Freigeben über

Sichern Sie den privaten Anwendungszugriff mit Privileged Identity Management (PIM) und dem globalen sicheren Zugriff

Der Microsoft Entra-Privatzugriff bietet sicheren Zugriff auf private Anwendungen. Der private Zugriff umfasst integrierte Funktionen für die Aufrechterhaltung einer sicheren Umgebung. Der Microsoft Entra-Privatzugriff steuert den Zugriff auf private Apps und verhindert, dass nicht autorisierte oder kompromittierte Geräte auf wichtige Ressourcen zugreifen. Allgemeiner Unternehmenszugriff finden Sie in Microsoft Entra Private Access.

Für das Szenario, in dem Sie den Zugriff auf bestimmte kritische Ressourcen steuern müssen, z. B. hochwertige Server und Anwendungen, empfiehlt Microsoft, dass Sie eine zusätzliche Sicherheitsebene hinzufügen, indem Sie just-in-time-privilegierten Zugriff über den bereits gesicherten privaten Zugriff erzwingen.

In diesem Artikel wird erläutert, wie Sie den Microsoft Entra-Privatzugriff verwenden, um Privileged Identity Management (PIM) mit globalem sicheren Zugriff zu aktivieren. Ausführliche Informationen zum Aktivieren (PIM) finden Sie unter Was ist Microsoft Entra Privileged Identity Management?.

Sicherstellen des sicheren Zugriffs auf Ihre hochwertigen privaten Anwendungen

Kunden sollten in Erwägung ziehen, PIM mithilfe des globalen sicheren Zugriffs zu konfigurieren, um Folgendes zu aktivieren:

Erweiterte Sicherheit: PIM ermöglicht just-in-time privilegierten Zugriff, wodurch das Risiko übermäßiger, unnötiger oder missbrauchter Zugriffsberechtigungen in Ihrer Umgebung reduziert wird. Diese verbesserte Sicherheit entspricht dem Zero Trust-Prinzip und stellt sicher, dass Benutzer nur dann Zugriff haben, wenn sie sie benötigen.

Compliance und Überwachung: Die Verwendung von PIM mit microsoft Global Secure Access kann sicherstellen, dass Ihre Organisation Complianceanforderungen erfüllt, indem sie detaillierte Nachverfolgung und Protokollierung von Anforderungen für privilegierten Zugriff bereitstellt. Ausführliche Informationen zur PIM-Lizenzierung finden Sie in den Grundlagen der Microsoft Entra ID Governance-Lizenzierung

Voraussetzungen

Sicherer, privater Zugriff

Um sicheren, privaten Zugriff erfolgreich zu implementieren, müssen Sie die folgenden drei Schritte ausführen:

  1. Konfigurieren und Zuweisen von Gruppen
  2. Aktivieren des privilegierten Zugriffs
  3. Befolgen von Compliance-Anleitungen

Schritt 1: Gruppen konfigurieren und zuweisen

Zunächst konfigurieren wir Gruppen und weisen sie zu, indem wir eine Microsoft Entra ID-Gruppe erstellen, als eine von PIM verwaltete Gruppe integrieren, Gruppenzuweisungen mit berechtigter Mitgliedschaft aktualisieren und den Zugriff für Benutzer und Geräte angeben.

  1. Melden Sie sich bei Microsoft Entra als mindestens Administrator mit privilegierter Rolle an.

  2. Navigieren Sie zu Entra-ID-Gruppen>>alle Gruppen.

    Screenshot des Bildschirms

  3. Wählen Sie "Neue Gruppe" aus.

  4. Wählen Sie im Gruppentyp"Sicherheit" aus.

  5. Geben Sie einen Gruppennamen an; Beispiel: FinReport-SeniorAnalyst-SecureAccess.

    • Dieses Beispiel für einen Gruppennamen gibt die Anwendung (FinReport), die Rolle (SeniorAnalyst) und die Art der Gruppe (SecureAccess) an. Es wird ein Name empfohlen, der die Funktion der Gruppe und die geschützten Ressourcen wiederspiegelt.

  6. Wählen Sie in der Option "Mitgliedschaftstyp " die Option "Zugewiesen" aus.

  7. Wählen Sie "Erstellen" aus.

    Screenshot des Bildschirms

Onboarden der Gruppe in PIM

  1. Melden Sie sich bei Microsoft Entra als mindestens Administrator mit privilegierter Rolle an.
  2. Navigieren Sie zu ID Governance>Privileged Identity Management.
  3. Wählen Sie "Gruppen" und dann " Gruppen entdecken" aus.
  4. Wählen Sie die Gruppe aus, die Sie erstellt haben; z. B. FinReport-SeniorAnalyst-SecureAccess, und wählen Sie Gruppen verwalten aus.
  5. Wenn Sie zur Integration aufgefordert werden, wählen Sie "OK" aus.

