Najlepsze rozwiązania dotyczące ról firmy Microsoft Entra

  • Artykuł

W tym artykule opisano niektóre z najlepszych rozwiązań dotyczących korzystania z kontroli dostępu opartej na rolach firmy Microsoft (Microsoft Entra RBAC). Te najlepsze rozwiązania są oparte na naszych doświadczeniach z kontrolą dostępu opartą na rolach firmy Microsoft i doświadczeniami klientów, takich jak ty. Zachęcamy do zapoznania się z naszymi szczegółowymi wskazówkami dotyczącymi zabezpieczeń na stronie Zabezpieczanie uprzywilejowanego dostępu do wdrożeń hybrydowych i w chmurze w usłudze Microsoft Entra ID.

1. Stosowanie zasady najniższych uprawnień

Podczas planowania strategii kontroli dostępu najlepszym rozwiązaniem jest zarządzanie najniższymi uprawnieniami. Najmniejsze uprawnienia oznaczają, że przyznajesz administratorom dokładnie uprawnienia, które muszą wykonać. Istnieją trzy aspekty, które należy wziąć pod uwagę podczas przypisywania roli administratorom: określony zestaw uprawnień w określonym zakresie przez określony okres czasu. Unikaj przypisywania szerszych ról w szerszych zakresach, nawet jeśli początkowo wydaje się to bardziej wygodne. Ograniczając role i zakresy, ograniczasz, jakie zasoby są zagrożone, jeśli podmiot zabezpieczeń kiedykolwiek zostanie naruszony. Kontrola dostępu oparta na rolach firmy Microsoft obsługuje ponad 65 wbudowanych ról. Istnieją role firmy Microsoft Entra do zarządzania obiektami katalogu, takimi jak użytkownicy, grupy i aplikacje, a także zarządzanie usługami platformy Microsoft 365, takimi jak Exchange, SharePoint i Intune. Aby lepiej zrozumieć wbudowane role firmy Microsoft, zobacz Omówienie ról w identyfikatorze Entra firmy Microsoft. Jeśli nie ma wbudowanej roli, która spełnia Twoje potrzeby, możesz utworzyć własne role niestandardowe.

Znajdowanie odpowiednich ról

Wykonaj następujące kroki, aby ułatwić znalezienie odpowiedniej roli.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.

  2. Przejdź do pozycji Role tożsamości>i administratorzy Role i administratorzy.>

  3. Użyj filtru Usługi, aby zawęzić listę ról.

    Roles and administrators page in admin center with Service filter open.

  4. Zapoznaj się z dokumentacją wbudowanych ról firmy Microsoft. Uprawnienia skojarzone z każdą rolą są wyświetlane razem, aby uzyskać lepszą czytelność. Aby zrozumieć strukturę i znaczenie uprawnień roli, zobacz Jak zrozumieć uprawnienia roli.

  5. Zapoznaj się z dokumentacją Najmniej uprzywilejowaną rolą według zadań .

2. Użyj usługi Privileged Identity Management, aby udzielić dostępu just in time

Jedną z zasad najniższych uprawnień jest to, że dostęp powinien być udzielany tylko wtedy, gdy jest to wymagane. Usługa Microsoft Entra Privileged Identity Management (PIM) umożliwia udzielanie administratorom dostępu just in time. Firma Microsoft zaleca używanie usługi PIM w usłudze Microsoft Entra ID. Korzystając z usługi PIM, użytkownik może kwalifikować się do roli Firmy Microsoft Entra, gdzie może następnie aktywować rolę przez ograniczony czas w razie potrzeby. Dostęp uprzywilejowany jest automatycznie usuwany po wygaśnięciu przedziału czasu. Możesz również skonfigurować ustawienia usługi PIM, aby wymagać zatwierdzenia, otrzymywać wiadomości e-mail z powiadomieniami, gdy ktoś aktywuje przypisanie roli lub inne ustawienia roli. Powiadomienia zapewniają alert, gdy nowi użytkownicy zostaną dodani do ról o wysokim poziomie uprawnień. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień roli entra firmy Microsoft w usłudze Privileged Identity Management.

3. Włącz uwierzytelnianie wieloskładnikowe dla wszystkich kont administratorów

W oparciu o nasze badania twoje konto jest o 99,9% mniej prawdopodobne, jeśli korzystasz z uwierzytelniania wieloskładnikowego (MFA).

Uwierzytelnianie wieloskładnikowe w rolach firmy Microsoft Entra można włączyć przy użyciu dwóch metod:

4. Konfigurowanie cyklicznych przeglądów dostępu w celu odwołania niepotrzebnych uprawnień w czasie

Przeglądy dostępu umożliwiają organizacjom regularne przeglądanie dostępu administratora, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp. Regularne przeprowadzanie inspekcji administratorów ma kluczowe znaczenie z następujących powodów:

  • Złośliwy aktor może naruszyć bezpieczeństwo konta.
  • Osoby przenieść zespoły w firmie. Jeśli nie ma inspekcji, mogą zgromadzić niepotrzebny dostęp w czasie.

Firma Microsoft zaleca używanie przeglądów dostępu do znajdowania i usuwania przypisań ról, które nie są już potrzebne. Pomaga to zmniejszyć ryzyko nieautoryzowanego lub nadmiernego dostępu i utrzymać standardy zgodności.

Aby uzyskać informacje na temat przeglądów dostępu dla ról, zobacz Tworzenie przeglądu dostępu dla zasobów platformy Azure i ról usługi Microsoft Entra w usłudze PIM. Aby uzyskać informacje na temat przeglądów dostępu grup, które są przypisane role, zobacz Tworzenie przeglądu dostępu grup i aplikacji w usłudze Microsoft Entra ID.

5. Ogranicz liczbę globalnych Administracja istratorów do mniej niż 5

Najlepszym rozwiązaniem jest przypisanie roli Globalnego Administracja istratora do mniej niż pięciu osób w organizacji. Globalne Administracja istratory zasadniczo mają nieograniczony dostęp i jest to w najlepszym interesie, aby utrzymać niską powierzchnię ataku. Jak wspomniano wcześniej, wszystkie te konta powinny być chronione za pomocą uwierzytelniania wieloskładnikowego.

Jeśli masz co najmniej 5 uprzywilejowanych przypisań ról globalnych Administracja istratora, na stronie przeglądu usługi Microsoft Entra zostanie wyświetlona karta alertu Global Administracja istrator, aby ułatwić monitorowanie przypisań ról globalnego Administracja istratora.

Screenshot of the Microsoft Entra Overview page that shows a card with the number of privileged role assignments.

Domyślnie po zarejestrowaniu się użytkownika w usłudze w chmurze firmy Microsoft tworzona jest dzierżawa entra firmy Microsoft, a użytkownik ma przypisaną rolę Global Administracja istrators. Użytkownicy, którym przypisano rolę Global Administracja istrator, mogą odczytywać i modyfikować prawie każde ustawienie administracyjne w organizacji firmy Microsoft Entra. Z kilkoma wyjątkami administratorzy globalni również mogą odczytywać i modyfikować wszystkie ustawienia konfiguracji w organizacji korzystającej z platformy Microsoft 365. Global Administracja istratory mają również możliwość podniesienia poziomu dostępu do odczytu danych.

Firma Microsoft zaleca, aby zachować dwa konta ze szkła break glass, które są trwale przypisane do roli Global Administracja istrator. Upewnij się, że te konta nie wymagają tego samego mechanizmu uwierzytelniania wieloskładnikowego co normalne konta administracyjne do logowania, zgodnie z opisem w temacie Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.

6. Ogranicz liczbę przypisań ról uprzywilejowanych do mniejszej niż 10

Niektóre role obejmują uprawnienia uprzywilejowane, takie jak możliwość aktualizowania poświadczeń. Ponieważ te role mogą potencjalnie prowadzić do podniesienia uprawnień, należy ograniczyć użycie tych przypisań ról uprzywilejowanych do mniej niż 10 w organizacji. Jeśli przekroczysz 10 przypisań ról uprzywilejowanych, na stronie Role i administratorzy zostanie wyświetlone ostrzeżenie.

Screenshot of the Microsoft Entra roles and administrators page that shows the privileged role assignments warning.

Możesz zidentyfikować role, uprawnienia i przypisania ról, które są uprzywilejowane, wyszukując etykietę PRIVILEGED . Aby uzyskać więcej informacji, zobacz Privileged roles and permissions in Microsoft Entra ID (Uprzywilejowane role i uprawnienia w usłudze Microsoft Entra ID).

7. Użyj grup dla przypisań ról firmy Microsoft Entra i deleguj przypisanie roli

Jeśli masz zewnętrzny system zapewniania ładu, który korzysta z grup, należy rozważyć przypisanie ról do grup firmy Microsoft Entra zamiast poszczególnych użytkowników. Możesz również zarządzać grupami z możliwością przypisywania ról w usłudze PIM, aby upewnić się, że w tych grupach uprzywilejowanych nie ma żadnych stałych właścicieli ani członków. Aby uzyskać więcej informacji, zobacz Privileged Identity Management (PIM) for Groups (Privileged Identity Management— PIM).

Możesz przypisać właściciela do grup z możliwością przypisywania ról. Ten właściciel decyduje, kto jest dodawany lub usuwany z grupy, dlatego pośrednio decyduje, kto otrzymuje przypisanie roli. W ten sposób administrator globalny Administracja lub rola uprzywilejowana Administracja istrator może delegować zarządzanie rolami na podstawie poszczególnych ról przy użyciu grup. Aby uzyskać więcej informacji, zobacz Zarządzanie przypisaniami ról przy użyciu grup entra firmy Microsoft.

8. Aktywowanie wielu ról jednocześnie przy użyciu usługi PIM dla grup

Może się zdarzyć, że dana osoba ma pięć lub sześć kwalifikujących się przypisań do ról firmy Microsoft za pośrednictwem usługi PIM. Będą musieli aktywować każdą rolę indywidualnie, co może zmniejszyć produktywność. Co gorsza, mogą również mieć przydzielone dziesiątki lub setki zasobów platformy Azure, co pogarsza problem.

W takim przypadku należy użyć usługi Privileged Identity Management (PIM) dla grup. Utwórz usługę PIM dla grup i przyznaj jej stały dostęp do wielu ról (Microsoft Entra ID i/lub Azure). Ustaw tego użytkownika na uprawnionego członka lub właściciela tej grupy. Po prostu jedna aktywacja będzie miała dostęp do wszystkich połączonych zasobów.

PIM for Groups diagram showing activating multiple roles at once

9. Używanie natywnych kont w chmurze dla ról firmy Microsoft Entra

Unikaj używania lokalnych zsynchronizowanych kont dla przypisań ról firmy Microsoft Entra. Jeśli twoje konto lokalne zostało naruszone, może również naruszyć bezpieczeństwo zasobów firmy Microsoft Entra.

Następne kroki