Benutzerhandbuch für die Testversion: Microsoft Entra Permissions Management

Willkommen beim Benutzerhandbuch für die Testversion von Microsoft Entra Permissions Management.

Dieses Benutzerhandbuch ist ein einfacher Leitfaden, der Ihnen dabei hilft, Ihre kostenlose Testversion optimal zu nutzen – einschließlich der Bewertung der Cloudinfrastruktur (Cloud Infrastructure Assessment) von Permissions Management, mit der Sie die wichtigsten Berechtigungsrisiken in Ihrer multicloudbasierten Infrastruktur identifizieren und beheben können. Anhand der Schritte, die in diesem vom Microsoft Identity-Teams erstellten Benutzerhandbuch vorgeschlagen werden, erfahren Sie, wie Permissions Management Ihnen beim Schutz all Ihrer Benutzer und Daten helfen kann.

Was ist die Berechtigungsverwaltung?

Die Berechtigungsverwaltung ist eine Berechtigungsverwaltungslösung für die Cloudinfrastruktur (Cloud Infrastructure Entitlement Management, CIEM), die umfassende Einblicke in Berechtigungen bietet, die allen Identitäten (einschließlich Workload- und Benutzeridentitäten), Aktionen und Ressourcen in Infrastrukturen mit mehreren Clouds in Microsoft Azure, Amazon Web Services (AWS) und Google Cloud Platform (GCP) zugewiesen sind. Permissions Management kann nicht verwendete und übermäßige Berechtigungen erkennen, automatisch richtig dimensionieren und kontinuierlich überwachen.

Die Berechtigungsverwaltung unterstützt Ihre Organisation beim Umgang mit Cloudberechtigungen, indem sie die kontinuierliche Ermittlung, Behandlung und Überwachung der Aktivitäten aller individuellen Benutzer- und Workloadidentitäten ermöglicht, die in der Cloud aktiv sind, und Sicherheits- und Infrastrukturteams auf Bereiche mit unerwartetem oder übermäßigem Risiko aufmerksam macht.

  • Präzise cloudübergreifenden Transparenz: Erhalten Sie eine umfassende Übersicht über jede Aktion, die von einer beliebigen Identität für eine beliebige Ressource ausgeführt wird.
  • Erkennung von Berechtigungsrisiken: Bewerten Sie Berechtigungsrisiken, indem Sie die Lücke zwischen erteilten und verwendeten Berechtigungen auswerten.
  • Erzwingung geringstmöglicher Berechtigungen: Erteilen Sie richtig dimensionierte Berechtigungen basierend auf der Grundlage von Nutzung und Aktivität, und erzwingen Sie Berechtigungen bei Bedarf auf Cloudebene.
  • Überwachung und Erkennung von Anomalien: Erkennen Sie anomale Berechtigungsverwendung, und generieren Sie detaillierte forensische Berichte.

Diagramm: Automatisch generierte schematische Beschreibung

Schritt 1: Einrichten der Berechtigungsverwaltung

Vergewissern Sie sich vor dem Aktivieren der Berechtigungsverwaltung, dass die folgenden Voraussetzungen erfüllt sind:

  • Sie benötigen einen Azure AD-Mandanten. Sollten Sie noch kein Konto besitzen, können Sie ein kostenloses Konto erstellen.
  • Sie müssen als Benutzer in diesem Mandanten für die Rolle „Globaler Administrator“ berechtigt sein oder über eine aktive Zuweisung zu dieser Rolle verfügen.

Wenn die obigen Punkte erfüllt sind, können Sie mit den folgenden Schritten fortfahren:

  1. Aktivieren von Permissions Management in Ihrem Azure AD-Mandanten

  2. Verwenden Sie das Dashboard Datensammler in Permissions Management, um die Einstellungen für die Datensammlung für Ihr Autorisierungssystem zu konfigurieren. Konfigurieren der Einstellungen für die Datensammlung

    Beachten Sie, dass für jede Cloudplattform drei Onboardingoptionen verfügbar sind:

    Option 1 (empfohlen): Automatisch verwalten: Diese Option ermöglicht die automatische Erkennung und Überwachung von Abonnements ohne zusätzliche Konfiguration.

    Option 2:Autorisierungssysteme eingeben: Sie haben die Möglichkeit, nur bestimmte Abonnements anzugeben, die mit MEPM (maximal zehn pro Sammler) verwaltet und überwacht werden sollen.

