पीआईएम (विशेषाधिकार प्राप्त पहचान प्रबंधन) के साथ विशेषाधिकार प्राप्त पहुंच की सुरक्षा करना

पीआईएम (विशेषाधिकार प्राप्त पहचान प्रबंधन) के साथ विशेषाधिकार प्राप्त पहुंच की सुरक्षा करना

04/15/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य Microsoft Entra ID (पूर्व में Azure सक्रिय निर्देशिका) में विशेषाधिकार प्राप्त पहचान प्रबंधन (PIM) को लागू करने और प्रबंधित करने में सुरक्षा विश्लेषकों, IT प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। पीआईएम एक ऐसी सेवा है जो आपको अपने संगठन में महत्वपूर्ण संसाधनों तक पहुंच का प्रबंधन, नियंत्रण और निगरानी करने की अनुमति देती है, विशेषाधिकार प्राप्त कार्यों तक जस्ट-इन-टाइम (जेआईटी) और जस्ट-इनफ एक्सेस (जेईए) पहुंच प्रदान करती है, जिससे विशेषाधिकार के दुरुपयोग का जोखिम कम हो जाता है [1]।

परिचय

प्रशासनिक विशेषाधिकार वाले खाते साइबर हमलों के लिए प्रमुख लक्ष्य हैं, क्योंकि उनके समझौते से किसी संगठन के सिस्टम और डेटा पर पूर्ण नियंत्रण हो सकता है। पारंपरिक सुरक्षा मॉडल, जहां विशेषाधिकार प्राप्त खाते स्थायी रूप से सौंपे जाते हैं, हमले की सतह और हमलावरों द्वारा पार्श्व आंदोलन के जोखिम को बढ़ाता है। पीआईएम इस चुनौती को "जस्ट-इन-टाइम" (जेआईटी) और "जस्ट-इनफ-एक्सेस" (जेईए) एक्सेस की अवधारणा पेश करके संबोधित करता है, यह सुनिश्चित करते हुए कि उपयोगकर्ताओं को केवल आवश्यक होने पर और सख्ती से आवश्यक समय के लिए विशेषाधिकार प्राप्त हैं [2]।

यह व्यावहारिक मार्गदर्शिका Microsoft Entra ID में PIM कॉन्फ़िगरेशन को कवर करेगी, सेवा को सक्रिय करने से लेकर भूमिकाओं के लिए पात्रता निर्दिष्ट करने, सक्रियण नीतियों को कॉन्फ़िगर करने और एक विशेषाधिकार प्राप्त भूमिका को सक्रिय करने की प्रक्रिया तक। चरण-दर-चरण निर्देश, व्यावहारिक उदाहरण और सत्यापन विधियां प्रदान की जाएंगी ताकि पाठक अपने Microsoft वातावरण में विशेषाधिकार प्राप्त पहुंच सुरक्षा को लागू और मजबूत कर सकें, जोखिम जोखिम को कम कर सकें और अनुपालन सुनिश्चित कर सकें।

विशेषाधिकार प्राप्त पहचान प्रबंधन क्यों महत्वपूर्ण है?

  • हमले की सतह में कमी: विशेषाधिकार प्राप्त खातों के सक्रिय रहने के समय को कम करता है, जिससे हमलावरों के लिए अवसर कम हो जाते हैं।
  • जेआईटी/जेईए एक्सेस: जीरो ट्रस्ट सिद्धांतों के अनुरूप, कम से कम विशेषाधिकारों के साथ अस्थायी पहुंच प्रदान करता है।
  • दृश्यता और ऑडिटिंग: सभी विशेषाधिकार प्राप्त फ़ंक्शन सक्रियणों के विस्तृत लॉग प्रदान करता है, जिससे ऑडिटिंग और अनुपालन की सुविधा मिलती है।
  • अनुमोदन प्रवाह: सुरक्षा की एक अतिरिक्त परत जोड़कर, आपको महत्वपूर्ण कार्यों के सक्रियण के लिए अनुमोदन की आवश्यकता की अनुमति देता है।
  • एक्सेस समीक्षा: यह सुनिश्चित करने के लिए समय-समय पर एक्सेस समीक्षा की सुविधा प्रदान करता है कि दिए गए विशेषाधिकार अभी भी उपयुक्त हैं।

पूर्वावश्यकताएँ

विशेषाधिकार प्राप्त पहचान प्रबंधन (पीआईएम) को लागू करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. लाइसेंसिंग: एक Microsoft नामांकन आईडी प्रीमियम P2 (पूर्व में Azure AD प्रीमियम P2) लाइसेंस। पीआईएम इस लाइसेंस की एक अनूठी विशेषता है [3]।
  2. प्रशासनिक पहुंच: माइक्रोसॉफ्ट में ग्लोबल एडमिनिस्ट्रेटर या विशेषाधिकार प्राप्त भूमिका प्रशासक की भूमिका वाला एक खाता, पीआईएम को कॉन्फ़िगर करने के लिए आईडी दर्ज करें।
  3. उपयोगकर्ता और समूह: माइक्रोसॉफ्ट एंट्रा आईडी पर उपयोगकर्ता और/या सुरक्षा समूह जिन्हें विशेषाधिकार प्राप्त पहुंच की आवश्यकता होगी।

चरण दर चरण: पीआईएम को कॉन्फ़िगर करना और उसका उपयोग करना

हम ग्लोबल एडमिनिस्ट्रेटर जैसी महत्वपूर्ण प्रशासनिक भूमिका के लिए पीआईएम को कॉन्फ़िगर करेंगे, और सक्रियण प्रक्रिया का प्रदर्शन करेंगे।

1. माइक्रोसॉफ्ट एंट्रा आईडी पर पीआईएम सक्रिय करना

यदि आपके किरायेदार में पीआईएम पहले से सक्रिय नहीं है, तो आपको इसे सक्रिय करना होगा।

  1. Microsoft Entra एडमिन सेंटर पोर्टल तक पहुंचें: https://entra.microsoft.com
  2. बाएँ नेविगेशन फलक में, पहचान शासन > विशेषाधिकार प्राप्त पहचान प्रबंधन चुनें।
  3. यदि यह आपकी पहली बार है, तो आपको पीआईएम सक्षम करें का विकल्प दिखाई देगा। इस पर क्लिक करें।

2. किसी भूमिका के लिए पात्रता निर्दिष्ट करना

सबसे पहले, आइए एक उपयोगकर्ता को वैश्विक प्रशासक भूमिका के लिए योग्य बनाएं।

  1. पीआईएम बाएँ नेविगेशन फलक में, Microsoft Entra Roles > Roles चुनें।
  2. भूमिकाओं की सूची में, ग्लोबल एडमिनिस्ट्रेटर देखें और उस पर क्लिक करें।

  3. वैश्विक प्रशासक भूमिका विवरण पृष्ठ पर, भूमिकाएँ जोड़ें पर क्लिक करें।

  4. असाइनमेंट जोड़ें अनुभाग में, सदस्यों का चयन करें पर क्लिक करें।

  5. उस उपयोगकर्ता(उपयोगकर्ताओं) या समूह(समूहों) को खोजें और चुनें जिन्हें आप इस भूमिका के लिए योग्य बनाना चाहते हैं। चयन करें पर क्लिक करें।
  6. असाइनमेंट प्रकार के अंतर्गत, योग्य चुनें।
  7. स्थायी असाइनमेंट के तहत, आप पात्रता के लिए प्रारंभ और समाप्ति तिथि निर्धारित कर सकते हैं, या इसे स्थायी बना सकते हैं। अत्यधिक विशेषाधिकार प्राप्त भूमिकाओं के लिए, स्थायी असाइनमेंट से बचना चाहिए, लेकिन उद्देश्य के लिएप्रदर्शन प्रयोजनों के लिए, हम इसे वैसे ही छोड़ सकते हैं।
  8. असाइन करें पर क्लिक करें।

3. भूमिका सेटिंग्स कॉन्फ़िगर करना

भूमिका परिभाषाएँ नियंत्रित करती हैं कि उपयोगकर्ता अपने विशेषाधिकारों को कैसे सक्रिय कर सकते हैं।

  1. पीआईएम बाएँ नेविगेशन फलक में, Microsoft Entra Functions > सेटिंग्स चुनें।

  2. भूमिकाओं की सूची में, वैश्विक प्रशासक खोजें और संपादित करें पर क्लिक करें।

  3. सक्रियण अनुभाग में:

