登录  |  注册
当前位置:网站首页 > 更多 > 玩电脑 > 正文

[玩转系统] PIM(特权身份管理)令牌刷新和生命周期

作者:精品下载站 日期:2024-12-14 13:40:14 浏览:14 分类:玩电脑

PIM(特权身份管理)令牌刷新和生命周期

[玩转系统] PIM(特权身份管理)令牌刷新和生命周期

通过 PIM(特权身份管理),管理员可以通过限制可以使用特权的时间来减少攻击面。

帮助台的 Jane 就是一个例子,她被分配了用户管理员角色。

配置 PIM 后,Jane 必须明确请求在有限的时间内使用用户管理员角色。

在请求的时间之外,Jane 将无法使用该角色。或者她会……?

PIM 令牌刷新

对 Azure AD 图形资源的所有操作都需要有效的访问令牌。

使用 PIM 时,您必须在通过 PIM 分配角色后必须请求新的访问令牌。

使用 PIM 激活之前获得的令牌运行的任何会话都将无法利用分配的角色的权限。

在 Azure 门户中,浏览器会在角色分配后执行令牌刷新:

[玩转系统] PIM(特权身份管理)令牌刷新和生命周期

但请记住,令牌刷新是特定于应用程序的。因此,根据应用程序,您可能需要在分配 PIM 角色后执行其他步骤。

PIM 令牌生命周期

PIM 分配的权限到期(或显式停用)怎么办?

基本上,同样的经验法则适用:

在刷新令牌之前,访问令牌不会反映 PIM 过期状态。

默认令牌生命周期为一小时,用户可以在 PIM 角色分配到期后最多一小时内继续执行特权操作。

此规则有一些例外。以下操作将(几乎)立即使令牌失效:

  • 禁用或删除用户帐户。
  • 密码更改或重置。
  • 启用 MFA。
  • 显式令牌撤销。
  • Azure AD 身份保护检测高用户风险。

这些事件通常称为 CAE(持续访问评估)。

将 Easy365Manager 与 PIM 结合使用

Easy365Manager 是一个适用于 AD 用户和计算机的管理单元,可整合您的 Active Directory 和 Office 365 管理。

Easy365Manager 可以与 PIM 一起使用,因为它是基于本机 Microsoft 安全 API 构建的。

使用 Easy365Manager,您可以直接从 AD 用户属性执行 Office 365 邮箱的所有日常管理。

这甚至包括日历委托等任务,这通常需要复杂的 PowerShell 脚本编写:

借助 Easy365Manager,您的帮助台用户可以从 AD 的直观界面进行所有 Office 365 管理,这将立即提高他们的效率。

此外,您可以删除本地 Exchange Server。

在此下载功能齐全的 30 天试用版。

Easy365Manager 不进行任何基础架构更改,可以在任何具有 AD 用户和计算机的系统上运行。安装和配置只需几分钟。

在此处阅读有关 Easy365Manager 的更多信息。

猜你还喜欢

您需要 登录账户 后才能发表评论

取消回复欢迎 发表评论:

精品推荐!
欢迎 访客 登录没有账号?
  • 最新文章
  • 热门文章
  • 热评文章
最新评论
    热门tag
    友情链接

    关灯