Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Kontroly přístupu Microsoft Entra pomáhají vaší organizaci zajistit větší zabezpečení tím, že spravuje životní cyklus přístupu k prostředkům. Pomocí kontrol přístupu můžete:
Naplánujte pravidelné kontroly nebo ad hoc kontroly, abyste zjistili, kdo má přístup k určitým prostředkům, jako jsou aplikace a skupiny.
Sledujte recenze kvůli poznatkům, dodržování předpisů nebo politickým důvodům.
Delegujte kontroly konkrétním správcům, vlastníkům firmy nebo uživatelům, kteří si sami otestují potřebu nepřetržitého přístupu.
Pomocí přehledů můžete efektivně určit, jestli mají mít uživatelé i nadále přístup.
Automatizujte výsledky kontroly, jako je odebrání přístupu uživatelů k prostředkům.
Kontroly přístupu jsou součástí služby Microsoft Entra ID Governance. Dalšími možnostmi jsou správa nároků, Privileged Identity Management (PIM), pracovní postupy životního cyklu, zřizování a podmínky použití. Společně vám pomůžou vyřešit tyto čtyři otázky:
- Kteří uživatelé by měli mít přístup k jakým prostředkům?
- Co tito uživatelé s tímto přístupem dělají?
- Existuje efektivní řízení organizace pro správu přístupu?
- Můžou auditoři ověřit, že ovládací prvky fungují?
Plánování nasazení kontrol přístupu je nezbytné, abyste měli jistotu, že dosáhnete požadované strategie zásad správného řízení pro uživatele ve vaší organizaci.
Klíčové výhody
Mezi klíčové výhody povolení kontrol přístupu patří:
- Řízení spolupráce: Kontroly přístupu umožňují spravovat přístup ke všem prostředkům, které uživatelé potřebují. Když uživatelé sdílejí a spolupracují, můžete mít jistotu, že informace jsou mezi autorizovanými uživateli pouze.
- Řízení rizik: Kontroly přístupu poskytují způsob, jak zkontrolovat přístup k datům a aplikacím, což snižuje riziko úniku dat a úniku dat. Získáte možnost pravidelně kontrolovat přístup externích partnerů k podnikovým prostředkům.
- Řešení dodržování předpisů a zásad správného řízení: Pomocí kontrol přístupu můžete řídit a znovu certifikovat životní cyklus přístupu ke skupinám, aplikacím a webům. Můžete řídit a sledovat kontroly dodržování předpisů nebo aplikací citlivých na rizika, které jsou specifické pro vaši organizaci.
- Snížení nákladů: Kontroly přístupu jsou integrované v cloudu a nativně pracují s cloudovými prostředky, jako jsou skupiny, aplikace a přístupové balíčky. Použití kontrol přístupu je méně nákladné než vytváření vlastních nástrojů nebo jinak upgrade místní sady nástrojů.
Školicí materiály
Následující videa vám pomůžou získat informace o kontrolách přístupu:
- Co jsou kontroly přístupu v Microsoft Entra ID?
- Jak vytvořit přezkumy přístupu v Microsoft Entra ID
- Vytvoření automatických kontrol přístupu pro všechny uživatele typu host s přístupem ke skupinám Microsoft 365 v Microsoft Entra ID
- Povolení kontrol přístupu v Microsoft Entra ID
- Postup kontroly přístupu pomocí aplikace Můj přístup
Licence
Tato funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo předplatná Microsoft Entra Suite pro uživatele vaší organizace. Některé funkce v rámci této funkce můžou fungovat s předplatným Microsoft Entra ID P2. Další informace najdete v článcích o jednotlivých funkcích. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.
Poznámka:
K vytvoření přehledu neaktivních uživatelů a doporučení přidružení uživatelů ke skupinám je vyžadována licence Microsoft Entra ID Governance.
Naplánujte projekt nasazení přezkumů přístupu
Zvažte, jestli vaše organizace potřebuje určit strategii nasazení kontrol přístupu ve vašem prostředí.
Zapojení správných zúčastněných stran
Když technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se těmto úskalím vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran a aby role projektů byly jasné.
Pro kontroly přístupu budete pravděpodobně zahrnovat zástupce z následujících týmů ve vaší organizaci:
Správa IT spravuje infrastrukturu IT a spravuje investice do cloudu a aplikace SaaS (software jako služba). Tento tým:
- Kontroluje privilegovaný přístup k infrastruktuře a aplikacím, včetně Microsoft 365 a Microsoft Entra ID.
- Naplánuje a spustí kontroly přístupu u skupin, které se používají k údržbě seznamů výjimek nebo pilotních projektů IT pro udržování aktuálních přístupových seznamů.
- Zajišťuje, že programový (skriptovaný) přístup k prostředkům prostřednictvím služebních identit je řízen a kontrolován.
- Automatizujte procesy, jako je onboarding uživatelů a odpojování, žádosti o přístup a certifikace přístupu.
Bezpečnostní týmy zajišťují, aby plán splňoval bezpečnostní požadavky vaší organizace a vycházel z principu Zero Trust. Tento tým:
- Snižuje riziko a posiluje zabezpečení.
- Vynucuje přístup k prostředkům a aplikacím s nejnižšími oprávněními.
- Pomocí nástrojů zobrazíte centralizovaný autoritativní zdroj, kdo má přístup k čemu a jak dlouho.
Vývojové týmy vytvářejí a spravují aplikace pro vaši organizaci. Tento tým:
- Řídí, kdo může přistupovat k komponentám v SaaS, platformě jako službě (PaaS) a prostředkům infrastruktury jako služby (IaaS), které tvoří vyvinutá řešení.
- Spravuje skupiny, které mají přístup k aplikacím a nástrojům pro interní vývoj aplikací.
- Vyžaduje privilegované identity, které mají přístup k produkčnímu softwaru nebo řešením hostovaným pro vaše zákazníky.
Obchodní jednotky spravují projekty a vlastní aplikace. Tento tým:
- Zkontroluje a schválí nebo odmítne přístup ke skupinám a aplikacím pro interní a externí uživatele.
- Plánuje a kontroluje nepřetržitý přístup zaměstnanců a externích identit, jako jsou obchodní partneři.
- Potřebujete, aby zaměstnanci měli přístup k aplikacím požadovaným pro svou práci.
- Umožňuje oddělením spravovat přístup pro své uživatele.
Firemní zásady správného řízení zajišťují, že organizace dodržuje interní zásady a dodržuje předpisy. Tento tým:
- Žádosti nebo naplánování nových kontrol přístupu
- Vyhodnocuje procesy a postupy pro kontrolu přístupu, včetně dokumentace a uchovávání záznamů pro dodržování předpisů.
- Zkontroluje výsledky předchozích recenzí pro nejdůležitější zdroje.
- Ověřuje, jestli jsou zavedeny správné ovládací prvky k dosažení povinných zásad zabezpečení a ochrany osobních údajů.
- Vyžaduje opakovatelné procesy přístupu, které se dají snadno auditovat a hlásit.
Poznámka:
U kontrol, které vyžadují ruční vyhodnocení, naplánujte dostatečný počet recenzentů a cykly kontrol, které splňují potřeby vaší politiky a souladu. Pokud jsou cykly kontroly příliš časté nebo existuje příliš málo revidujících, může dojít ke ztrátě kvality a příliš mnoho nebo příliš málo lidí může mít přístup. Doporučujeme stanovit jasné odpovědnosti pro různé zúčastněné strany a oddělení zapojené do kontrol přístupu. Všechny týmy a jednotlivci, kteří se účastní, by měli rozumět jejich příslušným rolím a povinnostem dodržovat zásadu nejnižších oprávnění.
Plánování komunikace
Komunikace je důležitá pro úspěch každého nového obchodního procesu. Proaktivně komunikujte s uživateli, jak a kdy se jejich prostředí změní. Řekněte jim, jak získat podporu, pokud dojde k problémům.
Komunikace změn v zodpovědnosti
Revize přístupu pomáhají přenést odpovědnost za kontrolu a spravování stálého přístupu na majitele podniků. Oddělení rozhodnutí o přístupu od oddělení IT vede k přesnějším rozhodnutím o přístupu. Tato změna představuje kulturní posun v oblasti odpovědnosti a zodpovědnosti vlastníka zdrojů. Proaktivně komunikujte o této změně a zajistěte, aby vlastníci prostředků byli vyškoleni a mohli využít přehledy k dobrým rozhodnutím.
IT oddělení chce mít kontrolu nad všemi rozhodnutími o přístupu souvisejícím s infrastrukturou a přiřazením privilegovaných rolí.
Přizpůsobení e-mailové komunikace
Když plánujete revizi, nominujete uživatele, kteří tuto kontrolu dělají. Tito revidujícím pak obdrží e-mailové oznámení o nových kontrolách, které jim byly přiřazeny, a připomenutí před vypršením platnosti kontroly.
E-mail odeslaný revidujícím je možné přizpůsobit tak, aby obsahoval krátkou zprávu, která jim umožní reagovat na revizi. Další text použijte k:
Zahrňte osobní zprávu revidujícím, aby pochopili, že je odesílá vaše oddělení dodržování předpisů nebo ODDĚLENÍ IT.
Uveďte odkaz na interní informace o tom, co jsou očekávání kontroly, a další referenční materiály nebo školicí materiály.
Po výběru možnosti Spustit kontrolu budou revidoři přesměrováni na portál Můj přístup pro kontrolu přístupu skupin a aplikací. Portál jim poskytuje přehled všech uživatelů, kteří mají přístup k prostředku, který kontrolují, a systémová doporučení na základě informací o posledním přihlášení a přístupu.
Plánování pilotního nasazení
Doporučujeme zákazníkům, aby nejprve provedli pilotní kontroly přístupu s malou skupinou a cílili na nekritické prostředky. Pilotní nasazení vám může pomoci upravit procesy a komunikační strategie podle potřeby. Může vám pomoct zvýšit schopnost uživatelů a revidujících vyhovět požadavkům na zabezpečení a dodržování předpisů.
Ve vašem pilotním projektu doporučujeme:
- Začněte recenzemi, kde se výsledky automaticky nepoužívají, a můžete řídit důsledky.
- Ujistěte se, že všichni uživatelé mají platné e-mailové adresy uvedené v Microsoft Entra ID. Potvrďte, že obdrží e-mailovou komunikaci, aby mohli provést příslušnou akci.
- Zdokumentujte veškerý přístup odebraný jako součást pilotního nasazení, pokud ho potřebujete rychle obnovit.
- Monitorujte protokoly auditu, abyste měli jistotu, že jsou všechny události správně auditované.
Další informace najdete v tématu Osvědčené postupy pro pilot.
Úvod do kontrol přístupu
Tato část představuje koncepty kontroly přístupu, které byste měli znát před plánováním kontrol.
Jaké typy prostředků je možné zkontrolovat?
Po integraci prostředků vaší organizace s ID Microsoft Entra, jako jsou uživatelé, aplikace a skupiny, je možné je spravovat a kontrolovat.
Mezi typické cíle ke kontrole patří:
- Aplikace integrované s Microsoft Entra ID pro jednotné přihlašování, jako je SaaS a obchodní dokumentace.
- Členství ve skupinách synchronizované s MICROSOFT Entra ID nebo vytvořené v Microsoft Entra ID nebo Microsoft 365, včetně Microsoft Teams.
- Přístup k balíčku , který seskupuje prostředky, jako jsou skupiny, aplikace a weby, do jednoho balíčku pro správu přístupu.
- Role Microsoft Entra a role prostředků Azure, jak jsou definovány v PIM.
Kdo bude vytvářet a spravovat kontroly přístupu?
Role správy potřebná k vytvoření, správě nebo čtení kontroly přístupu závisí na typu prostředku, jehož členství se kontroluje. Následující tabulka označuje role požadované pro každý typ prostředku.
| Typ prostředku | Vytváření a správa kontrol přístupu (tvůrci) | Výsledky revize přístupu pro čtení |
|---|---|---|
| Skupina nebo aplikace | Globální správce Správce uživatelů Správce správy identit Správce privilegovaných rolí (pouze provádí recenze pro skupiny s přiřaditelnou rolí Microsoft Entra) Vlastník skupiny (pokud ho povolil správce) |
Globální správce Globální čtenář Správce uživatelů Správce správy identit Správce privilegovaných rolí Čtenář zabezpečení Vlastník skupiny (pokud ho povolil správce) |
| Role Microsoft Entra | Globální správce Správce privilegovaných rolí |
Globální správce Globální čtenář Správce uživatelů Správce privilegovaných rolí
Čtenář zabezpečení |
| Role prostředků Azure | Správce uživatelských přístupů (pro prostředek) Vlastník prostředku Vlastní role s oprávněním Microsoft.Authorization/* |
Správce uživatelských přístupů (pro prostředek) Vlastník prostředku Čtenář (pro zdroj) Vlastní role s oprávněními k Microsoft.Authorization/*/read. |
| Přístupový balíček | Globální správce Správce správy identit Vlastník katalogu (pro přístupový balíček) Správce balíčků přístupu (pro přístupový balíček) |
Globální správce Globální čtenář Správce uživatelů Správce správy identit Vlastník katalogu (pro přístupový balíček) Správce balíčků přístupu (pro přístupový balíček) Zabezpečovací čtečka |
Další informace naleznete v tématu Oprávnění role správce v Microsoft Entra ID.
Kdo zkontroluje přístup k prostředku?
Tvůrce kontroly přístupu se rozhodne v době vytvoření, kdo bude kontrolu provádět. Toto nastavení nelze po spuštění kontroly změnit. Recenzenti jsou zastoupeni:
- Vlastníci prostředků, kteří jsou obchodními vlastníky těchto prostředků.
- Individuální vybraní delegáti zvolení správcem kontrol přístupu.
- Uživatelé, kteří sami potvrzují svou potřebu dalšího přístupu.
- Správci kontrolují přístup svých podřízených k zdroji.
Poznámka:
Pokud vyberete vlastníky prostředků nebo manažery, správci určí záložní revidující, kteří jsou kontaktováni, pokud primární kontakt není dostupný.
Při vytváření kontroly přístupu můžou správci zvolit jednoho nebo více revidujících. Všichni recenzenti mohou zahájit a provést kontrolu tím, že vyberou uživatele pro pokračování přístupu k prostředku, nebo je odeberou.
Komponenty kontroly přístupu
Před implementací kontrol přístupu naplánujte typy kontrol relevantních pro vaši organizaci. Abyste to mohli udělat, musíte učinit obchodní rozhodnutí o tom, co chcete zkontrolovat, a akce, které se mají provést na základě těchto recenzí.
Pokud chcete vytvořit zásadu kontroly přístupu, potřebujete následující informace:
Jaké zdroje je potřeba zkontrolovat?
Přístup koho se kontroluje?
Jak často se má kontrola provádět?
Kdo bude recenzi provádět?
- Jak budou na kontrolu upozorněni?
- V jakém časovém rámci má kontrola proběhnout?
Jaké automatické akce se na základě kontroly mají vynutit?
- Co se stane, když recenzent neodpoví včas?
Jaké ruční akce se provádějí jako výsledek na základě kontroly?
Jaká komunikace by se měla odesílat na základě provedených akcí?
Příklad plánu kontroly přístupu
| Komponenta | Hodnota |
|---|---|
| Zdroje informací ke kontrole | Přístup k Microsoft Dynamics. |
| Kontrola četnosti | Měsíčně. |
| Kdo kontrolu provede | Programoví manažeři obchodní skupiny Dynamics. |
| Oznámení | E-mail se odešle na začátku recenze na alias Dynamics-Pms. Zahrňte povzbudivou vlastní zprávu pro recenzenty, aby si získali jejich podporu. |
| Časová osa | 48 hodin od oznámení. |
| Automatické akce | Odeberte přístup z libovolného účtu, který nemá žádné interaktivní přihlášení do 90 dnů, odebráním uživatele ze skupiny zabezpečení dynamics-access. Proveďte akce, pokud nebudou zkontrolovány v rámci stanoveného termínu. |
| Ruční akce | Recenzenti mohou schválit odstranění před automatizovanou akcí, pokud si to přejí. |
Automatizace akcí na základě kontrol přístupu
Odebrání přístupu můžete automatizovat nastavením možnosti Automatické použití výsledků na prostředek na Povolit.
Po dokončení kontroly a jejím ukončení budou uživatelé, kteří nebyli schváleni kontrolorem, automaticky odebráni ze zdroje, nebo jim zůstanou zachovány přístupová práva. Možnosti můžou znamenat odebrání členství ve skupině nebo přiřazení aplikace nebo odvolání práva na zvýšení oprávnění k privilegované roli.
Přijmout doporučení
Doporučení se zobrazují posuzovatelům jako součást jejich uživatelské zkušenosti a označují poslední přihlášení osoby k tenantovi nebo její poslední přístup k aplikaci. Tyto informace pomáhají revidujícím provést správné rozhodnutí o přístupu. Výběr Možnosti Přijmout doporučení se řídí doporučeními kontroly přístupu. Na konci kontroly přístupu systém tato doporučení automaticky použije pro uživatele, u kterých revidujícím neodpověděli.
Doporučení jsou založená na kritériích kontroly přístupu. Pokud například nakonfigurujete kontrolu tak, aby odebrala přístup bez interaktivního přihlášení po dobu 90 dnů, doporučujeme odebrat všechny uživatele, kteří splňují tato kritéria. Microsoft neustále pracuje na vylepšování doporučení.
Přehled přístupu hostů
Pomocí kontrol přístupu můžete zkontrolovat a protřídit identity partnerů pro spolupráci z externích organizací. Konfigurace kontroly pro jednotlivé partnery může splňovat požadavky na dodržování předpisů.
Externím identitám je možné udělit přístup k prostředkům společnosti. Mohou být:
- Přidáno do skupiny.
- Pozvaný do Teams.
- Přiřazeno k podnikové aplikaci nebo přístupovému balíčku.
- Přiřazena privilegovaná role v Microsoft Entra ID nebo v předplatném Azure.
Další informace najdete v ukázkovém skriptu. Skript ukazuje, kde se používají externí identity pozvané do organizace. V Microsoft Entra ID můžete zobrazit členství externího uživatele ve skupině, přiřazení rolí a přiřazení aplikací. Skript nezobrazí žádná přiřazení mimo ID Microsoft Entra, například přímé přiřazení práv k prostředkům SharePointu bez použití skupin.
Když vytvoříte kontrolu přístupu pro skupiny nebo aplikace, můžete se rozhodnout, že se revidující bude soustředit na všechny uživatele nebo pouze uživatele typu host. Výběrem pouze uživatelů typu host se revidujícím zobrazí prioritní seznam externích identit z Microsoft Entra business to business (B2B), kteří mají přístup k prostředku.
Důležité
Tento seznam nebude zahrnovat externí členy, kteří mají typ uživatelečlena. Tento seznam také nezahrnuje uživatele pozvané mimo spolupráci Microsoft Entra B2B. Příkladem jsou uživatelé, kteří mají přístup ke sdílenému obsahu přímo přes SharePoint.
Plánování revizí přístupu pro přístupové balíčky
Přístupové balíčky můžou výrazně zjednodušit strategii zásad správného řízení a kontroly přístupu. Přístupový balíček je sada všech zdrojů s přístupem, který uživatel potřebuje k práci na projektu nebo ke svému úkolu. Můžete například vytvořit přístupový balíček, který zahrnuje všechny aplikace, které vývojáři ve vaší organizaci potřebují, nebo všechny aplikace, ke kterým mají mít externí uživatelé přístup. Správce nebo delegovaný správce balíčků pak seskupí prostředky (skupiny nebo aplikace) a role, které uživatelé potřebují k těmto prostředkům.
Při vytváření přístupového balíčku můžete vytvořit jednu nebo více zásad přístupového balíčku, které nastavují podmínky, pro které můžou uživatelé požádat o přístupový balíček, jak vypadá proces schválení a jak často bude muset osoba znovu požádat o přístup nebo bude mít kontrolovaný přístup. Kontroly přístupu se konfigurují při vytváření nebo úpravách těchto zásad přístupového balíčku.
Vyberte kartu Životní cyklus a posuňte se dolů k sekci recenze.
Plánování kontrol přístupu pro skupiny
Kromě přístupových balíčků je kontrola členství ve skupině nejúčinnějším způsobem řízení přístupu. Přiřaďte přístup k prostředkům prostřednictvím skupin zabezpečení nebo skupin Microsoftu 365. Přidejte uživatele do těchto skupin, abyste získali přístup.
Přístup ke všem příslušným prostředkům je možné udělit jedné skupině. Skupinový přístup můžete přiřadit buď k jednotlivým prostředkům, nebo k balíčku, který seskupuje aplikace a další prostředky. Pomocí této metody můžete zkontrolovat přístup ke skupině místo přístupu jednotlivce ke každé aplikaci.
Členství ve skupinách si můžete prohlédnout:
- Správci.
- Vlastníci skupin.
- Vybraní uživatelé, kteří mají při vytváření kontroly delegovanou funkci kontroly
- Členové skupiny, kteří svědčí sami za sebe.
- Manažeři, kteří kontrolují přístup jejich přímých podřízených.
Vlastnictví skupiny
Vlastníci skupin zkontrolují členství, protože jsou nejlépe kvalifikovaní, aby věděli, kdo potřebuje přístup. Vlastnictví skupin se liší podle typu skupiny:
Skupiny vytvořené v Microsoftu 365 a ID Microsoft Entra mají jednoho nebo více dobře definovaných vlastníků. Ve většině případů jsou tito vlastníci skvělými recenzenty pro své vlastní skupiny, jelikož vědí, kdo by měl mít přístup.
Microsoft Teams například používá Skupiny Microsoft 365 jako základní autorizační model k udělení přístupu uživatelů k prostředkům, které jsou v SharePointu, Exchange, OneNotu nebo jiných službách Microsoftu 365. Tvůrce týmu se automaticky stane vlastníkem a měl by být zodpovědný za ověření členství v této skupině.
Skupiny vytvořené ručně v Centru pro správu Microsoft Entra nebo prostřednictvím skriptování prostřednictvím Microsoft Graphu nemusí nutně mít definované vlastníky. Definujte je prostřednictvím Centra pro správu Microsoft Entra v části Vlastníci skupiny nebo prostřednictvím Microsoft Graphu.
Skupiny synchronizované z místní Active Directory nemůžou mít vlastníka v MICROSOFT Entra ID. Když pro ně vytvoříte kontrolu přístupu, vyberte jednotlivce, kteří se nejlépe hodí k rozhodování o členství v nich.
Poznámka:
Definujte obchodní zásady, které definují, jak se skupiny vytvářejí, aby se zajistilo jasné vlastnictví skupiny a odpovědnost za pravidelnou kontrolu členství.
Kontrola členství ve vyloučených skupinách v zásadách podmíněného přístupu
Informace o kontrole členství vyloučených skupin najdete v tématu Použití kontrol přístupu Microsoft Entra ke správě uživatelů vyloučených ze zásad podmíněného přístupu.
Kontrola členství ve skupinách hostujících uživatelů
Informace o kontrole přístupu uživatelů typu host k členství ve skupinách najdete v tématu Správa přístupu hostů pomocí kontrol přístupu Microsoft Entra.
Kontrola přístupu k místním skupinám
Kontroly přístupu nemůžou měnit členství skupin, které synchronizujete z místní služby AD s Microsoft Entra Connect. Toto omezení je způsobeno tím, že autorita skupiny, která vznikla v místním prostředí Active Directory, pochází z místního AD. Pokud chcete řídit přístup k aplikacím založeným na skupinách AD, použijte zpětný zápis skupin ve službě Microsoft Entra Cloud Sync.
Dokud nemigrujete do skupin Microsoft Entra se zpětným zápisem skupin, můžete dál používat kontroly přístupu k plánování a údržbě pravidelných kontrol stávajících místních skupin. V takovém případě správci po dokončení každé kontroly podniknou akci v místní skupině. Tato strategie uchovává kontroly přístupu jako nástroj pro všechny typy kontrol.
Výsledky z kontroly přístupu můžete použít v místních skupinách a dále je zpracovat:
- Stažení sestavy CSV z kontroly přístupu a ruční provedení akce
- Pomocí Microsoft Graphu programově načítat výsledky rozhodnutí dokončených kontrol přístupu.
Pokud chcete například načíst výsledky pro skupinu spravovanou službou Ad ve Windows Serveru, použijte tento ukázkový skript PowerShellu. Skript popisuje požadovaná volání Microsoft Graph a exportuje příkazy PowerShell pro Windows Server AD k provedení změn.
Plánování kontrol přístupu pro aplikace
Když zkontrolujete všechny uživatele přiřazené k aplikaci, zkontrolujete uživatele, včetně zaměstnanců a externích identit, kteří se k této aplikaci můžou ověřit pomocí své identity Microsoft Entra. Pokud potřebujete vědět, kdo má přístup k určité aplikaci, místo přístupového balíčku nebo skupiny, zvolte, jestli chcete aplikaci zkontrolovat.
V následujících scénářích naplánujte kontroly aplikací:
- Uživatelům je udělen přímý přístup k aplikaci (mimo skupinu nebo přístupový balíček).
- Aplikace zveřejňuje důležité nebo citlivé informace.
- Aplikace má specifické požadavky na dodržování předpisů, které musíte potvrdit.
- Máte podezření na nevhodný přístup.
Než vytvoříte kontroly přístupu pro aplikaci, musí být aplikace integrovaná s Microsoft Entra ID jako aplikace ve vašem tenantovi s uživateli přiřazenými k rolím aplikace a možnost Vyžadovat přiřazení uživatele? v aplikaci musí být nastavena na Ano. Pokud je nastavená hodnota Ne, budou mít všichni uživatelé v adresáři, včetně externích identit, přístup k aplikaci a nebudete moct zkontrolovat přístup k aplikaci.
Pak přiřaďte uživatele a skupiny , jejichž přístup chcete zkontrolovat.
Přečtěte si další informace o tom, jak se připravit na kontrolu přístupu uživatelů k aplikaci.
Revidoři aplikace
Kontroly přístupu můžou být pro členy skupiny nebo pro uživatele, kteří byli přiřazeni k aplikaci. Aplikace v Microsoft Entra ID nemusí nutně mít vlastníka, což je důvod, proč možnost výběru vlastníka aplikace jako revidujícího není možná. Kontrolu můžete dále vymezit tak, aby kontrolujte pouze uživatele typu host přiřazené k aplikaci, a ne kontrolou veškerého přístupu.
Přezkum rolí v Microsoft Entra ID a Azure prostředcích
Privileged Identity Management zjednodušuje správu privilegovaného přístupu k prostředkům v Microsoft Entra ID. Použití PIM uchovává seznam privilegovaných rolí v MICROSOFT Entra ID a prostředcích Azure menší. Zvyšuje také celkové zabezpečení adresáře.
Kontroly přístupu umožňují revidujícím zjistit, jestli uživatelé stále potřebují být v roli. Stejně jako kontroly přístupu pro přístupové balíčky jsou kontroly rolí Microsoft Entra a prostředků Azure integrované do uživatelského prostředí správce PIM.
Pravidelně zkontrolujte následující přiřazení rolí:
- Globální správce
- Správce uživatelů
- Správce privilegovaného ověřování
- Správce podmíněného přístupu
- Správce zabezpečení
- Všechny role pro správu Služeb Microsoft 365 a Dynamics
Mezi zkontrolované role patří trvalá a oprávněná přiřazení.
V části Revidujícím vyberte jednoho nebo více lidí, kteří chtějí zkontrolovat všechny uživatele. Nebo můžete vybrat manažera, aby správce zkontroloval přístup lidí, které spravují, nebo členové (sami), aby členové zkontrolovali svůj vlastní přístup.
Spuštění kontrol přístupu
Jakmile připravíte strategii a plán pro kontrolu přístupu k prostředkům integrovaným s ID Microsoft Entra, nasaďte a spravujte recenze pomocí následujících zdrojů informací.
Kontrola přístupových balíčků
Aby se snížilo riziko zastaralého přístupu, můžou správci povolit pravidelné kontroly uživatelů, kteří mají aktivní přiřazení k přístupovém balíčku. Postupujte podle pokynů v článcích uvedených v tabulce.
| Články s návody | Popis |
|---|---|
| Vytváření kontrol přístupu | Povolte kontroly přístupového balíčku. |
| Provádějte kontroly přístupu | Zkontrolujte přístup pro ostatní uživatele, kteří jsou přiřazeni k přístupového balíčku. |
| Samoobslužná kontrola přiřazených přístupových balíčků | Proveďte samoobslužnou kontrolu přiřazených přístupových balíčků. |
Poznámka:
Uživatelé, kteří sami zkontrolují a říkají, že už nepotřebují přístup, se z přístupového balíčku neodeberou okamžitě. Po skončení kontroly se odeberou z přístupového balíčku nebo pokud správce kontrolu zastaví.
Kontrola skupin a aplikací
Potřeby přístupu ke skupinám a aplikacím pro zaměstnance a hosty se pravděpodobně mění v průběhu času. Aby se snížilo riziko spojené s zastaralým přiřazením přístupu, můžou správci vytvářet kontroly přístupu pro členy skupiny nebo přístup k aplikacím. Postupujte podle pokynů v článcích uvedených v tabulce.
| Články s návody | Popis |
|---|---|
| Vytváření kontrol přístupu | Vytvořte jednu nebo více kontrol přístupu pro členy skupiny nebo přístup k aplikacím. |
| Provádějte kontroly přístupu | Zkontrolujte přístup členů skupiny nebo uživatelů s přístupem k aplikaci. |
| Proveďte vlastní kontrolu přístupu | Umožňuje členům kontrolovat vlastní přístup ke skupině nebo aplikaci. |
| Dokončení kontroly přístupu | Zobrazte kontrolu přístupu a použijte výsledky. |
| Provedení akce pro místní skupiny | Pomocí ukázkového skriptu PowerShellu můžete pracovat s kontrolami přístupu pro místní skupiny. |
Kontrola rolí Microsoft Entra
Pokud chcete snížit riziko spojené se zastaralými přiřazeními rolí, pravidelně kontrolujte přístup k privilegovaným rolím Microsoft Entra.
Postupujte podle pokynů v článcích uvedených v tabulce.
| Články s návody | Popis |
|---|---|
| Vytváření kontrol přístupu | Vytvořte kontroly přístupu pro privilegované role Microsoft Entra v PIM. |
| Proveďte vlastní kontrolu přístupu | Pokud máte přiřazenou administrativní roli, schvalte nebo odepřete přístup k této roli. |
| Dokončení kontroly přístupu | Zobrazte kontrolu přístupu a použijte výsledky. |
Přehled rolí prostředků Azure
Pokud chcete snížit riziko spojené se zastaralými přiřazeními rolí, pravidelně kontrolujte přístup k privilegovaným rolím prostředků Azure.
Postupujte podle pokynů v článcích uvedených v tabulce.
| Články s návody | Popis |
|---|---|
| Vytváření kontrol přístupu | Vytvořte kontroly přístupu pro privilegované role prostředků Azure v PIM. |
| Proveďte vlastní kontrolu přístupu | Pokud máte přiřazenou administrativní roli, schvalte nebo odepřete přístup k této roli. |
| Dokončení kontroly přístupu | Zobrazte kontrolu přístupu a použijte výsledky. |
Používejte rozhraní API pro kontrolu přístupu
Informace o interakci a správě kontrolovatelných prostředků najdete v tématu Metody rozhraní Microsoft Graph API a kontroly autorizace oprávnění aplikací a rolí. Metody kontroly přístupu v rozhraní Microsoft Graph API jsou k dispozici pro kontexty aplikace i uživatele. Při spouštění skriptů v kontextu aplikace musí mít účet použitý ke spuštění rozhraní API (služební principál) udělena oprávnění AccessReview.Read.All, aby mohl získávat informace o kontrolách přístupu.
Mezi oblíbené úlohy kontroly přístupu, které se dají automatizovat pomocí rozhraní Microsoft Graph API pro kontroly přístupu, patří:
- Vytvořte a spusťte kontrolu přístupu.
- Ručně ukončete kontrolu přístupu před plánovaným koncem.
- Zobrazí seznam všech spuštěných kontrol přístupu a jejich stav.
- Prohlédněte si historii řady revizí a rozhodnutí a akcí provedených v jednotlivých kontrolách.
- Shromážděte rozhodnutí z kontroly přístupu.
- Shromážděte rozhodnutí z dokončených kontrol, kde kontrolor provedl jiné rozhodnutí, než jaký systém doporučil.
Když vytváříte nové dotazy rozhraní Microsoft Graph API pro automatizaci, pomocí Graph Exploreru můžete vytvářet a zkoumat dotazy Microsoft Graphu, než je vložíte do skriptů a kódu. Tento krok vám pomůže rychle iterovat dotaz, abyste získali přesně výsledky, které hledáte, beze změny kódu skriptu.
Monitorování kontrol přístupu
Aktivity kontroly přístupu se zaznamenávají a jsou k dispozici v protokolech auditu Microsoft Entra. Data auditu můžete filtrovat v kategorii, typu aktivity a rozsahu kalendářních dat. Tady je ukázkový dotaz.
| Kategorie | Zásady |
|---|---|
| Typ aktivity | Vytvořit kontrolu přístupu |
| Aktualizace kontroly přístupu | |
| Ukončení kontroly přístupu | |
| Odstranění kontroly přístupu | |
| Schválit rozhodnutí | |
| Odepřít rozhodnutí | |
| Rozhodnutí o resetování | |
| Použít rozhodnutí | |
| Rozsah kalendářních dat | Sedm dní |
Pokud chcete provádět pokročilejší dotazy a analýzu kontrol přístupu a sledovat změny a dokončování kontrol, exportujte protokoly auditu Microsoft Entra do azure Monitor Log Analytics nebo Azure Event Hubs. Když jsou protokoly auditu uložené v Log Analytics, můžete použít výkonný analytický jazyk a vytvořit vlastní řídicí panely. Další informace najdete v tématu Archivace protokolů a generování sestav o správě nároků ve službě Azure Monitor.
Další kroky
Seznamte se s následujícími souvisejícími technologiemi: