Faza 1. Implementowanie struktury do zarządzania na dużą skalę
W tej sekcji przewodnika referencyjnego Zarządzanie uprawnieniami Microsoft Entra operacji opisano kontrole i akcje, które należy rozważyć, aby skutecznie delegować uprawnienia i zarządzać na dużą skalę.
Definiowanie delegowanego modelu administracyjnego
Zalecany właściciel: Architektura zabezpieczeń informacji
Definiowanie administratorów Zarządzanie uprawnieniami Microsoft Entra
Aby rozpocząć operacjonalizacja Zarządzanie uprawnieniami Microsoft Entra, ustanów dwa do pięciu administratorów zarządzania uprawnieniami Administracja istratorów, którzy delegują uprawnienia w produkcie, konfigurują ustawienia kluczy i tworzą konfigurację organizacji i zarządzają nią.
Ważne
Zarządzanie uprawnieniami Microsoft Entra polega na użytkownikach z prawidłowymi adresami e-mail. Zalecamy, aby twoje Administracja istratory zarządzania uprawnieniami miały włączone konta skrzynki pocztowej.
Przypisz wyznaczonym administratorom rolę zarządzanie uprawnieniami Administracja istrator w identyfikatorze Entra firmy Microsoft, aby wykonać wymagane zadania. Zalecamy użycie usługi Privileged Identity Management (PIM) w celu zapewnienia administratorom dostępu just in time (JIT) do roli, a nie do jej trwałego przypisania.
Definiowanie i obsługa struktury folderów
W obszarze Zarządzanie uprawnieniami folder jest grupą systemów autoryzacji. Zalecamy tworzenie folderów na podstawie strategii delegowania organizacyjnego. Jeśli na przykład organizacja deleguje na podstawie zespołów, utwórz foldery dla:
- Finanse produkcyjne
- Infrastruktura produkcyjna
- Badania i rozwój przedprodukcyjny
Efektywna struktura folderów ułatwia delegowanie uprawnień na dużą skalę i zapewnia właścicielom systemu autoryzacji pozytywne środowisko produktu.
Aby usprawnić środowisko, zobacz tworzenie folderów w celu organizowania systemów autoryzacji.
Tworzenie grup zabezpieczeń entra firmy Microsoft w celu delegowania uprawnień
Zarządzanie uprawnieniami Microsoft Entra ma system dostępu opartego na grupach, który używa grup zabezpieczeń firmy Microsoft Entra do udzielania uprawnień do różnych systemów autoryzacji. Aby delegować uprawnienia, zespół ds. zarządzania dostępem i tożsamościami tworzy grupy zabezpieczeń firmy Microsoft, które mapują się na właścicieli systemu autoryzacji, oraz definiowane obowiązki związane z zarządzaniem uprawnieniami. Upewnij się, że użytkownicy z wspólną własnością i obowiązkami w produkcie znajdują się w tej samej grupie zabezpieczeń.
Zalecamy użycie usługi PIM dla grup. Zapewnia to dostęp JIT do zarządzania uprawnieniami do użytkowników i jest zgodny z JIT zero trust i just-enough-access principles.
Aby utworzyć grupy zabezpieczeń firmy Microsoft Entra, zobacz Zarządzanie grupami i członkostwem w grupach.
Przypisywanie uprawnień w Zarządzanie uprawnieniami Microsoft Entra
Po utworzeniu grup zabezpieczeń usługi Microsoft Entra administrator uprawnień Administracja istrator przyznaje grupy zabezpieczeń wymagane uprawnienia.
Upewnij się co najmniej, że grupy zabezpieczeń mają przyznane uprawnienia Osoby przeglądającego dla systemów autoryzacji, za które są odpowiedzialne. Użyj uprawnień kontrolera dla grup zabezpieczeń z członkami, którzy wykonują akcje korygowania. Dowiedz się więcej na temat Zarządzanie uprawnieniami Microsoft Entra ról i poziomów uprawnień.
Aby uzyskać więcej informacji na temat zarządzania użytkownikami i grupami w temacie Zarządzanie uprawnieniami:
- Dodawanie lub usuwanie użytkownika w usłudze Zarządzanie uprawnieniami Microsoft Entra
- Zarządzanie użytkownikami i grupami za pomocą pulpitu nawigacyjnego zarządzania użytkownikami
- Wybieranie ustawień uprawnień na podstawie grup
Określanie zarządzania cyklem życia systemu autoryzacji
Zalecani właściciele: Architektura zabezpieczeń informacji i infrastruktura chmury
W miarę tworzenia nowych systemów autoryzacji i rozwoju bieżących systemów autoryzacji utwórz i zachowaj dobrze zdefiniowany proces zmian w Zarządzanie uprawnieniami Microsoft Entra. W poniższej tabeli przedstawiono zadania i zalecanych właścicieli.
| Zadanie | Zalecany właściciel |
|---|---|
| Definiowanie procesu odnajdywania dla nowych systemów autoryzacji utworzonych w środowisku | Architektura zabezpieczeń informacji |
| Definiowanie procesów klasyfikacji i dołączania dla nowych systemów autoryzacji do zarządzania uprawnieniami | Architektura zabezpieczeń informacji |
| Definiowanie procesów administracyjnych dla nowych systemów autoryzacji: delegowanie uprawnień i aktualizowanie struktury folderów | Architektura zabezpieczeń informacji |
| Opracowywanie struktury obejmującej wiele opłat. Określanie procesu zarządzania kosztami. | Właściciel różni się w zależności od organizacji |
Definiowanie strategii indeksu pełzania uprawnień
Zalecany właściciel: Architektura zabezpieczeń informacji
Zalecamy zdefiniowanie celów i przypadków użycia dotyczących sposobu, w jaki indeks pełzania uprawnień (PCI) napędza aktywność i raportowanie architektury zabezpieczeń informacji. Ten zespół może definiować i pomagać innym osobom w osiągnięciu docelowych progów PCI dla twojej organizacji.
Ustanawianie docelowych progów PCI
Progi PCI kierują zachowaniem operacyjnym i służą jako zasady w celu określenia, kiedy akcja jest wymagana w danym środowisku. Ustanów progi PCI dla:
- Systemy autoryzacji
- Użytkownicy tożsamości człowieka
- Katalog przedsiębiorstwa (ED)
- SAML
- Lokalny
- Gość
- Tożsamości inne niż ludzkie
Uwaga
Ponieważ aktywność tożsamości nieludzkiej różni się mniej niż tożsamość ludzka, zastosuj bardziej rygorystyczne ustalanie rozmiaru do tożsamości innych niż ludzkie: ustaw niższy próg PCI.
Progi PCI różnią się w zależności od celów i przypadków użycia organizacji. Zalecamy dostosowanie do wbudowanych progów ryzyka zarządzania uprawnieniami. Zobacz następujące zakresy PCI według ryzyka:
- Niski: od 0 do 33
- Średni: od 34 do 67
- Wysoki: od 68 do 100
Korzystając z poprzedniej listy, przejrzyj następujące przykłady zasad progowych PCI:
| Kategoria | Próg PCI | Zasady |
|---|---|---|
| Systemy autoryzacji | 67: Klasyfikowanie systemu autoryzacji jako wysokiego ryzyka | Jeśli system autoryzacji ma wskaźnik PCI wyższy niż 67, zapoznaj się z tożsamościami PCI o odpowiednim rozmiarze w systemie autoryzacji |
| Tożsamości człowieka: ED, SAML i lokalne | 67: Klasyfikowanie tożsamości człowieka jako wysokiego ryzyka | Jeśli tożsamość człowieka ma wskaźnik PCI wyższy niż 67, należy właściwego rozmiaru uprawnień tożsamości |
| Tożsamość człowieka: użytkownik-gość | 33: Klasyfikowanie użytkownika-gościa jako wysokiego lub średniego ryzyka | Jeśli użytkownik-gość ma wynik PCI wyższy niż 33, określ odpowiedni rozmiar uprawnień tożsamości |
| Tożsamości inne niż ludzkie | 33: Klasyfikowanie tożsamości nieludzkiej jako wysokiego lub średniego ryzyka | Jeśli tożsamość nienależącą do człowieka ma wskaźnik PCI wyższy niż 33, określ odpowiedni rozmiar uprawnień tożsamości |
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla