Bestuur van die identiteitslewensiklus met Azure AD Identity Governance

Bestuur van die identiteitslewensiklus met Azure AD Identity Governance

01/01/2025

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en bestuur van die identiteitslewensiklus deur Azure AD Identity Governance te gebruik. In moderne korporatiewe omgewings, waar interne en eksterne gebruikers toegang tot 'n toenemende verskeidenheid hulpbronne en toepassings kry, het die bestuur van wie toegang het tot wat, vir hoe lank en om watter rede 'n komplekse uitdaging geword. Azure AD Identity Governance bied gereedskap om te verseker dat identiteite en hul toegang doeltreffend, veilig en in ooreenstemming met organisasiebeleide bestuur word [1].

Inleiding

Die lewensiklus van 'n identiteit wissel van die skepping daarvan, deur die toekenning van toegang en toestemmings, tot die deaktivering daarvan. Sonder robuuste bestuur kan organisasies oormatige of onnodige toegang (bekend as "privilege creep") ophoop, wat die aanvaloppervlak en die risiko van data-oortredings verhoog. Kompleksiteit neem toe met die behoefte om identiteite van werknemers, vennote, verskaffers en kliënte te bestuur, elk met verskillende toegangsvereistes en geldigheidstydperke. Handmatige prosesse vir die bestuur van hierdie lewensiklus is foutgevoelig, ondoeltreffend en moeilik om te oudit [2].

Azure AD Identity Governance is 'n stel Microsoft Entra ID (voorheen Azure Active Directory)-vermoëns wat ontwerp is om organisasies te help om die lewensiklus van identiteite en toegang op 'n outomatiese en skaalbare manier te bestuur en te bestuur. Dit sluit kenmerke in soos Toegangsresensies, Bevoegdheidsbestuur en Lewensikluswerkvloeie, wat organisasies in staat stel om te verseker dat die regte mense die regte toegang tot die regte hulpbronne op die regte tyd het. Dit is van kritieke belang vir die handhawing van sekuriteitsposisie, die bereiking van regulatoriese voldoening en die optimalisering van IT-bedrywighede [3].

Hierdie praktiese gids sal die sleutelkomponente van Azure AD Identity Governance dek, met 'n fokus op die konfigurasie en gebruik van Access Reviews en Rights Management. Stap-vir-stap instruksies, praktiese voorbeelde en bondige verduidelikings sal verskaf word sodat die leser hierdie kenmerke kan implementeer en valideer. Daarbenewens sal sekuriteitswenke, nakomingskontroles en beste praktyke bespreek word om effektiewe, outonome, professionele en betroubare identiteits- en toegangsbestuur te verseker.

Waarom is Azure AD Identity Governance van kardinale belang?

  • Beginsel van die minste voorreg: Verseker dat gebruikers slegs die toegang het wat nodig is vir hul funksies, wat die risiko van oormatige toegang verminder.
  • Regulatoriese nakoming: Help om te voldoen aan oudit- en voldoeningsvereistes (soos LGPD, GDPR, HIPAA) wat periodieke toegangsoorsigte en streng beheer vereis oor wie toegang tot sensitiewe data het.
  • Sigbaarheid en oudit: Verskaf gedetailleerde verslae oor toegang, wat organisasies in staat stel om te oudit en voldoening te demonstreer.
  • Lewensiklusoutomatisering: Outomatiseer voorsiening, toegangstoewysing en deaktivering van identiteite, verminder administratiewe las en minimaliseer foute.
  • Gastetoegangsbestuur: Vereenvoudig identiteits- en toegangsbestuur vir eksterne gebruikers (vennote, verskaffers), om te verseker dat toegang betyds verleen en herroep word.
  • Risikovermindering: Verminder die risiko van wees- of oorbevoorregte rekeninge wat deur aanvallers uitgebuit kan word.

Voorvereistes

Om Azure AD Identity Governance te gebruik, benodig u die volgende items:

  1. Lisensiëring: Azure AD Identity Governance vereis 'n Microsoft Entra ID P2-lisensie (voorheen Azure AD Premium P2) [4].
  2. Administratiewe toegang: 'n Rekening met die rol van Global Administrator, Identity Governance Administrator of User Administrator in die Azure-portaal (https://portal.azure.com).
  3. Bestaande groepe en toepassings: Azure AD-groepe en/of ondernemingstoepassings waarvoor u toegang wil bestuur.

Stap vir stap: Implementering van Azure AD Identity Governance

Kom ons stel toegangsbeoordelings en regtebestuur op.

1. Toegang tot Azure AD Identity Governance

  1. Maak jou blaaier oop en navigeer naSien die Azure-portaal: https://portal.azure.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. In die boonste soekveld, tik Identity Governance en kies dit uit die resultate.

2. Opstel van 'n toegangsoorsig

Toegangresensies laat organisasies toe om gebruikerstoegang tot bevoorregte groepe, toepassings of funksies periodiek na te gaan, om te verseker dat toegang steeds nodig en toepaslik is.

  1. Kies Toegang tot resensies in die linkernavigasievenster van Identiteitsbestuur.

  2. Klik +New Access Review.

  3. Kies wat om te hersien: Kies die tipe hulpbron om te hersien:

    • Spanne + groepe
    • Toepassings
    • Azure AD-rolle (vir gidsrolle soos Global Administrator)
    • Azure hulpbronrolle (vir Azure RBAC-rolle soos intekeningeienaar)
    • Vir hierdie voorbeeld, kies Spanne + groepe.

  4. Omvang van hersiening: Kies Kies groepe en voeg 'n spesifieke groep (bv. Finansies_Groep) of Alle gasgroepe by.

  5. Hersieningsomvang: Kies Slegs genooide gebruikers of Alle gebruikers.

  6. Beoordelaars: Definieer wie die hersiening sal uitvoer:

    • Groepeienaars (aanbeveel vir groepe)
    • 'Bestuurders' (om toegang vir jou ondergeskiktes te hersien)
    • Geselekteerde gebruikers
    • Vir hierdie voorbeeld, kies Groep Eienaars.

  7. Frekwensie: Definieer die frekwensie van die hersiening (byvoorbeeld: Maandeliks, Kwartaalliks, Jaarliks, Een keer).

  8. Duur: Definieer hoeveel dae die resensie aktief sal wees.
  9. Begindatum: Stel die begindatum vir die hersiening.

  10. Klik Volgende: Instellings.

  11. Instellings:

    • ** Pas resultate outomaties toe op hulpbron**: Kies Aktiveer om die stelsel outomaties toegang te laat verwyder vir gebruikers wat nie goedgekeur is nie.
    • Optrede om te neem by voltooiing: Kies Verwyder toegang.
    • As resensente nie reageer: Kies Verwyder toegang (om te verseker dat toegang verwyder word as daar geen reaksie is nie).
    • Besluitbystand: Aktiveer 'Aanbevelings' en stel 'Geen aanmeldings in X dae' in om beoordelaars te help om ingeligte besluite te neem.
    • Kennisgewings: Stel op of beoordelaars per e-pos in kennis gestel moet word.
    • Herinneringe: Aktiveer Herinneringe.

  12. Klik Volgende: Hersien + skep.

  13. Resensie + skep: Gee die resensie 'n naam (bv: Revisao_Acesso_Financeiro_Trimestral) en 'n beskrywing. Klik op Skep.

    • Verduideliking: Hierdie toegangsoorsig sal kwartaalliks vir Finance_Group uitgevoer word. Groepeienaars sal in kennis gestel word en moet ledetoegang nagaan. As 'n lid nie goedgekeur word nie of die beoordelaar nie reageer nie, sal hul toegang tot die groep outomaties verwyder word.

3. Konfigurasie van entitlement Management

Regtebestuur stel organisasies in staat om die hulpbrontoegangslewensiklus vir interne en eksterne gebruikers te bestuur deur die proses van versoek, goedkeuring, voorsiening en onttrekking van toegang deur "toegangspakkette" te outomatiseer.

  1. Kies Regtebestuur in die linkernavigasievenster van Identiteitsbestuur.

  2. Katalogusse: Skep eers 'n katalogus om jou toegangspakkette te organiseer.

    • Kies Katalogusse > + Nuwe katalogus.
    • Vertoonnaam: Catalogo_Projetos.
    • Beskrywing: Katalogus vir toegang tot projekspesifieke hulpbronne.
    • Geaktiveer: Ja.
    • Klik op Skep.

  3. Toegangspakkette: Skep nou 'n toegangspakket.

    • Kies Toegang tot pakkette > + Nuwe toegangspakket. Basies:
      • Naam: Acesso_Projeto_Alfa.
      • Beskrywing: Toegang tot Project Alpha-hulpbronne.
      • Katalogus: Kies Project_Catalog.
    • Klik op 'Volgende'.

  4. Hulpbronne: Voeg die hulpbronne by wat hierdie toegangspakket sal verleen.

    • Klik op + Voeg groepe en spanne by en voeg 'n groep by (byvoorbeeld: Grupo_Projeto_Alfa).
    • Klik op +Voeg toepassings by en voeg 'n toepassing by (byvoorbeeld: App_Projeto_Alfa).
    • Klik + Voeg hulpbronrolle by (bv. Bydraer in 'n spesifieke hulpbrongroep).
    • Klik op 'Volgende'.

  5. Sonaanhalings: Definieer wie hierdie pakket en die goedkeuringsproses kan aanvra.

    • Gebruikers wat toegang kan versoek: Kies Vir gebruikers in jou gids of Vir gebruikers wat nie in jou gids is nie (vir gaste).
    • Vereis goedkeuring: Kies Ja.
    • Eerste Goedkeurder: Kies Bestuurder of Geselekteerde gebruikers (bv. Alpha-projekbestuurder).
    • Vereis regverdiging: Ja.
    • Vereis goedkeuring van alle geselekteerde goedkeurders: Nee (of Ja, afhangend van jou polis).
    • Aktiveer nuwe versoeke: Ja.
    • Vereis tweede goedkeurder-goedkeuring: Nee (of Ja vir twee-fase-goedkeuring).
    • Klik op 'Volgende'.

  6. Versoekerinligting: Voeg pasgemaakte vrae by wat versoekers moet beantwoord. Klik op Volgende.

  7. Lewensiklus: Definieer hoe lank toegang verleen word en of dit moet verval.

    • Vervaldatum: Kies In aantal dae (bv. 30) of Spesifieke datum.
    • Vereis toeganghersiening om toegang uit te brei: "Ja" (om na te gaan of toegang steeds vereis word voordat dit verval).
    • Laat gebruikers toe om toegang uit te brei: Ja.
    • Vereis goedkeuring om verlenging toe te staan: Ja.
    • Klik op 'Volgende'.

  8. Hersien + skep: Gaan die instellings na en klik Skep.

    • Verduideliking: Hierdie toegangspakket laat interne gebruikers toe om toegang tot Project Alpha-hulpbronne te versoek. Die versoek sal goedkeuring van die Projekbestuurder vereis, en die toegang wat verleen is, sal na 30 dae verval, met die moontlikheid van verlenging by hersiening.

4. Toetsregtebestuur (gebruikerservaring)

  1. Deel die skakel: Nadat jy die toegangspakket geskep het, kopieer die skakel van "My Toegang" (My Toegangsportaal) na die toegangspakket.
  2. Gebruikerservaring: Vra 'n toetsgebruiker (wat nie toegang tot Project Alfa-kenmerke het nie) om na die "My Access"-skakel te navigeer en die Accesso_Projeto_Alfa-pakket aan te vra.
  3. Goedkeurder-ervaring: Die gekonfigureerde goedkeurder (Alpha Project Manager) sal 'n e-poskennisgewing ontvang en moet die versoek in die "My Access"-portaal of die Azure-portaal goedkeur of weier.
  4. Verifikasie: Na goedkeuring moet die toetsgebruiker toegang hê tot die hulpbronne gespesifiseer in die toegangspakket. Kyk of die gebruiker toegang het tot Grupo_Projeto_Alfa en App_Projeto_Alfa.

5. Bestuur van eksterne gebruikers met gekoppelde organisasies

Om eksterne gebruikers te bestuur wat van vennootorganisasies af kom, kan jy Gekoppelde organisasies opstel.

  1. Kies Gekoppelde organisasies in die linkernavigasievenster van Identiteitsbestuur.
  2. Klik + Nuwe gekoppelde organisasie.

  3. Basies:

    • Naam: Vennoot_X.
    • Beskrywing: Vennootorganisasie vir samewerking.
    • Status: Gekonfigureer.
    • Tipe identiteit: Azure AD (as die vennoot Azure AD gebruik) of Eksterne gids.
    • Voeg gids by: Soek vir die vennoot se domein (byvoorbeeld: parceirox.com).
    • Klik op Skep.

  4. Nou, wanneer jy 'n toegangspakket skep, kan jy die versoekbeleid opstel om gebruikers van Partner_X toe te laat om toegang te versoek, wat die aanboordproses vir eksterne medewerkers vereenvoudig.

Sekuriteitswenke en beste praktyke

  • Beginsel van die minste voorreg: Ontwerp altyd jou toegangspakkette en resensies om die minste nodige voorreg te verleen. Hersien gereeld verleende toestemmings.
  • Outomatisering waar ook al moontlik: Gebruik Lewensiklus-werkstrome om gebruikervoorsiening en -onttrekking te outomatiseer, veral vir werknemers en gaste. Gereelde toegangresensies: Skeduleer periodieke toegangsbeoordelings vir alle groepe, toepassings en bevoorregte rolle. Dit verseker dat toegang voortdurend bekragtig word.
  • Toegangsvervalbeleide: Stel toegangsverval op vir toegangspakkette en gasgebruikers. Dit verseker dat toegang outomaties na 'n vasgestelde tydperk herroep word, tensy dit uitdruklik verleng word.
  • Geskikte Goedkeurders: Kies goedkeurders wat voldoende kennis het om ingeligte besluite oor toegangsbehoeftes te neem (bv. hulpbroneienaars, bestuurders).
  • Duidelike dokumentasie: Hou 'nDuidelike dokumentasie oor jou katalogusse, toegangspakkette, toegangsbeleide en resensies. Dit maak jou toegangsmodel makliker om te oudit en te verstaan.
  • Monitering en waarskuwing: Monitor Azure AD-ouditlogboeke vir Identiteitsbestuur-verwante aktiwiteite soos toegangspakketskeppings, toegangsversoeke, goedkeurings en verwyderings. Stel waarskuwings op vir verdagte aktiwiteit.
  • Gebruiker- en Goedkeurder-opvoeding: Lei gebruikers op oor hoe om toegang te versoek via die "My Toegang"-portaal en goedkeurders oor hul verantwoordelikhede om versoeke te hersien en goed te keur.

Algemene probleemoplossing

Gebruiker kan nie toegangspakket aanvra nie: * Kontroleer of die gebruiker by die toegangspakketversoekbeleid ingesluit is (bv. Vir gebruikers in jou gids of Vir gebruikers nie in jou gids nie). * Maak seker dat die toegangspakket 'Aktiveer' is vir nuwe versoeke. * Verifieer dat die gebruiker die toepaslike Azure AD P2-lisensie het. * Goedkeurder ontvang nie versoekkennisgewing nie: * Gaan e-posinstellings na in toegangspakketversoekbeleid. * Maak seker dat die goedkeurder se e-pos korrek is en dat kennisgewings nie deur strooipos gefiltreer word nie. * Gaan die Azure AD oudit logs na om te sien of die versoek gestuur is en of daar enige foute was. * Toeganghersiening begin nie of stel nie beoordelaars in kennis nie: * Gaan die 'Begindatum' en 'Frekwensie' van toegangshersiening na. * Maak seker dat e-poskennisgewinginstellings in Access Review geaktiveer is. * Gaan Azure AD oudit logs na vir gebeure wat verband hou met toegang hersiening. * Toegang word nie outomaties na hersiening verwyder nie: * Maak seker dat die opsie Pas resultate outomaties toe op hulpbron-opsie Aan is in die toegangsoorsig. * Maak seker dat die Optrede om te neem by voltooiing gestel is op Verwyder toegang. * Dit kan 'n rukkie neem vir toegangsverwyderings om verwerk te word nadat die hersiening voltooi is. * Probleme met eksterne/gasgebruikers: * Verifieer dat die gekoppelde organisasie korrek opgestel is en dat die identiteitstipe ooreenstem met die vennootgids. * Verseker dat eksterne samewerking instellings in Azure AD eksterne gebruiker uitnodiging en toegang toelaat.

Gevolgtrekking

Azure AD Identity Governance is 'n kragtige oplossing vir die bestuur van die komplekse lewensiklus van identiteite en toegang in moderne omgewings. Deur toegangsbeoordelings, regtebestuur en lewensikluswerkvloeie te implementeer, kan organisasies verseker dat toegang tot hulpbronne altyd toepaslik, hersien en betyds herroep is. Dit versterk nie net jou sekuriteitsposisie nie, maar help jou ook om regulatoriese voldoening te bereik en operasionele doeltreffendheid te optimaliseer. Met hierdie praktiese gids sal sekuriteitspersoneel en IT-administrateurs goed toegerus wees om Azure AD Identity Governance op te stel, te valideer en te bestuur, en 'n veiliger, gekontroleerde en outomatiese identiteit- en toegangsomgewing vir hul organisasies te bou.

Verwysings:

[1] Microsoft Learn. Wat is Microsoft Entra ID Governance?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/identity-governance-overview [2] Microsoft Learn. Beheer die werknemerlewensiklus met Microsoft Entra Identity Governance. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/govern-the-employee-lifecycle [3] Microsoft Learn. Outomatiseer identiteitslewensiklusbestuur met Microsoft Entra ID Governance. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/scenarios/automate-identity-lifecycle [4] Microsoft Learn. Lisensiëringsvereistes vir Microsoft Entra ID Governance. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/licensing [5] Microsoft Learn. Skep 'n groep- en toepassingstoegangsoorsig in Microsoft Entra ID. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/create-access-review [6] Microsoft Learn. Wat is Microsoft Entra-regtebestuur?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-overview [7] Microsoft Learn. Skep 'n toegangspakket in Microsoft Entra-regtebestuur. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-access-package-create [8] Microsoft Learn. Wat is gekoppelde organisasies in Microsoft Entra-regtebestuur?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/id-governance/entitlement-management-connected-organization