    • अधिकतम सक्रियण अवधि: परिभाषित करें कि उपयोगकर्ता अधिकतम समय तक फ़ंक्शन को सक्रिय रख सकता है (उदाहरण: 4 घंटे)। एक छोटी अवधि की अनुशंसा की जाती है.
    • सक्रियण पर बहु-कारक प्रमाणीकरण की आवश्यकता: इस विकल्प को जांचें। सभी विशेषाधिकार प्राप्त भूमिकाओं के लिए अत्यधिक अनुशंसित
    • सक्रियण पर औचित्य की आवश्यकता: इस विकल्प का चयन करें। उपयोगकर्ताओं को सक्रियण का कारण बताना आवश्यक होगा।
    • सक्रिय करने के लिए अनुमोदन की आवश्यकता है: अनुमोदन प्रवाह जोड़ने के लिए इस विकल्प को जांचें। अनुमोदनकर्ताओं का चयन करें पर क्लिक करें और एक या अधिक उपयोगकर्ता/समूह जोड़ें जो सक्रियण अनुरोधों को स्वीकृत कर सकते हैं।
  4. असाइनमेंट अनुभाग में:
    • स्थायी योग्य असाइनमेंट की अनुमति दें: ग्लोबल एडमिन के लिए, सभी असाइनमेंट को अस्थायी बनाने के लिए इस विकल्प को अक्षम करने पर विचार करें।
  5. अधिसूचना अनुभाग में:
    • कॉन्फ़िगर करें कि फ़ंक्शन के सक्रियण के बारे में किसे सूचित किया जाना चाहिए।
  6. सेटिंग्स को सहेजने के लिए अपडेट पर क्लिक करें।

4. एक विशेषाधिकार प्राप्त फ़ंक्शन को सक्षम करना (उपयोगकर्ता अनुभव)

अब, आइए प्रदर्शित करें कि एक योग्य उपयोगकर्ता वैश्विक प्रशासक भूमिका को कैसे सक्रिय करता है।

  1. योग्य उपयोगकर्ता Microsoft Entra एडमिन सेंटर पोर्टल तक पहुँचता है: https://entra.microsoft.com
  2. पहचान शासन > विशेषाधिकार प्राप्त पहचान प्रबंधन पर नेविगेट करें।
  3. बाएँ नेविगेशन फलक में, मेरी भूमिकाएँ > Microsoft लॉगिन भूमिकाएँ चुनें।
  4. योग्य भूमिकाएँ टैब में, उपयोगकर्ता को वैश्विक प्रशासक भूमिका दिखाई देगी।

  5. वैश्विक प्रशासक भूमिका के आगे सक्षम पर क्लिक करें।

  6. सक्रियण विंडो में:

    • अवधि: उपयोगकर्ता सक्रियण अवधि निर्दिष्ट कर सकता है (फ़ंक्शन परिभाषाओं में परिभाषित अधिकतम अवधि तक सीमित)।
    • कारण: उपयोगकर्ता को सक्रियण के लिए एक औचित्य प्रदान करना होगा (उदाहरण के लिए सर्वर एक्स पर रखरखाव करें)।
    • (यदि कॉन्फ़िगर किया गया है) सुरक्षा जांच: उपयोगकर्ता को एमएफए जांच करने के लिए प्रेरित किया जा सकता है।

  7. सक्रिय करें पर क्लिक करें।

  8. यदि अनुमोदन की आवश्यकता है, तो अनुरोध अनुमोदनकर्ताओं को भेजा जाएगा। उपयोगकर्ता को स्थिति 'लंबित अनुमोदन' के रूप में दिखाई देगी।

5. सक्रियण अनुरोध को स्वीकृत करना (अनुमोदनकर्ता अनुभव)

एक नामित अनुमोदनकर्ता को सक्रियण अनुरोध के बारे में एक अधिसूचना (ईमेल के माध्यम से या पीआईएम पोर्टल में) प्राप्त होगी।

  1. अनुमोदक Microsoft Entra एडमिन सेंटर पोर्टल तक पहुँचता है: https://entra.microsoft.com
  2. पहचान शासन > विशेषाधिकार प्राप्त पहचान प्रबंधन पर नेविगेट करें।
  3. बाएं नेविगेशन फलक में, अनुरोध स्वीकृत करें चुनें।
  4. अनुमोदनकर्ता लंबित अनुरोध को देखेगा। विवरण देखने के लिए इस पर क्लिक करें।

  5. अनुमोदनकर्ता औचित्य प्रदान करते हुए अनुरोध को स्वीकृत या अस्वीकार कर सकता है।

  6. अनुमोदन के बाद, अनुरोध करने वाले उपयोगकर्ता के पास निर्दिष्ट अवधि के लिए सक्रिय भूमिका होगी।

