培训
备注
自 2025 年 4 月 1 日起,Microsoft Entra Permissions Management 将不再可供购买,2025 年 10 月 1 日我们将停止支持并退役该产品。 有关详细信息,可 在此处找到。
Microsoft Entra 权限管理 将于 2025 年 10 月 1 日停用,从 2025 年 4 月 1 日起,不再提供新购买服务。 现有付费客户将在 2025 年 4 月 1 日至 2025 年 9 月 30 日期间继续访问权限管理。
2025 年 10 月 1 日,权限管理将自动卸载并删除关联的数据收集。 对于需要在 2025 年 10 月 1 日之前卸载的客户,请参阅本指南中的 “卸载步骤 ”部分。
在深入考虑我们的创新组合后,我们决定逐步从Microsoft安全产品组合中淘汰Microsoft Entra 权限管理,以便更专注于在我们具有差异化的领域提供最佳创新,并与生态系统中的相关合作伙伴展开合作。 我们仍然致力于跨 Microsoft Entra 项目组合提供顶层解决方案,其中包括Microsoft Entra ID、Microsoft Entra Suite(包括 ID 保护、ID 治理、验证 ID、Internet 访问和专用访问),Microsoft Entra 外部 ID、Microsoft Entra 工作负载 ID 等。
由于权限管理即将停用,Microsoft建议已在其环境中采用该产品的客户开始规划过渡。 尚未加入的客户应避免加入。
为了支持这种过渡,Microsoft与 Delinea 合作。 Delinea 提供云原生、完全Microsoft兼容的云基础结构权利管理(CIEM)解决方案、云权利特权控制(PCCE)。 PCCE 提供与权限管理相当的功能,包括持续发现允许您监视和调整人类和机器身份权限的权利。
建议在 9 月 30 日之前尽快从权限管理开始迁移。 我们致力于与合作伙伴 Delinea 一起提供广泛的支持。
为了确保与我们推荐的合作伙伴继续推进 CIEM 目标,建议从权限管理门户中记录以下信息:
首先,转到 Microsoft Entra 管理中心 并登录到 Microsoft Entra ID,然后单击导航边栏选项卡中 的权限管理 。
- 在 Azure、Amazon Web Service(AWS)和 Google Cloud Platform(GCP)上监控的授权系统 ID。 若要找到这一点,请启动 “权限管理 ”门户,选择 “设置”(齿轮图标), 然后选择 “授权系统 ”选项卡以查看授权系统 ID 列表。
- 在 Entra ID 中,具有权限管理管理员角色的组和用户被授予管理员访问权限。 若要查找此项,请启动 Entra ID,选择 “角色”和“管理员”,搜索 “权限管理管理员”角色,选择“ 分配”。
- 通过权限管理门户为组提供授权系统特定的访问权限。 若要找到这一点,请启动 权限管理 门户,选择 “用户管理”,然后单击“ 组 ”选项卡查看所有组分配。
- 您的环境中配置的自定义报表。 若要找到此项,请启动 “权限管理 ”门户,选择“ 报表”,导航到 “自定义报表”。
- 环境中配置的警报。 若要找到这一点,请启动 “权限管理 ”门户,选择“ 警报 ”(钟形图标),导航到相应的警报选项卡。
客户在加入我们推荐的合作伙伴和/或任何其他供应商后,可以启动退出流程。 按顺序执行以下步骤:
- 删除 AWS、Azure 和 GCP 中分配的权限。
- 删除 AWS 和 GCP 环境的 OIDC 应用程序。
- 通过删除关联的数据收集器,停止收集整个帐户/订阅/项目的数据:这可确保不会收集任何新数据,并且你将不再有权访问任何历史数据。
- 禁用用户登录到云基础结构权利管理(CIEM)企业应用程序
请继续了解上述每个步骤的详细指南。
若要成功卸载数据,请从载入的云提供商(Azure、AWS 或 GCP)和权限管理中删除权限。 应删除载入期间分配的任何角色和权限。 这确保了在您的环境从权限管理中移除后,环境安全且不会存在过度权限访问。
请参阅权限管理门户中的数据收集器配置,然后选择设置(齿轮图标)。 记下配置设置,以删除在各自的云提供商中分配的角色和权限。
对于 AWS 和 GCP,请删除在启用了权限管理的 Microsoft Entra Admin Center 租户中创建的应用程序。 此应用用于设置与 AWS 和 GCP 环境的 OIDC(OpenID Connect)连接。
若要查找创建的企业应用程序,用于设置与 AWS 和 GCP 环境的 OIDC 连接,请执行以下步骤:
- 转到 Microsoft Entra 管理中心 并登录到 Microsoft Entra ID。
- 启动 权限管理 门户。
- 选择 “设置” (齿轮图标),然后选择 “数据收集器 ”选项卡。
- 在 数据收集器 仪表板上,选择授权系统类型:
- AWS for Amazon Web Services。
- 适用于 Google Cloud Platform 的 GCP。
- 在表格中选择行末尾的省略号(...)。
- 选择 “编辑配置”。 该应用位于 Azure 应用 名称下。
- 转到 Microsoft Entra 管理中心 并登录到 Microsoft Entra ID。
- 导航到 Entra ID>应用注册。
- 在搜索框中输入现有应用程序的名称,然后从搜索结果中选择该应用程序。
- 在“概述”页中,选择“ 删除”。 阅读删除的后果。 选中该框(如果显示在窗格底部)。
- 选择“删除”以确认要删除该应用。
通过删除关联的数据收集器,停止收集帐户/订阅/项目列表的数据。
备注
用户必须具有 权限管理管理员 角色分配才能执行此任务。
- 转到 Microsoft Entra 管理中心 并登录到 Microsoft Entra ID。
- 选择权限管理并单击启动门户。
- 选择 “设置” (齿轮图标),然后选择 “数据收集器 ”选项卡。
- 在 数据收集器 仪表板上,选择授权系统类型:
- AWS for Amazon Web Services。
- Azure for Microsoft Azure。
- 适用于 Google Cloud Platform 的 GCP。
- 请点击表格中某行末尾的省略号(...)。
- 选择 “删除配置”。 此时会显示 “权限管理载入 - 摘要 ”框。
- 选择 “删除”。
- 检查电子邮件是否有一次性密码(OTP)代码,然后在 Enter OTP 中输入。
- 如果未收到 OTP,请选择 “重新发送 OTP”。
- 以下消息显示:
Successfully deleted configuration
数据收集停止用于所有 AWS 帐户、Azure 订阅和 GCP 项目后,请禁用云基础结构权利管理 (CIEM) 应用,以便无法登录。 这可确保权限管理不能再访问环境(帐户、订阅和项目)。
备注
用户必须具有 云应用程序管理员 角色分配才能执行此任务。
若要为用户禁用 CIEM 应用,请按照以下步骤操作:
- 转到 Microsoft Entra 管理中心 并登录到 Microsoft Entra ID。
- 导航到 Entra ID>企业应用>所有应用程序。
- 搜索 云基础设施权限管理。 如果找不到应用,请重置筛选器。
- 打开 属性。
- 为用户切换启用登录到 No。
- 有关权限管理产品停用的详细信息,请访问 aka.ms/MEPMretire