Co jsou kontroly přístupu Azure AD?

Kontroly přístupu azure Active Directory (Azure AD) umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k nim budou mít přístup jenom ti správní uživatelé.

Tady je video, které poskytuje rychlý přehled kontrol přístupu:

Proč jsou kontroly přístupu důležité?

Azure AD umožňuje spolupracovat s uživateli z vaší organizace a s externími uživateli. Uživatelé se můžou připojit ke skupinám, pozvat hosty, připojit se ke cloudovým aplikacím a vzdáleně pracovat ze svých pracovních nebo osobních zařízení. Pohodlí používání samoobslužné služby vedlo k potřebě lepších možností správy přístupu.

  • Jak se noví zaměstnanci připojují, jak zajistíte, aby měli přístup, který potřebují k produktivitě?
  • Jak lidé přesunou týmy nebo opustí společnost, jak zajistíte, aby byl jejich starý přístup odebrán?
  • Nadměrná přístupová práva můžou vést k ohrožení zabezpečení.
  • Nadměrné přístupové právo může vést také ke zjištění auditu, protože značí nedostatek kontroly nad přístupem.
  • Musíte aktivně zapojit vlastníky prostředků, aby se ujistili, že pravidelně kontrolují, kdo má přístup ke svým prostředkům.

Kdy byste měli používat kontroly přístupu?

  • Příliš mnoho uživatelů v privilegovaných rolích: Je vhodné zkontrolovat, kolik uživatelů má přístup pro správu, kolik z nich jsou globální správci, a pokud jsou pozvaní hosté nebo partneři, kteří se po přiřazení nepřiřadili k úkolu správy, je vhodné zkontrolovat, kolik z nich má přístup správce. Uživatele přiřazení rolí můžete znovu certifikovat v rolích Azure AD, jako jsou globální správci nebo role prostředků Azure, jako je správce přístupu uživatelů v prostředí Azure AD Privileged Identity Management (PIM).
  • Pokud automatizace není možná: Můžete vytvořit pravidla pro dynamické členství ve skupinách zabezpečení nebo Skupiny Microsoft 365, ale co když se data o lidských zdrojích nenacházejí v Azure AD nebo pokud uživatelé po opuštění skupiny potřebují přístup k trénování jejich nahrazení? Pak můžete vytvořit kontrolu této skupiny, abyste měli jistotu, že uživatelé, kteří stále potřebují přístup, by měli mít nepřetržitý přístup.
  • Při použití skupiny pro nový účel: Pokud máte skupinu, která se bude synchronizovat s Azure AD, nebo pokud chcete aplikaci Salesforce povolit všem uživatelům ve skupině prodejního týmu, bude užitečné požádat vlastníka skupiny, aby zkontroloval členství ve skupině před použitím skupiny v jiném rizikovém obsahu.
  • Přístup k datům pro důležité obchodní informace: u určitých prostředků, jako jsou důležité obchodní aplikace, může být potřeba v rámci procesů dodržování předpisů požádat lidi, aby se pravidelně znovu potvrdili a poskytli odůvodnění, proč potřebují pokračovat v přístupu.
  • Postup údržby seznamu výjimek zásad: V ideálním světě by všichni uživatelé dodržovali zásady přístupu k zabezpečení přístupu k prostředkům vaší organizace. Někdy ale existují obchodní případy, které vyžadují, abyste udělali výjimky. Jako správce IT můžete tento úkol spravovat, vyhnout se dohledu nad výjimkami zásad a poskytnout auditorům důkaz, že se tyto výjimky pravidelně kontrolují.
  • Požádejte vlastníky skupin, aby potvrdili, že stále potřebují hosty ve svých skupinách: Přístup zaměstnanců může být automatizovaný pomocí některých místních identit a správy přístupu (IAM), ale ne pozvaných hostů. Pokud skupina poskytuje hostům přístup k obchodnímu citlivému obsahu, je zodpovědností vlastníka skupiny potvrdit, že hosté mají k přístupu legitimní obchodní potřeby.
  • Pravidelně se rekurzují recenze: Můžete nastavit opakované kontroly přístupu uživatelů podle nastavených frekvencí, jako jsou týdenní, měsíční, čtvrtletní nebo roční a kontroloři budou upozorněni na začátku každé kontroly. Kontroloři můžou schválit nebo odepřít přístup pomocí přívětivého rozhraní a s využitím inteligentních doporučení.

Poznámka

Pokud jste připravení vyzkoušet kontroly Accessu, podívejte se na vytvoření kontroly přístupu skupin nebo aplikací.

Kde vytváříte recenze?

V závislosti na tom, co chcete zkontrolovat, vytvoříte kontrolu přístupu v Azure AD kontrolách přístupu, Azure AD podnikových aplikacích (ve verzi Preview), Azure AD PIM nebo Azure AD správě nároků.

Přístupová práva uživatelů Revidujícím mohou být Kontrola vytvořená v Prostředí revidujících
Členové skupiny zabezpečení– členové
skupiny Office
Určení vlastníci
skupin revidujících
Azure AD kontroly
přístupu Azure AD skupiny
Přístupový panel
Přiřazeno připojené aplikaci Určení revidujících
– samoobslužná kontrola
Azure AD kontroly
přístupu Azure AD podnikové aplikace (ve verzi Preview)
Přístupový panel
role Azure AD Určení revidujících
– samoobslužná kontrola
Azure AD PIM portál Azure
Role prostředků Azure Určení revidujících
– samoobslužná kontrola
Azure AD PIM portál Azure
Přístup k přiřazení balíčků Určení členové skupiny revidujících

seskupují sami
Správa nároků Azure AD Přístupový panel

Licenční požadavky

Použití této funkce vyžaduje Azure AD Premium P2 licence. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Azure AD.

Kolik licencí musíte mít?

Adresář potřebuje alespoň tolik licencí Azure AD Premium P2, kolik zaměstnanců bude provádět následující úkoly:

  • Členové, kteří jsou přiřazeni jako revidujícím
  • Členové, kteří provádějí samoobslužnou kontrolu
  • Členové jako vlastníci skupiny, kteří provádějí kontrolu přístupu
  • Uživatelé členů jako vlastníci aplikací, kteří provádějí kontrolu přístupu

U uživatelů typu host bude licencování záviset na modelu licencování, který používáte. Následující aktivity uživatelů typu host se ale považují za Azure AD Premium P2 využití:

  • Uživatelé typu host, kteří jsou přiřazeni jako revidující
  • Uživatelé typu host, kteří provádějí samoobslužnou kontrolu
  • Uživatelé typu host jako vlastníci skupin, kteří provádějí kontrolu přístupu
  • Uživatelé typu host jako vlastníci aplikací, kteří provádějí kontrolu přístupu

Azure AD Premium P2 licence nejsou nutné pro uživatele s rolemi globálního správce nebo správce uživatelů, kteří nastavují kontroly přístupu, konfigurují nastavení nebo používají rozhodnutí z kontrol.

Azure AD přístup uživatelů typu host je založený na měsíčním fakturačním modelu aktivních uživatelů (MAU), který nahrazuje fakturační model s poměrem 1:5. Další informace najdete v tématu Azure AD cen externích identit.

Další informace o licencích najdete v tématu Přiřazení nebo odebrání licencí pomocí portálu Azure Active Directory.

Ukázkové scénáře licencí

Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které musíte mít.

Scenario Výpočet Počet licencí
Správce vytvoří kontrolu přístupu skupiny A s 75 uživateli a vlastníkem skupiny 1 a přiřadí vlastníka skupiny jako revidujícímu. 1 licence pro vlastníka skupiny jako revidujícím 1
Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli a 3 vlastníky skupiny a přiřadí 3 vlastníky skupiny jako revidujících. 3 licence pro každého vlastníka skupiny jako revidujících 3
Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli. Dělá to samohodnocení. 500 licencí pro každého uživatele jako revidujících 500
Správce vytvoří kontrolu přístupu skupiny C s 50 členskými uživateli a 25 uživateli typu host. Dělá to samohodnocení. 50 licencí pro každého uživatele jako revidujících.* 50
Správce vytvoří kontrolu přístupu skupiny D se 6 členskými uživateli a 108 uživateli typu host. Dělá to samohodnocení. 6 licencí pro každého uživatele jako revidujících. Uživatelům typu host se účtuje měsíční aktivní uživatel (MAU). Nejsou potřeba žádné další licence. * 6

* Azure AD ceny externích identit (uživatel typu host) jsou založené na měsíčních aktivních uživatelích (MAU), což je počet jedinečných uživatelů s aktivitou ověřování v kalendářním měsíci. Tento model nahrazuje fakturační model poměru 1:5, který umožňuje až pět uživatelů typu host pro každou licenci Azure AD Premium ve vašem tenantovi. Když je váš tenant propojený s předplatným a používáte funkce externích identit ke spolupráci s uživateli typu host, budete automaticky fakturovaní pomocí fakturačního modelu založeného na MAU. Další informace najdete v tématu Model fakturace pro Azure AD externí identity.

Další kroky