Определение стратегии привилегированного доступа для администраторов
Что такое управление привилегированными удостоверениями (PIM)?
PIM — это служба в идентификаторе Microsoft Entra для управления доступом к привилегированным ресурсам. PIM позволяет управлять, контролировать и отслеживать доступ к важным ресурсам в организации. К таким ресурсам относятся Microsoft Entra ID, Azure и другие службы Microsoft Online Services, такие как Microsoft 365 или Microsoft Intune.
Что делает PIM?
PIM предоставляет временную и утвержденную активацию ролей для доступа к ресурсам. Это помогает снизить риски чрезмерного, ненужного или неправильного доступа к ресурсам, которые вам нужны. К ключевым функциям PIM относятся:
- Предоставьте доступ с привилегиями по требованию к Microsoft Entra ID и ресурсам Azure
- Назначение ограниченного времени доступа к ресурсам с помощью дат начала и окончания
- Требовать утверждения для активации привилегированных ролей
- Принудительное применение многофакторной проверки подлинности Azure для активации любой роли
- Используйте обоснование, чтобы понять, почему пользователи активируют
- Получение уведомлений при активации привилегированных ролей
- Проведение проверок доступа, чтобы убедиться, что пользователям всё ещё нужны их роли.
- Скачивание журнала аудита для внутреннего или внешнего аудита
Прежде чем развертывать PIM в организации, следуйте инструкциям и понимайте принципы, описанные в этом разделе. Это поможет вам создать план, специально подстроенный под требования привилегированных учетных записей вашей организации.
Заметка
Для PIM требуется лицензия Premium P2.
Определение заинтересованных лиц
В следующем разделе описаны все заинтересованные лица, участвующие в проекте. Вы увидите, кто должен утвердить, проверить или оставаться в курсе. Она включает отдельные таблицы для развертывания PIM для ролей Microsoft Entra и PIM для ролей Azure. Добавьте заинтересованных лиц в следующую таблицу в соответствии с вашей организацией.
SO = утверждение этого проекта
R = просмотр этого проекта и предоставление входных данных
I = информирован об этом проекте
Заинтересованные лица: привилегированное управление удостоверениями для ролей Microsoft Entra
| имя | роли | действия |
|---|---|---|
| Имя и электронная почта | архитектор удостоверений либо глобальный администратор Azure - Представитель команды управления удостоверениями, отвечающий за определение того, как согласовать это изменение с ядром инфраструктуры управления удостоверениями в вашей организации. | SO/R/I |
| Имя и электронная почта | Владелец службы или линейный менеджер — представитель от ИТ-владельцев службы или группы служб. Они играют ключевую роль в принятии решений и помогают внедрить PIM для своей команды. | SO/R/I |
| Имя и электронная почта | владелец системы безопасности — представитель группы безопасности, который может утвердить, что план соответствует требованиям безопасности вашей организации. | SO/R |
| Имя и электронная почта | менеджер ИТ-поддержки / Helpdesk — представитель ИТ-службы поддержки организации, который может предоставлять отзывы о возможности поддержки этого изменения с точки зрения службы технической поддержки. | R/I |
| Имя и электронная почта для пилотных пользователей | пользователи привилегированных ролей — группа пользователей, для которых реализовано управление удостоверениями с привилегиями. Они должны знать, как активировать свои роли после реализации PIM. | Я |
Заинтересованные лица: привилегированное управление идентификацией для ролей в Azure
| имя | роли | действия |
|---|---|---|
| Имя и электронная почта | Владельца подписки или ресурса — представитель от ИТ-владельцев каждой подписки или ресурса, для которого необходимо развернуть PIM. | SO/R/I |
| Имя и электронная почта | ответственного лица по безопасности — представитель команды по безопасности, который может подтвердить соответствие плана требованиям безопасности вашей организации. | SO/R |
| Имя и электронная почта | менеджер ИТ-поддержки / Helpdesk — представитель ИТ-службы поддержки организации, который может предоставлять отзывы о возможности поддержки этого изменения с точки зрения службы технической поддержки. | R/I |
| Имя и электронная почта для пилотных пользователей | пользователи роли Azure — это группа пользователей, для которых осуществляется управление привилегированными удостоверениями. Они должны знать, как активировать свои роли после реализации PIM. | Я |
Начните использовать управление привилегированными удостоверениями
В рамках процесса планирования подготовьте PIM, следуя нашей статье "Начало работы с привилегированным управлением удостоверениями". PIM предоставляет доступ к некоторым функциям, предназначенным для поддержки развертывания.
Если ваша цель — развернуть PIM для ресурсов Azure, следуйте нашей статье "Обнаружение ресурсов Azure для управления привилегированными пользователями". Только владельцы подписок и групп управления могут взять эти ресурсы под управление с помощью PIM. После управления функциональные возможности PIM доступны для владельцев на всех уровнях, включая группу управления, подписку, группу ресурсов и ресурс. Если вы являетесь глобальным администратором, пытающимся развернуть PIM для ресурсов Azure, вы можете повысить уровень доступа для управления всеми подписками Azure, чтобы предоставить себе доступ ко всем ресурсам Azure в каталоге для обнаружения. Однако мы советуем получить утверждение от каждого владельца подписки перед управлением ресурсами с помощью PIM.
Принудительное применение принципа наименьшей привилегии
Важно убедиться, что вы выполнили принцип наименьших привилегий в организации как для ваших ролей Microsoft Entra D, так и для ролей Azure.
Планирование делегирования наименьших привилегий
Для ролей Microsoft Entra обычно организации назначают роль глобального администратора нескольким администраторам, если большинство администраторов нуждаются только в одной или двух конкретных и менее мощных ролях администратора. При большом количестве глобальных администраторов или других ролей с высоким уровнем привилегий трудно отслеживать назначения привилегированных ролей в достаточной степени.
Выполните следующие действия, чтобы реализовать принцип наименьших привилегий для ролей Microsoft Entra.
Узнайте о детализации ролей, прочитав и понимая доступные роли администратора Microsoft Entra. Вы и ваша команда также должны обращаться к ролям администратора, связанным с задачами идентификации в Microsoft Entra ID, где объяснено, какая роль с наименьшими привилегиями подходит для конкретных задач.
Список привилегированных ролей в вашей организации. Вы можете использовать Обнаружение и аналитические сведения PIM (предварительная версия) для снижения вашей уязвимости.
Для всех глобальных администраторов в организации узнайте, почему им нужна роль. Затем удалите их из роли глобального администратора и назначьте встроенные роли или пользовательские роли с более низкими привилегиями внутри идентификатора Microsoft Entra. FYI, Корпорация Майкрософт в настоящее время имеет около 10 администраторов с ролью глобального администратора.
Для всех остальных ролей Microsoft Entra просмотрите список назначений, определите администраторов, которым больше не нужна роль, и удалите их из своих назначений.
Чтобы автоматизировать последние два шага, можно использовать проверки доступа в PIM. Следуя инструкциям из статьи "Запуск проверки доступа для ролей Microsoft Entra в службе "Управление привилегированными пользователями", можно настроить проверку доступа для каждой роли идентификатора Microsoft Entra ID, которая содержит одного или нескольких участников.
Назначьте рецензентами участников (собственных) . Все пользователи в роли получат электронное письмо с просьбой подтвердить, что им нужен доступ. Кроме того, включите Требовать указание причины при утверждении в расширенных параметрах, чтобы пользователи должны указывать, почему им нужна роль. На основе этих сведений можно удалить пользователей из ненужных ролей или делегировать их более подробным ролям администратора.
Проверки доступа полагаются на сообщения электронной почты, чтобы уведомить людей о необходимости проверить свой доступ к ролям. Если у вас есть привилегированные учетные записи, которые не имеют связанных сообщений электронной почты, обязательно заполните дополнительное поле электронной почты в этих учетных записях.
Планирование делегирования ролей ресурсов Azure
Для подписок и ресурсов Azure можно настроить аналогичный процесс проверки доступа, чтобы просмотреть роли в каждой подписке или ресурсе. Цель этого процесса заключается в том, чтобы свести к минимуму назначения владельца и администратора доступа пользователей, подключенные к каждой подписке или ресурсу, и удалить ненужные назначения. Однако организации часто делегируют такие задачи владельцу каждой подписки или ресурса, так как они имеют лучшее представление о конкретных ролях (особенно пользовательских ролях).
Если вы находитесь в роли глобального администратора, пытаясь развернуть PIM для ролей Azure в организации, вы можете повысить уровень доступа для управления всеми подписками Azure, чтобы получить доступ к каждой подписке. Затем вы можете найти каждого владельца подписки и работать с ними, чтобы удалить ненужные назначения и свести к минимуму назначение ролей владельца.
Пользователи с ролью владельца для подписки Azure также могут использовать проверки доступа для ресурсов Azure для аудита и удаления ненужных назначений ролей, аналогичных процессу, описанному ранее для ролей Microsoft Entra.
Решите, назначения каких ролей должны быть защищены системой привилегированного управления удостоверениями.
После очистки назначений привилегированных ролей в организации необходимо решить, какие роли следует защитить с помощью PIM.
Если роль защищена PIM, соответствующие пользователи, назначенные ей, должны повысить уровень привилегий, предоставленных ролью. Процесс повышения прав также может включать получение утверждения, использование многофакторной аутентификации Azure и предоставление причины активации. PIM также может отслеживать повышение прав с помощью уведомлений, а также журналов событий аудита PIM и Microsoft Entra.
Выбор ролей для защиты с помощью PIM может быть сложным и будет отличаться для каждой организации. В этом разделе приведены рекомендации по ролям Microsoft Entra и ролям Azure.
Роли Microsoft Entra
Важно определить приоритеты защиты ролей Microsoft Entra, имеющих наибольшее количество разрешений. На основе структур использования среди всех пользователей PIM 10 наиболее часто используемых ролей Microsoft Entra, управляемых PIM:
Глобальный администратор
Администратор безопасности
Администратор пользователей
Администратор Exchange
Администратор SharePoint
Администратор Intune
Анализатор безопасности
Администратор службы
Администратор выставления счетов
Администратор Skype для бизнеса
Совет
Корпорация Майкрософт рекомендует управлять всеми глобальными администраторами и администраторами безопасности с помощью PIM в качестве первого шага, так как они являются пользователями, которые могут причинить наибольшее вред при компрометации.
Важно учитывать наиболее конфиденциальные данные и разрешения для вашей организации. Например, некоторые организации хотят защитить свою роль администратора Power BI или роль администратора Teams с помощью PIM, так как они могут получить доступ к данным и изменить основные рабочие процессы.
Если у гостевых пользователей назначены какие-либо роли, они уязвимы для атаки.
Совет
Корпорация Майкрософт рекомендует управлять всеми ролями с гостевыми пользователями с помощью PIM, чтобы снизить риск, связанный с скомпрометированных учетных записей гостевых пользователей.
Роли читателей, такие как Читатель каталогов, Читатель центра сообщений и Читатель безопасности, иногда считаются менее важными, чем другие роли, так как у них нет разрешения на запись. Однако у нас есть некоторые клиенты, которые также защищают эти роли, так как злоумышленники с доступом к этим учетным записям могут считывать конфиденциальные данные, включая персональные данные. Учитывайте этот риск при принятии решения о том, следует ли управлять ролями читателя в организации с помощью PIM.
Роли Azure
При выборе управления назначениями ролей с помощью PIM для ресурсов Azure необходимо сначала определить подписки и ресурсы, наиболее важные для вашей организации. Примерами таких подписок и ресурсов являются:
- Ресурсы, размещающие наиболее конфиденциальные данные.
- Ресурсы, от которые зависят основные приложения, связанные с клиентом.
Если вы являетесь глобальным администратором и у вас возникли трудности с определением, какие подписки и ресурсы наиболее важны, обратитесь к владельцам подписок в вашей организации, чтобы собрать список ресурсов, которыми управляет каждая подписка. Затем работайте с владельцами подписок, чтобы группировать ресурсы на основе уровня серьезности в случае их компрометации (низкий, средний, высокий). Определите приоритет управления ресурсами с помощью PIM на основе этого уровня серьезности.
Совет
Корпорация Майкрософт рекомендует работать с владельцами подписок и ресурсов критически важных служб, чтобы настроить рабочий процесс PIM для всех ролей в конфиденциальных подписках и ресурсах.
PIM для ресурсов Azure поддерживает учетные записи службы с привязкой к времени. Следует рассматривать учетные записи служб точно так же, как и обычную учетную запись пользователя.
Для подписок и ресурсов, которые не так важны, вам не потребуется настроить PIM для всех ролей. Однако вы по-прежнему должны защищать роли администратора доступа владельца и пользователя с помощью PIM.
Совет
Корпорация Майкрософт рекомендует управлять ролями владельца и ролями администратора доступа пользователей всех подписок и ресурсов с помощью PIM.
Определите, следует ли использовать группу для назначения ролей
Стоит ли назначать роль группе вместо отдельных пользователей – это стратегическое решение. При планировании рассмотрите возможность назначения роли группе для управления назначениями ролей, когда:
- Многие пользователи назначены в роли.
- Вы хотите делегировать назначение роли.
Многие пользователи назначены на роль
Ручное отслеживание, кто назначен на роль и управление их назначениями по мере необходимости, может занимать время. Чтобы назначить группу на роль, сначала создайте группу, которой можно назначать роли, а затем назначьте группу как подходящую для этой роли. Это действие позволяет всем участникам группы выполнять тот же процесс активации, что и отдельные пользователи, которые имеют право повысить уровень роли. Участники группы активируют свои назначения в группу по отдельности с помощью запроса на активацию PIM и процесса утверждения. Группа не активируется — активируется только членство пользователя в ней.
Вы хотите делегировать назначение роли
Владелец группы может управлять членством в группе. Для групп Microsoft Entra ID с назначаемыми ролями только администратор привилегированных ролей, глобальный администратор и владельцы групп могут управлять членством в этих группах. Когда администратор добавляет новых участников в группу, они получают доступ к ролям, назначенным группе, независимо от того, предусмотрено назначение или активно. Используйте владельцев групп для делегирования управления членством в группах в рамках назначенной роли, чтобы уменьшить объём необходимых привилегий.
Совет
Корпорация Майкрософт рекомендует переводить группы Microsoft Entra ID, которым можно назначать роли, под управление с помощью PIM. После того как группа, назначаемая ролями, будет передана под управление PIM, она называется группой привилегированного доступа. Используйте PIM для того, чтобы требовать от владельцев групп активации роли владельца до того, как они смогут управлять членством в группах.
Определите, какие назначения ролей должны быть постоянными или допустимыми
После принятия решения о том, что список ролей будет управляться PIM, необходимо решить, какие пользователи должны получить доступную роль и постоянно активную роль. постоянные активные роли являются обычными ролями, назначенными с помощью идентификатора Microsoft Entra и ресурсов Azure, а соответствующие роли можно назначать только в PIM.
Корпорация Майкрософт рекомендует не иметь никаких постоянно активных назначений на роли Microsoft Entra и Azure, за исключением двух рекомендуемых аварийных учетных записей для экстренного доступа, которые должны иметь постоянную роль глобального администратора.
Несмотря на то, что мы рекомендуем отсутствие постоянных администраторов, иногда организациям трудно сразу этого добиться. Ниже приведены аспекты, которые следует учитывать при принятии этого решения:
Частота повышения прав— если пользователю требуется только однократное назначение привилегированных прав, у него не должно быть постоянного назначения. С другой стороны, если пользователю нужна роль для повседневной работы, и использование PIM значительно снижает их производительность, их можно рассматривать для постоянной роли.
Случаи, относящиеся к вашей организации – Если пользователь, которому предоставлена доступная роль, является участником удаленной команды или настолько высокопоставленным руководителем, что взаимодействие и выполнение процесса повышения полномочий являются затруднительными, он может быть рассмотрен для постоянной роли.
Совет
Корпорация Майкрософт рекомендует настроить повторяющиеся проверки доступа для пользователей с постоянными назначениями ролей.
Черновик настроек управления привилегированными идентификациями
Перед реализацией решения PIM рекомендуется проектировать параметры PIM для каждой привилегированной роли, которую использует ваша организация. В этом разделе приведены некоторые примеры параметров PIM для определенных ролей; Они предназначены только для справки и могут отличаться для вашей организации. Каждый из этих параметров подробно описан с рекомендациями Майкрософт после таблиц.
Параметры управления привилегированными пользователями для ролей Microsoft Entra
| настройка | глобальный администратор | администратор Exchange | администратор службы поддержки |
|---|---|---|---|
| Требовать многофакторную проверку подлинности; двухфакторная проверка подлинности | Да | Да | Нет |
| Уведомление | Да | Да | Нет |
| Заявка на инцидент | Да | Нет | Да |
| Требовать утверждения | Да | Нет | Нет |
| Утверждающий | Другие глобальные администраторы | Никакой | Никакой |
| Длительность активации | 1 час | 2 часа | 8 час |
| Постоянный администратор | Учетные записи аварийного доступа | Никакой | Никакой |
Параметры управления привилегированными пользователями для ролей Azure
| настройка | Владелец критически важных подписок | администратор доступа пользователей менее критически важных подписок | участник виртуальной машины |
|---|---|---|---|
| Требовать многофакторную проверку подлинности; двухфакторная проверка подлинности | Да | Да | Нет |
| Уведомление | Да | Да | Да |
| Требовать утверждения | Да | Нет | Нет |
| Утверждающий | Другие владельцы подписки | Никакой | Никакой |
| Длительность активации | 1 час | 1 час | 3 часа |
| Активный администратор | Никакой | Никакой | Никакой |
| Активное истечение срока действия | n/a | n/a | n/a |
В следующей таблице описаны все параметры.
| настройка | Описание |
|---|---|
| Роль | Имя роли, для которую вы определяете параметры. |
| Требовать многофакторную проверку подлинности; двухфакторная проверка подлинности | Необходимо ли подходящему пользователю выполнять многофакторную аутентификацию или двухэтапную проверку перед активацией роли. |
| Корпорация Майкрософт рекомендует обеспечить использование MFA, то есть двухфакторной аутентификации, для всех ролей администратора, особенно если у ролей есть гостевые пользователи. | |
| Уведомление | Если задано значение true, глобальный администратор, администратор привилегированных ролей и администратор безопасности в организации получат уведомление по электронной почте, когда подходящий пользователь активирует роль. |
| У некоторых организаций нет адреса электронной почты, привязанного к учетным записям администратора. Чтобы получить эти уведомления по электронной почте, задайте альтернативный адрес электронной почты, чтобы администраторы получали эти сообщения электронной почты. | |
| Заявка на инцидент | Необходимо ли уполномоченному пользователю фиксировать номер инцидента при активации своей роли. Этот параметр помогает организации определить каждую активацию с внутренним номером инцидента для устранения нежелательных активаций. |
| Корпорация Майкрософт рекомендует использовать номера заявок на регистрацию инцидентов для интеграции PIM с вашей внутренней системой. Этот метод может быть полезен для утверждающих лиц, которым требуется контекст для активации. | |
| Требовать утверждения | Должен ли подходящий пользователь получить утверждение для активации роли. |
| Корпорация Майкрософт рекомендует настроить утверждение для ролей с наибольшими полномочиями. На основе шаблонов использования всех клиентов PIM, глобальный администратор, администратор пользователей, администратор Exchange, администратор безопасности и администратор паролей являются наиболее распространенными ролями с обязательным утверждением. | |
| Утверждающий | Если для активации соответствующей роли требуется утверждение, выведите список пользователей, которые должны утвердить запрос. По умолчанию PIM определяет всех пользователей, которые являются администраторами привилегированных ролей, в качестве утверждающих, независимо от того, являются ли они постоянными или потенциальными. |
| Если пользователь одновременно имеет право на роль Microsoft Entra и является утверждающим этой роли, он не сможет утвердить сам себя. | |
| Корпорация Майкрософт рекомендует выбрать утверждающими тех пользователей, которые лучше всего знают роль и часто используют её, вместо глобального администратора. | |
| Длительность активации | Время активации пользователя в роли до истечения срока его действия. |
| Постоянный администратор | Список пользователей, которые будут постоянным администратором для роли (никогда не нужно активировать). |
| Корпорация Майкрософт рекомендует иметь нулевое количество постоянных администраторов для всех ролей, кроме глобальных администраторов. | |
| Активный администратор | Для ресурсов Azure активный администратор — это список пользователей, которым никогда не придется активировать роль. Этот список не называется постоянным администратором, как и в ролях Microsoft Entra, так как можно задать время окончания срока действия, когда пользователь потеряет эту роль. |
| Активное истечение срока действия | Срок действия активных назначений ролей для ролей Azure истекает после заданной длительности. Вы можете выбрать 15 дней, 1 месяц, 3 месяца, 6 месяцев, 1 год или постоянную активность. |
| Допустимое истечение срока действия | Срок действия соответствующих назначений для ролей Azure истекает по истечении этого периода. Вы можете выбрать 15 дней, 1 месяц, 3 месяца, 6 месяцев, 1 год или пожизненный доступ. |