Поделиться через


Принцип наименьших привилегий с Управление идентификацией Microsoft Entra

Одна из концепций, которую необходимо решить перед принятием стратегии управления удостоверениями, является принципом наименьших привилегий (PLOP). Наименьшие привилегии — это принцип управления удостоверениями, который включает назначение пользователей и групп только минимальному уровню доступа и разрешений, необходимых для выполнения своих обязанностей. Идея заключается в том, чтобы ограничить права доступа, чтобы пользователь или группа могли завершить свою работу, но и свести к минимуму ненужные привилегии, которые могут быть использованы злоумышленниками или привести к нарушениям безопасности.

В отношении Управление идентификацией Microsoft Entra применение принципа наименьшей привилегии помогает повысить безопасность и снизить риски. Этот подход гарантирует, что пользователи и группы получают доступ только к ресурсам, данным и действиям, которые относятся к их ролям и обязанностям, и ничего, кроме этого.

Основные понятия принципа наименьшей привилегии

  • Доступ только к необходимым ресурсам: пользователи получают доступ к информации и ресурсам только в том случае, если у них есть реальная потребность в выполнении своих задач. Это предотвращает несанкционированный доступ к конфиденциальным данным и сводит к минимуму потенциальное влияние нарушения безопасности. Автоматизация подготовки пользователей помогает сократить ненужные права доступа. Рабочие процессы жизненного цикла — это функция управления удостоверениями, которая позволяет организациям управлять пользователями Microsoft Entra путем автоматизации базовых процессов жизненного цикла.

  • Контроль доступа на основе ролей (RBAC): права доступа определяются на основе определенных ролей или функций заданий пользователей. Каждая роль назначается минимальным разрешениям, необходимым для выполнения своих обязанностей. Управление доступом на основе ролей Microsoft Entra управляет доступом к ресурсам Microsoft Entra.

  • JIT-привилегии: права доступа предоставляются только в течение времени, когда они необходимы и отозваны, когда они больше не требуются. Это сокращает окно возможности для злоумышленников использовать чрезмерные привилегии. управление привилегированными пользователями (PIM) — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации и предоставлять JIT-доступ.

  • Регулярный аудит и проверка. Периодические проверки доступа пользователей и разрешений выполняются, чтобы гарантировать, что пользователям по-прежнему требуется доступ. Это помогает выявлять и исправлять любые отклонения от принципа наименьших привилегий. Проверки доступа в идентификаторе Microsoft Entra, части Microsoft Entra, позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.

  • Запрет по умолчанию: позиция по умолчанию заключается в том, чтобы запретить доступ, и доступ явно предоставляется только для утвержденных целей. Это контрастирует с подходом "разрешить по умолчанию", что может привести к предоставлению ненужных привилегий. Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.

Следуя принципу наименьших привилегий, ваша организация может снизить риск проблем с безопасностью и обеспечить соответствие элементов управления доступом бизнес-потребностям.

Наименее привилегированные роли для управления функциями управления удостоверениями

Мы рекомендуем использовать роль с наименьшим уровнем привилегий для выполнения задач администрирования в службе Identity Governance. Рекомендуется использовать Microsoft Entra PIM для активации роли по мере необходимости для выполнения этих задач. Ниже перечислены роли каталога с минимально необходимыми привилегиями для настройки функций Identity Governance.

Функция Наименее привилегированная роль
Управление правами Администратор управления удостоверениями
Проверки доступа Администратор пользователей (за исключением проверок доступа ролей Azure или Microsoft Entra, для которых требуется администратор привилегированных ролей)
Рабочие процессы жизненного цикла Администратор рабочих процессов жизненного цикла
Управление привилегированными пользователями Администратор привилегированных ролей
Условия использования Администратор безопасности или администратор условного доступа

Примечание.

Роль с минимальными привилегиями для управлениями правами изменена с роли "Администратор пользователей" на роль "Администратор управления удостоверениями".