Úvod do delegované správy a izolovaných prostředí

Architektura Microsoft Entra s jedním tenantem s delegovanou správou je často vhodná pro oddělení prostředí. Vaše organizace může v jednom tenantovi vyžadovat určitou míru izolace.

Pro účely tohoto článku je důležité pochopit:

• Operace a funkce jednoho tenanta
• Jednotky pro správu (AU) v Microsoft Entra ID
• Vztahy mezi prostředky Azure a tenanty Microsoft Entra
• Požadavky na izolaci jednotek

Tenant Microsoft Entra jako hranice zabezpečení

Tenant Microsoft Entra poskytuje možnost správy identit a přístupu (IAM) aplikacím a prostředkům pro organizaci.

Identita je objekt adresáře ověřený a autorizovaný pro přístup k prostředku. Existují objekty identity pro lidské a nelidské identity. K rozlišení se lidské identity označují jako identity a nelidské identity jsou identity úloh. Nelidské entity zahrnují objekty aplikací, instanční objekty, spravované identity a zařízení. Obecně platí, že identita úlohy je určená pro softwarovou entitu k ověření v systému.

• Identita – objekty představující lidi
• Identita úloh – Identity úloh jsou aplikace, instanční objekty a spravované identity.
  • Identita úlohy se ověřuje a přistupuje k jiným službám a prostředkům.

Další informace o identitách úloh.

Tenant Microsoft Entra je hranice zabezpečení identit řízená správci. V této hranici zabezpečení je možné delegovat správu předplatných, skupin pro správu a skupin prostředků do segmentovaného řízení správy prostředků Azure. Tyto skupiny závisí na konfiguracích zásad a nastavení v rámci řízení Globální správci Microsoft Entra v rámci celého tenanta.

Microsoft Entra ID uděluje objektům přístup k aplikacím a prostředkům Azure. Prostředky a aplikace Azure, které důvěřují ID Microsoft Entra, je možné spravovat pomocí Microsoft Entra ID. Podle osvědčených postupů nastavte prostředí s testovacím prostředím.

Přístup k aplikacím, které používají ID Microsoft Entra

Udělení přístupu identit k aplikacím:

• Kancelářské služby Microsoftu, jako jsou Exchange Online, Microsoft Teams a SharePoint Online
• IT služby Microsoftu, jako jsou Azure Sentinel, Microsoft Intune a Microsoft Defender Advanced Threat Protection (ATP)
• Vývojářské nástroje Microsoftu, jako jsou Azure DevOps a Microsoft Graph API
• Řešení SaaS, jako je Salesforce a ServiceNow
• Místní aplikace integrované s funkcemi hybridního přístupu, jako je proxy aplikací Microsoft Entra
• Vlastní vyvinuté aplikace

Aplikace, které používají Microsoft Entra ID, vyžadují konfiguraci a správu objektů adresáře v důvěryhodném tenantovi Microsoft Entra. Mezi příklady objektů adresáře patří registrace aplikací, instanční objekty, skupiny a rozšíření atributů schématu.

Přístup k prostředkům Azure

Udělte uživatelům, skupinám a instančním objektům (identitám úloh) role v tenantovi Microsoft Entra. Další informace najdete v tématu Řízení přístupu na základě role (RBAC) Azure a řízení přístupu na základě atributů Azure (ABAC).

Azure RBAC slouží k poskytování přístupu na základě role podle toho, co určuje objekt zabezpečení, definice role a obor. Azure ABAC přidává podmínky přiřazení rolí na základě atributů pro akce. Pokud chcete podrobnější řízení přístupu, přidejte podmínku přiřazení role. Přístup k prostředkům Azure, skupinám prostředků, předplatným a skupinám pro správu s přiřazenými rolemi RBAC

Prostředky Azure, které podporují spravované identity , umožňují prostředkům ověřovat, získávat přístup k jiným prostředkům a získávat přiřazené role k jiným prostředkům na hranici tenanta Microsoft Entra.

Aplikace využívající ID Microsoft Entra pro přihlášení můžou používat prostředky Azure, jako jsou výpočetní prostředky nebo úložiště. Například vlastní aplikace, která běží v Azure a důvěřuje ID Microsoft Entra pro ověřování, má objekty adresáře a prostředky Azure. Prostředky Azure v tenantovi Microsoft Entra ovlivňují kvóty a limity Azure v rámci celého tenanta.

Přístup k objektům adresáře

Identity, prostředky a jejich vztahy jsou reprezentovány jako objekty adresáře v tenantovi Microsoft Entra. Mezi příklady patří uživatelé, skupiny, instanční objekty a registrace aplikací. Sada objektů adresáře v hranici tenanta Microsoft Entra pro následující možnosti:

• Viditelnost: Identity můžou zjišťovat nebo vyčíslovat prostředky, uživatele, skupiny, přístup k vytváření sestav využití a protokoly auditu na základě oprávnění. Člen adresáře může například zjistit uživatele v adresáři s výchozími uživatelskými oprávněními Microsoft Entra ID.

• Účinky na aplikace: V rámci obchodní logiky můžou aplikace manipulovat s objekty adresáře prostřednictvím Microsoft Graphu. Mezi typické příklady patří čtení nebo nastavení atributů uživatele, aktualizace uživatelského kalendáře, odesílání e-mailů jménem uživatelů atd. K povolení ovlivnění tenanta aplikacím je potřeba souhlas. Správci můžou souhlasit se všemi uživateli. Další informace najdete v tématu Oprávnění a souhlas na platformě Microsoft Identity Platform.

• Omezení a omezení služeb: Chování prostředku za běhu může aktivovat omezování , aby se zabránilo nadměrnému využití nebo snížení výkonu služby. K omezování může dojít na úrovni aplikace, tenanta nebo celé služby. Obvykle k tomu dochází, když má aplikace velký počet požadavků v tenantech nebo napříč tenanty. Podobně existují omezení a omezení služby Microsoft Entra, která mohou ovlivnit chování modulu runtime aplikace.

  Poznámka:

  Buďte opatrní s oprávněními aplikace. Například u Exchange Online můžete nastavit obor oprávnění aplikace pro poštovní schránky a oprávnění.

Jednotky pro správu rolí

Jednotky pro správu omezují oprávnění v roli na část vaší organizace. Jednotky pro správu můžete použít k delegování role správce helpdesku na odborníky na regionální podporu, aby mohli spravovat uživatele v oblasti, kterou podporují. Jednotka pro správu je prostředek Microsoft Entra, který může být kontejnerem pro další prostředky Microsoft Entra. Jednotka pro správu může obsahovat:

• Uživatelé
• Skupiny
• Zařízení

V následujícím diagramu AUs segmentují tenanta Microsoft Entra na základě organizační struktury. Tento přístup je užitečný, když obchodní jednotky nebo skupiny přidělují vyhrazené pracovníky podpory IT. Pomocí jednotek pro správu můžete poskytovat privilegovaná oprávnění omezená na jednotku pro správu.

Další informace naleznete v lekcích pro správu v Microsoft Entra ID.

Běžné důvody izolace prostředků

V některých případech izolujete skupinu prostředků od jiných prostředků z bezpečnostních důvodů, jako jsou například prostředky s jedinečnými požadavky na přístup. Tato akce je dobrým případem použití pro jednotky AU. Určete uživatele a přístup k prostředkům zabezpečení a v jakých rolích. Důvody izolace prostředků:

• Vývojářské týmy musí bezpečně iterovat. Vývoj a testování aplikací, které zapisují do Microsoft Entra ID, ale můžou ovlivnit tenanta Microsoft Entra prostřednictvím operací zápisu:
  • Nové aplikace, které můžou měnit obsah Office 365, jako jsou sharepointové weby, OneDrive, Microsoft Teams atd.
  • Vlastní aplikace, které můžou měnit uživatelská data pomocí MS Graphu nebo podobných rozhraní API ve velkém měřítku Například aplikace udělily Adresář.ReadWrite.All.
  • Skripty DevOps, které aktualizují velké sady objektů
  • Vývojáři integrovaných aplikací Microsoft Entra musí vytvářet uživatelské objekty pro testování. Objekty uživatele nemají přístup k produkčním prostředkům.
• Neprodukční prostředky a aplikace Azure, které můžou ovlivnit jiné prostředky. Například nová aplikace SaaS potřebuje izolaci od produkční instance a uživatelských objektů.
• Tajné prostředky, které mají být chráněné před zjišťováním, výčtem nebo převzetím správci

Konfigurace v tenantovi

Nastavení konfigurace v MICROSOFT Entra ID může ovlivnit prostředky v tenantovi Microsoft Entra prostřednictvím cílových akcí nebo akcí správy v rámci celého tenanta:

• Externí identity: Správci identifikují a řídí externí identity, které se mají zřídit v tenantovi.
  • Jestli chcete povolit externí identity v tenantovi
  • Ze kterých domén se přidávají externí identity
  • Jestli uživatelé můžou pozvat uživatele z jiných tenantů
• Pojmenovaná umístění: Správci vytvoří pojmenovaná umístění pro:
  • Blokování přihlašování z umístění
  • Aktivace zásad podmíněného přístupu, jako je vícefaktorové ověřování
  • Obejití požadavků na zabezpečení
• Možnosti samoobslužných služeb: Správci nastaví samoobslužné resetování hesla a vytvoří skupiny Microsoftu 365 na úrovni tenanta.

Pokud globální zásady nepřepíše, můžete nastavit rozsah některých konfigurací pro celého tenanta:

• Konfigurace tenanta umožňuje externí identity. Správce prostředků může tyto identity vyloučit z přístupu.
• Konfigurace tenanta umožňuje registraci osobního zařízení. Správce prostředků může vyloučit zařízení z přístupu.
• Jsou nakonfigurována pojmenovaná umístění. Správce prostředků může nakonfigurovat zásady pro povolení nebo vyloučení přístupu.

Běžné důvody izolace konfigurace

Konfigurace řízené správci ovlivňují prostředky. Některé konfigurace pro celého tenanta můžou být omezené zásadami, které se na prostředek nevztahují nebo částečně vztahují, ale jiné ne. Pokud má prostředek jedinečnou konfiguraci, izolujte ho v samostatném tenantovi. Příkladem může být:

• Prostředky s požadavky, které jsou v konfliktu se zabezpečením nebo kooperací v rámci celého tenanta
  • Například povolené typy ověřování, zásady správy zařízení, samoobslužné služby, ověřování identit pro externí identity atd.
• Požadavky na dodržování předpisů, které vymežují certifikaci pro celé prostředí
  • Tato akce zahrnuje všechny prostředky a tenanta Microsoft Entra, zejména v případě, že jsou požadavky v konfliktu s jinými organizačními prostředky nebo je vyloučí.
• Požadavky na přístup externího uživatele, které jsou v konfliktu s produkčními nebo citlivými zásadami prostředků
• Organizace, které zahrnují více zemí nebo oblastí a společnosti hostované v tenantovi Microsoft Entra.
  • Například nastavení a licence používané v zemích, oblastech nebo obchodních pobočkách

Správa tenanta

Identity s privilegovanými rolemi v tenantovi Microsoft Entra mají viditelnost a oprávnění ke spouštění úloh konfigurace popsaných v předchozích částech. Správa zahrnuje vlastnictví objektů identit, jako jsou uživatelé, skupiny a zařízení. Zahrnuje také vymezenou implementaci konfigurací v rámci celého tenanta pro ověřování, autorizaci atd.

Správa objektů adresáře

Správci spravují, jak objekty identit přistupují k prostředkům a za jakých okolností. Zakážou, odstraní nebo upraví objekty adresáře na základě jejich oprávnění. Objekty identity zahrnují:

• Organizační identity , například následující, jsou reprezentovány objekty uživatele:
  • Správci
  • Uživatelé organizace
  • Organizační vývojáři
  • Service Accounts
  • Testování uživatelů
• Externí identity představují uživatele mimo organizaci:
  • Partneři, dodavatelé nebo dodavatelé zřízené s účty v prostředí organizace
  • Partneři, dodavatelé nebo dodavatelé zřízené pomocí spolupráce Azure B2B
• Skupiny jsou reprezentovány objekty:
  • Skupiny zabezpečení
  • Skupiny Microsoft 365
  • Dynamické skupiny
  • Jednotky pro správu
• Zařízení jsou reprezentována objekty:
  • Zařízení připojená k hybridní službě Microsoft Entra Místní počítače synchronizované z místního prostředí.
  • Zařízení připojená k Microsoft Entra
  • Microsoft Entra zaregistrovaná mobilní zařízení používaná zaměstnanci pro přístup k aplikaci na pracovišti
  • Microsoft Entra zaregistroval zařízení nižší úrovně (starší verze). Například Windows 2012 R2.
• Identity úloh
  • Spravované identity
  • Instanční objekty
  • Aplikace

V hybridním prostředí se identity obvykle synchronizují z místního prostředí pomocí microsoft Entra Connect.

Správa služeb identit

Správci s určitými oprávněními spravují způsob implementace zásad pro celou tenanta pro skupiny prostředků, skupiny zabezpečení nebo aplikace. Při zvažování správy prostředků mějte na paměti následující důvody seskupení prostředků nebo jejich izolaci.

• Globální správci řídí předplatná Azure propojená s tenantem.
• Identity přiřazené roli Správce ověřování vyžadují, aby se správci znovu registrovali pro vícefaktorové ověřování nebo ověřování FIDO (Fast IDentity Online).
• Správci podmíněného přístupu vytvářejí zásady podmíněného přístupu pro přihlašování uživatelů k aplikacím ze zařízení vlastněných organizací. Tyto konfigurace oborů správců. Pokud jsou například v tenantovi povoleny externí identity, můžou vyloučit přístup k prostředkům.
• Správci cloudových aplikací souhlasí s oprávněními aplikací jménem uživatelů.

Běžné důvody izolace správy

Kdo by měl spravovat prostředí a jeho prostředky? Správci jednoho prostředí někdy nemají přístup k jinému prostředí:

• Oddělení odpovědností za správu v rámci celého tenanta za účelem zmírnění rizika bezpečnostních a provozních chyb ovlivňujících kritické prostředky
• Nařízení, která omezují, kdo může spravovat životní prostředí, na základě podmínek, jako je občanství, rezidence, úroveň clearance atd.

Aspekty zabezpečení a provozu

Vzhledem k vzájemné závislosti mezi tenantem Microsoft Entra a jejími prostředky je důležité pochopit bezpečnostní a provozní rizika ohrožení nebo chyby. Pokud pracujete v federované prostředí se synchronizovanými účty, může místní ohrožení zabezpečení vést k ohrožení zabezpečení Microsoft Entra ID.

• Ohrožení identity: V hranici tenanta se identitám přiřadí jakákoli role, pokud správce poskytující přístup má dostatečná oprávnění. Zatímco vliv ohrožených neprivilegovaných identit je z velké části obsažen, ohrožení správci mohou způsobit rozsáhlé problémy. Pokud je například ohrožen účet globálního správce Microsoft Entra, může dojít k ohrožení prostředků Azure. Pokud chcete zmírnit riziko ohrožení identity nebo chybných subjektů, implementujte vrstvenou správu a dodržujte zásady nejnižšího oprávnění pro role správce Microsoft Entra. Vytvořte zásady podmíněného přístupu, které vylučují testovací účty a testují instanční objekty z přístupu k prostředkům mimo testovací aplikace. Další informace o strategii privilegovaného přístupu najdete v tématu Privilegovaný přístup: strategie.
• Ohrožení zabezpečení federovaného prostředí
• Ohrožení zabezpečení prostředků důvěryhodnosti: Jakákoli ohrožená komponenta tenanta Microsoft Entra ovlivňuje důvěryhodnost prostředků na základě oprávnění na úrovni tenanta a prostředku. Oprávnění prostředku určují účinek ohrožené komponenty. Prostředky integrované pro provádění operací zápisu můžou mít vliv na celého tenanta. Následující nulová důvěra (Zero Trust) pokyny vám můžou pomoct omezit účinky ohrožení zabezpečení.
• Vývoj aplikací: V počátečních fázích životního cyklu vývoje aplikací existuje riziko s oprávněními k zápisu do Microsoft Entra ID. Chyby můžou neúmyslně zapisovat změny do objektů Microsoft Entra. Další informace najdete v osvědčených postupech platformy Microsoft Identity Platform.
• Provozní chyba: Chybní aktéři a provozní chyby správci tenantů nebo vlastníci prostředků pomáhají způsobit incidenty zabezpečení. K těmto rizikům dochází v jakékoli architektuře. Používejte oddělení povinností, vrstvené správy, principy nejnižších oprávnění a postupujte podle osvědčených postupů. Nepoužívejte samostatného tenanta.

principy nulová důvěra (Zero Trust)

Začlenit principy nulová důvěra (Zero Trust) do strategie návrhu Microsoft Entra ID pro vodítko bezpečného návrhu. S nulová důvěra (Zero Trust) můžete využít proaktivní zabezpečení.

Další kroky

• Základy Microsoft Entra
• Základy správy prostředků Azure
• Izolace prostředků v jednom tenantovi
• Izolace prostředků s více tenanty
• Osvědčené postupy