Delen via


Fase 1: Het framework implementeren om op schaal te beheren

In deze sectie van de naslaghandleiding voor Microsoft Entra-machtigingsbeheer bewerkingen worden de controles en acties beschreven die u moet overwegen om machtigingen effectief te delegeren en op schaal te beheren.

Een gedelegeerd beheermodel definiëren

Aanbevolen eigenaar: Informatiebeveiligingsarchitectuur

Beheerders van Microsoft Entra-machtigingsbeheer definiëren

Als u wilt beginnen met het operationeel maken van Microsoft Entra-machtigingsbeheer, stelt u twee tot vijf machtigingenbeheer in Beheer istrators die machtigingen delegeren in het product, configureert u sleutelinstellingen en maakt en beheert u de configuratie van uw organisatie.

Belangrijk

Microsoft Entra-machtigingsbeheer is afhankelijk van gebruikers met geldige e-mailadressen. Het is raadzaam dat uw machtigingenbeheer Beheer istrators postvakaccounts hebben ingeschakeld.

Wijs aangewezen beheerders de rol Permissions Management Beheer istrator toe in Microsoft Entra ID om de benodigde taken uit te voeren. U wordt aangeraden Privileged Identity Management (PIM) te gebruiken om uw beheerders just-in-time -toegang (JIT) te bieden tot de rol, in plaats van deze permanent toe te wijzen.

Mapstructuur definiëren en onderhouden

In Permissions Management is een map een groep autorisatiesystemen. U wordt aangeraden mappen te maken op basis van uw strategie voor organisatiedelegering. Als uw organisatie bijvoorbeeld gemachtigden op basis van teams, maakt u mappen voor:

  • Productiefinanciering
  • Productie-infrastructuur
  • Preproductieonderzoek en -ontwikkeling

Een effectieve mapstructuur maakt het eenvoudiger om machtigingen op schaal te delegeren en biedt eigenaren van autorisatiesystemen een positieve productervaring.

Zie Mappen maken om uw autorisatiesystemen te organiseren om uw omgeving te stroomlijnen.

Microsoft Entra-beveiligingsgroepen maken om machtigingen te delegeren

Microsoft Entra-machtigingsbeheer heeft een op groepen gebaseerd toegangssysteem dat gebruikmaakt van Microsoft Entra-beveiligingsgroepen om machtigingen te verlenen aan verschillende autorisatiesystemen. Als u machtigingen wilt delegeren, maakt uw IAM-team Microsoft Entra-beveiligingsgroepen die zijn toegewezen aan autorisatiesysteemeigenaren en machtigingenbeheerverantwoordelijkheden die u definieert. Zorg ervoor dat gebruikers met gedeeld eigendom en verantwoordelijkheden in het product zich in dezelfde beveiligingsgroep bevinden.

U wordt aangeraden PIM te gebruiken voor groepen. Dit biedt JIT-toegang tot machtigingenbeheer voor gebruikers en is afgestemd op Zero Trust JIT en just-enough-access-principes.

Zie Groepen en groepslidmaatschap beheren om Microsoft Entra-beveiligingsgroepen te maken.

Machtigingen toewijzen in Microsoft Entra-machtigingsbeheer

Nadat Microsoft Entra-beveiligingsgroepen zijn gemaakt, verleent een Machtigingsbeheer Beheer istrator beveiligingsgroepen die nodig zijn machtigingen.

Zorg er minimaal voor dat beveiligingsgroepen viewermachtigingen krijgen voor de autorisatiesystemen waarvoor ze verantwoordelijk zijn. Gebruik controllermachtigingen voor beveiligingsgroepen met leden die herstelacties uitvoeren. Meer informatie over Microsoft Entra-machtigingsbeheer rollen en machtigingsniveaus.

Voor meer informatie over het beheren van gebruikers en groepen in Machtigingenbeheer:

Levenscyclusbeheer van autorisatiesysteem bepalen

Aanbevolen eigenaren: Informatiebeveiligingsarchitectuur en cloudinfrastructuur

Naarmate er nieuwe autorisatiesystemen worden gemaakt en de huidige autorisatiesystemen zich ontwikkelen, maakt en onderhoudt u een goed gedefinieerd proces voor wijzigingen in Microsoft Entra-machtigingsbeheer. De volgende tabel bevat een overzicht van taken en aanbevolen eigenaren.

Opdracht Aanbevolen eigenaar
Het detectieproces definiëren voor nieuwe autorisatiesystemen die in uw omgeving zijn gemaakt Informatiebeveiligingsarchitectuur
Triage- en onboardingprocessen definiëren voor nieuwe autorisatiesystemen voor machtigingenbeheer Informatiebeveiligingsarchitectuur
Beheerprocessen definiëren voor nieuwe autorisatiesystemen: machtigingen delegeren en mapstructuur bijwerken Informatiebeveiligingsarchitectuur
Ontwikkel een cross-charge structuur. Een kostenbeheerproces bepalen. Eigenaar verschilt per organisatie

Een strategie voor het maken van machtigingen en index definiëren

Aanbevolen eigenaar: Informatiebeveiligingsarchitectuur

We raden u aan doelen en gebruiksvoorbeelden te definiëren voor de wijze waarop Pci (Permissions Creep Index) de activiteit en rapportage van Information Security Architecture aanstuurt. Dit team kan de PCI-drempelwaarden voor uw organisatie definiëren en helpen voldoen aan de PCI-drempelwaarden.

Pci-drempelwaarden voor doel vaststellen

PCI-drempelwaarden leiden tot operationeel gedrag en fungeren als beleid om te bepalen wanneer actie vereist is in uw omgeving. PCI-drempelwaarden instellen voor:

  • Autorisatiesystemen
  • Gebruikers van menselijke identiteit
    • Enterprise Directory (ED)
    • SAML
    • Lokaal
    • Gast
  • Niet-menselijke identiteiten

Notitie

Omdat niet-menselijke identiteitsactiviteit minder verschilt dan een menselijke identiteit, past u strengere rechtsgrootte toe op niet-menselijke identiteiten: stel een lagere PCI-drempelwaarde in.

PCI-drempelwaarden variëren op basis van de doelstellingen en gebruiksvoorbeelden van uw organisatie. U wordt aangeraden in overeenstemming te zijn met de ingebouwde drempelwaarden voor machtigingenbeheer. Bekijk de volgende PCI-bereiken op risico:

  • Laag: 0 tot 33
  • Gemiddeld: 34 tot 67
  • Hoog: 68 tot 100

Bekijk met behulp van de vorige lijst de volgende pci-drempelwaardebeleidsvoorbeelden:

Categorie PCI-drempelwaarde Beleid
Autorisatiesystemen 67: Het autorisatiesysteem classificeren als hoog risico Als een autorisatiesysteem een PCI-score heeft die hoger is dan 67, controleert u de juiste PCI-identiteiten in het autorisatiesysteem en controleert u de juiste grootte van hoge PCI-identiteiten in het autorisatiesysteem
Menselijke identiteiten: ED, SAML en lokaal 67: De menselijke identiteit classificeren als hoog risico Als een menselijke identiteit een PCI-score heeft die hoger is dan 67, moet u de machtigingen van de identiteit de juiste grootte geven
Menselijke identiteit: Gastgebruiker 33: De gastgebruiker classificeren als hoog of gemiddeld risico Als een gastgebruiker een PCI-score heeft die hoger is dan 33, moet u de machtigingen van de identiteit de juiste grootte geven
Niet-menselijke identiteiten 33: De niet-menselijke identiteit classificeren als hoog of gemiddeld risico Als een niet-menselijke identiteit een PCI-score heeft die hoger is dan 33, heeft de juiste grootte voor de machtigingen van de identiteit

Volgende stappen