Řízení přístupu pro aplikace ve vašem prostředí
Zásady správného řízení MICROSOFT Entra ID umožňují vyvážit potřebu vaší organizace v oblasti zabezpečení a produktivity zaměstnanců se správnými procesy a viditelností. Jeho funkce zajišťují, aby správné lidi měli správný přístup ke správným prostředkům ve vaší organizaci ve správný čas.
Organizace s požadavky na dodržování předpisů nebo plány řízení rizik mají citlivé nebo důležité obchodní aplikace. Citlivost aplikace může být založená na jejím účelu nebo na datech, která obsahuje, jako jsou finanční informace nebo osobní údaje zákazníků organizace. U těchto aplikací bude mít obvykle oprávnění k přístupu jenom podmnožina všech uživatelů v organizaci a přístup by měl být povolen pouze na základě zdokumentovaných obchodních požadavků. Jako součást ovládacích prvků vaší organizace pro správu přístupu můžete použít funkce Microsoft Entra k:
- nastavení vhodného přístupu
- zřizování uživatelů pro aplikace
- vynucení kontrol přístupu
- vytváří sestavy, které ukazují, jak se tyto kontroly používají ke splnění cílů dodržování předpisů a řízení rizik.
Kromě scénáře zásad správného řízení přístupu k aplikacím můžete také použít funkce zásad správného řízení ID Microsoft Entra a další funkce Microsoft Entra pro jiné scénáře, jako je kontrola a odebrání uživatelů z jiných organizací nebo správa uživatelů, kteří jsou vyloučeni ze zásad podmíněného přístupu. Pokud má vaše organizace v Microsoft Entra ID nebo Azure více správců, používá správu skupin B2B nebo samoobslužné skupiny, měli byste pro tyto scénáře naplánovat nasazení kontroly přístupu.
Požadavky na licenci
Použití této funkce vyžaduje licence zásad správného řízení Microsoft Entra ID. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.
Začínáme s řízením přístupu k aplikacím
Zásady správného řízení MICROSOFT Entra ID je možné integrovat s mnoha aplikacemi pomocí standardů, jako jsou OpenID Připojení, SAML, SCIM, SQL a LDAP. Prostřednictvím těchto standardů můžete použít Microsoft Entra ID s mnoha oblíbenými aplikacemi SaaS, místními aplikacemi a aplikacemi, které vaše organizace vyvinula. Jakmile připravíte prostředí Microsoft Entra, jak je popsáno v následující části, tento třístupňový plán popisuje, jak připojit aplikaci k MICROSOFT Entra ID a povolit pro tuto aplikaci funkce zásad správného řízení identit.
- Definování zásad vaší organizace pro řízení přístupu k aplikaci
- Integrujte aplikaci s Microsoft Entra ID , abyste zajistili, že k aplikaci mají přístup jenom autorizovaní uživatelé, a zkontrolujte stávající přístup uživatele k aplikaci a nastavte základní hodnoty všech uživatelů, kteří byli zkontrolováni. To umožňuje ověřování a zřizování uživatelů.
- Nasaďte tyto zásady pro řízení jednotného přihlašování (SSO) a automatizaci přiřazení přístupu pro danou aplikaci.
Požadavky před konfigurací ID Microsoft Entra a zásad správného řízení id Microsoft Entra pro zásady správného řízení identit
Než začnete s procesem řízení přístupu k aplikacím ze zásad správného řízení microsoft Entra ID, měli byste zkontrolovat, jestli je prostředí Microsoft Entra správně nakonfigurované.
Ujistěte se, že vaše prostředí Microsoft Entra ID a Microsoft Online Services jsou připravené na požadavky na dodržování předpisů pro integrované a správně licencované aplikace. Dodržování předpisů je sdílená odpovědnost mezi Microsoftem, poskytovateli cloudových služeb (CSP) a organizacemi. Pokud chcete pro řízení přístupu k aplikacím použít ID Microsoft Entra, musíte mít v tenantovi jednu z následujících kombinací licencí:
- Zásady správného řízení MICROSOFT Entra ID a její požadavky, Microsoft Entra ID P1
- Microsoft Entra ID Governance krok up for Microsoft Entra ID P2 a jeho předpoklad, buď Microsoft Entra ID P2, nebo Enterprise Mobility + Security (EMS) E5
Váš tenant musí mít alespoň tolik licencí jako počet uživatelů, kteří se řídí členy (mimo host), včetně těch, kteří mají nebo můžou požádat o přístup k aplikacím, schválit nebo zkontrolovat přístup k aplikacím. S odpovídající licencí pro tyto uživatele pak můžete řídit přístup až k 1500 aplikacím na uživatele.
Pokud budete řídit přístup hosta k aplikaci, propojte tenanta Microsoft Entra s předplatným pro fakturaci MAU. Tento krok je nutný před žádostí o hosta nebo kontrolou přístupu. Další informace najdete v modelu fakturace pro Microsoft Entra Externí ID.
Zkontrolujte, že ID Microsoft Entra už odesílá protokol auditu a volitelně i další protokoly do služby Azure Monitor. Azure Monitor je volitelný, ale užitečný pro řízení přístupu k aplikacím, protože Microsoft Entra ukládá události auditu až po dobu 30 dnů v protokolu auditu. Data auditu můžete uchovávat déle, než je výchozí doba uchovávání, jak dlouho microsoft Entra ID ukládá data sestav? a používat sešity služby Azure Monitor a vlastní dotazy a sestavy historických dat auditu. Kliknutím na Sešity můžete zkontrolovat konfiguraci Microsoft Entra a zjistit, jestli používá Azure Monitor, v Microsoft Entra ID v Centru pro správu Microsoft Entra. Pokud tato integrace není nakonfigurovaná a máte předplatné Azure a jsou v rolích
Global AdministratorSecurity Administrator, můžete nakonfigurovat ID Microsoft Entra tak, aby používalo Azure Monitor.Ujistěte se, že ve vašem tenantovi Microsoft Entra jsou jenom autorizovaní uživatelé ve vysoce privilegovaných rolích pro správu. Správa istrátory v Globální Správa istrator, zásady správného řízení identit Správa istrator, User Správa istrator, Application Správa istrator, Cloud Application Správa istrator a Privileged Role Správa istrator můžou provádět změny uživatelů a jejich přiřazení rolí aplikací. Pokud se členství těchto rolí ještě nedávno nekontrolovalo, potřebujete uživatele, který je v globálním Správa istratoru nebo privilegované roli Správa istratoru, abyste měli jistotu, že se spustí kontrola přístupu těchto rolí adresáře. Měli byste také zajistit, aby uživatelé v rolích Azure v předplatných, která obsahují Azure Monitor, Logic Apps a další prostředky potřebné k provedení vaší konfigurace Microsoft Entra, zkontrolovali.
Zkontrolujte, jestli má váš tenant odpovídající izolaci. Pokud vaše organizace používá místní službu Active Directory a tyto domény AD jsou připojené k MICROSOFT Entra ID, musíte zajistit, aby byly vysoce privilegované operace správy pro služby hostované v cloudu izolované od místních účtů. Zkontrolujte, že jste své systémy nakonfigurovali tak, aby chránily cloudové prostředí Microsoftu 365 před místním ohrožením.
Jakmile zkontrolujete, jestli je prostředí Microsoft Entra připravené, pokračujte definováním zásad správného řízení pro vaše aplikace.