Správa externího přístupu pomocí správy nároků Microsoft Entra

Ke správě životního cyklu identit a přístupu použijte funkci správy nároků. Můžete automatizovat pracovní postupy žádostí o přístup, přiřazení přístupu, kontroly a vypršení platnosti. Delegovaní správci používají správu nároků k vytváření přístupových balíčků, ke kterým můžou externí uživatelé z jiných organizací požádat o přístup. Jeden a vícestupňový schvalovací pracovní postup je možné konfigurovat pro vyhodnocení požadavků a zřizovat uživatele pro časově omezený přístup s opakovanými recenzemi. Správa nároků se používá ke zřizování a rušení zřizování externích účtů na základě zásad.

Další informace:

• Co je správa nároků?
• Co jsou přístupové balíčky a jaké prostředky s nimi můžu spravovat?
• Co je zřizování?

Než začnete

Tento článek je číslo 6 v řadě 10 článků. Doporučujeme, abyste si články prostudovali v pořadí. Pokud chcete zobrazit celou řadu, přejděte do části Další kroky .

Povolení správy nároků

Následující klíčové koncepty jsou důležité pro pochopení správy nároků.

Přístupové balíčky

Přístupový balíček je základem správy nároků: seskupení prostředků, které se řídí zásadami, aby uživatelé mohli spolupracovat na projektu nebo provádět jiné úkoly. Přístupový balíček může například zahrnovat:

• Přístup k webům SharePointu
• Podnikové aplikace, včetně vlastních interních a softwarových aplikací (SaaS), jako je Salesforce
• Microsoft Teams
• Microsoft 365 Groups

Katalogy

Přístupové balíčky se nacházejí v katalogech. Pokud chcete seskupit související prostředky a přistupovat k balíčkům a delegovat jejich správu, vytvoříte katalog. Nejprve přidáte prostředky do katalogu a pak můžete přidat prostředky pro přístup k balíčkům. Můžete například vytvořit finanční katalog a delegovat jeho správu na člena finančního týmu. Tato osoba může přidávat prostředky, vytvářet přístupové balíčky a spravovat schvalování přístupu.

Další informace:

• Vytvoření a správa katalogu prostředků ve správě nároků
• Delegování a role ve správě nároků
• Přidání prostředků do katalogu

Následující diagram znázorňuje typický životní cyklus zásad správného řízení externího uživatele, který získá přístup k přístupovém balíčku s vypršením platnosti.

Samoobslužný externí přístup

Přístupové balíčky můžete zpřístupnit prostřednictvím portálu Microsoft Entra My Access, abyste externím uživatelům umožnili požádat o přístup. Zásady určují, kdo může požádat o přístupový balíček. Viz část Žádost o přístup k přístupového balíčku ve správě nároků.

Určíte, kdo může požádat o přístupový balíček:

• Připojení organizací
  • Viz, přidání připojené organizace ve správě nároků
• Nakonfigurované propojené organizace
• Uživatelé z organizací
• Členové nebo uživatelé typu host ve vašem tenantovi

Schválení

Přístupové balíčky můžou zahrnovat povinné schválení přístupu. Schválení může být jedna nebo vícestupňová a určují se zásadami. Pokud interní a externí uživatelé potřebují přístup ke stejnému balíčku, můžete nastavit zásady přístupu pro kategorie propojených organizací a pro interní uživatele.

Důležité

Implementujte schvalovací procesy pro externí uživatele.

Vypršení platnosti

Přístupové balíčky můžou obsahovat datum vypršení platnosti nebo počet dnů, které jste nastavili pro přístup. Po vypršení platnosti přístupového balíčku a ukončení přístupu se může odstranit nebo zablokovat přihlášení objekt uživatele typu host B2B představujícího uživatele. Pro externí uživatele doporučujeme vynutit vypršení platnosti přístupových balíčků. Ne všechny přístupové balíčky mají vypršení platnosti.

Důležité

U balíčků bez vypršení platnosti proveďte pravidelné kontroly přístupu.

Kontroly přístupu

Přístupové balíčky můžou vyžadovat pravidelné kontroly přístupu, které vyžadují, aby vlastník balíčku nebo návrh, aby potvrdily trvalou potřebu přístupu uživatelů. Viz správa přístupu hostů pomocí kontrol přístupu.

