Privileged Identity Management üzembe helyezésének megtervezése

A Privileged Identity Management (PIM) időalapú és jóváhagyásalapú szerepkör-aktiválást biztosít a fontos erőforrásokhoz való túlzott, szükségtelen vagy helytelen hozzáférési engedélyek kockázatának csökkentéséhez. Ezek közé az erőforrások közé tartoznak az Azure Active Directory (Azure AD), az Azure és más Microsoft Online Services-szolgáltatások, például a Microsoft 365 vagy a Microsoft Intune erőforrásai.

A PIM lehetővé teszi, hogy egy adott hatókörön belüli adott műveletkészletet engedélyezzen. A legfontosabb funkciók a következők:

  • Igény szerint emelt szintű hozzáférés biztosítása az erőforrásokhoz

  • Jogosultság hozzárendelése a kiemelt hozzáférési csoportok tagságához vagy tulajdonjogához

  • Időhöz kötött hozzáférés hozzárendelése erőforrásokhoz kezdési és befejezési dátumok használatával

  • Jóváhagyás megkövetelése a kiemelt szerepkörök aktiválásához

  • Többtényezős hitelesítés kényszerítése bármely szerepkör aktiválásához

  • Indoklás használata annak megértéséhez, hogy miért aktiválják a felhasználók

  • Értesítések fogadása a kiemelt szerepkörök aktiválásakor

  • Hozzáférési felülvizsgálatok végrehajtása annak biztosítása érdekében, hogy a felhasználóknak továbbra is szükségük legyen szerepkörökre

  • Belső vagy külső naplózás naplózási előzményeinek letöltése

Ahhoz, hogy a lehető legtöbbet hozhassa ki ebből az üzembe helyezési tervből, fontos, hogy teljes áttekintést kapjon a Privileged Identity Management.

A PIM ismertetése

Az ebben a szakaszban található PIM-fogalmak segítenek megérteni a szervezet emelt szintű identitásra vonatkozó követelményeit.

Mit kezelhet a PIM-ben?

Ma a PIM-et a következőkkel használhatja:

  • Azure AD-szerepkörök – Más néven címtár-szerepkörök, az Azure AD-szerepkörök beépített és egyéni szerepköröket tartalmaznak az Azure AD és más Microsoft 365 online szolgáltatások kezeléséhez.

  • Azure-szerepkörök – Az Azure szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörei, amelyek hozzáférést biztosítanak a felügyeleti csoportokhoz, előfizetésekhez, erőforráscsoportokhoz és erőforrásokhoz.

  • Emelt szintű hozzáférési csoportok – Az Azure AD biztonsági csoportok tagi és tulajdonosi szerepköréhez való igény szerinti hozzáférés beállítása. A emelt szintű hozzáférési csoportok nem csupán alternatív módot biztosítanak a PIM beállítására az Azure AD-szerepkörökhöz és az Azure-szerepkörökhöz, hanem lehetővé teszik a PIM beállítását a Microsoft online szolgáltatások egyéb engedélyeihez, például az Intune, az Azure Key Vaulthoz és az Azure Information Protection.

Ezekhez a szerepkörökhöz vagy csoportokhoz a következőket rendelheti hozzá:

  • Felhasználók – Igény szerint hozzáférést kaphat az Azure AD-szerepkörökhöz, az Azure-szerepkörökhöz és a kiemelt hozzáférési csoportokhoz.

  • Csoportok – Egy csoport bármely tagja igény szerint hozzáférhet az Azure AD-szerepkörökhöz és az Azure-szerepkörökhöz. Azure AD-szerepkörök esetén a csoportnak egy újonnan létrehozott felhőcsoportnak kell lennie, amely hozzárendelhetőként van megjelölve egy szerepkörhöz, míg az Azure-szerepkörök esetében a csoport bármely Azure AD biztonsági csoport lehet. Nem javasoljuk, hogy egy csoportot emelt szintű hozzáférési csoportokhoz rendeljen vagy ágyazjon be.

