Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Scénáře nasazení jsou pokyny ke kombinování a testování produktů a služeb Microsoft Security. Můžete zjistit, jak schopnosti spolupracují na zlepšení produktivity, posílení zabezpečení a snadnějším splnění požadavků na dodržování předpisů.
Tento scénář vám pomůže určit potřebu zásad správného řízení ID Microsoft Entra k vytvoření a udělení přístupu pro vaši organizaci. Zjistěte, jak spravovat privilegované identity a přístup, který požadují.
V této příručce se zobrazí následující produkty a služby:
- Zásady správného řízení MICROSOFT Entra ID
- Microsoft Entra
- Privileged Identity Management (PIM)
- PIM pro skupiny
- Objevy a poznatky
- Řídicí panely prostředků
- Podmíněný přístup Microsoft Entra
- Revize přístupu
- Microsoft Azure
Časové osy
Časové osy zobrazují přibližnou dobu trvání fáze doručení a jsou založeny na složitosti scénáře. Časy jsou odhady a liší se v závislosti na prostředí.
- Zjišťování a přehledy – 1 hodina
- Role ID Microsoft Entra – 1 hodina
- Role v Azure – 1 hodina
- PIM pro skupiny – 1 hodina
- Kontroly přístupu – 1 hodina
- PIM a podmíněný přístup – 1 hodina
Požadavky
Ujistěte se, že jsou splněny následující požadavky.
- Identity s privilegovanými rolemi, které chtějí služby na vyžádání
- Aktivace administrativního přístupu typu just-in-time (JIT) na základě schválení k prostředkům Azure
- Role a aplikace Microsoft Entra ID s členstvím ve skupinách
- Při aktivaci role a kontrole stavu privilegovaných rolí jsou vyžadována zařízení splňující předpisy nebo silná ověřování.
Zjišťování životního cyklu uživatelů
Pokud se chcete připravit na scénář, proveďte zjišťování aktuálních procesů životního cyklu uživatelů.
- Shromažďování dostupných diagramů architektury
- Použití pilotní skupiny uživatelů
- Identifikace technických vlastníků pro nápravu nebo šetření
- Aktivujte účet u cílového nájemce pomocí:
- Správce uživatelů,
- Správce správy identit
- Správce privilegovaných rolí nebo
- Globální správce
Přečtěte si více o privilegovaných rolích a oprávněních v Microsoft Entra ID .
Privileged Identity Management
Ke správě, řízení a monitorování přístupu k prostředkům ve vaší organizaci použijte službu Privileged Identity Management (PIM) v Microsoft Entra ID: Microsoft Entra ID, Microsoft Azure a další služby, jako jsou Microsoft 365 nebo Microsoft Intune. Můžete také spravovat a auditovat role správce.
- Zobrazení uživatelů přiřazených k privilegovaným rolím
- Povolení přístupu správce JIT na vyžádání
- Nastavení toků schválení pro aktivaci oprávnění
- Získání upozornění a zobrazení aktivace a akcí správce v průběhu času
- Použijte PIM pro:
- Role adresáře Microsoft Entra ID - Privilegované role spravují Microsoft Entra ID a další online služby Microsoft 365
- Role pro prostředky Azure – role řízení přístupu na základě rolí (RBAC), která uděluje přístup ke skupinám pro správu, předplatným, skupinám prostředků a prostředkům.
- skupiny privilegovaného přístupu – Použijte PIM pro skupiny k nastavení přístupu JIT členům a vlastníkům ve zabezpečovacích skupinách Microsoft Entra ID, nebo
- Použijte skupiny pro role ID Microsoft Entra, přiřazení rolí Azure a pro další oprávnění.
Zjistěte, jak začít používat *Privileged Identity Management* .
Typy přiřazení PIM
Dva typy přiřazení jsou způsobilé a aktivní.
- způsobilých – Je třeba, aby členové aktivovali roli nebo provedli určité akce před aktivací role. Mezi akce patří vícefaktorové ověřování (MFA), obchodní odůvodnění nebo schválení od schvalovatelů.
- aktivní – před použitím nevyžadují, aby členové aktivovali roli. Aktivní členové mají přiřazená oprávnění připravená k použití. Tento typ přiřazení použijte pro zákazníky bez PIM.
Zjistěte, jak přiřazovat role vPIM.
Plánování nasazení PIM
Pokud chcete zmírnit rizika nadměrného, zbytečného nebo zneužití přístupu, použijte PIM k aktivaci role.
Zjistěte, jak naplánovatnasazení PIM.
Zjišťování a přehledy
Analýza a pohledy v PIM jsou funkce analýzy a akce, které zobrazují přiřazení privilegovaných rolí. Použijte jej ke změně trvalých přiřazení rolí na přiřazení ve stylu JIT (Just-In-Time). Podle potřeby uživatele přesuňte do oprávněného stavu nebo je můžete podle potřeby odebrat. Vytvořte kontroly přístupu pro globální správce. Nakonfigurujte nastavení role, například:
- Maximální doba trvání aktivace
- Vícefaktorové ověřování při aktivaci
- Vyžadování ověřování pomocí podmíněného přístupu
- Vyžadovat odůvodnění, informace o lístku, schválení a další
- Přiřadit dobu trvání
Zjistěte, jak spravovat přiřazení rolí Microsoft Entra pomocí rozhraní API PIM.
PIM pro role Azure
Nastavení rolí prostředků Azure určují vlastnosti přiřazení rolí. Mezi tyto vlastnosti patří vícefaktorové požadavky na ověřování a schválení pro aktivaci, maximální dobu trvání přiřazení a nastavení oznámení.
Zjistěte, jak nakonfigurovat nastavení role prostředků Azure vPIM a jak je aktivovat.
PIM pro skupiny
Pomocí procesu zjišťování můžete přenést skupiny do správy. Vyberte oprávněné uživatele pro role člena nebo vlastníka. Uživatelé aktivují oprávněné role v centru pro správu Microsoft Entra.
Přiřaditelné a nepřiřazovatelné role
Můžete povolit PIM ke správě administrativního přístupu k prostředkům pomocí skupin s přiřaditelnými rolemi nebo rolí Microsoft Entra. Pokud chcete spravovat riziko privilegovaného přístupu, omezte aktivní přístup, spravujte obor přístupu a poskytněte auditovatelný protokol privilegovaného přístupu.
přiřaditelná role
- Globální správce
- Správce privilegovaných rolí nebo
- Vlastník skupiny, který spravuje skupinu
- Žádné jiné role nemůžou měnit přihlašovací údaje aktivního člena.
nepřiřaditelné k roli
- Další role ID Microsoft Entra můžou skupinu spravovat.
- Různé role můžou změnit přihlašovací údaje aktivního člena.
Pro role Microsoft Entra můžete přiřazovat role pro správu pomocí PIM.
Úvahy o PIM pro skupiny
Přečtěte si následující podrobnosti o používání PIM pro skupiny:
- Skupiny přiřaditelné rolím nemůžou vnořit jiné skupiny.
- Skupiny jsou skupina zabezpečení Microsoft Entra ID nebo skupina Microsoft 365.
- Jedna skupina může být oprávněným členem jiné skupiny, a to i v případě, že jedna skupina je přiřaditelná role.
- Uživatel je aktivním členem skupiny A, což je oprávněný člen skupiny B, takže uživatelé mohou aktivovat členství ve skupině B.
- Aktivace je pro uživatele, který požádal o aktivaci.
- Skupina A se nestala členem skupiny B
Řídicí panely prostředků
Řídicí panely prostředků použijte pro kontroly přístupu v PIM.
- Grafické znázornění aktivací rolí zdrojů
- Grafy s rozdělením přiřazení rolí podle typu přiřazení
- Datová oblast s novými přiřazeními rolí
Přečtěte si o využití s pomocí řídicího panelu prostředků k provedení kontroly přístupu v PIM.
Kontroly přístupu v PIM
Pomocí kontrol přístupu můžete:
- Řízení přístupu k důležitým aplikacím, Microsoft Teams a skupinám Office 365
- Omezení rizika přístupu hostů Azure AD B2B
- Zajištění, že uživatelé v privilegovaných rolích vyžadují oprávnění
- Kontrola účtů počítačů s nadměrným přístupem
- Správa seznamů výjimek zásad podmíněného přístupu
V PIM použijte kontroly přístupu k:
- Automatizace zjišťování zastaralých přiřazení rolí
- Zkontrolujte role Azure a Microsoft Entra ID
- Odebrání uživatelů z role po kontrole přístupu
Role služby Azure:
-
Role služby Azure AD – Přiřaďte skupiny s možností přiřazení rolí. Když se vytvoří kontrola se skupinami, kterým lze přiřadit role, název skupiny se zobrazí v kontrole bez zobrazení členů skupiny.
- Schválit nebo odepřít přístup pro skupinu Když se použijí výsledky kontroly, zamítnuté skupiny přijdou o přiřazení role.
-
Role prostředků Azure – Přiřaďte skupinu zabezpečení k roli. Po vytvoření revize s přiřazenou skupinou zabezpečení se přiřazený uživatel zobrazí jako podrobnosti a je viditelný pro recenzenta.
- Odepřít uživatele přiřazené k roli prostřednictvím skupiny zabezpečení
- Uživatelé se ze skupiny neodeberou a výsledek zamítnutí je neúspěšný.
Integrace PIM a podmíněného přístupu
Pomocí kontextu ověřování podmíněného přístupu můžete vyžadovat oprávněné uživatele, aby splnili požadavky na zásady podmíněného přístupu. Správci můžou přidat požadavky na zabezpečení prostřednictvím zásad podmíněného přístupu:
- Vyžadovat zvýšení oprávnění jen ze zařízení kompatibilních s Intune
- Prosazování silných metod ověřování, jako je odolnost proti phishingu
Další informace:
- Příručka pro vývojáře pro kontext ověřování podmíněného přístupu
- Vyžadovat kontext ověřování podmíněného přístupu
- Sledovat výsledky zásad dodržování předpisů pro zařízení Intune
Nasazení PIM
- Objevujte prostředky Azure, které chcete spravovat v PIM
- Přenést skupiny do PIM
- Naučte se nastavení rolí pro role Microsoft Entra ID
- Naučte se nastavení rolí pro role prostředků Azure
- Povolení nastavení skupiny pro PIM
- Přiřazení rolí ID Microsoft Entra v PIM
- Přiřaďte prostředky Azure v PIM
- Přiřazení Skupin v PIM
- Aktivujte role Microsoft Entra ID v PIM
- Aktivace prostředků Azure v nástroji PIM
- Aktivace skupin v PIM
- schválit role ID Microsoft Entra v PIM
- Schválit prostředky Azure v PIM
- Schválit skupiny v PIM
- Rozšiřte role Microsoft Entra ID v PIM
- Rozšířit prostředky Azure pomocí PIM
- Rozšiř skupiny v PIM
- Vytvořte revizi přístupu
- Provedení kontroly přístupu
Další kroky
- Úvod k průvodci nasazením zásad správného řízení entra ID společnosti Microsoft
- Scénář 1: Automatizace životního cyklu zaměstnanců
- Scénář 2: Přiřaďte přístup zaměstnanců k prostředkům
- scénář 3: Řízení přístupu hostů a partnerů
- Scénář 4: Řízení privilegovaných identit a jejich přístupu