Definování rolí pro Privileged Access ManagementDefine roles for Privileged Access Management

Privileged Access Management umožňuje přiřadit uživatelům privilegované role, které mohou podle potřeby aktivovat pro přístup za běhu.With Privileged Access Management, you can assign users to privileged roles that they can activate as needed for just-in-time access. Tyto role jsou definované ručně a nastavené v prostředí bastionu.These roles are defined manually and established in the bastion environment. Tento článek vás provede procesem rozhodování, které role se mají spravovat prostřednictvím PAM a jak tyto role s příslušnými oprávněními a omezeními definovat.This article walks you through the process of deciding which roles to manage through PAM, and how to define them with appropriate permissions and restrictions.

Nejjednodušším způsobem definování rolí pro správu privilegovaného přístupu je vytvoření tabulky, která všechny tyto informace obsahuje.A straightforward approach to defining roles for privileged access management is to compile all the information in a spreadsheet. Vytvořte seznam rolí a ve sloupcích uveďte požadavky zásad správného řízení a požadovaná oprávnění.List the roles in the roles, and use the columns to identify governance requirements and permissions.

Požadavky zásad správného řízení se liší v závislosti na stávajících zásadách pro identitu a přístup nebo požadavky na dodržování předpisů.The governance requirements vary depending on existing identity and access policies or compliance requirements. Parametry pro identifikaci pro jednotlivé role mohou zahrnovat:The parameters to identify for each role might include:

  • Vlastník roleThe owner of the role.
  • Kandidátský uživatel, který může být v této roli.The candidate users who can be in that role
  • Ovládací prvky ověřování, schválení nebo oznámení, které by měly být přidruženy k používání role.The authentication, approval, or notification controls that should be associated with the use of the role.

Oprávnění rolí závisí na aplikacích, které se spravují.The role permissions depend on the applications being managed. V tomto článku se jako ukázková aplikace používá služba Active Directory a oprávnění jsou rozdělená do dvou kategorií:This article uses Active Directory as an example application, dividing the permissions into two categories:

  • Oprávnění pro správu vlastní služby Active Directory (např. konfigurace replikační topologie)Those needed to manage the Active Directory service itself (e.g., configure the replication topology)

  • Oprávnění pro správu dat služby Active Directory (např. vytvoření uživatelů a skupin)Those needed to manage the data held in Active Directory (e.g., create user and groups)

Identifikace rolíIdentify roles

Začněte tím, že určíte všechny role, které pravděpodobně budete chtít pomocí PAM spravovat.Start by identifying all the roles that you might want to manage with PAM. V tabulce bude mít každá role svůj vlastní řádek.On the spreadsheet, each potential role will have its own row.

Při zjišťování vhodných rolí zvažte každou aplikaci z hlediska rozsahu správy:To find the appropriate roles, consider each application in scope for management:

  • Je aplikace ve vrstvě 0, vrstvě 1 nebo vrstvě 2?Is the application in tier 0, tier 1 or tier 2?
  • Která oprávnění mají vliv na důvěrnost, integritu nebo dostupnost aplikace?What are the privileges that impact the confidentiality, integrity or availability of the application?
  • Má aplikace závislosti na dalších součástech systému?Does the application have dependencies on other components of the system? Má například závislosti na databázích, sítích, infrastruktuře zabezpečení, virtualizaci a hostující platformě?For example, does it have dependencies on databases, networking, security infrastructure, virtualization or hosting platform?

Určete, jak tyto aspekty zařadit do skupin.Determine how to group those app considerations. Chcete mít role se zřetelnými hranicemi a přidělovat jenom taková oprávnění, která jsou v aplikaci potřeba k provádění běžných úloh správy.You want roles that have clear boundaries, and give only enough permissions to complete common administrative tasks within the app.

Chcete proto navrhovat role s co nejmenším přiřazením oprávnění.You always want to design roles for the least privilege assignment. Mohou být založené na aktuálním (nebo plánovaném) organizačním zařazení uživatele a měly by zahrnovat oprávnění, které povinnosti uživatele vyžadují.This can be based on the current (or planned) organizational responsibilities for users, and would include the privilege required by the user's duties. Mohly by také zahrnovat oprávnění, která zjednodušují provoz, aniž by představovala nějaká rizika.It could also include the privileges that simplify operations, without creating risk.

Při určování rozsahu oprávnění, která mají být v roli zahrnuta, potřeba vzít v úvahu i další aspekty:Other considerations in scoping the permissions to include a role are:

  • Kolik jednotlivců pracuje v konkrétní roli?How many individuals are working in a particular role? Pokud to nejsou alespoň dva, je role pravděpodobně definovaná příliš úzce nebo jste definovali pracovní povinnosti konkrétní osoby.If there are not at least 2, then it may be too narrowly defined to be useful, or you've defined a particular person's duties.

  • Kolik rolí na sebe osoba bere?How many roles does a person take on? Budou si uživatelé moci vybrat vhodnou roli pro svoji úlohu?Would users be able to select the right role for their task?

  • Bude rozvržení uživatelů a způsob, jakým interagují s aplikacemi, kompatibilní se správou privilegovaného přístupu?Would the user population and how they interact with the applications be compatible with privileged access management?

  • Je možné oddělit správu a audit, aby uživatelé v roli správce nemohli vymazat záznamy auditu svých akcí?Is it possible to separate administration and audit, so that a user in an administrative role cannot erase the audit records of their actions?

Zjištění požadavků zásad správného řízení rolíEstablish role governance requirements

Po určení kandidátských rolí začněte vyplňovat tabulku.As you identify candidate roles, start to fill out the spreadsheet. Vytvořte sloupce pro požadavky, které jsou pro vaši organizaci relevantní.Create columns for the requirements which are relevant to your organization. Mezi požadavky ke zvážení patří:Some requirements to consider include:

  • Kdo je vlastníkem této role, který bude zodpovídat za další definování role, volbu oprávnění a správu nastavení zásad správného řízení pro tuto roli?Who is the role owner that would be responsible for the further definition of role, choosing permissions, and maintaining the governance settings for the role?

  • Kdo jsou držitelé (uživatelé) této role, kteří budou provádět příslušné úlohy nebo plnit příslušné povinnosti?Who are the role holders (users) who will perform the role duties or tasks?

  • Jaké metody přístupu (podrobněji popsané v další části) by byly pro držitele této role vhodné?What access method (discussed in the next section) would be appropriate for the role holders?

  • Vyžaduje se ruční schválení vlastníka role, když si uživatel tuto roli aktivuje?Is manual approval by a role owner required when a user activates their role?

  • Vyžaduje se upozornění, když si uživatel tuto roli aktivuje?Is notification required when a user activates their role?

  • Mělo by použití této role generovat v systému SIEM výstrahu nebo upozornění pro účely sledování?Should use of this role generate an alert or notification in a SIEM system, for tracking purposes?

  • Je nutné omezit uživatele, kteří si aktivují tuto roli, aby se mohli přihlásit jenom v počítačích, kde se pro plnění povinností této role vyžaduje přístup a kde pro ověření hostitele dostačuje, že je možné zabezpečit oprávnění nebo přihlašovací údaje před zneužitím?Is it necessary to restrict users activating the role to only be able to log onto computers where access is required to perform the role duties, and where there is sufficient verification of the host that it will be able to secure the privileges/credentials from misuse?

  • Vyžadují se pro držitele rolí vyhrazené pracovní stanice pro správu?Is it required to provide a dedicated admin workstation to the role holders?

  • Která oprávnění aplikací jsou k této roli přidružená (viz seznam příkladů pro službu AD níže)?Which application permissions (see example list for AD below) are associated with this role?

Výběr metody přístupuSelect an access method

V systému pro správu privilegovaného přístupu může být více rolí se stejnými oprávněními, která jsou jim přiřazena.There may be multiple roles in a privileged access management system with the same permissions assigned to them. K tomu může dojít v případě, že různé komunity uživatelů mají odlišné požadavky na řízení přístupu.This can happen if different communities of users have distinct access governance requirements. Organizace může například pro zaměstnance na plný úvazek využívat jiné zásady než pro outsourcované pracovníky IT jiné organizace.For example, an organization may apply different policies for their full-time employees than for outsourced IT employees of another organization.

V některých případech může být uživatel trvale přiřazen k roli.In some cases, a user may be permanently assigned to a role. V takovém případě není nutné vyžadovat nebo aktivovat přiřazení role.In that case, they do not need to request or activate a role assignment. Příklady scénářů trvalého přiřazení:Examples of permanent assignment scenarios include:

  • Účet spravované služby v existující doménové struktuřeA managed service account in existing forest

  • Uživatelský účet v existující doménové struktuře s přihlašovacími údaji spravovanými mimo PAM.A user account in the existing forest, with a credential managed outside of PAM. Může to být účet "break sklo".This could be a "break glass" account. Účet pro systém break by mohl potřebovat roli, jako je například údržba domény/řadiče domény, aby se opravily problémy, jako je třeba důvěryhodnost a problémy se stavem řadiče domény.The break glass account could need a role such as "Domain / DC maintenance" to fix issues such as trust and DC health problems. Jako účet pro přerušení by se role trvale přiřadila fyzicky zabezpečenému heslu.)As a break glass account it would have the role permanently assigned with a physically secured password)

  • Uživatelský účet v doménové struktuře pro správu, který se ověřuje pomocí hesla.A user account in the administrative forest who authenticates with a password. Může to být uživatel, který potřebuje trvalá nepřetržitá oprávnění ke správě a přihlašuje se ze zařízení, které nepodporuje silné ověřování.This could be, a user who needs permanent 24x7 administrative permissions and logs on from a device which cannot support strong authentication.

  • Uživatelský účet v doménové struktuře pro správu s fyzickou nebo virtuální čipovou kartou (např. účet s čipovou kartou offline, který se vyžaduje pro výjimečné úkoly údržby)A user account in the administrative forest, with a smartcard or virtual smartcard (for example, an account with an offline smartcard, needed for rare maintenance tasks)

Organizace, které mají obavy z potenciální krádeže nebo zneužití přihlašovacích údajů, mohou využít průvodce Použití Azure MFA k aktivaci, který zahrnuje pokyny, jak nakonfigurovat službu MIM, aby při aktivaci role vyžadovala další kontrolu mimo IP síť.For organizations concerned about the potential for credential theft or misuse, the Using Azure MFA for activation guide includes instructions for how to configure MIM to require an additional out of band check at the time of role activation.

Delegování oprávnění služby Active DirectoryDelegate Active Directory permissions

Při vytvoření nových domén Windows Server automaticky vytváří nové skupiny, např. Domain Admins.Windows Server automatically creates default groups such as "Domain Admins" when new domains are created. Tyto skupiny zjednodušují zahájení práce a mohou být vhodné pro menší organizace.These groups simplify getting started and may be suitable for smaller organizations. Větší organizace nebo uživatelé, kteří vyžadují větší izolaci oprávnění správce, by měli tyto skupiny vyprázdnit a nahradit je skupinami, které poskytují jemně odstupňovaná oprávnění.Larger organizations, or those requiring more isolation of administrative privileges, should empty those groups and replace them with groups that provide fine-grained permissions.

Jedním z omezení skupiny Domain Admins je, že nemůže mít členy z externí domény.One limitation of the Domain Admins group is that it cannot have members from an external domain. Další omezení spočívá v tom, že uděluje oprávnění pro tři samostatné funkce:Another limitation is that it grants permissions for three separate functions:

  • Správa vlastní služby Active DirectoryManaging the Active Directory service itself
  • Správa dat služby Active DirectoryManaging the data held in Active Directory
  • Povolení vzdáleného přihlášení k počítačům připojeným k doméněEnabling remote logon onto domain joined computers.

Místo výchozích skupin, jako je Domain Admins, vytvořte nové skupiny zabezpečení, které poskytují jenom potřebná oprávnění.In place of default groups like Domain Admins, create new security groups that provide only the necessary permissions. Pak byste měli použít MIM k dynamickému poskytování účtů správců s těmito členství ve skupinách.You should then use MIM to dynamically provide administrator accounts with those group memberships.

Oprávnění pro správu službyService management permissions

V následující tabulce jsou uvedené příklady oprávnění, které by byly relevantní pro zahrnutí do rolí pro správu AD.The following table gives examples of permissions which would be relevant to include in roles for managing AD.

