Osvědčené postupy pro role Microsoft Entra

  • Článek

Tento článek popisuje některé z osvědčených postupů pro používání řízení přístupu na základě role microsoft Entra (Microsoft Entra RBAC). Tyto osvědčené postupy vycházejí z našich zkušeností s Microsoft Entra RBAC a zkušenostmi zákazníků, jako jste vy sami. Doporučujeme, abyste si také přečetli podrobné pokyny k zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.

1. Použití zásady nejnižších oprávnění

Při plánování strategie řízení přístupu je osvědčeným postupem spravovat nejnižší oprávnění. Nejnižší oprávnění znamená, že správcům udělíte přesně oprávnění, které potřebují ke své práci. Při přiřazování role správcům existují tři aspekty: konkrétní sada oprávnění v určitém rozsahu po určitou dobu. Vyhněte se přiřazování širších rolí v širších oborech, i když se zdá, že je to zpočátku pohodlnější. Omezením rolí a oborů omezíte rizika prostředků v případě ohrožení zabezpečení objektu zabezpečení. Microsoft Entra RBAC podporuje více než 65 předdefinovaných rolí. Existují role Microsoft Entra pro správu objektů adresáře, jako jsou uživatelé, skupiny a aplikace, a také pro správu služeb Microsoft 365, jako jsou Exchange, SharePoint a Intune. Pokud chcete lépe porozumět předdefinovaným rolím Microsoft Entra, přečtěte si téma Vysvětlení rolí v Microsoft Entra ID. Pokud neexistuje předdefinovaná role, která vyhovuje vašim potřebám, můžete vytvořit vlastní role.

Vyhledání správných rolí

Následující postup vám pomůže najít správnou roli.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte k rolím identit>a správcům>a správcům.

  3. Pomocí filtru služby můžete zúžit seznam rolí.

    Roles and administrators page in admin center with Service filter open.

  4. Projděte si dokumentaci k předdefinovaným rolím Microsoft Entra. Oprávnění přidružená k jednotlivým rolím jsou uvedena společně pro lepší čitelnost. Informace o struktuře a významu oprávnění rolí najdete v tématu Vysvětlení oprávnění rolí.

  5. Podívejte se na nejnižší privilegovanou roli podle dokumentace k úkolům .

2. Použití Privileged Identity Management k udělení přístupu za běhu

Jedním z principů nejnižších oprávnění je, že přístup by měl být udělen pouze v případě potřeby. Microsoft Entra Privileged Identity Management (PIM) umožňuje udělit správcům přístup za běhu. Microsoft doporučuje používat PIM v Microsoft Entra ID. Pomocí PIM může být uživatel způsobilý pro roli Microsoft Entra, kde pak může roli aktivovat po omezenou dobu v případě potřeby. Privilegovaný přístup se po vypršení časového rámce automaticky odebere. Můžete také nakonfigurovat nastavení PIM tak, aby vyžadovalo schválení, dostávalo e-maily s oznámením, když někdo aktivuje přiřazení role nebo jiné nastavení role. Oznámení poskytují upozornění, když se noví uživatelé přidají do vysoce privilegovaných rolí. Další informace naleznete v tématu Konfigurace nastavení role Microsoft Entra v Privileged Identity Management.

3. Zapnutí vícefaktorového ověřování pro všechny účty správce

Na základě našich studií je váš účet méně než 99,9 % méně pravděpodobné, pokud používáte vícefaktorové ověřování (MFA).

Vícefaktorové ověřování u rolí Microsoft Entra můžete povolit dvěma způsoby:

4. Konfigurace opakovaných kontrol přístupu pro odvolání nepotřebných oprávnění v průběhu času

Kontroly přístupu umožňují organizacím pravidelně kontrolovat přístup správce, aby se ujistili, že k přístupu pokračovali jenom ti správní lidé. Pravidelné auditování správců je zásadní z následujících důvodů:

  • Škodlivý aktér může ohrozit účet.
  • Lidé přesouvat týmy v rámci společnosti. Pokud žádné auditování neexistuje, můžou v průběhu času získat nadbytečný přístup.

Microsoft doporučuje, abyste pomocí kontrol přístupu našli a odebrali přiřazení rolí, která už nepotřebujete. To vám pomůže snížit riziko neoprávněného nebo nadměrného přístupu a udržovat standardy dodržování předpisů.

Informace o kontrolách přístupu pro role najdete v tématu Vytvoření kontroly přístupu k prostředkům Azure a rolím Microsoft Entra v PIM. Informace o kontrolách přístupu skupin, které jsou přiřazené role, naleznete v tématu Vytvoření kontroly přístupu skupin a aplikací v Microsoft Entra ID.

