Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln är en del av lösningsguiden Implementera en privilegierad åtkomstarkitektur .
Privilegierad åtkomst utgör en kritisk säkerhetsrisk i de flesta organisationer eftersom den ger direkt kontroll över identitetssystem, molnkontrollplan och affärskritiska tillgångar.
Lär dig hur en säker arkitektur för privilegierad åtkomst spelar en viktig roll i ditt affärsscenario – Skydda kritiska affärstillgångar – genom att minska den här risken och stärka kontrollen över känsliga system.
Den här artikeln hjälper dig att implementera fas 1 i lösningen Implementera en privilegierad åtkomstarkitektur . Den här fasen skyddar identitetskontrollplanet genom att definiera och skydda privilegierade identiteter, rolltilldelningar och auktoriserade utökade sökvägar.
Det är viktigt att implementera fas 1 först. Senare faser som skyddar enheter för privilegierad åtkomst, tillämpar principer för villkorsstyrd åtkomst och övervakar privilegierad åtkomst är beroende av en ren, välstyrd kontrollplan för identiteter.
Skyddsmål
Fas 1 säkerställer att privilegierad åtkomst är:
- Explicit: Bevilja privilegier endast genom definierade eskaleringsvägar. Gör det aldrig implicit eller oavsiktligt.
- Tillfälligt: Behörigheten upphör att gälla automatiskt.
- Starkt autentiserad: Kräv stark autentisering för utökade privilegier.
- Granskningsbar: Logga alla behörighetsändringar och utökade privilegier.
- Återställningsbar: Ge nödåtkomst utan att försvaga kontrollerna.
Skyddsomfång
Fas 1 fokuserar på två grundläggande komponenter för privilegierad åtkomst:
Privilegierade identiteter: Identiteter som kan utföra privilegierade åtgärder, inklusive:
- Dedikerade administrativa användarkonton
- Administrativa grupper
- Tjänsthuvuden och hanterade identiteter
- Azure RBAC-rolltilldelningar
- Åtkomstkonton för nödläge (break-glass) (om de inte finns).
Auktoriserade behörighetshöjningsvägar: Mekanismer som gör det möjligt för användare att gå från icke-privilegierade till privilegierade lägen, till exempel:
- Tidsbunden rollaktivering med – Privileged Identity Management (PIM)
- Arbetsflöden för godkännande för känsliga roller
- Uttryckliga administratörssessioner
Nödåtkomst för återställning: Konfigurera break-glass-konton om de inte redan finns.
Dessa komponenter fungerar i kontrollplanet. Om de komprometteras kan angripare ge sig själva privilegierad åtkomst utan att röra enheter eller åtkomstprinciper.
Risker åtgärdade
| Risk | Varför det spelar roll | Åtgärder för fas 1 |
|---|---|---|
| Okontrollerat skapande av privilegierade identiteter | Angripare skapar nya administratörer eller rolltilldelningar tyst. | Upprätta auktoritativa privilegierade identiteter och roller. Begränsa vem som kan hantera identitetssystem. Behandla identitetssystem som privilegierade tillgångar. |
| Tyst eskalering av privilegier | Privilegier som erhålls via grupper, RBAC eller kapslade tilldelningar. | Rationalisera roller, använd gruppbaserade tilldelningar, ta bort stående åtkomst. |
| Permanent (ständig) administrativ åtkomst | Stulna autentiseringsuppgifter ger bestående behörighet. | Ersätt ständig behörighet med tidsbegränsad behörighetshöjning. |
| Svaga eller implicita höjningsvägar | Angripare använder samma sökvägar som administratörer. | Definiera säkra, tydliga och revisionsbara arbetsflöden för behörighetshöjning |
| Kringgå nedströmsskydd | Behörighet som erhållits före verkställande av enhets- eller policyregler. | Identitetskontrollplanet skyddas först. |
| Oåterkallelig identitetskompromiss | Inget säkert sätt att återfå kontrollen. | Skapa skyddade konton för nödåtkomst. |
| Låg identitetssäkerhetsstatus | Svaga identitetskontroller undergräver alla senare faser. | Höj identitetssystem till högsta säkerhetsnivå. |
Fasresultat
När du har slutfört den här fasen:
- All privilegierad åtkomst är kopplad till kända och explicita identiteter och roller.
- Alla privilegier är tillfälliga, granskningsbara och avsiktliga.
- Stående administrativ åtkomst tas bort.
- Identitetssystem behandlas som privilegierade tillgångar.
- Återställning från identitetskompromiss är möjlig utan att kontrollerna försvagas.
- Ingen ny privilegierad risk införs under moderniseringen.
Den här fasen stoppar också skapandet av nya privilegierade risker medan granskning och modernisering fortsätter.
Förutsättningar
Observera följande förutsättningar innan du börjar konfigurera fas 1:
Läs dokumentationen:
- Läs översiktsartikeln för den här lösningen.
- Gå igenom planeringsartikeln för att komma överens om vilka roller och identiteter som utför privilegierat arbete.
I din organisation:
- Kontrollera att du har en aktiv, ägd Microsoft Entra ID klientorganisation. Vi rekommenderar Microsoft Entra ID P2 (för privilegierad identitetsstyrning).
- Den här lösningen förutsätter att du har Microsoft 365 Enterprise E5. Mer information finns i Microsoft 365 Enterprise-licensiering.
- Kontrollera att du har definierat minst två konton för nödåtkomst .
- Tydligt ägarskap för identitetsstyrning och rollhantering.
- När du skapar säkra administratörskonton exponeras de för den arbetsstation som användes under installationen. Kontrollera att den första konfigurationen utförs från en känd säker enhet.
Steg 1: Granska privilegierad åtkomst
Upprätta en fullständig inventering av privilegierade identiteter och åtkomstsökvägar. Granska följande källor.
| Source | Detaljer |
|---|---|
| Microsoft Entra katalogroller | Identifiera privilegierade roller som direkt eller indirekt kan leda till klientdominans genom att ändra identitets-, åtkomst- eller förtroendegränser i identitetskontrollplanet. För varje roll: – Identifiera direkta och gruppbaserade tilldelningar. – Identifiera permanenta och PIM-berättigade tilldelningar – Avbilda aktuellt aktiveringstillstånd. |
| Gruppbaserad behörighet | Ta reda på vem som är privilegierad indirekt och skulle missas om du bara tittar på användare. – Granska kapslat gruppmedlemskap – Identifiera användare, tjänstens huvudnamn och hanterade identiteter – Registrera hur privilegier ärvs. |
| Azure RBAC-roller | Ta reda på vad dessa privilegierade identiteter kan göra utanför själva katalogen. Granska tilldelningar i hanteringsgrupp, prenumeration och resursomfång. Identifiera identiteter med breda eller sammanhängande behörigheter. |
| Identiteter som inte är mänskliga | Ta reda på vilka icke-mänskliga identiteter som ingår i den privilegierade åtkomstvägen, inklusive: Tjänsthuvuden och hanterade identiteter Automation-konton och skript Programbehörigheter med klient- eller resurskontroll. |
Resultatet är en auktoritativ privilegierad identitetsinventering.
Identifiera katalogroller
Granska vem som kan ändra identitets-, autentiserings- eller klientomfattande konfiguration.
I administrationscentret för
Microsoft Entra navigerar du tillEntra ID Roles & Administratörer .Välj Alla roller. På den här sidan visas alla inbyggda och anpassade Microsoft Entra katalogroller, inklusive administratörsroller för hela klientorganisationen, till exempel global administratör och privilegierad rolladministratör.
- Privilegierade roller är alla som kan tilldela roller, ändra säkerhet/autentisering eller hantera appar, enheter eller säkerhetsprinciper.
- En fullständig lista över privilegierade inbyggda roller finns också i dokumentationen.
För varje privilegierad roll, kontrollera först direkta tilldelningar. För varje direkt tilldelat huvudnamn (användare, grupp eller tjänstens huvudnamn (app/hanterad identitet)) kontrollerar du hur rollen beviljas och aktuellt tillstånd.
- En permanent tilldelning innebär att rollen alltid är aktiv. En identitet loggar in och är redan privilegierad med statusen Aktiv (permanent). Detta är uppenbarligen en hög risk.
