Sdílet prostřednictvím

Osvědčené postupy pro role Microsoft Entra

  • Článek

Tento článek popisuje některé z osvědčených postupů pro používání řízení přístupu na základě role microsoft Entra (Microsoft Entra RBAC). Tyto osvědčené postupy vycházejí z našich zkušeností s Microsoft Entra RBAC a zkušenostmi zákazníků, jako jste vy sami. Doporučujeme, abyste si také přečetli podrobné pokyny k zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení v Microsoft Entra ID.

1. Použití zásady nejnižších oprávnění

Při plánování strategie řízení přístupu je osvědčeným postupem spravovat nejnižší oprávnění. Nejnižší oprávnění znamená, že správcům udělíte přesně oprávnění, které potřebují ke své práci. Při přiřazování role správcům existují tři aspekty: konkrétní sada oprávnění v určitém rozsahu po určitou dobu. Vyhněte se přiřazování širších rolí v širších oborech, i když se zdá, že je to zpočátku pohodlnější. Omezením rolí a oborů omezíte rizika prostředků v případě ohrožení zabezpečení objektu zabezpečení. Microsoft Entra RBAC podporuje více než 65 předdefinovaných rolí. Existují role Microsoft Entra pro správu objektů adresáře, jako jsou uživatelé, skupiny a aplikace, a také pro správu služeb Microsoft 365, jako jsou Exchange, SharePoint a Intune. Pokud chcete lépe porozumět předdefinovaným rolím Microsoft Entra, přečtěte si téma Vysvětlení rolí v Microsoft Entra ID. Pokud neexistuje předdefinovaná role, která vyhovuje vašim potřebám, můžete vytvořit vlastní role.

Vyhledání správných rolí

Následující postup vám pomůže najít správnou roli.

  1. Přihlaste se do Centra pro správu Microsoft Entra.

  2. Přejděte k rolím identit>a správcům>a správcům.

  3. Pomocí filtru služby můžete zúžit seznam rolí.

    Stránka Role a správci v Centru pro správu s otevřeným filtrem služby

  4. Projděte si dokumentaci k předdefinovaným rolím Microsoft Entra. Oprávnění přidružená k jednotlivým rolím jsou uvedena společně pro lepší čitelnost. Informace o struktuře a významu oprávnění rolí najdete v tématu Vysvětlení oprávnění rolí.

  5. Podívejte se na nejnižší privilegovanou roli podle dokumentace k úkolům .

2. Použití Privileged Identity Management k udělení přístupu za běhu

Jedním z principů nejnižších oprávnění je, že přístup by měl být udělen pouze v případě potřeby. Microsoft Entra Privileged Identity Management (PIM) umožňuje udělit správcům přístup za běhu. Microsoft doporučuje používat PIM v Microsoft Entra ID. Pomocí PIM může být uživatel způsobilý pro roli Microsoft Entra, kde pak může roli aktivovat po omezenou dobu v případě potřeby. Privilegovaný přístup se po vypršení časového rámce automaticky odebere. Můžete také nakonfigurovat nastavení PIM tak, aby vyžadovalo schválení, dostávalo e-maily s oznámením, když někdo aktivuje přiřazení role nebo jiné nastavení role. Oznámení poskytují upozornění, když se noví uživatelé přidají do vysoce privilegovaných rolí. Další informace naleznete v tématu Konfigurace nastavení role Microsoft Entra v Privileged Identity Management.

3. Zapnutí vícefaktorového ověřování pro všechny účty správce

Na základě našich studií je váš účet méně než 99,9 % méně pravděpodobné, pokud používáte vícefaktorové ověřování (MFA).

Vícefaktorové ověřování u rolí Microsoft Entra můžete povolit dvěma způsoby:

4. Konfigurace opakovaných kontrol přístupu pro odvolání nepotřebných oprávnění v průběhu času

Kontroly přístupu umožňují organizacím pravidelně kontrolovat přístup správce, aby se ujistili, že k přístupu pokračovali jenom ti správní lidé. Pravidelné auditování správců je zásadní z následujících důvodů:

  • Škodlivý aktér může ohrozit účet.
  • Lidé přesouvat týmy v rámci společnosti. Pokud žádné auditování neexistuje, můžou v průběhu času získat nadbytečný přístup.

Microsoft doporučuje, abyste pomocí kontrol přístupu našli a odebrali přiřazení rolí, která už nepotřebujete. To vám pomůže snížit riziko neoprávněného nebo nadměrného přístupu a udržovat standardy dodržování předpisů.

Informace o kontrolách přístupu pro role najdete v tématu Vytvoření kontroly přístupu k prostředkům Azure a rolím Microsoft Entra v PIM. Informace o kontrolách přístupu skupin, které jsou přiřazené role, naleznete v tématu Vytvoření kontroly přístupu skupin a aplikací v Microsoft Entra ID.

5. Omezte počet globálních Správa istrátorů na méně než 5.

Microsoft doporučuje přiřadit roli globálního Správa istratoru méně než pěti lidem ve vaší organizaci. Globální Správa istrátory mají v podstatě neomezený přístup a je v nejlepším zájmu udržet prostor útoku nízký. Jak jsme uvedli dříve, všechny tyto účty by měly být chráněny pomocí vícefaktorového ověřování.

Pokud máte 5 nebo více privilegovaných globálních Správa přiřazení rolí, zobrazí se na stránce přehledu Microsoft Entra karta Globální Správa istrátory, která vám pomůže monitorovat přiřazení rolí globálního Správa istratoru.

Snímek obrazovky se stránkou Přehled Microsoft Entra, která zobrazuje kartu s počtem přiřazení privilegovaných rolí

Když se uživatel ve výchozím nastavení zaregistruje ke cloudové službě Microsoftu, vytvoří se tenant Microsoft Entra a uživateli se přiřadí role Globální Správa istrátory. Uživatelé, kteří mají přiřazenou roli Globální Správa istrator, mohou číst a upravovat téměř každé nastavení správy ve vaší organizaci Microsoft Entra. S několika výjimkami můžou globální správci také číst a upravovat všechna nastavení konfigurace ve vaší organizaci Microsoft 365. Globální Správa istrátory mají také možnost zvýšit přístup ke čtení dat.

Microsoft doporučuje, aby organizace měly trvale přiřazenou roli globálního Správa istratoru dva účty pro nouzový přístup jen pro cloud. Tyto účty jsou vysoce privilegované a nepřiřazují se konkrétním jednotlivcům. Účty jsou omezené na scénáře tísňového volání nebo prolomení skla, kdy se nedají použít normální účty nebo všichni ostatní správci jsou omylem uzamčeni. Tyto účty by se měly vytvořit podle doporučení k účtu pro nouzový přístup.

6. Omezte počet přiřazení privilegovaných rolí na méně než 10.

Některé role zahrnují privilegovaná oprávnění, například možnost aktualizovat přihlašovací údaje. Vzhledem k tomu, že tyto role můžou potenciálně vést ke zvýšení oprávnění, měli byste omezit použití těchto přiřazení privilegovaných rolí na méně než 10 ve vaší organizaci. Pokud překročíte 10 přiřazení privilegovaných rolí, zobrazí se na stránce Role a správci upozornění.

Snímek obrazovky se stránkou Rolí a správců Microsoft Entra, která zobrazuje upozornění přiřazení privilegovaných rolí

Role, oprávnění a přiřazení rolí, které jsou privilegované, můžete identifikovat vyhledáním popisku PRIVILEGED . Další informace naleznete v tématu Privilegované role a oprávnění v Microsoft Entra ID.

7. Použití skupin pro přiřazení rolí Microsoft Entra a delegování přiřazení role

Pokud máte externí systém zásad správného řízení, který využívá výhod skupin, měli byste místo jednotlivých uživatelů zvážit přiřazení rolí skupinám Microsoft Entra. V PIM můžete také spravovat skupiny, které je možné přiřadit role, abyste zajistili, že v těchto privilegovaných skupinách nejsou žádní vlastníci ani členové. Další informace najdete v tématu Privileged Identity Management (PIM) pro skupiny.

Vlastníka můžete přiřadit skupinám, které je možné přiřadit role. Tento vlastník rozhodne, kdo je přidaný nebo odebraný ze skupiny, takže nepřímo rozhodne, kdo získá přiřazení role. Globální Správa istrator nebo privilegovaný Správa istrator tak může delegovat správu rolí na základě jednotlivých rolí pomocí skupin. Další informace naleznete v tématu Použití skupin Microsoft Entra ke správě přiřazení rolí.

8. Aktivace více rolí najednou pomocí PIM pro skupiny

Může se jednat o případ, že má jednotlivec pět nebo šest oprávněných přiřazení k rolím Microsoft Entra prostřednictvím PIM. Budou muset aktivovat každou roli jednotlivě, což může snížit produktivitu. Ještě horší je, že jim můžou být přiřazeny desítky nebo stovky prostředků Azure, což zhoršuje problém.

V tomto případě byste pro skupiny měli použít Privileged Identity Management (PIM). Vytvořte PIM pro skupiny a udělte mu trvalý přístup k více rolím (ID Microsoft Entra nebo Azure). Nastavte tohoto uživatele jako oprávněného člena nebo vlastníka této skupiny. S jenom jednou aktivací budou mít přístup ke všem propojeným prostředkům.

PIM pro diagram skupin znázorňující aktivaci více rolí najednou

9. Použití nativních cloudových účtů pro role Microsoft Entra

Nepoužívejte místní synchronizované účty pro přiřazení rolí Microsoft Entra. Pokud dojde k ohrožení zabezpečení vašeho místního účtu, může ohrozit i vaše prostředky Microsoft Entra.

Další kroky