1. fázis: A nagy léptékű kezelés keretrendszerének implementálása
Az Microsoft Entra Engedélykezelés műveleti referenciaútmutatójának ez a szakasza ismerteti azokat az ellenőrzéseket és műveleteket, amelyeket érdemes megfontolnia az engedélyek hatékony delegálása és a nagy léptékű kezelés érdekében.
Delegált felügyeleti modell definiálása
Ajánlott tulajdonos: Információbiztonsági architektúra
Microsoft Entra Engedélykezelés rendszergazdák definiálása
A Microsoft Entra Engedélykezelés működésbe lépéséhez hozzon létre két-öt engedélykezelési Rendszergazda istratort, akik engedélyeket delegálnak a termékben, konfigurálják a kulcsbeállításokat, és létrehozzák és kezelik a szervezet konfigurációját.
Fontos
Microsoft Entra Engedélykezelés érvényes e-mail-címmel rendelkező felhasználókra támaszkodik. Javasoljuk, hogy az Engedélyek kezelése Rendszergazda istratorok postaládához engedélyezett fiókokkal rendelkezzenek.
A szükséges feladatok elvégzéséhez rendelje hozzá a kijelölt rendszergazdákat az Engedélyek kezelése Rendszergazda istrator szerepkörhöz a Microsoft Entra ID-ban. Javasoljuk, hogy a Privileged Identity Management (PIM) használatával biztosítsa a rendszergazdák számára a szerepkörhöz való megfelelő hozzáférést ahelyett, hogy véglegesen hozzárendelte volna.
Mappastruktúra definiálása és karbantartása
Az Engedélykezelésben a mappa engedélyezési rendszerek csoportja. Javasoljuk, hogy a szervezeti delegálási stratégia alapján hozzon létre mappákat. Ha például a szervezete csapatok alapján delegál, hozzon létre mappákat a következőhöz:
- Production Finance
- Éles infrastruktúra
- Gyártás előtti kutatás és fejlesztés
A hatékony mappastruktúra megkönnyíti az engedélyek nagy méretekben történő delegálását, és pozitív termékélményt biztosít az engedélyezési rendszer tulajdonosainak.
A környezet egyszerűsítése érdekében tekintse meg a mappák létrehozását az engedélyezési rendszerek rendszerezéséhez.
Microsoft Entra biztonsági csoportok létrehozása engedélyek delegálásához
Microsoft Entra Engedélykezelés egy csoportalapú hozzáférési rendszerrel rendelkezik, amely a Microsoft Entra biztonsági csoportjait használja a különböző engedélyezési rendszerek engedélyeinek megadásához. Az engedélyek delegálásához az IAM-csapat olyan Microsoft Entra biztonsági csoportokat hoz létre, amelyek megfeleltetik az engedélyezési rendszer tulajdonosainak és az Ön által meghatározott engedélykezelési feladatoknak. Győződjön meg arról, hogy a termékben megosztott tulajdonosi és felelősségi körökkel rendelkező felhasználók ugyanabban a biztonsági csoportban vannak.
Javasoljuk, hogy használja a PIM-et csoportokhoz. Ez hozzáférést biztosít a JIT-nek az Engedélyek kezelése szolgáltatáshoz a felhasználók számára, és igazodik Teljes felügyelet JIT-hez és a megfelelő hozzáférési alapelvekhez.
A Microsoft Entra biztonsági csoportok létrehozásához lásd a csoportok és csoporttagságok kezelését.
Engedélyek hozzárendelése a Microsoft Entra Engedélykezelés
A Microsoft Entra biztonsági csoportok létrehozása után egy engedélykezelési Rendszergazda istrator megadja a szükséges engedélyeket a biztonsági csoportok számára.
Legalább győződjön meg arról, hogy a biztonsági csoportok megtekintői engedélyeket kapnak az általuk felelős engedélyezési rendszerekhez. Vezérlőengedélyek használata olyan biztonsági csoportokhoz, amelyek tagjai szervizelési műveleteket hajtanak végre. További információ Microsoft Entra Engedélykezelés szerepkörökről és jogosultsági szintekről.
További információ a felhasználók és csoportok kezeléséről az Engedélyek kezelése szolgáltatásban:
- Felhasználó hozzáadása vagy eltávolítása a Microsoft Entra Engedélykezeléssel
- Felhasználók és csoportok kezelése a Felhasználókezelési irányítópulttal
- Csoportalapú engedélyek beállításainak kiválasztása
Az engedélyezési rendszer életciklus-kezelésének meghatározása
Ajánlott tulajdonosok: Információbiztonsági architektúra és felhőinfrastruktúra
Az új engedélyezési rendszerek létrehozása és a jelenlegi engedélyezési rendszerek fejlődése során hozzon létre és tartson fenn egy jól definiált folyamatot a Microsoft Entra Engedélykezelés változásaihoz. Az alábbi táblázat a tevékenységeket és az ajánlott tulajdonosokat ismerteti.
Task | Ajánlott tulajdonos |
---|---|
A környezetben létrehozott új engedélyezési rendszerek felderítési folyamatának meghatározása | Információbiztonsági architektúra |
Új engedélyezési rendszerek osztályozási és előkészítési folyamatainak meghatározása az Engedélyek kezelése szolgáltatásba | Információbiztonsági architektúra |
Felügyeleti folyamatok definiálása új engedélyezési rendszerekhez: engedélyek delegálása és mappastruktúra frissítése | Információbiztonsági architektúra |
Költségfüggés közötti struktúra kialakítása. Költségkezelési folyamat meghatározása. | A tulajdonos szervezetenként eltérő |
Engedélyek kúszása indexelési stratégia definiálása
Ajánlott tulajdonos: Információbiztonsági architektúra
Javasoljuk, hogy határozza meg a célokat és a használati eseteket arra vonatkozóan, hogy a Permissions Creep Index (PCI) hogyan vezérli az információs biztonsági architektúra tevékenységeit és jelentéseit. Ez a csapat meghatározhatja és segíthet másoknak a pcI-küszöbértékek meghatározásában és teljesítésében a szervezet számára.
Cél PCI-küszöbértékek létrehozása
A PCI-küszöbértékek irányítják a működési viselkedést, és szabályzatokként szolgálnak annak meghatározásához, hogy mikor van szükség műveletre a környezetben. PCI-küszöbértékek létrehozása a következőhöz:
- Engedélyezési rendszerek
- Emberi identitás felhasználói
- Vállalati címtár (ED)
- SAML
- Helyi
- Vendég
- Nem emberi identitások
Feljegyzés
Mivel a nem emberi identitások tevékenysége kisebb, mint egy emberi identitás, szigorúbb jobb méretezést alkalmazhat a nem emberi identitásokra: alacsonyabb PCI-küszöbértéket állíthat be.
A PCI-küszöbértékek a szervezet céljaitól és használati eseteitől függően változnak. Javasoljuk, hogy igazodjon a beépített Engedélyek kezelése kockázati küszöbértékekhez. Tekintse meg a következő PCI-tartományokat kockázat szerint:
- Alacsony: 0–33
- Közepes: 34–67
- Magas: 68–100
Az előző lista használatával tekintse át az alábbi PCI-küszöbértékszabályzat-példákat:
Kategória | PCI-küszöbérték | Szabályzat |
---|---|---|
Engedélyezési rendszerek | 67: Az engedélyezési rendszer besorolása magas kockázatúként | Ha egy engedélyezési rendszer PCI-pontszáma 67-nél magasabb, tekintse át és méretezi a nagy MÉRETŰ PCI-identitásokat az engedélyezési rendszerben |
Emberi identitások: ED, SAML és helyi | 67: Az emberi identitás besorolása magas kockázatúként | Ha egy emberi identitás PCI-pontszáma 67-nél magasabb, méretezi az identitás engedélyeit |
Emberi identitás: Vendégfelhasználó | 33: A vendégfelhasználó besorolása magas vagy közepes kockázatúként | Ha egy vendégfelhasználó PCI-pontszáma 33-nál magasabb, méretezi az identitás engedélyeit |
Nem emberi identitások | 33: A nem emberi identitás besorolása magas vagy közepes kockázatúként | Ha egy nem emberi identitás 33-nál magasabb PCI-pontszámmal rendelkezik, méretezi az identitás engedélyeit |