Fáze 1: Implementace architektury pro správu ve velkém měřítku
Tato část referenční příručky k operacím Správa oprávnění Microsoft Entra popisuje kontroly a akce, které byste měli zvážit při efektivním delegování oprávnění a správě ve velkém měřítku.
Definování delegovaného modelu správy
Doporučený vlastník: Architektura zabezpečení informací
Definování správců Správa oprávnění Microsoft Entra
Pokud chcete začít zprovoznit Správa oprávnění Microsoft Entra, nastavte dva až pět Správa istrátorů, kteří delegují oprávnění v produktu, nakonfigurují nastavení klíčů a vytvoří a spravují konfiguraci vaší organizace.
Důležité
Správa oprávnění Microsoft Entra spoléhá na uživatele s platnými e-mailovými adresami. Doporučujeme, aby vaše Správa istrátory pro správu oprávnění měly účty s povolenou poštovní schránkou.
Přiřaďte určeným správcům roli Správa oprávnění Správa istrator v ID Microsoft Entra, aby mohli provádět potřebné úlohy. Doporučujeme použít Privileged Identity Management (PIM) k tomu, abyste správcům poskytli přístup za běhu (JIT), a ne k jeho trvalému přiřazování.
Definování a údržba struktury složek
Ve správě oprávnění je složka skupinou systémů autorizace. Doporučujeme vytvářet složky na základě strategie delegování organizace. Pokud například vaše organizace deleguje na základě týmů, vytvořte složky pro:
- Produkční finance
- Produkční infrastruktura
- Předprodukční výzkum a vývoj
Efektivní struktura složek usnadňuje delegování oprávnění ve velkém měřítku a poskytuje vlastníkům autorizačního systému pozitivní zkušenosti s produktem.
Pokud chcete zjednodušit prostředí, podívejte se na vytváření složek pro uspořádání systémů autorizace.
Vytvoření skupin zabezpečení Microsoft Entra pro delegování oprávnění
Správa oprávnění Microsoft Entra má systém přístupu založený na skupinách, který používá skupiny zabezpečení Microsoft Entra k udělení oprávnění různým systémům autorizace. Pro delegování oprávnění vytvoří váš tým IAM skupiny zabezpečení Microsoft Entra, které se mapují na vlastníky systému autorizace a povinnosti správy oprávnění, které definujete. Zajistěte, aby uživatelé se sdíleným vlastnictvím a zodpovědnostmi v produktu měli stejnou skupinu zabezpečení.
Doporučujeme používat PIM pro skupiny. To poskytuje přístup JIT ke správě oprávnění uživatelům a je v souladu s nulová důvěra (Zero Trust) JIT a principy přístupu podle potřeby.
Pokud chcete vytvořit skupiny zabezpečení Microsoft Entra, přečtěte si téma Správa skupin a členství ve skupinách.
Přiřazení oprávnění v Správa oprávnění Microsoft Entra
Po vytvoření skupin zabezpečení Microsoft Entra udělí správa oprávnění Správa istrator skupiny zabezpečení potřebná oprávnění.
Minimálně zajistěte, aby skupinám zabezpečení byla udělena oprávnění čtenáře pro autorizační systémy, za které zodpovídají. Použijte oprávnění kontroleru pro skupiny zabezpečení se členy, kteří provádějí nápravné akce. Přečtěte si další informace o rolích Správa oprávnění Microsoft Entra a úrovních oprávnění.
Další informace o správě uživatelů a skupin ve správě oprávnění:
- Přidání nebo odebrání uživatele ve správě oprávnění Microsoft Entra
- Správa uživatelů a skupin pomocí řídicího panelu Správa uživatelů
- Výběr nastavení oprávnění založených na skupinách
Určení správy životního cyklu systému autorizace
Doporučené vlastníky: Architektura zabezpečení informací a cloudová infrastruktura
S vytvářením nových systémů autorizace a vývojem aktuálních systémů autorizace vytvořte a udržujte dobře definovaný proces změn v Správa oprávnění Microsoft Entra. Následující tabulka popisuje úkoly a doporučené vlastníky.
Úloha | Doporučený vlastník |
---|---|
Definování procesu zjišťování pro nové systémy autorizace vytvořené ve vašem prostředí | Architektura zabezpečení informací |
Definování procesů třídění a onboardingu pro nové systémy autorizace pro správu oprávnění | Architektura zabezpečení informací |
Definování procesů správy pro nové systémy autorizace: delegování oprávnění a struktura složek aktualizací | Architektura zabezpečení informací |
Vytvořte strukturu křížových poplatků. Určete proces správy nákladů. | Vlastník se liší podle organizace |
Definování strategie indexu creepu oprávnění
Doporučený vlastník: Architektura zabezpečení informací
Doporučujeme definovat cíle a případy použití, abyste mohli určit, jak index indexu oprávnění (PCI) řídí aktivitu a vytváření sestav architektury zabezpečení informací. Tento tým může definovat a pomáhat ostatním s plněním cílových prahových hodnot PCI pro vaši organizaci.
Stanovení cílových prahových hodnot PCI
Prahové hodnoty PCI řídí provozní chování a slouží jako zásady, které určují, kdy se ve vašem prostředí vyžaduje akce. Stanovení prahových hodnot PCI pro:
- Systémy autorizace
- Uživatelé lidské identity
- Enterprise Directory (ED)
- SAML
- Místní
- Host
- Identity, které nejsou lidské
Poznámka:
Vzhledem k tomu, že aktivita nelidské identity se liší méně než lidská identita, použijte přísnější nastavení správné velikosti pro nelidské identity: nastavte nižší prahovou hodnotu PCI.
Prahové hodnoty PCI se liší v závislosti na cílech a případech použití vaší organizace. Doporučujeme, abyste se shodili s integrovanými prahovými hodnotami rizik správy oprávnění. Podívejte se na následující rozsahy PCI podle rizika:
- Nízká: 0 až 33
- Střední: 34 až 67
- Vysoká: 68 až 100
V předchozím seznamu si projděte následující příklady zásad prahových hodnot PCI:
Kategorie | Prahová hodnota PCI | Zásady |
---|---|---|
Systémy autorizace | 67: Klasifikace autorizačního systému jako vysokého rizika | Pokud má autorizační systém skóre PCI vyšší než 67, zkontrolujte a v autorizačním systému zkontrolujte a zkontrolujte správné velikosti velkých identit PCI. |
Lidské identity: ED, SAML a místní | 67: Klasifikace lidské identity jako vysokého rizika | Pokud má lidská identita skóre PCI vyšší než 67, správně zvětšte oprávnění identity. |
Lidská identita: Uživatel typu host | 33: Klasifikujte uživatele typu host jako vysoké nebo střední riziko. | Pokud má uživatel typu host skóre PCI vyšší než 33, zvětšte oprávnění identity správně. |
Identity, které nejsou lidské | 33: Klasifikujte identitu, která není člověkem, jako vysoké nebo střední riziko | Pokud má nelidská identita skóre PCI vyšší než 33, zvětšte oprávnění identity správnou velikostí. |