Роли с повышенными привилегиями в Azure AD: Управление и мониторинг привилегированных доступов. Хотите эффективно управлять и контролировать роли с привилегиями и доступ в Azure AD? В этой статье предоставляется всесторонняя информация, чтобы помочь вам успешно достичь этой цели.
Для выполнения этого требования статья начинается с объяснения привилегированных ролей Azure AD. Мы объясняем, что это означает и почему важно контролировать эти роли.
После этого мы предлагаем 3 способа использовать инструменты Azure Active Directory для мониторинга и управления привилегированными или усовершенствованными разрешениями.
Что такое роли с повышенными привилегиями в Azure Active Directory
Когда роль непосредственно назначается пользователю или через группу, пользователь получает разрешения, связанные с этой ролью. Однако это только начало.
Помимо предоставления разрешений через назначение ролей Azure AD, администраторы информационной безопасности должны убедиться, что их стратегия безопасности проходит три теста.
Сначала необходимо убедиться, что администраторам ИТ не предоставляются ненужные полномочия за пределами их рабочих требований. Кроме того, привилегированный доступ должен предоставляться только на ограниченные сроки.
Наконец, регулярное мониторинг ролей, привилегий и разрешений имеет решающее значение для выявления и отзыва избыточных полномочий пользователей.
К счастью, Azure Active Directory предоставляет различные инструменты и функции для удовлетворения этих требований управления ролями и разрешениями.
В последующих разделах этой статьи мы объясним различные методы мониторинга и управления привилегированным доступом Azure AD.
Как управлять и мониторить привилегированные роли в Azure Active Directory
Вариант 1: Создание обзора доступа к ролям Azure AD в PIM
Требования пользователей к привилегированному доступу периодически изменяются. В результате регулярный мониторинг необходим для обеспечения назначения пользователям точно таких разрешений, которые им необходимы.
Azure AD Privileged Identity Management (PIM) предлагает возможность создавать обзоры доступа для привилегированного доступа. Конкретно, обзоры доступа создаются для мониторинга привилегированного доступа к ресурсам Azure или ролям Azure Active Directory.
Однако перед созданием обзоров доступа убедитесь, что ваша учетная запись соответствует требованиям по лицензированию и ролевым назначениям.
Для этого необходима лицензия Azure AD Premium P2. Кроме того, для создания обзоров доступа пользователю должна быть назначена роль Глобального администратора или роль Администратора привилегированных ролей.
Если ваша учетная запись соответствует требованиям по лицензированию и назначению ролей, выполните следующие шаги для создания обзоров доступа для ролей Azure AD:
1. Войдите в portal.azure.com, найдите “Identity Governance” и откройте сервис.
2. Как только страница откроется, перейдите в раздел “Привилегированный управление идентичностью” и выберите “Роли Azure AD”.
3. Затем выберите “Роли Azure AD” в меню “Управление”, затем, в разделе “Управление”, нажмите “Обзоры доступа”, а затем “Создать”, чтобы создать новый обзор доступа.
4. Наконец, введите необходимые данные на странице “Создать обзор доступа” и нажмите “Начать”.
Если вам нужна помощь в определении того, какие параметры использовать при создании вашего обзора доступа, получите объяснения разделов обзора доступа.
Также прочтите Важность управления доступом на основе ролей в Azure AD
Вариант 2: Перечислите назначенные роли Azure AD для пользователей или групп
Сервис Azure Active Directory позволяет проверить назначенную роль пользователям или группам. Это делается путем просмотра отдельных назначений ролей.
Следуйте этим шагам, чтобы просмотреть назначения ролей для пользователя или группы.
1. Войдите в portal.azure.com и откройте Azure Active Directory. Затем нажмите на меню “Пользователи” или “Группы”.
I will click Groups to show how to list the role assignment for a group.
2. Если вы просматриваете назначение роли для группы, выберите ее из списка. В противном случае воспользуйтесь полем поиска.
3. Наконец, нажмите “Назначенные роли”, чтобы отобразить список всех назначенных ролей Azure Identity.
Вариант 3: Просмотр истории аудита ресурсов ролей Azure AD
Управление привилегированным идентификационным управлением Azure (PIM) хранит историю аудита в течение 30 дней всех привилегированных назначений или удалений ролей. Администраторы ИТ используют этот инструмент, чтобы определить, кому была назначена привилегированная роль за последние 30 дней.
Вот шаги для использования журнала “Аудит ресурсов” в Azure PIM:
1. Откройте “Привилегированное управление идентификацией” в портале Azure. Затем выберите “Роли Azure AD” в меню Управление.
2. Как только откроется страница Azure Privileged Identity Management, выберите “Resource audit” в меню Activity.
Фильтр “Time span” по умолчанию – “Последний день”. Поэтому, если журнал пуст, измените фильтр на “Последний месяц”.
Привилегированные роли Azure AD: Управление и мониторинг привилегированного доступа Заключение
Azure AD предлагает организациям до 60 привилегированных ролей, которые могут быть назначены для выполнения конкретных функций. Однако организации должны активно мониторить назначения ролей по двум причинам.
Во-первых, убедитесь, что пользователи не имеют больше разрешений, чем необходимо для выполнения своих обязанностей. Во-вторых, мониторинг назначений ролей гарантирует, что пользователи не будут назначены привилегированными ролями дольше необходимого.
Чтобы помочь вам достичь двух целей, в этой статье объясняется, что такое привилегированные роли. Кроме того, рассмотрены три метода Управления и мониторинга привилегированного доступа в Azure AD.
Source:
https://infrasos.com/azure-ad-privileged-roles-manage-monitor-privileged-access/