    Option 3:Autorisierungssysteme auswählen: Bei dieser Option werden alle Abonnements erkannt, auf die die CIEM-Anwendung zugreifen kann.

    Um Informationen zur Integration von AWS-Konten, Azure-Abonnements oder GCP-Projekten in Permissions Management zu erhalten, wählen Sie einen der folgenden Artikel aus, und befolgen Sie die jeweiligen Anweisungen:

  3. Aktivieren oder Deaktivieren des Controllers nach Abschluss des Onboardings

  4. Hinzufügen eines Kontos/Abonnements/Projekts nach Abschluss der Integration

    Aktionen zum Ausprobieren:

Schritt 2: Ermitteln und Bewerten

Verbessern Sie Ihren Sicherheitsstatus durch umfassende und präzise Transparenz, um das Prinzip des Zugriffs mit den geringsten Rechten in Ihrer gesamten Umgebung mit mehreren Clouds zu erzwingen. Das Dashboard der Berechtigungsverwaltung bietet einen Überblick über Ihr Berechtigungsprofil und ermittelt die riskantesten Identitäten und Ressourcen in Ihren digitalen Ressourcen.

Das Dashboard nutzt den Index der ansteigenden Zugangsrechte. Hierbei handelt es sich um eine einzelne und einheitliche Metrik zwischen 0 und 100, die die Lücke zwischen erteilten und verwendeten Berechtigungen für einen bestimmten Zeitraum berechnet. Je größer die Lücke, desto höher der Index und desto größer die potenzielle Angriffsfläche. Der Index der ansteigenden Zugangsrechte berücksichtigt nur Aktionen mit hohem Risiko. Das sind alle Aktionen, die Datenlecks, Dienstunterbrechungen/-beeinträchtigungen oder Sicherheitsstatusänderungen verursachen können. Die Berechtigungsverwaltung erstellt eindeutige Aktivitätsprofile für jede Identität und Ressource, die als Baseline für die Erkennung anomaler Verhaltensweisen verwendet werden.

  1. Anzeigen von Risikometriken in Ihrem Autorisierungssystem auf dem Dashboard der Berechtigungsverwaltung. Diese Informationen sind für Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) verfügbar.

    1. Anzeigen von Metriken im Zusammenhang mit vermeidbaren Risiken: Mit diesen Metriken können Berechtigungsverwaltungsadministratoren Bereiche identifizieren, in denen sich Risiken im Zusammenhang mit dem Prinzip der geringstmöglichen Berechtigungen verringern lassen. Die Informationen umfassen den Index der ansteigenden Zugangsrechte (Permission Creep Index, PCI) und das Analytics-Dashboard.

    2. Vertraut machen mit den Komponenten des Dashboards der Berechtigungsverwaltung

  2. Anzeigen von Daten zur Aktivität in Ihrem Autorisierungssystem

    1. Anzeigen von Benutzerdaten im PCI-Wärmebild

    Hinweis

    Je höher der PCI, desto höher das Risiko.

    1. Anzeigen von Informationen zu Benutzern, Rollen, Ressourcen und PCI-Trends
    2. Anzeigen von Identitätsergebnissen
    3. Anzeigen von Ressourcenergebnissen
  3. Konfigurieren Ihrer Einstellungen für die Datensammlung: Verwenden Sie das Dashboard Datensammler in der Berechtigungsverwaltung, um Einstellungen zum Sammeln von Daten aus Ihren Autorisierungssystemen anzuzeigen und zu konfigurieren.

  4. Anzeigen organisations- und personenbezogener Informationen: Über das Dashboard Kontoeinstellungen in der Berechtigungsverwaltung können Sie personenbezogene Informationen, Kennwörter und Kontoeinstellungen anzeigen.

  5. Auswählen von Einstellungen für gruppenbasierte Berechtigungen

  6. Anzeigen von Informationen zu Identitäten, Ressourcen und Aufgaben: Das Dashboard Analytics enthält ausführliche Informationen zu Folgendem:

    1. Users (Benutzer): Verfolgt zugewiesene Berechtigungen und die Verwendung durch Benutzer nach. Weitere Informationen finden Sie unter Anzeigen von Analyseinformationen zu Benutzern.

    2. Groups (Gruppen): Verfolgt zugewiesene Berechtigungen und die Verwendung der Gruppe sowie der Gruppenmitglieder nach. Weitere Informationen finden Sie unter „Anzeigen von Analyseinformationen zu Gruppen“.

    3. Active Resources (Aktive Ressourcen): Verfolgt Ressourcen nach, die in den letzten 90 Tagen verwendet wurden. Weitere Informationen finden Sie unter „Anzeigen von Analyseinformationen zu aktiven Ressourcen“.

    4. Active Tasks (Aktive Aufgaben): Verfolgt Aufgaben nach, die in den letzten 90 Tagen ausgeführt wurden. Weitere Informationen finden Sie unter „Anzeigen von Analyseinformationen zu aktiven Aufgaben“.

    5. Access Keys (Zugriffsschlüssel): Verfolgt die Berechtigungsverwendung von Zugriffsschlüsseln für einen bestimmten Benutzer nach. Weitere Informationen finden Sie unter „Anzeigen von Analyseinformationen zu Zugriffsschlüsseln“.

    6. Serverless functions (Serverlose Funktionen): Verfolgt zugewiesene Berechtigungen und die Verwendung der serverlosen Funktionen nach (nur für AWS). Weitere Informationen finden Sie unter „Anzeigen von Analyseinformationen zu serverlosen Funktionen“.

      Systemadministratoren können anhand dieser Informationen Entscheidungen hinsichtlich der Erteilung von Berechtigungen treffen und das Risiko nicht verwendeter Berechtigungen verringern.

Schritt 3: Behandeln und Verwalten

Dimensionieren Sie übermäßige und/oder nicht verwendete Berechtigungen mit wenigen Klicks richtig. Vermeiden Sie Fehler, die durch manuelle Prozesse verursacht werden, und implementieren Sie automatische Korrekturen für alle nicht verwendeten Berechtigungen für eine vordefinierte Gruppe von Identitäten sowie in regelmäßigen Abständen. Sie können auch neue Berechtigungen bedarfsbasiert für Just-In-Time-Zugriff auf bestimmte Cloudressourcen erteilen.

Die Entfernung nicht verwendeter Berechtigungen hat zwei Facetten: die Erstellung von Richtlinien für geringstmögliche Berechtigungen (Korrektur) sowie bedarfsbasierte Berechtigungen. Bei der Korrektur kann ein Administrator Richtlinien erstellen, die nicht verwendete Berechtigungen entfernen (auch als korrekte Dimensionierung von Berechtigung bezeichnet), um geringstmögliche Berechtigungen in einer Umgebung mit mehreren Clouds zu erreichen.

  • Anzeigen von Rollen/Richtlinien und Berechtigungsanforderungen auf dem Wartungsdashboard

    Das Dashboard enthält sechs Unterregisterkarten:

    • Rollen/Richtlinien: Verwenden Sie diese Unterregisterkarte, um CRUD-Vorgänge (Create Read Update Delete, Erstellen Lesen Aktualisieren Löschen) für Rollen/Richtlinien auszuführen.
    • Rollen-/Richtlinienname: Zeigt den Namen der Rolle oder der AWS-Richtlinie an.
      • Hinweis: Ein Ausrufezeichen (!) in einem roten Kreis bedeutet, dass die Rolle oder AWS-Richtlinie nicht verwendet wurde.
      • Rollentyp: Zeigt die Art der Rolle oder AWS-Richtlinie an.
    • Berechtigungen: Verwenden Sie diese Unterregisterkarte, um RUD-Vorgänge (Read Update Delete, Lesen Aktualisieren Löschen) für erteilte Berechtigungen auszuführen.
    • Rollen-/Richtlinienvorlage: Verwenden Sie diese Unterregisterkarte, um eine Vorlage für Rollen/Richtlinien zu erstellen.
    • Anforderungen: Verwenden Sie diese Unterregisterkarte, um genehmigte, ausstehende und verarbeitete POD-Anforderungen (Permission On Demand; bedarfsgesteuerte Berechtigungen) anzuzeigen.
    • Meine Anforderungen: Verwenden Sie diese Registerkarte, um den Lebenszyklus der POD-Anforderung zu verwalten, die entweder von Ihnen erstellt wurde oder Ihre Genehmigung erfordert.
    • Einstellungen: Verwenden Sie diese Unterregisterkarte, um Rollen-/Richtlinienfilter für Anforderungen, Anforderungseinstellungen und Einstellungen für die automatische Genehmigung auszuwählen.

Bewährte Korrekturmethoden:

  • Erstellen aktivitätsbasierter Rollen/Richtlinien: Hochrisikoidentitäten werden auf der Grundlage ihrer historischen Aktivität überwacht und richtig dimensioniert. Nicht verwendete Hochrisikoberechtigungen für Identitäten beizubehalten, stellt ein unnötiges Risiko dar.
  • Entfernen direkter Rollenzuweisungen: EPM generiert Berichte basierend auf Rollenzuweisungen. In Fällen mit direkt zugewiesenen Hochrisikorollen kann die Registerkarte für die Korrektur von Berechtigungen diese Identitäten abfragen und direkte Rollenzuweisungen entfernen.
  • Zuweisen schreibgeschützter Berechtigungen: Identitäten, die inaktiv sind oder über Hochrisikoberechtigungen für Produktionsumgebungen verfügen, kann ein schreibgeschützter Status zugewiesen werden. Der Zugriff auf Produktionsumgebungen kann über bedarfsbasierte Berechtigungen gesteuert werden.

Bewährte Methoden für bedarfsbasierte Berechtigungen:

  • Anfordern von Löschberechtigungen: Benutzer verfügen nur über Löschberechtigungen, wenn sie diese anfordern und eine entsprechende Genehmigung erteilt wird.

  • Anfordern von privilegiertem Zugriff: Umfangreicher privilegierter Zugriff wird nur über gerade ausreichende Berechtigungen und Just-In-Time-Zugriff gewährt.

  • Anfordern von regelmäßigem Zugriff: Planen Sie täglich, wöchentlich oder monatlich benötigte Berechtigungen, die zeitgebunden sind und jeweils am Ende des Zeitraums widerrufen werden.

  • Verwalten Sie Benutzer, Rollen und ihre Zugriffsebenen über das Dashboard für die Benutzerverwaltung.

    Aktionen zum Ausprobieren:

Schritt 4: Überwachen und Warnen

Verwenden Sie eine Anomalie- und Ausreißererkennung, die Warnungen bei verdächtigen Aktivitäten ausgibt, um Datenpannen vorzubeugen, die durch Missbrauch und die böswillige Ausnutzung von Berechtigungen verursacht werden. Die Berechtigungsverwaltung aktualisiert kontinuierlich Ihren Index der ansteigenden Zugangsrechte, kennzeichnet alle Vorfälle und informiert Sie umgehend mithilfe von Warn-E-Mails. Zur weiteren Unterstützung einer eine schnellen Untersuchung und Korrektur können kontextreiche forensische Berichte zu Identitäten, Aktionen und Ressourcen erstellt werden.

  • Verwenden Sie Abfragen, um Informationen zum Benutzerzugriff mit dem Dashboard Überwachung in der Berechtigungsverwaltung anzuzeigen. Sie können sich einen Überblick über Abfragen verschaffen, die ein Benutzer der Berechtigungsverwaltung erstellt hat, um zu überprüfen, wie Benutzer auf ihre Autorisierungssysteme und Konten zugreifen. Die folgenden Optionen werden oben auf dem Überwachungsdashboard angezeigt:

  • Eine Registerkarte für jede vorhandene Abfrage. Wählen Sie eine Registerkarte aus, um Details zur Abfrage anzuzeigen.

  • Neue Abfrage: Klicken Sie auf diese Registerkarte, um eine neue Abfrage zu erstellen.

  • Neue Registerkarte (+): Klicken Sie auf diese Registerkarte, um eine neue Registerkarte vom Typ Neue Abfrage hinzuzufügen.

  • Gespeicherte Abfragen: Wählen Sie diese Option aus, um eine Liste der gespeicherten Abfragen anzuzeigen.

    Aktionen zum Ausprobieren:

Verwenden Sie das Dashboard Aktivitätstrigger, um Informationen anzuzeigen und Warnungen und Trigger festzulegen.

Bewährte Methoden für benutzerdefinierte Warnungen:

  • Berechtigungszuweisungen, die nicht von genehmigten Administratoren vorgenommen wurden

    • Beispiele:

      Beispiel: Aktivitäten, die vom Root-Benutzer ausgeführt werden:

      Diagramm: Aktivitäten, die vom Root-Benutzer in AWS ausgeführt werden

      Warnung für die Überwachung einer direkten Azure-Rollenzuweisung

      Diagramm: Warnung für die Überwachung einer direkten Azure-Rollenzuweisung, die nicht von einem Administratorbenutzer durchgeführt wurde

  • Zugriff auf kritische vertrauliche Ressourcen

    Beispiel: Warnung für die Überwachung aller Aktionen für Azure-Ressourcen

    Diagram:Warnung für die Überwachung aller Aktionen für Azure-Ressourcen

  • Verwendung von Notfallkonten wie „root“ in AWS, Zugriff eines globalen Administrators in Azure AD auf Abonnements usw.

    Beispiel: Benutzerkonten vom Typ „BreakGlass“ dürfen nur für Notfallzugriff verwendet werden.

    Diagramm: Beispiel für Benutzer von Notfallkonten, die nur für Notfallzugriff verwendet werden

  • Erstellen und Anzeigen von Berichten

    Um schnelle Korrekturen zu unterstützen, können Sie Sicherheitsberichte einrichten, die in benutzerdefinierten Intervallen übermittelt werden sollen. Die Berechtigungsverwaltung verfügt über verschiedene Arten von Systemberichtstypen, die bestimmte Datensätze unter anderem nach Cloudinfrastruktur (AWS, Azure, GCP) und nach Konto/Abonnement/Projekt erfassen. Die Berichte sind vollständig anpassbar und können per E-Mail in vorkonfigurierten Intervallen übermittelt werden.

    Diese Berichte ermöglichen Folgendes:

    • Zeitnahe Entscheidungen treffen
    • Trends und die System-/Benutzerleistung analysieren
    • Trends in Daten und Bereiche mit hohem Risiko identifizieren, damit das Management Probleme schneller beheben und die Effizienz in diesen Bereichen verbessern kann
    • Datenanalyse automatisieren, um handlungsrelevante Analysen zu erhalten
    • Erfüllung der Überwachungsanforderungen sicherstellen, um regelmäßig zu überprüfen, wer worauf Zugriff hat
    • Sicherheitsrelevante Aufgabentrennung betrachten, um zu ermitteln, wer über Administratorberechtigungen verfügt
    • Daten zur Identitätsgovernance betrachten, um sicherzustellen, dass inaktive Benutzer deaktiviert werden, die das Unternehmen verlassen haben, oder um zurückgebliebene Anbieterkonten, alte Beraterkonten oder Benutzer zu entfernen, die im Rahmen des Prozesses „Zugang/Wechsel/Abgang“ zu einer anderen Rolle gewechselt sind und ihren Zugriff nicht mehr verwenden. Betrachten Sie dies als Absicherung, um sicherzustellen, dass ruhende Konten entfernt werden.
    • Zugriff mit zu vielen Berechtigungen identifizieren, um später mithilfe der Korrektur Zero Trust und geringstmögliche Berechtigungen zu implementieren

    ExemplarischerBericht der Berechtigungsverwaltung

    Aktionen zum Ausprobieren:

Wichtige Berichte, die überwacht werden müssen:

  • Berechtigungsanalysebericht: Enthält die wichtigsten Berechtigungsrisiken – einschließlich Superidentitäten, inaktive Identitäten, überdimensionierte aktive Identitäten und Ähnliches
  • Berichte zu Gruppenberechtigungen und -nutzung: Enthalten Informationen zur Bereinigung direkt zugewiesener Berechtigungen
  • Berichte zu Zugriffsschlüsselberechtigungen und -verwendung: Identifizieren Dienstprinzipale mit hohem Risiko und alten Geheimnissen, die nicht alle 90 Tage rotiert wurden (bewährte Methode) oder deren Nutzung nicht aufgrund mangelnder Verwendung eingestellt wurde (wie von der Cloud Security Alliance empfohlen).

Nächste Schritte

Weitere Informationen zur Berechtigungsverwaltung finden Sie hier:

Microsoft Learn: Permissions Management.

Datenblatt:https://aka.ms/PermissionsManagementDataSheet

Lösungsübersicht:https://aka.ms/PermissionsManagementSolutionBrief

Whitepaper:https://aka.ms/CIEMWhitePaper

Infografik:https://aka.ms/PermissionRisksInfographic

Sicherheitspapier:Stand der Cloudberechtigungsrisiken 2021

Glossar für die Berechtigungsverwaltung:https://aka.ms/PermissionsManagementGlossary