Een Privileged Identity Management-implementatie plannen

Privileged Identity Management (PIM) biedt een rolactivering op basis van tijd en goedkeuring om de risico's van overmatige, onnodige of verkeerd gebruikte toegangsmachtigingen voor belangrijke resources te beperken. Deze resources omvatten resources in Azure Active Directory (Azure AD), Azure en andere Microsoft Online Services, zoals Microsoft 365 of Microsoft Intune.

Met PIM kunt u een specifieke set acties toestaan voor een bepaald bereik. Belangrijke functies omvatten onder meer:

  • Bevoegde Just-In-Time-toegang tot resources bieden

  • Geschiktheid toewijzen voor lidmaatschap of eigendom van groepen met uitgebreide toegang

  • Tijdsgebonden toegang bieden aan resources met behulp van begin- en einddatums

  • Goedkeuring vereisen om bevoorrechte rollen te activeren

  • Meervoudige verificatie afdwingen om een rol te activeren

  • Gebruikmaken van redenen om te begrijpen waarom gebruikers activeren

  • Meldingen ontvangen wanneer bevoorrechte rollen zijn geactiveerd

  • Toegangsbeoordelingen uitvoeren om te controleren of gebruikers rollen nog steeds nodig hebben

  • Controlegeschiedenis downloaden voor interne of externe controle

Als u optimaal gebruik wilt maken van dit implementatieplan, is het belangrijk dat u een volledig overzicht krijgt van Wat is Privileged Identity Management.

Inzicht in PIM

De PIM-concepten in deze sectie helpen u inzicht te krijgen in de vereisten voor bevoegde identiteiten van uw organisatie.

Wat kunt u beheren in PIM

Vandaag kunt u PIM gebruiken met:

  • Azure AD rollen: soms ook wel directoryrollen genoemd, bevatten Azure AD rollen ingebouwde en aangepaste rollen voor het beheren van Azure AD en andere Microsoft 365-onlineservices.

  • Azure-rollen : de RBAC-rollen (op rollen gebaseerd toegangsbeheer) in Azure die toegang verlenen tot beheergroepen, abonnementen, resourcegroepen en resources.

  • Groepen met bevoorrechte toegang: Just-In-Time-toegang tot de rol lid en eigenaar van een Azure AD beveiligingsgroep instellen. Bevoorrechte toegangsgroepen biedt u niet alleen een alternatieve manier om PIM in te stellen voor Azure AD-rollen en Azure-rollen, maar u kunt ook PIM instellen voor andere machtigingen in Microsoft onlineservices, zoals Intune, Azure Key Vaults en Azure Information Protection.

U kunt het volgende toewijzen aan deze rollen of groepen:

  • Gebruikers: om Just-In-Time-toegang te krijgen tot Azure AD rollen, Azure-rollen en Groepen met uitgebreide toegang.

  • Groepen: iedereen in een groep krijgt Just-In-Time toegang tot Azure AD rollen en Azure-rollen. Voor Azure AD rollen moet de groep een zojuist gemaakte cloudgroep zijn die is gemarkeerd als toewijsbaar aan een rol, terwijl voor Azure-rollen de groep elke Azure AD beveiligingsgroep kan zijn. Het wordt afgeraden om een groep toe te wijzen/te nesten aan groepen met uitgebreide toegang.

Notitie

U kunt geen service-principals toewijzen die in aanmerking komen voor Azure AD rollen, Azure-rollen en groepen met bevoorrechte toegang, maar u kunt wel een tijdslimiet actieve toewijzing aan alle drie toewijzen.

Principe van minimale bevoegdheden

U wijst gebruikers de rol toe met de minimale bevoegdheden die nodig zijn om hun taken uit te voeren. Met deze procedure wordt het aantal globale beheerders tot het minimum beperkt en worden er specifieke beheerdersrollen gebruikt voor bepaalde scenario's.

Notitie

Microsoft heeft zeer weinig globale beheerders. Meer informatie over hoe Microsoft Privileged Identity Management gebruikt.

