Azure AD基于角色的访问控制最佳实践:如何有效使用Azure AD角色和权限

教程

Azure AD 角色基础访问控制最佳实践:如何有效使用 Azure AD 角色和权限。您负责管理 Azure AD 角色 并寻求开发基于角色的最佳实践策略吗?

要制定最佳实践策略,首先必须了解 Azure AD 中的角色和基于角色的访问控制概念。本文首先解释了这些 Azure AD 概念。

接着,本指南概述了有效管理 Azure AD 角色和权限的 10 个最佳实践。

也可阅读 Azure AD 自定义角色:为 Azure AD 创建和管理自定义角色

在 Azure AD 中,角色和基于角色的访问控制是什么?Azure AD 使用角色来管理目录资源。向用户或其他对象分配角色被称为 Azure AD 基于角色的 访问控制(Azure AD RBAC)。

Azure AD 使用角色来管理目录资源。将角色分配给用户或其他对象称为基于角色的 Azure AD 访问控制(Azure AD RBAC)

关于角色,Azure AD 提供了多个内置选项,具有特定的权限。然而,可能存在一些罕见的情况,其中内置角色无法完全满足组织的需求。

在这种情况下,管理员创建具有有限权限的自定义角色以解决他们的需求。

Azure AD 内置的 3 个最重要的角色包括计费管理员、用户管理员和全局管理员。要查看 Azure AD 中可用的所有角色,请导航到 Azure Active Directory 门户中的“角色和管理员”。

重要的是要提到,具有免费 Azure AD 订阅的用户可以使用内置角色。然而,用户必须分配 Azure AD Premium P1 许可证才能创建自定义角色。

同时阅读如何在Office 365中实施基于角色的访问控制

Azure AD基于角色的访问控制最佳实践

1. 在可能的情况下使用内置的Azure AD角色

查找现有角色并使用它来分配资源管理。Azure AD拥有70多个内置角色。

然而,如果没有符合您需求的角色,请创建并使用自定义角色。

要检查Azure AD角色,请登录到porta.azure.com。搜索并打开“azure active directory”。

最后,点击“角色和管理员”。

同时阅读Azure AD中基于角色的访问控制的重要性

2. 从最小权限原则的角度处理Azure AD RBAC

“最小权限”原则鼓励授予管理员执行任务所需的显式权限。遵循此指南可以限制对您的环境的风险。

遵循这个原则可能需要创建自定义角色。这是必要的,因为现有角色可能具有比您为特定任务分配的权限更多的权限。

3. 使用即时访问权限限制时间分配权限

“最小权限”方法的另一个功能是限制用户权限的时间。

为了实现这一点,管理员使用Azure AD特权身份管理PIM)。此功能允许将即时访问权限授予另一个管理员。

一旦启用了Azure AD PIM,需要权限的管理员会请求授权。之后,用户在审批者的中批准或拒绝该请求。

通过使用Azure AD基于角色的访问控制,即时访问权限使管理员能够避免授予无限期的权限,这是关键的最佳实践之一。

亦阅读 尝试我们的活动目录报告工具

4. 最小化特权账户的脆弱性和攻击面

Azure AD有一些特权角色,其中全局管理员角色具有最高访问权限。攻击者会针对这些帐户进行攻击,因为获得访问权限可以立即授权他们造成最大的伤害。

因此,减少这些帐户的易受攻击性和攻击面是最佳实践。一个方法是将被分配全局管理员角色的管理员人数限制为最多5个。

为什么这个最佳实践至关重要?

该角色具有修改Microsoft 365租户中的所有资源的完全访问权限。

还阅读检查活动目录锁定用户报告

5.(选项1/2)通过角色设置使用多因素身份验证保护所有管理员帐户

组织可以通过启用多因素身份验证(MFA)进一步减少风险。当为管理员帐户启用MFA时,入侵者需要额外的身份验证才能登录。

这种额外的安全层减少了这个至关重要角色的“攻击面”。

从角色设置中打开 MFA,或通过启用条件访问来打开 MFA。 

要从角色设置中打开 MFA,请登录到 Azure 门户,打开 Azure AD 特权身份管理。点击“Azure AD 角色 -> 角色”。

“角色”页面显示了 Azure 内置和自定义角色的列表。选择要启用 MFA 的管理员角色。 

在角色页面上,点击“角色设置”。

查看“在活动分配上需要 Azure 多重身份验证状态”。 

接下来,点击编辑按钮,为分配给此角色的身份打开 MFA。最后,选择“Azure MFA”,然后点击 更新。 

还阅读 Azure AD 身份保护:检测和响应身份威胁

5.(2 选 2 的选项)通过条件访问策略保护所有管理员帐户,使用多重身份验证

好吧,Azure AD 通过其 条件访问 策略功能提供了更好的选择。 

要通过条件访问策略为管理员帐户启用 MFA,请在 Azure 门户中打开该工具。然后,点击“+ 创建新策略”。

在新的策略页面上命名它,然后点击“用户”部分。在“包含”选项卡中点击“选择用户和组”,然后点击“目录角色”。

最后,点击下拉菜单并选择您想要启用多因素验证的所有管理员角色。

要在该策略中启用多因素认证,请点击“条件”。选择“授予访问权”(默认选择)。

最后,勾选“要求多因素认证”框,然后点击选择

之后,在“启用策略”部分选择一个选项并点击创建

另请参阅:如何启用 Office 365 MFA(多因素认证)

6. 使用访问审查自动撤销不必要的权限

在 Azure AD 租户的生命周期内,会向用户分配角色和权限。随着时间的推移,一些用户可能保留他们不再需要的权限。

为了遵守“最低权限”的最佳实践原则,组织必须制定一项撤销不必要的管理员权限的战略。

定期进行管理员账户的审计或审查。

要创建访问权限,请访问微软页面。同样,查看为Azure AD组应用程序创建审计审查的步骤

7. 将对用户直接分配角色改为分配给组

一些管理员直接将Azure AD角色分配给用户。这是管理权限的错误方式。

最佳实践是将用户添加为组成员,然后为该组分配角色。

例如,如果您需要从用户账户中移除角色,请将用户从组中移除。

另一个重要的最佳实践是给所有组分配所有者。通过分配组所有者,全局管理员间接委派了对该组的控制和管理。

还阅读 设置Azure条件访问 + 多因素认证MFA

8. 使用“砸玻璃”账户以避免全局账户锁定

这应该是您必须实施的 Azure AD 基于角色的访问控制最佳实践清单中的首要事项。想象一下,您的组织 Azure AD 租户中有一个全局管理员帐户被锁定。

为了避免这种消极的体验,Microsoft 建议创建和使用“应急账户”或紧急访问账户。

除了拥有“应急账户”之外,如最佳实践 4 中所述,组织的 Azure AD 租户必须拥有超过一个全局管理员。

实施这一最佳实践可确保业务在一个全局管理员被锁定时不会失去对其 Azure AD 的访问权限。

9. 积极主动地探测和应对身份威胁

积极主动地探测和应对身份威胁是 Azure AD 基于角色的访问控制的重要最佳实践。为了确保早期威胁检测和缓解,请了解如何实施此推荐的最佳实践。阅读我们的文章,了解如何探测和应对身份威胁。

10. 为组实施特权身份管理(PIM)

使用PIMGroups进行高效Azure AD组管理是最后但同样重要的最佳实践。这使得Azure AD管理员能够激活Azure AD 安全组或Microsoft 365组的成员资格或所有权。

通过为组启用PIM,管理员创建了需要批准组成员资格和其他要求如MFA的政策。

也阅读Azure AD条件访问:实现访问策略和控制

Azure AD基于角色的访问控制最佳实践:如何有效使用Azure AD角色和权限结论

总之,有效地使用Azure AD 角色和权限对于一个安全且管理良好的环境至关重要。

这篇文章强调了使用内置的Azure AD角色,应用最小特权原则,并实施即时访问。它还强调了用多重身份验证保护管理员帐户的重要性,以及自动化访问审查。

不仅如此,推荐将角色分配给组,而不是个人用户。此外,拥有“打破玻璃”帐户和积极的威胁检测和响应是关键措施。

最后,为组实施特权身份管理(PIM)可以增加控制和问责。组织实施这些做法是为了确保一个健壮而安全的Azure AD基于角色的访问控制框架

Source:
https://infrasos.com/azure-ad-role-based-access-control-best-practices-how-to-use-azure-ad-roles-and-privileges-effectively/