Fase 1: Het framework implementeren om op schaal te beheren
In deze sectie van de naslaghandleiding voor Microsoft Entra-machtigingsbeheer bewerkingen worden de controles en acties beschreven die u moet overwegen om machtigingen effectief te delegeren en op schaal te beheren.
Een gedelegeerd beheermodel definiëren
Aanbevolen eigenaar: Informatiebeveiligingsarchitectuur
Beheerders van Microsoft Entra-machtigingsbeheer definiëren
Als u wilt beginnen met het operationeel maken van Microsoft Entra-machtigingsbeheer, stelt u twee tot vijf machtigingenbeheer in Beheer istrators die machtigingen delegeren in het product, configureert u sleutelinstellingen en maakt en beheert u de configuratie van uw organisatie.
Belangrijk
Microsoft Entra-machtigingsbeheer is afhankelijk van gebruikers met geldige e-mailadressen. Het is raadzaam dat uw machtigingenbeheer Beheer istrators postvakaccounts hebben ingeschakeld.
Wijs aangewezen beheerders de rol Permissions Management Beheer istrator toe in Microsoft Entra ID om de benodigde taken uit te voeren. U wordt aangeraden Privileged Identity Management (PIM) te gebruiken om uw beheerders just-in-time -toegang (JIT) te bieden tot de rol, in plaats van deze permanent toe te wijzen.
Mapstructuur definiëren en onderhouden
In Permissions Management is een map een groep autorisatiesystemen. U wordt aangeraden mappen te maken op basis van uw strategie voor organisatiedelegering. Als uw organisatie bijvoorbeeld gemachtigden op basis van teams, maakt u mappen voor:
- Productiefinanciering
- Productie-infrastructuur
- Preproductieonderzoek en -ontwikkeling
Een effectieve mapstructuur maakt het eenvoudiger om machtigingen op schaal te delegeren en biedt eigenaren van autorisatiesystemen een positieve productervaring.
Zie Mappen maken om uw autorisatiesystemen te organiseren om uw omgeving te stroomlijnen.
Microsoft Entra-beveiligingsgroepen maken om machtigingen te delegeren
Microsoft Entra-machtigingsbeheer heeft een op groepen gebaseerd toegangssysteem dat gebruikmaakt van Microsoft Entra-beveiligingsgroepen om machtigingen te verlenen aan verschillende autorisatiesystemen. Als u machtigingen wilt delegeren, maakt uw IAM-team Microsoft Entra-beveiligingsgroepen die zijn toegewezen aan autorisatiesysteemeigenaren en machtigingenbeheerverantwoordelijkheden die u definieert. Zorg ervoor dat gebruikers met gedeeld eigendom en verantwoordelijkheden in het product zich in dezelfde beveiligingsgroep bevinden.
U wordt aangeraden PIM te gebruiken voor groepen. Dit biedt JIT-toegang tot machtigingenbeheer voor gebruikers en is afgestemd op Zero Trust JIT en just-enough-access-principes.
Zie Groepen en groepslidmaatschap beheren om Microsoft Entra-beveiligingsgroepen te maken.
Machtigingen toewijzen in Microsoft Entra-machtigingsbeheer
Nadat Microsoft Entra-beveiligingsgroepen zijn gemaakt, verleent een Machtigingsbeheer Beheer istrator beveiligingsgroepen die nodig zijn machtigingen.
Zorg er minimaal voor dat beveiligingsgroepen viewermachtigingen krijgen voor de autorisatiesystemen waarvoor ze verantwoordelijk zijn. Gebruik controllermachtigingen voor beveiligingsgroepen met leden die herstelacties uitvoeren. Meer informatie over Microsoft Entra-machtigingsbeheer rollen en machtigingsniveaus.
Voor meer informatie over het beheren van gebruikers en groepen in Machtigingenbeheer:
- Een gebruiker toevoegen aan of verwijderen uit Microsoft Entra-machtigingsbeheer
- Gebruikers en groepen beheren met het dashboard Gebruikersbeheer
- Machtigingsinstellingen op basis van groepen selecteren
Levenscyclusbeheer van autorisatiesysteem bepalen
Aanbevolen eigenaren: Informatiebeveiligingsarchitectuur en cloudinfrastructuur
Naarmate er nieuwe autorisatiesystemen worden gemaakt en de huidige autorisatiesystemen zich ontwikkelen, maakt en onderhoudt u een goed gedefinieerd proces voor wijzigingen in Microsoft Entra-machtigingsbeheer. De volgende tabel bevat een overzicht van taken en aanbevolen eigenaren.
Opdracht | Aanbevolen eigenaar |
---|---|
Het detectieproces definiëren voor nieuwe autorisatiesystemen die in uw omgeving zijn gemaakt | Informatiebeveiligingsarchitectuur |
Triage- en onboardingprocessen definiëren voor nieuwe autorisatiesystemen voor machtigingenbeheer | Informatiebeveiligingsarchitectuur |
Beheerprocessen definiëren voor nieuwe autorisatiesystemen: machtigingen delegeren en mapstructuur bijwerken | Informatiebeveiligingsarchitectuur |
Ontwikkel een cross-charge structuur. Een kostenbeheerproces bepalen. | Eigenaar verschilt per organisatie |
Een strategie voor het maken van machtigingen en index definiëren
Aanbevolen eigenaar: Informatiebeveiligingsarchitectuur
We raden u aan doelen en gebruiksvoorbeelden te definiëren voor de wijze waarop Pci (Permissions Creep Index) de activiteit en rapportage van Information Security Architecture aanstuurt. Dit team kan de PCI-drempelwaarden voor uw organisatie definiëren en helpen voldoen aan de PCI-drempelwaarden.
Pci-drempelwaarden voor doel vaststellen
PCI-drempelwaarden leiden tot operationeel gedrag en fungeren als beleid om te bepalen wanneer actie vereist is in uw omgeving. PCI-drempelwaarden instellen voor:
- Autorisatiesystemen
- Gebruikers van menselijke identiteit
- Enterprise Directory (ED)
- SAML
- Lokaal
- Gast
- Niet-menselijke identiteiten
Notitie
Omdat niet-menselijke identiteitsactiviteit minder verschilt dan een menselijke identiteit, past u strengere rechtsgrootte toe op niet-menselijke identiteiten: stel een lagere PCI-drempelwaarde in.
PCI-drempelwaarden variëren op basis van de doelstellingen en gebruiksvoorbeelden van uw organisatie. U wordt aangeraden in overeenstemming te zijn met de ingebouwde drempelwaarden voor machtigingenbeheer. Bekijk de volgende PCI-bereiken op risico:
- Laag: 0 tot 33
- Gemiddeld: 34 tot 67
- Hoog: 68 tot 100
Bekijk met behulp van de vorige lijst de volgende pci-drempelwaardebeleidsvoorbeelden:
Categorie | PCI-drempelwaarde | Beleid |
---|---|---|
Autorisatiesystemen | 67: Het autorisatiesysteem classificeren als hoog risico | Als een autorisatiesysteem een PCI-score heeft die hoger is dan 67, controleert u de juiste PCI-identiteiten in het autorisatiesysteem en controleert u de juiste grootte van hoge PCI-identiteiten in het autorisatiesysteem |
Menselijke identiteiten: ED, SAML en lokaal | 67: De menselijke identiteit classificeren als hoog risico | Als een menselijke identiteit een PCI-score heeft die hoger is dan 67, moet u de machtigingen van de identiteit de juiste grootte geven |
Menselijke identiteit: Gastgebruiker | 33: De gastgebruiker classificeren als hoog of gemiddeld risico | Als een gastgebruiker een PCI-score heeft die hoger is dan 33, moet u de machtigingen van de identiteit de juiste grootte geven |
Niet-menselijke identiteiten | 33: De niet-menselijke identiteit classificeren als hoog of gemiddeld risico | Als een niet-menselijke identiteit een PCI-score heeft die hoger is dan 33, heeft de juiste grootte voor de machtigingen van de identiteit |