Jedną z podstawowych zasad bezpiecznego delegowania uprawnień w lokalnej usłudze Active Directory jest posiadanie przez administratora kilku kont z różnymi uprawnieniami.
Na przykład:
01 Konto bez uprawnień do korzystania z Internetu
02 Konto do zarządzania komputerami użytkowników
03 Konto do zarządzania serwerami
04 Konto do zarządzania domeną
05 Itd.
Nawet jeśli ktoś włamie się na jedno z tych kont, nie uzyska wszystkich uprawnień. Jednak ze względu na niedogodności związane z przełączaniem się między wieloma kontami niektóre firmy niestety zaniedbują to zalecenie.
W przypadku chmury korzystanie z jednego konta z dużą liczbą uprawnień może spowodować podobne problemy.
Funkcja Azure AD PIM służy do bezpiecznego delegowania i jednocześnie pozwala uniknąć konieczności korzystania z wielu kont.
Dzięki niej administrator ma tylko prawa zwykłego użytkownika, a wszystkie inne uprawnienia są aktywowane w razie potrzeby.
Oto przykład: inżynier pomocy technicznej musi zresetować hasło użytkownika. Proces ten może wyglądać następująco:
01 Inżynier loguje się i lokalizuje funkcję usługi Azure AD PIM. Następnie klika przycisk „Aktywuj rolę administratora pomocy technicznej”.
02 Następuje dodatkowa weryfikacja za pomocą uwierzytelniania wieloskładnikowego.
03 Inżynier wskazuje, przez ile godzin uprawnienie to ma pozostać aktywne.
04 Otrzymuje zgodę od odpowiedniej osoby zatwierdzającej.
05 Następnie może korzystać z uprawnień administracyjnych przez określoną liczbę godzin.
Nawet jeśli konto zostanie naruszone, osoba atakująca nie uzyska dostępu do specjalnych uprawnień.
Ta funkcja jest również częściowo zaimplementowana dla lokalnej usługi Active Directory i nosi nazwę Privileged Access Management.
Rozwiązanie
Azure AD Privileged Identity Management