Поделиться через


Этап 1. Реализация платформы для управления в масштабе

В этом разделе руководства по операциям Управление разрешениями Microsoft Entra описаны проверка и действия, которые следует принять для эффективного делегирования разрешений и управления в масштабе.

Определение модели делегированного администрирования

Рекомендуемый владелец: архитектура информационной безопасности

Определение администраторов Управление разрешениями Microsoft Entra

Чтобы начать эксплуатацию Управление разрешениями Microsoft Entra, установите два-пять Администратор istratorов управления разрешениями, которые делегирует разрешения в продукте, настраивают ключевые параметры и создают конфигурацию организации и управляют ими.

Внимание

Управление разрешениями Microsoft Entra зависит от пользователей с допустимыми адресами электронной почты. Рекомендуется использовать учетные записи для управления разрешениями Администратор istrator.

Назначьте назначенным администраторам роль управления разрешениями Администратор istrator в идентификаторе Microsoft Entra ID для выполнения необходимых задач. Мы рекомендуем использовать управление привилегированными пользователями (PIM), чтобы предоставить администраторам доступ к роли jIT, а не навсегда назначить его.

Определение и обслуживание структуры папок

В разделе "Управление разрешениями" папка — это группа систем авторизации. Рекомендуется создавать папки на основе стратегии делегирования организации. Например, если ваша организация делегирует на основе команд, создайте папки для:

  • Производственные финансы
  • Рабочая инфраструктура
  • Предварительное исследование и разработка

Эффективная структура папок упрощает делегирование разрешений в масштабе и предоставляет владельцам системы авторизации положительный опыт работы с продуктом.

Чтобы упростить среду, см . статью "Создание папок для организации систем авторизации".

Создание групп безопасности Microsoft Entra для делегирования разрешений

Управление разрешениями Microsoft Entra имеет систему доступа на основе групп, которая использует группы безопасности Microsoft Entra для предоставления разрешений различным системам авторизации. Чтобы делегировать разрешения, команда IAM создает группы безопасности Microsoft Entra, которые сопоставляют с владельцами системы авторизации и обязанностями по управлению разрешениями, определенными вами. Убедитесь, что пользователи с общими правами владения и обязанностей в продукте находятся в одной группе безопасности.

Рекомендуется использовать PIM для групп. Это обеспечивает JIT-доступ к управлению разрешениями для пользователей и соответствует принципам JIT нулевого доверия и достаточному доступу.

Сведения о создании групп безопасности Microsoft Entra см. в статье об управлении группами и членством в группах.

Назначение разрешений в Управление разрешениями Microsoft Entra

После создания групп безопасности Microsoft Entra Администратор istrator предоставляет группы безопасности, необходимые для управления разрешениями.

Как минимум, убедитесь, что группы безопасности предоставляются разрешения средства просмотра для систем авторизации, за которые они отвечают. Используйте разрешения контроллера для групп безопасности с членами, выполняющими действия по исправлению. Дополнительные сведения о Управление разрешениями Microsoft Entra ролях и уровнях разрешений.

Дополнительные сведения об управлении пользователями и группами в службе "Управление разрешениями":

Определение управления жизненным циклом системы авторизации

Рекомендуемые владельцы: архитектура информационной безопасности и облачная инфраструктура

По мере создания новых систем авторизации и развития текущих систем авторизации создаются и поддерживаются четко определенный процесс изменения в Управление разрешениями Microsoft Entra. В следующей таблице описаны задачи и рекомендуемые владельцы.

Задача Рекомендуемый владелец
Определение процесса обнаружения для новых систем авторизации, созданных в вашей среде Архитектура информационной безопасности
Определение процессов сортировки и подключения новых систем авторизации к управлению разрешениями Архитектура информационной безопасности
Определение процессов администрирования для новых систем авторизации: делегирование разрешений и структура папок обновления Архитектура информационной безопасности
Разработка структуры перекрестной оплаты. Определите процесс управления затратами. Владелец зависит от организации

Определение стратегии индексов ползуна разрешений

Рекомендуемый владелец: архитектура информационной безопасности

Мы рекомендуем определить цели и варианты использования для того, как разрешения creep Index (PCI) управляет действиями и отчетами по архитектуре информационной безопасности. Эта команда может определить и помочь другим пользователям соответствовать пороговым значениям PCI для вашей организации.

Установка целевых пороговых значений PCI

Пороговые значения PCI определяют поведение операций и служат политиками, чтобы определить, требуется ли действие в вашей среде. Установите пороговые значения PCI для:

  • Системы авторизации
  • Пользователи удостоверений человека
    • Корпоративный каталог (ED)
    • SAML
    • Local
    • Гость
  • Нечеловеческие удостоверения

Примечание.

Поскольку деятельность, не связанная с человеческим удостоверением, отличается от человеческой личности, примените более строгий размер правого размера к нечеловеческим удостоверениям: задайте более низкий порог PCI.

Пороговые значения PCI зависят от целей и вариантов использования организации. Рекомендуется соответствовать встроенным пороговым значениям риска управления разрешениями. См. следующие диапазоны PCI по рискам:

  • Низкий: от 0 до 33
  • Средний: 34–67
  • Высокий: 68–100

В предыдущем списке ознакомьтесь со следующими примерами политики порогового значения PCI:

Категория Пороговое значение PCI Политика
Системы авторизации 67. Классификация системы авторизации как высокий риск Если система авторизации имеет оценку PCI выше 67, проверьте и правильность удостоверений PCI в системе авторизации
Удостоверения человека: ED, SAML и локальные 67. Классификация личности человека как высокий риск Если удостоверение человека имеет оценку PCI выше 67, правой размер разрешений удостоверения
Удостоверение человека: гостевой пользователь 33. Классификация гостевого пользователя как высокий или средний риск Если гостевой пользователь имеет оценку PCI выше 33, правильный размер разрешений удостоверения
Нечеловеческие удостоверения 33. Классификация нечеловеческой личности как высокий или средний риск Если удостоверение, отличное от человека, имеет оценку PCI выше 33, правильный размер разрешений удостоверения

Следующие шаги