Megjegyzés

A szolgáltatásnevek nem rendelhetők hozzá Azure AD-szerepkörökhöz, Azure-szerepkörökhöz és Emelt szintű hozzáférési csoportokhoz, de időkorlátos aktív hozzárendelést mindháromhoz megadhat.

A minimális jogosultság elve

A felhasználókhoz a feladataik elvégzéséhez szükséges legkevesebb jogosultsággal rendelkező szerepkört rendelheti hozzá. Ez a gyakorlat minimalizálja a globális rendszergazdák számát, és adott rendszergazdai szerepköröket használ bizonyos forgatókönyvekhez.

Megjegyzés

A Microsoftnak nagyon kevés globális rendszergazdája van. További információ arról, hogyan használja a Microsoft a Privileged Identity Management.

Hozzárendelések típusa

Kétféle hozzárendelés létezik: jogosult és aktív. Ha egy felhasználó jogosulttá vált egy szerepkörre, az azt jelenti, hogy aktiválhatja a szerepkört, amikor kiemelt feladatokat kell végrehajtania.

Az egyes hozzárendeléstípusok kezdési és befejezési időpontját is megadhatja. Ez az összeadás négy lehetséges hozzárendelés-típust biztosít:

  • Állandó jogosult

  • Állandó aktív

  • Időhöz kötött jogosult, a hozzárendeléshez megadott kezdési és befejezési dátumokkal

  • Időhöz kötött aktív, megadott kezdési és befejezési dátummal a hozzárendeléshez

Ha a szerepkör lejár, meghosszabbíthatja vagy megújíthatja ezeket a hozzárendeléseket.

Azt javasoljuk , hogy az ajánlott két vészhelyzeti hozzáférési fióktól eltérő szerepkörökhöz ne maradjon állandó aktív hozzárendelés, amelynek állandó globális rendszergazdai szerepkört kell rendelkeznie.

A projekt megtervezése

Ha a technológiai projektek meghiúsulnak, általában a hatásokkal, az eredményekkel és a felelősségekkel kapcsolatos eltérő elvárások miatt. A buktatók elkerülése érdekében győződjön meg arról, hogy a megfelelő érdekelteket szeretné bevonni , és hogy a projektben szereplő érdekelt szerepkörök jól érthetők legyenek.

Próbaüzem tervezése

Az üzembe helyezés minden szakaszában győződjön meg arról, hogy az eredmények a vártnak megfelelően vannak kiértékelve. Tekintse meg a próbaüzem ajánlott eljárásait.

  • Kezdje néhány felhasználóval (próbacsoporttal), és ellenőrizze, hogy a PIM a várt módon működik-e.

  • Ellenőrizze, hogy a szerepkörökhöz vagy a kiemelt hozzáférési csoportokhoz beállított összes konfiguráció megfelelően működik-e.

  • Csak az alapos tesztelés után helyezze éles környezetbe.

A kommunikáció tervezése

A kommunikáció kritikus fontosságú az új szolgáltatások sikeressége szempontjából. Proaktív módon kommunikálhat a felhasználókkal a felhasználói élményük változásáról, a változás időpontjáról, és arról, hogy hogyan kaphatnak támogatást, ha problémákat tapasztalnak.

Állítson be időt a belső informatikai támogatással, hogy végigvezethesse őket a PIM-munkafolyamaton. Adja meg nekik a megfelelő dokumentációt és kapcsolattartási adatait.

Tesztelés és visszaállítás tervezése

Megjegyzés

Az Azure AD-szerepkörök esetében a szervezetek gyakran először a globális rendszergazdákat tesztelik és végzik el, míg az Azure-erőforrások esetében általában egyszerre egy Azure-előfizetéssel tesztelik a PIM-et.

Tesztelés tervezése

Hozzon létre tesztfelhasználókat annak ellenőrzéséhez, hogy a PIM-beállítások a várt módon működnek-e, mielőtt hatással lenne a valós felhasználókra, és esetleg megzavarná az alkalmazásokhoz és erőforrásokhoz való hozzáférésüket. Készítsen egy teszttervet, amely összehasonlítja a várt eredményeket és a tényleges eredményeket.

