Udostępnij za pośrednictwem


Przewodnik referencyjny dotyczący operacji Zarządzanie tożsamością Microsoft Entra

W tej sekcji przewodnika dokumentacji dotyczącej operacji firmy Microsoft opisano kontrole i działania, które należy wykonać, aby ocenić i potwierdzić dostęp udzielony nieuprzywilejowany i uprzywilejowany tożsamości, inspekcja i kontrola zmian w środowisku.

Nuta

Te zalecenia są aktualne od daty opublikowania, ale mogą ulec zmianie w czasie. Organizacje powinny stale oceniać swoje praktyki zapewniania ładu w miarę rozwoju produktów i usług firmy Microsoft w miarę upływu czasu.

Kluczowe procesy operacyjne

Przypisywanie właścicieli do kluczowych zadań

Zarządzanie identyfikatorem Entra firmy Microsoft wymaga ciągłego wykonywania kluczowych zadań operacyjnych i procesów, które mogą nie być częścią projektu wdrażania. Nadal ważne jest skonfigurowanie tych zadań w celu zoptymalizowania środowiska. Najważniejsze zadania i ich zalecanych właścicieli obejmują:

Zadanie Właściciel
Archiwizowanie dzienników inspekcji firmy Microsoft Entra w systemie SIEM Zespół operacyjny programu InfoSec
Odnajdywanie aplikacji zarządzanych poza zgodnością Zespół operacyjny ds. tożsamości
Regularne przeglądanie dostępu do aplikacji Zespół architektury programu InfoSec
Regularne przeglądanie dostępu do tożsamości zewnętrznych Zespół architektury programu InfoSec
Regularnie sprawdzaj, kto ma uprzywilejowane role Zespół architektury programu InfoSec
Definiowanie bram zabezpieczeń w celu aktywowania ról uprzywilejowanych Zespół architektury programu InfoSec
Regularne przeglądanie udzielanych zgody Zespół architektury programu InfoSec
Projektowanie katalogów i pakietów dostępu dla aplikacji i zasobów opartych na pracownikach w organizacji Właściciele aplikacji
Definiowanie zasad zabezpieczeń w celu przypisania użytkowników do pakietów dostępu Zespół programu InfoSec i właściciele aplikacji
Jeśli zasady obejmują przepływy pracy zatwierdzania, regularnie przeglądaj zatwierdzenia przepływu pracy Właściciele aplikacji
Przegląd wyjątków w zasadach zabezpieczeń, takich jak zasady dostępu warunkowego, przy użyciu przeglądów dostępu Zespół operacyjny programu InfoSec

Podczas przeglądania listy może być konieczne przypisanie właściciela do zadań, które nie mają właściciela, lub dostosowanie własności do zadań z właścicielami, którzy nie są zgodni z podanymi zaleceniami.

Testowanie zmian konfiguracji

Istnieją zmiany, które wymagają specjalnych zagadnień podczas testowania, od prostych technik, takich jak wdrażanie docelowego podzbioru użytkowników w celu wdrożenia zmiany w dzierżawie testów równoległych. Jeśli nie masz jeszcze zaimplementować strategii testowania, należy zdefiniować podejście testowe na podstawie wytycznych w tabeli:

