Automatisert sikring av administratorkontoer i Entra ID: Hvorfor og hvordan?

I dagens digitale landskap er sikkerhet en prioritet for enhver organisasjon. Administratorkontoer, med sine utvidede tilganger, er spesielt kritiske, da de gir tilgang til sensitive systemer og data. Hvis slike kontoer ikke administreres riktig, kan de utgjøre en stor risiko for organisasjonen. Derfor er det essensielt å sikre at administratorkontoer som ikke lenger er i bruk, blir deaktivert raskt og effektivt.

I denne bloggposten vil vi se på en løsning som bruker en runbook i Azure for å deaktivere administratorkontoer knyttet til inaktive brukerkontoer. Dette sikrer at ingen kan bruke administratorkontoer tilknyttet personer som ikke lenger er en del av organisasjonen, enten de er faste ansatte eller eksterne konsulenter.

Hvorfor er det viktig å deaktivere administratorkontoer?

1. Minimerer sikkerhetsrisiko

Admin-kontoer har ofte tilgang til kritiske ressurser og sensitive data. Hvis en slik konto blir glemt og ikke deaktivert når en ansatt eller konsulent forlater organisasjonen, kan den bli en inngangsport for uautorisert tilgang. Dette kan være svært risikabelt, spesielt hvis legitimasjonen til kontoen blir kompromittert.

2. Opprettholder kontroll

Deaktivering av ubrukte administratorkontoer sikrer at bare aktive og autoriserte personer har tilgang til kritiske systemer. Dette reduserer sannsynligheten for utilsiktede eller skadelige endringer i organisasjonens tjenester. En manuell prosess for deaktivering av kontoer kan være tidkrevende og utsatt for menneskelige feil, så en automatisert runbook sikrer konsekvent utførelse og eliminerer risikoen for at en konto overses.

3. Overholdelse av sikkerhetsstandarder

Mange sikkerhetsstandarder og rammeverk, som ISO 27001 og NIST, krever at organisasjoner sikrer at brukerkontoer deaktiveres når ansatte eller konsulenter slutter. Automatisering av denne prosessen sikrer overholdelse av slike krav.

Hvordan fungerer runbooken?

Runbooken er utviklet i Azure Automation og bruker en systemtilordnet administrert identitet for å koble seg til Microsoft Graph API. Runbooken er designet for å identifisere administratorkontoer tilknyttet inaktive primærkontoer (feks ola.nordmann@domene.no), basert på deres telefonnumre og deretter deaktivere dem. Slik fungerer prosessen:

1. Identifisere inaktive brukerkontoer

Runbooken henter en liste over alle primærkontoer i Microsoft Entra ID som har statusen «deaktivert». Disse brukerne kan være tidligere ansatte eller eksterne konsulenter som ikke lenger har tilgang til organisasjonen.

2. Koble brukerkontoer til admin-kontoer

For hver primærkonto som er deaktivert sammenlignes brukerens mobilnummer med mobil- eller forretningsnummer i en liste over administratorkontoer. Dette brukes for å finne administratorkontoer som tilhører den inaktive brukeren.

3. Deaktivere administratorkontoen

Dersom det finnes en tilhørende administratorkonto som fortsatt er aktiv, blir denne deaktivert. Dette inkluderer å blokkere kontoen fra videre bruk.

4. Rapportering

Runbooken genererer en rapport som viser hvilke kontoer som er deaktivert, og hvorfor. Dette gir organisasjonen oversikt og sporbarhet.

Teknisk implementering

Her er et eksempel på hvordan runbooken kan implementeres med PowerShell i Azure Automation:

Utvidelse av runbooken

Denne runbooken er utformet for å deaktivere administratorkontoer som er knyttet til inaktive brukerkontoer, men den kan enkelt utvides til å inkludere flere handlinger. For eksempel kan man legge til funksjonalitet for å fjerne lisenser fra deaktiverte kontoer for å frigjøre ressurser eller til og med slette administratorkontoer hvis det er i tråd med organisasjonens retningslinjer.

I tillegg kan denne løsningen suppleres med Access Reviews i Entra ID for å gjennomgå og administrere inaktive administratorkontoer. Access Reviews kan brukes til å sikre at bare relevante kontoer har tilgang, og man kan konfigurere automatiske handlinger, som å fjerne tilgang for kontoer som ikke lenger er nødvendige. Dette gir et helhetlig rammeverk for å håndtere inaktive kontoer, både gjennom automatisering og manuell kontroll.

Avslutning

Å sikre administratorkontoer er en kritisk del av enhver organisasjons sikkerhetsstrategi. Ved å implementere en runbook som automatisk deaktiverer administratorkontoer tilknyttet inaktive brukere, kan organisasjoner redusere risiko, forbedre sikkerhet og sikre samsvar med standarder. Dette er et eksempel på hvordan teknologi og automatisering kan brukes til å beskytte organisasjonens verdier i en stadig mer kompleks digital verden.

Har du spørsmål om hvordan dette kan implementeres i din organisasjon? Ta gjerne kontakt! 🚀

Relaterte artikler

Fabric wallpaper
Få full kontroll over ditt Microsoft Fabric-miljø
Blog
Image (2)
Nytt fra Microsoft Ignite: Hva du må vite om fremtidens teknologi!
Blog
Fleksibel fakturering og prisendringer i Microsoft 365 Copilot og Teams Phone – Hva betyr dette for deg
Større endringer i Microsoft sitt CSP program og prisjusteringer
Blog
Skroll til toppen
GDPR-informasjonskapselsamtykke med Real Cookie Banner