阶段 1:实现大规模管理框架
Microsoft Entra 权限管理操作参考指南的这一部分介绍了应考虑采取哪些检查和操作来有效地委托权限和进行发规模管理。
定义委托管理模型
建议所有者:信息安全体系结构
定义 Microsoft Entra 权限管理管理员
若要开始操作 Microsoft Entra 权限管理,请创建 2-5 名权限管理管理员,他们在产品中委托权限、配置密钥设置,并创建和管理组织的配置。
重要
Microsoft Entra 权限管理依赖于具有有效电子邮件地址的用户。 建议权限管理管理员具有已启用邮箱的帐户。
为指定的管理员分配 Microsoft Entra ID 中的权限管理管理员角色,便于其执行所需的任务。 建议使用 Privileged Identity Management (PIM) 为管理员提供对角色的实时 (JIT) 访问权限,而不是永久分配权限。
定义和维护文件夹结构
在权限管理中,文件夹是一组授权系统。 建议根据组织委托策略创建文件夹。 例如,如果组织基于团队进行委托,请创建以下文件夹:
- 生产财务
- 生产基础结构
- 生产前研发
有效的文件夹结构便于更轻松地大规模委托权限,并为授权系统所有者提供积极的产品体验。
若要帮助简化环境,请参阅创建文件夹来组织授权系统。
创建 Microsoft Entra ID 安全组来委托权限
Microsoft Entra 权限管理具有基于组的访问系统,该系统使用 Microsoft Entra ID 安全组向不同的授权系统授予权限。 为了委托权限,IAM 团队将创建映射到授权系统所有者的 Microsoft Entra ID 安全组,以及你定义的权限管理责任。 确保产品中具有共同所有权和职责的用户在同一个安全组中。
建议对组使用 PIM。 这为用户提供对权限管理的 JIT 访问权限,并与零信任 JIT 和恰好足够访问权限原则保持一致。
若要创建 Microsoft Entra ID 安全组,请参阅管理组和组成员身份。
在 Microsoft Entra 权限管理中分配权限
创建 Microsoft Entra ID 安全组后,权限管理管理员会向安全组授予所需的权限。
至少,请确保向安全组授予其负责的授权系统的查看者权限。 对其成员执行修正操作的安全组使用控制者权限。 详细了解 Microsoft Entra 权限管理角色和权限级别。
若要详细了解如何在权限管理中管理用户和组,请参阅:
确定授权系统生命周期管理
建议的所有者:信息安全体系结构和云基础结构
随着新授权系统的创建和当前授权系统的发展,请创建并维护一个定义良好的流程来应对 Microsoft Entra 权限管理中的变化。 下表概述了任务和建议的所有者。
| 任务 | 建议的所有者 |
|---|---|
| 为环境中创建的新授权系统定义发现过程 | 信息安全体系结构 |
| 为权限管理的新授权系统定义会审和加入过程 | 信息安全体系结构 |
| 定义新授权系统的管理过程:委托权限和更新文件夹结构 | 信息安全体系结构 |
| 开发交叉记帐结构。 确定成本管理流程。 | 所有者因组织而异 |
定义权限蠕变指数策略
建议所有者:信息安全体系结构
建议定义权限蠕变指数 (PCI) 如何推动信息安全体系结构活动和报告的目标和用例。 此团队可以定义并帮助其他人满足组织的目标 PCI 阈值。
建立目标 PCI 阈值
PCI 阈值指导操作行为,并充当策略来确定环境中何时需要操作。 为以下项建立目标 PCI 阈值:
- 授权系统
- 人类标识用户
- 企业目录 (ED)
- SAML
- Local
- 来宾
- 非人类标识
注意
由于非人类标识活动的变化小于人类标识,因此对非人类标识应用更严格的大小调整:设置更低的 PCI 阈值。
PCI 阈值因组织的目标和用例而异。 建议与内置权限管理风险阈值保持一致。 按风险查看以下 PCI 范围:
- 低:0 至 33
- 中:34 至 67
- 高:68 至 100
使用前面的列表,查看以下 PCI 阈值策略示例:
| 类别 | PCI 阈值 | 策略 |
|---|---|---|
| 授权系统 | 67:将授权系统分类为高风险 | 如果授权系统的 PCI 分数高于 67,请在授权系统中查看 PCI 分数高的标识并适当调整其大小 |
| 人类标识:ED、SAML 和本地 | 67:将人类标识分类为高风险 | 如果人类标识的 PCI 分数高于 67,请适当调整标识权限的大小 |
| 人类标识:来宾用户 | 33:将来宾用户分类为高风险或中等风险 | 如果来宾用户的 PCI 分数高于 33,请适当调整标识权限的大小 |
| 非人类标识 | 33:将非人类标识分类为高风险或中等风险 | 如果非人类标识的 PCI 分数高于 33,请适当调整标识权限的大小 |