Dokumentacja operacji Zarządzanie uprawnieniami Microsoft Entra
W tym przewodniku operacjonalizacji dowiesz się więcej na temat kontroli, akcji i najlepszych rozwiązań dotyczących działania Zarządzanie uprawnieniami Microsoft Entra w środowisku przedsiębiorstwa. Wskazówki mają trzy fazy:
- Zaimplementuj platformę do zarządzania na dużą skalę: deleguj uprawnienia i twórz procesy, aby kierować zachowaniem operacyjnym.
- Uprawnienia o odpowiednim rozmiarze i automatyzowanie zasady najniższych uprawnień: korygowanie kluczowych wyników i implementowanie dostępu just in time (JIT) przy użyciu uprawnień na żądanie.
- Konfigurowanie Zarządzanie uprawnieniami Microsoft Entra monitorowania i alertów: planowanie raportów cyklicznych, konfigurowanie alertów i opracowywanie podręczników strategii reagowania.
Uwaga
Zalecenia w tym przewodniku są aktualne od daty publikacji. Zalecamy, aby organizacje stale oceniały swoje praktyki dotyczące tożsamości w miarę rozwoju produktów i usług firmy Microsoft w miarę upływu czasu. Niektóre zalecenia mogą nie dotyczyć wszystkich środowisk klientów.
Kryteria wejścia
W tym przewodniku założono, że ukończono przewodnik Szybki start dotyczący Zarządzanie uprawnieniami Microsoft Entra.
Słownik
Skorzystaj z poniższego słownika, aby zrozumieć terminy używane w tym przewodniku.
| Termin | Definicja |
|---|---|
| System autoryzacji | System, który udziela dostępu do tożsamości. Na przykład subskrypcja platformy Azure, konto platformy AWS lub projekt GCP. |
| Uprawnienie | Tożsamość z możliwością wykonania akcji na zasobie. |
| Indeks pełzania uprawnień (PCI) | Zagregowana metryka do mierzenia liczby nieużywanych lub nadmiernych uprawnień w tożsamościach i zasobach. Jest ona mierzona okresowo dla wszystkich tożsamości. Pci waha się od 0 do 100. Wyższe wyniki reprezentują większe ryzyko. |
| Uprawnienia na żądanie | Funkcja Zarządzanie uprawnieniami Microsoft Entra, która umożliwia tożsamościom żądanie i udzielanie uprawnień na żądanie przez ograniczony czas lub w razie potrzeby. |
Zespoły uczestników projektu klienta
Zalecamy przypisanie uczestników projektu do planowania i implementowania kluczowych zadań. W poniższej tabeli przedstawiono zespoły uczestników projektu wymienione w tym przewodniku.
| Zespół uczestników projektu | opis |
|---|---|
| Zarządzanie tożsamościami i dostępem (IAM) | Zarządza codziennymi operacjami systemu zarządzania dostępem i tożsamościami |
| Infrastruktura chmury | Architekci i zespoły operacyjne dla platform Azure, AWS i GCP |
| Architektura zabezpieczeń informacji | Planowanie i projektowanie praktyk w zakresie zabezpieczeń informacji organizacji |
| Operacje zabezpieczeń informacji | Uruchamia i monitoruje praktyki zabezpieczeń informacji dotyczące architektury zabezpieczeń informacji |
| Reagowania na incydenty | Identyfikuje i usuwa zdarzenia zabezpieczeń |
| Kontrola zabezpieczeń i inspekcja | Pomaga zapewnić bezpieczeństwo i zgodność procesów IT. Przeprowadzają regularne inspekcje, oceniają zagrożenia i zalecają środki zabezpieczeń w celu ograniczenia zidentyfikowanych luk w zabezpieczeniach i zwiększenia ogólnego poziomu zabezpieczeń. |
| Docelowy właściciel systemu autoryzacji technicznej | Własne indywidualne systemy autoryzacji: subskrypcje platformy Azure, konta platformy AWS, projekty GCP dołączone do Zarządzanie uprawnieniami Microsoft Entra |
Odnajdywanie— korygowanie przepływu monitora
Podczas operacjonalizacji produktu zalecamy użycie przepływu Discover-Remediate-Monitor. W poniższym przykładzie zwróć uwagę na użycie proaktywnego przepływu dla aktywnych użytkowników z nadmierną aprowizowaną obsługą administracyjną: użytkownicy z nadmierną uprawnieniami o wysokim ryzyku w danym środowisku.
- Odkryj: uzyskaj wgląd w środowisko i określ priorytety wyników. Na przykład użyj raportu analizy uprawnień, aby uzyskać listę nadmiernie zaaprowizowanych aktywnych użytkowników.
- Korygowanie: Działanie na temat ustaleń z odkrycia. Na przykład użyj narzędzi korygowania zarządzania uprawnieniami, aby odwołać nieużywane zadania z nadmiernie aprowizowanych aktywnych użytkowników jednym kliknięciem, a następnie utworzyć role o odpowiednich rozmiarach na podstawie poprzednich działań.
- Monitorowanie: tworzenie alertów w celu ciągłego monitorowania środowiska w celu skorygowania wyników. Na przykład utwórz alert analizy uprawnień, aby powiadomić Użytkowników o nadmiernych aprowizacji aktywnych użytkowników.
Następne kroki
- Faza 1. Implementowanie struktury do zarządzania na dużą skalę
- Faza 2. Uprawnienia dotyczące odpowiedniego rozmiaru i automatyzowanie zasady najniższych uprawnień
- Faza 3. Konfigurowanie monitorowania i alertów Zarządzanie uprawnieniami Microsoft Entra
- Przewodnik dotyczący alertów Zarządzanie uprawnieniami Microsoft Entra