Microsoft Entra ID PIM คืออะไร? ทำไมองค์กรต้องหยุดให้สิทธิ์ Admin ตลอด 24 ชั่วโมง

บทนำ: Admin ตลอดเวลา = ความเสี่ยงตลอดเวลา

ลองนึกภาพว่าในองค์กรของคุณมี IT Admin หลายคนที่มีสิทธิ์ Global Administrator หรือ Privileged Role Administrator อยู่ตลอด 24 ชั่วโมง 7 วันต่อสัปดาห์ ถามว่าพวกเขาใช้สิทธิ์เหล่านั้นทุกนาทีจริงหรือ? คำตอบคือ "ไม่" แต่หากบัญชีเหล่านั้นถูก Compromise ไม่ว่าจะจาก Phishing, Password Spray หรือ Credential Stuffing ผู้โจมตีก็จะได้รับ "กุญแจทุกดอก" ของระบบคลาวด์ไปทันที

นี่คือปัญหาที่เรียกว่า Standing Privilege หรือสิทธิ์ที่คงอยู่ถาวรโดยไม่จำเป็น ซึ่งเป็นหนึ่งในช่องโหว่ที่อันตรายที่สุดในระบบ Identity Security ยุคปัจจุบัน Microsoft ตระหนักถึงปัญหานี้จึงได้พัฒนา Privileged Identity Management (PIM) ภายใต้ Microsoft Entra ID ขึ้นมาเพื่อแก้ปัญหาโดยตรง

บทความนี้จะพาคุณทำความเข้าใจว่า PIM คืออะไร ทำงานอย่างไร และ IT Admin ในไทยจะนำไปใช้งานจริงได้อย่างไรบ้าง พร้อมเคล็ดลับจากประสบการณ์ที่ช่วยให้การ Deploy ราบรื่นและปลอดภัยยิ่งขึ้น

PIM คืออะไร และทำงานอย่างไร?

Privileged Identity Management (PIM) คือฟีเจอร์ใน Microsoft Entra ID (เดิมชื่อ Azure AD) ที่ช่วยให้องค์กรสามารถบริหารจัดการสิทธิ์ระดับสูงแบบ Just-In-Time (JIT) ได้ กล่าวคือ แทนที่ผู้ใช้จะมีสิทธิ์ Admin อยู่ตลอดเวลา พวกเขาจะได้รับสิทธิ์เฉพาะเมื่อต้องการใช้งาน และสิทธิ์นั้นจะหมดอายุโดยอัตโนมัติตามเวลาที่กำหนด

หลักการทำงานของ PIM แบ่งออกเป็น 2 สถานะหลัก:

• Eligible (มีสิทธิ์รอ Activate): ผู้ใช้ถูก Assign ให้เป็น Eligible สำหรับ Role นั้น แต่ยังไม่มีสิทธิ์จริง จนกว่าจะทำการ Activate
• Active (สิทธิ์ที่ใช้งานได้ทันที): ผู้ใช้มีสิทธิ์จริงในช่วงเวลาที่กำหนด เช่น 1-8 ชั่วโมง หลังจากนั้นสิทธิ์จะถูกถอนโดยอัตโนมัติ

ประโยชน์หลักของ PIM ที่องค์กรได้รับ

1. ลด Attack Surface อย่างมีนัยสำคัญ

เมื่อ Admin ไม่มีสิทธิ์สูงอยู่ตลอดเวลา แม้บัญชีจะถูกขโมย ผู้โจมตีก็ไม่สามารถใช้สิทธิ์ระดับสูงได้ทันที เพราะต้องผ่านกระบวนการ Activation ที่ต้องใช้ MFA และการอนุมัติเพิ่มเติม

2. Approval Workflow ที่ยืดหยุ่น

• กำหนดให้ต้องมีผู้อนุมัติก่อนที่สิทธิ์จะถูก Activate
• กำหนด Approver ได้หลายคน และตั้ง Fallback Approver ได้
• Admin ที่ขอสิทธิ์ต้องระบุ Justification (เหตุผลการใช้งาน) ทุกครั้ง
• Approver ได้รับการแจ้งเตือนผ่าน Email และ Microsoft Teams ทันที

3. Audit Log และ Visibility ที่ครบถ้วน

ทุกการ Activate, Extend หรือ Deactivate สิทธิ์จะถูกบันทึกใน Audit History อย่างละเอียด ทำให้ทีม Security สามารถตรวจสอบย้อนหลังได้ว่าใครใช้สิทธิ์อะไร เมื่อไหร่ และด้วยเหตุผลอะไร ซึ่งช่วยในการ Compliance กับมาตรฐานต่างๆ เช่น ISO 27001, PDPA หรือ SOC 2

4. Access Reviews อัตโนมัติ

PIM รองรับการตั้ง Access Review เป็นรอบๆ เช่น ทุก 30, 60 หรือ 90 วัน เพื่อให้ผู้รับผิดชอบทบทวนว่าใครยังควรมีสิทธิ์ Eligible อยู่หรือไม่ ช่วยป้องกันปัญหา Permission Creep หรือการสะสมสิทธิ์โดยไม่จำเป็น

