Phase 1: Implementieren des Frameworks zur Verwaltung im großen Maßstab
In diesem Abschnitt des Referenzhandbuchs zu Microsoft Entra Permissions Management-Vorgängen werden die Überprüfungen und Aktionen beschrieben, die Sie erwägen sollten, um Berechtigungen effektiv zu delegieren und im großen Maßstab zu verwalten.
Definieren eines delegierten Verwaltungsmodells
Empfohlener Besitzer: Architektur der Informationssicherheit
Definieren von Microsoft Entra Permissions Management Administratoren
Um mit der Operationalisierung von Microsoft Entra Permissions Management zu beginnen, richten Sie zwei bis fünf Permissions Management Administratoren ein, die Berechtigungen im Produkt delegieren, wichtige Einstellungen konfigurieren und die Konfiguration Ihrer Organisation erstellen und verwalten.
Wichtig
Microsoft Entra Permissions Management basiert auf Benutzern mit gültigen E-Mail-Adressen. Es wird empfohlen, dass Ihre Permissions Management Administratoren über postfachfähige Konten verfügen.
Weisen Sie bestimmten Administratoren die Rolle „Permissions Management Administrator“ in Microsoft Entra ID zu, um erforderliche Aufgaben auszuführen. Es wird empfohlen, Privileged Identity Management (PIM) zu verwenden, um Ihren Administratoren just-in-time (JIT) Zugriff auf die Rolle zu gewähren, anstatt sie dauerhaft zuzuweisen.
Definieren und Verwalten der Ordnerstruktur
In der Berechtigungsverwaltung ist ein Ordner eine Gruppe von Autorisierungssystemen. Es wird empfohlen, Ordner basierend auf Ihrer Strategie der Organisationsdelegierung zu erstellen. Wenn Ihre Organisation beispielsweise basierend auf Teams delegiert, erstellen Sie Ordner für:
- Produktionsfinanzierung
- Produktionsinfrastruktur
- Vorproduktionsforschung und -entwicklung
Eine effektive Ordnerstruktur macht es einfacher, Berechtigungen in großem Umfang zu delegieren und bietet den Inhabern deines Berechtigungssystems eine positive Produkterfahrung.
Informationen zum Optimieren Ihrer Umgebung finden Sie unter Erstellen von Ordnern zum Organisieren Ihrer Autorisierungssysteme.
Erstellen von Microsoft Entra-Sicherheitsgruppen zum Delegieren von Berechtigungen
Microsoft Entra Permissions Management verfügt über ein gruppenbasiertes Zugriffssystem, das Microsoft Entra-Sicherheitsgruppen verwendet, um Berechtigungen für verschiedene Autorisierungssysteme zu erteilen. Um Berechtigungen zu delegieren, erstellt dein IAM-Team Microsoft Entra-Sicherheitsgruppen, die den Besitzern des Berechtigungssystems und den von dir definierten Zuständigkeiten im Berechtigungsmanagement zugeordnet werden. Stellen Sie sicher, dass sich Benutzer mit gemeinsamem Besitz und Verantwortlichkeiten im Produkt in derselben Sicherheitsgruppe befinden.
Es wird empfohlen, PIM für Gruppen zu verwenden. Dies ermöglicht den Nutzern einen JIT-Zugriff auf das Berechtigungsmanagement und steht im Einklang mit den Zero Trust JIT- und Just Enough Access-Prinzipien.
Informationen zum Erstellen von Sicherheitsgruppen für Microsoft Entra finden Sie unter Verwalten von Gruppen und Gruppenmitgliedschaften.
Zuweisen von Berechtigungen in der Verwaltung von Microsoft Entra-Berechtigungen
Nachdem Microsoft Entra-Sicherheitsgruppen erstellt wurden, gewährt ein Permissions Management Administrator für die Sicherheitsgruppen erforderliche Berechtigungen.
Stelle zumindest sicher, dass Sicherheitsgruppen Viewer-Berechtigungen für die Berechtigungssysteme erhalten, für die sie zuständig sind. Verwenden Sie Controllerberechtigungen für Sicherheitsgruppen mit Mitgliedern, die Wartungsaktionen ausführen. Erfahren Sie mehr über Microsoft Entra Permissions Management Rollen und Berechtigungsstufen.
Weitere Informationen zum Verwalten von Benutzern und Gruppen in Permissions Management:
- Hinzufügen oder Entfernen eines Benutzers in Microsoft Entra Permissions Management
- Verwalten von Benutzern und Gruppen über das Dashboard „Benutzerverwaltung
- Auswählen von Einstellungen für gruppenbasierte Berechtigungen
Ermitteln der Lebenszyklusverwaltung des Autorisierungssystems
Empfohlene Besitzer: Informationssicherheitsarchitektur und Cloudinfrastruktur
Da neue Autorisierungssysteme erstellt werden und sich aktuelle Autorisierungssysteme entwickeln, erstellen und pflegen Sie einen gut definierten Prozess für Änderungen in Microsoft Entra Permissions Management. In der folgenden Tabelle werden Aufgaben und empfohlene Besitzer beschrieben.
| Aufgabe | Empfohlener Besitzer |
|---|---|
| Definieren des Ermittlungsprozesses für neue Autorisierungssysteme, die in Ihrer Umgebung erstellt wurden | Informationssicherheitsarchitektur |
| Definieren von Triage- und Onboardingprozessen für neue Autorisierungssysteme für die Berechtigungsverwaltung | Informationssicherheitsarchitektur |
| Definieren von Verwaltungsprozessen für neue Autorisierungssysteme: Delegieren von Berechtigungen und Aktualisieren der Ordnerstruktur | Informationssicherheitsarchitektur |
| Entwickeln einer Cross-Charge-Struktur. Ermitteln eines Cost Management-Prozesses. | Besitzer variiert je nach Organisation |
Definieren einer Permission Creep Index-Strategie
Empfohlener Besitzer: Architektur der Informationssicherheit
Wir empfehlen Ihnen, Ziele und Anwendungsfälle dafür zu definieren, wie der Permissions Creep Index (PCI) die Aktivitäten und Berichte der Informationssicherheitsarchitektur antreibt. Dieses Team kann andere Personen dabei unterstützen, PCI-Schwellenwerte für Ihre Organisation zu erreichen.
Festlegen von PCI-Ziel-Schwellenwerten
PCI-Schwellenwerte leiten das Betriebsverhalten und dienen als Richtlinien, um zu bestimmen, wann eine Aktion in Ihrer Umgebung erforderlich ist. Einrichten von PCI-Schwellenwerten für:
- Autorisierungssystem
- Benutzer der menschlichen Identität
- Enterprise Directory (ED)
- SAML
- Lokal
- Gast
- Nicht menschliche Identitäten
Hinweis
Da nicht menschliche Identitätsaktivitäten kleiner als eine menschliche Identität sind, wenden Sie eine strengere Rechteanpassung auf nicht menschliche Identitäten an: Legen Sie einen niedrigeren PCI-Schwellenwert fest.
Die PCI-Schwellenwerte hängen von den Zielen und Anwendungsfällen Ihres Unternehmens ab. Wir empfehlen Ihnen, sich an den integrierten Risikoschwellenwerten von Permissions Management zu orientieren. Sehen Sie sich die folgenden PCI-Bereiche nach Risiko an:
- Niedrig: 0 bis 33
- Mittel 34 x 67
- Hoch: 68 bis 100
Prüfen Sie anhand der vorherigen Liste die folgenden Beispiele für PCI-Schwellenwerte:
| Kategorie | PCI-Schwellenwert | Policy |
|---|---|---|
| Autorisierungssystem | 67: Klassifizieren des Autorisierungssystems als hohes Risiko | Wenn ein Autorisierungssystem über eine PCI-Bewertung verfügt, die höher als 67 ist, überprüfen und richtig große hohe PCI-Identitäten im Autorisierungssystem |
| Menschliche Identitäten: ED, SAML und lokal | 67: Klassifizieren der menschlichen Identität als hohes Risiko | Wenn eine menschliche Identität eine PCI-Bewertung aufweist, die höher als 67 ist, hat die Rechte der Identität die Berechtigungen der Identität |
| Menschliche Identität: Gastbenutzer | 33: Klassifizieren des Gastbenutzers als hohes oder mittleres Risiko | Wenn ein Gastbenutzer über eine PCI-Bewertung verfügt, die höher als 33 ist, hat die Rechte der Identität die Berechtigungen der Identität |
| Nicht menschliche Identitäten | 33: Klassifizieren der nichtmenschlichen Identität als hohes oder mittleres Risiko | Wenn eine nicht menschliche Identität eine PCI-Bewertung aufweist, die höher als 33 ist, hat die Rechte der Identität die Berechtigungen der Identität |