Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Jedną z koncepcji, którą należy rozpatrzeć przed podjęciem strategii zarządzania tożsamością, jest zasada minimalnych uprawnień (POLP). Najniższy poziom uprawnień to zasada ładu tożsamości, która obejmuje przypisywanie użytkowników i grup tylko minimalnego poziomu dostępu i uprawnień niezbędnych do wykonywania swoich obowiązków. Chodzi o ograniczenie praw dostępu, dzięki czemu użytkownik lub grupa może ukończyć swoją pracę, ale także zminimalizować niepotrzebne uprawnienia, które mogą być potencjalnie wykorzystywane przez osoby atakujące lub prowadzić do naruszeń zabezpieczeń.
W odniesieniu do Microsoft Entra ID Governance, stosowanie zasady najniższych uprawnień pomaga zwiększyć bezpieczeństwo i ograniczyć ryzyko. Takie podejście zapewnia użytkownikom i grupom dostęp tylko do zasobów, danych i akcji, które są istotne dla ich ról i obowiązków, i nic poza tym.
Kluczowe pojęcia zasady najniższych uprawnień
Dostęp tylko do wymaganych zasobów: użytkownicy mają dostęp do informacji i zasobów tylko wtedy, gdy mają rzeczywistą potrzebę wykonywania zadań. Zapobiega to nieautoryzowanemu dostępowi do poufnych danych i minimalizuje potencjalny wpływ naruszenia zabezpieczeń. Automatyzacja aprowizacji użytkowników pomaga zmniejszyć niepotrzebne udzielanie praw dostępu. Przepływy pracy cyklu życia to funkcja zarządzania tożsamościami, która umożliwia organizacjom zarządzanie użytkownikami Microsoft Entra poprzez automatyzację podstawowych procesów cyklu życia.
Kontrola dostępu oparta na rolach (RBAC): prawa dostępu są określane na podstawie określonych ról lub funkcji zadań użytkowników. Każda rola ma przypisane minimalne uprawnienia niezbędne do spełnienia swoich obowiązków. Kontrola dostępu oparta na rolach firmy Microsoft zarządza dostępem do zasobów firmy Microsoft Entra.
Uprawnienia „just-in-time”: prawa dostępu przyznawane są tylko na czas, kiedy są potrzebne i odwoływane, gdy nie są już wymagane. Zmniejsza to możliwość wykorzystania nadmiernych uprawnień przez osoby atakujące. Privileged Identity Management (PIM) to usługa w Microsoft Entra ID, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji oraz zapewnia dostęp na żądanie.
Regularne inspekcje i przegląd: okresowe przeglądy dostępu użytkowników i uprawnień są przeprowadzane, aby upewnić się, że użytkownicy nadal wymagają dostępu, którego udzielono. Pomaga to zidentyfikować i skorygować wszelkie odchylenia od zasady najniższych uprawnień. Przeglądy dostępu w usłudze Microsoft Entra ID, część firmy Microsoft Entra, umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkownika można regularnie przeglądać, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp.
Odmowa domyślna: domyślnym stanem jest odmowa dostępu, a dostęp jest jawnie udzielany tylko do zatwierdzonych celów. To kontrastuje z podejściem "domyślne zezwalaj", co może spowodować przyznanie niepotrzebnych uprawnień. Zarządzanie upoważnieniami to funkcja zarządzania tożsamościami, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy dostępu i wygaśnięcie uprawnień.
Zgodnie z zasadą najniższych uprawnień organizacja może zmniejszyć ryzyko problemów z zabezpieczeniami i zapewnić, że mechanizmy kontroli dostępu są zgodne z potrzebami biznesowymi.
Najmniej uprzywilejowane role do zarządzania funkcjami zarządzania tożsamością
Najlepszym rozwiązaniem jest użycie najmniej uprzywilejowanej roli do wykonywania zadań administracyjnych w usłudze Identity Governance. Zalecamy użycie usługi Microsoft Entra PIM do aktywowania roli zgodnie z potrzebami w celu wykonania tych zadań. Poniżej przedstawiono najmniej uprzywilejowane role katalogu w celu konfigurowania funkcji zarządzania tożsamościami.
| Funkcja | Najmniej uprzywilejowana rola |
|---|---|
| Zarządzanie upoważnieniami | Administrator zarządzania tożsamością |
| Przeglądy dostępu | Administrator użytkowników (z wyjątkiem przeglądów dostępu ról platformy Azure lub firmy Microsoft Entra, które wymagają administratora ról uprzywilejowanych) |
| Przepływy pracy w procesach cyklu życia | Administrator cyklu życia przepływów pracy |
| Zarządzanie Uprzywilejowanymi Tożsamościami | Administrator ról uprzywilejowanych |
| Warunki użytkowania | Administrator zabezpieczeń lub administrator dostępu warunkowego |
Uwaga
Najmniej uprzywilejowana rola w zarządzaniu uprawnieniami została zmieniona z roli Administrator użytkowników na rolę Administratora zarządzania tożsamościami.