- En PIM-berättigad tilldelning innebär att rollen är tillgänglig men inte aktiv förrän den har aktiverats. Användaren måste aktivera rollen. Det är vanligtvis tidsbegränsad och kräver ofta motivering. Status kan vara Aktiv eller Berättigad om användaren kan bli privilegierad men inte är aktiverad för närvarande.
Växla nu till grupptilldelningar. Detta är viktigt eftersom det kontrollerar behörighet som indirekt tilldelas via grupper.
Öppna varje grupp som har tilldelats den privilegierade rollen.
Expandera gruppmedlemmar, expandera kapslade grupper och registrera användare, tjänsthuvudkonton och hanterade identiteter.
För varje identitet bekräftar du hur behörigheten innehas:
- Har rollen tilldelats via en grupp eller en kapslad grupp?
- Är rollen permanent eller PIM berättigad?
- Vad är det aktuella tillståndet?
När du har slutfört det här steget har du avbildat identitetskontrollplanet och har en auktoritativ privilegierad identitetsinventering för Microsoft Entra.
Identifiera roller i Azure RBAC
Nu när du vet vilka identiteter som är privilegierade ska vi kontrollera vad de kan göra utanför Microsoft Entra Directory. Var annars har de kontroll och i vilket omfång?
För varje privilegierat huvudnamn som du har identifierat fastställer du roller.
Börja på den högsta nivån (hanteringsgrupper).
- I Azure-portalen >Hanteringsgrupper går du till **Åtkomstkontroll (IAM) >Rolltilldelningar.
- Använd Filter>tilldelad till och sök efter huvudnamnet.
- Registrera eventuella resultat, inklusive rollnamn och omfång.
Om du hittar identiteter här innebär det att de har bred kontroll i Azure, eftersom Azure RBAC-roller som tilldelas på hanteringsgruppsnivå ärvs ned till alla underordnade prenumerationer och resurser.
Följ nu samma procedurer för Azure portalen >Prenumerationer.
Identiteter med Azure RBAC-roller som tilldelats på prenumerationsnivå är privilegierade och kan bevilja eller delegera åtkomst.
Om identiteter inte hittades på hanteringsgrupps- eller prenumerationsnivå kan du kontrollera på resursgruppsnivå med samma procedur i Azure portalen >Resource-grupper.
Du kanske också vill kontrollera om huvudkonton har kontroll över strategiska enskilda resurser, till exempel Key Vaults, lagringskonton, virtuella datorer eller automationskonton. Det gör du genom att kontrollera Åtkomstkontroll (IAM)>Tilldelad till för varje enskild resurs.
Registrera resultat
För varje konto som du har identifierat samlar du in granskningsinformation i en mappningstabell.
Identifiera högriskkonton med breda behörigheter och skapa en mappningstabell som ger information om rollomfång (sprängradie) och typ av arbete.
Account Entra-roll Azure RBAC-roll Scope Privilegierat arbete alice@contoso.com Global administratör Ägare Sub1, Sub2 Hantera användare, roller, prenumerationer. Om du vill lägga till mer information om observerat beteende för ett konto kan du:
- Granska inloggningsloggarna för information om appar, klientslutpunkter och autentiseringsflöden.
- Korrelera information med gransknings- och aktivitetsloggar för att kontrollera om ett konto används och om det har ändrat princip, ändrat resurser/prenumerationer eller utfört någon annan aktivitet.
Steg 2: Utvärdera din befintliga konfiguration
Med inventeringen på plats kan du använda verktyget Nulová dôvera (Zero Trust) Assessment för att utvärdera hur privilegierad åtkomst konfigureras i hela miljön och identifiera luckor i kontrollen.
Utvärderingsverktyget ersätter inte en fullständig inventering, men använder roll- och principdata som indata för att förstå om:
- Privilegierade roller skyddas (MFA, villkorlig åtkomst).
- Privilegierad åtkomst styrs (PIM-, JIT-/JEA-mönster).
- Principer tillämpas konsekvent.
- Det finns luckor mellan identiteter, enheter och åtkomstprinciper.
Läs mer om att utvärdera identitet med verktyget.
Steg 3: Upprätta dedikerade administrativa identiteter
Ta bort privilegierade roller från standardanvändarkonton.
Skapa dedikerade administrativa konton som:
- Används endast för privilegierade uppgifter
- Har ingen produktivitetsåtkomst (e-post, Teams, surfning)
- Är berättigade till privilegier via PIM, inte permanent tilldelade
Ta bort alla privilegierade rolltilldelningar från standardanvändaridentiteter.
Skapa administratörskonton
- I administrationscentret för Microsoft Entra navigerar du till Microsoft Entra ID>Användare.
- Välj Ny användare och konfigurera användarinställningarna. välj sedan Skapa.
- Namn: Säker arbetsstationsadministratör.
- Användarens huvudnamn: secure-ws-admin@contoso.com
- Autentiseringsmetod: Lösenord (tillfälligt).
- Katalogroller: Tilldela inte.
- Användningsplats: Ange till driftplats.
Detta ger dig en ren administratörsidentitet utan behörighet.
Steg 4: Skapa identiteter för PAWs
I senare procedurer konfigurerar du en privilegierad administratörsarbetsstation (PAW).
Om du vill definiera identiteter som kan komma åt PAW:er men som inte kan utföra privilegierade åtgärder kan du:
- Skapa en identitet som bara kan logga in på PAW:er.
- Skapa en säkerhetsgrupp som styr vem som får logga in på PAW:erna.
- Den här gruppen beviljar aldrig administratörsrättigheter. Den används för:
- Villkorsstyrd åtkomst, inklusive tillåt endast användare av säker arbetsstation att logga in på PAW:er och blockera andra användare.
- Tillämpa specifik gruppbaserad PAW-licensiering.
- Vanliga medlemmar i den här gruppen är SOC-analytiker, operatörer och granskare.
- Den här gruppen beviljar aldrig administratörsrättigheter. Den används för:
Skapa en inloggningsidentitet
- I administrationscentret för Microsoft Entra navigerar du till Microsoft Entra ID>Användare.
- Välj Ny användare och konfigurera användarinställningarna. Välj sedan Skapa.
- Namn: Säker arbetsstationsanvändare
- Användarens huvudnamn: secure-ws-user@contoso.com
- Katalogroller: Tilldela inte
Skapa en PAW-åtkomstsäkerhetsgrupp
Konfigurera en grupp som styr vem som kan logga in på PAW:erna
I administrationscentret för Microsoft Entra går du till Microsoft Entra ID>Groups>Ny grupp.
Konfigurera gruppinställningarna och välj sedan Skapa.
- Grupptyp: Säkerhet
- Gruppnamn: Säkra arbetsstationsanvändare
- Medlemskap: Tilldelad
Lägg bara till PAW-inloggningsidentiteter i gruppen, inte administratörer som standard.
Steg 5: Skapa administrativa kontrollgrupper
Skapa säkerhetsgrupper som definierar vem som är berättigad till privilegierade roller. Följande grupper:
- Markeras som rolltilldelningsbara
- Hanteras via PIM
- Bevilja inte behörighet enbart genom medlemskap
- Fungera som behörighetsgränser för privilegiehöjning
Medlemskapsändringar behandlas som privilegierade åtgärder och granskas regelbundet
I administrationscentret för Microsoft Entra går du till Microsoft Entra ID>Groups>Ny grupp.
Konfigurera gruppinställningarna och välj sedan Skapa.
- Grupptyp: Säkerhet
- Namn: Säkra arbetsstationsadministratörer
- Medlemskapstyp: tilldelas
Lägg till dedikerade administratörsidentiteter. Använd inte standardkonton och behandla medlemskapsändringar som känsliga. Granska regelbundet.
Den här gruppen blir senare:
- Markerad som rolltilldelningsbar
- Tilldelade katalogroller via PIM som berättigade (inte aktiva)
- Använd som den primära målmekanismen för privilegierade åtkomstprinciper
Steg 6: Konfigurera PIM
Om Privileged Identity Management inte redan är aktiverat gör du det nu.
Se till att du är inloggad som global administratör eller privilegierad rolladministratör.
Aktivera PIM för katalogroller
- I administrationscentret för Microsoft Entra går du till Identitetsstyrning>Privileged Identity Management.
- Välj Microsoft Entra-roller.
Ta bort permanenta roller
I Microsoft Entra roller väljer du Roles.
Öppna privilegierade åtkomstroller som identifierats för din organisation.
