Princip nejnižšího oprávnění pomocí zásad správného řízení Microsoft Entra ID
Jedním z konceptů, které je potřeba řešit před přijetím strategie zásad správného řízení identit, je princip nejnižší úrovně oprávnění (PLOP). Nejnižší oprávnění je princip zásad správného řízení identit, který zahrnuje přiřazování uživatelů a skupin pouze minimální úroveň přístupu a oprávnění nezbytných k provádění jejich povinností. Cílem je omezit přístupová práva tak, aby uživatel nebo skupina mohli dokončit svou práci, ale zároveň minimalizovat zbytečná oprávnění, která by mohli útočníci zneužít nebo vést k narušení zabezpečení.
Pokud jde o zásady správného řízení Microsoft Entra ID, použití zásady nejnižších oprávnění pomáhá zvýšit zabezpečení a zmírnit rizika. Tento přístup zajišťuje, že uživatelům a skupinám bude udělen přístup pouze k prostředkům, datům a akcím, které jsou relevantní pro jejich role a povinnosti, a nic nad tím.
Klíčové koncepty principu nejnižších oprávnění
Přístup pouze k požadovaným prostředkům: Uživatelé mají přístup k informacím a prostředkům pouze v případě, že mají skutečnou potřebu provádět své úkoly. Tím zabráníte neoprávněnému přístupu k citlivým datům a minimalizujete potenciální dopad porušení zabezpečení. Automatizace zřizování uživatelů pomáhá snížit zbytečné udělení přístupových práv. Pracovní postupy životního cyklu jsou funkce zásad správného řízení identit, která organizacím umožňuje spravovat uživatele Microsoft Entra automatizací základních procesů životního cyklu.
Řízení přístupu na základě role (RBAC): Přístupová práva se určují na základě konkrétních rolí nebo funkcí úloh uživatelů. Každá role má přiřazená minimální oprávnění potřebná ke splnění svých povinností. Řízení přístupu na základě role microsoftu Entra spravuje přístup k prostředkům Microsoft Entra.
Oprávnění za běhu: Přístupová práva jsou udělena pouze po dobu, po kterou jsou potřebná, a jsou odvolána, když už nejsou potřeba. Tím se sníží možnost útočníků zneužít nadměrná oprávnění. Privileged Identity Management (PIM) je služba v Microsoft Entra ID, která umožňuje spravovat, řídit a monitorovat přístup k důležitým prostředkům ve vaší organizaci a může poskytovat přístup za běhu.
Pravidelné auditování a kontrola: Pravidelné kontroly přístupu a oprávnění uživatelů se provádějí, aby uživatelé stále vyžadovali přístup, který jim byl udělen. To pomáhá identifikovat a opravit případné odchylky od principu nejnižších oprávnění. Kontroly přístupu v Microsoft Entra ID, součást Microsoft Entra, umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k přístupu budou mít nadále přístup jenom ti správní uživatelé.
Výchozí odepření: Výchozí postoj je odepření přístupu a přístup je výslovně udělen pouze pro schválené účely. To je na rozdíl od přístupu "Výchozí povolit", což může vést k udělení nepotřebných oprávnění. Správa nároků je funkce zásad správného řízení identit, která organizacím umožňuje spravovat životní cyklus identit a přístupu ve velkém měřítku prostřednictvím automatizace pracovních postupů žádostí o přístup, přiřazení přístupu, kontrol a vypršení platnosti.
Podle principu nejnižších oprávnění může vaše organizace snížit riziko problémů se zabezpečením a zajistit, aby řízení přístupu odpovídalo obchodním potřebám.
Nejméně privilegované role pro správu v funkcích zásad správného řízení identit
Osvědčeným postupem je použít nejnižší privilegovanou roli k provádění úloh správy v zásadách správného řízení identit. K aktivaci role podle potřeby doporučujeme použít Microsoft Entra PIM. Níže jsou uvedené role adresáře s nejnižšími oprávněními pro konfiguraci funkcí zásad správného řízení identit:
| Funkce | Role s nejnižšími oprávněními |
|---|---|
| Správa nároků | Správce zásad správného řízení identit |
| Kontroly přístupu | Správce uživatelů (s výjimkou kontrol přístupu rolí Azure nebo Microsoft Entra, které vyžadují správce privilegovaných rolí) |
| Pracovní postupy životního cyklu | Správce pracovních postupů životního cyklu |
| Privileged Identity Management | Správce privilegovaných rolí |
| Podmínky použití | Správce zabezpečení nebo správce podmíněného přístupu |
Poznámka:
Nejnižší privilegovaná role pro správu nároků se změnila z role Správce uživatelů na roli Správce zásad správného řízení identit.