Az alábbi táblázat egy példa tesztelési esetet mutat be:

Szerepkör Az aktiválás során várható viselkedés Tényleges eredmények
Globális rendszergazda
  • MFA megkövetelése
  • Jóváhagyás megkövetelése
  • A jóváhagyó értesítést kap, és jóváhagyhatja
  • A szerepkör az előre beállított idő után lejár
  • Az Azure AD- és az Azure-erőforrásszerepkör esetében is győződjön meg arról, hogy a felhasználók képviselik, hogy ki fogja átvenni ezeket a szerepköröket. Emellett vegye figyelembe a következő szerepköröket, amikor teszteli a PIM-et a szakaszos környezetben:

    Szerepkörök Azure AD-szerepkörök Azure-erőforrásszerepkörök Emelt szintű hozzáférési csoportok
    Csoport tagja x
    Szerepkör tagjai x x
    Informatikai szolgáltatás tulajdonosa x x
    Előfizetés vagy erőforrás tulajdonosa x x
    Emelt szintű hozzáférési csoport tulajdonosa x

    Csomag-visszaállítás

    Ha a PIM nem működik a kívánt módon az éles környezetben, a szerepkör-hozzárendelést ismét jogosultról aktívra módosíthatja. Minden konfigurált szerepkör esetében válassza a három pontot (...) az összes olyan felhasználónál, aki jogosult a hozzárendelési típusra. Ezután az Aktívvá tétele lehetőséget választva visszatérhet, és aktívvá teheti a szerepkör-hozzárendelést.

    PIM tervezése és implementálása Azure AD-szerepkörökhöz

    Ezeket a feladatokat követve készítse elő a PIM-et az Azure AD-szerepkörök kezelésére.

    Kiemelt szerepkörök felderítése és enyhítése

    Listázhatja, hogy ki rendelkezik kiemelt szerepkörökhöz a szervezetben. Tekintse át a hozzárendelt felhasználókat, azonosítsa azokat a rendszergazdákat, akiknek már nincs szüksége a szerepkörre, és távolítsa el őket a hozzárendeléseikből.

    Az Azure AD-szerepkörök hozzáférési felülvizsgálatainak használatával automatizálhatja a hozzárendelések felderítését, áttekintését, jóváhagyását vagy eltávolítását.

    A PIM által felügyelendő szerepkörök meghatározása

    Rangsorolja a legtöbb engedélyekkel rendelkező Azure AD-szerepkörök védelmét. Azt is fontos figyelembe venni, hogy mely adatok és engedélyek a legérzékenyek a szervezet számára.

    Először is győződjön meg arról, hogy minden globális és biztonsági rendszergazdai szerepkört a PIM kezel, mert ők azok a felhasználók, akik a legnagyobb kárt tehetik a biztonság sérülése esetén. Ezután fontolja meg azokat a szerepköröket, amelyeket kezelni kell, amelyek sebezhetőek lehetnek a támadás ellen.

    PIM-beállítások konfigurálása Azure AD-szerepkörökhöz

    PiM-beállításokat alakít ki és konfigurál a szervezet által használt minden emelt szintű Azure AD-szerepkörhöz.

    Az alábbi táblázat a példabeállításokat mutatja be:

    Szerepkör MFA megkövetelése Értesítés Incidensjegy Jóváhagyás megkövetelése Jóváhagyó Aktiválás időtartama Rendszergazdai jogosultság
    Globális rendszergazda ✔️ ✔️ ✔️ ✔️ Egyéb globális rendszergazda 1 óra Vészhelyzeti hozzáférési fiókok
    Exchange rendszergazda ✔️ ✔️ None 2 óra None
    Ügyfélszolgálati rendszergazda ✔️ None 8 óra None

    Azure AD-szerepkörök hozzárendelése és aktiválása

    A PIM-ben az Azure AD-szerepkörök esetében csak az emelt szintű szerepkör-rendszergazdai vagy globális rendszergazdai szerepkörrel rendelkező felhasználók kezelhetik más rendszergazdák hozzárendeléseit. A globális rendszergazdák, a biztonsági rendszergazdák, a globális olvasók és a biztonsági olvasók az Azure AD-szerepkörökhöz tartozó hozzárendeléseket is megtekinthetik a PIM-ben.

