Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Přehled
V Privilegované správě identit (PIM) v Microsoft Entra ID, který je součástí Microsoft Entra, nastavení role definují vlastnosti přiřazení role. Mezi tyto vlastnosti patří vícefaktorové požadavky na ověřování a schválení pro aktivaci, maximální dobu trvání přiřazení a nastavení oznámení. V tomto článku se dozvíte, jak nakonfigurovat nastavení role a nastavit pracovní postup schválení tak, aby určil, kdo může schválit nebo odepřít žádosti o zvýšení oprávnění.
Abyste mohli spravovat nastavení role PIM pro roli Microsoft Entra, musíte mít alespoň roli Správce privilegovaných rolí. Nastavení role jsou definována pro každou roli. Všechna přiřazení pro stejnou roli se řídí stejným nastavením role. Nastavení jedné role jsou nezávislá na nastavení role jiné.
Nastavení role PIM se také označuje jako zásady PIM.
Otevřít nastavení role
Otevření nastavení pro roli Microsoft Entra:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
Přejděte ke Správě identit a řízení>Privilegovaná správa identit>Microsoft Entra role>Role.
Na této stránce uvidíte seznam rolí Microsoft Entra dostupných v tenantovi, včetně předdefinovaných a vlastních rolí.
Vyberte roli, jejíž nastavení chcete nakonfigurovat.
Vyberte nastavení role. Na stránce Nastavení role můžete zobrazit aktuální nastavení role PIM pro vybranou roli.
Chcete-li aktualizovat nastavení role, vyberte Upravit .
Vyberte Aktualizovat.
Nastavení role
Tato část popisuje možnosti nastavení rolí.
Maximální doba trvání aktivace
Pomocí posuvníku Maximální doba trvání aktivace nastavte maximální dobu v hodinách, po které žádost o aktivaci přiřazení role zůstane aktivní, než vyprší její platnost. Tato hodnota může být od jednoho do 24 hodin.
Při aktivaci vyžadovat vícefaktorové ověřování
Před aktivací můžete vyžadovat, aby uživatelé, kteří mají nárok na roli, prokázali, kdo jsou, pomocí funkce vícefaktorového ověřování v Microsoft Entra ID. Vícefaktorové ověřování pomáhá chránit přístup k datům a aplikacím. Poskytuje další vrstvu zabezpečení pomocí druhé formy ověřování.
Uživatelé nemusí být vyzváni k vícefaktorovém ověřování, pokud se ověřili pomocí silných přihlašovacích údajů nebo zadali vícefaktorové ověřování dříve v relaci.
Pokud je vaším cílem zajistit, aby uživatelé museli při aktivaci poskytnout ověření, můžete použít kontext ověřování podmíněného přístupu Microsoft Entra společně s úrovní síly ověření. Tyto možnosti vyžadují, aby se uživatelé během aktivace ověřili pomocí metod, které se liší od těch, které použili k přihlášení k počítači.
Pokud se například uživatelé přihlašují k počítači pomocí Windows Hello pro firmy, můžete použít při aktivaci vyžadovat kontext ověřování podmíněného přístupu služby Microsoft Entra a Silné ověřování. Tato možnost vyžaduje, aby uživatelé při aktivaci role udělali přihlášení bez hesla pomocí aplikace Microsoft Authenticator.
Jakmile uživatel jednou v tomto příkladu poskytne přihlášení pomocí aplikace Microsoft Authenticator bez hesla, může v této relaci provést další aktivaci bez dalšího ověření. Přihlášení bez hesla pomocí microsoft Authenticatoru už je součástí jeho tokenu.
Povolte funkci vícefaktorového ověřování ID Microsoft Entra pro všechny uživatele. Další informace naleznete v tématu Plánování nasazení vícefaktorového ověřování Microsoft Entra.
Při aktivaci vyžadovat autentizační kontext Conditional Access od Microsoft Entra
Můžete vyžadovat, aby uživatelé, kteří mají nárok na roli, splnili požadavky zásad podmíněného přístupu. Můžete například vyžadovat, aby uživatelé používali konkrétní metodu ověřování vynucenou pomocí silných úrovní ověřování, zvýšili úroveň role na zařízení kompatibilním s Intune a dodržovali podmínky použití.
Pokud chcete tento požadavek vynutit, vytvoříte kontext ověřování podmíněného přístupu.
Nakonfigurujte zásady podmíněného přístupu, které vynucují požadavky pro tento kontext ověřování.
Rozsah zásad podmíněného přístupu by měl zahrnovat všechny nebo oprávněné uživatele pro roli. Nevytvářejte zásady podmíněného přístupu vymezené na kontext ověřování a roli adresáře současně. Během aktivace uživatel ještě nemá roli, takže zásady podmíněného přístupu by se neplatily.
Podívejte se na postup na konci této části o situaci, kdy možná budete potřebovat dvě zásady podmíněného přístupu. Jedna musí být vymezena na kontext ověřování a druhá musí být vymezena na roli.
Nakonfigurujte kontext ověřování v nastavení PIM pro roli.
Pokud nastavení PIM má při aktivaci nakonfigurovaný kontext ověřování podmíněného přístupu Microsoft Entra , zásady podmíněného přístupu definují podmínky, které musí uživatel splnit, aby splňoval požadavky na přístup.
To znamená, že objekty zabezpečení s oprávněními ke správě zásad podmíněného přístupu, jako jsou správci podmíněného přístupu nebo správci zabezpečení, můžou měnit požadavky, odebírat je nebo blokovat aktivaci role oprávněným uživatelům. Principály zabezpečení, které mohou spravovat zásady Conditional Access, by měly být považovány za vysoce privilegované a měly by být odpovídajícím způsobem chráněny.
Vytvořte a povolte zásady podmíněného přístupu pro kontext ověřování před konfigurací kontextu ověřování v nastavení PIM. Jako záložní mechanismus ochrany, pokud v nájemci nejsou žádné zásady podmíněného přístupu, které mají cíl na kontext ověřování nastavený v nastavení PIM, při aktivaci role PIM se vyžaduje funkce vícefaktorového ověřování v Microsoft Entra ID, protože by bylo nastaveno při aktivaci požadovat vícefaktorové ověřování.
Tento mechanismus ochrany před zálohováním je navržený tak, aby se chránil výhradně před scénářem, kdy se nastavení PIM aktualizovalo před vytvořením zásad podmíněného přístupu kvůli chybě konfigurace. Tento mechanismus ochrany zálohování se neaktivuje, pokud je politika podmíněného přístupu vypnutá, je v režimu jen pro sestavy, nebo má způsobilého uživatele vyloučeného z politiky.
Pokud chcete vynutit opakované ověřování při každé aktivaci role, nakonfigurujte zásady podmíněného přístupu cílené na váš kontext ověřování s frekvencí přihlášení nastavenou na Pokaždé v Řízení relace. Tím se zajistí, že se uživatelé musí při každé aktivaci privilegované role znovu autorizovat, a to i v případě, že mají aktivní relaci.
Když uživatel znovu aktivuje jednu aktivaci role, použije se 10minutové okno. Pokud uživatel v tomto okně aktivuje jinou oprávněnou roli, nezobrazí se výzva k opětovnému ověření. 10minutové okno platí pro role v Microsoft Entra, role zdrojů Azure a PIM pro skupiny.
Když uživatel aktivuje oprávněnou roli nakonfigurovanou s kontextem ověřování, zobrazí se mu zpráva: "Je povolená zásada podmíněného přístupu a může vyžadovat další ověření. Pokračujte kliknutím." Uživatel se pak přesměruje, aby dokončil opětovné ověření definované zásadami podmíněného přístupu.
Nastavení "Při aktivaci vyžaduje kontext ověřování podmíněného přístupu Microsoft Entra" definuje požadavky na kontext ověřování, které musí uživatelé splnit při aktivaci role. Po aktivaci role uživatelům nebude bráněno v používání oprávnění v jiné relaci prohlížení, na jiném zařízení nebo z jiného umístění.
