Справочник по операциям Управление разрешениями Microsoft Entra
В этом руководстве по эксплуатации вы узнаете о проверка, действиях и рекомендациях по работе с Управление разрешениями Microsoft Entra в корпоративной среде. Руководство состоит из трех этапов:
- Реализуйте платформу для управления в масштабе: делегирование разрешений и разработка процессов для руководства по работе.
- Разрешения правого размера и автоматизация принципа наименьшей привилегии: исправление ключевых результатов и реализация JIT-доступа с разрешениями по запросу.
- Настройте Управление разрешениями Microsoft Entra мониторинг и оповещения: планирование повторяющихся отчетов, настройка оповещений и разработка сборников схем стратегии реагирования.
Примечание.
Рекомендации, приведенные в этом руководстве, являются текущими по состоянию на дату публикации. Мы рекомендуем организациям постоянно оценивать свои методики идентификации по мере развития продуктов и служб Майкрософт с течением времени. Некоторые рекомендации могут не применяться ко всем средам клиентов.
Условия входа
В этом руководстве предполагается, что вы выполнили краткое руководство по Управление разрешениями Microsoft Entra.
Глоссарий
Используйте следующий глоссарий для понимания терминов, используемых в этом руководстве.
| Термин | Определение |
|---|---|
| Система авторизации | Система, которая предоставляет доступ к удостоверениям. Например, подписка Azure, учетная запись AWS или проект GCP. |
| Разрешение | Удостоверение с возможностью выполнения действия в ресурсе. |
| Индекс ползука разрешений (PCI) | Агрегированная метрика для измерения количества неиспользуемых или чрезмерных разрешений для удостоверений и ресурсов. Она измеряется периодически для всех удостоверений. Диапазоны PCI от 0 до 100. Более высокие оценки представляют больший риск. |
| Разрешения по запросу | Функция Управление разрешениями Microsoft Entra, которая позволяет удостоверениям запрашивать и предоставлять разрешения по запросу в течение ограниченного периода времени или по мере необходимости. |
Команды заинтересованных лиц клиентов
Рекомендуется назначать заинтересованным лицам планирование и реализацию ключевых задач. В следующей таблице описаны группы заинтересованных лиц, приведенные в этом руководстве.
| Команда заинтересованных лиц | Description |
|---|---|
| Управление идентификацией и доступом (IAM) | Управление повседневными операциями системы IAM |
| Управление правами | Команды архитекторов и операций для Azure, AWS и GCP |
| Архитектура информационной безопасности | Планирование и проектирование методик информационной безопасности организации |
| Операции информационной безопасности | Выполняет и отслеживает методики информационной безопасности для архитектуры информационной безопасности |
| Реакция на инцидент | Идентифицирует и устраняет инциденты безопасности |
| Безопасность и аудит | Помогает обеспечить безопасность и соответствие ИТ-процессам. Они проводят регулярные аудиты, оценивают риски и рекомендуют меры безопасности для устранения выявленных уязвимостей и повышения общего состояния безопасности. |
| Технические владельцы целевой системы авторизации | Собственные отдельные системы авторизации: подписки Azure, учетные записи AWS, проекты GCP, подключенные к Управление разрешениями Microsoft Entra |
Поток discover-remediate-monitor
При эксплуатации продукта рекомендуется использовать поток Discover-Remediate-Monitor. В следующем примере обратите внимание на использование упреждающего потока для перепроизбытованных активных пользователей: пользователей с высоким уровнем риска превышения разрешений в вашей среде.
- Обнаружение. Обеспечение видимости среды и приоритет результатов. Например, используйте отчет "Аналитика разрешений" для списка избыточных активных пользователей.
- Исправление: Закон о результатах обнаружения. Например, используйте средства исправления управления разрешениями, чтобы отменить неиспользуемые задачи из чрезмерно подготовленных активных пользователей с одним щелчком мыши, а затем создать роли правого размера на основе прошлых действий.
- Мониторинг. Создание оповещений для непрерывного мониторинга среды для исправления результатов. Например, создайте оповещение аналитики разрешений, чтобы уведомить вас о чрезмерно подготовленных активных пользователях.