Microsoft Entra ID-kezelés műveletek referencia-útmutatója
A Microsoft Entra üzemeltetési referenciaútmutatójának ez a szakasza ismerteti azokat az ellenőrzéseket és műveleteket, amelyeket meg kell tenni a nem hátrányos helyzetű és kiemelt identitások hozzáférésének értékeléséhez és igazolásához, valamint a környezet változásainak naplózásához és szabályozásához.
Feljegyzés
Ezek a javaslatok a közzététel dátumától kezdve aktuálisak, de idővel változhatnak. A szervezeteknek folyamatosan értékelniük kell irányítási gyakorlataikat, ahogy a Microsoft termékei és szolgáltatásai idővel fejlődnek.
Főbb üzemeltetési folyamatok
Tulajdonosok hozzárendelése a fő feladatokhoz
A Microsoft Entra ID kezeléséhez szükség van a fő operatív feladatok és folyamatok folyamatos végrehajtására, amelyek nem feltétlenül részei a bevezetési projektnek. Továbbra is fontos, hogy ezeket a feladatokat a környezet optimalizálásához állítsa be. A legfontosabb feladatok és azok javasolt tulajdonosai a következők:
| Task | Tulajdonos |
|---|---|
| A Microsoft Entra auditnaplóinak archiválása SIEM rendszerben | InfoSec Operations Team |
| A megfelelőségen kívül felügyelt alkalmazások felderítése | IAM Operations Team |
| Alkalmazásokhoz való hozzáférés rendszeres áttekintése | InfoSec architektúra csapat |
| Külső identitásokhoz való hozzáférés rendszeres áttekintése | InfoSec architektúra csapat |
| Kiemelt szerepkörök rendszeres áttekintése | InfoSec architektúra csapat |
| Biztonsági kapuk definiálása a kiemelt szerepkörök aktiválásához | InfoSec architektúra csapat |
| Hozzájárulási támogatások rendszeres felülvizsgálata | InfoSec architektúra csapat |
| Katalógusok és hozzáférési csomagok tervezése alkalmazásokhoz és erőforrásokhoz a szervezet alkalmazottai számára | Alkalmazástulajdonosok |
| Biztonsági szabályzatok definiálása a felhasználók hozzáférési csomagokhoz való hozzárendeléséhez | InfoSec-csapat + alkalmazástulajdonosok |
| Ha a szabályzatok jóváhagyási munkafolyamatokat tartalmaznak, rendszeresen tekintse át a munkafolyamat-jóváhagyásokat | Alkalmazástulajdonosok |
| Biztonsági szabályzatok kivételeinek( például feltételes hozzáférési szabályzatok) áttekintése hozzáférési felülvizsgálatok használatával | InfoSec Operations Team |
A lista áttekintése során előfordulhat, hogy tulajdonost kell hozzárendelnie azokhoz a tevékenységekhez, amelyek nem rendelkezik tulajdonossal, vagy módosítania kell a tulajdonjogot olyan tevékenységekhez, amelyek nem összhangban vannak a fenti javaslatokkal.
A tulajdonos által ajánlott olvasás
Konfigurációmódosítások tesztelése
Vannak olyan változások, amelyek speciális szempontokat igényelnek a tesztelés során, például a felhasználók célrészcsoportjának üzembe helyezésétől a párhuzamos tesztbérlőkben való üzembe helyezésig. Ha még nem hajtott végre tesztelési stratégiát, az alábbi táblázatban szereplő irányelvek alapján kell meghatároznia egy tesztelési megközelítést:
| Eset | Ajánlás |
|---|---|
| A hitelesítési típus módosítása összevontról PHS/PTA-ra vagy fordítva | Szakaszos bevezetés használatával tesztelje a hitelesítési típus módosításának hatását. |
| Új feltételes hozzáférési szabályzat vagy identitásvédelmi szabályzat bevezetése | Hozzon létre egy új feltételes hozzáférési szabályzatot, és rendelje hozzá a tesztfelhasználókhoz. |
| Alkalmazás tesztkörnyezetének előkészítése | Adja hozzá az alkalmazást egy éles környezethez, rejtse el a MyApps panelről, és rendelje hozzá a tesztelő felhasználókhoz a minőségbiztosítási (QA) fázisban. |
| Szinkronizálási szabályok módosítása | Végezze el a módosításokat egy tesztben a Microsoft Entra Csatlakozás ugyanazzal a konfigurációval, amely jelenleg éles környezetben van, más néven átmeneti módban, és elemezze a C Standard kiadás xport eredményeit. Ha elégedett, felcserélheti az éles környezetbe, ha készen áll. |
| Arculatváltás | Tesztelés egy külön tesztbérlben. |
| Új funkció bevezetése | Ha a funkció támogatja a felhasználók célcsoportba való bevezetését, azonosítsa a próbafelhasználókat, és építse ki őket. Az önkiszolgáló jelszó-visszaállítás és a többtényezős hitelesítés például meghatározott felhasználókat vagy csoportokat célozhat meg. |
| Alkalmazás átvágása egy helyszíni identitásszolgáltatótól (IDP) például az Active Directoryból a Microsoft Entra ID-ba | Ha az alkalmazás több idP-konfigurációt is támogat, például a Salesforce-t, konfigurálja mindkettőt, és tesztelje a Microsoft Entra-azonosítót egy változásablakban (abban az esetben, ha az alkalmazás HRD-oldalt vezet be). Ha az alkalmazás nem támogat több idP-t, ütemezze a tesztelést egy változásvezérlési időszak és a program állásideje alatt. |
| Dinamikus csoportszabályok frissítése | Hozzon létre egy párhuzamos dinamikus csoportot az új szabmánnyal. Hasonlítsa össze a számított eredményt, például futtassa a PowerShellt ugyanazzal a feltétellel. Ha a teszt sikeres, cserélje le azokat a helyeket, ahol a régi csoportot használták (ha lehetséges). |
| Terméklicencek migrálása | A Microsoft Entra ID licenccsoportban lévő egyetlen felhasználó licencének módosítása című témakörben tájékozódhat. |
| Az AD FS szabályainak módosítása, például engedélyezés, kiállítás, MFA | Csoportjogcím használata a felhasználók részhalmazának megcélzásához. |
| Az AD FS hitelesítési élményének módosítása vagy hasonló farmszintű változások | Hozzon létre egy párhuzamos farmot ugyanazzal a gazdagépnévvel, implementálja a konfigurációs módosításokat, tesztelje az ügyfeleket HOSTS-fájl, hálózati terheléselosztási útválasztási szabályok vagy hasonló útválasztás használatával. Ha a célplatform nem támogatja a HOSTS-fájlokat (például mobileszközöket), módosítsa a vezérlőt. |
Hozzáférési felülvizsgálatok
Access-felülvizsgálatok az alkalmazásokhoz
Idővel a felhasználók az erőforrásokhoz való hozzáférést halmozhatják fel, miközben különböző csapatokban és pozíciókban mozognak. Fontos, hogy az erőforrás-tulajdonosok rendszeresen felülvizsgálják az alkalmazásokhoz való hozzáférést, és eltávolítsák azokat a jogosultságokat, amelyekre már nincs szükség a felhasználók teljes életciklusa során. A Microsoft Entra hozzáférési felülvizsgálatokkal a szervezetek hatékonyan kezelhetik a csoporttagságokat, hozzáférhetnek a vállalati alkalmazásokhoz és szerepkör-hozzárendelésekhez. Az erőforrás-tulajdonosoknak rendszeresen ellenőrizniük kell a felhasználók hozzáférését, hogy csak a megfelelő személyek rendelkezzenek folyamatos hozzáféréssel. Ideális esetben érdemes megfontolnia a Microsoft Entra hozzáférési felülvizsgálatainak használatát ehhez a feladathoz.
Feljegyzés
Minden olyan felhasználónak, aki hozzáférés-felülvizsgálatokat végez, fizetős Microsoft Entra ID P2 licenccel kell rendelkeznie.
Külső identitásokhoz való hozzáférés véleményezése
Fontos, hogy a külső identitásokhoz való hozzáférés csak a szükséges erőforrásokhoz legyen korlátozva a szükséges idő alatt. Rendszeres automatikus hozzáférés-ellenőrzési folyamat létrehozása minden külső identitáshoz és alkalmazáshozzáféréshez a Microsoft Entra hozzáférési felülvizsgálatok használatával. Ha egy folyamat már létezik a helyszínen, fontolja meg a Microsoft Entra hozzáférési felülvizsgálatainak használatát. Az alkalmazás kivonása vagy a használat megszűnése után távolítsa el az alkalmazáshoz hozzáféréssel rendelkező összes külső identitást.
Feljegyzés
Minden olyan felhasználónak, aki hozzáférés-felülvizsgálatokat végez, fizetős Microsoft Entra ID P2 licenccel kell rendelkeznie.
Emelt szintű fiókkezelés
Emelt szintű fiókhasználat
A hackerek gyakran a rendszergazdai fiókokat és a kiemelt hozzáférés egyéb elemeit célják meg, hogy gyorsan hozzáférjenek a bizalmas adatokhoz és rendszerekhez. Mivel a kiemelt szerepkörökkel rendelkező felhasználók általában idővel halmozódnak fel, fontos, hogy rendszeresen áttekintse és kezelje a rendszergazdai hozzáférést, és megfelelő jogosultsággal rendelkező hozzáférést biztosítson a Microsoft Entra-azonosítóhoz és az Azure-erőforrásokhoz.
