Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Správa identit je proces ověřování a autorizace objektů zabezpečení. Microsoft Entra ID poskytuje komplexní správu identit a přístupu pro aplikace a prostředky v celé organizaci. Tento článek se zabývá základními funkcemi správy identit Azure, které pomáhají chránit přístup k prostředkům.
Jednotné přihlašování
Jednotné přihlašování umožňuje uživatelům přistupovat k více aplikacím a prostředkům pomocí jednoho uživatelského účtu a hesla. Uživatelé se přihlašují jednou a mají přístup ke všem svým aplikacím bez opakovaného ověřování. Microsoft Entra ID podporuje jednotné přihlašování pro tisíce aplikací SaaS a místních webových aplikací.
Microsoft Entra ID rozšiřuje místní službu Active Directory do cloudu a umožňuje uživatelům přihlásit se pomocí účtu organizace na zařízení připojená k doméně, firemní prostředky a integrované aplikace. Jednotné přihlašování snižuje únavu hesel a zlepšuje zabezpečení minimalizací vystavených přihlašovacích údajů.
Další informace:
Vícefaktorové ověřování
Vícefaktorové ověřování Microsoft Entra (MFA) přidává kritickou druhou vrstvu zabezpečení tím, že vyžaduje dvě nebo více metod ověřování. Vícefaktorové ověřování pomáhá chránit před neoprávněným přístupem při zachování jednoduchého přihlašovacího prostředí pro uživatele.
Metody ověřování zahrnují:
- Aplikace Microsoft Authenticator
- Windows Hello pro firmy
- klíče zabezpečení FIDO2
- Ověřování pomocí certifikátů
- Tokeny OATH (hardwarové a softwarové)
- SMS a hlasový hovor
Licence Microsoft Entra ID P1 a P2 podporují zásady podmíněného přístupu, které vynucují vícefaktorové ověřování na základě kontextu uživatele, umístění, zařízení a aplikace.
Další informace:
- Jak funguje vícefaktorové ověřování Microsoft Entra
- Plánování nasazení vícefaktorového ověřování Microsoft Entra
Řízení přístupu na základě role v Azure
Řízení přístupu na základě role v Azure (Azure RBAC) poskytuje jemně odstupňovanou správu přístupu pro prostředky Azure. Pomocí Azure RBAC můžete uživatelům udělit minimální oprávnění potřebná k provádění úloh.
Azure RBAC zahrnuje předdefinované role:
- Vlastník: Úplný přístup ke všem prostředkům, včetně práva delegovat přístup
- Přispěvatel: Vytváří a spravuje všechny typy prostředků Azure, ale nemůže udělovat přístup
- Čtenář: Zobrazení existujících prostředků Azure
- Správce uživatelských přístupů: Správa přístupu uživatelů k prostředkům Azure
Můžete také vytvořit vlastní role přizpůsobené vašim konkrétním potřebám.
Další informace:
- Co je řízení přístupu na základě role v Azure (Azure RBAC)?
- Předdefinované role v Azure
- Přiřazení rolí Azure pomocí webu Azure Portal
proxy aplikací
Proxy aplikací Microsoft Entra umožňuje zabezpečený vzdálený přístup k místním webovým aplikacím bez nutnosti připojení VPN. Aplikační proxy publikuje aplikace, jako jsou SharePoint weby, Outlook Web App a aplikace založené na IIS, externím uživatelům, přičemž zachovává zabezpečení prostřednictvím Microsoft Entra ID a zásady podmíněného přístupu.
Proxy aplikací podporuje jednotné přihlašování a může se integrovat s existujícími místními metodami ověřování.
Další informace:
- Přehled proxy aplikací Microsoft Entra
- Publikování místních aplikací pomocí proxy aplikací Microsoft Entra
Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) pomáhá spravovat, řídit a monitorovat privilegovaný přístup k důležitým prostředkům. PIM poskytuje privilegovaný přístup v režimu JIT (just-in-time), což snižuje riziko nadměrných nebo zbytečných oprávnění.
S PIM můžete:
- Poskytnutí časově vázaného přístupu k rolím Azure a Microsoft Entra
- Vyžadování schválení pro aktivaci privilegovaných rolí
- Vynucení vícefaktorového ověřování pro aktivaci role
- Vyžadovat odůvodnění aktivace role
- Příjem oznámení o aktivacích privilegovaných rolí
- Proveďte kontroly přístupu, abyste zajistili, že uživatelé stále potřebují privilegované role.
- Generování zpráv o auditu pro dodržování předpisů
Další informace:
- Co je Microsoft Entra Privileged Identity Management?
- Naplánovat nasazení Privileged Identity Management
Ochrana identity
Microsoft Entra ID Protection detekuje potenciální ohrožení zabezpečení a rizikové aktivity ovlivňující identity vaší organizace. Využívá strojové učení k identifikaci neobvyklého chování přihlašování a aktivit uživatelů.
Služba Identity Protection poskytuje:
- Podmíněný přístup založený na rizicích: Zásady, které reagují na zjištěná rizika v reálném čase
- Detekce rizik: Identifikace podezřelých aktivit, včetně použití anonymníCH IP adres, atypické cesty a IP adres propojených s malwarem
- Nástroje pro šetření: Sestavy a řídicí panely pro analýzu rizik
- Automatizovaná náprava: Zásady na základě rizik, které můžou automaticky vyžadovat změny hesla nebo blokovat přístup
Další informace:
Recenze přístupu Microsoft Entra
Kontroly přístupu Microsoft Entra umožňují efektivní správu členství ve skupinách, přístup k podnikovým aplikacím a přiřazení privilegovaných rolí. Pravidelné kontroly přístupu pomáhají zajistit, aby uživatelé měli jenom přístup, který potřebují.
Podpora kontrol přístupu:
- Automatizovaná hodnocení: Plánovaná opakující se hodnocení s přizpůsobitelnou frekvencí
- Delegované kontroly přístupů: Vlastníci a manažeři můžou prověřovat přístup pro své týmy.
- Sebeověření: Uživatelé můžou potvrdit, že stále potřebují přístup.
- Doporučení: Strojové učení naznačuje, kteří uživatelé by měli přijít o přístup na základě přihlašovací aktivity.
- Automatizované akce: Automatické odebrání přístupu po dokončení kontrol
Další informace:
Hybridní správa identit
Pro organizace s místní službou Active Directory poskytuje Microsoft řešení hybridních identit pro synchronizaci identit mezi místním a cloudovým prostředím.
Microsoft Entra Connect (režim údržby) synchronizuje místní identity AD DS s Microsoft Entra ID. Běží na místním serveru a poskytuje:
- Synchronizace adresářů pro uživatele, skupiny a kontakty
- Synchronizace hodnot hash hesel nebo předávací ověřování
- Integrace federace se službou AD FS
- Monitorování stavu
Microsoft Entra Cloud Sync je moderní cloudové synchronizační řešení, které používá odlehčené agenty zřizování:
- Zjednodušené nasazení s odlehčenými agenty
- Podpora pro odpojená prostředí s více lesy
- Vysoká dostupnost s více agenty
- Cloudová konfigurace a správa
Microsoft doporučuje cloudovou synchronizaci pro nová nasazení hybridní identity.
Další informace:
Registrace zařízení
Registrace zařízení Microsoft Entra umožňuje zásady podmíněného přístupu založené na zařízeních. Registrovaná zařízení obdrží identitu, která zařízení ověřuje během přihlašování uživatele. Atributy zařízení můžou vynucovat zásady podmíněného přístupu pro cloudové a místní aplikace.
V kombinaci s řešeními pro správu mobilních zařízení (MDM), jako je Microsoft Intune, jsou atributy zařízení obohaceny o informace o konfiguraci a dodržování předpisů. To umožňuje pravidla podmíněného přístupu na základě stavu zabezpečení zařízení a dodržování předpisů.
Další informace:
- Plánování nasazení zařízení Microsoft Entra
- Zařízení připojená k Microsoft Entra
- Zařízení připojená k hybridní službě Microsoft Entra
Externí identity
Externí ID Microsoft Entra poskytuje správu identit pro aplikace orientované na zákazníky a spolupráci B2B. Externí ID podporuje registraci a přihlašování uživatelů pomocí sociálních účtů (Facebook, Google, LinkedIn) nebo přihlašovacích údajů založených na e-mailu.
V případě spolupráce B2B umožňuje externí ID zabezpečené sdílení aplikací a prostředků s externími partnery při zachování kontroly nad firemními daty. Externí uživatelé se ověřují pomocí domovské organizace nebo podporovaných zprostředkovatelů identity.
Další informace: