Definování zásad organizace pro řízení přístupu k aplikacím ve vašem prostředí
Jakmile identifikujete jednu nebo více aplikací, které chcete použít k řízení přístupu pomocí MICROSOFT Entra ID, poznamenejte si zásady organizace pro určení, kteří uživatelé by měli mít přístup, a všechna další omezení, která má systém poskytnout.
Výběr aplikací a jejich rolí v oboru
Organizace s požadavky na dodržování předpisů nebo plány řízení rizik mají citlivé nebo důležité obchodní aplikace. Pokud je tato aplikace existující aplikací ve vašem prostředí, možná jste už zdokumentovali zásady přístupu pro toho, kdo by měl mít přístup k této aplikaci. Pokud ne, možná budete muset konzultovat s různými zúčastněnými stranami, jako jsou týmy pro dodržování předpisů a řízení rizik, abyste zajistili, že zásady používané k automatizaci rozhodnutí o přístupu jsou vhodné pro váš scénář.
Shromážděte role a oprávnění, které každá aplikace poskytuje. Některé aplikace můžou mít jenom jednu roli, například aplikaci, která má jenom roli Uživatel. Složitější aplikace můžou mít více rolí, které se mají spravovat prostřednictvím ID Microsoft Entra. Tyto aplikační role obvykle omezují přístup uživatele s danou rolí v rámci aplikace. Například aplikace, která má osobu správce, může mít dvě role: "Uživatel" a "Správce". Jiné aplikace mohou také spoléhat na členství ve skupinách nebo deklarace identity pro jemně odstupňované kontroly rolí, které je možné poskytnout aplikaci z Microsoft Entra ID při zřizování nebo deklarací identity vydané pomocí protokolů federačního jednotného přihlašování nebo zápisu do AD jako členství ve skupině zabezpečení. Nakonec můžou existovat role specifické pro aplikace, které se v Microsoft Entra ID nezobrazují – aplikace možná nepovoluje definování správců v Microsoft Entra ID, místo toho spoléhá na vlastní autorizační pravidla k identifikaci správců. SAP Cloud Identity Services má k dispozici pouze jednu roli, uživatel, který je k dispozici pro přiřazení.
Poznámka:
Pokud používáte aplikaci z galerie aplikací Microsoft Entra, která podporuje zřizování, může ID Microsoft Entra importovat definované role v aplikaci a automaticky aktualizovat manifest aplikace automaticky rolemi aplikace po nakonfigurování zřizování.
Vyberte, které role a skupiny mají členství, které se mají řídit v MICROSOFT Entra ID. Na základě požadavků na dodržování předpisů a řízení rizik organizace často upřednostňují tyto role aplikací nebo skupiny, které poskytují privilegovaný přístup nebo přístup k citlivým informacím.
Definování zásad organizace s požadavky a dalšími omezeními pro přístup k aplikaci
V této části si zapíšete zásady organizace, které plánujete použít k určení přístupu k aplikaci. Můžete to zaznamenat jako tabulku v tabulce, například
Role aplikace | Předpoklad pro přístup | Schvalovatelé | Výchozí doba trvání přístupu | Oddělení omezení povinností | Zásady podmíněného přístupu |
---|---|---|---|---|---|
Western Sales | Člen prodejního týmu | správce uživatele | Roční recenze | Nejde získat přístup k východním prodejům | Vícefaktorové ověřování (MFA) a zaregistrované zařízení vyžadované pro přístup |
Western Sales | Jakýkoli zaměstnanec mimo prodej | vedoucí prodejního oddělení | 90 dní | – | Vícefaktorové ověřování a zaregistrované zařízení vyžadované pro přístup |
Western Sales | Obchodní zástupce, který není zaměstnancem | vedoucí prodejního oddělení | 30 dní | – | Vícefaktorové ověřování vyžadované pro přístup |
Eastern Sales | Člen prodejního týmu | správce uživatele | Roční recenze | Nelze získat přístup k western sales | Vícefaktorové ověřování a zaregistrované zařízení vyžadované pro přístup |
Eastern Sales | Jakýkoli zaměstnanec mimo prodej | vedoucí prodejního oddělení | 90 dní | – | Vícefaktorové ověřování a zaregistrované zařízení vyžadované pro přístup |
Eastern Sales | Obchodní zástupce, který není zaměstnancem | vedoucí prodejního oddělení | 30 dní | – | Vícefaktorové ověřování vyžadované pro přístup |
Pokud už máte definici role organizace, podívejte se, jak migrovat roli organizace, kde najdete další informace.
Určete, jestli existují požadavky, standardy, které musí uživatel splnit, aby mu byl udělen přístup k aplikaci. Například za normálních okolností by měli mít přístup k aplikaci konkrétního oddělení pouze zaměstnanci na plný úvazek nebo zaměstnanci v konkrétním oddělení nebo nákladovém centru. Můžete také vyžadovat zásadu správy nároků pro uživatele z jiného oddělení, které žádá o přístup, aby měli jeden nebo více dalších schvalovatelů. I když může mít více fází schválení, může celkový proces uživatele, který získává přístup, zpomalit, tyto další fáze zajišťují, že žádosti o přístup jsou vhodné a rozhodnutí jsou zodpovědná. Například žádosti o přístup zaměstnancem můžou mít dvě fáze schválení, nejprve žádostmi o správce uživatele a druhý vlastníkem prostředků zodpovědným za data uložená v aplikaci.
Určete, jak dlouho má uživatel, který byl schválen pro přístup, měl mít přístup a kdy by měl tento přístup odejít. U mnoha aplikací si uživatel může zachovat přístup po neomezenou dobu, dokud už nebude přidružený k organizaci. V některých situacích může být přístup svázaný s konkrétními projekty nebo milníky, takže po skončení projektu se přístup automaticky odebere. Nebo pokud aplikaci prostřednictvím zásad používá jenom několik uživatelů, můžete nakonfigurovat čtvrtletní nebo roční kontroly přístupu všech uživatelů prostřednictvím těchto zásad, aby byl pravidelný dohled.
Pokud už vaše organizace řídí přístup pomocí modelu role organizace, naplánujte si, aby tento model role organizace přenesl do Microsoft Entra ID. Můžete mít definovanou organizační roli , která přiřazuje přístup na základě vlastnosti uživatele, jako je jeho pozice nebo oddělení. Tyto procesy můžou zajistit, aby uživatelé ztratili přístup, když už přístup nepotřebujete, i když neexistuje předem určené datum ukončení projektu.
Inquire if are there are separation of duties constraints. Můžete mít například aplikaci se dvěma rolemi aplikace, Western Sales a Eastern Sales a chcete zajistit, aby uživatel měl najednou jenom jedno prodejní území. Zahrňte seznam všech dvojic rolí aplikací, které nejsou kompatibilní s vaší aplikací, takže pokud má uživatel jednu roli, nesmí požádat o druhou roli.
Vyberte příslušné zásady podmíněného přístupu pro přístup k aplikaci. Doporučujeme analyzovat aplikace a seskupit je do aplikací, které mají stejné požadavky na prostředky pro stejné uživatele. Pokud se jedná o první federovanou aplikaci jednotného přihlašování, kterou integrujete se zásadami správného řízení identit Microsoft Entra ID, budete možná muset vytvořit novou zásadu podmíněného přístupu pro expresní omezení, jako jsou požadavky na vícefaktorové ověřování (MFA) nebo přístup založený na umístění. Můžete nakonfigurovat, aby uživatelé museli souhlasit s podmínkami použití. Další důležité informace o definování zásad podmíněného přístupu najdete v tématu Plánování nasazení podmíněného přístupu.
Určete, jak se mají zpracovávat výjimky z vašich kritérií. Aplikace může být například obvykle dostupná pouze pro určené zaměstnance, ale auditor nebo dodavatel může potřebovat dočasný přístup pro konkrétní projekt. Nebo zaměstnanec, který cestuje, může vyžadovat přístup z místa, které je normálně blokováno, protože vaše organizace nemá v dané lokalitě žádný stav. V těchto situacích se můžete rozhodnout, že budete mít také zásady správy nároků ke schválení, které můžou mít různé fáze nebo jiný časový limit nebo jiný schvalovatel. Dodavatel, který je přihlášený jako uživatel typu host ve vašem tenantovi Microsoft Entra, nemusí mít manažera, takže žádosti o přístup by mohl schválit sponzor pro svoji organizaci nebo vlastníka prostředku nebo pracovníka zabezpečení.
Protože zásady organizace pro uživatele, kteří by měli mít přístup, kontroluje zúčastněné strany, můžete začít integrovat aplikaci s Microsoft Entra ID. V pozdějším kroku jste připraveni nasadit zásady schválené organizací pro přístup v zásadách správného řízení Microsoft Entra ID.