Поделиться через

Принцип наименьших привилегий в Управлении идентификацией Microsoft Entra

  • Статья

Одна из концепций, которую необходимо решить перед принятием стратегии управления удостоверениями, является принципом наименьших привилегий (PLOP). Принцип наименьших привилегий в управлении идентификаторами предполагает назначение пользователям и группам только минимального уровня доступа и разрешений, необходимых для выполнения своих обязанностей. Идея заключается в том, чтобы ограничить права доступа, чтобы пользователь или группа могли завершить свою работу, но и свести к минимуму ненужные привилегии, которые могут быть использованы злоумышленниками или привести к нарушениям безопасности.

В отношении Microsoft Entra ID Governance, применение принципа наименьшей привилегии помогает повысить безопасность и снизить риски. Этот подход гарантирует, что пользователи и группы получают доступ только к ресурсам, данным и действиям, которые относятся к их ролям и обязанностям, и ничего, кроме этого.

Основные понятия принципа наименьшей привилегии

  • Доступ только к необходимым ресурсам: пользователи получают доступ к информации и ресурсам только в том случае, если у них есть реальная потребность в выполнении своих задач. Это предотвращает несанкционированный доступ к конфиденциальным данным и сводит к минимуму потенциальное влияние нарушения безопасности. Автоматизация предоставления пользователям доступа помогает сократить ненужное предоставление прав доступа. Рабочие процессы жизненного цикла — это функция управления удостоверениями, которая позволяет организациям управлять пользователями Microsoft Entra, автоматизируя основные процессы жизненного цикла.

  • Контроль доступа на основе ролей (RBAC): права доступа определяются на основе определенных ролей или функций заданий пользователей. Каждой роли назначаются минимальные разрешения, необходимые для выполнения своих обязанностей. Контроль доступа на основе ролей Microsoft Entra управляет доступом к ресурсам Microsoft Entra.

  • JIT-привилегии: права доступа предоставляются только на время, когда они необходимы, а затем отзываются, когда больше не требуются. Это сокращает окно возможности для злоумышленников использовать чрезмерные привилегии. Управление привилегированными идентификаторами (PIM) — это служба в Microsoft Entra ID, которая позволяет управлять, контролировать и мониторить доступ к важным ресурсам в вашей организации и может предоставлять доступ по требованию.

  • Регулярный аудит и проверка. Периодические проверки доступа пользователей и разрешений выполняются, чтобы гарантировать, что пользователям по-прежнему требуется доступ. Это помогает выявлять и исправлять любые отклонения от принципа наименьших привилегий. Обзоры доступа в Microsoft Entra ID, в составе Microsoft Entra, позволяют организациям эффективно управлять членством в группах, доступом к корпоративным приложениям и назначением ролей. Доступ пользователей можно проверять на регулярной основе, чтобы только у авторизованных пользователей был постоянный доступ.

  • Запрет по умолчанию: позиция по умолчанию заключается в том, чтобы запретить доступ, и доступ явно предоставляется только для утвержденных целей. Это контрастирует с подходом "разрешить по умолчанию", что может привести к предоставлению ненужных привилегий. Управление правами — это функция управления удостоверениями, которая позволяет организациям управлять жизненным циклом идентификации и доступа в масштабе путем автоматизации рабочих процессов запросов на доступ, назначений доступа, проверок и истечения срока действия.

Следуя принципу наименьших привилегий, ваша организация может снизить риск проблем с безопасностью и обеспечить соответствие элементов управления доступом бизнес-потребностям.

Минимально привилегированные роли для управления функциями управления идентификацией

Мы рекомендуем использовать роль с наименьшим уровнем привилегий для выполнения задач администрирования в службе Identity Governance. Рекомендуется использовать Microsoft Entra PIM для активации роли по мере необходимости для выполнения этих задач. Ниже перечислены роли каталога с минимально необходимыми привилегиями для настройки функций Identity Governance.

Функция Наименее привилегированная роль
Управление правами Администратор управления удостоверениями
Проверки доступа Администратор пользователей (за исключением проверок доступа ролей Azure или Microsoft Entra, для которых требуется администратор привилегированных ролей)
Рабочие процессы жизненного цикла Администратор рабочих процессов жизненного цикла
Управление привилегированными пользователями Администратор привилегированных ролей
Условия использования Администратор безопасности или администратор условного доступа

Примечание.

Роль с минимальными привилегиями для управлениями правами изменена с роли "Администратор пользователей" на роль "Администратор управления удостоверениями".