plány nasazení Microsoft Entra

Azure Active Directory je teď Microsoft Entra ID, což může chránit vaši organizaci pomocí cloudové identity a správy přístupu. Řešení spojuje zaměstnance, zákazníky a partnery se svými aplikacemi, zařízeními a daty.

Pokyny v tomto článku vám pomůžou sestavit plán nasazení Microsoft Entra ID. Seznamte se se základy sestavování plánů a pak použijte následující části pro nasazení ověřování, aplikace a zařízení, hybridní scénáře, identitu uživatele a další.

Návod

Hledáte diagramy architektury a referenční architektury? Podrobné diagramy architektury, topologie hybridních identit a pokyny k návrhu najdete tady:

• přehled architektury Microsoft Entra – návrh služeb, škálovatelnost a dostupnost
• Zajištění odolnosti v hybridní architektuře – diagramy architektury pro PHS, PTA a Federaci
• Volba správné metody ověřování – rozhodovací strom ověřování
• Identity a architektura správy přístupu v Azure – referenční architektury, základní implementace a pokyny k návrhu
• Možnosti rezidence dat a suverénního cloudu – umístění úložiště dat a omezení prostředí

Účastníci a role

Při zahájení plánů nasazení zahrňte klíčové zúčastněné strany. Identifikujte a zdokumentujte zúčastněné strany, ovlivněné role a oblasti vlastnictví a odpovědností, které umožňují efektivní nasazení. Názvy a role se liší od jedné organizace po druhé, ale oblasti vlastnictví jsou podobné. V následující tabulce najdete běžné a vlivné role, které ovlivňují jakýkoli plán nasazení.

Role	Odpovědnost
Sponzor	Vedoucí vedoucí organizace s oprávněním schválit nebo přiřadit rozpočet a zdroje. Sponzor je spojení mezi manažery a výkonným týmem.
Koncové uživatele	Lidé, pro které je služba implementovaná. Uživatelé se mohou účastnit pilotního programu.
Správce podpory IT	Poskytuje hodnocení podporovatelnosti navrhovaných změn.
Architekt identity	Definuje, jak změna odpovídá infrastruktuře správy identit.
Vlastník firmy aplikace	Vlastní ovlivněné aplikace, které můžou zahrnovat správu přístupu. Poskytuje vstup do uživatelského prostředí.
Vlastník zabezpečení	Potvrdí, že plán změn splňuje požadavky na zabezpečení.
Správce dodržování předpisů	Zajišťuje soulad s podnikovými, průmyslovými nebo vládními požadavky.

RACI

Zodpovědný, Odpovědný, Konzultovaný a Informovaný (zodpovědný/odpovědný/konzultovaný/informovaný (RACI)) je model pro účast různých rolí na dokončení úkolů nebo výstupů projektu či obchodního procesu. Tento model vám pomůže zajistit, aby role ve vaší organizaci porozuměly zodpovědnostem za nasazení.

• Zodpovědní – lidé zodpovídají za správné dokončení úkolu.
  • Existuje aspoň jedna zodpovědná role, i když můžete delegovat ostatní, aby vám pomohli zajistit práci.
• Zodpovědná osoba – osoba, která je v konečném důsledku odpovědná za správnost a dokončení výstupu nebo úkolu. Zodpovědná role zajišťuje, že jsou splněny požadavky na úkoly, a deleguje práci na zodpovědné role. Zodpovědná role schvaluje práci, kterou poskytuje zodpovědná osoba. Přiřaďte jednu odpovědnost za každý úkol nebo dodávku.
• Konzultovaný - Role Konzultovaného poskytuje pokyny, obvykle odborník na danou problematiku (SME).
• Informovaní – lidé byli průběžně informováni o pokroku, obecně po dokončení úkolu nebo výstupu.

Nasazení autentizace

K plánování nasazení ověřování použijte následující seznam.

• Microsoft Entra vícefaktorové ověřování (MFA) – Použití metod ověřování schválené správcem pomáhá vícefaktorové ověřování chránit přístup k vašim datům a aplikacím při současném splnění poptávky po snadném přihlášení:

  • Podívejte se na video, jak nakonfigurovat a vynutit vícefaktorové ověřování ve vašem tenantovi.
  • Viz, Plánování nasazení vícefaktorového ověřování

• Podmíněný přístup – Implementace automatizovaných rozhodnutí o řízení přístupu pro uživatele pro přístup ke cloudovým aplikacím na základě podmínek:

  • Podívejte se, co je podmíněný přístup?
  • Viz, plánování nasazení podmíněného přístupu

• Microsoft Entra samoobslužné resetování hesla (SSPR) – Pomoc uživatelům s resetováním hesla bez zásahu správce:

  • Podívejte se na metodu ověřování Passkeys (FIDO2) v Microsoft Entra ID

  • Viz Plánování nasazení samoobslužného resetování hesel Microsoft Entra

• Ověřování bez hesla – Implementujte ověřování bez hesla pomocí Microsoft Authenticator aplikace nebo klíčů zabezpečení FIDO2:

  • Podívejte se na Povolit přihlašování bez hesla pomocí Microsoft Authenticator
  • Viz Plánovat nasazení ověřování bez hesla v Microsoft Entra ID

Aplikace a zařízení

Následující seznam vám pomůže s nasazením aplikací a zařízení.

• Jednotné přihlašování ( SSO) – Povolení přístupu uživatelů k aplikacím a prostředkům pomocí jednoho přihlášení bez opětovného zadávání přihlašovacích údajů:
  • Viz Co je jednotné přihlašování v Microsoft Entra ID?
  • Viz, Plánování nasazení jednotného přihlašování
• Moje aplikace portal – Zjišťování a přístup k aplikacím. Povolte produktivitu uživatelů pomocí samoobslužné služby, například požádejte o přístup ke skupinám nebo spravujte přístup k prostředkům jménem jiných uživatelů.
  • Viz přehled portálu Moje aplikace
• Devices – Vyhodnoťte metody integrace zařízení pomocí Microsoft Entra ID, zvolte plán implementace a další.
  • Viz Plánujte nasazení zařízení Microsoft Entra

Hybridní scénáře

Diagramy architektury a vzorce odolnosti pro nasazení hybridních identit najdete v tématu Sestavení odolnosti v hybridní architektuře. Úplné referenční architektury s diagramy Visio ke stažení najdete v tématu Integrovat místní Active Directory pomocí Microsoft Entra ID.

Následující seznam popisuje funkce a služby v hybridních scénářích.

• Služby Active Directory Federation (AD FS) – Migrace ověřování uživatelů z federace do cloudu pomocí průchozího ověřování nebo synchronizace hashů hesel:
  • Viz Co je federace s Microsoft Entra ID?
  • Další informace najdete v tématu Migrace z federace na cloudové ověřování.
• Proxy aplikací Microsoft Entra – umožňuje zaměstnancům být produktivní ze zařízení. Seznamte se s aplikacemi typu software jako služba (SaaS) v cloudu a podnikových aplikacích místně. Microsoft Entra proxy aplikací umožňuje přístup bez virtuálních privátních sítí (VPN) nebo demilitarizovaných zón (DMZ):
  • Podívejte se na Vzdálený přístup k místním aplikacím prostřednictvím proxy aplikace Microsoft Entra
  • Viz Plánovat nasazení proxy aplikací Microsoft Entra
• Bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) – Pro přihlašování uživatelů používejte bezproblémové jednotné přihlašování na podnikových zařízeních připojených k podnikové síti. Uživatelé nepotřebují hesla pro přihlášení k Microsoft Entra ID a obvykle nepotřebují zadávat uživatelská jména. Oprávnění uživatelé přistupují ke cloudovým aplikacím bez dalších místních komponent:
  • Viz Microsoft Entra jednotné přihlašování: Rychlý start
  • Viz Microsoft Entra bezproblémové jednotné přihlašování: podrobné technické informace

