Das Prinzip der geringsten Rechte mit Microsoft Entra ID Governance

Ein Konzept, das vor der Übernahme einer Identitätsgovernancestrategie behandelt werden muss, ist das Prinzip der geringsten Rechte (PLOP). Beim Prinzip der geringsten Rechte handelt es sich um Identitätsgovernance, die das Zuweisen von Benutzern und Gruppen auf der untersten Zugriffs- und Berechtigungsebene umfasst, die zum Ausführen ihrer Aufgaben erforderlich ist. Die Idee besteht darin, die Zugriffsrechte so einzuschränken, dass ein Benutzer oder eine Gruppe die Arbeit erledigen kann, aber auch unnötige Berechtigungen zu minimieren, die möglicherweise von Angreifern ausgenutzt werden oder zu Sicherheitsverletzungen führen können.

Im Hinblick auf Microsoft Entra ID Governance trägt die Anwendung des Prinzips der geringsten Rechte dazu bei, die Sicherheit zu verbessern und Risiken zu mindern. Dieser Ansatz stellt sicher, dass Benutzern und Gruppen nur Zugriff auf die Ressourcen, Daten und Aktionen gewährt wird, die für ihre Rollen und Zuständigkeiten relevant sind, und nichts darüber hinaus.

Schlüsselkonzepte des Prinzips der geringsten Rechte

  • Zugriff nur auf erforderliche Ressourcen: Benutzern wird nur dann Zugriff auf Informationen und Ressourcen gewährt, wenn sie eine echte Notwendigkeit haben, ihre Aufgaben auszuführen. Dadurch wird der unbefugte Zugriff auf vertrauliche Daten verhindert und die potenziellen Auswirkungen einer Sicherheitsverletzung minimiert. Durch die Automatisierung der Benutzerbereitstellung wird die unnötige Gewährung von Zugriffsrechten reduziert. Lebenszyklus-Workflows ist ein Identity Governance-Feature, mit dem Organisationen Microsoft Entra-Benutzer verwalten können, indem sie die grundlegenden Lebenszyklusprozesse automatisieren.

  • Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC): Zugriffsrechte werden basierend auf den spezifischen Rollen oder Auftragsfunktionen von Benutzern bestimmt. Jeder Rolle werden die Mindestberechtigungen zugewiesen, die erforderlich sind, um ihre Aufgaben zu erfüllen. Microsoft Entra rollenbasierte Zugriffssteuerung verwaltet den Zugriff auf Microsoft Entra Ressourcen.

  • Just-In-Time-Berechtigung: Zugriffsrechte werden nur für die Dauer gewährt, während der sie benötigt werden, und werden widerrufen, wenn sie nicht mehr benötigt werden. Dies reduziert das Zeitfenster für Angreifer, übermäßige Rechte auszunutzen. Privileged Identity Management (PIM) ist ein Dienst in Microsoft Entra ID, mit dem Sie den Zugriff auf wichtige Ressourcen innerhalb Ihrer Organisation verwalten, steuern und überwachen und JIT-Zugriff erteilen können.

  • Regelmäßige Überwachung und Überprüfung: Regelmäßige Überprüfungen des Benutzerzugriffs und der Berechtigungen werden durchgeführt, um sicherzustellen, dass Benutzer weiterhin den Zugriff benötigen, den sie gewährt haben. Dies hilft, Abweichungen vom Prinzip der geringsten Rechte zu identifizieren und zu korrigieren. Mithilfe der Zugriffsüberprüfungen in Microsoft Entra ID, Bestandteil von Microsoft Entra, können Organisationen Gruppenmitgliedschaften, den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen effizient verwalten. Der Benutzerzugriff kann regelmäßig überprüft werden, um sicherzustellen, dass nur die richtigen Personen weiterhin Zugriff haben.

  • Standardmäßig verweigern: Die Standardeinstellung besteht darin, den Zugriff zu verweigern, und der Zugriff wird nur zu genehmigten Zwecken explizit gewährt. Dies unterscheidet sich vom Ansatz „Standardmäßig zulassen“, der dazu führen kann, unnötige Berechtigungen zu gewähren. Die Berechtigungsverwaltung ist ein Identity Governance-Feature, mit dem Organisationen Identitäts- und Zugriffslebenszyklen nach Bedarf verwalten können, indem sie Workflows für Zugriffsanforderungen, Zugriffszuweisungen, Überprüfungen und Ablauf automatisieren.

Durch die Einhaltung des Prinzips der geringsten Rechte kann Ihre Organisation das Risiko von Sicherheitsproblemen verringern und sicherstellen, dass Zugriffskontrollen den geschäftlichen Anforderungen entsprechen.

Die am wenigsten privilegierten Rollen für die Verwaltung von Identity Governance-Funktionen

Für die Ausführung administrativer Aufgaben in Identity Governance gilt die Verwendung der Rolle mit den geringsten Rechten als bewährte Methode. Es wird empfohlen, Microsoft Entra PIM zu verwenden, um nach Bedarf eine Rolle zum Ausführen dieser Aufgaben zu aktivieren. Nachfolgend werden die Verzeichnisrollen mit den geringsten Rechten zum Konfigurieren von Identitätsgovernancefeatures aufgeführt:

Funktion Am wenigsten privilegierte Rolle
Berechtigungsverwaltung Identity Governance-Administrator
Zugriffsüberprüfungen Benutzeradministrator (mit Ausnahme von Zugriffsüberprüfungen für Azure- oder Microsoft Entra-Rollen, wofür ein Administrator für privilegierte Rollen erforderlich ist)
Lebenszyklus-Workflows Lebenszyklus-Workflowadministrator
Privileged Identity Management Administrator für privilegierte Rollen
Nutzungsbedingungen Sicherheitsadministrator oder Administrator für bedingten Zugriff

Hinweis

Die Rolle mit den geringsten Berechtigungen für die Berechtigungsverwaltung wird von der Rolle „Benutzeradministrator“ in die Rolle „Identity Governance-Administrator“ geändert.