Osvědčené postupy pro role Azure AD

  • Článek

Tento článek popisuje některé z osvědčených postupů pro používání řízení přístupu na základě role v Azure Active Directory (Azure AD RBAC). Tyto osvědčené postupy vycházejí z našich zkušeností s Azure AD RBAC a zkušeností zákazníků, jako jste vy. Doporučujeme, abyste si také přečetli podrobné pokyny k zabezpečení v tématu Zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Azure AD.

1. Správa s nejnižšími oprávněními

Při plánování strategie řízení přístupu je osvědčeným postupem spravovat s nejnižšími oprávněními. Nejnižší oprávnění znamená, že správcům udělíte přesně ta oprávnění, která potřebují k práci. Při přiřazování role správcům je potřeba vzít v úvahu tři aspekty: konkrétní sadu oprávnění v určitém rozsahu na určité časové období. Vyhněte se přiřazování širších rolí v širších oborech, i když se to zpočátku zdá být pohodlnější. Omezením rolí a oborů omezíte, které prostředky jsou ohroženy, pokud dojde k ohrožení zabezpečení. Azure AD RBAC podporuje více než 65 předdefinovaných rolí. Existují Azure AD role pro správu objektů adresáře, jako jsou uživatelé, skupiny a aplikace, a také pro správu služeb Microsoft 365, jako je Exchange, SharePoint a Intune. Pokud chcete lépe porozumět Azure AD předdefinovaným rolím, přečtěte si téma Principy rolí v Azure Active Directory. Pokud předdefinovanou roli, která vyhovuje vašim požadavkům, neexistuje, můžete si vytvořit vlastní role.

Vyhledání správných rolí

Tento postup vám pomůže najít správnou roli.

  1. Přihlaste se k webu Azure Portal.

  2. Výběremmožnosti Role a správciAzure Active Directory> zobrazte seznam Azure AD rolí.

  3. Seznam rolí můžete zúžit pomocí filtru služby .

    Stránka Role a správci v Azure AD s otevřeným filtrem služby

  4. Projděte si dokumentaci k Azure AD předdefinovaných rolí. Oprávnění přidružená k jednotlivým rolím jsou uvedená společně pro lepší čitelnost. Pokud chcete porozumět struktuře a významu oprávnění rolí, přečtěte si téma Jak porozumět oprávněním rolí.

  5. Projděte si dokumentaci k nejnižším privilegovaným rolím podle úlohy .

2. Udělení přístupu za běhu pomocí Privileged Identity Management

Jedním z principů nejnižší úrovně oprávnění je, že přístup by měl být udělen pouze na určité časové období. Azure AD Privileged Identity Management (PIM) umožňuje udělit správcům přístup za běhu. Microsoft doporučuje povolit PIM v Azure AD. Pomocí PIM se uživatel může stát oprávněným členem Azure AD role, kde pak může roli po omezenou dobu v případě potřeby aktivovat. Privilegovaný přístup se po vypršení časového rámce automaticky odebere. Můžete také nakonfigurovat nastavení PIM tak, aby vyžadovalo schválení nebo dostávalo e-maily s oznámením, když někdo aktivuje přiřazení role. Oznámení poskytují upozornění, když jsou noví uživatelé přidáni do vysoce privilegovaných rolí.

3. Zapněte vícefaktorové ověřování pro všechny účty správců.

Na základě našich studií je o 99,9 % nižší pravděpodobnost ohrožení zabezpečení vašeho účtu, pokud použijete vícefaktorové ověřování (MFA).

Vícefaktorové ověřování můžete u rolí Azure AD povolit dvěma způsoby:

4. Konfigurace opakovaných kontrol přístupu pro odvolávání nepotřebných oprávnění v průběhu času

Kontroly přístupu umožňují organizacím pravidelně kontrolovat přístup správce, aby měli jistotu, že přístup budou mít dál jen ti správní lidé. Pravidelné auditování správců je zásadní z následujících důvodů:

  • Aktér se zlými úmysly může ohrozit účet.
  • Lidé přesun týmů v rámci společnosti. Pokud neproběhlo žádné auditování, může časem získat zbytečný přístup.

Informace o kontrolách přístupu pro role najdete v tématu Vytvoření kontroly přístupu Azure AD rolí v PIM. Informace o kontrolách přístupu skupin, které mají přiřazené role, najdete v tématu Vytvoření kontroly přístupu ke skupinám a aplikacím v Azure AD kontrol přístupu.

5. Omezte počet globálních správců na méně než 5.

Microsoft doporučuje přiřadit roli globálního správce méně než pěti lidem ve vaší organizaci. Globální správci drží klíče k království a je ve vašem nejlepším zájmu udržet prostor pro útoky na nízké úrovni. Jak jsme uvedli dříve, všechny tyto účty by měly být chráněné pomocí vícefaktorového ověřování.

Když se uživatel zaregistruje ke cloudové službě Microsoftu, ve výchozím nastavení se vytvoří Azure AD tenant a uživatel se stane členem role Globální správci. Uživatelé, kteří mají přiřazenou roli globálního správce, můžou číst a upravovat všechna nastavení správy ve vaší organizaci Azure AD. S několika výjimkami můžou globální správci také číst a upravovat všechna nastavení konfigurace ve vaší organizaci Microsoft 365. Globální správci mají také možnost zvýšit úroveň přístupu ke čtení dat.

Microsoft doporučuje, abyste si ponecháli dva účty, které jsou trvale přiřazené k roli globálního správce. Ujistěte se, že tyto účty k přihlášení nevyžadují stejný mechanismus vícefaktorového ověřování jako běžné účty pro správu, jak je popsáno v tématu Správa účtů pro nouzový přístup v Azure AD.

6. Použití skupin pro Azure AD přiřazení rolí a delegování přiřazení rolí

Pokud máte externí systém zásad správného řízení, který využívá skupiny, měli byste zvážit přiřazení rolí Azure AD skupinám místo jednotlivým uživatelům. V PIM můžete také spravovat skupiny s možností přiřazení rolí, abyste zajistili, že v těchto privilegovaných skupinách nejsou žádní stálí vlastníci ani členové. Další informace najdete v tématu Privileged Identity Management (PIM) pro skupiny (Preview).

Ke skupinám s možností přiřazení rolí můžete přiřadit vlastníka. Tento vlastník rozhoduje o tom, kdo se přidá do skupiny nebo se z této skupiny odebere, takže nepřímo rozhoduje o tom, kdo získá přiřazení role. Globální správce nebo správce privilegovaných rolí tak může delegovat správu rolí na základě jednotlivých rolí pomocí skupin. Další informace najdete v tématu Použití skupin Azure AD ke správě přiřazení rolí.

7. Aktivace více rolí najednou pomocí PIM pro skupiny

Může se jednat o případ, že jednotlivec má pět nebo šest oprávněných přiřazení k Azure AD rolí prostřednictvím PIM. Budou muset aktivovat každou roli zvlášť, což může snížit produktivitu. A co je horší, můžou mít také přiřazené desítky nebo stovky prostředků Azure, což problém ještě zhoršuje.

V takovém případě byste pro skupiny (Preview) měli použít Privileged Identity Management (PIM). Vytvořte PIM pro skupiny a udělte mu trvalý přístup k více rolím (Azure AD nebo Azure). Nastavte tohoto uživatele jako oprávněného člena nebo vlastníka této skupiny. Po jedné aktivaci budou mít přístup ke všem propojeným prostředkům.

Diagram PIM pro skupiny znázorňující aktivaci více rolí najednou

8. Použití účtů nativních pro cloud pro Azure AD rolí

Nepoužívejte místní synchronizované účty pro Azure AD přiřazení rolí. Pokud dojde k ohrožení zabezpečení vašeho místního účtu, může to ohrozit i vaše Azure AD prostředky.

Další kroky