Před nastavením kontroly určete následující kritéria:

• Kdo
  • Kritéria pro pokračování přístupu
  • Revidující
• Jak často
  • Předdefinované možnosti jsou měsíční, čtvrtletní, BI ročně nebo ročně.
  • Doporučujeme čtvrtletní nebo častější kontroly balíčků, které podporují externí přístup.

Důležité

Kontroly přístupových balíčků kontrolují přístup udělený prostřednictvím správy nároků. Nastavte další procesy pro kontrolu přístupu k externím uživatelům mimo správu nároků.

Další informace: Plánování nasazení kontroly přístupu Microsoft Entra

Použití automatizace správy nároků

• Práce s rozhraním API pro správu nároků Microsoft Entra
• accessPackage typ prostředku
• Kontroly přístupu Microsoft Entra
• connectedOrganization typ prostředku
• entitlementManagementSettings typ prostředku

Doporučení k zásadám správného řízení externího přístupu

Osvědčené postupy

Pro řízení externího přístupu pomocí správy nároků doporučujeme následující postupy.

• U projektů s jedním nebo více obchodními partnery vytvořte a použijte přístupové balíčky k onboardingu a poskytnutí přístupu k prostředkům.
  • Vytvoření nového přístupového balíčku ve správě nároků
• Pokud máte ve svém adresáři uživatele B2B, můžete je přiřadit pro přístup k balíčkům.
• Přístup můžete přiřadit na webu Azure Portal nebo pomocí Microsoft Graphu.
  • Zobrazení, přidání a odebrání přiřazení přístupového balíčku ve správě nároků
  • Vytvoření nového přístupového balíčku ve správě nároků

Zásady správného řízení identit – Nastavení

Použijte zásady správného řízení identit – Nastavení k odebrání uživatelů z adresáře, když jejich přístupové balíčky vyprší. Následující nastavení platí pro uživatele, kteří jsou zaregistrovaní se správou nároků.

Delegování správy katalogu a balíčků

Katalog a správu balíčků můžete delegovat na vlastníky firmy, kteří mají více informací o tom, kdo by měl získat přístup. Zobrazení, delegování a rolí ve správě nároků

Vynucení vypršení platnosti přístupového balíčku

U externích uživatelů můžete vynutit vypršení platnosti přístupu. Viz část Změna nastavení životního cyklu pro přístupový balíček ve správě nároků.

• Datum ukončení přístupového balíčku založeného na projektu použijte k nastavení data .
  • V opačném případě doporučujeme, aby platnost už 365 dnů nebyla, pokud se nejedná o vícesměrový projekt.
• Povolit uživatelům rozšířit přístup
  • Vyžadování schválení k udělení rozšíření

Vynucení kontrol balíčků přístupu hostů

Kontroly balíčků pro přístup hostů můžete vynutit, abyste se vyhnuli nevhodnému přístupu hostů. Viz správa přístupu hostů pomocí kontrol přístupu.

• Vynucení čtvrtletních recenzí
• U projektů souvisejících s dodržováním předpisů nastavte revidujícím, aby kontroloři nekontrolují externí uživatele sami.
  • Jako revidujícím můžete použít správce přístupových balíčků.
• U méně citlivýchprojektůch

Další informace: Řízení přístupu pro externí uživatele ve správě nároků

Další kroky

V následujících sérii článků se dozvíte o zabezpečení externího přístupu k prostředkům. Doporučujeme postupovat podle uvedeného pořadí.

1. Určení stavu zabezpečení pro externí přístup pomocí Microsoft Entra ID

2. Zjištění aktuálního stavu externí spolupráce ve vaší organizaci

3. Vytvoření plánu zabezpečení pro externí přístup k prostředkům

4. Zabezpečení externího přístupu pomocí skupin v Microsoft Entra ID a Microsoftu 365

5. Přechod na řízenou spolupráci pomocí spolupráce Microsoft Entra B2B

6. Správa externího přístupu pomocí správy nároků Microsoft Entra (tady jste)

7. Správa externího přístupu k prostředkům pomocí zásad podmíněného přístupu

8. Řízení externího přístupu k prostředkům v Microsoft Entra ID pomocí popisků citlivosti

9. Zabezpečení externího přístupu k Microsoft Teams, SharePointu a OneDrive pro firmy pomocí Microsoft Entra ID

10. Převod místních účtů hostů na účty hosta Microsoft Entra B2B