Aktualisieren von PIM-Richtlinienrolleneinstellungen (optionaler Schritt)

  1. Wählen Sie "Einstellung" und dann " Mitglied" aus.
  2. Passen Sie alle anderen gewünschten Einstellungen auf der Registerkarte "Aktivierung " an.
  3. Festlegen der maximalen Aktivierungsdauer; Beispiel: 0,5 Stunden.
  4. Fordern Sie in der Option " Bei Aktivierung " Azure MFA an, und wählen Sie "Aktualisieren" aus.

Zuweisen berechtigter Mitgliedschaften

  1. Wählen Sie "Aufgaben" und dann "Aufgaben hinzufügen" aus.

    Screenshot der Option

  2. Wählen Sie in der Option "Rolle " " Mitglied" und dann "Weiter" aus.

  3. Fügen Sie die ausgewählten Mitglieder hinzu, die Sie für die Rolle einschließen möchten.

  4. Wählen Sie in der Option „Zuordnungstyp“ die Option „Berechtigt“ und wählen Sie dann „Zuweisen“ aus.

Zuweisung für den Schnellzugriff

  1. Melden Sie sich bei Microsoft Entra als mindestens Administrator mit privilegierter Rolle an.
  2. Navigieren Sie zu Global Secure Access>Quick Access>Benutzer und Gruppen.
  3. Wählen Sie "Benutzer/Gruppe hinzufügen" aus, und geben Sie dann die gruppe an, die Sie erstellt haben. beispiel: FinReport-SeniorAnalyst-SecureAccess.

Hinweis

Dieses Szenario ist am effektivsten, wenn Sie Per-App-Zugriff auswählen, da hier Schnellzugriff nur zu Referenzzwecken verwendet wird. Wenden Sie dieselben Schritte an, wenn Sie Enterprise-Anwendungen auswählen.

Clientseitige Erfahrung

Selbst wenn ein Benutzer und sein Gerät Sicherheitsanforderungen erfüllen, führt der Versuch, auf eine privilegierte Ressource zuzugreifen, zu einem Fehler. Dieser Fehler tritt auf, da der Microsoft Entra-Privatzugriff erkennt, dass dem Benutzer kein Zugriff auf die Anwendung zugewiesen wurde.

Screenshot der Client-Erfahrung Fehlermeldung.

Schritt 2: Privilegierten Zugriff aktivieren

Als Nächstes aktivieren wir die Gruppenmitgliedschaft über das Microsoft Entra Admin Center und versuchen dann, eine Verbindung mit der neuen aktivierten Rolle herzustellen.

  1. Melden Sie sich bei Microsoft Entra an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management.

  3. Wählen Sie "Meine Rollengruppen>" aus, um alle berechtigten Aufgaben anzuzeigen.

    Screenshot des Bildschirms

  4. Wählen Sie "Aktivieren" aus, und geben Sie dann den Grund in das Feld "Grund " ein. Sie können auch die Parameter der Sitzung anpassen und dann "Aktivieren" auswählen.

    Screenshot des Bildschirms

  5. Nachdem die Rolle aktiviert wurde, erhalten Sie eine Bestätigung vom Portal.

    Screenshot des Mitglieds, das im Portal aktiviert wird.

Erneuter Versuch, eine Verbindung mit der aktivierten Rolle herzustellen

Durchsuchen Sie eine der veröffentlichten Ressourcen, da Sie in der Lage sein sollten, eine erfolgreiche Verbindung mit ihnen herzustellen.

Screenshot der Verbindung mit veröffentlichter Ressource.

Deaktivieren der Rolle

Wenn die Arbeit vor der von Ihnen zugewiesenen Zeit abgeschlossen ist, können Sie die Rolle deaktivieren. Diese Aktion beendet die Rollenmitgliedschaft.

  1. Melden Sie sich bei Microsoft Entra an.

  2. Navigieren Sie zu ID Governance>Privileged Identity Management.

  3. Wählen Sie "Meine Rollen" und dann " Gruppen" aus.

  4. Wählen Sie "Deaktivieren" aus.

    Screenshot des Bildschirms

  5. Sobald die Rolle deaktiviert wurde, wird eine Bestätigung an Sie gesendet.

Schritt 3: Compliancerichtlinien befolgen

Mit diesem letzten Schritt können Sie erfolgreich einen Verlauf der Zugriffsanforderungen und -aktivierungen verwalten. Das Standardprotokollformat trägt dazu bei, die Richtlinien zur Nachverfolgung und Protokollierung der Compliance zu erfüllen und einen Überwachungspfad bereitzustellen.

Screenshot des Bildschirms