Splnění požadavků na autorizaci memoria 22-09
Tato série článků obsahuje pokyny k použití Microsoft Entra ID jako centralizovaného systému správy identit při implementaci nulová důvěra (Zero Trust) principů. Pokyny a vedení jsou založeny na Úřadu pro správu a rozpočet Spojených států (OMB) Memorandumu M-22-09 pro vedoucí výkonných oddělení a agentur.
Požadavky na memo jsou typy vynucení v zásadách vícefaktorového ověřování a ovládací prvky pro zařízení, role, atributy a správu privilegovaného přístupu.
Ovládací prvky založené na zařízeních
Požadavek na dokument 22-09 je alespoň jeden signál založený na zařízení pro rozhodnutí o autorizaci pro přístup k systému nebo aplikaci. Vynucujte požadavek pomocí podmíněného přístupu. Během autorizace použijte několik signálů zařízení. Informace o signálu a požadavku na načtení signálu najdete v následující tabulce.
Signál | Načtení signálu |
---|---|
Zařízení je spravované | Integrace s Intune nebo jiným řešením správy mobilních zařízení (MDM) podporující integraci |
Hybridní připojení k Microsoft Entra | Služba Active Directory spravuje zařízení a kvalifikuje se. |
Zařízení vyhovuje předpisům | Integrace s Intune nebo jiným řešením MDM podporujícím integraci Přečtěte si článek Vytvoření zásad dodržování předpisů v Microsoft Intune. |
Signály hrozeb | Microsoft Defender for Endpoint a další nástroje detekce a reakce u koncových bodů (EDR) mají integrace Microsoft Entra ID a Intune, které odesílají signály hrozeb pro odepření přístupu. Signály hrozeb podporují stavový signál vyhovující předpisům. |
Zásady přístupu mezi tenanty (Public Preview) | Důvěřujte signálům zařízení ze zařízení v jiných organizacích. |
Ovládací prvky založené na rolích
Pomocí řízení přístupu na základě role (RBAC) vynucujte autorizace prostřednictvím přiřazení rolí v určitém oboru. Například přiřaďte přístup pomocí funkcí správy nároků, včetně přístupových balíčků a kontrol přístupu. Správa autorizací pomocí samoobslužných požadavků a použití automatizace ke správě životního cyklu Například automaticky ukončit přístup na základě kritérií.
Další informace:
- Co je správa nároků?
- Vytvoření nového přístupového balíčku ve správě nároků
- Co jsou kontroly přístupu?
Ovládací prvky založené na atributech
Řízení přístupu na základě atributů (ABAC) používá metadata přiřazená uživateli nebo prostředku k povolení nebo odepření přístupu během ověřování. V následujících částech najdete informace o vytváření autorizací pomocí vynucení ABAC pro data a prostředky prostřednictvím ověřování.
Atributy přiřazené uživatelům
K vytváření autorizací uživatelů použijte atributy přiřazené uživatelům uloženým v Microsoft Entra ID. Uživatelé se automaticky přiřazují k dynamickým skupinám členství na základě sady pravidel, kterou definujete při vytváření skupiny. Pravidla přidávají nebo odebírají uživatele ze skupiny na základě vyhodnocení pravidel pro uživatele a jejich atributy. Doporučujeme udržovat atributy a nenastavovat statické atributy v den vytváření.
Další informace: Vytvoření nebo aktualizace dynamické skupiny v Microsoft Entra ID
Atributy přiřazené k datům
S ID Microsoft Entra můžete integrovat autorizaci k datům. Informace o integraci autorizace najdete v následujících částech. Ověřování můžete nakonfigurovat v zásadách podmíněného přístupu: omezení akcí, které uživatelé provádějí v aplikaci nebo v datech. Tyto zásady ověřování se pak mapují ve zdroji dat.
Zdroje dat můžou být systém Microsoft Office soubory, jako jsou wordové, excelové nebo sharepointové weby mapované na ověřování. Použijte ověřování přiřazené k datům v aplikacích. Tento přístup vyžaduje integraci s kódem aplikace a pro vývojáře, aby mohli tuto funkci přijmout. Integrace ověřování s Microsoft Defenderem pro Cloud Apps slouží k řízení akcí provedených s daty prostřednictvím ovládacích prvků relace.
Zkombinujte dynamické skupiny členství s kontextem ověřování, abyste mohli řídit mapování přístupu uživatelů mezi daty a atributy uživatele.
Další informace:
- Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování
- Příručka pro vývojáře k kontextu ověřování podmíněného přístupu
- Zásady relací
Atributy přiřazené k prostředkům
Azure zahrnuje řízení přístupu na základě atributů (Azure ABAC) pro úložiště. Přiřaďte značky metadat k datům uloženým v účtu služby Azure Blob Storage. Přiřaďte metadata uživatelům pomocí přiřazení rolí k udělení přístupu.
Další informace: Co je řízení přístupu na základě atributů Azure?
Správa privilegovaného přístupu
Poznámka cituje neefektivitu používání nástrojů pro správu privilegovaného přístupu s jednofaktorovými dočasnými přihlašovacími údaji pro přístup k systémům. Mezi tyto technologie patří trezory hesel, které přijímají vícefaktorové přihlašování pro správce. Tyto nástroje generují heslo pro alternativní účet pro přístup k systému. K přístupu k systému dochází s jedním faktorem.
Nástroje Microsoftu implementují Privileged Identity Management (PIM) pro privilegované systémy s Id Microsoft Entra jako centrální systém správy identit. Vynucujte vícefaktorové ověřování pro většinu privilegovaných systémů, které jsou aplikace, prvky infrastruktury nebo zařízení.
PiM použijte pro privilegovanou roli, když je implementovaná s identitami Microsoft Entra. Identifikujte privilegované systémy, které vyžadují ochranu, aby se zabránilo laterálnímu pohybu.
Další informace:
- Co je Microsoft Entra Privileged Identity Management?
- Plánování nasazení Privileged Identity Management