การทำความเข้าใจ Microsoft Identity and Access Management: ทุกสิ่งที่คุณจำเป็นต้องรู้

คุณรู้หรือไม่ว่าในปี 2018 อาชญากรไซเบอร์สูญเสียเงินไป 445 ล้านเหรียญสหรัฐ

ตามรายงานการสอบสวนการละเมิดข้อมูลของ Verizon ปี 2019 พบว่า 80% ของการโจมตีในรูปแบบแฮ็กเกี่ยวข้องกับข้อมูลประจำตัวที่ถูกบุกรุกหรืออ่อนแอ โดยรวมแล้ว 29% ของการละเมิดทั้งหมดเกิดจากการขโมยข้อมูลประจำตัว

โซลูชันการจัดการข้อมูลประจำตัวและการเข้าถึงไม่เคยมีความสำคัญสำหรับธุรกิจมากไปกว่านี้ แต่บริษัทส่วนใหญ่ไม่รู้ว่าจะเริ่มต้นจากตรงไหน เราได้สร้างบทความนี้เพื่อให้คุณเป็นจุดเริ่มต้นและอธิบายเพิ่มเติมเกี่ยวกับโซลูชัน Microsoft Identity and Access Management

บริการ IAM ทำอะไรได้บ้าง

พนักงานของคุณคือความเสี่ยงด้านความปลอดภัยที่ใหญ่ที่สุดของคุณ หากพวกเขาไม่ใส่ใจในการรักษารหัสผ่านของตนให้ปลอดภัย หรือใช้รหัสผ่านที่ไม่รัดกุม คุณอาจส่งการแจ้งเตือนว่า "แฮ็กฉัน" ด้วย การจัดการการเข้าถึงทำได้ง่ายเมื่อคุณดำเนินธุรกิจขนาดเล็กที่มีพนักงานไม่กี่คน ยิ่งคุณมีพนักงานมากเท่าไร การจัดการก็ยิ่งยากขึ้นเท่านั้น นั่นคือสิ่งที่บริการ IAM เข้ามาเล่น

จัดการการเข้าถึงของพนักงาน

สิ่งเหล่านี้ช่วยให้คุณจัดการการเข้าถึงของพนักงานในระบบของคุณได้อย่างมีประสิทธิภาพมากขึ้น พวกเขาเสนอทางเลือกการเข้าถึงที่ปลอดภัยยิ่งขึ้น ตัวอย่างเช่น Azure Active Directory ของ Microsoft มีจุดลงชื่อเข้าใช้เดียวร่วมกับระบบการให้สิทธิ์แบบหลายปัจจัย

ดังนั้น แทนที่จะพิมพ์ชื่อผู้ใช้และรหัสผ่านของคุณ คุณจะมีขั้นตอนการตรวจสอบสิทธิ์ที่แตกต่างกันสองสามขั้นตอน ตัวอย่างเช่น คุณอาจต้องพิมพ์รหัสรับรองความถูกต้องที่ส่งไปยังโทรศัพท์ของคุณ หรือหากคุณต้องการความปลอดภัยมากขึ้น ระบบอาจนำการระบุข้อมูลไบโอเมตริกซ์มาใช้

ด้วยระบบ IAM คุณสามารถดูได้อย่างรวดเร็วว่าระบบใดที่พนักงานสามารถเข้าถึงได้ คุณสามารถปรับการเข้าถึงเฉพาะระบบที่มีความสำคัญต่อฟังก์ชันของพวกเขา คุณยังสามารถตั้งโปรแกรมระบบให้รีเซ็ตรหัสผ่านหลังจากช่วงเวลาที่กำหนดโดยอัตโนมัติ

ปรับปรุงการเดินทางของลูกค้า

ระบบเหล่านี้สามารถทำให้การเดินทางของลูกค้าดีขึ้นโดยทำให้กระบวนการลงชื่อเข้าใช้ง่ายขึ้นและปลอดภัยยิ่งขึ้น

จัดการการเข้าถึงสำหรับผู้รับเหมาภายนอก

หากคุณต้องการทำงานร่วมกับฟรีแลนซ์ ระบบเหล่านี้จะช่วยให้คุณตั้งค่าโปรไฟล์ผู้ใช้ได้อย่างรวดเร็วและง่ายดาย คุณสามารถกำหนดสิทธิ์ของผู้ใช้แบบจำกัดให้กับระบบที่พวกเขาต้องการเข้าถึงเท่านั้น

ตัวอย่างเช่น คุณสามารถให้สิทธิ์พวกเขาในการเข้าถึงที่อยู่อีเมลของบริษัทเพียงแห่งเดียวหรือการเข้าถึงฐานข้อมูลของคุณขั้นพื้นฐาน คุณยังสามารถตั้งโปรแกรมในวันที่สิ้นสุดสัญญาเพื่อให้แน่ใจว่าการเข้าถึงจะถูกยกเลิกโดยอัตโนมัติ

ปรับปรุงผลผลิต

นอกจากนี้ยังมีประโยชน์ในการปรับปรุงประสิทธิภาพการทำงาน เนื่องจากช่วยให้พนักงานทำงานจากอุปกรณ์ต่างๆ ได้อย่างปลอดภัย บริการเหล่านี้จำนวนมากทำงานบนคลาวด์ จึงไม่ขึ้นกับอุปกรณ์ พูดอีกอย่างก็คือ คุณไม่จำเป็นต้องดาวน์โหลดมันลงในอุปกรณ์เอง

ด้วยการจำกัดการเข้าถึงของพนักงานในระบบของคุณ คุณจะสามารถจัดการความแออัดภายในระบบเหล่านั้นได้ดีขึ้น ซึ่งจะช่วยเพิ่มผลผลิต

รองรับการปฏิบัติตามข้อกำหนด

ด้วยกฎหมายความเป็นส่วนตัวที่เข้มงวดขึ้น ธุรกิจต่างๆ จึงอยู่ภายใต้ภาระหน้าที่มากขึ้นในการปกป้องข้อมูลของลูกค้า ระบบ IAM สามารถช่วยเรื่องนี้ได้

ให้บุคลากรด้านไอทีให้ความสำคัญกับงานที่สำคัญมากขึ้น

สุดท้าย ระบบเหล่านี้อนุญาตให้ทำงานด้านความปลอดภัยที่จำเป็นโดยอัตโนมัติ สิ่งนี้ทำให้บุคลากรด้านไอทีของคุณมีอิสระในการทำงานกับสิ่งที่สำคัญกว่า นอกจากนี้ยังลดโอกาสเกิดข้อผิดพลาดของมนุษย์

Microsoft เข้ากันได้อย่างไร?

ช่วง Azure ของ Microsoft มีชุดเครื่องมือที่มีประสิทธิภาพซึ่งให้ระดับความปลอดภัยที่คุณต้องการ พวกเขายังร่วมมือกับผู้ให้บริการบุคคลที่สามหลายรายเพื่อปรับปรุงการป้องกันเพิ่มเติม ดังนั้น หาก Microsoft ไม่มีเทคโนโลยีในการนำเสนอซอฟต์แวร์จดจำใบหน้า พวกเขาจะร่วมมือกับบริษัทที่ให้บริการ

Azure Privileged Identity Management

ผลิตภัณฑ์นี้ให้การเปิดใช้งานตามการอนุมัติและตามเวลาเพื่อช่วยป้องกันการใช้ทรัพยากรในทางที่ผิดและการเข้าถึงโดยไม่ได้รับอนุญาต

คุณสมบัติรวมถึง:

• สิทธิ์การเข้าถึงแบบทันเวลา : คุณลักษณะนี้ช่วยให้คุณบล็อกการรับส่งข้อมูลขาเข้าไปยังเครื่องเสมือน Azure ของคุณ สิ่งนี้ปกป้องคุณจากการโจมตีอย่างมีประสิทธิภาพโดยการลดการสัมผัสของคุณ เมื่อไม่ได้ใช้งานระบบจะถูกล็อค

• สิทธิ์การเข้าถึงแบบจำกัดเวลา : ตัวอย่างเช่น คุณกำลังจ้างใครบางคนชั่วคราว ป้อนวันที่ที่สัญญาเริ่มต้นและสิ้นสุด ระบบจะตัดการเข้าถึงในวันที่ยกเลิกโดยอัตโนมัติ

• ควบคุมว่าใครอยู่ในการควบคุม : ระบบจำเป็นต้องสร้างและเปิดใช้งานโปรไฟล์ผู้ใช้ การเปิดใช้งานสิทธิพิเศษสามารถทำได้โดยได้รับอนุมัติจากผู้ดูแลระบบเท่านั้น คุณทำได้ หากคุณต้องการติดตามโมเดลผู้ผลิต/ตัวตรวจสอบที่นี่ ไอทีโปร 1 สร้างโปรไฟล์แล้วเริ่มดำเนินการอนุมัติการเปิดใช้งาน

• ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับการเปิดใช้งานผู้ใช้ : การป้องกันครอบคลุมมากกว่าแค่พนักงานของคุณ คุณสามารถเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยสำหรับผู้ใช้ที่ลงทะเบียนสำหรับไซต์ของคุณได้เช่นกัน ตัวอย่างเช่น หากพวกเขาสร้างโปรไฟล์ พวกเขาจะต้องยืนยันที่อยู่อีเมลเพื่อเปิดใช้งาน

• การแจ้งเตือนเมื่อมีบทบาทที่มีสิทธิ์ใช้งาน : นี่เป็นอีกรูปแบบหนึ่งของการตรวจสอบสิทธิ์ หากมีผู้ลงชื่อเข้าใช้ระบบหรือขออนุญาต จะมีการส่งการแจ้งเตือน

• ตรวจสอบการเข้าถึง : พนักงานเปลี่ยนบทบาทหรือไม่? พวกเขายังต้องการการเข้าถึงมากเหมือนเดิมหรือไม่? Microsoft Identity Access Management ทำให้ง่ายต่อการตรวจสอบบทบาทและเปลี่ยนการเข้าถึงตามความจำเป็น

• ประวัติการตรวจสอบแบบเต็ม : สิ่งนี้มีประโยชน์หากคุณกำลังถูกตรวจสอบ นี่เป็นหลักฐานยืนยันวันที่เปิดใช้งาน วันที่เปลี่ยนแปลงข้อมูล และอื่นๆ สิ่งนี้อาจมีความสำคัญหากบริษัทของคุณถูกเรียกเก็บเงินในแง่ของกฎหมายความเป็นส่วนตัว นอกจากนี้ยังทำให้การตรวจสอบภายในง่ายขึ้นมาก

ใครได้รับอนุญาตให้ทำอะไร?

ระบบจะกำหนดสิทธิพิเศษต่างๆ ให้กับผู้ที่มีหน้าที่จัดการ นี่เป็นวิธีการทำงาน

• ผู้ดูแลระบบความปลอดภัย

ผู้ใช้รายแรกที่ลงทะเบียนที่นี่จะได้รับมอบหมายบทบาทของผู้ดูแลระบบที่มีสิทธิ์และผู้ดูแลระบบความปลอดภัย

• ผู้ดูแลระบบที่ได้รับสิทธิพิเศษ

ผู้ดูแลระบบเหล่านี้เป็นคนเดียวที่สามารถกำหนดบทบาทให้กับผู้ดูแลระบบคนอื่นได้ คุณยังสามารถให้สิทธิ์ผู้ดูแลระบบคนอื่นๆ เข้าถึง Azure AD ได้ บุคคลในบทบาทต่อไปนี้สามารถดูงานได้ แต่ไม่สามารถแก้ไขได้ บุคคลเหล่านี้รวมถึง Security Admins, Global Admins, Security Readers และ Global Readers

• ผู้ดูแลระบบสมัครสมาชิก

บุคคลในบทบาทเหล่านี้สามารถจัดการงานสำหรับผู้ดูแลระบบคนอื่นๆ พวกเขาสามารถเปลี่ยนแปลงและยุติการมอบหมาย บทบาทอื่นๆ ที่ได้รับอนุญาตให้ดำเนินการนี้คือผู้ดูแลระบบการเข้าถึงของผู้ใช้และเจ้าของทรัพยากร

ควรสังเกตว่าบุคคลในบทบาทต่อไปนี้ต้องได้รับสิทธิ์ในการดูการมอบหมาย: ผู้ดูแลระบบความปลอดภัย ผู้ดูแลระบบบทบาทที่มีสิทธิ์ และผู้อ่านความปลอดภัย

คำศัพท์ที่คุณต้องรู้

คำศัพท์ที่ใช้ใน Microsoft Privileged Identity Management อาจสร้างความสับสนสำหรับผู้ที่ไม่ได้ฝึกหัด นี่คือรายละเอียดของคำศัพท์พื้นฐาน

• มีสิทธิ์

ในการมอบหมายนี้ ผู้ใช้จำเป็นต้องดำเนินการบางอย่างเพื่อเปิดใช้งานบทบาทของตน ความแตกต่างระหว่างบทบาทนี้กับบทบาทถาวรคือไม่ใช่ทุกคนต้องการเข้าถึงตลอดเวลา ผู้ใช้สามารถเปิดใช้งานบทบาทเมื่อพวกเขาต้องการเข้าถึง

• คล่องแคล่ว

นี่คือการกำหนดบทบาทที่กำหนดโดยค่าเริ่มต้นโดยระบบ ไม่จำเป็นต้องเปิดใช้งาน ตัวอย่างเช่น ผู้ดูแลระบบสามารถสร้างงานให้กับผู้ดูแลระบบคนอื่นได้

• เปิดใช้งาน

นี่คือการกระทำหรือการกระทำที่ผู้คนต้องทำเพื่อพิสูจน์ว่าพวกเขาได้รับอนุญาตให้ใช้ระบบ การป้อนชื่อผู้ใช้และรหัสผ่านเป็นตัวอย่างของสิ่งนี้ สามารถใช้วิธีการรับรองความถูกต้องต่างๆ ได้ที่นี่

• ที่ได้รับมอบหมาย

ซึ่งหมายความว่าผู้ใช้ได้รับสิทธิ์บางอย่างภายในระบบ

• เปิดใช้งานแล้ว

นี่คือผู้ใช้ที่สามารถใช้ระบบ เปิดใช้งานบทบาทของพวกเขา และกำลังใช้งานอยู่ ระบบจะแจ้งให้ผู้ใช้ป้อนข้อมูลประจำตัวอีกครั้งหลังจากไม่มีการใช้งานเป็นระยะเวลาที่กำหนด ตัวอย่างเช่น กับบริการธนาคารทางอินเทอร์เน็ต ซึ่งคุณจะออกจากระบบหลังจากไม่มีการใช้งาน 10 นาที

• มีสิทธิ์ถาวร

นี่เป็นงานที่อนุญาตให้ผู้ใช้เปิดใช้งานบทบาทของตนได้ทุกเมื่อที่ต้องการ พวกเขาจะต้องดำเนินการบางอย่างเพื่อเข้าถึงบทบาท ยกตัวอย่าง เช่น พนักงานเก็บเงินเพื่อชำระเงิน พวกเขาอาจต้องป้อนรหัสที่กำหนดแบบสุ่มเพื่อยืนยันการทำธุรกรรม

• ใช้งานถาวร

การกำหนดนี้อนุญาตให้ผู้ใช้ใช้บทบาทโดยไม่ต้องเปิดใช้งาน นี่คือบทบาทที่ผู้ใช้สามารถทำได้โดยไม่ต้องดำเนินการใดๆ เพิ่มเติม

• หมดอายุที่มีสิทธิ์

นี่คือบทบาทตามเวลา ที่นี่คุณจะต้องกำหนดวันที่เริ่มต้นและสิ้นสุด สิ่งนี้สามารถทำได้สำหรับนักแปลอิสระ นอกจากนี้ยังสามารถใช้เพื่อบังคับให้พนักงานอัปเดตรหัสผ่านเป็นประจำ

การจัดการการเข้าถึง โดยเฉพาะอย่างยิ่งในองค์กรขนาดกลางถึงขนาดใหญ่ อาจเป็นงานที่ท้าทาย ด้วยพลังของชุด Azure ของ Microsoft จะทำให้สำเร็จได้ง่ายขึ้นมาก บริการ IAM เพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งเพื่อป้องกันการละเมิดที่เกิดจากการเข้าถึงและการประนีประนอมภายใน

***

Chris Usatenko เป็นผู้เชี่ยวชาญด้านคอมพิวเตอร์ นักเขียน และผู้สร้างเนื้อหา เขามีความสนใจในทุกด้านของอุตสาหกรรมไอที โดยธรรมชาติแล้วเขาเป็นนักแปลอิสระ เขาเต็มใจที่จะได้รับประสบการณ์และความรู้จากทั่วโลกและนำไปใช้ในชีวิตของเขา