Type toewijzingen

Er zijn twee typen toewijzingen: in aanmerking komend en actief. Als een gebruiker in aanmerking komt voor een rol, betekent dit dat de gebruiker de rol kan activeren wanneer deze nodig is om bevoegde taken uit te voeren.

U kunt ook een begin- en eindtijd instellen voor elk type opdracht. Deze toevoeging biedt u vier mogelijke typen toewijzingen:

  • Permanent in aanmerking komend

  • Permanent actief

  • Tijdsgebonden in aanmerking komende, met opgegeven begin- en einddatum voor toewijzing

  • Tijdgebonden actief, met opgegeven begin- en einddatum voor toewijzing

Als de rol verloopt, kunt u deze toewijzingen verlengen of vernieuwen .

We raden u aan nul permanent actieve toewijzingen te behouden voor andere rollen dan de aanbevolen twee accounts voor noodtoegang, die de permanente rol globale beheerder moeten hebben.

Het project plannen

Wanneer technologieprojecten mislukken, wordt dit meestal veroorzaakt door niet-overeenkomende verwachtingen met betrekking tot impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden betreedt en dat de rollen van belanghebbenden in het project goed worden begrepen.

Een testfase plannen

Zorg er in elke fase van uw implementatie voor dat u evalueert of de resultaten zijn zoals verwacht. Zie de best practices voor een testfase.

  • Begin met een kleine set gebruikers (pilotgroep) en controleer of pim werkt zoals verwacht.

  • Controleer of alle configuraties die u hebt ingesteld voor de rollen of groepen met bevoorrechte toegang correct werken.

  • Rol het pas in productie nadat het grondig is getest.

De communicatie plannen

Communicatie is essentieel voor het succes van elke nieuwe service. Communiceer proactief aan uw gebruikers hoe hun ervaring zal veranderen, wanneer deze zal veranderen en hoe ze ondersteuning kunnen krijgen als ze problemen ondervinden.

Stel tijd in met uw interne IT-ondersteuning om hen door de PIM-werkstroom te leiden. Geef ze de juiste documentatie en uw contactgegevens.

Testen en terugdraaien plannen

Notitie

Voor Azure AD rollen testen en implementeren organisaties vaak eerst globale beheerders, terwijl ze voor Azure-resources meestal één Azure-abonnement tegelijk testen.

Testen plannen

Maak testgebruikers om te controleren of PIM-instellingen werken zoals verwacht voordat u echte gebruikers beïnvloedt en hun toegang tot apps en resources mogelijk verstoort. Stel een testplan op om een vergelijking te maken tussen de verwachte resultaten en de werkelijke resultaten.

In de volgende tabel ziet u een voorbeeld van een testcase:

Rol Verwacht gedrag tijdens activering Werkelijke resultaten
Hoofdbeheerder
  • MFA vereisen
  • Goedkeuring vereisen
  • Fiatteur ontvangt een melding en kan goedkeuren
  • Rol verloopt na vooraf ingestelde tijd
  • Zorg ervoor dat u voor zowel Azure AD als azure-resourcerol gebruikers hebt vertegenwoordigd die deze rollen aannemen. Houd daarnaast rekening met de volgende rollen wanneer u PIM test in uw gefaseerde omgeving:

    Rollen Azure AD-rollen Azure-resourcerollen Groepen met bevoegde toegang
    Lid van een groep x
    Leden van een rol x x
    IT-service-eigenaar x x
    Abonnements- of resource-eigenaar x x
    Eigenaar van bevoorrechte toegangsgroep x

    Terugdraaien plannen

    Als PIM niet naar wens werkt in de productieomgeving, kunt u de roltoewijzing opnieuw wijzigen van in aanmerking komend in actief. Voor elke rol die u hebt geconfigureerd, selecteert u het beletselteken (...) voor alle gebruikers met een toewijzingstype dat in aanmerking komt. U kunt vervolgens de optie Actief maken selecteren om terug te gaan en de roltoewijzing actief te maken.

    PIM voor Azure AD rollen plannen en implementeren

    Volg deze taken om PIM voor te bereiden voor het beheren van Azure AD rollen.

    Bevoorrechte rollen detecteren en beperken

    Vermelden wie bevoorrechte rollen heeft in uw organisatie. Controleer de toegewezen gebruikers, identificeer beheerders die de rol niet meer nodig hebben en verwijder ze uit hun toewijzingen.

