Принцип наименьших привилегий с Управление идентификацией Microsoft Entra
Одна из концепций, которую необходимо решить перед принятием стратегии управления удостоверениями, является принципом наименьших привилегий (PLOP). Наименьшие привилегии — это принцип управления удостоверениями, который включает назначение пользователей и групп только минимальному уровню доступа и разрешений, необходимых для выполнения своих обязанностей. Идея заключается в том, чтобы ограничить права доступа, чтобы пользователь или группа могли завершить свою работу, но и свести к минимуму ненужные привилегии, которые могут быть использованы злоумышленниками или привести к нарушениям безопасности.
В отношении Управление идентификацией Microsoft Entra применение принципа наименьшей привилегии помогает повысить безопасность и снизить риски. Этот подход гарантирует, что пользователи и группы получают доступ только к ресурсам, данным и действиям, которые относятся к их ролям и обязанностям, и ничего, кроме этого.
Основные понятия принципа наименьшей привилегии
Доступ только к необходимым ресурсам: пользователи получают доступ к информации и ресурсам только в том случае, если у них есть реальная потребность в выполнении своих задач. Это предотвращает несанкционированный доступ к конфиденциальным данным и сводит к минимуму потенциальное влияние нарушения безопасности. Автоматизация подготовки пользователей помогает сократить ненужные права доступа. Рабочие процессы жизненного цикла — это функция управления удостоверениями, которая позволяет организациям управлять пользователями Microsoft Entra путем автоматизации базовых процессов жизненного цикла.
Контроль доступа на основе ролей (RBAC): права доступа определяются на основе определенных ролей или функций заданий пользователей. Каждая роль назначается минимальным разрешениям, необходимым для выполнения своих обязанностей. Управление доступом на основе ролей Microsoft Entra управляет доступом к ресурсам Microsoft Entra.
JIT-привилегии: права доступа предоставляются только в течение времени, когда они необходимы и отозваны, когда они больше не требуются. Это сокращает окно возможности для злоумышленников использовать чрезмерные привилегии. управление привилегированными пользователями (PIM) — это служба в идентификаторе Microsoft Entra, которая позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации и предоставлять JIT-доступ.
Регулярный аудит и проверка. Периодические проверки доступа пользователей и разрешений выполняются, чтобы гарантировать, что пользователям по-прежнему требуется доступ. Это помогает выявлять и исправлять любые отклонения от принципа наименьших привилегий. Проверки доступа в идентификаторе Microsoft Entra, части Microsoft Entra, позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначениям ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.
Запрет по умолчанию: позиция по умолчанию заключается в том, чтобы запретить доступ, и доступ явно предоставляется только для утвержденных целей. Это контрастирует с подходом "разрешить по умолчанию", что может привести к предоставлению ненужных привилегий. Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.
Следуя принципу наименьших привилегий, ваша организация может снизить риск проблем с безопасностью и обеспечить соответствие элементов управления доступом бизнес-потребностям.
Наименее привилегированные роли для управления функциями управления удостоверениями
Мы рекомендуем использовать роль с наименьшим уровнем привилегий для выполнения задач администрирования в службе Identity Governance. Рекомендуется использовать Microsoft Entra PIM для активации роли по мере необходимости для выполнения этих задач. Ниже перечислены роли каталога с минимально необходимыми привилегиями для настройки функций Identity Governance.
| Функция | Наименее привилегированная роль |
|---|---|
| Управление правами | Администратор управления удостоверениями |
| Проверки доступа | Администратор пользователей (за исключением проверок доступа ролей Azure или Microsoft Entra, для которых требуется администратор привилегированных ролей) |
| Рабочие процессы жизненного цикла | Администратор рабочих процессов жизненного цикла |
| Управление привилегированными пользователями | Администратор привилегированных ролей |
| Условия использования | Администратор безопасности или администратор условного доступа |
Примечание.
Роль с минимальными привилегиями для управлениями правами изменена с роли "Администратор пользователей" на роль "Администратор управления удостоверениями".