Принцип наименьших привилегий в Управлении идентификацией Microsoft Entra
Одна из концепций, которую необходимо решить перед принятием стратегии управления удостоверениями, является принципом наименьших привилегий (PLOP). Принцип наименьших привилегий в управлении идентификаторами предполагает назначение пользователям и группам только минимального уровня доступа и разрешений, необходимых для выполнения своих обязанностей. Идея заключается в том, чтобы ограничить права доступа, чтобы пользователь или группа могли завершить свою работу, но и свести к минимуму ненужные привилегии, которые могут быть использованы злоумышленниками или привести к нарушениям безопасности.
В отношении Microsoft Entra ID Governance, применение принципа наименьшей привилегии помогает повысить безопасность и снизить риски. Этот подход гарантирует, что пользователи и группы получают доступ только к ресурсам, данным и действиям, которые относятся к их ролям и обязанностям, и ничего, кроме этого.
Основные понятия принципа наименьшей привилегии
Доступ только к необходимым ресурсам: пользователи получают доступ к информации и ресурсам только в том случае, если у них есть реальная потребность в выполнении своих задач. Это предотвращает несанкционированный доступ к конфиденциальным данным и сводит к минимуму потенциальное влияние нарушения безопасности. Автоматизация предоставления пользователям доступа помогает сократить ненужное предоставление прав доступа. Рабочие процессы жизненного цикла — это функция управления удостоверениями, которая позволяет организациям управлять пользователями Microsoft Entra, автоматизируя основные процессы жизненного цикла.
Контроль доступа на основе ролей (RBAC): права доступа определяются на основе определенных ролей или функций заданий пользователей. Каждой роли назначаются минимальные разрешения, необходимые для выполнения своих обязанностей. Контроль доступа на основе ролей Microsoft Entra управляет доступом к ресурсам Microsoft Entra.
JIT-привилегии: права доступа предоставляются только на время, когда они необходимы, а затем отзываются, когда больше не требуются. Это сокращает окно возможности для злоумышленников использовать чрезмерные привилегии. Управление привилегированными идентификаторами (PIM) — это служба в Microsoft Entra ID, которая позволяет управлять, контролировать и мониторить доступ к важным ресурсам в вашей организации и может предоставлять доступ по требованию.
Регулярный аудит и проверка. Периодические проверки доступа пользователей и разрешений выполняются, чтобы гарантировать, что пользователям по-прежнему требуется доступ. Это помогает выявлять и исправлять любые отклонения от принципа наименьших привилегий. Обзоры доступа в Microsoft Entra ID, в составе Microsoft Entra, позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначением ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.
Запрет по умолчанию: позиция по умолчанию заключается в том, чтобы запретить доступ, и доступ явно предоставляется только для утвержденных целей. Это контрастирует с подходом "разрешить по умолчанию", что может привести к предоставлению ненужных привилегий. Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.
Следуя принципу наименьших привилегий, ваша организация может снизить риск проблем с безопасностью и обеспечить соответствие элементов управления доступом бизнес-потребностям.
Минимально привилегированные роли для управления функциями управления идентификацией
Мы рекомендуем использовать роль с наименьшим уровнем привилегий для выполнения задач администрирования в службе Identity Governance. Рекомендуется использовать Microsoft Entra PIM для активации роли по мере необходимости для выполнения этих задач. Ниже перечислены роли каталога с минимально необходимыми привилегиями для настройки функций Identity Governance.
Функция | Наименее привилегированная роль |
---|---|
Управление правами | Администратор управления удостоверениями |
Проверки доступа | Администратор пользователей (за исключением проверок доступа ролей Azure или Microsoft Entra, для которых требуется администратор привилегированных ролей) |
Рабочие процессы жизненного цикла | Администратор рабочих процессов жизненного цикла |
Управление привилегированными пользователями | Администратор привилегированных ролей |
Условия использования | Администратор безопасности или администратор условного доступа |
Примечание.
Роль с минимальными привилегиями для управлениями правами изменена с роли "Администратор пользователей" на роль "Администратор управления удостоверениями".