5. Omezte počet globálních Správa istrátorů na méně než 5.

Microsoft doporučuje přiřadit roli globálního Správa istratoru méně než pěti lidem ve vaší organizaci. Globální Správa istrátory mají v podstatě neomezený přístup a je v nejlepším zájmu udržet prostor útoku nízký. Jak jsme uvedli dříve, všechny tyto účty by měly být chráněny pomocí vícefaktorového ověřování.

Pokud máte 5 nebo více privilegovaných globálních Správa přiřazení rolí, zobrazí se na stránce přehledu Microsoft Entra karta Globální Správa istrátory, která vám pomůže monitorovat přiřazení rolí globálního Správa istratoru.

Screenshot of the Microsoft Entra Overview page that shows a card with the number of privileged role assignments.

Když se uživatel ve výchozím nastavení zaregistruje ke cloudové službě Microsoftu, vytvoří se tenant Microsoft Entra a uživateli se přiřadí role Globální Správa istrátory. Uživatelé, kteří mají přiřazenou roli Globální Správa istrator, mohou číst a upravovat téměř každé nastavení správy ve vaší organizaci Microsoft Entra. S několika výjimkami můžou globální správci také číst a upravovat všechna nastavení konfigurace ve vaší organizaci Microsoft 365. Globální Správa istrátory mají také možnost zvýšit přístup ke čtení dat.

Společnost Microsoft doporučuje zachovat dva účty se zalomeným sklem, které jsou trvale přiřazené k roli Globální Správa istrator. Ujistěte se, že tyto účty nevyžadují k přihlášení stejný mechanismus vícefaktorového ověřování jako běžné účty pro správu, jak je popsáno v tématu Správa účtů pro nouzový přístup v Microsoft Entra ID.

6. Omezte počet přiřazení privilegovaných rolí na méně než 10.

Některé role zahrnují privilegovaná oprávnění, například možnost aktualizovat přihlašovací údaje. Vzhledem k tomu, že tyto role můžou potenciálně vést ke zvýšení oprávnění, měli byste omezit použití těchto přiřazení privilegovaných rolí na méně než 10 ve vaší organizaci. Pokud překročíte 10 přiřazení privilegovaných rolí, zobrazí se na stránce Role a správci upozornění.

Screenshot of the Microsoft Entra roles and administrators page that shows the privileged role assignments warning.

Role, oprávnění a přiřazení rolí, které jsou privilegované, můžete identifikovat vyhledáním popisku PRIVILEGED . Další informace naleznete v tématu Privilegované role a oprávnění v Microsoft Entra ID.

7. Použití skupin pro přiřazení rolí Microsoft Entra a delegování přiřazení role

Pokud máte externí systém zásad správného řízení, který využívá výhod skupin, měli byste místo jednotlivých uživatelů zvážit přiřazení rolí skupinám Microsoft Entra. V PIM můžete také spravovat skupiny, které je možné přiřadit role, abyste zajistili, že v těchto privilegovaných skupinách nejsou žádní vlastníci ani členové. Další informace najdete v tématu Privileged Identity Management (PIM) pro skupiny.

Vlastníka můžete přiřadit skupinám, které je možné přiřadit role. Tento vlastník rozhodne, kdo je přidaný nebo odebraný ze skupiny, takže nepřímo rozhodne, kdo získá přiřazení role. Globální Správa istrator nebo privilegovaný Správa istrator tak může delegovat správu rolí na základě jednotlivých rolí pomocí skupin. Další informace naleznete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí.

8. Aktivace více rolí najednou pomocí PIM pro skupiny

Může se jednat o případ, že má jednotlivec pět nebo šest oprávněných přiřazení k rolím Microsoft Entra prostřednictvím PIM. Budou muset aktivovat každou roli jednotlivě, což může snížit produktivitu. Ještě horší je, že jim můžou být přiřazeny desítky nebo stovky prostředků Azure, což zhoršuje problém.

V tomto případě byste pro skupiny měli použít Privileged Identity Management (PIM). Vytvořte PIM pro skupiny a udělte mu trvalý přístup k více rolím (ID Microsoft Entra nebo Azure). Nastavte tohoto uživatele jako oprávněného člena nebo vlastníka této skupiny. S jenom jednou aktivací budou mít přístup ke všem propojeným prostředkům.

PIM for Groups diagram showing activating multiple roles at once

9. Použití nativních cloudových účtů pro role Microsoft Entra

Nepoužívejte místní synchronizované účty pro přiřazení rolí Microsoft Entra. Pokud dojde k ohrožení zabezpečení vašeho místního účtu, může ohrozit i vaše prostředky Microsoft Entra.

Další kroky