Microsoft Entra 权限管理操作参考
在本操作指南中,了解在企业环境中操作 Microsoft Entra 权限管理的检查、操作和最佳做法。 该指南有 3 个阶段:
- 实现框架来进行大规模管理:委托权限,并制定指导操作行为的流程。
- 调整权限大小并自动实施最小权限原则:修正关键发现并使用按需权限功能实现实时 (JIT) 访问权限。
- 配置 Microsoft Entra 权限管理监视和警报:计划定期报告、配置警报并制定响应策略 playbook。
注意
截止发布日期,本指南中的建议是最新的。 建议组织持续评估其标识实践,因为 Microsoft 产品和服务会不断发展。 某些建议可能不适用于所有客户环境。
进入条件
本指南假定你已完成 Microsoft Entra 权限管理 快速入门指南。
术语表
使用以下术语表了解本指南中使用的术语。
| 术语 | 定义 |
|---|---|
| 授权系统 | 向标识授予访问权限的系统。 例如,Azure 订阅、AWS 帐户或 GCP 项目。 |
| 权限 | 能够对资源执行操作的标识。 |
| 权限蠕变索引 (PCI) | 一个聚合指标,用于度量标识和资源中未使用的权限或过度的权限的数量。 会定期针对所有标识来度量此指标。 PCI 范围:0 至 100。 分数越高,风险越大。 |
| 按需权限 | 一项 Microsoft Entra 权限管理功能,使标识能够在一段时间内或根据需要按需请求和授予权限。 |
客户利益干系人团队
建议分配利益干系人来规划和实施关键任务。 下表概述了本指南中引用的利益干系人团队。
| 利益干系人团队 | 说明 |
|---|---|
| Identity and Access Management (IAM) | 管理 IAM 系统的日常操作 |
| 云基础设施 | Azure、AWS 和 GCP 的架构师和运营团队 |
| 信息安全体系结构 | 计划和设计组织的信息安全做法 |
| 信息安全运营 | 运行和监视信息安全体系结构的信息安全做法 |
| 事件响应 | 识别和解决安全事件 |
| 安全保证和审核 | 帮助确保 IT 流程安全且合规。 他们定期进行审核、评估风险,并建议采取安全措施来缓解已识别的漏洞并增强整体安全态势。 |
| 目标授权系统技术所有者 | 拥有单个授权系统:Azure 订阅、AWS 帐户、已加入 Microsoft Entra 权限管理的 GCP 项目 |
发现-修正-监视流
在操作产品时,建议使用“发现-修正-监视”流。 在以下示例中,请注意对过度预配的活动用户(环境中具有过度权限的高风险用户)使用主动流。
- 发现:实现环境的可见性,并确定发现优先级。 例如,使用权限分析报告来查看过度预配的活动用户列表。
- 修正:根据发现结果采取行动。 例如,使用权限管理修正工具通过单击一次来从过度预配的活动用户撤消未使用的任务,然后基于过去的活动创建具有适当大小的角色。
- 监视:创建警报来持续监视环境,查找需要修正的发现结果。 例如,创建权限分析警报,将过度预配的活动用户通知给你。