Referenz zu Microsoft Entra Permissions Management-Vorgängen
In diesem Leitfaden zur Operationalisierung erfahren Sie mehr über die Prüfungen, Aktionen und bewährten Verfahren für den Betrieb von Microsoft Entra Permissions Management in einer Unternehmensumgebung. Die Anleitung umfasst drei Phasen:
- Implementieren des Frameworks zur Verwaltung im großen Maßstab: Delegieren von Berechtigungen und Entwickeln von Prozessen zur Anleitung des Betriebsverhaltens.
- Berechtigungen der richtigen Größe und Automatisieren des Prinzips der geringsten Berechtigungen: Beheben sie wichtige Mängel und implementieren Sie Just-in-Time (JIT)-Zugriff mit Berechtigungen bei Bedarf.
- Konfigurieren der Überwachung und Warnung im Microsoft Entra Permissions Management: Planen Sie wiederkehrende Berichte, konfigurieren Sie Warnungen und entwickeln Sie Reaktionsstrategie-Playbooks.
Hinweis
Die Empfehlungen in diesem Leitfaden sind ab dem Datum der Veröffentlichung aktuell. Wir empfehlen Unternehmen, ihre Identitätspraktiken kontinuierlich zu überprüfen, da sich die Produkte und Dienste von Microsoft im Laufe der Zeit weiterentwickeln. Einige Empfehlungen gelten möglicherweise nicht für alle Kundenumgebungen.
Teilnahmekriterien
In diesem Leitfaden wird davon ausgegangen, dass Sie die Schnellstartanleitung für die Verwaltung von Microsoft Entra-Berechtigungenabgeschlossen haben.
Glossar
Verwenden Sie das folgende Glossar für Begriffe, die in diesem Handbuch verwendet werden.
| Begriff | Definition |
|---|---|
| Autorisierungssystem | Ein System, das Zugriff auf Identitäten gewährt. Beispielsweise ein Azure-Abonnement, ein AWS-Konto oder ein GCP-Projekt. |
| Berechtigung | Eine Berechtigung gibt eine Identität an, die eine Aktion für eine Ressource ausführen kann. |
| Permission Creep Index (PCI, Index der Berechtigungsakkumulation) | Eine aggregierte Metrik zur Messung der Anzahl ungenutzter oder übermäßiger Berechtigungen über alle Identitäten und Ressourcen hinweg. Sie wird in regelmäßigen Abständen für alle Identitäten gemessen. Für PCI sind Werte zwischen 0 und 100 möglich. Höhere Bewertungen stellen ein höheres Risiko dar. |
| Berechtigungen bei Bedarf | Eine Microsoft Entra Permissions Management-Funktion, die Identitäten das Anfordern und Erteilen von Berechtigungen bei Bedarf für einen begrenzten Zeitraum oder nach Bedarf ermöglicht. |
Kunden-Projektbeteiligten-Teams
Es wird empfohlen, Projektbeteiligten zuzuweisen, um wichtige Aufgaben zu planen und zu implementieren. Die folgende Tabelle gibt einen Überblick über die in diesem Leitfaden erwähnten Projektbeteiligten-Teams.
| Projektbeteiligten-Team | Beschreibung |
|---|---|
| Identity & Access Management (IAM) | Verwaltet den täglichen Betrieb des IAM-Systems |
| Cloudinfrastruktur | Architekten und Betriebsteams für Azure, AWS und GCP |
| Informationssicherheitsarchitektur | Pläne und Entwürfe der Informationssicherheitspraktiken der Organisation |
| Informationssicherheitsvorgänge | Führt Verfahren zur Informationssicherheit für die Informationssicherheitsarchitektur aus und überwacht sie |
| Reaktion auf Vorfälle | Identifiziert und behebt Sicherheitsvorfälle |
| Sicherheitsgarantie und -überwachung | Trägt dazu bei, dass IT-Prozesse sicher und konform sind. Sie führen regelmäßige Audits durch, bewerten Risiken und empfehlen Sicherheitsmaßnahmen, um identifizierte Sicherheitsrisiken zu mindern und den Gesamtsicherheitsstatus zu verbessern. |
| Technische Besitzer des Zielautorisierungssystems | Eigene individuelle Autorisierungssysteme: Azure-Abonnements, AWS-Konten, GCP-Projekte in Microsoft Entra Permissions Management integriert |
Der Flow Entdecken, Korrigieren und Überwachen
Bei der Operationalisierung des Produkts empfehlen wir die Verwendung des Ablaufs „ Entdecken, Korrigieren und Überwachen“. Beachten Sie im folgenden Beispiel die Verwendung des proaktiven Flusses für überprovisionierte aktive Benutzer: Benutzer mit hohem Risiko und übermäßiger Berechtigung in Ihrer Umgebung.
- Entdecken: Verschaffen Sie sich Einblicke in Ihre Umgebung, und priorisieren Sie Ergebnisse. Verwenden Sie beispielsweise den Berechtigungsanalysebericht für eine Liste der überlasteten aktiven Benutzer.
- Korrigieren: Reagieren Sie auf die Erkenntnisse aus der Ermittlung. Verwenden Sie z. B. Tools zur Berechtigungsverwaltung, um nicht verwendete Aufgaben von überprovisionierten aktiven Benutzern mit nur einem Klick zu widerrufen und dann basierend auf früheren Aktivitäten Rollen mit der richtigen Größe zu erstellen.
- Überwachen: Erstellen Sie Warnungen, um Ihre Umgebung kontinuierlich zu überwachen, um Ergebnisse zu korrigieren. Erstellen Sie beispielsweise eine Berechtigungsanalysebenachrichtigung, um Sie über die überprovisionierten aktiven Benutzer zu informieren.
Nächste Schritte
- Phase 1: Implementieren des Frameworks zur Verwaltung im großen Maßstab
- Phase 2: Berechtigungen mit rechter Größe und Automatisieren des Prinzips der geringsten Rechte
- Phase 3: Konfigurieren der Überwachung und Warnung der Microsoft Entra-Berechtigungsverwaltung
- Microsoft Entra Permissions Management-Glossar zu Warnungen