Osvědčené postupy pro role Azure AD

Tento článek popisuje některé osvědčené postupy pro používání řízení přístupu na základě role Azure Active Directory (Azure AD RBAC). Tyto osvědčené postupy vycházejí z našich zkušeností s Azure AD RBAC a zkušenostmi zákazníků, jako jsou sami. Doporučujeme vám také přečíst podrobné pokyny k zabezpečení privilegovaného přístupu pro hybridní a cloudové nasazení v Azure AD.

1. Spravovat na nejnižší úroveň oprávnění

Při plánování strategie řízení přístupu je osvědčeným postupem spravovat nejnižší oprávnění. Nejnižší oprávnění znamená, že správcům udělíte přesně oprávnění, která potřebují k práci. Při přiřazování role správcům existují tři aspekty: konkrétní sada oprávnění v určitém rozsahu po určité časové období. Vyhněte se přiřazování širších rolí v širších oborech, i když se to zpočátku zdá pohodlnější. Omezením rolí a oborů omezíte, jaké prostředky jsou ohrožené, pokud je objekt zabezpečení někdy ohrožen. Azure AD RBAC podporuje více než 65 předdefinovaných rolí. Existují role Azure AD pro správu objektů adresáře, jako jsou uživatelé, skupiny a aplikace, a také správa Microsoft 365 služeb, jako jsou Exchange, SharePoint a Intune. Pokud chcete lépe porozumět předdefinovaným rolím Azure AD, přečtěte si téma Vysvětlení rolí v Azure Active Directory. Pokud neexistuje předdefinovaná role, která vyhovuje vašim potřebám, můžete vytvořit vlastní role.

Vyhledání správných rolí

Postupujte podle těchto kroků, které vám pomůžou najít správnou roli.

  1. Přihlaste se k Azure Portal nebo Centru pro správu Azure AD.

  2. Pokud chcete zobrazit seznam rolí Azure AD, vyberte Azure Active Directory>Roles a správci.

  3. Filtr služby slouží k zúžení seznamu rolí.

    Roles and administrators page in Azure AD with Service filter open

  4. Projděte si dokumentaci k předdefinovaným rolím Azure AD . Oprávnění přidružená k jednotlivým rolím jsou uvedená společně pro lepší čitelnost. Pokud chcete porozumět struktuře a významu oprávnění role, přečtěte si, jak porozumět oprávněním role.

  5. Projděte si nejnižší privilegovanou roli podle dokumentace k úkolům .

2. Použití Privileged Identity Management k udělení přístupu za běhu

Jedním z principů nejnižších oprávnění je, že přístup by měl být udělen pouze po určité časové období. Azure AD Privileged Identity Management (PIM) umožňuje udělit správcům přístup za běhu. Microsoft doporučuje povolit PIM v Azure AD. Pomocí PIM může být uživatel oprávněným členem role Azure AD, kde pak může roli aktivovat po omezenou dobu v případě potřeby. Po vypršení časového rámce se automaticky odebere privilegovaný přístup. Můžete také nakonfigurovat nastavení PIM tak, aby vyžadovalo schválení nebo přijímání e-mailů s oznámením, když někdo aktivuje přiřazení role. Oznámení poskytují upozornění při přidání nových uživatelů do vysoce privilegovaných rolí.

3. Zapnutí vícefaktorového ověřování pro všechny účty správce

Na základě našich studií je váš účet 99,9 % méně pravděpodobné, že bude ohrožen, pokud používáte vícefaktorové ověřování (MFA).

Vícefaktorové ověřování v rolích Azure AD můžete povolit pomocí dvou metod:

4. Konfigurace opakovaných kontrol přístupu pro odvolání nepotřebných oprávnění v průběhu času

Kontroly přístupu umožňují organizacím pravidelně kontrolovat přístup správce, aby se ujistili, že k nim mají přístup jenom ti správní uživatelé. Pravidelné auditování správců je zásadní z následujících důvodů:

  • Škodlivý aktér může ohrozit účet.
  • Lidé přesouvají týmy v rámci společnosti. Pokud neexistují žádné auditování, můžou v průběhu času získat nepotřebný přístup.

Informace o kontrolách přístupu pro role najdete v tématu Vytvoření kontroly přístupu rolí Azure AD v PIM. Informace o kontrolách přístupu skupin, které jsou přiřazené role, najdete v tématu Vytvoření kontroly přístupu skupin a aplikací v kontrolách přístupu Azure AD.

5. Omezte počet globálních správců na méně než 5.

Microsoft doporučuje přiřadit roli globálního správce méně než pěti lidem ve vaší organizaci. Globální správci drží klíče do království a je ve vašem zájmu udržet prostor útoku nízký. Jak bylo uvedeno dříve, všechny tyto účty by měly být chráněny pomocí vícefaktorového ověřování.

Když se uživatel zaregistruje ke cloudové službě Microsoftu, vytvoří se tenant Azure AD a uživatel je členem role Globální správci. Uživatelé, kteří mají přiřazenou roli globálního správce, můžou číst a upravovat všechna nastavení správy ve vaší organizaci Azure AD. S několika výjimkami můžou globální správci také číst a upravovat všechna nastavení konfigurace ve vaší organizaci Microsoft 365. Globální správci mají také možnost zvýšit přístup ke čtení dat.

Společnost Microsoft doporučuje zachovat dva účty, které jsou trvale přiřazené k roli globálního správce. Ujistěte se, že tyto účty nevyžadují stejný mechanismus vícefaktorového ověřování jako běžné účty pro správu, jak je popsáno v tématu Správa účtů pro nouzový přístup v Azure AD.

6. Použití skupin pro přiřazení rolí Azure AD a delegování přiřazení role

Pokud máte externí systém zásad správného řízení, který využívá skupiny, měli byste místo jednotlivých uživatelů zvážit přiřazování rolí skupinám Azure AD. V PIM můžete také spravovat skupiny, které je možné přiřadit role, abyste zajistili, že v těchto privilegovaných skupinách nejsou žádní vlastníci ani členové. Další informace najdete v tématu Možnosti správy pro privilegovaný přístup ke skupinám Azure AD.

Vlastníka můžete přiřadit ke skupinám s možností přiřazení role. Tento vlastník rozhodne, kdo je přidán nebo odebrán ze skupiny, takže nepřímo rozhodne, kdo získá přiřazení role. Tímto způsobem může globální správce nebo správce privilegovaných rolí delegovat správu rolí na základě jednotlivých rolí pomocí skupin. Další informace najdete v tématu Použití skupin Azure AD ke správě přiřazení rolí.

7. Aktivace více rolí najednou pomocí privilegovaných přístupových skupin

Může se jednat o případ, že má jednotlivec pět nebo šest oprávněných přiřazení k rolím Azure AD prostřednictvím PIM. Budou muset aktivovat každou roli jednotlivě, což může snížit produktivitu. Ještě horší může mít také desítky nebo stovky prostředků Azure přiřazených k nim, což problém ztíží.

V takovém případě byste měli používat privilegované přístupové skupiny. Vytvořte skupinu privilegovaného přístupu a udělte jí trvalý přístup k více rolím (Azure AD nebo Azure). Nastavit tohoto uživatele jako oprávněného člena nebo vlastníka této skupiny. S pouze jednou aktivací budou mít přístup ke všem propojeným prostředkům.

Privileged access group diagram showing activating multiple roles at once

8. Použití nativních účtů cloudu pro role Azure AD

Nepoužívejte místní synchronizované účty pro přiřazení rolí Azure AD. Pokud dojde k ohrožení vašeho místního účtu, může ohrozit i vaše prostředky Azure AD.

Další kroky