Referencia de operaciones de administración de permisos de Microsoft Entra
En esta guía de operacionalización, obtenga información sobre las comprobaciones, las acciones y los procedimientos recomendados para operar la administración de permisos de Microsoft Entra en un entorno empresarial. La guía tiene tres fases:
- Implementar el marco para administrar a escala: delegar permisos y desarrollar procesos para guiar el comportamiento operativo.
- Dimensione los permisos correctamente y automatice el principio de privilegios mínimos: corrija los resultados clave e implemente el acceso Just-In-Time (JIT) con permisos a petición.
- Configurar la supervisión y la alerta de administración de permisos de Microsoft Entra: programar informes periódicos, configurar alertas y desarrollar cuadernos de estrategias de estrategia de respuesta.
Nota:
Las recomendaciones de esta guía están actualizadas a partir de la fecha de publicación. Se recomienda que las organizaciones evalúen sus prácticas de identidad continuamente a medida que los productos y servicios de Microsoft evolucionan con el tiempo. Es posible que algunas recomendaciones no sean aplicables a todos los entornos de cliente.
Criterios de entrada
En esta guía se da por supuesto que completó la guía de inicio rápido de administración de permisos de Microsoft Entra.
Glosario
Use el siguiente glosario para comprender los términos usados en esta guía.
| Término | Definición |
|---|---|
| Authorization system (Sistema de autorización) | Sistema que concede acceso a las identidades. Por ejemplo, una suscripción de Azure, una cuenta de AWS o un proyecto de GCP. |
| Permiso | Una identidad con la capacidad de realizar una acción en un recurso. |
| Índice de exceso de permisos (PCI) | Métrica agregada para medir el número de permisos no utilizados o excesivos entre identidades y recursos. Se mide periódicamente para todas las identidades. PCI oscila entre 0 y 100. Las puntuaciones más altas representan un mayor riesgo. |
| Permisos a petición | Una característica de administración de permisos de Microsoft Entra que permite a las identidades solicitar y conceder permisos a petición durante un período limitado de tiempo o según sea necesario. |
Equipos de partes interesadas del cliente
Se recomienda asignar a las partes interesadas para planear e implementar tareas clave. En la siguiente tabla se describen los equipos de partes interesadas citados en esta guía.
| Equipo de partes interesadas | Descripción |
|---|---|
| Identity and Access Management (IAM) | Administra las operaciones diarias del sistema IAM |
| Infraestructura en la nube | Arquitectos y equipos de operaciones para Azure, AWS y GCP |
| Arquitectura de seguridad de la información | Planes y diseños de las prácticas de seguridad de la información de la organización |
| Operaciones de seguridad de la información | Ejecuta y supervisa los procedimientos de seguridad de la información para la arquitectura de seguridad de la información |
| Respuesta a los incidentes | Identifica y resuelve incidentes de seguridad |
| Seguridad y auditoría | Ayuda a garantizar que los procesos de TI son seguros y compatibles. Realizan auditorías periódicas, evalúan los riesgos y recomiendan medidas de seguridad para mitigar las vulnerabilidades identificadas y mejorar la posición general de seguridad. |
| Propietarios técnicos del sistema de autorización de destino | Propios sistemas de autorización individuales: suscripciones de Azure, cuentas de AWS, proyectos de GCP incorporados a administración de permisos de Microsoft Entra |
Detección de un flujo de supervisión de corrección
Al poner en funcionamiento el producto, se recomienda usar el flujo descubrir-corregir-supervisar. En el siguiente ejemplo, tenga en cuenta el uso del flujo proactivo para usuarios activos sobreaprovisionados: usuarios con permisos excesivos de alto riesgo en su entorno.
- Descubrir: lograr visibilidad en el entorno y priorizar los resultados. Por ejemplo, use el informe de análisis de permisos para obtener una lista de usuarios activos sobreaprovisionados.
- Corregir: actúe sobre los resultados de descubrir. Por ejemplo, use herramientas de corrección de administración de permisos para revocar tareas no usadas de usuarios activos sobreaprovisionados con un solo clic y, a continuación, cree roles de tamaño correcto en función de la actividad pasada.
- Supervisar: cree alertas para supervisar continuamente el entorno para obtener conclusiones que corrijan. Por ejemplo, cree una alerta de análisis de permisos para notificarle los usuarios activos sobreaprovisionados.
Pasos siguientes
- Fase 1: implementación del marco para administrar a escala
- Fase 2: permisos de tamaño correcto y automatización del principio de privilegios mínimos
- Fase 3: configuración de la supervisión y alertas de la Administración de permisos de Microsoft Entra
- Guía de alertas de la Administración de permisos de Microsoft Entra