Обеспечение безопасного доступа к внутренним приложениям с помощью управления привилегированными учетными записями (PIM) и глобального безопасного доступа.

Обзор

Частный доступ Microsoft Entra обеспечивает безопасный доступ к частным приложениям. Частный доступ включает встроенные возможности для обеспечения безопасной среды. Microsoft Entra Private Access контролирует доступ к частным приложениям и предотвращает подключение несанкционированных или скомпрометированных устройств к критически важным ресурсам. Для общего корпоративного доступа см. Частный доступ Microsoft Entra.

В случае, когда необходимо управлять доступом к определенным критически важным ресурсам, таким как высокоценные серверы и приложения, корпорация Майкрософт рекомендует добавить дополнительный уровень безопасности, применяя доступ с привилегиями по принципу just-in-time поверх их уже защищенного частного доступа.

В этой статье описывается, как использовать Частный доступ Microsoft Entra для включения управления привилегированными идентификациями (PIM) с помощью глобального безопасного доступа. Для получения подробной информации о включении (PIM) см. "Что такое Microsoft Entra Управление привилегированными идентификациями?".

Обеспечение безопасного доступа к частным приложениям с высоким уровнем ценности

Клиенты должны рассмотреть возможность настройки PIM с помощью глобального безопасного доступа для включения:

Улучшенная безопасность: PIM предоставляет привилегированный доступ по востребованию, снижая риск чрезмерного, ненужного или неправильного использования разрешений в вашей среде. Эта улучшенная безопасность соответствует принципу "Нулевое доверие", гарантируя, что пользователи имеют доступ только в том случае, если они нуждаются в нем.

Соответствие требованиям и аудит. Использование PIM с Microsoft Global Secure Access может помочь обеспечить соответствие требованиям вашей организации, предоставив подробный контроль и ведение журнала запросов привилегированного доступа. Для получения сведений о лицензировании PIM см. раздел Основы лицензирования в Microsoft Entra ID Governance

Предварительные требования

Безопасный частный доступ

Чтобы успешно реализовать безопасный закрытый доступ, необходимо выполнить следующие три шага:

  1. Настройка и назначение групп
  2. Активация привилегированного доступа
  3. Следуйте рекомендациям по соответствию требованиям

Шаг 1. Настройка и назначение групп

Чтобы начать, настройте и назначьте группы, создав группу идентификатора Microsoft Entra, настроив ее как управляемую группу PIM, обновите назначения групп с соответствующим членством и укажите доступ для пользователей и устройств.

  1. Войдите в Microsoft Entra в роли администратора привилегированных ролей или выше.

  2. Перейдите к Microsoft Entra ID>Группы>Все группы.

    Снимок экрана: экран

  3. Выберите Создать группу.

  4. В типе группы выберите "Безопасность".

  5. Укажите имя группы; например, FinReport-SeniorAnalyst-SecureAccess.

    • В этом примере имени группы указывается приложение (FinReport), роль (SeniorAnalyst) и природа группы (SecureAccess), выберите имя, которое отражает функцию группы или ресурсы, которые он защищает.

  6. В поле "Тип членства" выберите "Назначено".

  7. Нажмите кнопку создания.

    Снимок экрана: экран

Подключение группы к PIM

  1. Войдите в Microsoft Entra в роли администратора привилегированных ролей или выше.
  2. Перейдите к Управлению идентификаторами>Управлению привилегированными удостоверениями.
  3. Выберите Группы, затем Найти группы.
  4. Выберите созданную группу; Например, FinReport-SeniorAnalyst-SecureAccessвыберите " Управление группами".
  5. При появлении запроса на подключение нажмите кнопку "ОК".

Обновление параметров роли политики PIM (необязательный шаг)

  1. Выберите параметр, а затем выберите "Член".
  2. Настройте любые другие параметры, которые вы хотите настроить на вкладке "Активация ".
  3. Задайте максимальную длительность активации, например 0,5 часа.
  4. В параметре On activation требуется Azure MFA, а затем выберите Обновить.

Назначить допустимое членство

  1. Выберите "Назначения", а затем добавьте назначения.

    Снимок экрана: параметр

  2. В параметре "Роль" выберите "Член", а затем нажмите кнопку "Далее".

  3. Добавьте выбранных участников, которых вы хотите включить в эту роль.

  4. В параметре "Тип назначения" выберите "Подходящий", а затем нажмите кнопку "Назначить".

Назначение быстрого доступа

  1. Войдите в Microsoft Entra в роли администратора привилегированных ролей или выше.
  2. Перейдите к Глобальный безопасный доступ>Быстрый доступ>Пользователи и группы.
  3. Выберите " Добавить пользователя или группу", а затем укажите созданную группу, например FinReport-SeniorAnalyst-SecureAccess.

Примечание.

Этот сценарий наиболее эффективен при выборе доступа для каждого приложения, так как быстрый доступ используется здесь только для справки. При выборе корпоративных приложений выполните те же действия.

Клиентский интерфейс

Даже если пользователь и его устройство соответствуют требованиям безопасности, попытка доступа к привилегированным ресурсам приводит к ошибке. Эта ошибка возникает, потому что Частный доступ Microsoft Entra определяет, что пользователю не предоставлен доступ к приложению.

Снимок экрана: сообщение об ошибке взаимодействия с клиентом.

Шаг 2. Активация привилегированного доступа

Затем мы активируем членство в группах с помощью Центра администрирования Microsoft Entra, а затем попытаемся подключиться к новой роли, активированной.

  1. Войдите в Microsoft Entra.

  2. Перейдите к Управлению идентификаторами>Управлению привилегированными удостоверениями.

  3. Выберите "Мои группы ролей>", чтобы просмотреть все соответствующие назначения.

    Снимок экрана: экран

  4. Выберите " Активировать", а затем введите причину в поле "Причина ". Вы также можете настроить параметры сеанса, а затем нажмите кнопку "Активировать".

    Снимок экрана экрана

  5. После активации роли вы получите подтверждение на портале.

    Скриншот участника, активируемого в портале.

Повторная попытка подключиться с активированной ролью

Просмотрите любой из опубликованных ресурсов, так как вы сможете успешно подключиться к ним.

Снимок экрана: подключение к опубликованному ресурсу.

Деактивация роли

Если работа завершена раньше, чем вы запланировали, вы можете отключить роль. Это действие завершает членство в роли.

  1. Войдите в Microsoft Entra.

  2. Перейдите к Управлению идентификаторами>Управлению привилегированными удостоверениями.

  3. Выберите "Мои роли" и "Группы".

  4. Выберите Деактивировать.

    Снимок экрана: экран деактивации участника.

  5. Подтверждение отправляется вам после деактивации роли.

Шаг 3. Следуйте рекомендациям по соответствию требованиям

Этот заключительный шаг позволяет успешно поддерживать журнал запросов и активаций доступа. Стандартный формат журнала помогает соответствовать рекомендациям по отслеживанию и ведению журнала и предоставлять путь аудита.

Снимок экрана: экран сведений журнала аудита.

  • Last updated on