Microsoft Entra ID-kezelés műveletek referencia-útmutatója
A Microsoft Entra üzemeltetési referenciaútmutatójának ez a szakasza ismerteti azokat az ellenőrzéseket és műveleteket, amelyeket meg kell tenni a nem hátrányos helyzetű és kiemelt identitások hozzáférésének értékeléséhez és igazolásához, valamint a környezet változásainak naplózásához és szabályozásához.
Feljegyzés
Ezek a javaslatok a közzététel dátumától kezdve aktuálisak, de idővel változhatnak. A szervezeteknek folyamatosan értékelniük kell irányítási gyakorlataikat, ahogy a Microsoft termékei és szolgáltatásai idővel fejlődnek.
Főbb üzemeltetési folyamatok
Tulajdonosok hozzárendelése a fő feladatokhoz
A Microsoft Entra-azonosító kezeléséhez szükség van a fő operatív feladatok és folyamatok folyamatos végrehajtására, amelyek nem feltétlenül részei egy bevezetési projektnek. Továbbra is fontos, hogy ezeket a feladatokat a környezet optimalizálásához állítsa be. A legfontosabb feladatok és azok javasolt tulajdonosai a következők:
Task | Tulajdonos |
---|---|
A Microsoft Entra auditnaplóinak archiválása SIEM rendszerben | InfoSec Operations Team |
A megfelelőségen kívül felügyelt alkalmazások felderítése | IAM Operations Team |
Alkalmazásokhoz való hozzáférés rendszeres áttekintése | InfoSec architektúra csapat |
Külső identitásokhoz való hozzáférés rendszeres áttekintése | InfoSec architektúra csapat |
Kiemelt szerepkörök rendszeres áttekintése | InfoSec architektúra csapat |
Biztonsági kapuk definiálása a kiemelt szerepkörök aktiválásához | InfoSec architektúra csapat |
Hozzájárulási támogatások rendszeres felülvizsgálata | InfoSec architektúra csapat |
Katalógusok és hozzáférési csomagok tervezése alkalmazásokhoz és erőforrásokhoz a szervezet alkalmazottai számára | Alkalmazástulajdonosok |
Biztonsági szabályzatok definiálása a felhasználók hozzáférési csomagokhoz való hozzárendeléséhez | InfoSec-csapat + alkalmazástulajdonosok |
Ha a szabályzatok jóváhagyási munkafolyamatokat tartalmaznak, rendszeresen tekintse át a munkafolyamat-jóváhagyásokat | Alkalmazástulajdonosok |
Biztonsági szabályzatok kivételeinek( például feltételes hozzáférési szabályzatok) áttekintése hozzáférési felülvizsgálatok használatával | InfoSec Operations Team |
A lista áttekintése során előfordulhat, hogy tulajdonost kell hozzárendelnie azokhoz a tevékenységekhez, amelyek nem rendelkeznek tulajdonossal, vagy olyan tevékenységek tulajdonjogát kell módosítania, amelyek nem összhangban vannak a megadott javaslatokkal.
A tulajdonos által ajánlott olvasás
Konfigurációmódosítások tesztelése
Vannak olyan változások, amelyek speciális szempontokat igényelnek a tesztelés során, például a felhasználók célrészcsoportjának üzembe helyezésétől a párhuzamos tesztbérlőkben való üzembe helyezésig. Ha még nem implementál egy tesztelési stratégiát, a táblázatban szereplő irányelvek alapján meg kell határoznia egy tesztelési megközelítést:
Eset | Ajánlás |
---|---|
A hitelesítési típus módosítása összevontról PHS/PTA-ra vagy fordítva | A szakaszos bevezetés használatával tesztelje a hitelesítési típus módosításának hatását. |
Új feltételes hozzáférési szabályzat bevezetése | Hozzon létre egy új feltételes hozzáférési szabályzatot, és rendelje hozzá a tesztfelhasználókhoz. |
Alkalmazás tesztkörnyezetének előkészítése | Adja hozzá az alkalmazást egy éles környezethez, rejtse el a MyApps panelről, és rendelje hozzá a tesztelő felhasználókhoz a minőségbiztosítási (QA) fázisban. |
Szinkronizálási szabályok módosítása | Végezze el a módosításokat egy tesztben a Microsoft Entra Connectben ugyanazzal a konfigurációval, amely jelenleg éles környezetben van, más néven átmeneti módban, és elemezze az exportálási eredményeket. Ha elégedett, felcserélheti az éles környezetbe, ha készen áll. |
Arculatváltás | Tesztelés egy külön tesztbérlben. |
Új funkció bevezetése | Ha a funkció támogatja a felhasználók célcsoportba való bevezetését, azonosítsa a próbafelhasználókat, és építse ki őket. Az önkiszolgáló jelszó-visszaállítás és a többtényezős hitelesítés például meghatározott felhasználókat vagy csoportokat célozhat meg. |
Váltás egy alkalmazásra egy helyszíni identitásszolgáltatóról (IdP), például az Active Directoryról a Microsoft Entra ID-ra | Ha az alkalmazás több idP-konfigurációt is támogat, például a Salesforce-t, konfigurálja mindkettőt, és tesztelje a Microsoft Entra-azonosítót egy változásablakban (abban az esetben, ha az alkalmazás bevezet egy lapot). Ha az alkalmazás nem támogat több idP-t, ütemezze a tesztelést egy változásvezérlési időszak és a program állásideje alatt. |
Dinamikus tagsági csoportok szabályainak frissítése | Hozzon létre egy párhuzamos dinamikus csoportot az új szabmánnyal. Hasonlítsa össze a számított eredményt, például futtassa a PowerShellt ugyanazzal a feltétellel. Ha a teszt sikeres, cserélje le azokat a helyeket, ahol a régi csoportot használták (ha lehetséges). |
Terméklicencek migrálása | A Microsoft Entra ID licenccsoportban lévő egyetlen felhasználó licencének módosítása című témakörben tájékozódhat. |
Az AD FS szabályainak módosítása, például engedélyezés, kiállítás, MFA | Csoportjogcím használata a felhasználók részhalmazának megcélzásához. |
Az AD FS hitelesítési élményének módosítása vagy hasonló farmszintű változások | Hozzon létre egy párhuzamos farmot ugyanazzal a gazdagépnévvel, implementálja a konfigurációs módosításokat, tesztelje az ügyfeleket HOSTS-fájl, hálózati terheléselosztási útválasztási szabályok vagy hasonló útválasztás használatával. Ha a célplatform nem támogatja a HOSTS-fájlokat (például mobileszközöket), módosítsa a vezérlőt. |
Hozzáférési felülvizsgálatok
Access-felülvizsgálatok az alkalmazásokhoz
Idővel előfordulhat, hogy a felhasználók a különböző csapatokban és pozíciókban való mozgás során felhalmozódnak az erőforrásokhoz való hozzáféréssel. Fontos, hogy az erőforrás-tulajdonosok rendszeresen felülvizsgálják az alkalmazásokhoz való hozzáférést. Ez a felülvizsgálati folyamat magában foglalhatja az olyan jogosultságok eltávolítását, amelyekre már nincs szükség a felhasználók teljes életciklusa során. A Microsoft Entra hozzáférési felülvizsgálatokkal a szervezetek hatékonyan kezelhetik a csoporttagságokat, hozzáférhetnek a vállalati alkalmazásokhoz és szerepkör-hozzárendelésekhez. Az erőforrás-tulajdonosoknak rendszeresen ellenőrizniük kell a felhasználók hozzáférését, hogy csak a megfelelő személyek rendelkezzenek hozzáféréssel. Ideális esetben érdemes megfontolnia a Microsoft Entra hozzáférési felülvizsgálatainak használatát ehhez a feladathoz.
Feljegyzés
Minden olyan felhasználónak, aki hozzáférés-felülvizsgálatokat végez, fizetős Microsoft Entra ID P2 licenccel kell rendelkeznie.
Külső identitásokhoz való hozzáférés véleményezése
Fontos, hogy a külső identitásokhoz való hozzáférés csak a szükséges erőforrásokhoz legyen korlátozva a szükséges idő alatt. Rendszeres automatikus hozzáférés-ellenőrzési folyamat létrehozása minden külső identitáshoz és alkalmazáshozzáféréshez a Microsoft Entra hozzáférési felülvizsgálatok használatával. Ha egy folyamat már létezik a helyszínen, fontolja meg a Microsoft Entra hozzáférési felülvizsgálatainak használatát. Az alkalmazás kivonása vagy a használat megszűnése után távolítsa el az alkalmazáshoz hozzáféréssel rendelkező összes külső identitást.
Feljegyzés
Minden olyan felhasználónak, aki hozzáférés-felülvizsgálatokat végez, fizetős Microsoft Entra ID P2 licenccel kell rendelkeznie.
Emelt szintű fiókkezelés
Emelt szintű fiókhasználat
A hackerek gyakran a rendszergazdai fiókokat és a kiemelt hozzáférés egyéb elemeit célják meg, hogy gyorsan hozzáférjenek a bizalmas adatokhoz és rendszerekhez. Mivel a kiemelt szerepkörökkel rendelkező felhasználók általában idővel halmozódnak fel, fontos a rendszergazdai hozzáférés rendszeres áttekintése és kezelése, valamint a Microsoft Entra-azonosítóhoz és az Azure-erőforrásokhoz való megfelelő jogosultságú hozzáférés biztosítása.
Ha a szervezet nem rendelkezik a kiemelt fiókok kezelésére szolgáló folyamattal, vagy jelenleg olyan rendszergazdái vannak, akik a szokásos felhasználói fiókjukat használják a szolgáltatások és erőforrások kezelésére, azonnal el kell kezdenie külön fiókok használatát. Például az egyik a napi rendszeres tevékenységekhez, a másik pedig a kiemelt hozzáféréshez, és az MFA-val konfigurálva. Még jobb, ha a szervezet rendelkezik Microsoft Entra ID P2-előfizetéssel, akkor azonnal üzembe kell helyeznie a Microsoft Entra Privileged Identity Managementet (PIM). Ugyanebben a jogkivonatban ezeket a kiemelt fiókokat is át kell tekintenie, és adott esetben kevésbé kiemelt szerepköröket kell hozzárendelnie.
A kiemelt fiókok felügyeletének egy másik aspektusa, amelyet végre kell hajtani, az ezen fiókok hozzáférési felülvizsgálatainak meghatározása, akár manuálisan, akár a PIM-sel automatizált módon.
Emelt szintű fiókkezelés ajánlott olvasása
Vészhelyzeti hozzáférési fiókok
A Microsoft azt javasolja, hogy a szervezetek két kizárólag felhőalapú segélyhívási fiókkal rendelkezzenek, amelyekhez véglegesen hozzárendelték a globális rendszergazdai szerepkört. Ezek a fiókok kiemelt jogosultságokkal rendelkeznek, és nincsenek meghatározott személyekhez rendelve. A fiókok vészhelyzeti vagy "töréstörési" forgatókönyvekre korlátozódnak, ahol a normál fiókok nem használhatók, vagy az összes többi rendszergazda véletlenül ki van zárva. Ezeket a fiókokat a segélyhívási fiók javaslatait követve kell létrehozni.
Emelt szintű hozzáférés az Azure EA Portalhoz
Az Azure Nagyvállalati Szerződés (Azure EA) portálon Azure-előfizetéseket hozhat létre egy fő Nagyvállalati Szerződés, amely nagyvállalati szerepkör. Gyakran előfordul, hogy a portál létrehozása előtt elindítja a Microsoft Entra-azonosítót. Ebben az esetben a Microsoft Entra-identitásokkal le kell zárni, el kell távolítani a személyes fiókokat a portálról, gondoskodni kell a megfelelő delegálásról, és csökkenteni kell a zárolás kockázatát.
Ha az EA Portal engedélyezési szintje jelenleg "vegyes üzemmódra" van állítva, el kell távolítania minden Microsoft-fiókot az EA Portal összes kiemelt hozzáféréséből, és konfigurálnia kell az EA Portalt, hogy csak Microsoft Entra-fiókokat használjon. Ha az EA Portal delegált szerepkörei nincsenek konfigurálva, a részlegek és fiókok delegált szerepkörei is megtalálhatók és implementálhatók.
Emelt szintű hozzáférés ajánlott olvasása
Jogosultságkezelés
A jogosultságkezelés (EM) lehetővé teszi az alkalmazástulajdonosok számára, hogy erőforrásokat csomagoljanak össze, és hozzárendeljék őket a szervezet adott (belső és külső) személyeinek. Az EM lehetővé teszi az önkiszolgáló regisztrációt és a vállalati tulajdonosok delegálását, miközben a szabályozási szabályzatok biztosítják a hozzáférést, beállítják a hozzáférési időtartamokat és engedélyezik a jóváhagyási munkafolyamatokat.
Feljegyzés
A Microsoft Entra Jogosultságkezeléshez Microsoft Entra ID P2-licencek szükségesek.
Összegzés
A biztonságos identitásszabályozásnak nyolc aspektusa van. Ez a lista segít azonosítani azokat a műveleteket, amelyeket meg kell tenni a nem hátrányos helyzetű és kiemelt identitások hozzáférésének értékeléséhez és igazolásához, valamint a környezet változásainak naplózásához és szabályozásához.
- Tulajdonosok hozzárendelése a fő feladatokhoz.
- Tesztelési stratégia implementálása.
- A Microsoft Entra hozzáférési felülvizsgálatokkal hatékonyan kezelheti a csoporttagságokat, a vállalati alkalmazásokhoz való hozzáférést és a szerepkör-hozzárendeléseket.
- Rendszeres, automatizált hozzáférés-ellenőrzési folyamat létrehozása minden külső identitástípushoz és alkalmazáshozzáféréshez.
- Hozzáférési felülvizsgálati folyamat létrehozása a rendszergazdai hozzáférés rendszeres felülvizsgálatához és kezeléséhez, valamint a Microsoft Entra-azonosítóhoz és az Azure-erőforrásokhoz való megfelelő jogosultságú hozzáférés biztosításához.
- Vészhelyzeti fiókok kiépítése, hogy felkészüljenek a Microsoft Entra-azonosító kezelésére váratlan kimaradások esetén.
- Az Azure EA Portalhoz való hozzáférés zárolása.
- A jogosultságkezelés implementálása az erőforrások gyűjteményéhez való szabályozott hozzáférés biztosításához.
Következő lépések
Ismerkedés a Microsoft Entra működési ellenőrzéseivel és műveleteivel.