    U kunt toegangsbeoordelingen van Azure AD rollen gebruiken om de detectie, beoordeling en goedkeuring of verwijdering van toewijzingen te automatiseren.

    Bepalen welke rollen moeten worden beheerd door PIM

    Geef prioriteit aan het beveiligen van Azure AD rollen met de meeste machtigingen. Het is ook belangrijk om te overwegen welke gegevens en machtigingen het gevoeligst zijn voor uw organisatie.

    Zorg er eerst voor dat alle globale en beveiligingsbeheerdersrollen worden beheerd met BEHULP van PIM, omdat dit de gebruikers zijn die het meeste kwaad kunnen doen wanneer ze worden gehackt. Overweeg vervolgens meer rollen die moeten worden beheerd die kwetsbaar kunnen zijn voor aanvallen.

    PIM-instellingen configureren voor Azure AD rollen

    Uw PIM-instellingen opstellen en configureren voor elke bevoorrechte Azure AD rol die uw organisatie gebruikt.

    In de volgende tabel ziet u voorbeeldinstellingen:

    Rol MFA vereisen Melding Incidentticket Goedkeuring vereisen Fiatteur Activeringsduur Perm-beheerder
    Globale beheerder ✔️ ✔️ ✔️ ✔️ Andere wereldwijde Beheer 1 uur Accounts voor noodtoegang
    Exchange-Beheer ✔️ ✔️ Geen 2 uur Geen
    Helpdeskbeheerder ✔️ Geen 8 uur Geen

    Azure AD-rollen toewijzen en activeren

    Voor Azure AD rollen in PIM kan alleen een gebruiker met de rol Beheerder voor bevoorrechte rollen of globale beheerder toewijzingen voor andere beheerders beheren. Globale beheerders, beveiligingsbeheerders, globale lezers en beveiligingslezers kunnen ook toewijzingen weergeven voor Azure AD rollen in PIM.

    Volg de instructies via de onderstaande links:

    1. Geef in aanmerking komende toewijzingen.

    2. In aanmerking komende gebruikers toestaan om hun Azure AD-rol Just-In-Time te activeren

    Wanneer de vervaldatum van de rol nadert, gebruikt u PIM om de rollen uit te breiden of te vernieuwen. Voor beide door de gebruiker geïnitieerde acties is goedkeuring van een Globale beheerder of een Beheerder voor bevoorrechte rollen vereist.

    Wanneer deze belangrijke gebeurtenissen plaatsvinden in Azure AD rollen, verzendt PIM e-mailmeldingen en wekelijkse samenvattingsmails naar beheerders van bevoegdheden, afhankelijk van de rol, gebeurtenis en meldingsinstellingen. Deze e-mailberichten bevatten mogelijk ook koppelingen naar relevante taken, zoals het activeren of vernieuwen van een rol.

    Notitie

    U kunt deze PIM-taken ook uitvoeren met behulp van de Microsoft Graph API's voor Azure AD rollen.

    PIM-activeringsaanvragen goedkeuren of weigeren

    Een gedelegeerde fiatteur ontvangt een e-mailmelding wanneer een aanvraag in behandeling is voor goedkeuring. Volg deze stappen om aanvragen voor het activeren van een Azure-resourcerol goed te keuren of te weigeren.

    De auditgeschiedenis voor Azure AD-rollen weergeven

    Bekijk de controlegeschiedenis voor alle roltoewijzingen en activeringen in de afgelopen 30 dagen voor Azure AD rollen. U hebt toegang tot de auditlogboeken als u een globale beheerder of beheerder van bevoorrechte rollen bent.

    U wordt aangeraden ten minste één beheerder wekelijks alle controlegebeurtenissen door te laten lezen en uw controlegebeurtenissen maandelijks te exporteren.

    Beveiligingswaarschuwingen voor Azure AD rollen

    Configureer beveiligingswaarschuwingen voor de Azure AD-rollen die een waarschuwing activeren in geval van verdachte en onveilige activiteiten.

    PIM plannen en implementeren voor Azure-resourcerollen

    Volg deze taken om PIM voor te bereiden voor het beheren van Azure-resourcerollen.

    Bevoorrechte rollen detecteren en beperken

    Beperk toewijzingen van eigenaars en gebruikerstoegangsbeheerders die zijn gekoppeld aan elk abonnement of elke resource en verwijder onnodige toewijzingen.

    Als globale beheerder kunt u de toegang verhogen om alle Azure-abonnementen te beheren. Vervolgens kunt u elke abonnementseigenaar vinden en met hen samenwerken om onnodige toewijzingen binnen hun abonnementen te verwijderen.

    Gebruik toegangsbeoordelingen voor Azure-resources om onnodige roltoewijzingen te controleren en te verwijderen.

    Bepalen welke rollen moeten worden beheerd door PIM

    Wanneer u besluit welke roltoewijzingen moeten worden beheerd met pim voor Azure-resource, moet u eerst de beheergroepen, abonnementen, resourcegroepen en resources identificeren die het meest essentieel zijn voor uw organisatie. Overweeg beheergroepen te gebruiken om al hun resources binnen hun organisatie te organiseren.

    U wordt aangeraden alle rollen Abonnementseigenaar en Beheerder van gebruikerstoegang te beheren met behulp van PIM.

    Neem contact op met abonnementseigenaren om resources te documenteren die door elk abonnement worden beheerd en om het risiconiveau van elke resource te classificeren als deze wordt gecompromitteerd. Geef prioriteit aan het beheren van resources met PIM op basis van risiconiveau. Dit omvat ook aangepaste resources die zijn gekoppeld aan het abonnement.

    We raden u ook aan om samen te werken met abonnements- of resource-eigenaren van kritieke services om een PIM-werkstroom in te stellen voor alle rollen binnen gevoelige abonnementen of resources.

    Voor abonnementen of resources die niet zo kritiek zijn, hoeft u PIM niet in te stellen voor alle rollen. U moet echter nog steeds de rollen Eigenaar en Beheerder voor gebruikerstoegang beveiligen met PIM.

    PIM-instellingen configureren voor Azure-resourcerollen

    Maak en configureer instellingen voor de Azure-resourcerollen die u wilt beveiligen met PIM.

    In de volgende tabel ziet u voorbeeldinstellingen:

    Rol MFA vereisen Melding Goedkeuring vereisen Fiatteur Activeringsduur Actieve beheerder Actieve vervaldatum In aanmerking komende vervaldatum
    Eigenaar van kritieke abonnementen ✔️ ✔️ ✔️ Andere eigenaren van het abonnement 1 uur Geen n.v.t. 3 maanden
    Beheerder van gebruikerstoegang van minder kritieke abonnementen ✔️ ✔️ Geen 1 uur Geen n.v.t. 3 maanden

    Azure-resourcerol toewijzen en activeren

    Voor Azure-resourcerollen in PIM kan alleen een eigenaar of beheerder van gebruikerstoegang toewijzingen voor andere beheerders beheren. Gebruikers die beheerders van bevoorrechte rollen, beveiligingsbeheerders of beveiligingslezers zijn, hebben standaard geen toegang om toewijzingen aan Azure-resourcerollen weer te geven.

    Volg de instructies via de onderstaande links:

    1.Geef in aanmerking komende toewijzingen

    2.In aanmerking komende gebruikers toestaan om hun Azure-rollen Just-In-Time te activeren

    Wanneer de vervaldatum van de toewijzing van bevoorrechte rollen nadert, gebruikt u PIM om de rollen uit te breiden of te vernieuwen. Voor beide door de gebruiker geïnitieerde acties is goedkeuring vereist van de resource-eigenaar of beheerder van gebruikerstoegang.

    Wanneer deze belangrijke gebeurtenissen optreden in Azure-resourcerollen, verzendt PIM e-mailmeldingen naar eigenaren en gebruikers toegangsbeheerders. Deze e-mailberichten bevatten mogelijk ook koppelingen naar relevante taken, zoals het activeren of vernieuwen van een rol.

    PIM-activeringsaanvragen goedkeuren of weigeren

    Activeringsaanvragen voor Azure AD rol goedkeuren of weigeren: een gedelegeerde fiatteur ontvangt een e-mailmelding wanneer een aanvraag in behandeling is voor goedkeuring.

    Controlegeschiedenis voor Azure-resourcerollen weergeven

    Bekijk de controlegeschiedenis voor alle toewijzingen en activeringen in de afgelopen 30 dagen voor Azure-resourcerollen.

    Beveiligingswaarschuwingen voor Azure-resourcerollen

    Configureer beveiligingswaarschuwingen voor de Azure-resourcerollen die een waarschuwing activeren in het geval van verdachte en onveilige activiteiten.

    PIM plannen en implementeren voor groepen met bevoegde toegang

    Volg deze taken om PIM voor te bereiden voor het beheren van groepen met bevoorrechte toegang.

    Bevoorrechte toegangsgroepen ontdekken

    Het kan zijn dat een persoon vijf of zes in aanmerking komende toewijzingen heeft tot Azure AD-rollen via PIM. Ze moeten elke rol afzonderlijk activeren, waardoor de productiviteit kan worden verminderd. Nog erger, ze kunnen ook tientallen of honderden Azure-resources aan zich toegewezen hebben, waardoor het probleem wordt verergerd.

    In dit geval moet u uitgebreide toegangsgroepen gebruiken. Maak een bevoorrechte toegangsgroep en ververleent deze permanente actieve toegang tot meerdere rollen. Zie Mogelijkheden voor het beheer van groepen met uitgebreide toegang.

    Als u een Azure AD groep met rollen wilt beheren als een groep met bevoorrechte toegang, moet u deze onder beheer brengen in PIM.

    PIM-instellingen configureren voor groepen met bevoegde toegang

    Maak en configureer instellingen voor de bevoegde toegangsgroepen die u wilt beveiligen met PIM.

    In de volgende tabel ziet u voorbeeldinstellingen:

    Rol MFA vereisen Melding Goedkeuring vereisen Fiatteur Activeringsduur Actieve beheerder Actieve vervaldatum In aanmerking komende vervaldatum
    Eigenaar ✔️ ✔️ ✔️ Andere eigenaren van de resource 1 uur Geen n.v.t. 3 maanden
    Lid ✔️ ✔️ Geen 5 uur Geen n.v.t. 3 maanden

    Geschiktheid toewijzen voor groepen met bevoegde toegang

    U kunt geschiktheid toewijzen aan leden of eigenaren van de groepen met uitgebreide toegang. Met slechts één activering hebben ze toegang tot alle gekoppelde resources.

    Notitie

    U kunt de bevoegde groep op dezelfde manier toewijzen aan een of meer Azure AD- en Azure-resourcerollen als u rollen toewijst aan gebruikers. Er kunnen maximaal 400 groepen waaraan rollen kunnen worden toegewezen, worden gemaakt in één Azure AD organisatie (tenant).

    Geschiktheid toewijzen voor groepen met bevoegde toegang

    Wanneer de verloopdatum van de toewijzing van bevoorrechte groepen nadert, gebruikt u PIM om de groepstoewijzing uit te breiden of te vernieuwen. U hebt goedkeuring van de groepseigenaar nodig.

    PIM-activeringsaanvraag goedkeuren of weigeren

    Configureer groepsleden en eigenaren van bevoegde toegang om goedkeuring te vereisen voor activering en kies gebruikers of groepen van uw Azure AD organisatie als gedelegeerde fiatteurs. U wordt aangeraden twee of meer fiatteurs voor elke groep te selecteren om de werkbelasting voor de beheerder van de bevoorrechte rol te verminderen.

    Rolactiveringsaanvragen voor groepen met bevoorrechte toegang goedkeuren of weigeren. Als gedelegeerde fiatteur ontvangt u een e-mailmelding wanneer een aanvraag in behandeling is voor uw goedkeuring.

    Controlegeschiedenis weergeven voor groepen met bevoegde toegang

    Bekijk de controlegeschiedenis voor alle toewijzingen en activeringen binnen de afgelopen 30 dagen voor groepen met bevoegde toegang.

    Volgende stappen