Руководство по операциям Управление идентификацией Microsoft Entra
В этом разделе руководства по операциям Microsoft Entra описаны проверки и действия, которые необходимо предпринять для оценки и проверки доступа, предоставленных непривилегированных и привилегированных удостоверений, аудита и контроля изменений в среде.
Заметка
Эти рекомендации являются текущими по состоянию на дату публикации, но могут меняться с течением времени. Организации должны постоянно оценивать свои методики управления, так как продукты и службы Майкрософт развиваются со временем.
Ключевые операционные процессы
Назначение владельцев ключевым задачам
Для управления идентификатором Записи Майкрософт требуется непрерывное выполнение ключевых операционных задач и процессов, которые могут не быть частью проекта развертывания. Эти задачи по-прежнему важны для оптимизации среды. Ключевые задачи и их рекомендуемые владельцы включают:
| Задача | Владелец |
|---|---|
| Архивация журналов аудита Microsoft Entra в системе SIEM | Группа операций InfoSec |
| Обнаружение приложений, управляемых вне соответствия требованиям | Группа операций IAM |
| Регулярно просматривайте доступ к приложениям | Команда по архитектуре InfoSec |
| Регулярно просматривайте доступ к внешним удостоверениям | Команда по архитектуре InfoSec |
| Регулярно проверяйте, у кого есть привилегированные роли | Команда по архитектуре InfoSec |
| Определение шлюзов безопасности для активации привилегированных ролей | Команда по архитектуре InfoSec |
| Регулярно просматривайте гранты на предоставление согласия | Команда по архитектуре InfoSec |
| Разработка каталогов и пакетов доступа для приложений и ресурсов на основе сотрудников в организации | Владельцы приложений |
| Определение политик безопасности для назначения пользователям доступа к пакетам | Команда InfoSec + владельцы приложений |
| Если политики включают рабочие процессы утверждения, регулярно просматривайте утверждения рабочих процессов | Владельцы приложений |
| Просмотр исключений в политиках безопасности, таких как политики условного доступа, с помощью проверок доступа | Группа операций InfoSec |
При просмотре списка вам может потребоваться назначить владельца для задач, которые отсутствуют владельцу или настроить владение для задач с владельцами, которые не соответствуют предоставленным рекомендациям.
Владелец рекомендует читать
Тестирование изменений конфигурации
Существуют изменения, требующие особых соображений при тестировании, от простых методов, таких как развертывание целевого подмножества пользователей до развертывания изменений в параллельном тестовом клиенте. Если вы еще не выполнили стратегию тестирования, следует определить подход к тестированию на основе рекомендаций в таблице:
| Сценарий | Рекомендация |
|---|---|
| Изменение типа проверки подлинности с федеративного на PHS/PTA или наоборот | Используйте поэтапное развертывание , чтобы проверить влияние изменения типа проверки подлинности. |
| Развертывание новой политики условного доступа | Создайте новую политику условного доступа и назначьте тестовых пользователей. |
| Подключение тестовой среды приложения | Добавьте приложение в рабочую среду, скройте его на панели MyApps и назначьте его тестируемым пользователям на этапе проверки качества (QA). |
| Изменение правил синхронизации | Выполните изменения в тестовом microsoft Entra Connect с той же конфигурацией, которая в настоящее время находится в рабочей среде, также называемой промежуточным режимом, и анализируйте результаты экспорта. В случае удовлетворения переключение на рабочую среду после готовности. |
| Изменение фирменной символики | Тестирование в отдельном тестовом клиенте. |
| Развертывание новой функции | Если функция поддерживает развертывание в целевом наборе пользователей, определите пилотных пользователей и выполните сборку. Например, самостоятельный сброс пароля и многофакторная проверка подлинности могут нацелены на определенных пользователей или групп. |
| Переход к приложению из локального поставщика удостоверений (IdP), например Active Directory, в идентификатор Microsoft Entra | Если приложение поддерживает несколько конфигураций поставщика удостоверений, например Salesforce, настройте и проверьте идентификатор Microsoft Entra во время окна изменения (если приложение вводит страницу). Если приложение не поддерживает несколько поставщиков удостоверений, запланируйте тестирование во время окна управления изменениями и простоя программы. |
| Обновление правил для динамических групп членства | Создайте параллельную динамическую группу с новым правилом. Сравните с вычисляемым результатом, например, запустите PowerShell с тем же условием. При прохождении теста замените места, где использовалась старая группа (если это возможно). |
| Перенос лицензий на продукты | См. раздел "Изменение лицензии для одного пользователя в лицензированной группе в идентификаторе Microsoft Entra ID". |
| Изменение правил AD FS, таких как авторизация, выдача, MFA | Используйте утверждение группы для целевого подмножества пользователей. |
| Изменение режима проверки подлинности AD FS или аналогичных изменений в ферме | Создайте параллельную ферму с тем же именем узла, реализуйте изменения конфигурации, тестируйте от клиентов с помощью файла HOSTS, правил маршрутизации NLB или аналогичной маршрутизации. Если целевая платформа не поддерживает файлы HOSTS (например, мобильные устройства), измените управление. |
Проверки доступа
Доступ к проверкам приложений
С течением времени пользователи могут накапливать доступ к ресурсам по мере перемещения по разным командам и позициям. Важно, чтобы владельцы ресурсов регулярно проверяли доступ к приложениям. Этот процесс проверки может включать удаление привилегий, которые больше не требуются на протяжении всего жизненного цикла пользователей. Проверки доступа Microsoft Entra позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Владельцы ресурсов должны регулярно просматривать доступ пользователей, чтобы убедиться, что только правильные пользователи продолжают иметь доступ. В идеале следует рассмотреть возможность использования проверок доступа Microsoft Entra для этой задачи.
Заметка
Каждый пользователь, взаимодействующий с проверками доступа, должен иметь платную лицензию Microsoft Entra ID P2.
Доступ к внешним удостоверениям
Важно сохранить доступ к внешним удостоверениям, ограниченным только необходимым ресурсам в течение необходимого времени. Создайте обычный процесс проверки автоматического доступа для всех внешних удостоверений и доступа к приложениям с помощью проверок доступа Microsoft Entra. Если процесс уже существует в локальной среде, рассмотрите возможность использования проверок доступа Microsoft Entra. После выхода из эксплуатации или больше не используется приложение, удалите все внешние удостоверения, имеющие доступ к приложению.
Заметка
Каждый пользователь, взаимодействующий с проверками доступа, должен иметь платную лицензию Microsoft Entra ID P2.
Управление привилегированными учетными записями
Использование привилегированных учетных записей
Хакеры часто нацелены на учетные записи администратора и другие элементы привилегированного доступа, чтобы быстро получить доступ к конфиденциальным данным и системам. Так как пользователи с привилегированными ролями, как правило, накапливаются с течением времени, важно регулярно просматривать и управлять доступом администраторов и предоставлять jit-доступ к идентификатору Microsoft Entra и ресурсам Azure.
Если в организации нет процесса для управления привилегированными учетными записями или у вас есть администраторы, которые используют свои обычные учетные записи пользователей для управления службами и ресурсами, следует немедленно начать использовать отдельные учетные записи. Например, одна для обычных повседневных действий, а другая — для привилегированного доступа и настройки с помощью MFA. Еще лучше, если у вашей организации есть подписка Microsoft Entra ID P2, необходимо немедленно развернуть Microsoft Entra управление привилегированными пользователями (PIM). В том же маркере необходимо также просмотреть эти привилегированные учетные записи и при необходимости назначить менее привилегированные роли .
Другой аспект управления привилегированными учетными записями, который следует реализовать, заключается в определении проверок доступа для этих учетных записей вручную или автоматически с помощью PIM.
Рекомендуемое чтение управления привилегированными учетными записями
Учетные записи аварийного доступа
Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям доступа только в облаке. Эти учетные записи имеют высокий уровень привилегий и не назначаются определенным лицам. Учетные записи ограничены сценариями аварийного реагирования или "разбиения", когда обычные учетные записи не могут использоваться или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы после рекомендаций учетной записи аварийного доступа.
Привилегированный доступ к порталу Azure EA
Портал Azure Соглашение Enterprise (Azure EA) позволяет создавать подписки Azure для основной Соглашение Enterprise, которая является мощной ролью в организации. Обычно создается этот портал, прежде чем даже получить идентификатор Microsoft Entra. В этом случае необходимо использовать удостоверения Microsoft Entra для блокировки, удаления личная учетная запись с портала, обеспечения правильного делегирования и снижения риска блокировки.
Чтобы быть понятным, если уровень авторизации портала EA в настоящее время имеет значение "смешанный режим", необходимо удалить все учетные записи Майкрософт из всех привилегированных доступа на портале EA и настроить портал EA только для использования учетных записей Microsoft Entra. Если делегированные роли портала EA не настроены, необходимо также найти и реализовать делегированные роли для отделов и учетных записей.
Рекомендуемое чтение привилегированного доступа
Управление правами
Управление правами (EM) позволяет владельцам приложений упаковать ресурсы и назначать их определенным лицам в организации (как внутренним, так и внешним). EM позволяет самостоятельно зарегистрироваться и делегирование владельцам бизнеса, сохраняя политики управления для предоставления доступа, задания длительности доступа и разрешения рабочих процессов утверждения.
Заметка
Для управления правами Microsoft Entra требуется лицензия Microsoft Entra ID P2.
Сводка
Существует восемь аспектов безопасного управления удостоверениями. Этот список помогает определить действия, которые необходимо предпринять для оценки и проверки доступа, предоставленного непривилегированных и привилегированных удостоверений, аудита и контроля изменений в среде.
- Назначьте владельцам ключевые задачи.
- Реализуйте стратегию тестирования.
- Используйте проверки доступа Microsoft Entra для эффективного управления членством в группах, доступом к корпоративным приложениям и назначениям ролей.
- Создайте обычный автоматизированный процесс проверки доступа для всех типов внешних удостоверений и доступа к приложениям.
- Установите процесс проверки доступа для регулярного просмотра и управления доступом администратора и предоставления привилегированного доступа к идентификатору Microsoft Entra и ресурсам Azure.
- Подготовка учетных записей аварийного реагирования для управления идентификатором Microsoft Entra для непредвиденных сбоев.
- Блокировка доступа к порталу Azure EA.
- Реализуйте управление правами для предоставления управляемого доступа к коллекции ресурсов.
Дальнейшие действия
Начало работы с операционными проверками и действиями Microsoft Entra.