Scenariusz Zalecenie
Zmień typ uwierzytelniania z federacyjnego na PHS/PTA lub na odwrót Użyj wprowadzania etapowego, aby przetestować efekt zmiany typu uwierzytelniania.
Wdrażanie nowych zasad dostępu warunkowego Utwórz nowe zasady dostępu warunkowego i przypisz je do użytkowników testowych.
Dołączanie środowiska testowego aplikacji Dodaj aplikację do środowiska produkcyjnego, ukryj ją z panelu MyApps i przypisz ją do użytkowników testowych w fazie zapewniania jakości (QA).
Zmiana reguł synchronizacji Przeprowadź zmiany w testowym programie Microsoft Entra Connect z tą samą konfiguracją, która jest obecnie w środowisku produkcyjnym, znana również jako tryb przejściowy, i analizuj wyniki eksportu. W przypadku spełnienia tego celu zamień na środowisko produkcyjne, gdy wszystko będzie gotowe.
Zmiana znakowania Testowanie w oddzielnej dzierżawie testowej.
Wdrażanie nowej funkcji Jeśli funkcja obsługuje wdrażanie w docelowym zestawie użytkowników, zidentyfikuj użytkowników pilotażowych i skompiluj. Na przykład samoobsługowe resetowanie haseł i uwierzytelnianie wieloskładnikowe mogą dotyczyć określonych użytkowników lub grup.
Przechodzenie do aplikacji z lokalnego dostawcy tożsamości (IdP), na przykład usługi Active Directory, do identyfikatora Entra firmy Microsoft Jeśli aplikacja obsługuje wiele konfiguracji dostawcy tożsamości, na przykład Salesforce, skonfiguruj zarówno identyfikator Entra firmy Microsoft, jak i podczas okna zmiany (w przypadku wprowadzenia strony przez aplikację). Jeśli aplikacja nie obsługuje wielu dostawców tożsamości, zaplanuj testowanie podczas okna sterowania zmianą i przestoju programu.
Aktualizowanie reguł dla dynamicznych grup członkostwa Utwórz równoległą grupę dynamiczną przy użyciu nowej reguły. Porównaj z wynikiem obliczeniowym, na przykład uruchom program PowerShell z tym samym warunkiem.
W przypadku testu zamień miejsca, w których była używana stara grupa (jeśli jest to możliwe).
Migrowanie licencji produktów Zapoznaj się z tematem Zmienianie licencji dla pojedynczego użytkownika w grupie licencjonowanej w usłudze Microsoft Entra ID.
Zmienianie reguł usług AD FS, takich jak autoryzacja, wystawianie, uwierzytelnianie wieloskładnikowe Użyj oświadczenia grupy, aby kierować podzbiór użytkowników.
Zmienianie środowiska uwierzytelniania usług AD FS lub podobnych zmian w całej farmie Utwórz farmę równoległą o tej samej nazwie hosta, zaimplementuj zmiany konfiguracji, przetestuj od klientów przy użyciu plików HOSTS, reguł routingu równoważenia obciążenia sieciowego lub podobnego routingu.
Jeśli platforma docelowa nie obsługuje plików HOSTS (na przykład urządzeń przenośnych), zmień kontrolę.

Przeglądy dostępu

Przeglądy dostępu do aplikacji

W miarę upływu czasu użytkownicy mogą gromadzić dostęp do zasobów w miarę przenoszenia się przez różne zespoły i stanowiska. Ważne jest, aby właściciele zasobów regularnie przeglądali dostęp do aplikacji. Ten proces przeglądu może obejmować usuwanie uprawnień, które nie są już potrzebne w całym cyklu życia użytkowników. Przeglądy dostępu firmy Microsoft Entra umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Właściciele zasobów powinni regularnie przeglądać dostęp użytkowników, aby upewnić się, że tylko odpowiednie osoby nadal mają dostęp. W idealnym przypadku należy rozważyć użycie przeglądów dostępu firmy Microsoft Entra dla tego zadania.

Strona początkowa Przeglądy dostępu

Nuta

Każdy użytkownik, który korzysta z przeglądów dostępu, musi mieć płatną licencję Microsoft Entra ID P2.

Przeglądy dostępu do tożsamości zewnętrznych

Niezwykle ważne jest zapewnienie dostępu do tożsamości zewnętrznych ograniczonych tylko do potrzebnych zasobów w wymaganym czasie. Ustanów regularny proces automatycznego przeglądu dostępu dla wszystkich tożsamości zewnętrznych i dostępu do aplikacji przy użyciu przeglądów dostępu firmy Microsoft Entra. Jeśli proces już istnieje lokalnie, rozważ użycie przeglądów dostępu firmy Microsoft Entra. Gdy aplikacja zostanie wycofana lub nie będzie już używana, usuń wszystkie tożsamości zewnętrzne, które miały dostęp do aplikacji.

Nuta

Każdy użytkownik, który korzysta z przeglądów dostępu, musi mieć płatną licencję Microsoft Entra ID P2.

Zarządzanie kontami uprzywilejowanym

Użycie konta uprzywilejowanego

Hakerzy często kierują konta administratora i inne elementy uprzywilejowanego dostępu, aby szybko uzyskać dostęp do poufnych danych i systemów. Ponieważ użytkownicy z rolami uprzywilejowanymi zwykle gromadzą się wraz z upływem czasu, ważne jest regularne przeglądanie dostępu administratora i zarządzanie nim oraz zapewnianie uprzywilejowanego dostępu just in time do zasobów firmy Microsoft Entra i zasobów platformy Azure.

Jeśli w organizacji nie istnieje żaden proces zarządzania kontami uprzywilejowanymi lub obecnie masz administratorów, którzy używają swoich zwykłych kont użytkowników do zarządzania usługami i zasobami, należy natychmiast rozpocząć korzystanie z oddzielnych kont. Na przykład jeden dla zwykłych codziennych działań, a drugi dla uprzywilejowanego dostępu i skonfigurowany za pomocą uwierzytelniania wieloskładnikowego. Jeśli twoja organizacja ma subskrypcję Microsoft Entra ID P2, należy natychmiast wdrożyć usługę Microsoft Entra Privileged Identity Management (PIM). W tym samym tokenie należy również przejrzeć te uprzywilejowane konta i przypisać mniej uprzywilejowane role , jeśli ma to zastosowanie.

Innym aspektem zarządzania kontami uprzywilejowanymi, które należy zaimplementować, jest definiowanie przeglądów dostępu dla tych kont, ręcznie lub automatycznie za pośrednictwem usługi PIM.

Konta dostępu awaryjnego

Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.

Uprzywilejowany dostęp do witryny Azure EA Portal

Portal Azure Umowa Enterprise (Azure EA) umożliwia tworzenie subskrypcji platformy Azure względem głównej Umowa Enterprise, która jest zaawansowaną rolą w przedsiębiorstwie. Tworzenie tego portalu jest powszechne przed pobraniem identyfikatora Entra firmy Microsoft. W takim przypadku należy użyć tożsamości firmy Microsoft Entra, aby je zablokować, usunąć konta osobiste z portalu, zapewnić odpowiednie delegowanie i ograniczyć ryzyko blokady.

Aby było jasne, jeśli poziom autoryzacji w witrynie EA Portal jest obecnie ustawiony na "tryb mieszany", musisz usunąć wszystkie konta Microsoft ze wszystkich uprzywilejowanych dostępu w witrynie EA Portal i skonfigurować portal EA do używania tylko kont Microsoft Entra. Jeśli delegowane role w witrynie EA Portal nie są skonfigurowane, należy również znaleźć i zaimplementować delegowane role dla działów i kont.

Zarządzanie upoważnieniami

Zarządzanie upoważnieniami (EM) umożliwia właścicielom aplikacji łączenie zasobów i przypisywanie ich do określonych osób w organizacji (zarówno wewnętrznych, jak i zewnętrznych). EM umożliwia samoobsługowe rejestrowanie i delegowanie właścicielom firm przy zachowaniu zasad ładu w celu udzielania dostępu, ustawiania czasu trwania dostępu i zezwalania na przepływy pracy zatwierdzania.

Nuta

Microsoft Entra Entitlement Management wymaga licencji microsoft Entra ID P2.

Streszczenie

Istnieje osiem aspektów bezpiecznego zarządzania tożsamościami. Ta lista ułatwia zidentyfikowanie akcji, które należy wykonać, aby ocenić i potwierdzić dostęp udzielony nieuprzywilejowanym i uprzywilejowanym tożsamościom, inspekcji i kontroli zmian w środowisku.

  • Przypisz właścicieli do kluczowych zadań.
  • Zaimplementuj strategię testowania.
  • Użyj przeglądów dostępu firmy Microsoft Entra, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról.
  • Ustanów regularny, zautomatyzowany proces przeglądu dostępu dla wszystkich typów tożsamości zewnętrznych i dostępu do aplikacji.
  • Ustanów proces przeglądu dostępu w celu regularnego przeglądania dostępu administratora i zarządzania nim oraz zapewniania uprzywilejowanego dostępu just in time do zasobów firmy Microsoft Entra ID i azure.
  • Aprowizuj konta awaryjne, aby przygotować się do zarządzania identyfikatorem Entra firmy Microsoft pod kątem nieoczekiwanych awarii.
  • Zablokuj dostęp do witryny Azure EA Portal.
  • Zaimplementuj zarządzanie upoważnieniami, aby zapewnić zarządzany dostęp do kolekcji zasobów.

Następne kroki

Rozpocznij pracę z operacjami i akcjami firmy Microsoft Entra.