Ha a szervezetben nincs folyamat a kiemelt fiókok kezelésére, vagy jelenleg olyan rendszergazdái vannak, akik a normál felhasználói fiókjukkal kezelik a szolgáltatásokat és az erőforrásokat, azonnal el kell kezdenie külön fiókok használatát, például egy normál napi tevékenységhez; a másik a kiemelt hozzáféréshez, és az MFA-val van konfigurálva. Még jobb, ha a szervezet rendelkezik Microsoft Entra ID P2-előfizetéssel, akkor azonnal üzembe kell helyeznie a Microsoft Entra Privileged Identity Managementet (PIM). Ugyanebben a jogkivonatban ezeket a kiemelt fiókokat is át kell tekintenie, és adott esetben kevésbé kiemelt szerepköröket kell hozzárendelnie.
A kiemelt fiókok felügyeletének egy másik aspektusa, amelyet végre kell hajtani, az ezen fiókok hozzáférési felülvizsgálatainak meghatározása, akár manuálisan, akár a PIM-sel automatizált módon.
Emelt szintű fiókkezelés ajánlott olvasása
Vészhelyzeti hozzáférési fiókok
A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú vészhozzáférési fiókkal rendelkezzenek, amelyek véglegesen hozzárendelték a globális Rendszergazda istrator szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókok vészhelyzeti vagy "töréstörési" forgatókönyvekre korlátozódnak, ahol a normál fiókok nem használhatók, vagy az összes többi rendszergazda véletlenül ki van zárva. Ezeket a fiókokat a segélyhívási fiók javaslatait követve kell létrehozni.
Emelt szintű hozzáférés az Azure EA Portalhoz
Az Azure Nagyvállalati Szerződés (Azure EA) portálon Azure-előfizetéseket hozhat létre egy fő Nagyvállalati Szerződés, amely nagyvállalati szerepkör. Gyakran előfordul, hogy a Microsoft Entra-azonosító létrehozása előtt elindítja a portál létrehozását, ezért a Microsoft Entra-identitások használatával le kell zárni, el kell távolítani a személyes fiókokat a portálról, gondoskodni kell a megfelelő delegálásról, és csökkenteni kell a zárolás kockázatát.
Ha az EA Portal engedélyezési szintje jelenleg "vegyes üzemmódra" van állítva, el kell távolítania minden Microsoft-fiókot az EA Portal összes kiemelt hozzáféréséből, és konfigurálnia kell az EA Portalt, hogy csak Microsoft Entra-fiókokat használjon. Ha az EA Portal delegált szerepkörei nincsenek konfigurálva, a részlegek és fiókok delegált szerepkörei is megtalálhatók és implementálhatók.
Emelt szintű hozzáférés ajánlott olvasása
Jogosultságkezelés
A jogosultságkezelés (EM) lehetővé teszi az alkalmazástulajdonosok számára, hogy erőforrásokat csomagoljanak össze, és hozzárendeljék őket a szervezet adott (belső és külső) személyeinek. Az EM lehetővé teszi az önkiszolgáló regisztrációt és a vállalati tulajdonosok delegálását, miközben a szabályozási szabályzatok biztosítják a hozzáférést, beállítják a hozzáférési időtartamokat és engedélyezik a jóváhagyási munkafolyamatokat.
Feljegyzés
A Microsoft Entra Jogosultságkezeléshez Microsoft Entra ID P2-licencek szükségesek.
Összegzés
A biztonságos identitásszabályozásnak nyolc aspektusa van. Ez a lista segít azonosítani azokat a műveleteket, amelyeket meg kell tennie a nem hátrányos helyzetű és kiemelt identitások hozzáférésének értékeléséhez és igazolásához, valamint a környezet változásainak naplózásához és szabályozásához.
- Tulajdonosok hozzárendelése a fő feladatokhoz.
- Tesztelési stratégia implementálása.
- A Microsoft Entra hozzáférési felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket.
- Rendszeres, automatizált hozzáférés-ellenőrzési folyamat létrehozása minden külső identitástípushoz és alkalmazáshozzáféréshez.
- Hozzáférési felülvizsgálati folyamat létrehozása a rendszergazdai hozzáférés rendszeres felülvizsgálatához és kezeléséhez, valamint a Microsoft Entra-azonosítóhoz és az Azure-erőforrásokhoz való megfelelő jogosultságú hozzáférés biztosításához.
- Vészhelyzeti fiókok kiépítése, hogy felkészüljenek a Microsoft Entra-azonosító kezelésére váratlan kimaradások esetén.
- Az Azure EA Portalhoz való hozzáférés zárolása.
- A jogosultságkezelés implementálása az erőforrások gyűjteményéhez való szabályozott hozzáférés biztosításához.
Következő lépések
Ismerkedés a Microsoft Entra működési ellenőrzéseivel és műveleteivel.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: