Definiera roller för Privileged Access ManagementDefine roles for Privileged Access Management

Med Privileged Access Management kan du tilldela användare privilegierade roller som de kan aktivera vid behov för just-in-time-åtkomst.With Privileged Access Management, you can assign users to privileged roles that they can activate as needed for just-in-time access. Rollerna definieras manuellt och upprättas i skyddsmiljön.These roles are defined manually and established in the bastion environment. I den här artikeln får du vägledning genom processen att avgöra vilka roller som ska hanteras via PAM och hur du definierar dem med rätt behörighet och begränsningar.This article walks you through the process of deciding which roles to manage through PAM, and how to define them with appropriate permissions and restrictions.

Ett enkelt sätt att definiera roller för Privileged Access Management är att samla all information i ett kalkylblad.A straightforward approach to defining roles for privileged access management is to compile all the information in a spreadsheet. Lista roller i rollerna och använd kolumnerna till att identifiera styrningskrav och -behörigheter.List the roles in the roles, and use the columns to identify governance requirements and permissions.

Styrningskraven varierar beroende på befintlig identitet och åtkomstprinciper eller efterlevnadskrav.The governance requirements vary depending on existing identity and access policies or compliance requirements. Parametrar som ska identifieras för varje roll kan innehålla:The parameters to identify for each role might include:

  • Ägaren av rollen.The owner of the role.
  • De kandidatanvändare som kan vara i rollenThe candidate users who can be in that role
  • Autentisering, godkännande eller meddelande kontrollerna som ska associeras med hjälp av rollen.The authentication, approval, or notification controls that should be associated with the use of the role.

Rollbehörigheterna beror på de program som hanteras.The role permissions depend on the applications being managed. I den här artikeln används Active Directory som ett exempelprogram, och behörigheter delas upp i två kategorier:This article uses Active Directory as an example application, dividing the permissions into two categories:

  • De som krävs för att hantera själva Active Directory-tjänsten (t.ex. konfigurera replikeringstopologin)Those needed to manage the Active Directory service itself (e.g., configure the replication topology)

  • De som krävs för att hantera data som lagras i Active Directory (t.ex. skapa användare och grupper)Those needed to manage the data held in Active Directory (e.g., create user and groups)

Identifiera rollerIdentify roles

Börja med att identifiera alla de roller som du kanske vill hantera med PAM.Start by identifying all the roles that you might want to manage with PAM. På kalkylbladet har varje potentiell roll en egen rad.On the spreadsheet, each potential role will have its own row.

Titta närmare på varje program som ska hanteras för att hitta lämpliga roller:To find the appropriate roles, consider each application in scope for management:

  • Är programmet på nivå 0, nivå 1 eller 2?Is the application in tier 0, tier 1 or tier 2?
  • Vilka är de behörigheter som påverkar programmets sekretess, integritet eller tillgänglighet?What are the privileges that impact the confidentiality, integrity or availability of the application?
  • Har programmet beroenden på andra komponenter i systemet?Does the application have dependencies on other components of the system? Till exempel har den beroende databaser, nätverk, säkerhetsinfrastruktur, virtualisering eller värd för plattformen?For example, does it have dependencies on databases, networking, security infrastructure, virtualization or hosting platform?

Bestämma hur du vill gruppera de programbehoven.Determine how to group those app considerations. Du vill ha roller med tydliga gränser som bara ger tillräcklig behörighet att utföra vanliga administrativa uppgifter i programmet.You want roles that have clear boundaries, and give only enough permissions to complete common administrative tasks within the app.

Du ska alltid skapa roller efter den uppgift som kräver lägst privilegium.You always want to design roles for the least privilege assignment. Det kan baseras på aktuella (eller planerade) organisativa ansvarsområden för användare och omfattar den behörighet användarens uppgifter kräver.This can be based on the current (or planned) organizational responsibilities for users, and would include the privilege required by the user's duties. Det kan också omfatta de privilegier som förenklar driften utan att medföra risker.It could also include the privileges that simplify operations, without creating risk.

Några andra saker du ska överväga när du anger behörighetsomfånget för en roll är:Other considerations in scoping the permissions to include a role are:

  • Hur många personer arbetar inom en viss roll?How many individuals are working in a particular role? Om det är minst två personer kan den vara för snävt snävare definierad för att användbar eller så har du definierat en viss persons uppgifter.If there are not at least 2, then it may be too narrowly defined to be useful, or you've defined a particular person's duties.

  • Hur många roller har en person?How many roles does a person take on? Kommer användarna att kunna välja rätt roll för uppgiften?Would users be able to select the right role for their task?

  • Skulle användarna och hur de samverkar med program vara förenliga med hanteringen av privilegierad åtkomst?Would the user population and how they interact with the applications be compatible with privileged access management?

  • Går det att separera administration och granskning, så att en användare i en administrativ roll inte kan radera granskningsposter för sina åtgärder?Is it possible to separate administration and audit, so that a user in an administrative role cannot erase the audit records of their actions?

Upprätta krav för rollstyrningEstablish role governance requirements

När du identifierar kandidatroller börjar du med att fylla i kalkylbladet.As you identify candidate roles, start to fill out the spreadsheet. Skapa kolumner för de krav som är relevanta för organisationen.Create columns for the requirements which are relevant to your organization. Några krav du måste överväga är:Some requirements to consider include:

  • Vem är rollägaren som ska ansvara för ytterligare definition av rollen, välja behörigheter och hantera styrningsinställningarna för rollen?Who is the role owner that would be responsible for the further definition of role, choosing permissions, and maintaining the governance settings for the role?

  • Vilka är rollinnehavarna (användarna) som ska utföra rollens uppgifter?Who are the role holders (users) who will perform the role duties or tasks?

  • Vilken åtkomstmetod (beskrivs i nästa avsnitt) skulle vara lämplig för rollinnehavarna?What access method (discussed in the next section) would be appropriate for the role holders?

  • Krävs manuellt godkännande av en rollägare när en användare aktiverar rollen?Is manual approval by a role owner required when a user activates their role?

  • Krävs det meddelanden för när en användare aktiverar rollen?Is notification required when a user activates their role?

  • Bör det genereras en avisering eller ett meddelande i ett SIEM-system när rollen används i spårningssyfte?Should use of this role generate an alert or notification in a SIEM system, for tracking purposes?

  • Är det nödvändigt att begränsa användarna som aktiverar rollen till att bara kunna logga in på datorer där åtkomst krävs för att utföra rollens uppgifter, och där värdens verifiering är tillräcklig för att skydda privilegierna/autentiseringsuppgifterna från missbruk?Is it necessary to restrict users activating the role to only be able to log onto computers where access is required to perform the role duties, and where there is sufficient verification of the host that it will be able to secure the privileges/credentials from misuse?

  • Måste rollinnehavarna tillhandahållas en dedikerad arbetsstation för administration?Is it required to provide a dedicated admin workstation to the role holders?

  • Vilka programbehörigheter (se listan med exempel för AD nedan) är associerade med rollen?Which application permissions (see example list for AD below) are associated with this role?

Välj en åtkomstmetodSelect an access method

Det kan finnas flera roller i ett system för hantering av privilegierad åtkomst med samma behörigheter som tilldelats.There may be multiple roles in a privileged access management system with the same permissions assigned to them. Detta kan inträffa om olika användargrupper har olika krav för åtkomststyrning.This can happen if different communities of users have distinct access governance requirements. En organisation kan till exempel använda olika principer för sina heltidsanställda och för IT-anställda i en annan organisation.For example, an organization may apply different policies for their full-time employees than for outsourced IT employees of another organization.

I vissa fall kan en användare vara permanent tilldelade till en roll.In some cases, a user may be permanently assigned to a role. I så fall behöver de inte begära eller aktivera en rolltilldelning.In that case, they do not need to request or activate a role assignment. Exempel på scenarier med permanent tilldelning:Examples of permanent assignment scenarios include:

  • Ett hanterat tjänstkonto i den befintliga skogenA managed service account in existing forest

  • Ett användarkonto i den befintliga skogen med en autentiseringsuppgift som hanteras utanför PAM.A user account in the existing forest, with a credential managed outside of PAM. Detta kan vara ett ”nödkonto”-konto.This could be a "break glass" account. Nödkonto kanske behöver en roll som ”domän / domänkontrollanter” och åtgärda problem som till exempel förtroenden och Domänkontrollantstatus hälsa.The break glass account could need a role such as "Domain / DC maintenance" to fix issues such as trust and DC health problems. Som ett nödkonto skulle det ha rollen permanent tilldelade med ett fysiskt skyddat lösenord)As a break glass account it would have the role permanently assigned with a physically secured password)

  • Ett användarkonto i den administrativa skogen som autentiseras med ett lösenord.A user account in the administrative forest who authenticates with a password. Detta kan vara en användare behöver permanent administrativ behörighet för 24 x 7 och loggar in från en enhet som inte stöder stark autentisering.This could be, a user who needs permanent 24x7 administrative permissions and logs on from a device which cannot support strong authentication.

  • Ett användarkonto i den administrativa skogen, med ett smartkort eller virtuellt smartkort (till exempel ett konto med ett offlinesmartkort som behövs för sällsynta underhållsuppgifter)A user account in the administrative forest, with a smartcard or virtual smartcard (for example, an account with an offline smartcard, needed for rare maintenance tasks)

I guiden Aktivera med hjälp av Azure MFA hittar organisationer som är oroliga för stöld och missbruk av autentiseringsuppgifter anvisningar om hur de konfigurerar MIM till att kräva ytterligare out-of-band-kontroller vid rollaktivering.For organizations concerned about the potential for credential theft or misuse, the Using Azure MFA for activation guide includes instructions for how to configure MIM to require an additional out of band check at the time of role activation.

Tilldela Active Directory-behörigheterDelegate Active Directory permissions

Windows Server skapar automatiskt standardgrupper som "Domänadministratörer" när nya domäner skapas.Windows Server automatically creates default groups such as "Domain Admins" when new domains are created. Med de här grupperna blir det enklare att komma igång och de kan vara lämpliga för mindre organisationer.These groups simplify getting started and may be suitable for smaller organizations. Större organisationer och organisationer behöver avgränsa administrativa privilegier, bör tom grupperna och ersätta dem med grupper som ger detaljerade behörigheter.Larger organizations, or those requiring more isolation of administrative privileges, should empty those groups and replace them with groups that provide fine-grained permissions.

En begränsning med gruppen Domänadministratörer är att den inte kan ha medlemmar från en extern domän.One limitation of the Domain Admins group is that it cannot have members from an external domain. En annan begränsning är att den ger behörighet till tre olika funktioner:Another limitation is that it grants permissions for three separate functions:

  • Hantera själva tjänsten Active DirectoryManaging the Active Directory service itself
  • Hantera de data som lagras i Active DirectoryManaging the data held in Active Directory
  • Aktivera fjärrinloggning till domänanslutna datorer.Enabling remote logon onto domain joined computers.

Skapa nya säkerhetsgrupper som ger endast behörighet i stället för standardgrupper som Domänadministratörer.In place of default groups like Domain Admins, create new security groups that provide only the necessary permissions. Du bör använda MIM till dynamiskt administratörskonton med dessa gruppmedlemskap.You should then use MIM to dynamically provide administrator accounts with those group memberships.

Behörighet för tjänsthanteringService management permissions

Följande tabell innehåller exempel på behörigheter som är relevanta att inkludera i roller för att hantera AD.The following table gives examples of permissions which would be relevant to include in roles for managing AD.

RollRole BeskrivningDescription
Hantering av domäner/domänkontrollanterDomain/DC Maintenance Medlemskap i gruppen domän\administratör kan felsöka och ändra domänkontrollantens operativsystem.Membership in the Domain\Administrators group allows for troubleshooting and altering the domain controller operating system. Åtgärder som du befordrar en ny domänkontrollant i en befintlig domän i skogen och delegering för AD-rollen.Operations like promoting a new domain controller into an existing domain in the forest and AD role delegation.
Hantera virtuella domänkontrollanterManage Virtual DCs Hantera domänkontrollantens virtuella datorer med hjälp av programvara för hantering av virtualisering.Manage domain controller (DC) virtual machines (VMs) using the virtualization management software. Det här privilegiet kan tilldelas via fullständig kontroll över alla virtuella datorer i hanteringsverktyget och i funktionerna för rollbaserad åtkomstkontroll.This privilege may be granted via full control of all virtual machines in the management tool or Role-based access control (RBAC) functionality.
Utöka schematExtend Schema Hantera schemat, inklusive att lägga till nya objektdefinitioner, ändra behörigheter till schemaobjekt och ändra schemats standardbehörigheter för objekttyperManage the schema, including adding new object definitions, altering permissions to schema objects, and altering schema default permissions for object types
Säkerhetskopiera Active Directory-databasenBackup Active Directory Database Gör en säkerhetskopia av Active Directory-databasen i sin helhet, inklusive alla hemligheter som tilldelats domänkontrollanten och domänen.Take a backup copy of the Active Directory Database in its entirety, including all secrets entrusted to the DC and the Domain.
Hantera förtroenden och funktionsnivåerManage Trusts and Functional Levels Skapa och ta bort förtroenden för externa domäner och skogar.Create and delete trusts with external domains and forests.
Hantera platser, undernät och replikeringManage Sites, Subnets, and Replication Hantera replikeringstopologiobjekten i Active Directory och ändra platser, undernät och platslänkobjekt samt starta replikeringsåtgärderManage the Active Directory replication topology objects including modifying sites, subnets, and site link objects and initiating replication operations
Hantera grupprincipobjektManage GPOs Skapa, ta bort och ändra grupprincipobjekt för hela domänenCreate, delete, and modify Group Policy Objects throughout the domain
Hantera zonerManage Zones Skapa, ta bort och ändra DNS-zoner och objekt i Active DirectoryCreate, delete, and modify DNS Zones and objects in the Active Directory
Ändra organisationsenheter på nivå 0Modify Tier 0 OUs Ändra organisationsenheter på nivå 0 och ingående objekt i Active DirectoryModify Tier 0 OUs and contained objects in the Active Directory

behörighet för datahanteringdata management permissions

Följande tabell innehåller exempel på behörigheter som är relevanta att inkludera i roller för hantering eller med hjälp av data som lagras i AD.The following table gives examples of permissions that would be relevant to include in roles for managing or using the data held in AD.

RollRole BeskrivningDescription
Ändra organisationsenheten för administration på nivå 1Modify Tier 1 Admin OU Ändra organisationsenheter som innehåller administrationsobjekt på nivå 1 i Active DirectoryModify OUs containing Tier 1 Admin objects in the Active Directory
Ändra organisationsenheten för administration på nivå 2Modify Tier 2 Admin OU Ändra organisationsenheter som innehåller administrationsobjekt på nivå 2 i Active DirectoryModify OUs containing Tier 2 Admin objects in the Active Directory
Kontohantering: Skapa/Ta bort/FlyttaAccount Management: Create/Delete/Move Ändra standardanvändarkontonModify standard user accounts
Kontohantering: Återställa, låsa uppAccount Management: Reset Unlock Återställa lösenord och låsa upp kontonReset passwords and unlock accounts
Säkerhetsgrupp: Skapa, ändraSecurity Group: Create Modify Skapa och ändra säkerhetsgrupper i Active DirectoryCreate and modify security groups in Active Directory
Säkerhetsgrupp: Ta bortSecurity Group: Delete Ta bort säkerhetsgrupper i Active DirectoryDelete security groups in Active Directory
Hantering av grupprincipobjektGPO Management Hantera alla grupprincipobjekt i domänen/skogen som inte påverkar servrar på nivå 0Manage all GPOs in domain/forest that don't affect Tier 0 servers
Ansluta till dator/lokal administrationJoin PC/Local Admin Lokala administrativa rättigheter för alla arbetsstationerLocal administrative rights to all workstations
Ansluta till server/lokal administrationJoin Srv/Local Admin Lokala administrativa rättigheter för alla servrarLocal administrative rights to all servers

Exempel på rolldefinitionerExample role definitions

Valet av rolldefinitioner beror på nivån som hanteras.The choice of role definitions depend on the tier of servers being managed. Detta beror också på vilka program som hanteras.This also depends on the choice of applications being managed. Program som enterprise-produkter som Exchange och tredjepartsprodukter som SAP ofta kommer att få sina egna ytterligare rolldefinitioner för delegerad administration.Applications like Exchange or third party enterprise products such as SAP will often bring their own additional role definitions for delegated administration.

Följande avsnitt innehåller exempel för vanliga företagsscenarier.The following sections give examples for typical enterprise scenarios.

Nivå 0 – Administrativ skogTier 0 - Administrative forest

Roller som är lämpliga för konton i skyddsmiljön kan vara:Roles suitable for accounts in the bastion environment might include:

  • Nödåtkomst till den administrativa skogenEmergency access to the administrative forest
  • Nödfallsadministratörer: användare som är administratörer för den administrativa skogen"Red Card" admins: users who are administrators of the administrative forest
  • Användare som är administratörer för produktionsskogenUsers who are administrators of the production forest
  • Användare som är tilldelade begränsad administrativ behörighet till program i produktionsskogenUsers who are delegated limited administrative rights to applications in the production forest

Nivå 0 – FöretagsproduktionsskogTier 0 - Enterprise production forest

Roller som är lämpliga för att hantera produktionsskogskonton och -resurser på nivå 0 kan vara:Roles suitable for managing the tier 0 production forest accounts and resources might include:

  • Nödåtkomst till produktionsskogenEmergency Access to the production forest
  • Administratörer av grupprinciperGroup Policy admins
  • DNS-administratörerDNS admins
  • PKI-administratörerPKI admins
  • Administratörer för AD-topologi och -replikeringAD Topology and Replication admins
  • Virtualiseringsadministratörer för nivå 0-servrarVirtualization admins for Tier 0 servers
  • LagringsadministratörerStorage admins
  • Administratörer av program mot skadlig kod för nivå 0-servrarAnti-Malware admins for Tier 0 servers
  • SCCM-administratörer för SCCM på nivå 0SCCM admins for Tier 0 SCCM
  • SCOM-administratörer för SCOM på nivå 0SCOM Admins for Tier 0 SCOM
  • Reservadministratörer för nivå 0Backup admins for Tier 0
  • Användare av out-of-band-styrenheter och styrenheter för huvudkortshantering (för KVM eller lights-out-hantering) som är anslutna till värdar på nivå 0Users of out-of-band and baseboard management controllers (for KVM or lights-out management) connected to Tier 0 hosts

Nivå 1Tier 1

Roller för hantering och säkerhetskopiering av servrar på nivå 1 kan vara:Roles for management and backup of servers in Tier 1 might include:

  • ServerunderhållServer maintenance
  • Virtualiseringsadministratörer för servrar på nivå 1Virtualization admins for Tier 1 servers
  • SäkerhetsskannerkontoSecurity Scanner Account
  • Administratörer av program mot skadlig kod för nivå 1-servrarAnti-Malware admins for Tier 1 servers
  • SCCM-administratörer för SCCM på nivå 1SCCM admins for Tier 1 SCCM
  • SCOM-administratörer för SCOM på nivå 1SCOM admins for Tier 1 SCOM
  • Reservadministratörer för servrar på nivå 1Backup admins for Tier 1 servers
  • Användare av out-of-band-styrenheter och styrenheter för huvudkortshantering (för KVM eller lights-out-hantering) till värdar på nivå 1Users of out-of-band and baseboard management controllers (for KVM or lights-out management) to Tier 1 hosts

Rollerna för att hantera företagsprogram på nivå 1 kan också omfatta:Also, roles for managing enterprise applications in Tier 1 might include:

  • DHCP-administratörerDHCP administrators
  • Exchange-administratörerExchange administrators
  • Administratörer för Skype för företagSkype for Business administrators
  • Administratörer för SharePoint-grupperSharePoint farm administrators
  • Administratörer för en molntjänst, t.ex. ett företags webbplats eller ett offentligt DNSAdministrators of a cloud service, e.g., a company Web Site or public DNS
  • Administratörer för HCM-system, finansiella och juridiska systemAdministrators of HCM, Financial or Legal systems

Nivå 2Tier 2

Roller för hantering av icke-administrativa användare och datorer kan vara:Roles for non-administrative user and computer management might include:

  • KontoadministratörerAccount admins
  • SupportavdelningenHelpdesk
  • Administratörer för säkerhetsgrupperSecurity group admins
  • Kontorssupport för arbetsstationerWorkstation deskside support

Nästa stegNext steps