注释
自 2025 年 4 月 1 日起,Microsoft Entra 权限管理将不再可供购买,2025 年 11 月 1 日,我们将停用并停止支持该产品。 可在此处找到详细信息。
Microsoft Entra 权限管理是一种云基础结构权利管理(CIEM)解决方案,可全面了解分配给所有标识的权限。 例如,Microsoft Azure、Amazon Web Services(AWS)和 Google Cloud Platform(GCP)的跨多云基础设施中的超特权的工作负载、用户身份、操作和资源。
权限管理可检测、自动调整大小,并持续监视未使用和过度的权限。
组织必须将权限管理视为其零信任安全性的核心部分,以在整个基础结构中实现最低特权访问:
- 组织越来越多地采用多云策略,但正在努力应对可见性不足以及管理访问权限所带来的日益增多的复杂性。
- 随着标识和云服务的增长,高风险云权限的数量正在爆炸,扩大了组织的攻击面。
- IT 安全团队承受着越来越大的压力,以确保访问其扩展的云资产是安全且合规的。
- 云提供商的本机访问管理模型不一致使得安全和标识更复杂地管理权限,并在整个环境中强制实施最低特权访问策略。
关键用例
权限管理允许客户解决三个关键用例: 发现、 修正和 监视。
权限管理的设计方式如下,我们建议你“逐步”执行以下每个阶段,以便深入了解整个组织的权限。 这是因为你通常无法对尚未发现的内容采取行动,因此无法持续评估尚未修正的内容。
发现
客户可以通过评估授予的权限与使用的权限之间的差距来评估权限风险。
- 跨云权限发现:关键云平台的粒度和规范化指标:AWS、Azure 和 GCP。
- 权限爬行指数(PCI):一个汇总指标,定期评估您身份和资源中未使用或过度权限所涉及的风险级别。 它根据身份拥有的权限来衡量可能造成的损害程度。
- 权限使用情况分析:针对所有标识、操作和资源的权限风险的多维视图。
修正
客户可以根据使用情况调整权限大小,按需授予新权限,并自动对云资源进行实时访问。
- 自动删除过去 90 天内未使用的权限。
- 按需权限:可根据时间限制或具体需要,向标识授予权限。
Monitor
客户可以使用机器学习驱动的(ML 驱动的)警报检测异常活动,并生成详细的取证报告。
- 机器学习支持的异常检测。
- 围绕身份、动作和资源生成信息丰富的取证报告,以支持快速调查和补救。
权限管理通过增强最低特权访问原则来深化零信任安全策略,使客户能够:
- 获取全面的可见性:发现哪个身份在何时何地执行哪些操作。
- 自动执行最低特权访问:使用访问分析来确保标识在正确的时间拥有正确的权限。
- 跨基础结构即服务(IaaS)平台统一访问策略:跨云基础结构实施一致的安全策略。
组织探索并实施发现、修正和监视阶段后,你已建立了新式零信任安全策略的核心支柱之一。
后续步骤
- 通过Microsoft Entra Permissions Management 学习模块简介来深化学习。
- 注册 45 天的权限管理免费试用版 。
- 有关权限管理的常见问题(常见问题解答)的列表,请参阅 常见问题解答。