了解 Microsoft 身份和訪問管理:您需要知道的一切

已發表: 2019-11-14

您是否知道僅在 2018 年,網絡犯罪分子就損失了 4.45 億美元?

根據 2019 年 Verizon 數據洩露調查報告,80% 的黑客式攻擊涉及受損或弱憑據。 總體而言,所有違規行為中有 29% 是由於憑據被盜造成的。

身份和訪問管理解決方案對企業來說從未如此重要。 但大多數公司不知道從哪裡開始。 我們創建這篇文章的目的是為您提供一個起點,並詳細解釋 Microsoft 身份和訪問管理解決方案。

IAM 服務有什麼作用?

您的員工是您最大的安全風險。 如果他們不小心保護自己的密碼安全,或使用弱密碼,您不妨發送一條通知,說“Hack me”。 當您經營一家只有幾名員工的小型企業時,管理訪問權限很簡單。 員工越多,管理就越困難。 這就是 IAM 服務發揮作用的地方。

管理員工訪問

它們允許您更有效地管理員工對系統的訪問。 它們提供了另一種更安全的訪問選項。 例如,Microsoft 的 Azure Active Directory 為您提供單一登錄點以及多因素授權系統。

因此,您將有幾個不同的身份驗證步驟,而不僅僅是輸入您的用戶名和密碼。 例如,您可能必須輸入發送到您手機的驗證碼。 或者,如果您需要更高的安全性,生物特徵識別可能會發揮作用。

借助 IAM 系統,您可以一目了然地了解員工可以訪問哪些系統。 您可以調整他們對僅對其功能至關重要的系統的訪問權限。 您還可以對系統進行編程,使其在設定的時間間隔後自動重置密碼。

改善客戶旅程

這些系統可以使登錄過程更輕鬆、更安全,從而使客戶體驗更好。

管理外部承包商的訪問權限

如果您需要與自由職業者合作,這些系統可讓您快速輕鬆地設置用戶配置文件。 您只能將有限的用戶權限分配給他們需要訪問的系統。

例如,您可以讓他們只訪問一個公司電子郵件地址或對您的數據庫進行基本訪問。 您還可以設置合同的結束日期,以確保自動取消訪問。

提高生產力

它們還有助於提高生產力,因為它們允許員工安全地使用不同的設備工作。 其中許多服務都是基於雲的,因此它們不依賴於設備。 換句話說,您不必將它們下載到設備本身。

通過限制員工訪問您的系統,您可以更好地管理這些系統內的擁塞。 這反過來又提高了生產率。

支持合規

隨著隱私法變得越來越嚴格,企業在保護客戶信息方面承受著更大的壓力。 IAM 系統可以對此提供幫助。

讓 IT 人員專注於更重要的任務

最後,這些系統允許基本安全任務的自動化。 這可以讓您的 IT 人員騰出時間來處理更重要的事情。 它還減少了人為錯誤的可能性。

微軟如何適應?

Microsoft 的 Azure 系列提供了一組強大的工具,可為您提供所需的安全級別。 他們還與多家第三方提供商合作,以進一步加強保護。 因此,例如,如果微軟沒有提供面部識別軟件的技術,他們將與有能力的公司合作。

Azure 特權身份管理

該產品提供基於批准和基於時間的激活,以幫助防止資源濫用和未經授權的訪問。

特點包括:

  • 即時特權訪問:此功能可讓您阻止傳入 Azure 虛擬機的流量。 這可以通過減少您的暴露來有效地保護您免受攻擊。 當系統不使用時,它被鎖定。
  • 有時限的訪問權限:例如,您正在臨時僱用某人。 輸入合同開始和終止的日期。 系統將在終止日期自動切斷訪問權限。
  • 控制誰在控制:系統需要創建然後激活用戶配置文件。 只有獲得系統管理員的批准才能激活特殊權限。 如果您更喜歡在此處遵循製造商/檢查器模型,則可以。 IT pro 1 創建配置文件,然後啟動這些配置文件以獲得激活批准。
  • 對用戶激活使用多重身份驗證:保護不僅限於您的員工。 您也可以為註冊您網站的用戶啟用雙重身份驗證。 例如,如果他們創建個人資料,則必須驗證電子郵件地址才能激活它。
  • 特權角色激活時的通知:這是另一種形式的身份驗證。 如果有人登錄系統或請求允許這樣做,則會發送通知。
  • 訪問審查:員工是否改變了角色? 他們還需要像以前一樣多的訪問權限嗎? Microsoft 身份訪問管理使查看角色和根據需要更改訪問變得簡單。
  • 完整的審計歷史:如果您正在接受審計,這很有用。 這提供了激活日期、數據更改日期等的證明。 如果您的公司面臨隱私法方面的指控,這可能變得很重要。 它還使內部審計更容易進行。

誰可以做什麼?

系統為負責管理它的人員分配不同的權限。 這就是它的工作原理。

  • 安全管理員

此處註冊的第一個用戶被分配了特權管理員和安全管理員的角色。

  • 特權管理員

這些是唯一可以為其他管理員分配角色的管理員。 您還可以授予其他管理員訪問 Azure AD 的權限。 以下角色的人員可以查看分配,但不能更改它們。 這些人包括安全管理員、全局管理員、安全讀者和全局讀者。

  • 訂閱管理員

這些角色的人可以管理其他管理員的分配。 他們可以更改和終止分配。 允許執行此操作的其他角色是用戶訪問管理員和資源所有者。

應注意,需要為以下角色的人員分配查看分配的權限:安全管理員、特權角色管理員和安全讀者。

您需要知道的術語

Microsoft Privileged Identity Management 中使用的術語可能會讓外行感到困惑。 以下是基本術語的細分。

  • 有資格的

通過此分配,用戶需要採取一個或多個特定操作來激活他們的角色。 此角色與永久角色之間的區別在於,並非每個人都需要隨時訪問。 用戶可以在需要訪問權限時激活角色。

  • 積極的

這些是系統默認分配的角色分配。 它們不需要被激活。 例如,系統管理員能夠為其他管理員創建分配。

  • 啟用

這是人們必須採取的一項或多項行動,以證明他們有權使用該系統。 輸入用戶名和密碼就是一個例子。 這裡可以使用許多不同的身份驗證方法。

  • 已分配

這意味著用戶已被授予系統內的某些特權。

  • 活性

這是一個可以使用系統、激活其角色並且當前正在使用它的用戶。 在一段時間不活動後,系統將提示用戶重新輸入他們的憑據。 一個例子是網上銀行,您在十分鐘不活動後退出。

  • 永久資格

這是一項允許用戶隨時激活其角色的分配。 他們必須執行特定操作才能訪問角色。 比如說,一名員工獲取了一筆要支付的款項。 他們可能需要輸入隨機分配的代碼來確認交易。

  • 永久活躍

此分配允許用戶在不激活的情況下使用角色。 這些是用戶無需進一步操作即可執行的角色。

  • 過期合格

這是一個基於時間的角色。 在這裡,您必須指定開始日期和終止日期。 這可以為自由職業者完成。 它還可用於強制員工定期更新密碼。

訪問管理,尤其是在大中型組織中,可能是一項具有挑戰性的任務。 但是,借助 Microsoft Azure 套件的強大功能,它變得更容易實現。 IAM 服務增加了額外的安全層,以防止因內部訪問和破壞而導致的違規行為。

***

克里斯·烏薩滕科

Chris Usatenko是一位計算機極客、作家和內容創作者。 他對 IT 行業的各個方面都感興趣。 作為一個天生的自由職業者,他願意從世界各地獲得經驗和知識,並將其應用到他的生活中。