Číst v angličtině

Sdílet prostřednictvím

Referenční informace k operacím Správa oprávnění Microsoft Entra

  • Článek

V tomto průvodci zprovozněním se dozvíte o kontrolách, akcích a osvědčených postupech pro provoz Správa oprávnění Microsoft Entra v podnikovém prostředí. Pokyny mají tři fáze:

  1. Implementujte architekturu pro správu ve velkém měřítku: delegujte oprávnění a vyvíjejte procesy, které řídí provozní chování.
  2. Oprávnění správné velikosti a automatizace principu nejnižších oprávnění: opravte klíčová zjištění a implementujte přístup podle potřeby (JIT) za běhu s oprávněními na vyžádání.
  3. Konfigurace Správa oprávnění Microsoft Entra monitorování a upozorňování: plánování opakovaných sestav, konfigurace výstrah a vývoj playbooků strategie reakce.

Poznámka

Doporučení v této příručce jsou aktuální k datu zveřejnění. Doporučujeme organizacím průběžně vyhodnocovat své postupy identit, protože se v průběhu času vyvíjejí produkty a služby Microsoftu. Některá doporučení nemusí být použitelná pro všechna zákaznická prostředí.

Vstupní kritéria

Tato příručka předpokládá, že jste dokončili průvodce rychlým startem pro Správa oprávnění Microsoft Entra.

Slovník pojmů

K pochopení termínů používaných v této příručce použijte následující glosář.

Pojem definice
Autorizační systém Systém, který uděluje přístup k identitám. Například předplatné Azure, účet AWS nebo projekt GCP.
Oprávnění Identita s možností provádět akci s prostředkem
Index zobrazení oprávnění (PCI) Agregovaná metrika pro měření počtu nepoužívaných nebo nadměrných oprávnění napříč identitami a prostředky. Měří se pravidelně pro všechny identity. PCI se pohybuje od 0 do 100. Vyšší skóre představují větší riziko.
Oprávnění na vyžádání Funkce Správa oprávnění Microsoft Entra, která umožňuje identitám požadovat a udělit oprávnění na vyžádání po omezenou dobu nebo podle potřeby.

Týmy zúčastněných stran zákazníků

Doporučujeme přiřazovat účastníky k plánování a implementaci klíčových úkolů. Následující tabulka popisuje týmy účastníků uvedené v této příručce.

Tým účastníků Popis
Správa identit a přístupu (IAM) Spravuje každodenní provoz systému IAM.
Cloudová infrastruktura Architekti a provozní týmy pro Azure, AWS a GCP
Architektura zabezpečení informací Plány a návrhy postupů zabezpečení informací organizace
Operace zabezpečení informací Spuštění a monitorování postupů zabezpečení informací pro architekturu zabezpečení informací
Reakce na incident Identifikuje a řeší incidenty zabezpečení.
Zajištění zabezpečení a audit Pomáhá zajistit, aby procesy IT byly zabezpečené a vyhovující. Provádějí pravidelné audity, vyhodnocují rizika a doporučují bezpečnostní opatření ke zmírnění zjištěných ohrožení zabezpečení a zlepšení celkového stavu zabezpečení.
Cílení technických vlastníků systému autorizace Vlastní jednotlivé systémy autorizace: předplatná Azure, účty AWS, projekty GCP nasazené do Správa oprávnění Microsoft Entra

Tok zjišťování a monitorování

Při zprovoznění produktu doporučujeme použít tok Discover-Remediate-Monitor. V následujícím příkladu si všimněte použití proaktivního toku pro nadměrně zřízených aktivních uživatelů: vysoce rizikové nadlimitní uživatelé ve vašem prostředí.

  1. Objevte: Získejte přehled o vašem prostředí a určete prioritu zjištění. Můžete například použít sestavu Analýzy oprávnění pro seznam přestavovaných aktivních uživatelů.
  2. Náprava: Zareagujte na zjištění ze zjišťování. Pomocí nástrojů pro nápravu správy oprávnění můžete například jedním kliknutím odvolat nepoužívané úlohy od přeřazených aktivních uživatelů a pak vytvořit role správné velikosti na základě předchozí aktivity.
  3. Monitorování: Vytvořte výstrahy, které budou průběžně monitorovat vaše prostředí, aby bylo možné zjištění napravit. Můžete například vytvořit upozornění analýzy oprávnění, které vás upozorní na přeřazovat aktivní uživatele.

Další kroky