Uživatelé

• Identity uživatelů – Seznamte se s automatizací pro vytváření, údržbu a odebírání identit uživatelů v cloudových aplikacích, jako je Dropbox, Salesforce, ServiceNow a další.
  • Viz Plánování automatického zřizování uživatelů v Microsoft Entra ID
• Microsoft Entra ID Governance – Vytvořte zásady správného řízení identit a vylepšete obchodní procesy, které spoléhají na data identity. Pomocí produktů personálního oddělení, jako jsou Workday nebo Successfactors, spravujte životní cyklus identit zaměstnanců a podmíněných zaměstnanců pomocí pravidel. Tato pravidla mapují procesy Joiner-Mover-Leaver (JLM), jako je nástup nového zaměstnance, ukončení pracovního poměru, přesun, na IT akce, jako jsou vytvoření, aktivace, deaktivace. Další informace najdete v následující části.
  • Podívejte se na Plánování cloudové HR aplikace pro zřizování uživatelů služby Microsoft Entra
• Microsoft Entra B2B spolupráce – Zlepšete spolupráci s externími uživateli pomocí zabezpečeného přístupu k aplikacím:
  • Viz přehled spolupráce B2B
  • Podívejte se na Naplánovat nasazení spolupráce Microsoft Entra B2B

Správa identit a reportování

Microsoft Entra ID Governance umožňuje organizacím zlepšit produktivitu, posílit zabezpečení a snadněji splňovat požadavky na dodržování předpisů a dodržování právních předpisů. Použijte Microsoft Entra ID Governance k zajištění správného přístupu k správným prostředkům. Zlepšete automatizaci procesů identit a přístupu, delegování do obchodních skupin a zvyšte viditelnost. Použijte následující seznam pro získání informací o správě identit a reportování.

Další informace:

• Secure access for a connected world – meet Microsoft Entra

• Řízení přístupu pro aplikace ve vašem prostředí

• Privileged Identity Management (PIM) – Správa privilegovaných rolí s administrátorskými právy napříč Microsoft Entra ID, Azure zdroji a dalšími Microsoft online službami. Použijte ho pro přístup za běhu (JIT), pracovní postupy schvalování žádostí a integrované kontroly přístupu, které pomáhají zabránit škodlivým aktivitám:

  • Začněte používat Privileged Identity Management
  • Viz Naplánování nasazení Privileged Identity Management

• Reporting a monitorování – Návrh řešení pro zprávy a monitorování Microsoft Entra má závislosti a omezení zahrnující oblasti jako právní záležitosti, zabezpečení, operace, prostředí a procesy.

  • Viz závislosti nasazení pro sestavy a monitorování v Microsoft Entra

• Recenze přístupu – Pochopení a správa přístupu k prostředkům:

  • Podívejte se, co jsou kontroly přístupu?
  • Viz Plán nasazení kontrol přístupu Microsoft Entra

Osvědčené postupy pro pilotní nasazení

Před provedením změny pro větší skupiny nebo pro všechny použijte pilotní projekty s malou skupinou. Ujistěte se, že je každý případ použití ve vaší organizaci otestovaný.

Pilotní projekt: Fáze 1

V první fázi cílíte na IT, použitelnost a další uživatele, kteří můžou testovat a poskytovat zpětnou vazbu. Pomocí této zpětné vazby můžete získat přehled o potenciálních problémech pro pracovníky podpory a vyvinout komunikaci a pokyny, které pošlete všem uživatelům.

Pilotní nasazení: Fáze 2

Rozšiřte pilotní nasazení na větší skupiny uživatelů pomocí dynamického členství nebo ručním přidáním uživatelů do cílových skupin.

Další informace: pravidla členství v Dynamické členství pro skupiny v Microsoft Entra ID