Megosztás a következőn keresztül:


1. fázis: A nagy léptékű kezelés keretrendszerének implementálása

Az Microsoft Entra Engedélykezelés műveleti referenciaútmutatójának ez a szakasza ismerteti azokat az ellenőrzéseket és műveleteket, amelyeket érdemes megfontolnia az engedélyek hatékony delegálása és a nagy léptékű kezelés érdekében.

Delegált felügyeleti modell definiálása

Ajánlott tulajdonos: Információbiztonsági architektúra

Microsoft Entra Engedélykezelés rendszergazdák definiálása

A Microsoft Entra Engedélykezelés működésbe lépéséhez hozzon létre két-öt engedélykezelési Rendszergazda istratort, akik engedélyeket delegálnak a termékben, konfigurálják a kulcsbeállításokat, és létrehozzák és kezelik a szervezet konfigurációját.

Fontos

Microsoft Entra Engedélykezelés érvényes e-mail-címmel rendelkező felhasználókra támaszkodik. Javasoljuk, hogy az Engedélyek kezelése Rendszergazda istratorok postaládához engedélyezett fiókokkal rendelkezzenek.

A szükséges feladatok elvégzéséhez rendelje hozzá a kijelölt rendszergazdákat az Engedélyek kezelése Rendszergazda istrator szerepkörhöz a Microsoft Entra ID-ban. Javasoljuk, hogy a Privileged Identity Management (PIM) használatával biztosítsa a rendszergazdák számára a szerepkörhöz való megfelelő hozzáférést ahelyett, hogy véglegesen hozzárendelte volna.

Mappastruktúra definiálása és karbantartása

Az Engedélykezelésben a mappa engedélyezési rendszerek csoportja. Javasoljuk, hogy a szervezeti delegálási stratégia alapján hozzon létre mappákat. Ha például a szervezete csapatok alapján delegál, hozzon létre mappákat a következőhöz:

  • Production Finance
  • Éles infrastruktúra
  • Gyártás előtti kutatás és fejlesztés

A hatékony mappastruktúra megkönnyíti az engedélyek nagy méretekben történő delegálását, és pozitív termékélményt biztosít az engedélyezési rendszer tulajdonosainak.

A környezet egyszerűsítése érdekében tekintse meg a mappák létrehozását az engedélyezési rendszerek rendszerezéséhez.

Microsoft Entra biztonsági csoportok létrehozása engedélyek delegálásához

Microsoft Entra Engedélykezelés egy csoportalapú hozzáférési rendszerrel rendelkezik, amely a Microsoft Entra biztonsági csoportjait használja a különböző engedélyezési rendszerek engedélyeinek megadásához. Az engedélyek delegálásához az IAM-csapat olyan Microsoft Entra biztonsági csoportokat hoz létre, amelyek megfeleltetik az engedélyezési rendszer tulajdonosainak és az Ön által meghatározott engedélykezelési feladatoknak. Győződjön meg arról, hogy a termékben megosztott tulajdonosi és felelősségi körökkel rendelkező felhasználók ugyanabban a biztonsági csoportban vannak.

Javasoljuk, hogy használja a PIM-et csoportokhoz. Ez hozzáférést biztosít a JIT-nek az Engedélyek kezelése szolgáltatáshoz a felhasználók számára, és igazodik Teljes felügyelet JIT-hez és a megfelelő hozzáférési alapelvekhez.

A Microsoft Entra biztonsági csoportok létrehozásához lásd a csoportok és csoporttagságok kezelését.

Engedélyek hozzárendelése a Microsoft Entra Engedélykezelés

A Microsoft Entra biztonsági csoportok létrehozása után egy engedélykezelési Rendszergazda istrator megadja a szükséges engedélyeket a biztonsági csoportok számára.

Legalább győződjön meg arról, hogy a biztonsági csoportok megtekintői engedélyeket kapnak az általuk felelős engedélyezési rendszerekhez. Vezérlőengedélyek használata olyan biztonsági csoportokhoz, amelyek tagjai szervizelési műveleteket hajtanak végre. További információ Microsoft Entra Engedélykezelés szerepkörökről és jogosultsági szintekről.

További információ a felhasználók és csoportok kezeléséről az Engedélyek kezelése szolgáltatásban:

Az engedélyezési rendszer életciklus-kezelésének meghatározása

Ajánlott tulajdonosok: Információbiztonsági architektúra és felhőinfrastruktúra

Az új engedélyezési rendszerek létrehozása és a jelenlegi engedélyezési rendszerek fejlődése során hozzon létre és tartson fenn egy jól definiált folyamatot a Microsoft Entra Engedélykezelés változásaihoz. Az alábbi táblázat a tevékenységeket és az ajánlott tulajdonosokat ismerteti.

Task Ajánlott tulajdonos
A környezetben létrehozott új engedélyezési rendszerek felderítési folyamatának meghatározása Információbiztonsági architektúra
Új engedélyezési rendszerek osztályozási és előkészítési folyamatainak meghatározása az Engedélyek kezelése szolgáltatásba Információbiztonsági architektúra
Felügyeleti folyamatok definiálása új engedélyezési rendszerekhez: engedélyek delegálása és mappastruktúra frissítése Információbiztonsági architektúra
Költségfüggés közötti struktúra kialakítása. Költségkezelési folyamat meghatározása. A tulajdonos szervezetenként eltérő

Engedélyek kúszása indexelési stratégia definiálása

Ajánlott tulajdonos: Információbiztonsági architektúra

Javasoljuk, hogy határozza meg a célokat és a használati eseteket arra vonatkozóan, hogy a Permissions Creep Index (PCI) hogyan vezérli az információs biztonsági architektúra tevékenységeit és jelentéseit. Ez a csapat meghatározhatja és segíthet másoknak a pcI-küszöbértékek meghatározásában és teljesítésében a szervezet számára.

Cél PCI-küszöbértékek létrehozása

A PCI-küszöbértékek irányítják a működési viselkedést, és szabályzatokként szolgálnak annak meghatározásához, hogy mikor van szükség műveletre a környezetben. PCI-küszöbértékek létrehozása a következőhöz:

  • Engedélyezési rendszerek
  • Emberi identitás felhasználói
    • Vállalati címtár (ED)
    • SAML
    • Helyi
    • Vendég
  • Nem emberi identitások

Feljegyzés

Mivel a nem emberi identitások tevékenysége kisebb, mint egy emberi identitás, szigorúbb jobb méretezést alkalmazhat a nem emberi identitásokra: alacsonyabb PCI-küszöbértéket állíthat be.

A PCI-küszöbértékek a szervezet céljaitól és használati eseteitől függően változnak. Javasoljuk, hogy igazodjon a beépített Engedélyek kezelése kockázati küszöbértékekhez. Tekintse meg a következő PCI-tartományokat kockázat szerint:

  • Alacsony: 0–33
  • Közepes: 34–67
  • Magas: 68–100

Az előző lista használatával tekintse át az alábbi PCI-küszöbértékszabályzat-példákat:

Kategória PCI-küszöbérték Szabályzat
Engedélyezési rendszerek 67: Az engedélyezési rendszer besorolása magas kockázatúként Ha egy engedélyezési rendszer PCI-pontszáma 67-nél magasabb, tekintse át és méretezi a nagy MÉRETŰ PCI-identitásokat az engedélyezési rendszerben
Emberi identitások: ED, SAML és helyi 67: Az emberi identitás besorolása magas kockázatúként Ha egy emberi identitás PCI-pontszáma 67-nél magasabb, méretezi az identitás engedélyeit
Emberi identitás: Vendégfelhasználó 33: A vendégfelhasználó besorolása magas vagy közepes kockázatúként Ha egy vendégfelhasználó PCI-pontszáma 33-nál magasabb, méretezi az identitás engedélyeit
Nem emberi identitások 33: A nem emberi identitás besorolása magas vagy közepes kockázatúként Ha egy nem emberi identitás 33-nál magasabb PCI-pontszámmal rendelkezik, méretezi az identitás engedélyeit

Következő lépések