Sdílet prostřednictvím


Fáze 1: Implementace architektury pro správu ve velkém měřítku

Tato část referenční příručky k operacím Správa oprávnění Microsoft Entra popisuje kontroly a akce, které byste měli zvážit při efektivním delegování oprávnění a správě ve velkém měřítku.

Definování delegovaného modelu správy

Doporučený vlastník: Architektura zabezpečení informací

Definování správců Správa oprávnění Microsoft Entra

Pokud chcete začít zprovoznit Správa oprávnění Microsoft Entra, nastavte dva až pět Správa istrátorů, kteří delegují oprávnění v produktu, nakonfigurují nastavení klíčů a vytvoří a spravují konfiguraci vaší organizace.

Důležité

Správa oprávnění Microsoft Entra spoléhá na uživatele s platnými e-mailovými adresami. Doporučujeme, aby vaše Správa istrátory pro správu oprávnění měly účty s povolenou poštovní schránkou.

Přiřaďte určeným správcům roli Správa oprávnění Správa istrator v ID Microsoft Entra, aby mohli provádět potřebné úlohy. Doporučujeme použít Privileged Identity Management (PIM) k tomu, abyste správcům poskytli přístup za běhu (JIT), a ne k jeho trvalému přiřazování.

Definování a údržba struktury složek

Ve správě oprávnění je složka skupinou systémů autorizace. Doporučujeme vytvářet složky na základě strategie delegování organizace. Pokud například vaše organizace deleguje na základě týmů, vytvořte složky pro:

  • Produkční finance
  • Produkční infrastruktura
  • Předprodukční výzkum a vývoj

Efektivní struktura složek usnadňuje delegování oprávnění ve velkém měřítku a poskytuje vlastníkům autorizačního systému pozitivní zkušenosti s produktem.

Pokud chcete zjednodušit prostředí, podívejte se na vytváření složek pro uspořádání systémů autorizace.

Vytvoření skupin zabezpečení Microsoft Entra pro delegování oprávnění

Správa oprávnění Microsoft Entra má systém přístupu založený na skupinách, který používá skupiny zabezpečení Microsoft Entra k udělení oprávnění různým systémům autorizace. Pro delegování oprávnění vytvoří váš tým IAM skupiny zabezpečení Microsoft Entra, které se mapují na vlastníky systému autorizace a povinnosti správy oprávnění, které definujete. Zajistěte, aby uživatelé se sdíleným vlastnictvím a zodpovědnostmi v produktu měli stejnou skupinu zabezpečení.

Doporučujeme používat PIM pro skupiny. To poskytuje přístup JIT ke správě oprávnění uživatelům a je v souladu s nulová důvěra (Zero Trust) JIT a principy přístupu podle potřeby.

Pokud chcete vytvořit skupiny zabezpečení Microsoft Entra, přečtěte si téma Správa skupin a členství ve skupinách.

Přiřazení oprávnění v Správa oprávnění Microsoft Entra

Po vytvoření skupin zabezpečení Microsoft Entra udělí správa oprávnění Správa istrator skupiny zabezpečení potřebná oprávnění.

Minimálně zajistěte, aby skupinám zabezpečení byla udělena oprávnění čtenáře pro autorizační systémy, za které zodpovídají. Použijte oprávnění kontroleru pro skupiny zabezpečení se členy, kteří provádějí nápravné akce. Přečtěte si další informace o rolích Správa oprávnění Microsoft Entra a úrovních oprávnění.

Další informace o správě uživatelů a skupin ve správě oprávnění:

Určení správy životního cyklu systému autorizace

Doporučené vlastníky: Architektura zabezpečení informací a cloudová infrastruktura

S vytvářením nových systémů autorizace a vývojem aktuálních systémů autorizace vytvořte a udržujte dobře definovaný proces změn v Správa oprávnění Microsoft Entra. Následující tabulka popisuje úkoly a doporučené vlastníky.

Úloha Doporučený vlastník
Definování procesu zjišťování pro nové systémy autorizace vytvořené ve vašem prostředí Architektura zabezpečení informací
Definování procesů třídění a onboardingu pro nové systémy autorizace pro správu oprávnění Architektura zabezpečení informací
Definování procesů správy pro nové systémy autorizace: delegování oprávnění a struktura složek aktualizací Architektura zabezpečení informací
Vytvořte strukturu křížových poplatků. Určete proces správy nákladů. Vlastník se liší podle organizace

Definování strategie indexu creepu oprávnění

Doporučený vlastník: Architektura zabezpečení informací

Doporučujeme definovat cíle a případy použití, abyste mohli určit, jak index indexu oprávnění (PCI) řídí aktivitu a vytváření sestav architektury zabezpečení informací. Tento tým může definovat a pomáhat ostatním s plněním cílových prahových hodnot PCI pro vaši organizaci.

Stanovení cílových prahových hodnot PCI

Prahové hodnoty PCI řídí provozní chování a slouží jako zásady, které určují, kdy se ve vašem prostředí vyžaduje akce. Stanovení prahových hodnot PCI pro:

  • Systémy autorizace
  • Uživatelé lidské identity
    • Enterprise Directory (ED)
    • SAML
    • Místní
    • Host
  • Identity, které nejsou lidské

Poznámka:

Vzhledem k tomu, že aktivita nelidské identity se liší méně než lidská identita, použijte přísnější nastavení správné velikosti pro nelidské identity: nastavte nižší prahovou hodnotu PCI.

Prahové hodnoty PCI se liší v závislosti na cílech a případech použití vaší organizace. Doporučujeme, abyste se shodili s integrovanými prahovými hodnotami rizik správy oprávnění. Podívejte se na následující rozsahy PCI podle rizika:

  • Nízká: 0 až 33
  • Střední: 34 až 67
  • Vysoká: 68 až 100

V předchozím seznamu si projděte následující příklady zásad prahových hodnot PCI:

Kategorie Prahová hodnota PCI Zásady
Systémy autorizace 67: Klasifikace autorizačního systému jako vysokého rizika Pokud má autorizační systém skóre PCI vyšší než 67, zkontrolujte a v autorizačním systému zkontrolujte a zkontrolujte správné velikosti velkých identit PCI.
Lidské identity: ED, SAML a místní 67: Klasifikace lidské identity jako vysokého rizika Pokud má lidská identita skóre PCI vyšší než 67, správně zvětšte oprávnění identity.
Lidská identita: Uživatel typu host 33: Klasifikujte uživatele typu host jako vysoké nebo střední riziko. Pokud má uživatel typu host skóre PCI vyšší než 33, zvětšte oprávnění identity správně.
Identity, které nejsou lidské 33: Klasifikujte identitu, která není člověkem, jako vysoké nebo střední riziko Pokud má nelidská identita skóre PCI vyšší než 33, zvětšte oprávnění identity správnou velikostí.

Další kroky