Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Než bude moct kdokoli používat Azure, potřebuje zabezpečenou a dobře spravovanou identitu. Id Microsoft Entra je páteří správy identit a přístupu v Azure. Tento článek vás provede základními kroky k vytvoření základu silné identity. Ať už nastavujete nového tenanta nebo zpřísňujete zabezpečení v existujícím tenantovi, tyto osvědčené postupy vám pomůžou chránit přístup ke cloudovým prostředkům od prvního dne.
Předpoklad:Vytvoření účtu Azure Startupy zjistí, jestli máte nárok na kredity Azure.
Vytvoření jednotlivých uživatelských účtů
Každá osoba, která potřebuje přístup k Azure, by měla mít v Microsoft Entra vlastní uživatelský účet. Toto nastavení pomáhá zajistit odpovědnost a usnadňuje sledování změn a vynucování zásad zabezpečení.
Přidejte vlastní doménu. Při vytváření tenanta Microsoft Entra se dodává s výchozí doménou (yourtenant.onmicrosoft.com). Když přidáte vlastní doménu (například contoso.com), můžou se uživatelé přihlásit pomocí známých jmen, jako je alex@contoso.com. Pokud vytváříte účty před přidáním vlastní domény, budete je muset později aktualizovat. Podrobný postup najdete v tématu Přidání vlastního názvu domény do tenanta v Microsoft Entra.
Vytvořte jedinečný účet pro každého uživatele. Nepovolujte sdílené účty. Sdílené účty ztěžují sledování a přiřazování zodpovědností za změny. Pokyny najdete v tématu Vytváření, pozvání a odstraňování uživatelů v Microsoft Entra.
Vytvořte účty pro nouzový přístup. Vytvořte dva účty pro nouzový přístup , abyste měli jistotu, že budete mít přístup ke svému tenantovi, pokud běžné metody přihlašování selžou.
Přiřazení rolí správy identit
Microsoft Entra používá řízení přístupu na základě role (RBAC) k přiřazování rolí uživatelům, skupinám přiřaditelným rolím nebo instančním objektům. Tyto role definují akce, které můžou provádět v rámci Centra pro správu Microsoft Entra, Centra pro správu Microsoftu 365, Microsoft Defenderu, Microsoft Purview a dalších. Zahrnuje vytváření účtů, správu skupin a konfiguraci zásad zabezpečení.
Použijte předdefinované role. Microsoft poskytuje předdefinované role pro běžné úlohy. Každá role má určitou sadu oprávnění. Například role Správce uživatelů může vytvářet a spravovat uživatelské účty. Projděte si seznam předdefinovaných rolí Microsoft Entra a přiřaďte jenom to, co potřebujete.
Přiřaďte role na základě nejnižších oprávnění. Udělte uživatelům jenom oprávnění, která potřebují ke své práci. Pokud někdo nepotřebuje spravovat Microsoft Entra, Centrum pro správu Microsoftu 365, Microsoft Defender nebo Microsoft Purview, nechejte ho jako běžný uživatel bez přiřazení rolí.
Použijte přístup v pravý čas. Pokud má vaše organizace licenci pro Microsoft Entra Privileged Identity Management (PIM), můžete uživatelům povolit aktivaci zvýšených oprávnění jenom v případě potřeby a po omezenou dobu. Toto nastavení snižuje riziko, že bude mít příliš mnoho uživatelů s trvalým přístupem na vysoké úrovni.
Omezte přístup k rolím globálního správce. Role globálního správce má plnou kontrolu nad vaším tenantem Microsoft Entra. Tuto roli nepoužívejte pro každodenní úkoly.
Pravidelně kontrolujte přiřazení rolí. Zkontrolujte, kdo má přiřazené role, a odeberte všechny, které už nepotřebujete. K monitorování změn můžete použít vestavěné sestavy a výstrahy.
Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.
Konfigurace vícefaktorového ověřování
Vícefaktorové ověřování (MFA) pomáhá chránit vaši organizaci před ohroženými přihlašovacími údaji a neoprávněným přístupem.
Seznamte se s výchozími nastaveními zabezpečení. Nové tenanty Microsoft Entra mají automaticky zapnuté výchozí nastavení zabezpečení . Tato nastavení vyžadují, aby se všichni uživatelé zaregistrovali k vícefaktorovém ověřování, aby správci provedli vícefaktorové ověřování při každém přihlášení, a v případě potřeby vyžadují, aby koncoví uživatelé provedli vícefaktorové ověřování.
Podmíněný přístup použijte pro pokročilé scénáře. Pokud vaše organizace potřebuje větší flexibilitu, můžete vytvořit zásady podmíněného přístupu, které budou vynucovat vícefaktorové ověřování jenom v určitých situacích, například když se uživatelé přihlásí z neznámých umístění. Výchozí hodnoty zabezpečení a podmíněný přístup se nedají používat současně. Pokud chcete povolit podmíněný přístup, musíte nejprve zakázat výchozí nastavení zabezpečení a získat licenci Premium. Viz Zabezpečení přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.