Share via

Vytvoření kontroly přístupu k prostředkům Azure a rolím Microsoft Entra v PIM

  • Článek

Potřeba přístupu k privilegovaným prostředkům Azure a rolím Microsoft Entra, které uživatelé v průběhu času mění. Pokud chcete snížit riziko související se zastaralými přiřazeními rolí, měli byste přístup kontrolovat pravidelně. Pomocí microsoft Entra Privileged Identity Management (PIM) můžete vytvořit kontroly přístupu pro privilegovaný přístup k prostředkům Azure a rolím Microsoft Entra. Můžete také nakonfigurovat opakované kontroly přístupu, ke kterým dochází automaticky. Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu.

Požadavky

Použití Privileged Identity Management vyžaduje licence. Další informace o licencování naleznete v tématu Základy licencování zásad správného řízení pro Id Microsoftu .

Další informace o licencích pro PIM najdete v licenčních požadavcích pro použití Privileged Identity Management.

Pokud chcete vytvořit kontroly přístupu pro prostředky Azure, musíte mít přiřazenou roli Vlastník nebo Uživatelský přístup Správa istrator pro prostředky Azure. Chcete-li vytvořit kontroly přístupu pro role Microsoft Entra, musíte být přiřazeni globální Správa istrator nebo privilegovaná role Správa istrator role.

Použití kontrol přístupu pro instanční objekty vyžaduje plán ID úloh Microsoft Entra Premium kromě licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.

  • Licencování Identities úloh Premium: Licence můžete zobrazit a získat v okně Identity úloh v Centru pro správu Microsoft Entra.

Poznámka:

Kontroly přístupu zachycují snímek přístupu na začátku každé instance kontroly. Všechny změny provedené během procesu kontroly se projeví v dalším cyklu kontroly. S zahájením každého nového opakování se v podstatě načtou příslušná data týkající se uživatelů, zdrojů, které kontrolují, a jejich revidujících.

Vytváření kontrol přístupu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako uživatel, který je přiřazený k některé z požadovaných rolí.

  2. Přejděte do služby Privileged Identity Governance>Privileged Identity Management.

  3. V případě rolí Microsoft Entra vyberte role Microsoft Entra. V případě prostředků Azure vyberte prostředky Azure.

    Na snímku obrazovky Centra pro správu Microsoft Entra vyberte zásady správného řízení identit.

  4. V případě rolí Microsoft Entra znovu v části Spravovat vyberte role Microsoft Entra. V případě prostředků Azure vyberte předplatné, které chcete spravovat.

  5. V části Spravovat vyberte Kontroly přístupu a pak výběrem možnosti Nový vytvořte novou kontrolu přístupu.

    Role Microsoft Entra – seznam kontrol accessu zobrazující stav všech kontrol snímku obrazovky.

  6. Pojmenujte kontrolu přístupu. Volitelně zadejte popis kontroly. Jméno a popis se zobrazí revidujícím.

    Vytvoření kontroly přístupu – snímek obrazovky s názvem a popisem

  7. Nastavte počáteční datum. Ve výchozím nastavení probíhá kontrola přístupu jednou, spustí se současně, kdy se vytvoří, a končí za jeden měsíc. Počáteční a koncové datum můžete změnit tak, aby se v budoucnu spustila kontrola přístupu a trvala však mnoho dní, které chcete.

    Snímek obrazovky počátečního data, frekvence, doby trvání, konce, počtu a koncového data

  8. Pokud chcete, aby se kontrola přístupu opakovala, změňte nastavení Frekvence z jednoho na Týdenní, Měsíční, Čtvrtletní, Roční nebo Půlroční. Pomocí posuvníku Doba trvání nebo textového pole definujte, kolik dní budou jednotlivé revize opakující se řady otevřeny pro vstup revidujících. Například maximální doba trvání, kterou můžete nastavit pro měsíční kontrolu, je 27 dní, aby se zabránilo překrývajícím se recenzím.

  9. Pomocí nastavení Konec můžete určit, jak ukončit řadu opakovaných kontrol přístupu. Řada může končit třemi způsoby: nepřetržitě spouští kontroly po neomezenou dobu, do určitého data nebo po dokončení definovaného počtu výskytů. Vy nebo jiný správce, který může spravovat recenze, můžete řadu po vytvoření zastavit změnou data v Nastavení tak, aby skončila k tomuto datu.

  10. V části Rozsah uživatelů vyberte obor kontroly. U rolí Microsoft Entra je první možností oboru Uživatelé a skupiny. Do tohoto výběru budou zahrnuti přímo přiřazení uživatelé a skupiny s možností přiřazení rolí. V případě rolí prostředků Azure bude prvním oborem Uživatelé. Skupiny přiřazené k rolím prostředků Azure se rozbalí tak, aby zobrazovaly přechodná přiřazení uživatelů v kontrole s tímto výběrem. Můžete také vybrat instanční objekty a zkontrolovat účty počítačů s přímým přístupem k prostředku Azure nebo roli Microsoft Entra.

    Rozsah uživatelů pro kontrolu členství v rolích snímku obrazovky

  11. Nebo můžete vytvářet kontroly přístupu jenom pro neaktivní uživatele. V části Rozsah Uživatelé nastavte neaktivní uživatele (na úrovni tenanta) pouze na true. Pokud je přepínač nastavený na hodnotu true, rozsah kontroly se zaměří jenom na neaktivní uživatele. Potom zadejte počet dní neaktivní s počtem dní neaktivních až 730 dnů (dva roky). Uživatelé neaktivní po zadaný počet dní budou jedinými uživateli v kontrole.

  12. V části Kontrola členství v rolích vyberte privilegovaný prostředek Azure nebo role Microsoft Entra, které chcete zkontrolovat.

    Poznámka:

    Výběrem více než jedné role vytvoříte více kontrol přístupu. Když například vyberete pět rolí, vytvoří se pět samostatných kontrol přístupu.

    Snímek obrazovky s přehledem členství v rolích

  13. V typu přiřazení vymezují obor kontroly podle toho, jak byl objekt zabezpečení přiřazen k roli. Pokud chcete zkontrolovat oprávněná přiřazení (bez ohledu na stav aktivace při vytvoření kontroly) nebo aktivní přiřazení, zvolte pouze oprávnění ke kontrole aktivních přiřazení. Pokud chcete zkontrolovat všechna aktivní a oprávněná přiřazení bez ohledu na typ, vyberte všechna aktivní a oprávněná přiřazení .

    Snímek obrazovky se seznamem typů přiřazení revidujících

  14. V části Revidujícím vyberte jednoho nebo více lidí, kteří chtějí zkontrolovat všechny uživatele. Nebo můžete vybrat, aby členové zkontrolovali svůj vlastní přístup.

    Seznam vybraných uživatelů nebo členů revidujících (sám)

    • Vybraní uživatelé – Pomocí této možnosti můžete určit konkrétního uživatele k dokončení kontroly. Tato možnost je dostupná bez ohledu na rozsah kontroly a vybraní kontroloři můžou kontrolovat uživatele, skupiny a instanční objekty.
    • Členové (sami) – Tuto možnost použijte, pokud chcete, aby uživatelé zkontrolovali svá přiřazení rolí. Tato možnost je dostupná jenom v případě, že je kontrola vymezená na uživatele a skupiny nebo uživatele. U rolí Microsoft Entra nebudou při výběru této možnosti součástí kontroly skupiny, které je možné přiřadit role.
    • Nadřízený – Tuto možnost použijte, pokud chcete, aby správce uživatele zkontroloval přiřazení role. Tato možnost je dostupná jenom v případě, že je kontrola vymezená na uživatele a skupiny nebo uživatele. Po výběru správce budete mít také možnost určit záložního revidujícího. Záložní revidujícím se zobrazí výzva, aby zkontrolovali uživatele, pokud uživatel nemá v adresáři zadaný žádný správce. V případě rolí Microsoft Entra se skupiny, které je možné přiřadit role, zkontroluje záložní kontrolor, pokud je vybrán.

Po dokončení nastavení

  1. Pokud chcete určit, co se stane po dokončení kontroly, rozbalte část Nastavení po dokončení.

    Snímek obrazovky znázorňující nastavení po dokončení pro automatické použití a možnosti by neměly reagovat revidující

  2. Pokud chcete automaticky odebrat přístup pro uživatele, kteří byli odepřeni, nastavte automatické použití výsledků na prostředek na povolení. Pokud chcete výsledky po dokončení kontroly použít ručně, nastavte přepínač Zakázat.

  3. Pomocí seznamu Pokud revidujícím neodpovídejte, určete, co se stane pro uživatele, kteří kontrolor nekontrolují během období kontroly. Toto nastavení nemá vliv na uživatele, kteří kontroloři kontrolovali.

    • Beze změny – Ponechat přístup uživatele beze změny
    • Odebrání přístupu – Odebrání přístupu uživatele
    • Schválení přístupu – Schválení přístupu uživatele
    • Přijmout doporučení – Vezměte doporučení systému k odepření nebo schválení nepřetržitého přístupu uživatele

  4. Pomocí akce použijte seznam odepřených uživatelů typu host a určete, co se stane pro uživatele typu host, kteří jsou odepřeni. Toto nastavení se v tuto chvíli nedá upravit pro microsoft Entra ID a kontroly rolí prostředků Azure; Uživatelé typu host, stejně jako všichni uživatelé, při odepření vždy ztratí přístup k prostředku.

    Po dokončení nastavení – akce, která se má použít na snímek obrazovky zamítnutých uživatelů typu host

  5. Můžete posílat oznámení dalším uživatelům nebo skupinám, aby dostávali aktualizace dokončení kontroly. Tato funkce umožňuje ostatním účastníkům, než je tvůrce revizí, aktualizovat průběh kontroly. Pokud chcete tuto funkci použít, vyberte Vybrat uživatele nebo skupiny a po zobrazení stavu dokončení přidejte dalšího uživatele nebo skupinu.

    Po dokončení nastavení – Přidání dalších uživatelů pro příjem oznámení snímek obrazovky

Rozšířené nastavení

  1. Chcete-li zadat další nastavení, rozbalte část Upřesnit nastavení .

    Upřesňující nastavení pro zobrazení doporučení, vyžadovat důvod schválení, oznámení pošty a snímek obrazovky s připomenutími

  2. Nastavte možnost Zobrazit doporučení , aby bylo možné zobrazit revidujícím systémová doporučení založená na přístupových informacích uživatele. Doporučení jsou založená na 30denním intervalu. Uživatelům, kteří se přihlásili během posledních 30 dnů, se zobrazují s doporučeným schválením přístupu, zatímco uživatelé, kteří se nepřihlásili, se zobrazují s doporučeným odepření přístupu. Tato přihlášení jsou bez ohledu na to, jestli byly interaktivní. Spolu s doporučením se zobrazí také poslední přihlášení uživatele.

  3. Pokud chcete povolit, aby kontrolor mohl zadat důvod ke schválení, nastavte možnost Vyžadovat důvod schválení.

  4. Pokud chcete, aby služba Microsoft Entra ID posílala e-mailová oznámení kontrolorům, když začne kontrola přístupu, a správcům, když se kontrola dokončí, u položky E-mailová oznámení nastavte Povolit.

  5. Pokud chcete, aby služba Microsoft Entra ID posílala kontrolorům, kteří ještě nedokončili určitou kontrolu, připomenutí probíhajících kontrol přístupu, u položky Připomenutí nastavte Povolit.

  6. Obsah e-mailu odeslaného revidujícím se automaticky vygeneruje na základě podrobností kontroly, jako je název kontroly, název zdroje, termín splnění atd. Pokud potřebujete způsob, jak sdělit další informace, jako jsou další pokyny nebo kontaktní údaje, můžete tyto podrobnosti zadat v e-mailu dalšího revidujícím, který bude součástí e-mailu s pozvánkou a připomenutím odeslaným přiřazeným recenzentům. Zvýrazněná část označuje místo, kde se tyto informace zobrazí.

    Obsah e-mailu odeslaného revidujícím se zvýrazněnými body

Správa kontroly přístupu

Průběh můžete sledovat, jakmile revidoři dokončí recenze na stránce Přehled kontroly přístupu. V adresáři nejsou změněna žádná přístupová práva, dokud se kontrola nedokončila. Níže je snímek obrazovky se stránkou přehledu prostředků Azure a kontrol přístupu rolí Microsoft Entra.

Stránka přehledu kontroly přístupu zobrazující podrobnosti kontroly přístupu pro role Microsoft Entra

Pokud se jedná o jednorázovou kontrolu, po uplynutí období kontroly přístupu nebo správce kontrolu přístupu zastaví, postupujte podle kroků v části Dokončení kontroly přístupu prostředků Azure a rolí Microsoft Entra, abyste zobrazili a použili výsledky.

Pokud chcete spravovat řadu kontrol přístupu, přejděte na kontrolu přístupu a v naplánovaných kontrolách najdete nadcházející výskyty a odpovídajícím způsobem upravte koncové datum nebo přidejte nebo odeberte revidující.

Na základě vašich výběrů v nastavení Po dokončení se automaticky použije po koncovém datu kontroly nebo po ručním zastavení kontroly. Stav kontroly se změní z Dokončeno prostřednictvím zprostředkujících stavů, jako je Použití a nakonec stav Použitý. Měli byste očekávat, že se během několika minut odeberou z rolí odepření uživatelé.

Dopad skupin přiřazených k rolím Microsoft Entra a rolím prostředků Azure v kontrolách přístupu

• Pro role Microsoft Entra je možné přiřadit skupiny s možností přiřazení role k roli pomocí skupin, které lze přiřadit role. Při vytvoření kontroly v roli Microsoft Entra s přiřazenými skupinami přiřazenými rolemi se název skupiny zobrazí v kontrole bez rozbalení členství ve skupině. Kontrolor může schválit nebo odepřít přístup celé skupiny k roli. Odepřené skupiny při použití výsledků kontroly ztratí přiřazení k roli.

• Pro role prostředků Azure je možné k této roli přiřadit libovolnou skupinu zabezpečení. Když se v roli prostředku Azure vytvoří kontrola s přiřazenou skupinou zabezpečení, uživatelé přiřazení k této skupině zabezpečení se plně rozbalí a zobrazí se revidujícímu roli. Když revidujícím odepřete uživatele, který byl přiřazen k roli prostřednictvím skupiny zabezpečení, uživatel se ze skupiny neodebere. Důvodem je to, že skupina mohla být sdílena s jinými prostředky Azure nebo prostředky mimo Azure. Změny vyplývající z odepřeného přístupu proto musí provést správce.

Poznámka:

Skupina zabezpečení může mít přiřazené další skupiny. V takovém případě se v kontrole role zobrazí jenom uživatelé přiřazené přímo ke skupině zabezpečení přiřazené k dané roli.

Aktualizace kontroly přístupu

Po spuštění jedné nebo více kontrol přístupu můžete chtít upravit nebo aktualizovat nastavení stávajících kontrol přístupu. Tady je několik běžných scénářů, které byste mohli zvážit:

  • Přidávání a odebírání revidujících – Při aktualizaci kontrol přístupu můžete kromě primárního revidujících přidat náhradního revidora. Při aktualizaci kontroly přístupu se můžou odebrat primární revidoři. Náhradní revidujícím se ale záměrně nedají vyměnit.

    Poznámka:

    Náhradní revidujícím se dají přidat jenom v případech, kdy je typ revidujících nadřízený. Primární revidujícím je možné přidat, když je vybraný uživatel typu revidujících.

  • Připomenutí revidujícím – Při aktualizaci kontrol přístupu se můžete rozhodnout povolit možnost připomenutí v části Upřesnit Nastavení. Po povolení dostanou uživatelé e-mailové oznámení v polovině období kontroly bez ohledu na to, jestli kontrolu dokončili nebo ne.

    Snímek obrazovky s možností připomenutí v nastavení kontroly přístupu

  • Aktualizace nastavení – Pokud je kontrola přístupu opakovaná, existují samostatná nastavení v části Aktuální versus řada. Aktualizace nastavení v části Aktuální použije změny pouze u aktuální kontroly přístupu při aktualizaci nastavení v části Řada aktualizuje nastavení pro všechna budoucí opakování.

    Snímek obrazovky se stránkou nastavení v části Kontroly přístupu

Další kroky