Den minsta uppsättning som rekommenderas av Microsoft är följande: – Global administratör – Privilegierad rolladministratör – säkerhetsadministratör – Exchange administratör – SharePoint administratör
Välj Tilldelningar.
För varje aktiv (permanent) tilldelning:
- Ta bort den permanenta tilldelningen
- Lägg till användaren eller gruppen igen som Berättigad.
Efter detta har användarna inte administratörsbehörighet om de inte aktiverar dem.
Konfigurera aktiveringsinställningar
Gör följande för varje privilegierad roll:
I PIM>Microsoft Entra roller väljer du Inställningar.
Välj rollen >Redigera.
Konfigurera inställningar:
- Kräv aktivering
- Kräv MFA vid aktivering
- Kräv motivering
- Ange maximal aktiveringstid (till exempel 1–4 timmar för roller med hög påverkan)
- Kräv godkännande (för global administratör, privilegierad rolladministratör, säkerhetsadministratör)
- Välj en eller flera godkännare
Välj Uppdatera.
Använda gruppbaserade rolltilldelningar
Vi rekommenderar att du tilldelar roller till grupper, inte enskilda användare, för skalning och styrning.
Skapa en rolltilldelningsbar säkerhetsgrupp och tilldela den till en Entra-roll (t.ex. Exchange administratör). Hantera sedan medlemskap (vem som kan få rollen) via styrningsprocessen och eventuellt via PIM för grupper.
- Skapa en säkerhetsgrupp med inställningen Microsoft Entra roller kan tilldelas till den här gruppen aktiverad.
- I PIM >Microsoft Entra roller väljer du Lägg till tilldelningar.
- Tilldela gruppen som Behörig för rollen.
- Lägg till eller ta bort användare från gruppen i stället för att ändra rolltilldelningar direkt.
Den här gruppen blir auktoriseringsgränsen för privilegierad åtkomst.
När steg 6 har slutförts konfigureras följande:
- Ingen permanent administrativ åtkomst
- Behörighet begärs, godkänns, tidsbegränsas, loggas
- Eskaleringsvägar är tydliga och kan granskas
Steg 7: Konfigurera nödkonton
Om du inte redan har konton för nödåtkomst på plats konfigurerar du dem nu. De krävs för att kunna återhämta sig från situationer med identitetsrelaterad utelåsning som orsakas av villkorsstyrd åtkomst, MFA-avbrott eller felkonfigurationer.
Se till att du är inloggad som global administratör eller privilegierad rolladministratör för att skapa minst två konton för nödåtkomst.
- I administrationscentret för Microsoft Entra går du till Användare>Alla användare.
- Välj Ny användare och skapa en molnbaserad användare.
- Använd domänen *.onmicrosoft.com
- Använd ett icke-uppenbart namn (inte "break glass")
- Tilldela rollen Global administratör.
- Gör inte den här rollen PIM-berättigad – den måste vara permanent.
- Använd ett starkt, långt lösenord som lagras säkert offline.
- Konfigurera nätfiskebeständig autentisering (till exempel FIDO2/nyckel eller certifikatbaserad autentisering)
- Koppla inte MFA till en personlig telefon eller e-postadress.
Upprepa för att skapa ett andra nödkonto.
Undanta konton för nödsituationer från villkorlig åtkomst
Detta säkerställer att återställning alltid är möjligt.
I administrationscentret för Microsoft Entra går du till Protection>Villkorlig åtkomst.
För varje princip:
- Redigera tilldelningar.
- Exkludera minst ett konto för nödåtkomst.
Se till att inte exkludera vanliga administratörskonton – endast konton för nödsituationer.
Övervaka användning av nödsituationskonton
Aktivera aviseringar på:
- Inloggningar efter nödkonton
- Rolländringar som involverar dessa konton
Behandla all användning som en säkerhetsincident om den inte har godkänts i förväg.
Granska användningen med jämna mellanrum.
När steg 7 har slutförts konfigureras följande:
- Identitetskontrollplanet kan återställas
- Senare faser (PAW: er, villkorsstyrd åtkomst) riskerar inte permanent utelåsning
- Nödåtkomst isoleras, övervakas och används sällan
Nästa steg
När du har skyddat identitetskontrollplanet begränsar du var behörighet kan utövas med säkra PAW-arbetsstationer (Privileged Access Workstations).