RoleRole DescriptionDescription
Údržba domény / řadiče doményDomain/DC Maintenance Členství ve skupině Domain\Administrators umožňuje řešení potíží a změnu operačního systému řadiče domény.Membership in the Domain\Administrators group allows for troubleshooting and altering the domain controller operating system. Operace, jako je například zvýšení úrovně nového řadiče domény do existující domény v doménové struktuře a delegování role ADOperations like promoting a new domain controller into an existing domain in the forest and AD role delegation.
Správa virtuálních řadičů doménManage Virtual DCs Správa virtuálních počítačů (VM) řadiče domény (DC) pomocí softwaru pro správu virtualizace.Manage domain controller (DC) virtual machines (VMs) using the virtualization management software. Toto oprávnění může být poskytnuto prostřednictvím úplného řízení všech virtuálních počítačů v nástroji pro správu nebo funkce řízení přístupu na základě role (RBAC).This privilege may be granted via full control of all virtual machines in the management tool or Role-based access control (RBAC) functionality.
Rozšíření schématuExtend Schema Správa schématu, včetně přidání nových definic objektů, změn oprávnění k objektům schématu a změny výchozích oprávnění schématu pro typy objektůManage the schema, including adding new object definitions, altering permissions to schema objects, and altering schema default permissions for object types
Zálohování databáze služby Active DirectoryBackup Active Directory Database Vytvoření kompletní záložní kopie databáze služby Active Directory, včetně všech tajných klíčů svěřených řadiči domény a doméně.Take a backup copy of the Active Directory Database in its entirety, including all secrets entrusted to the DC and the Domain.
Správa vztahů důvěryhodnosti a funkčních úrovníManage Trusts and Functional Levels Vytváření a odstraňování vztahů důvěryhodnosti s externími doménami a doménovými strukturamiCreate and delete trusts with external domains and forests.
Správa lokalit, podsítí a replikaceManage Sites, Subnets, and Replication Správa objektů replikační topologie Active Directory, včetně změny lokalit, podsítí a objektů propojení lokalit a zahájení operací replikaceManage the Active Directory replication topology objects including modifying sites, subnets, and site link objects and initiating replication operations
Správa objektů zásad skupinyManage GPOs Vytváření, odstraňování a změny objektů zásad skupiny v doméněCreate, delete, and modify Group Policy Objects throughout the domain
Správa zónManage Zones Vytváření, odstraňování a změny zón DNS a objektů ve službě Active DirectoryCreate, delete, and modify DNS Zones and objects in the Active Directory
Úprava organizačních jednotek vrstvy 0Modify Tier 0 OUs Úprava organizačních jednotek vrstvy 0 a obsažených objektů ve službě Active DirectoryModify Tier 0 OUs and contained objects in the Active Directory

Oprávnění pro správu datdata management permissions

V následující tabulce jsou uvedeny příklady oprávnění, která by byla relevantní pro zahrnutí do rolí pro správu nebo používání dat uložených ve službě AD.The following table gives examples of permissions that would be relevant to include in roles for managing or using the data held in AD.

RoleRole DescriptionDescription
Úprava organizační jednotky správce vrstvy 1Modify Tier 1 Admin OU Úprava organizačních jednotek obsahujících objekty správce vrstvy 1 ve službě Active DirectoryModify OUs containing Tier 1 Admin objects in the Active Directory
Úprava správní organizační jednotky vrstvy 2Modify Tier 2 Admin OU Úprava organizačních jednotek obsahujících objekty správce vrstvy 2 ve službě Active DirectoryModify OUs containing Tier 2 Admin objects in the Active Directory
Správa účtů: Vytvoření/odstranění/přesunutíAccount Management: Create/Delete/Move Úprava standardních uživatelských účtůModify standard user accounts
Správa účtů: Resetování/odemknutíAccount Management: Reset Unlock Obnovení hesel a odemknutí účtůReset passwords and unlock accounts
Skupina zabezpečení: Vytvoření/změnaSecurity Group: Create Modify Vytváření a změna skupin zabezpečení ve službě Active DirectoryCreate and modify security groups in Active Directory
Skupina zabezpečení: OdstraněníSecurity Group: Delete Odstranění skupin zabezpečení ve službě Active DirectoryDelete security groups in Active Directory
Správa objektů zásad skupinyGPO Management Správa všech objektů zásad skupiny v doméně nebo doménové struktuře, které neovlivňují servery vrstvy 0Manage all GPOs in domain/forest that don't affect Tier 0 servers
Počítače – místní správaJoin PC/Local Admin Práva místního správce pro všechny pracovní staniceLocal administrative rights to all workstations
Servery – místní správaJoin Srv/Local Admin Práva místního správce pro všechny serveryLocal administrative rights to all servers

Příklady definice rolíExample role definitions

Volba definic rolí závisí na úrovni spravovaných serverů.The choice of role definitions depend on the tier of servers being managed. To také závisí na výběru spravovaných aplikací.This also depends on the choice of applications being managed. Aplikace, jako je Exchange nebo podnikové produkty jiných výrobců, jako je například SAP, budou často přinášet své vlastní definice rolí pro delegovanou správu.Applications like Exchange or third party enterprise products such as SAP will often bring their own additional role definitions for delegated administration.

V následujících oddílech najdete příklady typických podnikových scénářů.The following sections give examples for typical enterprise scenarios.

Vrstva 0 – doménová struktura pro správuTier 0 - Administrative forest

Role vhodné pro účty v prostředí bastionu mohou zahrnovat:Roles suitable for accounts in the bastion environment might include:

  • Nouzový přístup k doménové struktuře pro správuEmergency access to the administrative forest
  • Správci s červenou kartou: uživatelé, kteří jsou správci doménové struktury pro správu"Red Card" admins: users who are administrators of the administrative forest
  • Uživatelé, kteří jsou správci produkční doménové strukturyUsers who are administrators of the production forest
  • Uživatelé, kterým byly delegována omezená práva správce k aplikacím v produkční doménové struktuřeUsers who are delegated limited administrative rights to applications in the production forest

Vrstva 0 – podniková produkční doménová strukturaTier 0 - Enterprise production forest

Role vhodné pro správu prostředků a účtů podnikové produkční doménové struktury vrstvy 0 mohou zahrnovat:Roles suitable for managing the tier 0 production forest accounts and resources might include:

  • Nouzový přístup k produkční doménové struktuřeEmergency Access to the production forest
  • Zásady skupinyGroup Policy admins
  • Správci DNSDNS admins
  • Správci infrastruktury veřejných klíčůPKI admins
  • Správci replikace a topologie ADAD Topology and Replication admins
  • Správci virtualizace pro servery vrstvy 0Virtualization admins for Tier 0 servers
  • Správci úložištěStorage admins
  • Správci antimalwaru pro servery vrstvy 0Anti-Malware admins for Tier 0 servers
  • Správci SCCM pro SCCM vrstvy 0SCCM admins for Tier 0 SCCM
  • Správci SCOM pro SCOM vrstvy 0SCOM Admins for Tier 0 SCOM
  • Správci zálohování pro vrstvu 0Backup admins for Tier 0
  • Uživatelé řadičů pro správu základní desky a správu mimo IP síť (pro správu LOM nebo KVM) připojených k hostitelům vrstvy 0Users of out-of-band and baseboard management controllers (for KVM or lights-out management) connected to Tier 0 hosts

Vrstva 1Tier 1

Role pro správu a zálohování serverů ve vrstvě 1 mohou zahrnovat:Roles for management and backup of servers in Tier 1 might include:

  • Údržba serveruServer maintenance
  • Správci virtualizace pro servery vrstvy 1Virtualization admins for Tier 1 servers
  • Účet kontroly zabezpečeníSecurity Scanner Account
  • Správci antimalwaru pro servery vrstvy 1Anti-Malware admins for Tier 1 servers
  • Správci SCCM pro SCCM vrstvy 1SCCM admins for Tier 1 SCCM
  • Správci SCOM pro SCOM vrstvy 1SCOM admins for Tier 1 SCOM
  • Správci zálohování pro vrstvu 1Backup admins for Tier 1 servers
  • Uživatelé řadičů pro správu základní desky a správu mimo IP síť (pro správu LOM nebo KVM) připojených k hostitelům vrstvy 1Users of out-of-band and baseboard management controllers (for KVM or lights-out management) to Tier 1 hosts

Role pro správu podnikových aplikací ve vrstvě 1 také mohou zahrnovat:Also, roles for managing enterprise applications in Tier 1 might include:

  • Správci DHCPDHCP administrators
  • Správci ExchangeExchange administrators
  • Správci Skypu pro firmySkype for Business administrators
  • Správci farmy služby SharePointSharePoint farm administrators
  • Správci cloudových služeb, např. firemního webu nebo veřejné služby DNSAdministrators of a cloud service, e.g., a company Web Site or public DNS
  • Správci systémů HCM a finančních nebo právních systémůAdministrators of HCM, Financial or Legal systems

Vrstva 2Tier 2

Role pro uživatele bez oprávnění správce a správu počítačů mohou zahrnovat:Roles for non-administrative user and computer management might include:

  • Správci účtůAccount admins
  • HelpdeskHelpdesk
  • Správci skupin zabezpečeníSecurity group admins
  • Podpora pracovních skupinWorkstation deskside support

Další krokyNext steps