Co jsou kontroly přístupu Azure AD?
Kontroly přístupu azure Active Directory (Azure AD) umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatele je možné pravidelně kontrolovat, abyste měli jistotu, že k nim mají nepřetržitý přístup jenom ti správní uživatelé.
Tady je video, které poskytuje rychlý přehled kontrol přístupu:
Proč jsou kontroly přístupu důležité?
Azure AD umožňuje spolupracovat s uživateli z vaší organizace a s externími uživateli. Uživatelé se můžou připojit ke skupinám, pozvat hosty, připojit se ke cloudovým aplikacím a pracovat vzdáleně ze svých pracovních nebo osobních zařízení. Pohodlí používání samoobslužných služeb vedlo k potřebě lepších možností správy přístupu.
- Jak se noví zaměstnanci připojují, jak zajistíte, aby měli přístup, který potřebují k produktivitě?
- Jak lidé přesouvají týmy nebo odcházejí z firmy, jak zajistíte, že se jejich starý přístup odebere?
- Nadměrné přístupová práva můžou vést k ohrožení zabezpečení.
- Nadměrné přístupové právo může také vést ke zjištění auditu, protože značí nedostatek kontroly nad přístupem.
- Musíte proaktivně zapojit vlastníky prostředků, aby pravidelně kontrolovali, kdo má ke svým prostředkům přístup.
Kdy byste měli používat kontroly přístupu?
- Příliš mnoho uživatelů v privilegovaných rolích: Je vhodné zkontrolovat, kolik uživatelů má přístup pro správu, kolik z nich jsou globální správci, a jestli se po přiřazení k úkolu správy neodebrali pozvaní hosté nebo partneři. Uživatele přiřazení rolí můžete znovu certifikovat v rolích Azure AD, jako jsou globální správci nebo role prostředků Azure, jako je správce uživatelských přístupů v prostředí Azure AD Privileged Identity Management (PIM).
- Pokud automatizace není možná: Můžete vytvořit pravidla pro dynamické členství ve skupinách zabezpečení nebo Skupiny Microsoft 365, ale co když se data personálního oddělení nenacházejí v Azure AD nebo pokud uživatelé po opuštění skupiny stále potřebují přístup k trénování jejich nahrazení? Pak můžete vytvořit kontrolu této skupiny, abyste měli jistotu, že uživatelé, kteří stále potřebují přístup, mají mít nepřetržitý přístup.
- Při použití skupiny pro nový účel: Pokud máte skupinu, která se bude synchronizovat s Azure AD, nebo pokud plánujete povolit Salesforce aplikace pro všechny ve skupině prodejního týmu, je vhodné požádat vlastníka skupiny, aby před použitím skupiny v jiném rizikovém obsahu zkontroloval členství ve skupině.
- Přístup k podnikovým důležitým datům: u určitých prostředků, jako jsou důležité obchodní aplikace, může být potřeba v rámci procesů dodržování předpisů požádat lidi, aby pravidelně znovu potvrdili a zdůvodňovali, proč potřebují nepřetržitý přístup.
- Pokud chcete zachovat seznam výjimek zásad: V ideálním světě by všichni uživatelé dodržovali zásady přístupu k zabezpečení přístupu k prostředkům vaší organizace. Někdy ale existují obchodní případy, které vyžadují, abyste udělali výjimky. Jako správce IT můžete tuto úlohu spravovat, vyhnout se dohledu nad výjimkami zásad a poskytnout auditorům důkaz o tom, že se tyto výjimky pravidelně kontrolují.
- Požádejte vlastníky skupiny, aby potvrdili, že stále potřebují hosty ve svých skupinách: Přístup zaměstnanců může být automatizovaný pomocí některých místních identit a správy přístupu (IAM), ale ne pozvaných hostů. Pokud skupina poskytuje hostům přístup k obsahu citlivému na podnikání, je zodpovědností vlastníka skupiny potvrdit, že hosté stále potřebují legitimní obchodní potřebu pro přístup.
- Pravidelně se rekurzují recenze: Můžete nastavit opakované kontroly přístupu uživatelů podle nastavených frekvencí, jako jsou týdenní, měsíční, čtvrtletní nebo roční, a kontroloři budou upozorněni na začátku každé kontroly. Kontroloři můžou schvalovat nebo odepřít přístup pomocí přívětivého rozhraní a pomocí inteligentních doporučení.
Poznámka
Pokud jste připravení vyzkoušet kontroly Accessu, podívejte se na vytvoření kontroly přístupu skupin nebo aplikací.
Kde vytváříte recenze?
V závislosti na tom, co chcete zkontrolovat, vytvoříte kontrolu přístupu v Azure AD kontrolách přístupu, Azure AD podnikových aplikacích (ve verzi Preview), Azure AD PIM nebo Azure AD správy nároků.
| Přístupová práva uživatelů | Revidujícím mohou být | Kontrola vytvořená v | Prostředí revidujících |
|---|---|---|---|
| Členovéskupiny zabezpečení členů skupiny Office | Určení vlastníciskupin revidujících | Azure AD kontroly přístupu Azure AD skupiny | Přístupový panel |
| Přiřazeno k připojené aplikaci | Zadaná revidujícímsamoobslužná kontrola | Azure AD kontrolách přístupu Azure AD podnikových aplikací (ve verzi Preview) | Přístupový panel |
| role Azure AD | Zadaná revidujícímsamoobslužná kontrola | Azure AD PIM | portál Azure |
| Role prostředků Azure | Zadaná revidujícímsamoobslužná kontrola | Azure AD PIM | portál Azure |
| Přiřazení přístupového balíčku | Zadaná revidovanáskupina členůskupiny – samoobslužná kontrola | Správa nároků Azure AD | Přístupový panel |
Licenční požadavky
Použití této funkce vyžaduje licenci Azure AD Premium P2. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si článek Porovnání obecně dostupných funkcí Azure AD.
Kolik licencí musíte mít?
Váš adresář potřebuje alespoň tolik licencí Azure AD Premium P2, kolik zaměstnanců bude provádět následující úkoly:
- Členové, kteří jsou přiřazeni jako revidujícím
- Členové, kteří provádějí samoobslužnou kontrolu
- Členové jako vlastníci skupiny, kteří provádějí kontrolu přístupu
- Členové jako vlastníci aplikací, kteří provádějí kontrolu přístupu
U uživatelů typu host bude licencování záviset na modelu licencování, který používáte. Níže uvedené aktivity uživatelů typu host se ale považují za Azure AD Premium P2 využití:
- Uživatelé typu host, kteří jsou přiřazeni jako revidující
- Uživatelé typu host, kteří provádějí samoobslužnou kontrolu
- Uživatelé typu host jako vlastníci skupin, kteří provádějí kontrolu přístupu
- Uživatelé typu host jako vlastníci aplikací, kteří provádějí kontrolu přístupu
Azure AD Premium P2 licence nejsou vyžadovány pro uživatele s rolemi globálního správce nebo správce uživatelů, kteří nastavují kontroly přístupu, konfigurují nastavení nebo používají rozhodnutí z kontrol.
Azure AD přístup uživatelů typu host je založený na fakturačním modelu měsíčních aktivních uživatelů (MAU), který nahrazuje fakturační model poměru 1:5. Další informace najdete v tématu Azure AD ceny externích identit.
Další informace o licencích najdete v tématu Přiřazení nebo odebrání licencí pomocí portálu Azure Active Directory.
Ukázkové scénáře licencí
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které potřebujete.
| Scenario | Výpočet | Počet licencí |
|---|---|---|
| Správce vytvoří kontrolu přístupu skupiny A s 75 uživateli a 1 vlastníkem skupiny a přiřadí vlastníka skupiny jako revidujícímu. | 1 licence vlastníka skupiny jako revidujícím | 1 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli a 3 vlastníky skupin a přiřadí 3 vlastníky skupiny jako revidujících. | 3 licence pro každého vlastníka skupiny jako revidujících | 3 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli. Dělá to samohodnocením. | 500 licencí pro každého uživatele jako samoobslužní kontroloři | 500 |
| Správce vytvoří kontrolu přístupu skupiny C s 50 členskými uživateli a 25 uživateli typu host. Dělá to samohodnocením. | 50licencích | 50 |
| Správce vytvoří kontrolu přístupu skupiny D se 6 členskými uživateli a 108 uživateli typu host. Dělá to samohodnocením. | 6licencích Uživatelům typu host se účtuje měsíční aktivní uživatel (MAU). Nejsou potřeba žádné další licence. * | 6 |
* Azure AD ceny externích identit (uživatele typu host) jsou založené na měsíčních aktivních uživatelích (MAU), což je počet jedinečných uživatelů s aktivitou ověřování v kalendářním měsíci. Tento model nahrazuje fakturační model poměru 1:5, který umožňuje až pět uživatelů typu host pro každou licenci Azure AD Premium ve vašem tenantovi. Pokud je váš tenant propojený s předplatným a k spolupráci s uživateli typu host používáte funkce externích identit, budete se automaticky účtovat pomocí fakturačního modelu založeného na MAU. Další informace najdete v tématu Fakturační model pro Azure AD externí identity.