Udostępnij za pośrednictwem


Zasada najniższych uprawnień z Zarządzanie tożsamością Microsoft Entra

Jedną z koncepcji, którą należy rozwiązać przed podjęciem strategii zapewniania ładu tożsamości, jest zasada najniższych uprawnień (PLOP). Najniższy poziom uprawnień to zasada ładu tożsamości, która obejmuje przypisywanie użytkowników i grup tylko minimalnego poziomu dostępu i uprawnień niezbędnych do wykonywania swoich obowiązków. Chodzi o ograniczenie praw dostępu, dzięki czemu użytkownik lub grupa może ukończyć swoją pracę, ale także zminimalizować niepotrzebne uprawnienia, które mogą być potencjalnie wykorzystywane przez osoby atakujące lub prowadzić do naruszeń zabezpieczeń.

W odniesieniu do Zarządzanie tożsamością Microsoft Entra stosowanie zasady najniższych uprawnień pomaga zwiększyć bezpieczeństwo i ograniczyć ryzyko. Takie podejście zapewnia użytkownikom i grupom dostęp tylko do zasobów, danych i akcji, które są istotne dla ich ról i obowiązków, i nic poza tym.

Kluczowe pojęcia zasady najniższych uprawnień

  • Dostęp tylko do wymaganych zasobów: użytkownicy mają dostęp do informacji i zasobów tylko wtedy, gdy mają rzeczywistą potrzebę wykonywania zadań. Zapobiega to nieautoryzowanemu dostępowi do poufnych danych i minimalizuje potencjalny wpływ naruszenia zabezpieczeń. Automatyzacja aprowizacji użytkowników pomaga zmniejszyć niepotrzebne udzielanie praw dostępu. Przepływy pracy cyklu życia to funkcja zapewniania ładu tożsamości, która umożliwia organizacjom zarządzanie użytkownikami firmy Microsoft Entra przez automatyzację podstawowych procesów cyklu życia.

  • Kontrola dostępu oparta na rolach (RBAC): prawa dostępu są określane na podstawie określonych ról lub funkcji zadań użytkowników. Każda rola ma przypisane minimalne uprawnienia niezbędne do spełnienia swoich obowiązków. Kontrola dostępu oparta na rolach firmy Microsoft zarządza dostępem do zasobów firmy Microsoft Entra.

  • Uprawnienia just in time: prawa dostępu są przyznawane tylko przez czas potrzebny i są odwoływały się, gdy nie są już wymagane. Zmniejsza to możliwość wykorzystania nadmiernych uprawnień przez osoby atakujące. Privileged Identity Management (PIM) to usługa w usłudze Microsoft Entra ID, która umożliwia zarządzanie, kontrolowanie i monitorowanie dostępu do ważnych zasobów w organizacji i zapewnia dostęp just in time.

  • Regularne inspekcje i przegląd: okresowe przeglądy dostępu użytkowników i uprawnień są przeprowadzane, aby upewnić się, że użytkownicy nadal wymagają dostępu, którego udzielono. Pomaga to zidentyfikować i skorygować wszelkie odchylenia od zasady najniższych uprawnień. Przeglądy dostępu w usłudze Microsoft Entra ID, część firmy Microsoft Entra, umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Dostęp użytkownika można regularnie przeglądać, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp.

  • Odmowa domyślna: domyślnym stanem jest odmowa dostępu, a dostęp jest jawnie udzielany tylko do zatwierdzonych celów. To kontrastuje z podejściem "domyślne zezwalaj", co może spowodować przyznanie niepotrzebnych uprawnień. Zarządzanie upoważnieniami to funkcja zapewniania ładu tożsamości, która umożliwia organizacjom zarządzanie cyklem życia tożsamości i dostępu na dużą skalę, automatyzując przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygasanie.

Zgodnie z zasadą najniższych uprawnień organizacja może zmniejszyć ryzyko problemów z zabezpieczeniami i zapewnić, że mechanizmy kontroli dostępu są zgodne z potrzebami biznesowymi.

Najmniej uprzywilejowane role do zarządzania funkcjami zarządzania tożsamościami

Najlepszym rozwiązaniem jest użycie najmniej uprzywilejowanej roli do wykonywania zadań administracyjnych w usłudze Identity Governance. Zalecamy użycie usługi Microsoft Entra PIM do aktywowania roli zgodnie z potrzebami w celu wykonania tych zadań. Poniżej przedstawiono najmniej uprzywilejowane role katalogów do konfigurowania funkcji zarządzania tożsamościami:

Funkcja Najmniej uprzywilejowana rola
Zarządzanie upoważnieniami Administrator ładu tożsamości
Przeglądy dostępu Administrator użytkowników (z wyjątkiem przeglądów dostępu ról platformy Azure lub firmy Microsoft Entra, które wymagają administratora ról uprzywilejowanych)
Przepływy pracy cyklu życia Administrator przepływów pracy cyklu życia
Privileged Identity Management Administrator ról uprzywilejowanych
Warunki użytkowania Administrator zabezpieczeń lub administrator dostępu warunkowego

Uwaga

Najmniej uprzywilejowana rola zarządzania upoważnieniami została zmieniona z roli Administrator użytkowników na rolę Administratora ładu tożsamości.