Cân bằng giữa security with productivity là một trong những thách thức khó khăn nhất trong quản lý danh tính. Đặc biệt là khi liên quan đến các vai trò đặc quyền – những vai trò có quyền truy cập và quyền hạn cao hơn. Lúc này Việc kích hoạt vai trò nên được thực hiện tự động hay cần sự phê duyệt thủ công trong Microsoft PIM?
Trong hướng dẫn này, Tri Thức Software sẽ đơn giản hóa sự khác biệt giữa phê duyệt tự động và phê duyệt thủ công đối với các vai trò PIM.
Quy trình phê duyệt Privileged Identity Management (PIM) là gì?
Quản lý danh tính đặc quyền – Privileged Identity Management (PIM) hoạt động dựa trên một ý tưởng đơn giản – chỉ cấp quyền truy cập khi cần thiết, chứ không phải mọi lúc. Điều này được gọi là truy cập tức thời (Just-in-Time – JIT), và nó giúp giảm thiểu các đặc quyền thường trực mà kẻ tấn công có thể lạm dụng.
Trong PIM, một số người dùng đủ điều kiện cho các vai trò nhất định. Nếu bạn muốn hiểu sự khác biệt giữa vai trò đủ điều kiện và vai trò đang hoạt động trong Microsoft PIM. Điều đó có nghĩa là họ không có quyền mặc định – họ phải kích hoạt vai trò để thực sự sử dụng nó.
Cơ chế phê duyệt đóng vai trò như người gác cổng cho quy trình này:
- Quyết định ai có thể kích hoạt một vai trò.
- Kiểm soát cách thức kích hoạt diễn ra.
- Xác định cơ chế phê duyệt kích hoạt vai trò PIM của bạn.
Phê duyệt tự động so với phê duyệt thủ công trong PIM
Khi thiết lập PIM, chúng ta phải chọn một phương pháp phê duyệt.
Chúng ta ưu tiên truy cập tức thì hay một điểm kiểm tra an ninh cần thiết?
Việc lựa chọn loại phê duyệt PIM: thủ công hay tự động đều nhằm cân bằng giữa tốc độ và an toàn.
Dưới đây là hình ảnh so sánh đơn giản hai lựa chọn này:
| Diện mạo | Tự động phê duyệt | Phê duyệt thủ công |
|---|---|---|
| Tốc độ kích hoạt | Ngay sau khi có sự xác nhận/giải trình của Bộ Ngoại giao | Hoãn lại cho đến khi người phê duyệt phản hồi (tối đa 24 giờ) |
| Bảo vệ | Dựa vào xác thực đa yếu tố (MFA), lý do xác thực, nhật ký; không có kiểm tra thủ công. | Cần có sự phê duyệt của con người; giám sát cấp cao hơn |
| Trường hợp sử dụng | Các vai trò ít rủi ro, công việc hàng ngày | Các vai trò có đặc quyền cao hoặc nhạy cảm |
| Ưu điểm | Nhanh chóng, không tắc nghẽn | Bảo mật mạnh mẽ, tuân thủ quy định. |
| Nhược điểm | Rủi ro cao hơn nếu tài khoản bị xâm phạm. | Chậm hơn; cần có người phê duyệt |
| Kiểm toán & Tuân thủ | Nhật ký đã được tạo; điểm kiểm tra tối thiểu | Biên bản phê duyệt chính thức; sẵn sàng cho kiểm toán. |
Việc lựa chọn giữa phương án yêu cầu phê duyệt và phương án tự động kích hoạt vai trò đủ điều kiện trong PIM là quyết định quan trọng đối với tổ chức của bạn. Bạn cần chọn phương pháp phù hợp với cấp độ quyền hạn phù hợp.
Tự động phê duyệt trong các vai trò PIM của Microsoft
Tính năng tự động phê duyệt trong Quản lý Danh tính Đặc quyền (PIM) cho phép kích hoạt vai trò ngay lập tức sau khi người dùng cung cấp lý do chính đáng và vượt qua các bước kiểm tra cần thiết như xác thực đa yếu tố (MFA). Không cần chờ đợi, không tắc nghẽn – đó là con đường nhanh chóng để kích hoạt vai trò.
Ưu điểm:
- Nhanh chóng và hiệu quả.
- Người dùng có thể nhanh chóng truy cập vào các vai trò họ cần hàng ngày.
- Giúp quy trình làm việc diễn ra suôn sẻ và tránh bị chậm trễ.
Nhược điểm & Rủi ro:
- Rủi ro sẽ cao hơn nếu tài khoản người dùng bị xâm phạm.
- Có thể dẫn đến tình trạng người dùng quen với việc được cấp quyền cao hơn.
- So với quy trình phê duyệt thủ công, quy trình giám sát ít hơn.
Ngay cả với tính năng tự động phê duyệt, nền tảng xác thực danh tính vững chắc vẫn vô cùng quan trọng. Để đảm bảo an toàn tối đa, chúng tôi khuyên bạn nên sử dụng chiến lược xác thực danh tính hiện đại.
Khi nào nên sử dụng tính năng phê duyệt tự động:
- Phù hợp nhất cho các vai trò PIM có rủi ro thấp, chẳng hạn như Reader roles hoặc Help Desk Operators.
- Thích hợp cho các vai trò vận hành đòi hỏi phản hồi nhanh chóng được sử dụng hàng ngày.
Phê duyệt thủ công trong các vai trò PIM của Microsoft
Phê duyệt thủ công có nghĩa là yêu cầu kích hoạt vai trò cần được người phê duyệt hoặc nhóm được chỉ định chấp thuận rõ ràng.
Điều này bổ sung thêm một bước kiểm tra thủ công trước khi cấp quyền truy cập, giúp bảo mật các vai trò có rủi ro cao hơn.
Ưu điểm:
- Áp dụng nguyên tắc “bốn mắt” – hai nhóm người cùng kiểm tra trước khi cho phép truy cập.
- Cần thiết cho việc tuân thủ quy định và kiểm toán , giúp đáp ứng các yêu cầu pháp lý.
- Cung cấp hồ sơ chính thức về người đã phê duyệt và lý do phê duyệt.
Nhược điểm:
- Có thể tạo ra những tắc nghẽn trong hoạt động nếu người phê duyệt không có mặt.
- Nguy cơ xảy ra tình trạng “phê duyệt qua loa” không cần thiết, tức là việc phê duyệt được thực hiện mà không qua kiểm tra kỹ lưỡng.
Khi nào nên sử dụng phê duyệt thủ công:
- Các vai trò có rủi ro cao với quyền ghi/xóa rộng, chẳng hạn như Global Administrator và Security Administrator.
- Các tình huống cần phá kính hoặc bất kỳ tình huống nào mà việc tiếp cận khu vực trên cao phải được kiểm soát cẩn thận.
Hướng dẫn cấu hình quy trình phê duyệt trong Microsoft Entra ID
Các bước yêu cầu phê duyệt để kích hoạt PIM trong Entra ID
Thiết lập phê duyệt thủ công trong Microsoft PIM rất đơn giản. Hãy làm theo các bước sau:
- Đăng nhập vào Microsoft Entra admin center với quyền Administrator có quyền hạn cao.
- Truy cập ID Governance > Privileged Identity Management > Microsoft Entra roles > Roles
- Truy cập vào Microsoft Entra Roles.
- Trong mục Manage > chọn Roles để xem tất cả các vai trò người dùng cuối hiện có.
- Chọn vai trò mà bạn muốn cấu hình cài đặt.
- Chọn Role settings. Trên trang Role settings bạn có thể xem các cài đặt vai trò PIM hiện tại cho vai trò đã chọn.
- Chọn Edit để cập nhật cài đặt vai trò.
- Trong tab Activation > chọn Require approval to activate
- Ngoài ra, hãy thêm users or groups làm người phê duyệt. Người phê duyệt sẽ xem xét và chấp thuận các yêu cầu kích hoạt.
- Nhấp vào Update để áp dụng các thay đổi.
Ghi chú:
- Các yêu cầu phê duyệt thường hết hạn sau 24 giờ .
- Nếu yêu cầu hết hạn, người dùng phải gửi yêu cầu kích hoạt mới .
- Điều này đảm bảo các vai trò không bị kích hoạt vô thời hạn mà không có sự giám sát thích hợp.
Thiết lập phê duyệt tự động cho các vai trò PIM như thế nào?
Bạn cũng có thể bỏ qua bước phê duyệt thủ công đối với các vai trò có rủi ro thấp:
- Hãy làm theo các bước 1–7 trong hướng dẫn thiết lập ở trên.
- Ở bước 8, hãy chuyển đến tab Activation và bỏ chọn hộp kiểm Require approval to activate.
Ngay cả khi có tính năng tự động phê duyệt, vẫn cần thực hiện một số thiết lập:
- Lý do kích hoạt.
- Xác thực đa yếu tố (MFA) để xác nhận danh tính người dùng.
- Thời gian kích hoạt để giới hạn thời gian vai trò đó duy trì trạng thái hoạt động.
QUAN TRỌNG:
Bạn sẽ không thể vào nhà người thuê nếu tất cả các điều kiện sau đây đều đúng:
- Tất cả các Quản trị viên có vai trò đặc quyền/Quản trị viên toàn cầu đều có các nhiệm vụ đủ điều kiện, nhưng hiện tại chưa có nhiệm vụ nào đang hoạt động.
- Cần có sự chấp thuận để kích hoạt.
- Hiện chưa có người phê duyệt nào được cấu hình.
Để tránh tình trạng này, hãy cấu hình tài khoản truy cập khẩn cấp và chỉ định người phê duyệt cụ thể.
Quy trình phê duyệt thủ công từ đầu đến cuối: Góc nhìn của người dùng và người phê duyệt
Phê duyệt thủ công đảm bảo rằng các vai trò có rủi ro cao chỉ được kích hoạt sau khi được con người xác minh.
Điều này bổ sung thêm một bước kiểm soát giúp bảo vệ tổ chức của bạn đồng thời giữ cho quy trình minh bạch cho cả người dùng và người phê duyệt.
Các bước dành cho người dùng cuối (Người yêu cầu)
- Chỉ định người dùng đủ điều kiện cho vai trò đó.
(Ví dụ: người dùng Delia Dennis đã được chỉ định vai trò quản trị viên toàn cầu hợp lệ)
- Yêu cầu họ kích hoạt vai trò thông qua PIM. Nhập lý do (bắt buộc). Chỉ định thời gian kích hoạt.
- Nhấp vào Kích hoạt.
- Trong trường hợp này, vì tính năng phê duyệt thủ công được bật, người phê duyệt sẽ nhận được thông báo qua email và phải phê duyệt trong vòng 24 giờ (không thể cấu hình). Cho đến khi đó, trạng thái yêu cầu của người dùng sẽ hiển thị là Đang chờ phê duyệt cho đến khi người phê duyệt thực hiện hành động.
Các bước phê duyệt (Người ra quyết định)
- Nhận thông báo qua email hoặc xem yêu cầu trong mục Yêu cầu đã được phê duyệt trong PIM.
- Để thực hiện việc này, hãy vào Microsoft Entra Admin Center > Identity Governance > Privileged Identity Management > Approve requests để xem danh sách các yêu cầu đang chờ phê duyệt.
- Trong mục “Phê duyệt yêu cầu”, hãy mở yêu cầu và xem xét:
- Lý do do người dùng cung cấp
- Vai trò đang được yêu cầu
- Thời gian kích hoạt được yêu cầu
- Từ đây, người phê duyệt có thể view, approve hoặc deny các yêu cầu kích hoạt đang chờ xử lý.
- Sau khi người phê duyệt chấp thuận yêu cầu, người dùng sẽ được cấp vai trò được yêu cầu và có thể bắt đầu sử dụng các đặc quyền liên quan trong khoảng thời gian đã được cấu hình.
- Hãy hành động ngay:
- Nhấp vào Chấp nhận (bình luận tùy chọn) hoặc
- Nhấp vào Từ chối (lý do bắt buộc)
- Nếu được chấp thuận, vai trò này sẽ được kích hoạt ngay lập tức cho người dùng và người dùng có thể bắt đầu sử dụng các đặc quyền liên quan trong khoảng thời gian đã được cấu hình.
- Nếu bị từ chối hoặc yêu cầu hết hạn (sau 24 giờ), người dùng sẽ nhận được thông báo và phải gửi yêu cầu mới.
Tổng kết
Bằng cách triển khai phê duyệt thủ công cho các tài khoản có rủi ro cao và kích hoạt xác thực mạnh mẽ, PIM là một công cụ mạnh mẽ để bảo mật môi trường của bạn. Hướng dẫn toàn diện của chúng tôi trình bày chi tiết về điều này và các kỹ thuật không tin tưởng khác để tăng cường bảo mật.
