Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны некоторые рекомендации по использованию управления доступом на основе ролей Microsoft Entra (Microsoft Entra RBAC). Эти рекомендации основаны на нашем опыте работы с Microsoft Entra RBAC и опыте таких клиентов, как Вы. Мы рекомендуем также ознакомиться с нашими подробными рекомендациями по обеспечению привилегированного доступа для гибридных и облачных развертываний в идентификаторе Microsoft Entra ID.
1. Применение принципа наименьших привилегий
При планировании стратегии управления доступом рекомендуется управлять с выделением минимальных привилегий. Минимальный уровень привилегий означает, что администраторы получают именно те разрешения, которые им необходимы для работы. Существует три аспекта, которые следует учитывать при назначении роли администраторам: определенный набор разрешений, определенная область, определенный период времени. Старайтесь не назначать более широкие роли в более широких областях, даже если изначально это кажется более удобным. При ограничении ролей и областей вы ограничиваете ресурсы, которые подвержены риску, если субъект безопасности когда-либо будет скомпрометирован. Microsoft Entra RBAC поддерживает более 65 встроенных ролей. Существуют роли Microsoft Entra для управления объектами каталогов, такими как пользователи, группы и приложения, а также управлять службами Microsoft 365, такими как Exchange, SharePoint и Intune. Дополнительные сведения о встроенных ролях Microsoft Entra см. в разделе "Общие сведения о ролях" в идентификаторе Microsoft Entra. Если нет встроенной роли, которая соответствует вашим требованиям, можно создать собственные пользовательские роли.
Поиск правильных ролей
Выполните следующие действия, чтобы найти подходящую роль.
Войдите в Центр администрирования Microsoft Entra.
Перейдите к Entra ID>Роли и администраторы>Все роли.
Используйте фильтр службы , чтобы сузить список ролей.
Ознакомьтесь с документацией по встроенным ролям Microsoft Entra. Разрешения, связанные с каждой ролью, перечислены вместе для повышения удобочитаемости. Сведения о структуре и значении разрешений ролей см. в статье "Как понять разрешения ролей".
Ознакомьтесь с документацией наименьшая привилегированная роль по задачам.
2. Используйте управление привилегированными пользователями, чтобы предоставлять своевременный доступ
Одним из принципов наименьших привилегий является предоставление доступа только при необходимости. Microsoft Entra управление привилегированными пользователями (PIM) позволяет предоставлять администраторам своевременный доступ. Корпорация Майкрософт рекомендует использовать PIM в идентификаторе Microsoft Entra. С помощью PIM пользователь может получить право на роль Microsoft Entra, которую он сможет активировать на ограниченное время при необходимости. Привилегированный доступ автоматически удаляется по истечении интервала. Вы также можете настроить параметры PIM, чтобы требовать утверждения, получать уведомления по электронной почте, когда кто-то активирует назначение роли или другие параметры роли. Уведомления выдают предупреждение, когда новые пользователи назначаются на высокопривилегированные роли. Дополнительные сведения см. в разделе "Настройка параметров роли Microsoft Entra" в службе "Управление привилегированными пользователями".
3. Включение многофакторной проверки подлинности для всех учетных записей администратора
Согласно нашим исследованиям, вероятность компрометации вашей учетной записи снижается на 99,9 % при использовании многофакторной аутентификации (MFA).
Вы можете включить MFA в ролях Microsoft Entra с помощью двух методов:
- Параметры ролей в управлении привилегиями
- Условный доступ
4. Настройте повторяющиеся проверки доступа, чтобы со временем отзывать ненужные разрешения.
Проверка доступа позволяет организациям регулярно проверять доступ администратора, чтобы убедиться, что только нужные люди имеют постоянный доступ. Регулярный аудит для администраторов имеет наиболее важное значение по следующим причинам.
- Злоумышленник может скомпрометировать учетную запись.
- Сотрудники могут переходить между командами внутри компании. Если аудит отсутствует, с течением времени накапливается ненужный доступ.
Корпорация Майкрософт рекомендует использовать проверки доступа для поиска и удаления назначений ролей, которые больше не нужны. Это помогает снизить риск несанкционированного или чрезмерного доступа и поддерживать стандарты соответствия требованиям.
Сведения о проверках доступа для ролей см. в статье "Создание проверки доступа к ресурсу Azure" и ролей Microsoft Entra в PIM. Для информации о проверках доступа групп, которым назначены роли, см. создание проверки доступа групп и приложений в Microsoft Entra ID.
5. Ограничение числа глобальных администраторов до 5
Корпорация Майкрософт рекомендует назначать роль глобального администратора менее чем пяти человекам в вашей организации. Глобальные администраторы, по сути, имеют неограниченный доступ, и это в ваших интересах, чтобы сохранить поверхность атаки низкой. Как упоминалось ранее, все эти учетные записи должны быть защищены с помощью многофакторной проверки подлинности.
Если у вас есть 5 или более привилегированных назначений ролей глобального администратора, на странице обзора Microsoft Entra отображается карточка оповещений глобального администратора, помогая отслеживать назначения ролей глобального администратора.
По умолчанию, когда пользователь регистрируется в облачной службе Microsoft, создается клиент Microsoft Entra, и пользователю назначается роль глобального администратора. Пользователи, которым назначена роль глобального администратора, могут читать и изменять практически все административные параметры в организации Microsoft Entra. Не учитывая нескольких исключений, глобальные администраторы также могут просматривать и изменять все параметры конфигурации в организации Microsoft 365. Глобальные администраторы также могут расширить права доступа для чтения данных.
Корпорация Майкрософт рекомендует организациям постоянно назначать роль глобального администратора двум учетным записям экстренного доступа только в облаке. Такие учетные записи имеют высокий уровень привилегий и не назначаются конкретным лицам. Учетные записи ограничиваются экстренными ситуациями или сценариями чрезвычайного доступа, когда обычные учетные записи не могут быть использованы или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по аварийному доступу .
Ограничьте количество назначений привилегированных ролей до менее чем 10
Некоторые роли включают привилегированные разрешения, такие как возможность обновления учетных данных. Так как эти роли могут привести к повышению привилегий, следует ограничить использование этих привилегированных назначений ролей менее чем на 10 в организации. Если вы превышаете 10 назначений привилегированных ролей, на странице "Роли и администраторы" отображается предупреждение.
Вы можете определить привилегированные роли, разрешения и назначения ролей, ища метку PRIVILEGED. Дополнительные сведения см. в разделе "Привилегированные роли и разрешения" в идентификаторе Microsoft Entra.
7. Использование групп для назначений ролей Microsoft Entra и делегирование назначения ролей
Если у вас есть внешняя система управления, которая использует преимущества групп, следует рассмотреть вопрос о назначении ролей группам Microsoft Entra вместо отдельных пользователей. Можно также управлять группами с назначением роли в PIM, чтобы гарантировать отсутствие фиксированных владельцев или членов в этих привилегированных группах. Дополнительные сведения см. в разделе "Управление привилегированными пользователями" (PIM) для групп.
Вы можете назначить владельца группам, которым можно назначать роли. Этот владелец решает, кто добавляется в группу или удаляется из нее, поэтому косвенно решает, кто получает назначение роли. Таким образом администратор привилегированных ролей может делегировать управление ролями по роли, используя группы. Дополнительные сведения см. в разделе "Использование групп Microsoft Entra" для управления назначениями ролей.
8. Активация нескольких ролей одновременно с помощью PIM для групп
Это может быть так, что у человека есть пять или шесть подходящих назначений для ролей Microsoft Entra через PIM. Пользователям придется активировать каждую роль по отдельности, что может снизить производительность. Что ещё хуже, у них также могут быть назначены десятки или сотни ресурсов Azure, что усугубляет проблему.
В этом случае для групп следует использовать привилегированное управление удостоверениями (PIM). Создайте PIM для групп и предоставьте ему постоянный доступ к нескольким ролям (идентификатор Microsoft Entra и(или) Azure. Сделайте этого пользователя подходящим членом или владельцем этой группы. У них будет доступ ко всем связанным ресурсам после одной активации.
9. Использование облачных собственных учетных записей для ролей Microsoft Entra
Избегайте использования локальных синхронизированных учетных записей для назначений ролей Microsoft Entra. Если локальная учетная запись скомпрометирована, она также может скомпрометирует ресурсы Microsoft Entra.
10. Используйте многоуровневые элементы управления для точного управления доступом
Microsoft Entra ID предоставляет несколько взаимодополняющих возможностей, которые совместно помогают реализовать доступ с минимально необходимыми привилегиями с высокой степенью детализации. Ни одна функция не охватывает каждый сценарий авторизации, поэтому объединить эти элементы управления в слоях на основе требований вашей организации:
| Управление | Что делает | Когда его использовать |
|---|---|---|
| Административные единицы | Ограничьте назначения ролей для определённого подмножества пользователей, групп или устройств. | Делегировать администрирование региональным администраторам или администраторам отдела без предоставления разрешений на уровне клиента. |
| Пользовательские роли | Определяйте роли, предоставляя только те разрешения, которые необходимы для выполнения должностных обязанностей. | Встроенные роли слишком широки или слишком узки для конкретной ответственности. |
| управление привилегированными пользователями (PIM) | Предоставьте оперативную активацию роли по утверждению, ограниченную по времени. | Исключите постоянный привилегированный доступ для пользователей в привилегированных ролях, включая администраторов и разработчиков. |
| Условный доступ | Оцените сигналы в режиме реального времени (риск пользователя, соответствие устройств, расположение, приложение) для принудительного применения или блокировки доступа. | Применение решений доступа на основе контекста, адаптирующихся к изменению условий риска. |
| Управление правами | Объединяйте ресурсы в пакеты доступа с автоматическим запросом, утверждением и рабочими процессами окончания срока действия. | Управление доступом к проектам, командам или совместной работе между организациями в большом масштабе. |
| Непрерывная оценка доступа (CAE) | Повторно проверяйте доступ во время активного сеанса в двух сценариях: при оценке критических событий (например, отключении учетной записи, сбросе пароля или отзыве токена администратора) и при оценке политики условного доступа (например, при изменении сетевого расположения). | Принудительно применяйте изменения политики практически в реальном времени вместо того, чтобы ждать истечения срока действия токена. |
| Пользовательские атрибуты безопасности с управлением доступом Azure на основе атрибутов (ABAC) | Пометьте пользователей и субъекты-службы бизнес-атрибутами, а затем ограничьте доступ к поддерживаемым ресурсам Azure (в настоящее время — к операциям с данными Хранилище BLOB-объектов Azure и Хранилище очередей Azure) с помощью условия атрибута в назначении роли. | Замените большое количество явных назначений ролей одним условным назначением атрибутов и классифицируйте сотни приложений для инвентаризации и отчетности. |
Пример многоуровневого подхода: Назначьте настраиваемую роль, ограниченную административной единицой, чтобы администратор службы технической поддержки региона может сбрасывать пароли только для пользователей в регионе. Требовать активацию PIM, чтобы роль была привязана к времени и основана на утверждении. Примените политику условного доступа, требующую соответствующего устройства и многофакторной проверки подлинности при активации роли администратором. Используйте проверки доступа в управлении правами, чтобы периодически проверить, что администратор по-прежнему нуждается в назначении.
Note
Доступность элементов управления в предыдущей таблице зависит от уровня лицензий Microsoft Entra. Например, для пользовательских ролей и условного доступа требуется Microsoft Entra ID P1, а административные единицы требуют Microsoft Entra ID P1 для администраторов, ограниченных административной единицой (создание и базовое членство доступны с Microsoft Entra ID Бесплатно). Для управление привилегированными пользователями требуется Microsoft Entra ID P2 или Управление Microsoft Entra ID, а для управления назначениями прав доступа и проверок доступа требуются Управление Microsoft Entra ID или Microsoft Entra Suite (некоторые возможности доступны при использовании Microsoft Entra ID P2). Оценка критических событий в рамках Continuous Access Evaluation доступна во всех арендаторах; часть, связанная с оценкой политик условного доступа, зависит от Conditional Access, для которого требуется Microsoft Entra ID P1. Чтобы сравнить, что входит в каждый план, см. Тарифные планы и цены Microsoft Entra.
Сведения о том, что предоставили эти многоуровневые элементы управления, см. в статье "Общие сведения о том, кто имеет доступ к чему".
Дополнительные сведения о разработке стратегии доступа с минимальными привилегиями см. в статье Защита привилегированного доступа для гибридных и облачных развертываний в Microsoft Entra ID.