Het principe van minimale bevoegdheden met Microsoft Entra ID-governance
Een concept dat moet worden aangepakt voordat een strategie voor identiteitsbeheer wordt toegepast, is het principe van minimale bevoegdheden (PLOP). Minimale bevoegdheden is een principe in identiteitsbeheer waarbij gebruikers en groepen alleen het minimale toegangsniveau en machtigingen worden toegewezen die nodig zijn om hun taken uit te voeren. Het idee is om toegangsrechten te beperken, zodat een gebruiker of groep zijn werk kan voltooien, maar ook onnodige bevoegdheden minimaliseert die mogelijk worden misbruikt door aanvallers of leiden tot beveiligingsschendingen.
Wat betreft Microsoft Entra ID-governance, helpt het toepassen van het principe van minimale bevoegdheden de beveiliging te verbeteren en risico's te beperken. Deze aanpak zorgt ervoor dat gebruikers en groepen alleen toegang krijgen tot de resources, gegevens en acties die relevant zijn voor hun rollen en verantwoordelijkheden, en verder niets.
Belangrijkste concepten van het principe van minimale bevoegdheden
Alleen toegang tot vereiste resources: gebruikers krijgen alleen toegang tot informatie en resources als ze echt nodig zijn om hun taken uit te voeren. Dit voorkomt onbevoegde toegang tot gevoelige gegevens en minimaliseert de mogelijke gevolgen van een beveiligingsschending. Het automatiseren van het inrichten van gebruikers helpt onnodige toekenning van toegangsrechten te verminderen. Levenscycluswerkstromen is een functie voor identiteitsbeheer waarmee organisaties Microsoft Entra-gebruikers kunnen beheren door basislevenscyclusprocessen te automatiseren.
Op rollen gebaseerd toegangsbeheer (RBAC): toegangsrechten worden bepaald op basis van de specifieke rollen of taakfuncties van gebruikers. Aan elke rol worden de minimale machtigingen toegewezen die nodig zijn om aan de verantwoordelijkheden te voldoen. Op rollen gebaseerd toegangsbeheer van Microsoft Entra beheert de toegang tot Microsoft Entra-resources.
Just-In-Time-bevoegdheden: toegangsrechten worden alleen verleend voor de duur van de tijd die ze nodig hebben en worden ingetrokken wanneer ze niet meer nodig zijn. Dit vermindert het kansvenster voor aanvallers om te misbruiken van overmatige bevoegdheden. Privileged Identity Management (PIM) is een service in Microsoft Entra ID waarmee u de toegang tot belangrijke resources in uw organisatie kunt beheren, beheren en bewaken en die Just-In-Time-toegang kunnen bieden.
Regelmatige controle en controle: periodieke beoordelingen van gebruikerstoegang en -machtigingen worden uitgevoerd om ervoor te zorgen dat gebruikers nog steeds de toegang vereisen die ze hebben gekregen. Dit helpt bij het identificeren en corrigeren van eventuele afwijkingen van het principe van minimale bevoegdheden. Toegangsbeoordelingen in Microsoft Entra ID, onderdeel van Microsoft Entra, stellen organisaties in staat om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiƫnt te beheren. De gebruikerstoegang kan regelmatig herzien worden om ervoor te zorgen dat alleen de juiste mensen toegang blijven hebben.
Standaard weigeren: de standaardhouding is om toegang te weigeren en toegang wordt expliciet alleen verleend voor goedgekeurde doeleinden. Dit contrasteert met een standaardbenadering voor toestaan, wat kan leiden tot het verlenen van onnodige bevoegdheden. Rechtenbeheer is een functie voor identiteitsbeheer waarmee organisaties de levenscyclus van identiteiten en toegang op schaal kunnen beheren door werkstromen voor toegangsaanvragen, toegangstoewijzingen, beoordelingen en verlooptijd te automatiseren.
Door het principe van minimale bevoegdheden te volgen, kan uw organisatie het risico op beveiligingsproblemen verminderen en ervoor zorgen dat toegangsbeheer wordt afgestemd op bedrijfsbehoeften.
Functies met minimale bevoegdheden voor het beheren van identiteitsbeheerfuncties
U kunt het beste de minst bevoorrechte rol gebruiken om beheertaken in Identity Governance uit te voeren. U wordt aangeraden Microsoft Entra PIM te gebruiken om zo nodig een rol te activeren om deze taken uit te voeren. Hieronder vindt u de minst bevoorrechte directoryrollen voor het configureren van Identity Governance-functies:
| Functie | Minst bevoorrechte rol |
|---|---|
| Rechtenbeheer | Identity Governance-beheerder |
| Toegangsbeoordelingen | Gebruikersbeheerder (met uitzondering van toegangsbeoordelingen van Azure- of Microsoft Entra-rollen, waarvoor beheerder van bevoorrechte rollen is vereist) |
| Levenscycluswerkstromen | Beheerder van levenscycluswerkstromen |
| Privileged Identity Management | Beheerder voor bevoorrechte rollen |
| Gebruiksvoorwaarden | Beveiligingsbeheerder of Beheerder voor voorwaardelijke toegang |
Notitie
De minst bevoorrechte rol voor rechtenbeheer is gewijzigd van de rol Gebruikersbeheerder naar de rol Identity Governance-beheerder.