具有 Microsoft Entra ID 控管 最低許可權的原則
在採用身分識別治理策略之前,需要解決的一個概念是最低許可權原則(PLOP)。 最低許可權是身分識別控管中的原則,牽涉到只指派使用者和群組執行其職責所需的最低存取和許可權層級。 其概念是限制訪問許可權,讓使用者或群組可以完成其工作,但也將攻擊者可能利用的不必要的許可權降到最低,或導致安全性缺口。
在 Microsoft Entra ID 控管 方面,套用最低許可權原則有助於增強安全性和降低風險。 此方法可確保使用者和群組只能存取與其角色和責任相關的資源、數據和動作,而除此之外沒有任何許可權。
最低許可權原則的重要概念
僅存取必要資源: 只有在用戶確實需要使用者執行其工作時,才能存取資訊和資源。 這可防止未經授權的敏感數據存取,並將安全性缺口的潛在影響降到最低。 自動化使用者布建有助於減少不必要的授與訪問許可權。 生命週期工作流程 是一項身分識別治理功能,可讓組織藉由自動化基本生命週期程式來管理Microsoft Entra 使用者。
角色型 存取控制 (RBAC):訪問許可權是根據使用者的特定角色或作業功能來決定。 每個角色都會獲指派履行職責所需的最低許可權。 Microsoft Entra 角色型訪問控制 會管理對 entra 資源Microsoft的存取權。
Just-In-Time 許可權: 訪問許可權只會在需要的時間期間授與,並在不再需要時撤銷。 這可減少攻擊者利用過多許可權的機會視窗。 Privileged Identity Management (PIM) 是一項Microsoft Entra 標識符中的服務,可讓您管理、控制及監視組織中重要資源的存取權,並提供 Just-In-Time 存取權。
定期稽核和檢閱: 定期檢閱使用者存取權和許可權,以確保使用者仍然需要已授與存取權。 這有助於識別並修正與最低許可權原則的任何偏差。 Microsoft Entra 標識符中的存取權檢閱,Microsoft Entra 的一部分,可讓組織有效率地管理群組成員資格、存取企業應用程式和角色指派。 您可以定期檢閱使用者的存取權,以確定只有適合的人員才能繼續存取。
默認拒絕: 預設立場是拒絕存取,且僅針對已核准目的明確授與存取權。 這與「默認允許」方法形成鮮明對比,這可能會導致授與不必要的許可權。 權利管理 是一項身分識別治理功能,可讓組織藉由自動化存取要求工作流程、存取指派、檢閱和到期,大規模管理身分識別和存取生命週期。
遵循最低許可權原則,您的組織可以降低安全性問題的風險,並確保訪問控制符合商務需求。
在身分識別治理功能中管理的最低特殊許可權角色
您最好使用最低特殊權限角色來執行 Identity Governance 中的系統管理工作。 建議您視需要使用 Microsoft Entra PIM 來啟動角色以執行這些工作。 以下是設定 Identity Governance 功能必要的最低權限目錄角色:
| 功能 | 最低特殊權限角色 |
|---|---|
| 權利管理 | 身分識別控管系統管理員 |
| 存取權檢閱 | 使用者管理員(除了 Azure 或 Microsoft Entra 角色的存取權檢閱,需要特殊許可權角色管理員) |
| 生命週期工作流程 | 生命週期工作流程系統管理員 |
| Privileged Identity Management | 特殊權限角色管理員 |
| 使用條款 | 安全性管理員或條件式存取管理員 |
注意
權利管理的最低特殊權限角色,已從使用者管理員角色變更為身分識別治理管理員角色。