Nasazení zásad organizace pro řízení přístupu k aplikacím integrovaným s Id Microsoft Entra

V předchozích částech jste definovali zásady správného řízení pro aplikaci a tuto aplikaci jste integrují s ID Microsoft Entra. V této části nakonfigurujete funkce podmíněného přístupu a oprávnění Microsoft Entra tak, aby kontrolovali průběžný přístup k vašim aplikacím. Navážete

• Zásady podmíněného přístupu, jak se uživatel ověřuje v Microsoft Entra ID pro aplikaci integrovanou s Microsoft Entra ID pro jednotné přihlašování
• Zásady správy nároků, jak uživatel získá a udržuje přiřazení k rolím aplikací a členství ve skupinách
• Zásady kontroly přístupu, jak často se kontroluje členství ve skupinách

Po nasazení těchto zásad pak můžete sledovat průběžné chování ID Microsoft Entra jako žádosti uživatelů a přiřazovat přístup k aplikaci.

Nasazení zásad podmíněného přístupu pro vynucení jednotného přihlašování

V této části vytvoříte zásady podmíněného přístupu, které jsou v rozsahu pro určení, jestli se autorizovaný uživatel může přihlásit k aplikaci na základě faktorů, jako je síla ověřování uživatele nebo stav zařízení.

Podmíněný přístup je možný pouze pro aplikace, které spoléhají na ID Microsoft Entra pro jednotné přihlašování (SSO). Pokud aplikaci nejde integrovat pro jednotné přihlašování, pokračujte v další části.

1. V případě potřeby nahrajte dokument s podmínkami použití (TOU). Pokud před přístupem k aplikaci vyžadujete, aby uživatelé přijali podmínky použití (TOU), vytvořte a nahrajte dokument TOU, aby ho mohli zahrnout do zásad podmíněného přístupu.
2. Ověřte, že jsou uživatelé připravení na vícefaktorové ověřování Microsoft Entra. Doporučujeme vyžadovat vícefaktorové ověřování Microsoft Entra pro důležité obchodní aplikace integrované prostřednictvím federace. Pro tyto aplikace by měla existovat zásada, která vyžaduje, aby uživatel splnil požadavek na vícefaktorové ověřování před microsoft Entra ID, které mu umožňuje přihlásit se k aplikaci. Některé organizace můžou také blokovat přístup podle umístění nebo vyžadovat, aby uživatel přistupoval z registrovaného zařízení. Pokud ještě neexistují žádné vhodné zásady, které zahrnují nezbytné podmínky pro ověřování, umístění, zařízení a TOU, přidejte do nasazení podmíněného přístupu zásadu.
3. Přeneste webový koncový bod aplikace do rozsahu příslušných zásad podmíněného přístupu. Pokud máte existující zásady podmíněného přístupu vytvořené pro jinou aplikaci, které podléhají stejným požadavkům zásad správného řízení, můžete tuto zásadu aktualizovat tak, aby se použila i pro tuto aplikaci, abyste se vyhnuli velkému počtu zásad. Jakmile provedete aktualizace, zkontrolujte, že se použijí očekávané zásady. Uvidíte, jaké zásady se použijí pro uživatele s nástrojem Podmíněný přístup, co když.
4. Pokud budou všichni uživatelé potřebovat dočasná vyloučení zásad, vytvořte opakovanou kontrolu přístupu. V některých případech nemusí být možné okamžitě vynutit zásady podmíněného přístupu pro každého autorizovaného uživatele. Někteří uživatelé například nemusí mít odpovídající zaregistrované zařízení. Pokud je nutné vyloučit jednoho nebo více uživatelů ze zásad podmíněného přístupu a povolit jim přístup, nakonfigurujte kontrolu přístupu pro skupinu uživatelů, kteří jsou vyloučeni ze zásad podmíněného přístupu.
5. Zdokumentujte dobu života tokenu a nastavení relace aplikace. Jak dlouho může uživatel, který byl odepřen, nadále používat federovanou aplikaci, závisí na době života vlastní relace aplikace a na životnosti přístupového tokenu. Životnost relace aplikace závisí na samotné aplikaci. Další informace o řízení životnosti přístupových tokenů najdete v tématu Konfigurovatelné životnosti tokenů.

Nasazení zásad správy nároků pro automatizaci přiřazení přístupu

V této části nakonfigurujete správu nároků Microsoft Entra, aby uživatelé mohli požádat o přístup k rolím vaší aplikace nebo ke skupinám používaným aplikací. Abyste mohli tyto úlohy provádět, musíte být v globálním Správa istratoru, roli zásad správného řízení identit Správa istrator nebo ji delegovat jako tvůrce katalogu a vlastníka aplikace.

1. Přístupové balíčky pro řízené aplikace by měly být v určeném katalogu. Pokud ještě nemáte katalog pro váš scénář zásad správného řízení aplikací, vytvořte katalog ve správě nároků Microsoft Entra. Pokud máte k vytvoření více katalogů, můžete k vytvoření jednotlivých katalogů použít skript PowerShellu.
2. Naplňte katalog potřebnými prostředky. Přidejte aplikaci a všechny skupiny Microsoft Entra, na které aplikace spoléhá, jako prostředky v daném katalogu. Pokud máte mnoho prostředků, můžete pomocí skriptu PowerShellu přidat každý prostředek do katalogu.
3. Vytvořte přístupový balíček pro každou roli nebo skupinu, o kterou můžou uživatelé požádat. Pro každou z aplikací a pro každou z jejich rolí nebo skupin vytvořte přístupový balíček, který obsahuje danou roli nebo skupinu jako prostředek. V této fázi konfigurace těchto přístupových balíčků nakonfigurujte zásadu přiřazení prvního přístupového balíčku v každém přístupovém balíčku jako zásadu pro přímé přiřazení, aby přiřazení mohli vytvářet pouze správci. V této zásadě nastavte požadavky kontroly přístupu pro stávající uživatele, pokud existují, aby neměli neomezený přístup. Pokud máte mnoho přístupových balíčků, můžete pomocí skriptu PowerShellu vytvořit každý přístupový balíček v katalogu.
4. Nakonfigurujte přístupové balíčky tak, aby vynucovali oddělení požadavků na povinnosti. Pokud máte oddělené požadavky na povinnosti , nakonfigurujte nekompatibilní přístupové balíčky nebo existující skupiny pro přístupový balíček. Pokud váš scénář vyžaduje možnost přepsat oddělení kontrol povinností, můžete pro tyto scénáře přepsání nastavit i další přístupové balíčky.
5. Přidejte přiřazení stávajících uživatelů, kteří už mají přístup k aplikaci, do přístupových balíčků. Pro každý přístupový balíček přiřaďte stávající uživatele aplikace v příslušné roli nebo členy této skupiny k přístupovém balíčku a jeho zásadám přímého přiřazení. Uživatele můžete přímo přiřadit k přístupovým balíčkům pomocí Centra pro správu Microsoft Entra nebo hromadně prostřednictvím Graphu nebo PowerShellu.
6. Vytvořte další zásady, které uživatelům umožní požádat o přístup. V každém přístupového balíčku vytvořte další zásady přiřazení přístupového balíčku pro uživatele, kteří chtějí požádat o přístup. Nakonfigurujte požadavky na schválení a opakovanou kontrolu přístupu v této zásadě.
7. Vytvořte opakované kontroly přístupu pro jiné skupiny používané aplikací. Pokud existují skupiny, které aplikace používá, ale nejsou rolemi prostředků pro přístupový balíček, vytvořte kontroly přístupu pro členství v těchto skupinách.

Zobrazení sestav o přístupu

Microsoft Entra ID a Zásady správného řízení ID Microsoft Entra pomocí služby Azure Monitor poskytují několik sestav, které vám pomůžou pochopit, kdo má přístup k aplikaci a jestli tento přístup používá.

• Správce nebo vlastník katalogu může načíst seznam uživatelů, kteří mají přístup k přiřazení balíčků, prostřednictvím Centra pro správu Microsoft Entra, Graphu nebo PowerShellu.
• Protokoly auditu můžete také odeslat do služby Azure Monitor a zobrazit historii změn přístupového balíčku, v Centru pro správu Microsoft Entra nebo prostřednictvím PowerShellu.
• V sestavě přihlášení v Centru pro správu Microsoft Entra nebo přes Graph můžete zobrazit posledních 30 dnů přihlášení k aplikaci.
• Protokoly přihlášení můžete také odeslat do služby Azure Monitor a archivovat přihlašovací aktivitu po dobu až dvou let.

Monitorováním upravte zásady správy nároků a přístup podle potřeby.

V pravidelných intervalech, například týdně, měsíčně nebo čtvrtletně, na základě objemu změn přiřazení přístupu k aplikacím pro vaši aplikaci použijte Centrum pro správu Microsoft Entra, abyste zajistili udělení přístupu v souladu se zásadami. Můžete také zajistit, aby identifikovaní uživatelé pro schválení a kontrolu byli pro tyto úkoly stále správnými osobami.

• Sledujte změny přiřazení rolí aplikací a členství ve skupinách. Pokud máte ID Microsoft Entra nakonfigurované tak, aby odesílalo protokol auditu do služby Azure Monitor, použijte ve Application role assignment activity službě Azure Monitor k monitorování a hlášení všech přiřazení rolí aplikací, která nebyla provedena prostřednictvím správy nároků. Pokud jsou přiřazení rolí vytvořená vlastníkem aplikace přímo, měli byste se obrátit na vlastníka aplikace a zjistit, jestli toto přiřazení bylo autorizované. Kromě toho, pokud aplikace spoléhá na skupiny zabezpečení Microsoft Entra, také monitorujte změny těchto skupin.

• Také sledujte, jak uživatelé udělili přístup přímo v aplikaci. Pokud jsou splněny následující podmínky, je možné, aby uživatel získal přístup k aplikaci, aniž by byl součástí ID Microsoft Entra nebo bez přidání do úložiště uživatelských účtů aplikací pomocí Microsoft Entra ID:

  • Aplikace má v aplikaci místní úložiště uživatelských účtů.
  • Úložiště uživatelských účtů je v databázi nebo v adresáři LDAP.
  • Aplikace nespoléhá výhradně na ID Microsoft Entra pro jednotné přihlašování.

  U aplikace s vlastnostmi v předchozím seznamu byste měli pravidelně kontrolovat, že uživatelé byli přidáni pouze do místního úložiště uživatelů aplikace prostřednictvím zřizování Microsoft Entra. Pokud uživatelé vytvořené přímo v aplikaci, obraťte se na vlastníka aplikace a zjistěte, jestli bylo toto přiřazení autorizované.

• Ujistěte se, že schvalovatelé a kontroloři jsou aktuální. U každého přístupového balíčku, který jste nakonfigurovali v předchozí části, se ujistěte, že zásady přiřazení přístupového balíčku budou mít i nadále správné schvalovatele a revidujícím. Aktualizujte tyto zásady, pokud se schvalovatelé a revidující, které byly dříve nakonfigurované, už v organizaci nenachází nebo jsou v jiné roli.

• Ověřte, že kontroloři provádějí rozhodnutí během kontroly. Monitorujte úspěšné dokončení opakovaných kontrol přístupu u těchto přístupových balíčků, abyste měli jistotu, že se kontroloři účastní a provádějí rozhodnutí o schválení nebo zamítnutí nutnosti přístupu uživatele.

• Zkontrolujte, jestli zřizování a rušení zřizování funguje podle očekávání. Pokud jste dříve nakonfigurovali zřizování uživatelů pro aplikaci, použijí se výsledky kontroly nebo vyprší platnost přiřazení uživatele k přístupovým balíčkům, microsoft Entra ID zahájí zrušení zřízení zamítnutých uživatelů z aplikace. Můžete monitorovat proces zrušení zřízení uživatelů. Pokud zřizování značí chybu s aplikací, můžete stáhnout protokol zřizování a zjistit, jestli došlo k potížím s aplikací.

• Aktualizujte konfiguraci Microsoft Entra pomocí jakékoli změny role nebo skupiny v aplikaci. Pokud správce aplikace přidá nové role aplikace do svého manifestu, aktualizuje existující role nebo spoléhá na další skupiny, budete muset aktualizovat přístupové balíčky a kontroly přístupu, abyste mohli tyto nové role nebo skupiny zohlednit.

Další kroky

• Access kontroluje plán nasazení.