सत्यापन और परीक्षण

यह सुनिश्चित करने के लिए कि विशेषाधिकार प्राप्त पहुंच नियंत्रण अपेक्षा के अनुरूप काम कर रहे हैं, आपके पीआईएम कार्यान्वयन को मान्य करना महत्वपूर्ण है।

1. सक्रियण स्थिति की जाँच करना

  1. सक्रियण (और अनुमोदन, यदि लागू हो) के बाद, उपयोगकर्ता पीआईएम में मेरी भूमिकाएं > माइक्रोसॉफ्ट लॉगिन भूमिकाएं पृष्ठ पर वापस आ सकता है।
  2. सक्रिय भूमिकाएँ टैब में, वैश्विक प्रशासक भूमिका सक्रिय स्थिति और शेष समय के साथ दिखाई देनी चाहिए।

2. उन्नत विशेषाधिकार पहुंच का परीक्षण

  1. फ़ंक्शन सक्रिय होने के साथ, उपयोगकर्ता को संसाधनों तक पहुंचने या 'वैश्विक प्रशासक' भूमिका की आवश्यकता वाले कार्यों को करने का प्रयास करना चाहिए (उदाहरण के लिए माइक्रोसॉफ्ट एंट्रा आईडी में एक नया उपयोगकर्ता बनाएं)।
  2. क्रिया सफल होनी चाहिए.

3. पीआईएम ऑडिट लॉग की जाँच करना

  1. पीआईएम बाएँ नेविगेशन फलक में, ऑडिट > माइक्रोसॉफ्ट एंट्रा रोल ऑडिट चुनें।
  2. भूमिका सक्रियण, अनुमोदन और अन्य पीआईएम-संबंधित गतिविधियों को देखने के लिए लॉग फ़िल्टर करें। यह इस बात का पूरा रिकॉर्ड प्रदान करता है कि किसने, कब, कितने समय के लिए और किस औचित्य के साथ कौन सा फ़ंक्शन सक्रिय किया।

4. सक्रियण समाप्ति का परीक्षण

सक्रियण समय समाप्त होने के बाद, उपयोगकर्ता को खोना होगास्वचालित रूप से उन्नत विशेषाधिकार। विशेषाधिकार प्राप्त क्रिया को दोबारा करने का प्रयास करें; वह असफल होनी चाहिए.

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • न्यूनतम विशेषाधिकार का सिद्धांत: उपयोगकर्ता को अपने कार्य करने के लिए केवल आवश्यक भूमिकाएँ सौंपें। यदि कम विशेषाधिकार प्राप्त भूमिका पर्याप्त होगी तो 'वैश्विक प्रशासक' नियुक्त करने से बचें।
  • पात्रता असाइनमेंट बनाम सक्रिय असाइनमेंट: जब भी संभव हो, विशेषाधिकार प्राप्त भूमिकाओं के लिए स्थायी सक्रिय असाइनमेंट के बजाय योग्य का उपयोग करें।
  • एमएफए अनिवार्य: विशेषाधिकार प्राप्त कार्यों को सक्रिय करने के लिए हमेशा एमएफए की आवश्यकता होती है। यह सुरक्षा की एक महत्वपूर्ण परत जोड़ता है।
  • आवश्यक औचित्य: उपयोगकर्ताओं को प्रत्येक सक्रियण के लिए औचित्य प्रदान करना आवश्यक है। इससे ऑडिटिंग और पहुंच के उद्देश्य को समझने में मदद मिलती है।
  • अनुमोदन प्रवाह: महत्वपूर्ण कार्यों के लिए, यह सुनिश्चित करने के लिए अनुमोदन प्रवाह कॉन्फ़िगर करें कि सक्रियणों की समीक्षा और अधिकृत किसी अन्य व्यक्ति द्वारा की जाती है।
  • पहुंच समीक्षा: विशेषाधिकार प्राप्त भूमिकाओं के लिए पात्रता अभी भी उपयुक्त है यह सुनिश्चित करने के लिए पीआईएम में नियमित पहुंच समीक्षा शेड्यूल करें और अनावश्यक असाइनमेंट हटा दें।
  • सूचनाएँ: विशेषाधिकार प्राप्त भूमिकाएँ सक्रिय होने या संदिग्ध गतिविधि होने पर प्रशासकों के लिए सूचनाएं कॉन्फ़िगर करें।
  • सशर्त पहुंच के साथ एकीकरण: पीआईएम कार्यों को सक्रिय करते समय अतिरिक्त नीतियों को लागू करने के लिए सशर्त पहुंच का उपयोग करें (उदाहरण के लिए, किसी समर्थित डिवाइस या विश्वसनीय नेटवर्क स्थान से सक्रियण की आवश्यकता होती है)।

सामान्य समस्या निवारण

  • उपयोगकर्ता फ़ंक्शन को सक्रिय नहीं कर सकता: जांचें कि क्या उपयोगकर्ता के पास Microsoft Entra ID प्रीमियम P2 लाइसेंस है। जांचें कि क्या वह भूमिका के लिए पात्र लोगों की सूची में है। भूमिका सेटिंग्स की जाँच करें (उदाहरण के लिए, क्या एमएफए की आवश्यकता है और उपयोगकर्ता ने इसे कॉन्फ़िगर नहीं किया है)।
  • फ़ंक्शन सक्रियण विफल: त्रुटि संदेशों के लिए पीआईएम ऑडिट लॉग की जाँच करें। यह एमएफए की विफलता, औचित्य की कमी या किसी अनुमोदनकर्ता द्वारा अस्वीकृति के कारण हो सकता है।
  • अनुमोदनकर्ताओं को सूचनाएं प्राप्त नहीं होतीं: भूमिका सेटिंग्स में अधिसूचना सेटिंग्स की जांच करें। सुनिश्चित करें कि अनुमोदनकर्ताओं के ईमेल पते सही हैं और सूचनाओं को अवरुद्ध करने वाले कोई इनबॉक्स नियम नहीं हैं।
  • फ़ंक्शन स्वचालित रूप से निष्क्रिय नहीं होता: फ़ंक्शन सेटिंग्स में अधिकतम सक्रियण अवधि की जाँच करें। यदि समस्या बनी रहती है, तो यह सेवा सिंक्रनाइज़ेशन में देरी के कारण हो सकता है।
  • अनुमति विरोध: यदि किसी उपयोगकर्ता के पास पीआईएम भूमिका और नियमित भूमिका के माध्यम से समान अनुमति है, तो नियमित भूमिका मान्य होगी। उन उपयोगकर्ताओं के लिए स्थायी विशेषाधिकार प्राप्त भूमिका असाइनमेंट को हटाना अच्छा अभ्यास है जो पीआईएम के माध्यम से भी पात्र हैं।

निष्कर्ष

माइक्रोसॉफ्ट एंट्रा प्रिविलेज्ड आइडेंटिटी मैनेजमेंट (पीआईएम) किसी भी संगठन के लिए एक अनिवार्य उपकरण है जो अपनी विशेषाधिकार प्राप्त पहुंच की रक्षा करना चाहता है और अपनी सुरक्षा स्थिति को मजबूत करना चाहता है। जस्ट-इन-टाइम और जस्ट-इनफ एक्सेस सिद्धांतों को अपनाकर, पीआईएम हमले की सतह को काफी कम करने में मदद करता है, एक विस्तृत ऑडिट ट्रेल प्रदान करता है, और प्रशासनिक कार्यों पर सख्त नियंत्रण लगाता है। पीआईएम का सावधानीपूर्वक कार्यान्वयन, सुरक्षा सर्वोत्तम प्रथाओं और उपयोगकर्ता प्रशिक्षण के साथ मिलकर, आईटी और सुरक्षा टीमों को विशेषाधिकारों को प्रभावी ढंग से प्रबंधित करने, समझौता किए गए विशेषाधिकार प्राप्त खातों से जुड़े जोखिमों को कम करने और अधिक सुरक्षित और अनुपालन वातावरण सुनिश्चित करने के लिए सशक्त बनाता है।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। माइक्रोसॉफ्ट एंट्रा प्रिविलेज्ड आइडेंटिटी मैनेजमेंट क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] माइक्रोसॉफ्ट लर्न। शून्य विश्वास मार्गदर्शक सिद्धांत। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] माइक्रोसॉफ्ट लर्न। माइक्रोसॉफ्ट एंट्रा प्रिविलेज्ड आइडेंटिटी मैनेजमेंट के लिए लाइसेंसिंग आवश्यकताएँ। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements