Sdílet prostřednictvím

Průvodce rychlým startem pro Správa oprávnění Microsoft Entra

  • Článek

Vítá vás průvodce rychlým startem pro Správa oprávnění Microsoft Entra.

Správa oprávnění je řešení CIEM (Cloud Infrastructure Entitlement Management), které poskytuje komplexní přehled o oprávněních přiřazených všem identitám. Mezi tyto identity patří nadměrně privilegované úlohy a identity uživatelů, akce a prostředky napříč vícecloudovými infrastrukturami v Microsoft Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP). Správa oprávnění pomáhá vaší organizaci efektivně zabezpečit a spravovat cloudová oprávnění díky detekci, automatickému nastavení správné velikosti a průběžnému monitorování nepoužívaných a nadměrných oprávnění.

V této příručce pro rychlý start nastavíte prostředí s více cloudy, nakonfigurujete shromažďování dat a povolíte přístup k oprávněním, abyste zajistili správu a zabezpečení cloudových identit.

Požadavky

Než začnete, potřebujete přístup k těmto nástrojům pro proces onboardingu:

  • Přístup k místnímu prostředí BASH pomocí Azure CLI nebo Azure Cloud Shellu pomocí prostředí BASH (zahrnuje Azure CLI).
  • Přístup ke konzolám AWS, Azure a GCP
  • Aby uživatel mohl vytvořit novou registraci aplikace v tenantovi Microsoft Entra, musí mít přiřazenou roli Správa oprávnění Správa istrator.

Krok 1: Nastavení správy oprávnění

Pokud chcete povolit správu oprávnění, musíte mít tenanta Microsoft Entra (například Centrum pro správu Microsoft Entra).

  • Pokud máte účet Azure, máte automaticky tenanta Centra pro správu Microsoft Entra.
  • Pokud ho ještě nemáte, vytvořte si bezplatný účet na entra.microsoft.com.

Pokud jsou splněny výše uvedené body, pokračujte:

Povolení Správy oprávnění Microsoft Entra ve vaší organizaci

Ujistěte se, že jste správcem oprávnění Správa istrator. Přečtěte si další informace o rolích a oprávněních správy oprávnění.

Diagram znázorňující, kde Microsoft Entra protíná role Azure v tenantovi Microsoft Entra

Krok 2: Připojení vícecloudového prostředí

Zatím jsi,

  1. Byla přiřazena role Správa oprávnění Správa istrator v tenantovi Centra pro správu Microsoft Entra.
  2. Zakoupené licence nebo aktivace 45denní bezplatné zkušební verze pro správu oprávnění
  3. Správa oprávnění byla úspěšně spuštěna.

Teď se dozvíte o rolích a nastaveních režimů shromažďování dat kontroleru a dat ve správě oprávnění.

Nastavení kontroleru

Kontroler vám dává možnost určit úroveň přístupu, kterou udělíte uživatelům ve správě oprávnění.

  • Povolením kontroleru během onboardingu udělíte přístup správce správy oprávnění nebo přístup pro čtení a zápis, aby uživatelé mohli oprávnění správné velikosti a opravovat je přímo prostřednictvím správy oprávnění (místo přechodu na konzoly AWS, Azure nebo GCP). 

  • Zakázání kontroleru během onboardingu nebo jeho povolení nikdy neudělí uživateli s oprávněním jen pro čtení přístup k vašim prostředím.

Poznámka:

Pokud kontroler během onboardingu nepovolíte, můžete ho po dokončení registrace povolit. Pokud chcete po onboardingu nastavit kontroler ve správě oprávnění, přečtěte si téma Povolení nebo zakázání kontroleru po onboardingu. Po povolení kontroleru v prostředích AWS ho nemůžete zakázat.

Nastavení kontroleru během onboardingu nastavíte takto:

  1. Výběrem možnosti Povolit udělíte přístup ke správě oprávnění pro čtení a zápis.
  2. Výběrem možnosti Zakázat udělíte přístup ke správě oprávnění jen pro čtení.

Konfigurace shromažďování dat

Existují tři režimy, ze které si můžete vybrat, aby bylo možné shromažďovat data ve správě oprávnění.

  • Automatická (doporučená) správa oprávnění automaticky zjišťuje, nasadí a monitoruje všechna aktuální a budoucí předplatná.

  • Ruční zadání jednotlivých předplatných pro správu oprávnění ke zjišťování, onboardingu a monitorování Můžete zadat až 100 předplatných na kolekci dat.

  • Výběr možnosti Správa oprávnění automaticky zjistí všechna aktuální předplatná. Po zjištění vyberete, která předplatná se mají připojit a monitorovat.

Poznámka:

Pokud chcete použít režimy Automatické nebo Vybrat , musí být při konfiguraci shromažďování dat povolený kontroler.

Konfigurace shromažďování dat:

  1. Ve správě oprávnění přejděte na stránku Kolektory dat.
  2. Vyberte cloudové prostředí: AWS, Azure nebo GCP.
  3. Klikněte na Vytvořit konfiguraci.

Poznámka:

Proces shromažďování dat nějakou dobu trvá a ve většině případů se vyskytuje přibližně v 4–5hodinovém intervalu. Časový rámec závisí na velikosti autorizačního systému, který máte, a na množství dat, která jsou k dispozici pro shromažďování.

Onboarding Amazon Web Services (AWS)

Vzhledem k tomu, že je správa oprávnění hostovaná v Microsoft Entra, je potřeba provést další kroky k nasazení prostředí AWS.

Pokud chcete připojit AWS ke správě oprávnění, musíte vytvořit aplikaci Microsoft Entra v tenantovi Centra pro správu Microsoft Entra, kde je povolená správa oprávnění. Tato aplikace Microsoft Entra slouží k nastavení připojení OIDC k vašemu prostředí AWS.

OpenID Připojení (OIDC) je interoperabilní ověřovací protokol založený na skupině specifikací OAuth 2.0.

Diagram znázorňující připojení mezi Microsoft Entra ID a cloudovým prostředím AWS

Požadavky

Aby uživatel mohl vytvořit novou registraci aplikace v Microsoft Entra ID, musí mít přiřazenou roli Správa oprávnění Správa istrator.

ID a role účtu pro:

  • Účet AWS OIDC: Účet člena AWS určený k vytvoření a hostování připojení OIDC prostřednictvím zprostředkovatele identity OIDC
  • Účet protokolování AWS (volitelný, ale doporučený)
  • Účet AWS Management (volitelný, ale doporučený)
  • Členské účty AWS monitorované a spravované správou oprávnění (pro ruční režim)

Pokud chcete použít režim automatického shromažďování dat nebo vybrat , musíte připojit účet AWS Management.

Během tohoto kroku můžete řadič povolit zadáním názvu kontejneru S3 s protokoly aktivit AWS CloudTrail (nalezené na AWS Trails).

Pokud chcete připojit prostředí AWS a nakonfigurovat shromažďování dat, přečtěte si téma Onboarding účtu Amazon Web Services (AWS).

Onboarding Microsoft Azure

Když jste v tenantovi Microsoft Entra povolili správu oprávnění, vytvořila se podniková aplikace pro CIEM. Pokud chcete připojit prostředí Azure, udělíte této aplikaci oprávnění ke správě oprávnění.

  1. V tenantovi Microsoft Entra, kde je povolená správa oprávnění, vyhledejte podnikovou aplikaci CIEM (Cloud Infrastructure Entitlement Management).

  2. Přiřaďte k aplikaci CIEM roli Čtenář, která umožňuje správě oprávnění číst předplatná Microsoft Entra ve vašem prostředí.

Diagram znázorňující propojení mezi připojeními role Microsoft Entra k předplatnému Azure

Požadavky

  • Uživatel s oprávněními Microsoft.Authorization/roleAssignments/write v oboru předplatného nebo skupiny pro správu, který přiřadí role k aplikaci CIEM.

  • Chcete-li použít režimy automatického shromažďování dat nebo Vybrat data, musíte přiřadit roli Čtenář v oboru skupiny pro správu.

  • Chcete-li povolit kontroler, musíte přiřadit roli User Access Správa istrator aplikaci CIEM.

Pokud chcete připojit prostředí Azure a nakonfigurovat shromažďování dat, přečtěte si téma Onboarding předplatného Microsoft Azure.

Onboarding Google Cloud Platform (GCP)

Vzhledem k tomu, že je správa oprávnění hostovaná v Microsoft Azure, je potřeba provést další kroky pro onboarding vašeho prostředí GCP.

Pokud chcete připojit GCP ke správě oprávnění, musíte vytvořit aplikaci Centra pro správu Microsoft Entra v tenantovi Microsoft Entra, kde je povolená správa oprávnění. Tato aplikace Centra pro správu Microsoft Entra slouží k nastavení připojení OIDC k vašemu prostředí GCP.

OpenID Připojení (OIDC) je interoperabilní ověřovací protokol založený na skupině specifikací OAuth 2.0.

Diagram znázorňující propojení mezi aplikací Microsoft Entra OIDC a cloudovým prostředím GCP

Požadavky

Uživatel s možností vytvořit novou registraci aplikace v Microsoft Entra (potřebné k usnadnění připojení OIDC) je potřeba pro onboarding AWS a GCP.

Podrobnosti o ID pro:

  • Projekt GCP OIDC: projekt GCP určený vámi určený k vytvoření a hostování připojení OIDC prostřednictvím zprostředkovatele idP OIDC.
    • Číslo projektu a ID projektu
  • Identita úlohy GCP OIDC
    • ID fondu, ID zprostředkovatele fondu
  • Účet služby GCP OIDC
    • Název tajného kódu idP sady G-suite a e-mail uživatele G-suite IdP (volitelné)
    • ID projektů GCP, které chcete připojit (volitelné, pro ruční režim)

Přiřaďte role Čtenář a Kontrolor zabezpečení k účtu služby GCP na úrovni organizace, složky nebo projektu a udělte tak správě oprávnění přístup ke čtení pro vaše prostředí GCP.

Během tohoto kroku máte možnost povolit režim kontroleru tím, že přiřadíte role role Správa istrator a zabezpečení Správa istrator k účtu služby GCP na úrovni organizace, složky nebo projektu.

Poznámka:

Výchozí obor Správa oprávnění je na úrovni projektu.

Pokud chcete připojit prostředí GCP a nakonfigurovat shromažďování dat, přečtěte si téma Onboarding projektu GCP.

Shrnutí

Gratulujeme! Dokončili jste konfiguraci shromažďování dat pro vaše prostředí a proces shromažďování dat začal. Proces shromažďování dat nějakou dobu trvá; ve většině případů přibližně 4 až 5 hodin. Časový rámec závisí na množství autorizačních systémů, které jste onboardovali, a na tom, kolik dat je k dispozici pro shromažďování.

Sloupec stavu v uživatelském rozhraní pro správu oprávnění ukazuje, ve kterém kroku shromažďování dat jste.

  • Čekající: Správa oprávnění ještě nezačala zjišťovat ani onboarding.
  • Zjišťování: Správa oprávnění zjišťuje autorizační systémy.
  • Probíhá: Správa oprávnění dokončila detekci autorizačních systémů a je onboarding.
  • Onboarded: Shromažďování dat je hotové a všechny zjištěné autorizační systémy se připojují ke správě oprávnění.

Poznámka:

I když proces shromažďování dat pokračuje, můžete začít nastavovat uživatele a skupiny ve správě oprávnění.

Další kroky

Referenční informace: