referens för Microsoft Entra – behörighetshantering åtgärder
I den här driftsguiden får du lära dig mer om kontroller, åtgärder och metodtips för att använda Microsoft Entra – behörighetshantering i en företagsmiljö. Vägledningen har tre faser:
- Implementera ramverket för att hantera i stor skala: delegera behörigheter och utveckla processer för att vägleda driftsbeteende.
- Behörigheter med rätt storlek och automatisera principen om lägsta behörighet: åtgärda viktiga resultat och implementera jit-åtkomst (just-in-time) med behörigheter på begäran.
- Konfigurera Microsoft Entra – behörighetshantering övervakning och aviseringar: schemalägga återkommande rapporter, konfigurera aviseringar och utveckla spelböcker för svarsstrategi.
Kommentar
Rekommendationerna i den här guiden är aktuella från och med publiceringsdatumet. Vi rekommenderar att organisationer utvärderar sina identitetsmetoder kontinuerligt när Microsofts produkter och tjänster utvecklas över tid. Vissa rekommendationer kanske inte gäller för alla kundmiljöer.
Inträdesvillkor
Den här guiden förutsätter att du har slutfört snabbstartsguiden för att Microsoft Entra – behörighetshantering.
Ordlista
Använd följande ordlista för att förstå de termer som används i den här guiden.
Period | Definition |
---|---|
Auktoriseringssystem | Ett system som ger åtkomst till identiteter. Till exempel en Azure-prenumeration, ett AWS-konto eller ett GCP-projekt. |
Behörighet | En identitet med möjlighet att utföra en åtgärd på en resurs. |
Permission Creep Index (PCI) | Ett aggregerat mått för att mäta antalet oanvända eller överdrivna behörigheter för identiteter och resurser. Den mäts regelbundet för alla identiteter. PCI varierar från 0 till 100. Högre poäng innebär större risk. |
Behörigheter på begäran | En Microsoft Entra – behörighetshantering funktion som gör det möjligt för identiteter att begära och bevilja behörigheter på begäran under en begränsad tidsperiod eller efter behov. |
Kundintressentteam
Vi rekommenderar att du tilldelar intressenter att planera och implementera viktiga uppgifter. I följande tabell beskrivs de intressentteam som nämns i den här guiden.
Intressentteam | beskrivning |
---|---|
Identitets- och åtkomsthantering (IAM) | Hanterar dagliga åtgärder i IAM-systemet |
Molninfrastruktur | Arkitekter och driftsteam för Azure, AWS och GCP |
Arkitektur för informationssäkerhet | Planera och utforma organisationens informationssäkerhetsmetoder |
Informationssäkerhetsåtgärder | Kör och övervakar informationssäkerhetsmetoder för informationssäkerhetsarkitektur |
Incidentsvar | Identifierar och löser säkerhetsincidenter |
Säkerhetskontroll och granskning | Hjälper till att säkerställa att IT-processerna är säkra och kompatibla. De utför regelbundna granskningar, utvärderar risker och rekommenderar säkerhetsåtgärder för att minska identifierade sårbarheter och förbättra den övergripande säkerhetsstatusen. |
Tekniska ägare av målauktoriseringssystem | Egna individuella auktoriseringssystem: Azure-prenumerationer, AWS-konton, GCP-projekt som registrerats för Microsoft Entra – behörighetshantering |
Discover-remediate-monitor-flöde
När produkten operationaliseras rekommenderar vi att du använder flödet Discover-Remediate-Monitor. I följande exempel bör du notera användningen av det proaktiva flödet för överetablerade aktiva användare: högriskanvändare med överbehörighet i din miljö.
- Upptäck: Få insyn i din miljö och prioritera resultat. Använd till exempel rapporten Behörighetsanalys för en lista över överetablerade aktiva användare.
- Åtgärda: Agera på resultaten från identifieringen. Du kan till exempel använda reparationsverktygen för behörighetshantering för att återkalla oanvända uppgifter från överetablerade aktiva användare med ett klick och sedan skapa roller i rätt storlek baserat på tidigare aktivitet.
- Övervaka: Skapa aviseringar för att kontinuerligt övervaka din miljö för att få resultat att åtgärda. Skapa till exempel en avisering om behörighetsanalys för att meddela dig om överetablerade aktiva användare.