具有 Microsoft Entra ID 治理的最低特权原则
在采取标识治理策略之前需要解决的一个概念是最低特权原则 (PLOP)。 最低特权是标识治理中的一项原则,涉及仅分配用户和组执行其职责所需的最低访问权限级别。 其思路是限制访问权限,以便用户或组可以完成其工作,同时尽量减少可能被攻击者利用的或导致安全漏洞的不必要的特权。
对于 Microsoft Entra ID 治理,应用最低特权原则有助于增强安全性和降低风险。 此方法可确保用户和组仅授予对与其角色和职责相关的资源、数据和操作的访问权限,并且不会产出此范围。
最低特权原则的关键概念
仅访问所需资源: 仅当用户真正需要执行其任务时,才有权访问信息和资源。 这样可以防止未经授权的访问敏感数据,并最大程度地减少安全漏洞的潜在影响。 自动执行用户预配有助于减少不必要的访问权限授予。 生命周期工作流是一项标识治理功能,可让组织通过自动执行基本生命周期过程来管理 Microsoft Entra 用户。
基于角色的访问控制 (RBAC): 访问权限取决于用户的特定角色或作业功能。 为每个角色分配履行职责所需的最低权限。 Microsoft Entra 基于角色的访问控制可管理对 Microsoft Entra 资源的访问。
实时特权: 仅在需要时授予访问权限,并在不再需要访问权限时将其吊销。 这减少了攻击者利用过度特权的机会窗口。 Privileged Identity Management (PIM) 是 Microsoft Entra ID 中的一项服务,可以通过该服务管理、控制和监视对组织中重要资源的访问,并提供实时访问。
定期审核和评审: 定期评审用户访问和权限,以确保用户仍需要所授予的访问权限。 这有助于识别和纠正与最低特权原则的任何偏差。 Microsoft Entra ID 中的访问评审,是 Microsoft Entra 的一部分,组织可有效地管理组成员身份、对企业应用程序的访问权限,以及角色分配。 可以定期评审用户的访问权限,确保相应人员持续拥有访问权限。
默认拒绝: 默认立场为拒绝访问,并且仅针对已批准目的显式授予访问权限。 这与“默认允许”方法形成鲜明对比,这可能会导致授予不必要的特权。 权利管理是一种标识治理功能,通过自动执行访问请求工作流、访问分配、审核和过期,使组织能够大规模管理标识和访问生命周期。
按照最低特权原则,组织可以降低安全问题的风险,并确保访问控制符合业务需求。
在 Identity Governance 功能中进行管理所需的最低特权角色
最佳做法是使用最低特权角色在 Identity Governance 中执行管理任务。 建议使用 Microsoft Entra PIM 激活执行这些任务所需的角色。 以下是用于配置标识治理功能的最小特权目录角色:
| Feature | 最小特权角色 |
|---|---|
| 权利管理 | Identity Governance 管理员 |
| 访问评审 | 用户管理员(Azure 或 Microsoft Entra 角色的访问评审除外,这需要特权角色管理员) |
| 生命周期工作流 | 生命周期工作流管理员 |
| Privileged Identity Management | 特权角色管理员 |
| 使用条款 | 安全管理员或条件访问管理员 |
注意
权利管理的最低特权角色已从“用户管理员”角色更改为“标识治理管理员”角色。