùng vẫn cần thực hiện các hoạt động đặc quyền trong Microsoft Entra ID, Azure, Microsoft 365 hoặc các ứng dụng SaaS. Các tổ chức có thể cấp cho người dùng quyền truy cập đặc quyền tức thời vào các tài nguyên Azure và Microsoft Entra và có thể giám sát những gì người dùng đó đang làm với quyền truy cập đặc quyền của họ.

Các tổ chức muốn sử dụng Privileged Identity Management yêu cầu phải có giấy phép Microsoft Entra ID P2, giấy phép này đã bao gồm trong Microsoft 365 E5 for enterprise.

Privileged dentity Management Step by Step

Task 1 - Cấu Hình Require Approval Cho Global Administrator Role

Task 1 – Cấu Hình Require Approval Cho Global Administrator Role

Task này sẽ chỉ định User Approval quyền Global Administrator Role cho user đủ điều kiện sở hữu quyền này

  1. Vào trình duyệt, truy cập vào trang http://admin.microsoft.com, bằng user têncủabạn@customdomain.
  2. Màn hình Microsoft 365 admin center, menu trái chọn Identity
  3. Màn hình Microsoft Entra Admin Center, menu trái chọn Billing/Licenses
  4. Màn hình Licenses, menu trái chọn All products, ấn Try/Buy.
  5. Trong phần Enterprise Mobility + Security E5 chọn Free trial và chọn Activate.
  6. Trở lại Licenses | All products, chọn Enterprise Mobility + Security E5
  7. Màn hình Enterprise Mobility + Security E5, ấn + Assign, chọn + Add users and groups, chọn têncủabạn@customdomain, ấn Select, ấn Review + Assign, và ấn Assign.
  8. Màn hình Microsoft Entra Admin Center, menu trái chọn Identity Governance\Privileged Identity Management
  9. Màn hình Privileged Identity Management, menu trái chọn Microsoft Entra roles, chọn Settings, bên phải chọn Global Administrator

Privileged Identity Management (PIM)

7. Màn hình Role setting details – Global Administrator ấn Edit

8. Màn hình Edit role setting – Global Administrator, check checkbox Require Approval to activate.

9. Trong phần Select approver(s) ấn dấu (+), tìm và chọn têncủabạn@customdomain, ấn Select và ấn Update.

Privileged Identity Management (PIM)

Task 2 - Gán Quyền Global Admin Role Cho User Eligible

Task 2 – Gán Quyền Global Admin Role Cho User Eligible

Chỉ định User sẽ Gán Quyền Global Admin

  1. Màn hình Privileged Identity Management, menu trái chọn Microsoft Entra roles, cửa sổ Privileged Identity Management trong phần Assign chọn Assign Eligibility
  2. Tìm và chọn Global Administrator, chọn +Add assignments
  3. Màn hình Add assignments, tại tab Membership trong phần Select member(s), chọn No member selected, tìm và chọn user2@customdomain ấn Select, ấn next
  4. Tại tab Settings, trong phần Assignment type chọn option Eligible, ấn Assign
  5. Màn hình Global Administrator | Assignments, quan sát đã có user2 trong tab Eligible assignments

Privileged Identity Management (PIM)

Task 3 - Submit a request for the Global Admin Role

Task 3 – Submit a request for the Global Admin Role

User gửi yêu cầu quyền Global Admin khi đủ điều kiện.

  1. Mở trình duyệt khác, truy cập trang https://portal.azure.com, bằng user2@customdomain.
  2. Menu trái chọn All services tìm và chọn Microsoft Entra Privileged Identity Management.
  3. Màn hình Privileged Identity Management menu trái chọn My Roles
  4. Tại tab Eligible assignments, tại cột Action của Global Administrator role chọn Activate.
  5. Cửa sổ Activate – Global Administrator, click vào link additional verification required
  6. Xuất hiện cửa sổ More information required ấn Next.
  7. Nhập password của user2, nhập số điện thoại, nhận và nhập code, ấn Verify ấn Done. (bạn cũng có thể cài Microsoft Authenticator App trên điện thoại, thực hiện scan QR code để đăng nhập)
  8. Trở lại cửa sổ Activate – Global Administrator, nhập nội dung là test PIM vào phần Reason ấn Activate.
  9. Tại màn hình My roles, menu trái chọn Microsoft Entra roles,chọn tab Active roles, quan sát chưa có user nào. (Vì chưa được Approval)

Privileged Identity Management (PIM)

Task 4 - Approve Yêu Cầu Global Admin Role Của User

Task 4 – Approve Yêu Cầu Global Admin Role Của User

  1. Trở lại trình duyệt đang đăng nhập bằng têncủabạn@customdomain, Tại màn hình Microsoft Entra Admin Center, menu trái chọn Identity Governance\Privileged Identity Management.
  2. Màn hình Privileged Identity Management, menu trái chọn Microsoft Entra Roles, bên phải tìm phần Approve chọn Approve requests.
  3. Trong phần Requests for role activations, check chọn Global Administrator của user2 ấn Approve.
  4. Xuất hiện cửa sổ Approve Request, nhập nội dung cho phần Justification, ấn Confirm
  5. Trở lại Trình Duyệt đăng đăng nhập bằng User2@customdomain, Tại màn hình Azure Active Directory admin center, menu trái chọn Azure AD Privileged Identity Management.
  6. Memu trái chọn My Roles, chọn tab Active assignments, quan sát thấy Global Administrator đã gán cho User2.

Privileged Identity Management (PIM)

Hoàn Tất Bài Lab

Lab Office 365 Module 27