Princip nejnižšího oprávnění pomocí zásad správného řízení Microsoft Entra ID
Jedním z konceptů, které je potřeba řešit před přijetím strategie zásad správného řízení identit, je princip nejnižší úrovně oprávnění (PLOP). Nejnižší oprávnění je princip zásad správného řízení identit, který zahrnuje přiřazování uživatelů a skupin pouze minimální úroveň přístupu a oprávnění nezbytných k provádění jejich povinností. Cílem je omezit přístupová práva tak, aby uživatel nebo skupina mohli dokončit svou práci, ale zároveň minimalizovat zbytečná oprávnění, která by mohli útočníci zneužít nebo vést k narušení zabezpečení.
Pokud jde o zásady správného řízení Microsoft Entra ID, použití zásady nejnižších oprávnění pomáhá zvýšit zabezpečení a zmírnit rizika. Tento přístup zajišťuje, že uživatelům a skupinám bude udělen přístup pouze k prostředkům, datům a akcím, které jsou relevantní pro jejich role a povinnosti, a nic nad tím.
Klíčové koncepty principu nejnižších oprávnění
Přístup pouze k požadovaným prostředkům: Uživatelé mají přístup k informacím a prostředkům pouze v případě, že mají skutečnou potřebu provádět své úkoly. Tím zabráníte neoprávněnému přístupu k citlivým datům a minimalizujete potenciální dopad porušení zabezpečení. Automatizace zřizování uživatelů pomáhá snížit zbytečné udělení přístupových práv. Pracovní postupy životního cyklu jsou funkce správy identit, které organizacím umožňují spravovat uživatele Microsoft Entra automatizací základních procesů životního cyklu.
Řízení přístupu na základě role (RBAC): Přístupová práva se určují na základě konkrétních rolí nebo funkcí úloh uživatelů. Každá role má přiřazená minimální oprávnění potřebná ke splnění svých povinností. Řízení přístupu na základě rolí Microsoft Entra spravuje přístup k prostředkům Microsoft Entra.
Oprávnění v pravý čas: Přístupová práva jsou udělena pouze po dobu, po kterou jsou potřebná, a jsou odebrána, když už nejsou potřeba. Tím se sníží možnost útočníků zneužít nadměrná oprávnění. Privileged Identity Management (PIM) je služba v Microsoft Entra ID, která umožňuje řídit, kontrolovat a monitorovat přístup k důležitým prostředkům ve vaší organizaci a může poskytovat přístup právě včas.
Pravidelné auditování a kontrola: Pravidelné kontroly přístupu a oprávnění uživatelů se provádějí, aby uživatelé stále vyžadovali přístup, který jim byl udělen. To pomáhá identifikovat a opravit případné odchylky od principu nejnižších oprávnění. Kontroly přístupu v Microsoft Entra ID, součást Microsoft Entra, umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k přístupu budou mít nadále přístup jenom ti správní uživatelé.
Výchozí odepření: Výchozí postoj je odepření přístupu a přístup je výslovně udělen pouze pro schválené účely. To je na rozdíl od přístupu "implicitně povolený", což může vést k udělení nepotřebných oprávnění. Správa oprávnění je funkce řízení identit, která organizacím umožňuje spravovat životní cyklus identit a přístupů ve velkém rozsahu prostřednictvím automatizace pracovních postupů pro žádosti o přístup, přiřazování přístupů, kontroly a ukončení platnosti přístupů.
Podle principu nejnižších oprávnění může vaše organizace snížit riziko problémů se zabezpečením a zajistit, aby řízení přístupu odpovídalo obchodním potřebám.
Nejméně privilegované role pro správu funkcí identity governance
Osvědčeným postupem je použít roli s nejnižšími oprávněními k provádění administrativních úloh ve správě identit. Doporučujeme použít Microsoft Entra PIM k aktivaci role, pokud je to potřeba pro provedení těchto úkolů. Níže jsou uvedeny role adresáře s nejnižšími oprávněními
| Funkce | Role s nejnižšími oprávněními |
|---|---|
| Správa nároků | Správce řízení identit |
| Kontroly přístupu | Správce uživatelů (s výjimkou kontrol přístupu rolí Azure nebo Microsoft Entra, které vyžadují správce privilegovaných rolí) |
| Pracovní postupy životního cyklu | Správce pracovních postupů životního cyklu |
| Správa privilegované identity | Správce privilegovaných rolí |
| Podmínky použití | Správce zabezpečení nebo správce podmíněného přístupu |
Poznámka:
Nejnižší privilegovaná role pro správu nároků se změnila z role Správce uživatelů na roli Správce zásad správného řízení identit.