Microsoft Entra ID 治理的最小特权原则

在实施身份治理策略之前需要解决的一个概念是最小特权原则 (PLOP)。 最小特权是身份治理中的一项原则,涉及仅为用户和组分配履行其职责所需的最低级别的访问权限和权限。 其目的是限制访问权限,以便用户或组可以完成他们的工作,同时也尽量减少可能被攻击者利用或导致安全漏洞的不必要的权限。

对于 Microsoft Entra ID 治理,应用最小特权原则有助于增强安全性和降低风险。 这种方法可确保仅向用户和组授予与其角色和职责相关的资源、数据和操作的访问权限,而不让他们访问超出范围的资源、数据和操作。

最小特权原则的关键概念

  • 仅访问所需资源:只有当用户真正需要执行其任务时,他们才会获配对信息和资源的访问权限。 这可以防止未经授权访问敏感数据并充分减少安全漏洞的潜在影响。 自动执行用户预配有助于减少不必要的访问权限授予。

  • 基于角色的访问控制 (RBAC):访问权限是根据用户的特定角色或工作职能确定的。 为每个角色分配履行职责所需的最低权限。 Microsoft Entra 基于角色的访问控制用于管理对 Microsoft Entra 资源的访问。

  • 实时特权:仅在需要时内授予访问权限,并在不再需要访问权限时撤销。 这减少了攻击者利用过多权限的机会。 Privileged Identity Management (PIM) 是 Microsoft Entra ID 中的一项服务,使你能够管理、控制和监控对组织中重要资源的访问,并提供即时访问。

  • 定期审核和审查:定期审查用户访问权限和权限,以确保用户仍然需要他们获配的访问权限。 这有助于识别和校正任何偏离最小特权原则的行为。 Microsoft Entra ID 中的访问权限审核(Microsoft Entra 的一部分)使组织能够有效地管理组成员身份、企业应用程序的访问权限和角色分配。 可以定期评审用户的访问权限,确保相应人员持续拥有访问权限。

  • 默认拒绝:默认立场是拒绝访问,并且仅针对已批准的目的明确授予访问权限。 这与“默认允许”方法形成对比,后者可能导致授予不必要的权限。 权利管理是一种标识治理功能,通过自动执行访问请求工作流、访问分配、审核和过期,使组织能够大规模管理标识和访问生命周期。

通过遵循最小特权原则,组织可以降低安全问题的风险,并确保访问权限控制与业务需求保持一致。

在标识治理功能中进行管理的最低特权角色

最佳做法是使用最低特权角色在 Identity Governance 中执行管理任务。 建议使用 Microsoft Entra PIM 激活执行这些任务所需的角色。 以下是用于配置标识治理功能的最小特权目录角色

Feature 最小特权角色
权利管理 Identity Governance 管理员
访问评审 用户管理员(Azure 或 Microsoft Entra 角色的访问评审除外,这需要特权角色管理员)
Privileged Identity Management 特权角色管理员
使用条款 安全管理员或条件访问管理员

注意

权利管理的最低特权角色已从“用户管理员”角色更改为“标识治理管理员”角色。