5. รองรับทั้ง Entra Roles และ Azure Resource Roles

• Entra ID Roles: Global Administrator, User Administrator, Exchange Administrator ฯลฯ
• Azure Resource Roles: Owner, Contributor, User Access Administrator ใน Subscription, Resource Group หรือ Resource ระดับย่อยลงไป

ขั้นตอนการเริ่มต้นใช้งาน PIM เบื้องต้น

สำหรับ IT Admin ที่ต้องการเริ่มต้น ขั้นตอนหลักมีดังนี้:

• Step 1: ตรวจสอบ License — PIM ต้องการ Microsoft Entra ID P2 หรือ Microsoft Entra ID Governance
• Step 2: เปิดใช้งาน PIM ใน Entra Admin Center ที่เมนู Identity Governance → Privileged Identity Management
• Step 3: Discover และ Review Privileged Roles ปัจจุบันว่ามีใครมีสิทธิ์ Active อยู่บ้าง
• Step 4: เปลี่ยนผู้ใช้ที่มี Active Role ให้เป็น Eligible Role แทน (ยกเว้น Emergency Access Accounts)
• Step 5: กำหนด Role Settings เช่น Maximum Activation Duration, MFA Requirement, Approval Required
• Step 6: ตั้ง Access Review และแจ้งผู้ใช้เกี่ยวกับกระบวนการใหม่

เคล็ดลับจากประสบการณ์จริง (Practical Tips)

🔑 สร้าง Break Glass Account ก่อนเสมอ

ก่อนที่จะเอา Global Admin ออกจาก Active Role ทุกคน จงสร้าง Emergency Access Account (Break Glass) อย่างน้อย 2 บัญชี ที่ไม่ผูกกับบุคคลใด มี Password ที่แข็งแกร่ง และเก็บไว้ใน Safe อย่าให้ติด PIM เพราะหากระบบมีปัญหา คุณยังมีทางเข้าสำรอง

⏱ ตั้ง Activation Duration ให้เหมาะสมกับงาน

ไม่จำเป็นต้องตั้งทุก Role เป็น 1 ชั่วโมงเสมอไป ควรพิจารณาตามลักษณะงานจริง เช่น งาน Routine ตั้งไว้ 2 ชั่วโมง งาน Project ใหญ่อาจตั้งได้ถึง 8 ชั่วโมง แต่ต้องผ่าน Approval และมี Justification ที่ชัดเจน

📋 บังคับ Justification และ Ticket Number

ใน Role Settings ให้เปิด Require justification on activation และแนะนำให้ผู้ใช้ระบุ Ticket Number จาก ITSM ทุกครั้ง จะทำให้ Audit Trail สมบูรณ์และเชื่อมโยงกับงานจริงได้

🔔 เปิด Notification ให้ครบ

ตั้งค่าให้มีการแจ้งเตือนทั้ง Admin ที่ขอสิทธิ์, Approver และ Security Team เมื่อมีการ Activate Role ระดับสูง เช่น Global Administrator หรือ Privileged Role Administrator เพื่อให้ทีม Security ทราบแบบ Real-time

🧪 ทดสอบ Workflow ก่อน Rollout จริง

ใช้บัญชี Test User ในการทดสอบกระบวนการ Activate ทั้งแบบที่ต้องอนุมัติและไม่ต้องอนุมัติ เพื่อให้แน่ใจว่า Admin ทุกคนเข้าใจขั้นตอนก่อนที่จะ Enforce จริงในระบบ Production

สรุป และ Call to Action

Microsoft Entra ID PIM ไม่ใช่แค่ฟีเจอร์เสริม แต่คือ มาตรฐานขั้นต่ำ ที่องค์กรที่ใช้ Microsoft Cloud ควรมีอยู่แล้ว การให้สิทธิ์ Admin ตลอด 24 ชั่วโมงในยุค Zero Trust นั้นเปรียบเหมือนการทิ้งประตูบ้านเปิดค้างไว้ตลอดเวลา PIM ช่วยให้คุณ "ล็อกประตู" และเปิดเฉพาะเมื่อจำเป็น พร้อมบันทึกทุกครั้งที่มีการเข้าออก

หากองค์กรของคุณมี License Entra ID P2 อยู่แล้ว (ซึ่งมักมาพร้อมกับ Microsoft 365 E3/E5 หรือ EMS E3/E5) แสดงว่าคุณมี PIM อยู่ในมืออยู่แล้วโดยไม่มีค่าใช้จ่ายเพิ่มเติม สิ่งที่ต้องทำคือเริ่มต้น Enable และ Configure ให้ถูกต้อง

เริ่มต้นวันนี้: ลองเข้าไปที่ Entra Admin Center → Identity Governance → Privileged Identity Management แล้วดูว่าในองค์กรของคุณมีใครบ้างที่ยังมี Global Administrator แบบ Active อยู่ตลอดเวลา นั่นคือจุดเริ่มต้นของการเดินทางสู่ Privileged Access ที่ปลอดภัยกว่าเดิม