Behalten Sie die Kontrolle über Azure AD Privileged Identity Management

Während die zunehmende Verlagerung auf Cloud-Dienste den Platzbedarf im Rechenzentrum verringert, kann die zusätzliche Verantwortung für die Sicherung der erweiterten Angriffsfläche die fleißigsten Administratoren belasten.

Auf Onlinedienste wie Office 365-Apps kann über einen Browser problemlos zugegriffen werden, ohne dass ein physischer Zugriff oder ein VPN erforderlich ist. Es ist lediglich ein Satz durchgesickerter administrativer Anmeldeinformationen erforderlich, damit ein Bedrohungsakteur die Kontrolle über die Server und Cloud-Dienste des Unternehmens übernimmt. Administratoren haben verwendet Prinzip des geringsten Privilegs Verringerung der Verwendung von Verwaltungsrollen, um das Risiko eines Verstoßes zu verringern und den Schaden durch Angriffe zu begrenzen, die von privilegierten Konten aus gestartet werden. Während Sicherheitsdienste wie Azure AD Privileged Identity Management den Prozess zur Verwaltung erhöhter Rollen optimieren, müssen Administratoren den Benutzern gewährten Zugriff überwachen und überwachen, um die Einhaltung der Zugriffsrichtlinien und -beschränkungen des Unternehmens zu gewährleisten.

Warum erhöhte Berechtigungen zu Problemen führen können

Bedrohungsakteure gehen weiter um auf privilegierte Konten abzuzielen Zugang zu wichtigen Ressourcen zu erhalten. Durch die Einschränkung der weit verbreiteten Verwendung erhöhter Berechtigungen hätten Angreifer weniger Möglichkeiten, sich seitlich zu bewegen, und Unternehmen würden die Auswirkungen von Verstößen begrenzen.
Um diese potenziellen Risiken von Schäden im Zusammenhang mit erhöhten Rechten zu verringern, bietet das Privileged Identity Management von Microsoft die Funktionalität, um zu beschränken, wer wie lange auf was zugreifen darf. Als Dienst in Azure AD lässt sich Privileged Identity Management in Microsoft Active Directory integrieren, um Administratoren und Auftragnehmern bei Bedarf vorübergehend erhöhte Administratorrechte zuzuweisen. Mit Azure AD Privileged Identity Management können Benutzer eine Verwaltungsrolle in Office 365 anfordern, z. B. einen globalen Administrator oder einen Sicherheitsadministrator und andere Berechtigungen in Azure, um Änderungen vorzunehmen. Diese Anforderungen kommen über das Azure-Portal.
Azure AD Privileged Identity Management erfüllt die Sicherheitsanforderungen in drei Schlüsselbereichen.

1. Workflow-Automatisierung zur Optimierung und Validierung des erhöhten Zugriffs

Die IT erfordert nur in bestimmten Fällen Administratorzugriff: während einer Konfigurationsänderung, einer Überprüfung des Office 365-Administratorportals oder während einer Anwendungsinstallation auf einigen Systemen. Azure AD Privileged Identity Management verwendet einen Genehmigungsworkflow, der die Zugriffsanforderung an die entsprechenden Personen im IT-Team weiterleitet, um die Aktivierung der privilegierten Rolle zu validieren und zu genehmigen.
Die Just-in-Time-Zugriffsfunktion von Azure AD Privileged Identity Management entfernt automatisch die Zuweisungsrolle, die einem Benutzer nach einem bestimmten Zeitraum zugewiesen wurde, den die IT pro Rolle oder Anforderung konfiguriert.

Zugriffsbeschränkungen für Zuweisungsrollen
Azure AD Privileged Identity Management legt ein Zuweisungsdatum für Zuweisungsrollen für temporäre Zugriffszwecke fest.

2. Durchsetzung von Richtlinien für Personen mit erhöhtem Zugriff und für ihre Rollen

Mit der privilegierten Identitätsverwaltung von Azure Active Directory können Administratoren einem Benutzer Administratorzugriff gewähren, während sie weiterhin die Multifaktorauthentifizierung verwenden müssen. Diese zusätzliche Einschränkung stellt die Identität der Person sicher, die das Privileg anfordert, wenn eine neue Rolle für einen Benutzer aktiviert wird.
Die privilegierte Identitätsverwaltung von Azure Active Directory bietet die Möglichkeit, Rollen anzupassen und die verfügbaren Einstellungen für jede anzupassen. Dies gibt dem Unternehmen die Flexibilität, unterschiedliche Konfigurationen basierend auf den unterschiedlichen IT-Anforderungen zu haben.

Details zur Rolleneinstellung
Mit der privilegierten Identitätsverwaltung von Azure Active Directory kann die IT-Abteilung Rollen anpassen, die über die Standardeinstellungen hinausgehen, um mehr Sicherheit zu gewährleisten.

3. Überwachungs- und Bewertungsfunktionen für AD-Rollen

Für große Organisationen mit häufigen Anforderungen an erhöhte Berechtigungen bietet das privilegierte Identitätsmanagement von Azure Active Directory eine effiziente Möglichkeit, alle ausstehenden Rollen zu überprüfen, die möglicherweise widerrufen oder neu bewertet werden müssen. Die Zugriffsüberprüfungsfunktion scannt ausstehenden erhöhten Zugriff und generiert eine umfassende Ansicht der Anforderungen und ihres Status. Die Plattform bietet zusätzliche Berichtsfunktionen für die Prüfung.

Prüfungsverlauf
Der Überwachungsprotokollbericht zeigt die Aktivitäten und Aktivierungen für bestimmte Rollen über einen bestimmten Zeitraum an.

Bereitstellungsphasen für Azure AD Privileged Identity Management

Um Azure AD Privileged Identity Management verwenden zu können, muss eine Organisation über mindestens eine der folgenden Lizenzen oder Bundles verfügen: Microsoft Azure AD Premium P2, Enterprise Mobility + Sicherheit E5, Microsoft Enterprise 365 E5 oder Microsoft 365 Education A5.
Um Azure AD Privileged Identity Management bereitzustellen, müssen Administratoren den Dienst für die Interaktion mit dem lokalen Active Directory konfigurieren.
Der nächste Schritt besteht darin, die verschiedenen Rollen für Zuweisungen vorzubereiten. Die Rollen können bereits vorhanden sein, z. B. die in Office 365 oder Azure integrierten Rollen oder benutzerdefinierte Rollen, die die IT-Organisation mit bestimmten Berechtigungen in ihrem Active Directory erstellt.
Nach dem Definieren der Rollen identifiziert die Organisation die geeigneten Stakeholder, die am Genehmigungsprozess teilnehmen und die Rollenzuweisungsanforderungen überprüfen sollen. Im Allgemeinen gibt es drei Arten von Benutzern, die mit dem System interagieren und definiert werden müssen:

  • die Person (en), die eine Anfrage nach erhöhten Berechtigungen oder zugewiesenen Rollen abzeichnen müssen;
  • die Person (en), die die Anfrage prüfen und Beiträge dazu leisten muss; und
  • Die Person (en), die über die Rollenzuweisung informiert werden müssen, in der Regel der Helpdesk und die Benutzer, die die Anfrage stellen.

Nach diesem Prozess IT kann zeichnen ihre Rollenzuweisung und allgemeine Richtlinien, die für jede erhöhte Rolle implementiert werden müssen.

Similar Posts

Leave a Reply