Principen om lägsta behörighet med Microsoft Entra ID-styrning
Ett begrepp som måste åtgärdas innan man tar en strategi för identitetsstyrning är principen om lägsta behörighet (PLOP). Minsta behörighet är en princip inom identitetsstyrning som innebär att endast tilldela användare och grupper den lägsta åtkomstnivå och behörighet som krävs för att utföra sina uppgifter. Tanken är att begränsa åtkomsträttigheterna så att en användare eller grupp kan slutföra sitt arbete, men också minimera onödiga privilegier som potentiellt kan utnyttjas av angripare eller leda till säkerhetsöverträdelser.
När det gäller Microsoft Entra ID-styrning bidrar tillämpningen av principen om minsta behörighet till att förbättra säkerheten och minska riskerna. Den här metoden säkerställer att användare och grupper endast beviljas åtkomst till de resurser, data och åtgärder som är relevanta för deras roller och ansvarsområden, och ingenting utöver detta.
Viktiga begrepp i principen om lägsta behörighet
Åtkomst till endast nödvändiga resurser: Användare får endast åtkomst till information och resurser om de har ett verkligt behov av att utföra sina uppgifter. Detta förhindrar obehörig åtkomst till känsliga data och minimerar den potentiella effekten av ett säkerhetsintrång. Genom att automatisera användaretablering kan du minska onödigt beviljande av åtkomsträttigheter. Livscykelarbetsflöden är en funktion för identitetsstyrning som gör det möjligt för organisationer att hantera Microsoft Entra-användare genom att automatisera grundläggande livscykelprocesser.
Rollbaserad åtkomstkontroll (RBAC): Åtkomsträttigheter bestäms baserat på användarnas specifika roller eller jobbfunktioner. Varje roll tilldelas de minsta behörigheter som krävs för att uppfylla sina ansvarsområden. Rollbaserad åtkomstkontroll i Microsoft Entra hanterar åtkomst till Microsoft Entra-resurser.
Just-In-Time-behörighet: Åtkomsträttigheter beviljas endast under den tid som de behövs och återkallas när de inte längre krävs. Detta minskar risken för att angripare utnyttjar överdrivna privilegier. Privileged Identity Management (PIM) är en tjänst i Microsoft Entra-ID som gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation och ge just-in-time-åtkomst.
Regelbunden granskning och granskning: Regelbundna granskningar av användaråtkomst och behörigheter utförs för att säkerställa att användarna fortfarande behöver den åtkomst som de har beviljats. Detta hjälper till att identifiera och åtgärda eventuella avvikelser från principen med minsta behörighet. Åtkomstgranskningar i Microsoft Entra ID, en del av Microsoft Entra, gör det möjligt för organisationer att effektivt hantera gruppmedlemskap, åtkomst till företagsprogram och rolltilldelningar. Användarens åtkomst kan granskas regelbundet för att se till att endast rätt personer har fortsatt åtkomst.
Standard neka: Standardinställningen är att neka åtkomst och åtkomst beviljas uttryckligen endast för godkända ändamål. Detta står i kontrast till en "standard-tillåt"-metod, vilket kan leda till att onödiga privilegier beviljas. Berättigandehantering är en funktion för identitetsstyrning som gör det möjligt för organisationer att hantera identitets- och åtkomstlivscykeln i stor skala genom att automatisera arbetsflöden för åtkomstbegäran, åtkomsttilldelningar, granskningar och upphörande.
Genom att följa principen om minsta behörighet kan din organisation minska risken för säkerhetsproblem och se till att åtkomstkontrollerna är i linje med företagets behov.
Minst privilegierade roller för hantering i funktioner för identitetsstyrning
Det är bästa praxis att använda den minst privilegierade rollen för att utföra administrativa uppgifter i identitetsstyrning. Vi rekommenderar att du använder Microsoft Entra PIM för att aktivera en roll efter behov för att utföra dessa uppgifter. Följande är de minst privilegierade katalogrollerna för att konfigurera funktioner för identitetsstyrning:
| Funktion | Roll med lägst behörighet |
|---|---|
| Berättigandehantering | Administratör för identitetsstyrning |
| Åtkomstgranskningar | Användaradministratör (med undantag för åtkomstgranskningar av Azure- eller Microsoft Entra-roller, som kräver privilegierad rolladministratör) |
| Arbetsflöden för livscykel | Administratör för livscykelarbetsflöden |
| Privileged Identity Management | Administratör för privilegierad roll |
| Användningsvillkor | Säkerhetsadministratör eller administratör för villkorsstyrd åtkomst |
Kommentar
Den minst privilegierade rollen för berättigandehantering har ändrats från rollen Användaradministratör till rollen Identitetsstyrningsadministratör.