Fas 1: Implementera ramverket för att hantera i stor skala
I det här avsnittet i referensguiden för Microsoft Entra – behörighetshantering åtgärder beskrivs de kontroller och åtgärder som du bör överväga att vidta för att effektivt delegera behörigheter och hantera i stor skala.
Definiera en delegerad administrationsmodell
Rekommenderad ägare: Informationssäkerhetsarkitektur
Definiera Microsoft Entra – behörighetshantering administratörer
Börja operationalisera Microsoft Entra – behörighetshantering genom att upprätta två till fem behörighetshanteringsadministratörer som delegerar behörigheter i produkten, konfigurera nyckelinställningar och skapa och hantera organisationens konfiguration.
Viktigt!
Microsoft Entra – behörighetshantering förlitar sig på användare med giltiga e-postadresser. Vi rekommenderar att dina behörighetshanteringsadministratörer har postlådeaktiverade konton.
Tilldela utsedda administratörer rollen Behörighetshanteringsadministratör i Microsoft Entra-ID för att utföra nödvändiga uppgifter. Vi rekommenderar att du använder Privileged Identity Management (PIM) för att ge dina administratörer just-in-time-åtkomst (JIT) åtkomst till rollen i stället för att tilldela den permanent.
Definiera och underhålla mappstrukturen
I Behörighetshantering är en mapp en grupp med auktoriseringssystem. Vi rekommenderar att du skapar mappar baserat på organisationens delegeringsstrategi. Om din organisation till exempel delegerar baserat på team skapar du mappar för:
- Produktionsfinansiering
- Produktionsinfrastruktur
- Forskning och utveckling före produktion
En effektiv mappstruktur gör det enklare att delegera behörigheter i stor skala och ger dina auktoriseringssystemägare en positiv produktupplevelse.
Information om hur du effektiviserar din miljö finns i Skapa mappar för att organisera dina auktoriseringssystem.
Skapa Microsoft Entra-säkerhetsgrupper för att delegera behörigheter
Microsoft Entra – behörighetshantering har ett gruppbaserat åtkomstsystem som använder Microsoft Entra-säkerhetsgrupper för att bevilja behörigheter till olika auktoriseringssystem. För att delegera behörigheter skapar ditt IAM-team Microsoft Entra-säkerhetsgrupper som mappar till auktoriseringssystemägare och behörighetshanteringsansvar som du definierar. Se till att användare med delat ägarskap och ansvarsområden i produkten finns i samma säkerhetsgrupp.
Vi rekommenderar att du använder PIM för grupper. Detta ger JIT-åtkomst till behörighetshantering för användare och överensstämmer med Nolltillit JIT- och just-enough-access-principer.
Information om hur du skapar Microsoft Entra-säkerhetsgrupper finns i Hantera grupper och gruppmedlemskap.
Tilldela behörigheter i Microsoft Entra – behörighetshantering
När Microsoft Entra-säkerhetsgrupper har skapats ger en administratör för behörighetshantering de säkerhetsgrupper som behövs behörigheter.
Se till att säkerhetsgrupper har behörighet som läsare för de auktoriseringssystem som de ansvarar för. Använd behörigheter för kontrollanter för säkerhetsgrupper med medlemmar som utför reparationsåtgärder. Läs mer om Microsoft Entra – behörighetshantering roller och behörighetsnivåer.
Mer information om hur du hanterar användare och grupper i Behörighetshantering:
- Lägg till eller ta bort en användare i Microsoft Entra Behörighetshantering
- Hantera användare och grupper med instrumentpanelen för användarhantering
- Välj gruppbaserade behörighetsinställningar
Fastställa livscykelhantering för auktoriseringssystem
Rekommenderade ägare: Arkitektur för informationssäkerhet och molninfrastruktur
När nya auktoriseringssystem skapas och de aktuella auktoriseringssystemen utvecklas skapar och underhåller du en väldefinierad process för ändringar i Microsoft Entra – behörighetshantering. I följande tabell beskrivs uppgifter och rekommenderade ägare.
| Uppgift | Rekommenderad ägare |
|---|---|
| Definiera identifieringsprocessen för nya auktoriseringssystem som skapats i din miljö | Arkitektur för informationssäkerhet |
| Definiera triage- och onboarding-processer för nya auktoriseringssystem till Behörighetshantering | Arkitektur för informationssäkerhet |
| Definiera administrationsprocesser för nya auktoriseringssystem: delegera behörigheter och uppdatera mappstrukturen | Arkitektur för informationssäkerhet |
| Utveckla en korsdebiteringsstruktur. Fastställ en kostnadshanteringsprocess. | Ägaren varierar beroende på organisation |
Definiera en strategi för krypindex för behörigheter
Rekommenderad ägare: Informationssäkerhetsarkitektur
Vi rekommenderar att du definierar mål och användningsfall för hur Behörigheter Creep Index (PCI) driver informationssäkerhetsarkitekturaktivitet och rapportering. Det här teamet kan definiera och hjälpa andra att uppfylla mål-PCI-tröskelvärden för din organisation.
Upprätta PCI-måltrösklar
PCI-tröskelvärden vägleder driftsbeteende och fungerar som principer för att avgöra när åtgärder krävs i din miljö. Upprätta PCI-tröskelvärden för:
- Auktoriseringssystem
- Användare av mänsklig identitet
- Företagskatalog (ED)
- SAML
- Lokal
- Gäst
- Icke-mänskliga identiteter
Kommentar
Eftersom icke-mänsklig identitetsaktivitet varierar mindre än en mänsklig identitet tillämpar du striktare högerstorlek på icke-mänskliga identiteter: ange ett lägre PCI-tröskelvärde.
PCI-tröskelvärden varierar beroende på organisationens mål och användningsfall. Vi rekommenderar att du överensstämmer med de inbyggda tröskelvärdena för behörighetshanteringsrisk. Se följande PCI-intervall, efter risk:
- Låg: 0 till 33
- Medel: 34 till 67
- Hög: 68 till 100
Med hjälp av föregående lista granskar du följande exempel på PCI-tröskelvärden:
| Kategori | PCI-tröskelvärde | Policy |
|---|---|---|
| Auktoriseringssystem | 67: Klassificera auktoriseringssystemet som hög risk | Om ett auktoriseringssystem har en PCI-poäng som är högre än 67 granskar du och rätt storlek på höga PCI-identiteter i auktoriseringssystemet |
| Mänskliga identiteter: ED, SAML och lokala | 67: Klassificera den mänskliga identiteten som hög risk | Om en mänsklig identitet har en PCI-poäng som är högre än 67, rätt storlek på identitetens behörigheter |
| Mänsklig identitet: Gästanvändare | 33: Klassificera gästanvändaren som hög eller medelhög risk | Om en gästanvändare har en PCI-poäng som är högre än 33, rätt storlek på identitetens behörigheter |
| Icke-mänskliga identiteter | 33: Klassificera den icke-mänskliga identiteten som hög eller medelhög risk | Om en icke-mänsklig identitet har en PCI-poäng som är högre än 33, rätt storlek på identitetens behörigheter |
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för