    Kövesse az alábbi hivatkozásokon keresztül elérhető utasításokat:

    1. Jogosult hozzárendelések megadása.

    2. Az Azure AD-szerepkör igény szerint történő aktiválásának engedélyezése a jogosult felhasználók számára

    Amikor a szerepkör lejár, a PIM használatával bővítheti vagy megújíthatja a szerepköröket. Mindkét felhasználó által kezdeményezett művelethez egy globális rendszergazda vagy kiemelt szerepkörű rendszergazda jóváhagyása szükséges.

    Ha ezek a fontos események az Azure AD-szerepkörökben történnek, a PIM e-mail-értesítéseket és heti összefoglaló e-maileket küld a jogosultsági rendszergazdáknak a szerepkör- és eseménybeállításoktól függően. Ezek az e-mailek a kapcsolódó feladatokra mutató hivatkozásokat is tartalmazhatnak, például egy szerepkör aktiválását vagy megújítását.

    Megjegyzés

    Ezeket a PIM-feladatokat a Microsoft Graph AZURE AD-szerepkörökhöz készült API-kkal is elvégezheti.

    PIM-aktiválási kérelmek jóváhagyása vagy elutasítása

    A meghatalmazott jóváhagyó e-mailben értesítést kap, ha a kérelem jóváhagyásra vár. Az alábbi lépéseket követve jóváhagyhatja vagy elutasíthatja az Azure-erőforrásszerepkör aktiválására vonatkozó kéréseket.

    Az Azure AD-szerepkörök naplózási előzményeinek megtekintése

    Tekintse meg az Azure AD-szerepkörökhöz tartozó összes szerepkör-hozzárendelés és aktiválás naplózási előzményeit az elmúlt 30 napban. Az auditnaplókat akkor érheti el, ha Globális rendszergazda vagy kiemelt szerepkörű rendszergazda.

    Azt javasoljuk , hogy legalább egy rendszergazda heti rendszerességgel olvassa át az összes auditeseményt, és havonta exportálja a naplózási eseményeket.

    Biztonsági riasztások az Azure AD-szerepkörökhöz

    Konfigurálja az Azure AD-szerepkörökhöz tartozó biztonsági riasztásokat , amelyek gyanús és nem biztonságos tevékenységek esetén riasztást aktiválnak.

    PIM tervezése és implementálása Azure-erőforrásszerepkörökhöz

    Ezeket a feladatokat követve készítse elő a PIM-et az Azure-erőforrásszerepkörök kezelésére.

    Kiemelt szerepkörök felderítése és enyhítése

    Minimalizálja az egyes előfizetésekhez vagy erőforrásokhoz csatolt tulajdonosi és felhasználói hozzáférés-rendszergazdai hozzárendeléseket, és távolítsa el a szükségtelen hozzárendeléseket.

    Globális rendszergazdaként emelheti a hozzáférést az összes Azure-előfizetés kezeléséhez. Ezután megkeresheti az egyes előfizetés-tulajdonosokat, és velük együttműködve eltávolíthatja a szükségtelen hozzárendeléseket az előfizetéseikben.

    Az Azure-erőforrások hozzáférési felülvizsgálatainak használatával naplózhatja és eltávolíthatja a szükségtelen szerepkör-hozzárendeléseket.

    A PIM által felügyelendő szerepkörök meghatározása

    Amikor eldönti, hogy mely szerepkör-hozzárendeléseket kell felügyelni a PIM használatával az Azure-erőforráshoz, először azonosítania kell a szervezet számára legfontosabb felügyeleti csoportokat, előfizetéseket, erőforráscsoportokat és erőforrásokat. Fontolja meg a felügyeleti csoportok használatát a szervezeten belüli összes erőforrás rendszerezéséhez.

    Javasoljuk , hogy a PIM használatával kezelje az összes előfizetés-tulajdonosi és felhasználói hozzáférés-rendszergazdai szerepkört.

    Az előfizetés-tulajdonosokkal együttműködve dokumentálhatja az egyes előfizetések által kezelt erőforrásokat, és biztonsági kockázat esetén osztályozhatja az egyes erőforrások kockázati szintjét. Az erőforrások kockázatszint alapján történő kezelésének rangsorolása a PIM-ben. Ide tartoznak az előfizetéshez csatolt egyéni erőforrások is.

    Azt is javasoljuk , hogy a kritikus szolgáltatások előfizetés- vagy erőforrás-tulajdonosaival együttműködve állítsa be a PIM-munkafolyamatot a bizalmas előfizetéseken vagy erőforrásokon belüli összes szerepkörhöz.

    A nem kritikus fontosságú előfizetések vagy erőforrások esetében nem kell minden szerepkörhöz beállítania a PIM-et. A tulajdonosi és felhasználói hozzáférés-rendszergazdai szerepköröket azonban továbbra is védenie kell a PIM-hez.

    PIM-beállítások konfigurálása az Azure-erőforrásszerepkörökhöz

    A PIM-kel védeni kívánt Azure-erőforrás-szerepkörök beállításainak kidolgozása és konfigurálása.

    Az alábbi táblázat a példabeállításokat mutatja be:

    Szerepkör MFA megkövetelése Értesítés Jóváhagyás megkövetelése Jóváhagyó Aktiválás időtartama Aktív rendszergazda Aktív lejárat Jogosult lejárat
    Kritikus fontosságú előfizetések tulajdonosa ✔️ ✔️ ✔️ Az előfizetés egyéb tulajdonosai 1 óra None n.a. 3 hónap
    Kevésbé kritikus előfizetések felhasználói hozzáférési rendszergazdája ✔️ ✔️ None 1 óra None n.a. 3 hónap

    Azure-erőforrásszerepkör hozzárendelése és aktiválása

    A PIM Azure-erőforrásszerepkörei esetében csak a tulajdonos vagy a felhasználói hozzáférés rendszergazdája kezelheti más rendszergazdák hozzárendeléseit. A kiemelt szerepkörű rendszergazdák, a biztonsági rendszergazdák és a biztonsági olvasók alapértelmezés szerint nem rendelkeznek hozzáféréssel az Azure-erőforrásszerepkörök hozzárendeléseinek megtekintéséhez.

    Kövesse az alábbi hivatkozásokon keresztül elérhető utasításokat:

    1.Jogosult hozzárendelések átadása

    2. Az Azure-szerepkörök igény szerinti aktiválásának engedélyezése a jogosult felhasználók számára

    Amikor a kiemelt szerepkör-hozzárendelés lejár, a PIM használatával bővítheti vagy megújíthatja a szerepköröket. Mindkét felhasználó által kezdeményezett művelethez az erőforrás tulajdonosának vagy a felhasználói hozzáférés rendszergazdájának jóváhagyása szükséges.

    Ha ezek a fontos események az Azure-erőforrásszerepkörökben történnek, a PIM e-mail-értesítéseket küld a tulajdonosoknak és a felhasználók hozzáférés-rendszergazdáinak. Ezek az e-mailek a kapcsolódó feladatokra mutató hivatkozásokat is tartalmazhatnak, például egy szerepkör aktiválását vagy megújítását.

    Megjegyzés

    Ezeket a PIM-feladatokat az Azure-erőforrásszerepkörök Microsoft Azure Resource Manager API-kkal is elvégezheti.

    PIM-aktiválási kérelmek jóváhagyása vagy elutasítása

    Azure AD-szerepkör aktiválási kérelmeinek jóváhagyása vagy elutasítása – A delegált jóváhagyó e-mailben értesítést kap, ha egy kérelem jóváhagyásra vár.

    Az Azure-erőforrásszerepkörök naplózási előzményeinek megtekintése

    Tekintse meg az Azure-erőforrásszerepkörökhöz tartozó összes hozzárendelés és aktiválás naplózási előzményeit az elmúlt 30 napban.

    Biztonsági riasztások az Azure-erőforrásszerepkörökhöz

    Konfiguráljon biztonsági riasztásokat az Azure-erőforrásszerepkörökhöz , amelyek gyanús és nem biztonságos tevékenységek esetén riasztást aktiválnak.

    PiM tervezése és implementálása emelt szintű hozzáférési csoportokhoz

    Ezeket a feladatokat követve előkészítheti a PIM-et a kiemelt hozzáférési csoportok kezelésére.

    Emelt szintű hozzáférési csoportok felderítése

    Előfordulhat, hogy egy személy öt vagy hat jogosult hozzárendeléssel rendelkezik az Azure AD-szerepkörökhöz a PIM használatával. Külön-külön kell aktiválniuk az egyes szerepköröket, ami csökkentheti a termelékenységet. Még ennél is rosszabb, hogy több tíz vagy több száz Azure-erőforrást is hozzárendelhetnek hozzájuk, ami súlyosbítja a problémát.

    Ebben az esetben emelt szintű hozzáférési csoportokat kell használnia. Hozzon létre egy emelt szintű hozzáférési csoportot, és adjon neki állandó aktív hozzáférést több szerepkörhöz. A kiemelt hozzáférési csoportok felügyeleti képességeinek megtekintése.

    Ahhoz, hogy egy Azure AD szerepkörhöz hozzárendelhető csoportot emelt szintű hozzáférési csoportként kezelhessen, azt a PIM felügyelete alá kell helyeznie.

    PIM-beállítások konfigurálása emelt szintű hozzáférési csoportokhoz

    A PIM-kel védeni tervezett emelt szintű hozzáférési csoportok beállításainak piszkozata és konfigurálása.

    Az alábbi táblázat példabeállításokat mutat be:

    Szerepkör MFA megkövetelése Értesítés Jóváhagyás megkövetelése Jóváhagyó Aktiválás időtartama Aktív rendszergazda Aktív lejárat Jogosult lejárat
    Tulajdonos ✔️ ✔️ ✔️ Az erőforrás egyéb tulajdonosai 1 óra None n.a. 3 hónap
    Tag ✔️ ✔️ None 5 óra None n.a. 3 hónap

    Jogosultság hozzárendelése emelt szintű hozzáférési csoportokhoz

    Jogosultságot rendelhet a kiemelt hozzáférési csoportok tagjaihoz vagy tulajdonosaihoz. Egyetlen aktiválással hozzáférhetnek az összes társított erőforráshoz.

    Megjegyzés

    A kiemelt csoportot ugyanúgy rendelheti hozzá egy vagy több Azure AD- és Azure-erőforrásszerepkörhöz, mint a felhasználókhoz. Egy Azure AD-szervezetben (bérlőben) legfeljebb 400 szerepkörhöz hozzárendelhető csoport hozható létre.

    Assign eligibility for privileged access groups

    Amikor az emelt szintű csoport-hozzárendelés lejár, a PIM használatával meghosszabbíthatja vagy megújíthatja a csoport-hozzárendelést. Jóváhagyást kell kérnie a csoport tulajdonosától.

    PIM-aktiválási kérelem jóváhagyása vagy elutasítása

    Konfigurálja a kiemelt hozzáférési csoport tagjait és tulajdonosait, hogy jóváhagyást igényeljenek az aktiváláshoz, és delegált jóváhagyóként válassza ki az Azure AD-szervezet felhasználóit vagy csoportjait. Javasoljuk, hogy minden csoporthoz jelöljön ki két vagy több jóváhagyót a kiemelt szerepkörű rendszergazda munkaterhelésének csökkentése érdekében.

    Emelt szintű hozzáférési csoportok szerepkör-aktiválási kérelmeinek jóváhagyása vagy elutasítása. Meghatalmazott jóváhagyóként e-mailben értesítést kap, ha a jóváhagyásra vonatkozó kérés függőben van.

    Kiemelt hozzáférési csoportok naplózási előzményeinek megtekintése

    A rendszerjogosított hozzáférési csoportokhoz tartozó összes hozzárendelés és aktiválás naplózási előzményeinek megtekintése az elmúlt 30 napban.

    Következő lépések