Snelstartgids voor Microsoft Entra-machtigingsbeheer

  • Artikel

Welkom bij de quickstartgids voor Microsoft Entra-machtigingsbeheer.

Permissions Management is een CIEM-oplossing (Cloud Infrastructure Entitlement Management) die uitgebreide inzicht biedt in machtigingen die aan alle identiteiten zijn toegewezen. Deze identiteiten omvatten overprivilegieerde workload en gebruikersidentiteiten, acties en resources in infrastructuren met meerdere clouds in Microsoft Azure, Amazon Web Services (AWS) en Google Cloud Platform (GCP). Met machtigingenbeheer kunt u uw organisatie cloudmachtigingen effectief beveiligen en beheren door het detecteren, automatisch aanpassen van de grootte en het continu bewaken van ongebruikte en overmatige machtigingen.

Met deze quickstartgids stelt u uw omgeving(en) met meerdere clouds in, configureert u gegevensverzameling en schakelt u machtigingentoegang in om ervoor te zorgen dat uw cloudidentiteiten worden beheerd en beveiligd.

Vereisten

Voordat u begint, hebt u toegang nodig tot deze hulpprogramma's voor het onboardingproces:

  • Toegang tot een lokale BASH-shell met de Azure CLI of Azure Cloud Shell met behulp van BASH-omgeving (Azure CLI is inbegrepen).
  • Toegang tot AWS-, Azure- en GCP-consoles.
  • Een gebruiker moet beschikken over de roltoewijzing Global Beheer istrator om een nieuwe app-registratie te maken in Microsoft Entra-tenant is vereist voor AWS- en GCP-onboarding.

Stap 1: Machtigingenbeheer instellen

Als u machtigingenbeheer wilt inschakelen, moet u een Microsoft Entra-tenant hebben (bijvoorbeeld het Microsoft Entra-beheercentrum).

  • Als u een Azure-account hebt, hebt u automatisch een Tenant voor het Microsoft Entra-beheercentrum.
  • Als u nog geen account hebt, maakt u een gratis account op entra.microsoft.com.

Als aan de bovenstaande punten wordt voldaan, gaat u verder met:

Microsoft Entra-machtigingenbeheer inschakelen in uw organisatie

Zorg ervoor dat u een Global Beheer istrator bent. Meer informatie over rollen en machtigingen voor machtigingenbeheer.

A diagram showing where Microsoft Entra intersect with Azure roles in the Microsoft Entra tenant.

Stap 2: Uw omgeving met meerdere clouds onboarden

Tot nu toe heb je,

  1. De rol Permissions Management Beheer istrator is toegewezen in uw Microsoft Entra-beheercentrumtenant.
  2. Aangeschafte licenties of uw gratis proefversie van 45 dagen geactiveerd voor Permissions Management.
  3. Machtigingenbeheer is gestart.

Nu krijgt u meer informatie over de rol en instellingen van de modi Controller en Gegevensverzameling in Machtigingenbeheer.

De controller instellen

De controller biedt u de keuze om het toegangsniveau te bepalen dat u aan gebruikers verleent in Machtigingsbeheer.

  • Het inschakelen van de controller tijdens onboarding verleent beheerderstoegang voor machtigingenbeheer of lees- en schrijftoegang, zodat gebruikers machtigingen met de juiste grootte kunnen aanpassen en rechtstreeks kunnen herstellen via Machtigingenbeheer (in plaats van naar de AWS-, Azure- of GCP-consoles te gaan). 

  • Als u de controller uitschakelt tijdens onboarding of deze nooit inschakelt, verleent u een gebruiker met het kenmerk Machtigingenbeheer alleen-lezentoegang tot uw omgeving(en).

Notitie

Als u de controller niet inschakelt tijdens het onboarden, kunt u deze inschakelen nadat de onboarding is voltooid. Als u de controller wilt instellen in Machtigingenbeheer na onboarding, raadpleegt u De controller in- of uitschakelen na onboarding. Voor AWS-omgevingen kunt u deze niet uitschakelen nadat u de controller hebt ingeschakeld.

De controllerinstellingen instellen tijdens de onboarding:

  1. Selecteer Inschakelen om lees- en schrijftoegang te geven tot Machtigingenbeheer.
  2. Selecteer Uitschakelen om alleen-lezentoegang te verlenen tot Machtigingsbeheer.

Gegevensverzameling configureren

Er zijn drie modi waaruit u kunt kiezen om gegevens te verzamelen in Machtigingsbeheer.

  • Automatisch (aanbevolen) Machtigingenbeheer detecteert, onboardt en bewaakt automatisch alle huidige en toekomstige abonnementen.

  • Voer handmatig afzonderlijke abonnementen in voor Machtigingenbeheer om machtigingen te detecteren, onboarden en bewaken. U kunt maximaal 100 abonnementen per gegevensverzameling invoeren.

  • Selecteer Machtigingenbeheer detecteert automatisch alle huidige abonnementen. Nadat u hebt gedetecteerd, selecteert u welke abonnementen u wilt onboarden en bewaken.

Notitie

Als u de modus Automatisch of Selecteren wilt gebruiken, moet de controller zijn ingeschakeld tijdens het configureren van gegevensverzameling.

Gegevensverzameling configureren:

  1. Ga in Machtigingenbeheer naar de pagina Gegevensverzamelaars .
  2. Selecteer een cloudomgeving: AWS, Azure of GCP.
  3. Klik op Configuratie maken.

Notitie

Het proces voor het verzamelen van gegevens duurt enige tijd en vindt plaats in de meeste gevallen in ongeveer 4-5 uursintervallen. Het tijdsbestek is afhankelijk van de grootte van het autorisatiesysteem dat u hebt en hoeveel gegevens beschikbaar zijn voor verzameling.

Amazon Web Services onboarden (AWS)

Aangezien Permissions Management wordt gehost op Microsoft Entra, zijn er meer stappen om uw AWS-omgeving te onboarden.

Als u AWS wilt verbinden met Machtigingenbeheer, moet u een Microsoft Entra-toepassing maken in de tenant van het Microsoft Entra-beheercentrum waarvoor Machtigingenbeheer is ingeschakeld. Deze Microsoft Entra-toepassing wordt gebruikt voor het instellen van een OIDC-verbinding met uw AWS-omgeving.

OpenID Verbinding maken (OIDC) is een interoperabel verificatieprotocol op basis van de OAuth 2.0-serie specificaties.

A diagram showing the connection between Microsoft Entra ID and an AWS cloud environment.

Vereisten

Een gebruiker moet de roltoewijzingen Global Beheer istrator of Permissions Management Beheer hebben om een nieuwe app-registratie te maken in Microsoft Entra-id.

Account-id's en -rollen voor:

  • AWS OIDC-account: een AWS-lidaccount dat door u is aangewezen voor het maken en hosten van de OIDC-verbinding via een OIDC IdP
  • AWS-logboekregistratieaccount (optioneel maar aanbevolen)
  • AWS-beheeraccount (optioneel maar aanbevolen)
  • AWS-lidaccounts bewaakt en beheerd door Permissions Management (voor handmatige modus)

Als u automatische of geselecteerde gegevensverzamelingsmodi wilt gebruiken, moet u uw AWS-beheeraccount verbinden.

Tijdens deze stap kunt u de controller inschakelen door de naam van de S3-bucket in te voeren met AWS CloudTrail-activiteitenlogboeken (te vinden op AWS Trails).

Zie Een AwS-account (Amazon Web Services) onboarden om uw AWS-omgeving te onboarden en gegevensverzameling te configureren.

Microsoft Azure onboarden

Wanneer u Machtigingenbeheer hebt ingeschakeld in de Microsoft Entra-tenant, is er een bedrijfstoepassing voor CIEM gemaakt. Als u uw Azure-omgeving wilt onboarden, verleent u machtigingen aan deze toepassing voor machtigingenbeheer.

  1. Zoek in de Microsoft Entra-tenant waar machtigingenbeheer is ingeschakeld de CIEM-bedrijfstoepassing (Cloud Infrastructure Entitlement Management).

  2. Wijs de rol Lezer toe aan de CIEM-toepassing om machtigingenbeheer toe te staan om de Microsoft Entra-abonnementen in uw omgeving te lezen.

A diagram showing the connection between the Microsoft Entra role connections to an Azure subscription.

Vereisten

  • Een gebruiker met Microsoft.Authorization/roleAssignments/write machtigingen binnen het bereik van het abonnement of de beheergroep om rollen toe te wijzen aan de CIEM-toepassing.

  • Als u de modus Voor het verzamelen van gegevens automatisch of selecteren wilt gebruiken, moet u de rol Lezer toewijzen op het bereik van de beheergroep.

  • Als u de controller wilt inschakelen, moet u de rol Gebruikerstoegang Beheer istrator toewijzen aan de CIEM-toepassing.

Zie Onboarding van een Microsoft Azure-abonnement als u uw Azure-omgeving wilt onboarden en gegevensverzameling wilt configureren.

Onboarding van Google Cloud Platform (GCP)

Omdat Permissions Management wordt gehost in Microsoft Azure, zijn er extra stappen die u moet uitvoeren om uw GCP-omgeving te onboarden.

Als u GCP wilt verbinden met Machtigingenbeheer, moet u een Microsoft Entra-beheercentrumtoepassing maken in de Microsoft Entra-tenant waar Permissions Management is ingeschakeld. Deze Microsoft Entra-beheercentrumtoepassing wordt gebruikt voor het instellen van een OIDC-verbinding met uw GCP-omgeving.

OpenID Verbinding maken (OIDC) is een interoperabel verificatieprotocol op basis van de OAuth 2.0-serie specificaties.

A diagram showing the connection between the Microsoft Entra OIDC application and a GCP cloud environment.

Vereisten

Een gebruiker met de mogelijkheid om een nieuwe app-registratie te maken in Microsoft Entra (die nodig is om de OIDC-verbinding te vergemakkelijken) is nodig voor AWS- en GCP-onboarding.

Id-gegevens voor:

  • GCP OIDC-project: een GCP-project dat door u is aangewezen voor het maken en hosten van de OIDC-verbinding via een OIDC IdP.
    • Projectnummer en project-id
  • GCP OIDC-workloadidentiteit
    • Pool-id, provider-id van pool
  • GCP OIDC-serviceaccount
    • G-suite IdP Secret name and G-suite IdP user email (optioneel)
    • Id's voor de GCP-projecten die u wilt onboarden (optioneel, voor handmatige modus)

Wijs de rollen Viewer en Beveiligingsrevisor toe aan het GCP-serviceaccount op organisatie-, map- of projectniveaus om leestoegang te verlenen tot uw GCP-omgeving.

Tijdens deze stap hebt u de mogelijkheid om de controllermodus in te schakelen door de rollen Role Beheer istrator en Security Beheer istrator toe te wijzen aan het GCP-serviceaccount op organisatie-, map- of projectniveaus.

Notitie

Het standaardbereik Machtigingenbeheer bevindt zich op projectniveau.

Zie Een GCP-project onboarden om uw GCP-omgeving te onboarden en gegevensverzameling te configureren.

Samenvatting

Gefeliciteerd U hebt klaar met het configureren van gegevensverzameling voor uw omgeving(en) en het proces voor het verzamelen van gegevens is gestart. Het proces voor het verzamelen van gegevens duurt enige tijd; in de meeste gevallen ongeveer 4-5 uur. Het tijdsbestek is afhankelijk van de hoeveelheid autorisatiesystemen die u hebt voorbereid en hoeveel gegevens beschikbaar zijn voor verzameling.

In de statuskolom in de gebruikersinterface voor machtigingenbeheer ziet u in welke stap van het verzamelen van gegevens u zich bevindt.

  • In behandeling: Het beheer van machtigingen is nog niet gestart met detecteren of onboarden.
  • Detecteren: Machtigingenbeheer detecteert de autorisatiesystemen.
  • Wordt uitgevoerd: Machtigingenbeheer is klaar met het detecteren van de autorisatiesystemen en onboarding.
  • Onboarding: het verzamelen van gegevens is voltooid en alle gedetecteerde autorisatiesystemen worden toegevoegd aan Machtigingsbeheer.

Notitie

Terwijl het proces voor het verzamelen van gegevens wordt voortgezet, kunt u beginnen met het instellen van gebruikers en groepen in Machtigingsbeheer.

Volgende stappen

Naslaginformatie: