了解 Microsoft 身份和访问管理:您需要知道的一切

已发表: 2019-11-14

您是否知道仅在 2018 年,网络犯罪分子就损失了 4.45 亿美元?

根据 2019 年 Verizon 数据泄露调查报告,80% 的黑客式攻击涉及受损或弱凭据。 总体而言,所有违规行为中有 29% 是由于凭据被盗造成的。

身份和访问管理解决方案对企业来说从未如此重要。 但大多数公司不知道从哪里开始。 我们创建这篇文章的目的是为您提供一个起点,并详细解释 Microsoft 身份和访问管理解决方案。

IAM 服务有什么作用?

您的员工是您最大的安全风险。 如果他们不小心保护自己的密码安全,或使用弱密码,您不妨发送一条通知,说“Hack me”。 当您经营一家只有几名员工的小型企业时,管理访问权限很简单。 员工越多,管理就越困难。 这就是 IAM 服务发挥作用的地方。

管理员工访问

它们允许您更有效地管理员工对系统的访问。 它们提供了另一种更安全的访问选项。 例如,Microsoft 的 Azure Active Directory 为您提供单一登录点以及多因素授权系统。

因此,您将有几个不同的身份验证步骤,而不仅仅是输入您的用户名和密码。 例如,您可能必须输入发送到您手机的验证码。 或者,如果您需要更高的安全性,生物特征识别可能会发挥作用。

借助 IAM 系统,您可以一目了然地了解员工可以访问哪些系统。 您可以调整他们对仅对其功能至关重要的系统的访问权限。 您还可以对系统进行编程,使其在设定的时间间隔后自动重置密码。

改善客户旅程

这些系统可以使登录过程更轻松、更安全,从而使客户体验更好。

管理外部承包商的访问权限

如果您需要与自由职业者合作,这些系统可让您快速轻松地设置用户配置文件。 您只能将有限的用户权限分配给他们需要访问的系统。

例如,您可以让他们只访问一个公司电子邮件地址或对您的数据库进行基本访问。 您还可以设置合同的结束日期,以确保自动取消访问。

提高生产力

它们还有助于提高生产力,因为它们允许员工安全地使用不同的设备工作。 其中许多服务都是基于云的,因此它们不依赖于设备。 换句话说,您不必将它们下载到设备本身。

通过限制员工访问您的系统,您可以更好地管理这些系统内的拥塞。 这反过来又提高了生产率。

支持合规

随着隐私法变得越来越严格,企业在保护客户信息方面承受着更大的压力。 IAM 系统可以对此提供帮助。

让 IT 人员专注于更重要的任务

最后,这些系统允许基本安全任务的自动化。 这可以让您的 IT 人员腾出时间来处理更重要的事情。 它还减少了人为错误的可能性。

微软如何适应?

Microsoft 的 Azure 系列提供了一组强大的工具,可为您提供所需的安全级别。 他们还与多家第三方提供商合作,以进一步加强保护。 因此,例如,如果微软没有提供面部识别软件的技术,他们将与有能力的公司合作。

Azure 特权身份管理

该产品提供基于批准和基于时间的激活,以帮助防止资源滥用和未经授权的访问。

特点包括:

  • 即时特权访问:此功能可让您阻止传入 Azure 虚拟机的流量。 这可以通过减少您的暴露来有效地保护您免受攻击。 当系统不使用时,它被锁定。
  • 有时限的访问权限:例如,您正在临时雇用某人。 输入合同开始和终止的日期。 系统将在终止日期自动切断访问权限。
  • 控制谁在控制:系统需要创建然后激活用户配置文件。 只有获得系统管理员的批准才能激活特殊权限。 如果您更喜欢在此处遵循制造商/检查器模型,则可以。 IT pro 1 创建配置文件,然后启动这些配置文件以获得激活批准。
  • 对用户激活使用多重身份验证:保护不仅限于您的员工。 您也可以为注册您网站的用户启用双重身份验证。 例如,如果他们创建个人资料,则必须验证电子邮件地址才能激活它。
  • 特权角色激活时的通知:这是另一种形式的身份验证。 如果有人登录系统或请求允许这样做,则会发送通知。
  • 访问审查:员工是否改变了角色? 他们还需要像以前一样多的访问权限吗? Microsoft 身份访问管理使查看角色和根据需要更改访问变得简单。
  • 完整的审计历史:如果您正在接受审计,这很有用。 这提供了激活日期、数据更改日期等的证明。 如果您的公司面临隐私法方面的指控,这可能变得很重要。 它还使内部审计更容易进行。

谁可以做什么?

系统为负责管理它的人员分配不同的权限。 这就是它的工作原理。

  • 安全管理员

此处注册的第一个用户被分配了特权管理员和安全管理员的角色。

  • 特权管理员

这些是唯一可以为其他管理员分配角色的管理员。 您还可以授予其他管理员访问 Azure AD 的权限。 以下角色的人员可以查看分配,但不能更改它们。 这些人包括安全管理员、全局管理员、安全读者和全局读者。

  • 订阅管理员

这些角色的人可以管理其他管理员的分配。 他们可以更改和终止分配。 允许执行此操作的其他角色是用户访问管理员和资源所有者。

应注意,需要为以下角色的人员分配查看分配的权限:安全管理员、特权角色管理员和安全读者。

您需要知道的术语

Microsoft Privileged Identity Management 中使用的术语可能会让外行感到困惑。 以下是基本术语的细分。

  • 有资格的

通过此分配,用户需要采取一个或多个特定操作来激活他们的角色。 此角色与永久角色之间的区别在于,并非每个人都需要随时访问。 用户可以在需要访问权限时激活角色。

  • 积极的

这些是系统默认分配的角色分配。 它们不需要被激活。 例如,系统管理员能够为其他管理员创建分配。

  • 启用

这是人们必须采取的一项或多项行动,以证明他们有权使用该系统。 输入用户名和密码就是一个例子。 这里可以使用许多不同的身份验证方法。

  • 已分配

这意味着用户已被授予系统内的某些特权。

  • 活性

这是一个可以使用系统、激活其角色并且当前正在使用它的用户。 在一段时间不活动后,系统将提示用户重新输入他们的凭据。 一个例子是网上银行,您在十分钟不活动后退出。

  • 永久资格

这是一项允许用户随时激活其角色的分配。 他们必须执行特定操作才能访问角色。 比如说,一名员工获取了一笔要支付的款项。 他们可能需要输入随机分配的代码来确认交易。

  • 永久活跃

此分配允许用户在不激活的情况下使用角色。 这些是用户无需进一步操作即可执行的角色。

  • 过期合格

这是一个基于时间的角色。 在这里,您必须指定开始日期和终止日期。 这可以为自由职业者完成。 它还可用于强制员工定期更新密码。

访问管理,尤其是在大中型组织中,可能是一项具有挑战性的任务。 但是,借助 Microsoft Azure 套件的强大功能,它变得更容易实现。 IAM 服务增加了额外的安全层,以防止因内部访问和破坏而导致的违规行为。

***

克里斯·乌萨滕科

Chris Usatenko是一位计算机极客、作家和内容创作者。 他对 IT 行业的各个方面都感兴趣。 作为一个天生的自由职业者,他愿意从世界各地获得经验和知识,并将其应用到他的生活中。