So sánh quy trình phê duyệt tự động và thủ công trong Microsoft PIM. Tìm hiểu phương pháp nào đảm bảo bảo mật, tuân thủ và hiệu quả tốt hơn cho các vai trò có đặc quyền. Bài viết sau đây, Tri Thức Software sẽ giải thích các khái niệm và tính năng quan trọng của PIM.
Một tổ chức có thể triển khai PIM thông qua một công cụ chuyên dụng, độc lập hoặc một bộ công cụ và quy trình. Các giải pháp PIM cung cấp một nền tảng thống nhất để tạo, quản lý và theo dõi các tài khoản có đặc quyền. Chúng giảm thiểu rủi ro vi phạm dữ liệu và đảm bảo tuân thủ các quy định và tiêu chuẩn của ngành.
Privileged Identity Management (PIM) là gì?
Privileged Identity Management (PIM) là một dịch vụ trong Microsoft Entra ID cho phép bạn quản lý, kiểm soát và giám sát quyền truy cập vào các tài nguyên quan trọng trong tổ chức của mình. Các tài nguyên này bao gồm tài nguyên trong Microsoft Entra ID, Azure và các dịch vụ trực tuyến khác của Microsoft như Microsoft 365 hoặc Microsoft Intune.
Quy trình phê duyệt PIM là gì?
Privileged Identity Management (PIM) hoạt động dựa trên một ý tưởng đơn giản – chỉ cấp quyền truy cập khi cần thiết, chứ không phải mọi lúc. Điều này được gọi là truy cập tức thời (Just-in-Time – JIT), và nó giúp giảm thiểu các đặc quyền thường trực mà kẻ tấn công có thể lạm dụng.
Trong PIM, một số người dùng đủ điều kiện cho các vai trò nhất định. Nếu bạn muốn hiểu sự khác biệt giữa vai trò đủ điều kiện và vai trò đang hoạt động trong Microsoft PIM. Điều đó có nghĩa là họ không có quyền mặc định – họ phải kích hoạt vai trò để thực sự sử dụng nó.
Cơ chế phê duyệt đóng vai trò như người gác cổng cho quy trình này. Nó:
- Quyết định ai có thể kích hoạt một vai trò.
- Kiểm soát cách thức kích hoạt diễn ra.
- Xác định cơ chế phê duyệt kích hoạt vai trò PIM của bạn.
Phê duyệt tự động so với phê duyệt thủ công trong PIM
Khi thiết lập PIM, chúng ta phải chọn một phương pháp phê duyệt.
Chúng ta ưu tiên truy cập tức thì hay một điểm kiểm tra an ninh cần thiết?
Việc lựa chọn loại phê duyệt PIM: thủ công hay tự động đều nhằm cân bằng giữa tốc độ và an toàn.
Dưới đây là hình ảnh so sánh đơn giản hai lựa chọn này:
| Diện mạo | Tự động phê duyệt | Phê duyệt thủ công |
|---|---|---|
| Tốc độ kích hoạt | Ngay sau khi có sự xác nhận/giải trình của Bộ Ngoại giao | Hoãn lại cho đến khi người phê duyệt phản hồi (tối đa 24 giờ) |
| Bảo vệ | Dựa vào xác thực đa yếu tố (MFA), lý do xác thực, nhật ký; không có kiểm tra thủ công. | Cần có sự phê duyệt của con người; giám sát cấp cao hơn |
| Trường hợp sử dụng | Các vai trò ít rủi ro, công việc hàng ngày | Các vai trò có đặc quyền cao hoặc nhạy cảm |
| Ưu điểm | Nhanh chóng, không tắc nghẽn | Bảo mật mạnh mẽ, tuân thủ quy định. |
| Nhược điểm | Rủi ro cao hơn nếu tài khoản bị xâm phạm. | Chậm hơn; cần có người phê duyệt |
| Kiểm toán & Tuân thủ | Nhật ký đã được tạo; điểm kiểm tra tối thiểu | Biên bản phê duyệt chính thức; sẵn sàng cho kiểm toán. |
Việc lựa chọn giữa phương án yêu cầu phê duyệt và phương án tự động kích hoạt vai trò đủ điều kiện trong PIM là quyết định quan trọng đối với tổ chức của bạn. Bạn cần chọn phương pháp phù hợp với cấp độ quyền hạn phù hợp.
Tự động phê duyệt trong các vai trò PIM của Microsoft
Tính năng tự động phê duyệt trong Quản lý Danh tính Đặc quyền (PIM) cho phép kích hoạt vai trò ngay lập tức sau khi người dùng cung cấp lý do chính đáng và vượt qua các bước kiểm tra cần thiết như xác thực đa yếu tố (MFA). Không cần chờ đợi, không tắc nghẽn – đó là con đường nhanh chóng để kích hoạt vai trò.
Ưu điểm:
- Nhanh chóng và hiệu quả.
- Người dùng có thể nhanh chóng truy cập vào các vai trò họ cần hàng ngày.
- Giúp quy trình làm việc diễn ra suôn sẻ và tránh bị chậm trễ.
Nhược điểm & Rủi ro:
- Rủi ro sẽ cao hơn nếu tài khoản người dùng bị xâm phạm.
- Có thể dẫn đến tình trạng người dùng quen với việc được cấp quyền cao hơn.
- So với quy trình phê duyệt thủ công, quy trình giám sát ít hơn.
Ngay cả với tính năng tự động phê duyệt, một nền tảng xác thực danh tính vững chắc vẫn vô cùng quan trọng. Để đảm bảo an toàn tối đa, chúng tôi khuyên bạn nên sử dụng chiến lược xác thực danh tính hiện đại.
Khi nào nên sử dụng tính năng phê duyệt tự động:
- Phù hợp nhất cho các vai trò PIM có rủi ro thấp, chẳng hạn như vai trò Người đọc hoặc Nhân viên Hỗ trợ kỹ thuật.
- Thích hợp cho các vai trò vận hành đòi hỏi phản hồi nhanh chóng được sử dụng hàng ngày.
Phê duyệt thủ công trong các vai trò PIM của Microsoft
Phê duyệt thủ công có nghĩa là yêu cầu kích hoạt vai trò cần được người phê duyệt hoặc nhóm được chỉ định chấp thuận rõ ràng. Điều này bổ sung thêm một bước kiểm tra thủ công trước khi cấp quyền truy cập, giúp bảo mật các vai trò có rủi ro cao hơn.
Ưu điểm:
- Áp dụng nguyên tắc “bốn mắt” – hai nhóm người cùng kiểm tra trước khi cho phép truy cập.
- Cần thiết cho việc tuân thủ quy định và kiểm toán , giúp đáp ứng các yêu cầu pháp lý.
- Cung cấp hồ sơ chính thức về người đã phê duyệt và lý do phê duyệt.
Nhược điểm:
- Có thể tạo ra những tắc nghẽn trong hoạt động nếu người phê duyệt không có mặt.
- Nguy cơ xảy ra tình trạng “phê duyệt qua loa” không cần thiết , tức là việc phê duyệt được thực hiện mà không qua kiểm tra kỹ lưỡng.
Khi nào nên sử dụng phê duyệt thủ công:
- Các vai trò có rủi ro cao với quyền ghi/xóa rộng, chẳng hạn như Quản trị viên toàn cầu hoặc Quản trị viên bảo mật .
- Các tình huống cần phá kính hoặc bất kỳ tình huống nào mà việc tiếp cận khu vực trên cao phải được kiểm soát cẩn thận.
Hướng dẫn cấu hình quy trình phê duyệt trong Microsoft Entra ID
Các bước yêu cầu phê duyệt để kích hoạt PIM trong Entra ID
Thiết lập phê duyệt thủ công trong Microsoft PIM rất đơn giản. Hãy làm theo các bước sau:
- Đăng nhập vào trung tâm quản trị Microsoft Entra https://entra.microsoft.com/ với quyền Admin Global
- Vào ID Governance > Privileged Identity > Management > Microsoft Entra roles > Roles.
- Truy cập Microsoft Entra Roles.
- Trong Manage > Roles để xem tất cả các vai trò người dùng cuối hiện có.
- Chọn vai trò mà bạn muốn cấu hình cài đặt.
- Chọn Role settings. Trên trang Role settings > bạn có thể xem các cài đặt vai trò PIM hiện tại cho vai trò đã chọn.
- Chọn Edit để cập nhật cài đặt vai trò.
- Trong tab Activation > chọn Require approval to activate.
- Ngoài ra, hãy thêm users or groups làm người phê duyệt. Người phê duyệt sẽ xem xét và chấp thuận các yêu cầu kích hoạt.
- Click Update để áp dụng các thay đổi.
Ghi chú:
- Các yêu cầu phê duyệt thường hết hạn sau 24 giờ.
- Nếu yêu cầu hết hạn, người dùng phải gửi yêu cầu kích hoạt mới.
- Điều này đảm bảo các vai trò không bị kích hoạt vô thời hạn mà không có sự giám sát thích hợp.
Thiết lập phê duyệt tự động cho các vai trò PIM như thế nào?
Bạn cũng có thể bỏ qua bước phê duyệt thủ công đối với các vai trò có rủi ro thấp:
- Hãy làm theo các bước 1-7 trong hướng dẫn thiết lập ở trên.
- Ở bước 8, hãy chuyển đến tab Activation và bỏ chọn hộp kiểm Require approval to activate.
Ngay cả khi có tính năng tự động phê duyệt, vẫn cần thực hiện một số thiết lập:
- Lý do kích hoạt.
- Xác thực đa yếu tố (MFA) để xác nhận danh tính người dùng.
- Thời gian kích hoạt để giới hạn thời gian vai trò đó duy trì trạng thái hoạt động.
QUAN TRỌNG:
Bạn sẽ không thể vào nhà người thuê nếu tất cả các điều kiện sau đây đều đúng:
- Tất cả các Quản trị viên có vai trò đặc quyền/Quản trị viên toàn cầu đều có các nhiệm vụ đủ điều kiện, nhưng hiện tại chưa có nhiệm vụ nào đang hoạt động.
- Cần có sự chấp thuận để kích hoạt.
- Hiện chưa có người phê duyệt nào được cấu hình.
Để tránh tình trạng này, hãy cấu hình tài khoản truy cập khẩn cấp và chỉ định người phê duyệt cụ thể.
Quy trình phê duyệt thủ công từ đầu đến cuối: Góc nhìn của người dùng và người phê duyệt
Phê duyệt thủ công đảm bảo rằng các vai trò có rủi ro cao chỉ được kích hoạt sau khi được con người xác minh.
Điều này bổ sung thêm một bước kiểm soát giúp bảo vệ tổ chức của bạn đồng thời giữ cho quy trình minh bạch cho cả người dùng và người phê duyệt.
Các bước dành cho người dùng cuối (Người yêu cầu)
- Chỉ định người dùng eligible cho vai trò đó.
(Ví dụ: người dùng Delia Dennis đã được chỉ định vai trò quản trị viên toàn cầu hợp lệ)
- Yêu cầu họ kích hoạt vai trò thông qua PIM. Nhập lý do (bắt buộc). Chỉ định thời gian kích hoạt.
- Click Activate
- Trong trường hợp này, vì tính năng phê duyệt thủ công được bật, người phê duyệt sẽ nhận được thông báo qua email và phải phê duyệt trong vòng 24 giờ (không thể cấu hình). Cho đến khi đó, trạng thái yêu cầu của người dùng sẽ hiển thị là Pending approval cho đến khi người phê duyệt thực hiện hành động.
Các bước phê duyệt (Người ra quyết định)
- Nhận thông báo qua email hoặc xem yêu cầu trong mục Approve requests trên PIM.
- Để thực hiện việc này > vào Microsoft Entra Admin Center > Identity Governance > Privileged Identity Management > Approve requests > để xem danh sách các yêu cầu đang chờ phê duyệt.
- Trong mục Approve requests > mở review:
- Lý do do người dùng cung cấp
- Vai trò đang được yêu cầu
- Thời gian kích hoạt được yêu cầu
- Từ đây, người phê duyệt có thể view, approve hoặc deny các yêu cầu kích hoạt đang chờ xử lý.
- Sau khi người phê duyệt chấp thuận yêu cầu, người dùng sẽ được cấp vai trò được yêu cầu và có thể bắt đầu sử dụng các đặc quyền liên quan trong khoảng thời gian đã được cấu hình.
- Hãy hành động ngay:
- Nhấp vào Chấp nhận (bình luận tùy chọn) hoặc
- Nhấp vào Từ chối (lý do bắt buộc)
- Nếu được chấp thuận, vai trò này sẽ được kích hoạt ngay lập tức cho người dùng và người dùng có thể bắt đầu sử dụng các đặc quyền liên quan trong khoảng thời gian đã được cấu hình.
- Nếu bị từ chối hoặc yêu cầu hết hạn (sau 24 giờ), người dùng sẽ nhận được thông báo và phải gửi yêu cầu mới.
Ghi chú:
- Tất cả người phê duyệt đều được thông báo khi một người phê duyệt phản hồi yêu cầu phê duyệt.
- Quản trị viên toàn cầu và quản trị viên có vai trò đặc quyền sẽ nhận được thông báo khi người dùng được phê duyệt kích hoạt vai trò của họ.
Các phương pháp và kịch bản tốt nhất – Khi nào nên sử dụng chế độ tự động so với khi nào cần phê duyệt
Việc lựa chọn giữa phê duyệt tự động và thủ công trong PIM phụ thuộc vào mức độ nhạy cảm của vai trò, nhu cầu vận hành và yêu cầu tuân thủ. Dưới đây là hướng dẫn thực tế:
Các kịch bản phê duyệt tự động – Tính linh hoạt với các vai trò rủi ro thấp
Phê duyệt tự động là giải pháp lý tưởng khi tốc độ là yếu tố quan trọng và rủi ro thấp:
- Các vai trò rủi ro thấp: Vai trò người đọc hoặc các nhiệm vụ quản trị có phạm vi giới hạn.
- Các vai trò vận hành hàng ngày: Thường xuyên sử dụng các vai trò Hỗ trợ kỹ thuật hoặc Quản trị viên Exchange.
- Vai trò phát triển/kiểm thử: Kỹ sư DevOps kích hoạt các vai trò phi sản xuất để phục vụ mục đích kiểm thử.
Mẹo:
- Thực thi xác thực đa yếu tố (MFA) và đưa ra lý do chính đáng.
- Đặt thời gian kích hoạt cụ thể (ví dụ: 4–8 giờ).
- Xem lại nhật ký PIM hoặc thiết lập cảnh báo cho các hoạt động bất thường.
Các kịch bản phê duyệt thủ công – Bảo mật cho các vai trò có đặc quyền cao
Phê duyệt thủ công là rất quan trọng đối với các vị trí có tầm ảnh hưởng lớn hoặc đòi hỏi tuân thủ nghiêm ngặt các quy định:
- Các vai trò có rủi ro cao: Quản trị viên toàn cầu, Quản trị viên có vai trò đặc quyền, Quản trị viên Exchange, Chủ sở hữu đăng ký Azure.
- Các tình huống tuân thủ: Truy cập vào các hệ thống tài chính hoặc sản xuất yêu cầu sự phê duyệt của người thứ hai.
- Phân công nhiệm vụ: Ngăn chặn việc tự nâng cao đặc quyền.
Ví dụ: Đối với tài khoản Global Admin, một thành viên nhóm bảo mật phải phê duyệt việc kích hoạt. Tài khoản dự phòng khẩn cấp có xác thực đa yếu tố (MFA) đóng vai trò là phương án dự phòng trong trường hợp khẩn cấp.
Phương pháp kết hợp – Điều chỉnh chính sách phê duyệt
- Cấp độ 0/1 (vai trò quan trọng): Phê duyệt thủ công nghiêm ngặt.
- Cấp độ 2 (vai trò trung bình): Có thể cần lý do chính đáng.
- Cấp độ 3 (vai trò rủi ro thấp): Tự động phê duyệt.
Mẹo:
- Chỉ định người phê duyệt được ủy quyền cho từng vai trò hoặc sử dụng nhóm ID Entra.
- Tuân thủ nguyên tắc quyền hạn tối thiểu, tránh các vai trò cố định không cần thiết.
Thiết lập thời lượng và gia hạn – Xử lý khung thời gian 24 giờ
- Thời gian kích hoạt: 1–24 giờ, tùy thuộc vào nhu cầu của nhiệm vụ.
- Các vai trò sẽ tự động bị thu hồi sau khi hết hạn; cần phải kích hoạt lại.
- Đối với các quy trình phê duyệt thủ công, thời gian bắt đầu tính từ khi kích hoạt , chứ không phải từ khi gửi yêu cầu.
- Yêu cầu hết hạn: Sau 24 giờ, yêu cầu sẽ tự động đóng; người dùng phải gửi yêu cầu mới.
Khắc phục sự cố nâng cao
Trong PIM, người được ủy quyền phê duyệt sẽ kiểm soát ai có thể phê duyệt việc kích hoạt vai trò.
- Người phê duyệt duy nhất: Một người dùng chịu trách nhiệm cho tất cả các phê duyệt đối với một vai trò. Nhanh chóng, đơn giản, nhưng phụ thuộc vào việc người đó có mặt hay không.
- Phê duyệt nhóm: Nhiều người dùng có thể phê duyệt. Đảm bảo quá trình phê duyệt được thực hiện ngay cả khi một người phê duyệt vắng mặt.
Mức độ phê duyệt và xung đột:
- Nếu có nhiều người phê duyệt được cấu hình, PIM sẽ tuân theo phê duyệt đầu tiên nhận được.
- Các thiết lập xung đột hoặc nhiều lớp phê duyệt có thể làm chậm quá trình kích hoạt; tốt nhất là nên xác định rõ ràng các quy tắc phê duyệt cho từng vai trò.
Các tình huống khắc phục sự cố thường gặp
- Các yêu cầu phê duyệt thủ công không hiển thị: Hãy kiểm tra xem người phê duyệt đã được thông báo chưa và họ có quyền truy cập vào mục “Phê duyệt yêu cầu” trong PIM hay không.
- Yêu cầu phê duyệt PIM hết hạn: Yêu cầu sẽ tự động đóng sau 24 giờ nếu không được phê duyệt. Người dùng phải gửi lại.
- Người phê duyệt được ủy quyền bị thiếu trong quy trình làm việc: Xác nhận rằng người dùng hoặc nhóm đã được chỉ định chính xác trong PIM và có tư cách thành viên hoạt động.
Phần kết luận
Việc lựa chọn giữa phê duyệt tự động và phê duyệt thủ công trong Microsoft PIM là sự cân bằng giữa bảo mật và hiệu quả.
- Phê duyệt tự động rất phù hợp cho các vai trò sử dụng hàng ngày, rủi ro thấp, nơi tốc độ là yếu tố quan trọng.
- Phê duyệt thủ công là điều cần thiết đối với các vai trò có quyền hạn cao hoặc các tình huống tuân thủ quy định để đảm bảo sự giám sát và giảm thiểu rủi ro.
- Nhiều tổ chức áp dụng phương pháp kết hợp, điều chỉnh quy trình phê duyệt theo mức độ nhạy cảm của vai trò và nhu cầu hoạt động.
Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.