Uživatelé například můžou k aktivaci role použít zařízení kompatibilní s Intune. Po aktivaci role se pak můžou přihlásit ke stejnému uživatelskému účtu z jiného zařízení, které nedodržuje předpisy Intune, a použít dříve aktivovanou roli.
Pokud chcete této situaci zabránit, vytvořte dvě zásady podmíněného přístupu:
- První zásada podmíněného přístupu cílí na kontext ověřování. Měl by mít ve svém rozsahu všechny uživatele nebo oprávněné uživatele. Tato zásada určuje požadavky, které musí uživatelé splnit, aby mohli aktivovat roli.
- Druhá zásada podmíněného přístupu cílí na role adresáře. Tato zásada určuje požadavky, které musí uživatelé splnit, aby se mohli přihlásit pomocí aktivované role adresáře.
Obě zásady můžou vynucovat stejné nebo různé požadavky v závislosti na vašich potřebách.
Další možností je vymezit obor zásad podmíněného přístupu, které vynucují určité požadavky oprávněným uživatelům přímo. Můžete například vyžadovat, aby uživatelé, kteří mají nárok na určité role, vždy používali zařízení kompatibilní s Intune.
Další informace o kontextu ověřování podmíněného přístupu najdete v tématu Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování.
Při aktivaci vyžadovat odůvodnění
Při aktivaci oprávněného přiřazení můžete vyžadovat, aby uživatelé zadali obchodní odůvodnění.
Vyžadování informací o lístku při aktivaci
U aktivace vybraného přiřazení můžete požadovat, aby uživatelé zadali číslo tiketu podpory. Tato možnost je pole pouze s informacemi. Korelace s informacemi v jakémkoli systému lístků se nevynucuje.
Vyžadovat schválení k aktivaci
Vyžadovat schválení pro aktivaci způsobilého přiřazení. Schvalovatel nemusí mít žádné role. Pokud použijete tuto možnost, vyberte alespoň jednoho schvalovatele. Doporučujeme vybrat aspoň dva schvalovatele. Pokud nejsou vybráni žádní konkrétní schvalovatelé, stanou se výchozími schvalovateli aktivní správci privilegovaných rolí nebo globální správci.
Důležité
Pokud jsou splněny všechny následující podmínky, budete uzamčeni z tenanta:
- Všichni správci privilegovaných rolí nebo globální správci mají oprávněná přiřazení, ale žádná nejsou aktivní.
- Schválení se vyžaduje pro aktivaci.
- Nejsou nakonfigurováni žádní schvalovatelé.
Vyhněte se této situaci tím, že nakonfigurujete účty pro nouzový přístup a nakonfigurujete konkrétní schvalovatele.
Další informace o schválení najdete v tématu Schválení nebo zamítnutí žádostí o role Microsoft Entra ve službě Privileged Identity Management.
Doba trvání přiřazení
Při konfiguraci nastavení pro roli si můžete vybrat ze dvou možností doby trvání přiřazení pro každý typ přiřazení: způsobilé a aktivní. Tyto možnosti se stanou výchozí maximální dobou trvání, když je uživatel přiřazen k roli ve službě Privileged Identity Management.
Můžete zvolit jednu z těchto opravňujících možností trvání přiřazení.
| Nastavení | Popis |
|---|---|
| Povolit trvalé oprávněné přiřazení | Správci prostředků můžou přiřadit trvalá oprávněná přiřazení. |
| Platnost oprávněného přiřazení vyprší po | Správci prostředků můžou vyžadovat, aby všechna oprávněná přiřazení měla zadané počáteční a koncové datum. |
Můžete také zvolit jednu z těchto možností doby trvání aktivního přiřazení.
| Nastavení | Popis |
|---|---|
| Povolit trvalé aktivní přiřazení | Správci prostředků můžou přiřadit trvalá aktivní přiřazení. |
| Vypršení platnosti aktivního přiřazení po | Správci prostředků mohou vyžadovat, aby všechna aktivní přiřazení měla zadané počáteční a koncové datum. |
Globální správci a správci privilegovaných rolí můžou obnovit všechna přiřazení se zadaným koncovým datem. Uživatelé také můžou iniciovat samoobslužné žádosti o prodloužení nebo obnovení přiřazení rolí.
Vyžadovat vícefaktorové ověřování při aktivním přiřazení
Můžete požadovat, aby správci při vytváření aktivního přiřazení (na rozdíl od nárokového) použili vícefaktorové ověřování. Privileged Identity Management nemůže vynutit vícefaktorové ověřování, když uživatel použije přiřazení role, protože už je v roli aktivní od okamžiku, kdy je přiřazený.
Správce nemusí být vyzván k vícefaktorovému ověřování, pokud se ověřil silnými přihlašovacími údaji nebo zadal vícefaktorové ověřování dříve v této relaci.
Vyžadovat odůvodnění aktivního přiřazení
Při vytváření aktivního přiřazení (na rozdíl od oprávněného) můžete vyžadovat, aby uživatelé zadali obchodní odůvodnění.
Na kartě Oznámení na stránce Nastavení role umožňuje Privileged Identity Management podrobnou kontrolu nad tím, kdo přijímá oznámení a která oznámení obdrží. Máte tyto možnosti:
- Vypnutí e-mailu: Konkrétní e-maily můžete vypnout zrušením zaškrtnutí výchozího políčka příjemce a odstraněním všech ostatních příjemců.
- Omezit e-maily na zadané e-mailové adresy: E-maily odeslané výchozím příjemcům můžete vypnout zrušením zaškrtnutí políčka výchozího příjemce. Pak můžete jako příjemce přidat další e-mailové adresy. Pokud chcete přidat více než jednu e-mailovou adresu, oddělte je středníkem (;).
- Odesílat e-maily výchozím příjemcům i dalším příjemcům: E-maily můžete posílat jak výchozímu příjemci, tak jinému příjemci. Zaškrtněte políčko výchozího příjemce a přidejte e-mailové adresy pro ostatní příjemce.
- Jenom kritické e-maily: U každého typu e-mailu můžete zaškrtnutím políčka přijímat jenom kritické e-maily. Díky této možnosti bude Privileged Identity Management dál posílat e-maily určeným příjemcům jenom v případě, že e-mail vyžaduje okamžitou akci. Například e-maily, které vyzývají uživatele k rozšíření přiřazení role, nejsou aktivovány. Aktivují se e-maily, které vyžadují, aby správci schválili žádost o rozšíření.
Poznámka:
Jedna událost v Privileged Identity Management může generovat e-mailová oznámení pro více příjemců – přiřazené osoby, schvalovatele nebo správce. Maximální počet oznámení odeslaných za jednu událost je 1 000. Pokud počet příjemců překročí 1 000 – obdrží e-mailové oznámení jenom prvních 1 000 příjemců. To nezabrání ostatním přiřazeným osobám, správcům ani schvalovatelům v používání jejich oprávnění v Microsoft Entra ID a Privileged Identity Management.
Správa nastavení rolí pomocí Microsoft Graphu
Pokud chcete spravovat nastavení pro role Microsoft Entra pomocí rozhraní API PIM v Microsoft Graphu, použijte sjednocený typ prostředkuRoleManagementPolicy a související metody.
V Microsoft Graphu se nastavení rolí označuje jako pravidla. Jsou přiřazeni k rolím Microsoft Entra prostřednictvím zásad pro kontejnery. Každá role Microsoft Entra má přiřazený konkrétní objekt zásad. Můžete načíst všechny zásady, které jsou určeny pro role Microsoft Entra. Pro každou zásadu můžete načíst přidruženou kolekci pravidel pomocí parametru $expand dotazu. Syntaxe požadavku je následující:
GET https://graph.microsoft.com/v1.0/policies/roleManagementPolicies?$filter=scopeId eq '/' and scopeType eq 'DirectoryRole'&$expand=rules
Další informace o správě nastavení rolí prostřednictvím rozhraní PIM API v Microsoft Graphu najdete v tématu Nastavení rolí a PIM. Příklady aktualizace pravidel najdete v tématu Pravidla aktualizace v PIM pomocí Microsoft Graphu.