Správa externího přístupu pomocí správy nároků Microsoft Entra
Ke správě životního cyklu identit a přístupu použijte funkci správy nároků. Můžete automatizovat pracovní postupy žádostí o přístup, přiřazení přístupu, kontroly a vypršení platnosti. Delegovaní správci používají správu nároků k vytváření přístupových balíčků, ke kterým můžou externí uživatelé z jiných organizací požádat o přístup. Jeden a vícestupňový schvalovací pracovní postup je možné konfigurovat pro vyhodnocení požadavků a zřizovat uživatele pro časově omezený přístup s opakovanými recenzemi. Správa nároků se používá ke zřizování a rušení zřizování externích účtů na základě zásad.
Další informace:
- Co je správa nároků?
- Co jsou přístupové balíčky a jaké prostředky s nimi můžu spravovat?
- Co je zřizování?
Než začnete
Tento článek je číslo 6 v řadě 10 článků. Doporučujeme, abyste si články prostudovali v pořadí. Pokud chcete zobrazit celou řadu, přejděte do části Další kroky .
Povolení správy nároků
Následující klíčové koncepty jsou důležité pro pochopení správy nároků.
Přístupové balíčky
Přístupový balíček je základem správy nároků: seskupení prostředků, které se řídí zásadami, aby uživatelé mohli spolupracovat na projektu nebo provádět jiné úkoly. Přístupový balíček může například zahrnovat:
- Přístup k webům SharePointu
- Podnikové aplikace, včetně vlastních interních a softwarových aplikací (SaaS), jako je Salesforce
- Microsoft Teams
- Microsoft 365 Groups
Katalogy
Přístupové balíčky se nacházejí v katalogech. Pokud chcete seskupit související prostředky a přistupovat k balíčkům a delegovat jejich správu, vytvoříte katalog. Nejprve přidáte prostředky do katalogu a pak můžete přidat prostředky pro přístup k balíčkům. Můžete například vytvořit finanční katalog a delegovat jeho správu na člena finančního týmu. Tato osoba může přidávat prostředky, vytvářet přístupové balíčky a spravovat schvalování přístupu.
Další informace:
- Vytvoření a správa katalogu prostředků ve správě nároků
- Delegování a role ve správě nároků
- Přidání prostředků do katalogu
Následující diagram znázorňuje typický životní cyklus zásad správného řízení externího uživatele, který získá přístup k přístupovém balíčku s vypršením platnosti.
Samoobslužný externí přístup
Přístupové balíčky můžete zpřístupnit prostřednictvím portálu Microsoft Entra My Access, abyste externím uživatelům umožnili požádat o přístup. Zásady určují, kdo může požádat o přístupový balíček. Viz část Žádost o přístup k přístupového balíčku ve správě nároků.
Určíte, kdo může požádat o přístupový balíček:
- Připojení organizací
- Nakonfigurované propojené organizace
- Uživatelé z organizací
- Členové nebo uživatelé typu host ve vašem tenantovi
Schválení
Přístupové balíčky můžou zahrnovat povinné schválení přístupu. Schválení může být jedna nebo vícestupňová a určují se zásadami. Pokud interní a externí uživatelé potřebují přístup ke stejnému balíčku, můžete nastavit zásady přístupu pro kategorie propojených organizací a pro interní uživatele.
Důležité
Implementujte schvalovací procesy pro externí uživatele.
Vypršení platnosti
Přístupové balíčky můžou obsahovat datum vypršení platnosti nebo počet dnů, které jste nastavili pro přístup. Po vypršení platnosti přístupového balíčku a ukončení přístupu se může odstranit nebo zablokovat přihlášení objekt uživatele typu host B2B představujícího uživatele. Pro externí uživatele doporučujeme vynutit vypršení platnosti přístupových balíčků. Ne všechny přístupové balíčky mají vypršení platnosti.
Důležité
U balíčků bez vypršení platnosti proveďte pravidelné kontroly přístupu.
Kontroly přístupu
Přístupové balíčky můžou vyžadovat pravidelné kontroly přístupu, které vyžadují, aby vlastník balíčku nebo návrh, aby potvrdily trvalou potřebu přístupu uživatelů. Viz správa přístupu hostů pomocí kontrol přístupu.
Před nastavením kontroly určete následující kritéria:
- Kdo
- Kritéria pro pokračování přístupu
- Revidující
- Jak často
- Předdefinované možnosti jsou měsíční, čtvrtletní, BI ročně nebo ročně.
- Doporučujeme čtvrtletní nebo častější kontroly balíčků, které podporují externí přístup.
Důležité
Kontroly přístupových balíčků kontrolují přístup udělený prostřednictvím správy nároků. Nastavte další procesy pro kontrolu přístupu k externím uživatelům mimo správu nároků.
Další informace: Plánování nasazení kontroly přístupu Microsoft Entra
Použití automatizace správy nároků
- Práce s rozhraním API pro správu nároků Microsoft Entra
accessPackage
typ prostředku- Kontroly přístupu Microsoft Entra
connectedOrganization
typ prostředkuentitlementManagementSettings
typ prostředku
Doporučení k zásadám správného řízení externího přístupu
Osvědčené postupy
Pro řízení externího přístupu pomocí správy nároků doporučujeme následující postupy.
- U projektů s jedním nebo více obchodními partnery vytvořte a použijte přístupové balíčky k onboardingu a poskytnutí přístupu k prostředkům.
- Pokud máte ve svém adresáři uživatele B2B, můžete je přiřadit pro přístup k balíčkům.
- Přístup můžete přiřadit na webu Azure Portal nebo pomocí Microsoft Graphu.
Zásady správného řízení identit – Nastavení
Použijte zásady správného řízení identit – Nastavení k odebrání uživatelů z adresáře, když jejich přístupové balíčky vyprší. Následující nastavení platí pro uživatele, kteří jsou zaregistrovaní se správou nároků.
Delegování správy katalogu a balíčků
Katalog a správu balíčků můžete delegovat na vlastníky firmy, kteří mají více informací o tom, kdo by měl získat přístup. Zobrazení, delegování a rolí ve správě nároků
Vynucení vypršení platnosti přístupového balíčku
U externích uživatelů můžete vynutit vypršení platnosti přístupu. Viz část Změna nastavení životního cyklu pro přístupový balíček ve správě nároků.
- Datum ukončení přístupového balíčku založeného na projektu použijte k nastavení data .
- V opačném případě doporučujeme, aby platnost už 365 dnů nebyla, pokud se nejedná o vícesměrový projekt.
- Povolit uživatelům rozšířit přístup
- Vyžadování schválení k udělení rozšíření
Vynucení kontrol balíčků přístupu hostů
Kontroly balíčků pro přístup hostů můžete vynutit, abyste se vyhnuli nevhodnému přístupu hostů. Viz správa přístupu hostů pomocí kontrol přístupu.
- Vynucení čtvrtletních recenzí
- U projektů souvisejících s dodržováním předpisů nastavte revidujícím, aby kontroloři nekontrolují externí uživatele sami.
- Jako revidujícím můžete použít správce přístupových balíčků.
- U méně citlivýchprojektůch
Další informace: Řízení přístupu pro externí uživatele ve správě nároků
Další kroky
V následujících sérii článků se dozvíte o zabezpečení externího přístupu k prostředkům. Doporučujeme postupovat podle uvedeného pořadí.
Určení stavu zabezpečení pro externí přístup pomocí Microsoft Entra ID
Zjištění aktuálního stavu externí spolupráce ve vaší organizaci
Vytvoření plánu zabezpečení pro externí přístup k prostředkům
Zabezpečení externího přístupu pomocí skupin v Microsoft Entra ID a Microsoftu 365
Přechod na řízenou spolupráci pomocí spolupráce Microsoft Entra B2B
Správa externího přístupu pomocí správy nároků Microsoft Entra (tady jste)
Správa externího přístupu k prostředkům pomocí zásad podmíněného přístupu
Řízení externího přístupu k prostředkům v Microsoft Entra ID pomocí popisků citlivosti
Převod místních účtů hostů na účty hosta Microsoft Entra B2B