Referenční informace k operacím Správa oprávnění Microsoft Entra
V tomto průvodci zprovozněním se dozvíte o kontrolách, akcích a osvědčených postupech pro provoz Správa oprávnění Microsoft Entra v podnikovém prostředí. Pokyny mají tři fáze:
- Implementujte architekturu pro správu ve velkém měřítku: delegujte oprávnění a vyvíjejte procesy, které řídí provozní chování.
- Oprávnění správné velikosti a automatizace principu nejnižších oprávnění: opravte klíčová zjištění a implementujte přístup podle potřeby (JIT) za běhu s oprávněními na vyžádání.
- Konfigurace Správa oprávnění Microsoft Entra monitorování a upozorňování: plánování opakovaných sestav, konfigurace výstrah a vývoj playbooků strategie reakce.
Poznámka:
Doporučení v této příručce jsou aktuální k datu zveřejnění. Doporučujeme organizacím průběžně vyhodnocovat své postupy identit, protože se v průběhu času vyvíjejí produkty a služby Microsoftu. Některá doporučení nemusí být použitelná pro všechna zákaznická prostředí.
Vstupní kritéria
Tato příručka předpokládá, že jste dokončili průvodce rychlým startem pro Správa oprávnění Microsoft Entra.
Slovník pojmů
K pochopení termínů používaných v této příručce použijte následující glosář.
| Pojem | definice |
|---|---|
| Autorizační systém | Systém, který uděluje přístup k identitám. Například předplatné Azure, účet AWS nebo projekt GCP. |
| Oprávnění | Identita s možností provádět akci s prostředkem |
| Index zobrazení oprávnění (PCI) | Agregovaná metrika pro měření počtu nepoužívaných nebo nadměrných oprávnění napříč identitami a prostředky. Měří se pravidelně pro všechny identity. PCI se pohybuje od 0 do 100. Vyšší skóre představují větší riziko. |
| Oprávnění na vyžádání | Funkce Správa oprávnění Microsoft Entra, která umožňuje identitám požadovat a udělit oprávnění na vyžádání po omezenou dobu nebo podle potřeby. |
Týmy zúčastněných stran zákazníků
Doporučujeme přiřazovat účastníky k plánování a implementaci klíčových úkolů. Následující tabulka popisuje týmy účastníků uvedené v této příručce.
| Tým účastníků | Popis |
|---|---|
| Správa identit a přístupu (IAM) | Spravuje každodenní provoz systému IAM. |
| Cloudová infrastruktura | Architekti a provozní týmy pro Azure, AWS a GCP |
| Architektura zabezpečení informací | Plány a návrhy postupů zabezpečení informací organizace |
| Operace zabezpečení informací | Spuštění a monitorování postupů zabezpečení informací pro architekturu zabezpečení informací |
| Reakce na incident | Identifikuje a řeší incidenty zabezpečení. |
| Zajištění zabezpečení a audit | Pomáhá zajistit, aby procesy IT byly zabezpečené a vyhovující. Provádějí pravidelné audity, vyhodnocují rizika a doporučují bezpečnostní opatření ke zmírnění zjištěných ohrožení zabezpečení a zlepšení celkového stavu zabezpečení. |
| Cílení technických vlastníků systému autorizace | Vlastní jednotlivé systémy autorizace: předplatná Azure, účty AWS, projekty GCP nasazené do Správa oprávnění Microsoft Entra |
Tok zjišťování a monitorování
Při zprovoznění produktu doporučujeme použít tok Discover-Remediate-Monitor. V následujícím příkladu si všimněte použití proaktivního toku pro nadměrně zřízených aktivních uživatelů: vysoce rizikové nadlimitní uživatelé ve vašem prostředí.
- Objevte: Získejte přehled o vašem prostředí a určete prioritu zjištění. Můžete například použít sestavu Analýzy oprávnění pro seznam přestavovaných aktivních uživatelů.
- Náprava: Zareagujte na zjištění ze zjišťování. Pomocí nástrojů pro nápravu správy oprávnění můžete například jedním kliknutím odvolat nepoužívané úlohy od přeřazených aktivních uživatelů a pak vytvořit role správné velikosti na základě předchozí aktivity.
- Monitorování: Vytvořte výstrahy, které budou průběžně monitorovat vaše prostředí, aby bylo možné zjištění napravit. Můžete například vytvořit upozornění analýzy oprávnění, které vás upozorní na přeřazovat aktivní uživatele.