Plánování nasazení kontroly přístupu Azure Active Directory

Azure Active Directory (Azure AD) kontroly přístupu pomáhají vaší organizaci zajistit lepší zabezpečení sítě tím, že spravuje životní cyklus přístupu k prostředkům. Pomocí kontrol přístupu můžete:

  • Naplánujte pravidelné kontroly nebo proveďte ad hoc kontroly a zjistěte, kdo má přístup ke konkrétním prostředkům, jako jsou aplikace a skupiny.

  • Sledujte přehledy, dodržování předpisů nebo důvody zásad.

  • Delegujte kontroly konkrétním správcům, vlastníkům firmy nebo uživatelům, kteří si můžou sami ověřit potřebu dalšího přístupu.

  • Pomocí přehledů můžete efektivně určit, jestli by uživatelé měli mít přístup i nadále.

  • Automatizujte kontroly výsledků, jako je odebrání přístupu uživatelů k prostředkům.

    Diagram that shows the access reviews flow.

Kontroly přístupu jsou funkce zásad správného řízení identit Azure AD. Dalšími možnostmi jsou správa nároků, Privileged Identity Management (PIM) a podmínky použití. Společně vám pomůžou vyřešit tyto čtyři otázky:

  • Kteří uživatelé by měli mít přístup ke kterým prostředkům?
  • Co dělají tito uživatelé s tímto přístupem?
  • Existuje efektivní řízení organizace pro správu přístupu?
  • Můžou auditoři ověřit, že kontrolní mechanismy fungují?

Plánování nasazení kontrol přístupu je nezbytné, abyste zajistili, že pro uživatele ve vaší organizaci dosáhnete požadované strategie zásad správného řízení.

Klíčové výhody

Mezi klíčové výhody povolení kontrol přístupu patří:

  • Řízení spolupráce: Kontroly přístupu umožňují spravovat přístup ke všem prostředkům, které uživatelé potřebují. Když uživatelé sdílejí a spolupracují, můžete mít jistotu, že informace jsou pouze mezi autorizovanými uživateli.
  • Správa rizik: Kontroly přístupu poskytují způsob, jak zkontrolovat přístup k datům a aplikacím, což snižuje riziko úniku dat a úniku dat. Získáte možnost pravidelně kontrolovat přístup externích partnerů k podnikovým prostředkům.
  • Řešení dodržování předpisů a zásad správného řízení: Pomocí kontrol přístupu můžete řídit a znovu certifikovat životní cyklus přístupu ke skupinám, aplikacím a webům. Můžete řídit a sledovat kontroly dodržování předpisů nebo aplikací citlivých na rizika, které jsou specifické pro vaši organizaci.
  • Snížení nákladů: Kontroly přístupu jsou integrované v cloudu a nativně pracují s cloudovými prostředky, jako jsou skupiny, aplikace a přístupové balíčky. Použití kontrol přístupu je méně nákladné než vytváření vlastních nástrojů nebo jinak upgrade místní sady nástrojů.

Školicí materiály

Následující videa vám pomůžou získat informace o kontrolách přístupu:

Licenses

Potřebujete platnou licenci na Azure AD Premium (P2) pro každou osobu, kromě globálních správců nebo správců uživatelů, kteří budou vytvářet nebo provádět kontroly přístupu. Další informace najdete v tématu Kontroly licenčních požadavků accessu.

Můžete také potřebovat další funkce zásad správného řízení identit, jako je správa životního cyklu nároků nebo PIM. V takovém případě budete zřejmě potřebovat i související licence. Další informace najdete v tématu Ceny Azure Active Directory.

Plánování projektu nasazení kontrol přístupu

Zvažte, jestli vaše organizace potřebuje určit strategii nasazení kontrol přístupu ve vašem prostředí.

Zapojení správných zúčastněných stran

Když technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se těmto úskalím vyhnuli, ujistěte se, že jste zapojeni do správných zúčastněných stran a že role projektů jsou jasné.

Pro kontroly přístupu budete pravděpodobně zahrnovat zástupce z následujících týmů ve vaší organizaci:

  • Správa IT spravuje infrastrukturu IT a spravuje investice do cloudu a aplikace SaaS (software jako služba). Tento tým:

    • Kontroluje privilegovaný přístup k infrastruktuře a aplikacím, včetně Microsoft 365 a Azure AD.
    • Naplánuje a spustí kontroly přístupu u skupin, které se používají k údržbě seznamů výjimek nebo pilotních projektů IT pro udržování aktuálních přístupových seznamů.
    • Zajišťuje, že programový (skriptovaný) přístup k prostředkům prostřednictvím instančních objektů se řídí a kontroluje.
  • Vývojové týmy vytvářejí a spravují aplikace pro vaši organizaci. Tento tým:

    • Určuje, kdo má přístup k komponentám v SaaS, platformě jako službě (PaaS) a prostředcích infrastruktury jako služby (IaaS), které tvoří vyvinutá řešení.
    • Spravuje skupiny, které mají přístup k aplikacím a nástrojům pro interní vývoj aplikací.
    • Vyžaduje privilegované identity, které mají přístup k produkčnímu softwaru nebo řešením hostovaným pro vaše zákazníky.
  • Obchodní jednotky spravují projekty a vlastní aplikace. Tento tým:

    • Zkontroluje a schválí nebo odmítne přístup ke skupinám a aplikacím pro interní a externí uživatele.
    • Plány a kontroluje nepřetržitý přístup zaměstnanců a externích identit, jako jsou obchodní partneři.
  • Firemní zásady správného řízení zajišťují, že organizace dodržuje interní zásady a dodržuje předpisy. Tento tým:

    • Žádosti nebo naplánování nových kontrol přístupu
    • Posuzuje procesy a postupy kontroly přístupu, včetně dokumentace a uchovávání záznamů pro dodržování předpisů.
    • Zkontroluje výsledky předchozích recenzí pro nejdůležitější zdroje.

Poznámka

Pro kontroly, které vyžadují ruční vyhodnocení, naplánujte odpovídající revidujícím a kontrolujte cykly, které splňují vaše požadavky na zásady a dodržování předpisů. Pokud jsou cykly kontroly příliš časté nebo existuje příliš málo recenzentů, může dojít ke ztrátě kvality a příliš mnoho nebo příliš málo lidí může mít přístup.

Plán komunikace

Komunikace je důležitá pro úspěch jakéhokoli nového obchodního procesu. Proaktivně komunikujte s uživateli, jak a kdy se jejich prostředí změní. Řekněte jim, jak získat podporu, pokud dojde k problémům.

Komunikace změn v oblasti odpovědnosti

Kontroly přístupu podporují přesouvání odpovědnosti za kontrolu a činnost na nepřetržitém přístupu k vlastníkům firmy. Oddělení rozhodnutí o přístupu od IT oddělení řídí přesnější rozhodnutí o přístupu. Tento posun představuje kulturní změnu odpovědnosti a odpovědnosti vlastníka zdroje. Proaktivně sdělte tuto změnu a zajistěte, aby vlastníci prostředků byli natrénované a mohli pomocí přehledů provádět dobrá rozhodnutí.

IT oddělení bude chtít mít kontrolu nad všemi rozhodnutími o přístupu souvisejícím s infrastrukturou a přiřazením privilegovaných rolí.

Přizpůsobení e-mailové komunikace

Když naplánujete kontrolu, určíte uživatele, kteří budou tuto kontrolu provádět. Tito kontroloři pak obdrží e-mailové oznámení o nových recenzích přiřazených jim a připomenutí před vypršením platnosti revize přiřazené k nim.

E-mail odeslaný recenzentům lze přizpůsobit tak, aby obsahoval krátkou zprávu, která je vyzývá k tomu, aby se na revizi chovali. Další text použijte k:

  • Zahrňte osobní zprávu recenzentům, aby porozuměli tomu, že ji poslalo vaše oddělení dodržování předpisů nebo ODDĚLENÍ IT.

  • Uveďte odkaz na interní informace o tom, jaké jsou očekávání kontroly, a další referenční nebo školicí materiály.

    Screenshot that shows a reviewer email.

Po výběru možnosti Zahájit kontrolu budou revidujícím přesměrováni na portál Můj přístup pro kontrolu přístupu skupin a aplikací. Portál poskytuje přehled všech uživatelů, kteří mají přístup k prostředku, který kontrolují, a systémová doporučení na základě informací o posledním přihlášení a přístupu.

Plánování pilotního nasazení

Doporučujeme zákazníkům na začátku pilotní kontroly přístupu s malými skupinami a cílit na nekritické prostředky. Pilotní nasazení vám může pomoct upravit procesy a komunikaci podle potřeby. Může vám pomoct zvýšit schopnost uživatelů a revidujících splnit požadavky na zabezpečení a dodržování předpisů.

V pilotním nasazení doporučujeme:

  • Začněte kontrolou, kde se výsledky automaticky nepoužívají, a můžete řídit důsledky.
  • Ujistěte se, že všichni uživatelé mají platné e-mailové adresy uvedené v Azure AD. Potvrďte, že obdrží e-mailovou komunikaci, aby mohli provést příslušnou akci.
  • Zdokumentujte veškerý přístup odebraný jako součást pilotního nasazení v případě, že ho potřebujete rychle obnovit.
  • Monitorujte protokoly auditu, abyste měli jistotu, že jsou všechny události správně auditovány.

Další informace najdete v tématu Osvědčené postupy pro pilotní nasazení.

Úvod do kontrol přístupu

Tato část obsahuje koncepty kontroly přístupu, které byste měli znát před plánováním kontrol.

Jaké typy prostředků je možné zkontrolovat?

Po integraci prostředků vaší organizace s Azure AD, jako jsou uživatelé, aplikace a skupiny, je možné je spravovat a kontrolovat.

Mezi typické cíle kontroly patří:

Kdo vytvoří a spravuje kontroly přístupu?

Role správy potřebná k vytvoření, správě nebo čtení kontroly přístupu závisí na typu kontrolovaného prostředku. Následující tabulka označuje role požadované pro každý typ prostředku. Vlastní role s oprávněním Microsoft.Authorization/* můžou vytvářet a spravovat kontroly libovolného typu prostředku a vlastní role s alespoň oprávněními Microsoft.Authorization/*/read mohou číst recenze libovolného typu prostředku.

Typ prostředku Vytváření a správa kontrol přístupu (tvůrci) Výsledky kontroly přístupu pro čtení
Skupina nebo aplikace Globální správce

Správce uživatelů

Správce zásad správného řízení identit

Správce privilegovaných rolí (pouze kontroluje skupiny s možností přiřazení role Azure AD)

Vlastník skupiny (pokud je povolený správcem)

Globální správce

Globální čtenář

Správce uživatelů

Správce zásad správného řízení identit

Správce privilegovaných rolí

Čtenář zabezpečení

Vlastník skupiny (pokud je povolený správcem)

Role Azure AD Globální správce

Správce privilegovaných rolí

Globální správce

Globální čtenář

Správce uživatelů

Správce privilegovaných rolí

Čtenář zabezpečení

Role prostředků Azure Správce uživatelských přístupů (pro prostředek)

Vlastník prostředku

Správce uživatelských přístupů (pro prostředek)

Vlastník prostředku

Čtenář (pro prostředek)

Přístupový balíček Globální správce

Správce uživatelů

Správce zásad správného řízení identit

Vlastník katalogu (pro přístupový balíček)

Správce balíčků accessu (pro přístupový balíček)

Globální správce

Globální čtenář

Správce uživatelů

Správce zásad správného řízení identit

Vlastník katalogu (pro přístupový balíček)

Správce balíčků accessu (pro přístupový balíček)

Čtenář zabezpečení

Další informace najdete v tématu Oprávnění role správce v Azure AD.

Kdo zkontroluje přístup k prostředku?

Tvůrce kontroly přístupu se rozhodne v době vytvoření, kdo kontrolu provede. Toto nastavení nelze po spuštění kontroly změnit. Recenzenti jsou reprezentováni:

  • Vlastníci prostředků, kteří jsou vlastníky tohoto prostředku.
  • Individuální vybraní delegáti, kteří jsou zvoleni správcem kontroly přístupu.
  • Uživatelé, kteří si sami otestují potřebu dalšího přístupu.
  • Správci kontrolují přímý přístup k prostředku.

Při vytváření kontroly přístupu můžou správci zvolit jednoho nebo více revidujících. Všichni revidujícím můžou začít a provádět kontrolu tím, že zvolíte uživatele pro pokračování přístupu k prostředku nebo je odeberete.

Komponenty kontroly přístupu

Před implementací kontrol přístupu naplánujte typy kontrol relevantních pro vaši organizaci. Abyste to mohli udělat, budete muset učinit obchodní rozhodnutí o tom, co chcete zkontrolovat, a akce, které se mají provést na základě těchto kontrol.

Pokud chcete vytvořit zásadu kontroly přístupu, potřebujete následující informace:

  • Jaké prostředky se mají zkontrolovat?

  • Přístup koho se kontroluje?

  • Jak často se má kontrola provádět?

  • Kdo hodnocení?

    • Jak bude na kontrolu upozorněn?
    • V jakém časovém rámci má kontrola proběhnout?
  • Jaké automatické akce se na základě kontroly mají vynutit?

    • Co se stane, když kontrolor neodpoví včas?
  • Jaké ruční akce budou na základě kontroly provedeny?

  • Jaká komunikace by se měla odesílat na základě provedených akcí?

Příklad plánu kontroly přístupu

Součást Hodnota
Zdroje informací ke kontrole Přístup k Microsoft Dynamics
Kontrola četnosti Měsíční.
Kdo revize Programoví manažeři obchodní skupiny Dynamics.
Notification (Oznámení) E-mail se odešle na začátku revize aliasu Dynamics-Pms.

Zahrňte vlastní zprávu revidujícím, aby zajistili jejich nákup.

Časová osa Oznámení je 48 hodin.
Automatické akce Odeberte přístup z libovolného účtu, který nemá interaktivní přihlášení do 90 dnů, odebráním uživatele ze skupiny zabezpečení dynamics-access.

Proveďte akce, pokud se nekontrolují na časové ose.

Ruční akce Kontroloři můžou v případě potřeby provést schválení schválení před automatickým provedením.

Automatizace akcí na základě kontrol přístupu

Pokud chcete povolit automatické odebrání přístupu, můžete nastavit možnost Automatické použití výsledků na prostředek.

Screenshot that shows planning access reviews.

Po dokončení kontroly a ukončení se uživatelé, kteří nebyli schváleni kontrolorem, automaticky odeberou z prostředku nebo zůstanou s pokračováním přístupu. Možnosti můžou znamenat odebrání členství ve skupině nebo přiřazení aplikace nebo odvolání práva na zvýšení oprávnění k privilegované roli.

Přijmout doporučení

Recommendations se zobrazují revidujícím jako součást prostředí revidujícího a označují poslední přihlášení osoby k tenantovi nebo poslednímu přístupu k aplikaci. Tyto informace pomáhají revidujícím rozhodovat o správném přístupu. Výběrem možnosti Přijmout doporučení se řídí doporučeními kontroly přístupu. Na konci kontroly přístupu systém tato doporučení automaticky aplikuje na uživatele, u kterých revidujícím neodpověděli.

Recommendations jsou založeny na kritériích v kontrole přístupu. Pokud například nakonfigurujete kontrolu tak, aby odebrala přístup bez interaktivního přihlášení po dobu 90 dnů, doporučujeme, aby se odebrali všichni uživatelé, kteří odpovídají kritériím. Microsoft neustále pracuje na vylepšení doporučení.

Kontrola přístupu uživatelů typu host

Pomocí kontrol přístupu můžete zkontrolovat a vyčistit identity partnerů pro spolupráci z externích organizací. Konfigurace kontroly pro jednotlivé partnery může splňovat požadavky na dodržování předpisů.

Externí identity můžou být uděleny přístup k prostředkům společnosti. Může se jednat o:

  • Přidáno do skupiny.
  • Pozvaný na Teams.
  • Přiřazeno podnikové aplikaci nebo přístupového balíčku.
  • Přiřadili jste privilegovanou roli v Azure AD nebo v předplatném Azure.

Další informace najdete v ukázkovém skriptu. Skript ukazuje, kde se používají externí identity pozvané do tenanta. V Azure AD můžete zobrazit členství v skupině externího uživatele, přiřazení rolí a přiřazení aplikací. Skript nezobrazí žádná přiřazení mimo Azure AD, například přímé přiřazení práv k SharePoint prostředkům bez použití skupin.

Když vytvoříte kontrolu přístupu pro skupiny nebo aplikace, můžete se rozhodnout, že se revidující zaměří jenom na všechny uživatele s přístupem nebo uživatele typu host. Když vyberete jenom uživatele typu host, revidující dostanou prioritní seznam externích identit z Azure AD firmy do firmy (B2B), kteří mají přístup k prostředku.

Screenshot that shows reviewing guest users.

Důležité

Tento seznam nebude obsahovat externí členy, kteří mají typ uživatelečlena. Tento seznam také nebude obsahovat uživatele pozvané mimo spolupráci B2B mimo Azure AD. Příkladem jsou uživatelé, kteří mají přístup ke sdílenému obsahu přímo prostřednictvím SharePoint.

Plánování kontrol přístupu pro přístupové balíčky

Přístupové balíčky můžou výrazně zjednodušit strategii zásad správného řízení a kontroly přístupu. Přístupový balíček je sada všech zdrojů s přístupem, ke kterým musí uživatel pracovat na projektu nebo provádět svůj úkol. Můžete například chtít vytvořit přístupový balíček, který zahrnuje všechny aplikace, které vývojáři ve vaší organizaci potřebují, nebo všechny aplikace, ke kterým mají mít externí uživatelé přístup. Správce nebo delegovaný správce balíčků pak seskupí prostředky (skupiny nebo aplikace) a role, které uživatelé potřebují pro tyto prostředky.

Při vytváření přístupového balíčku můžete vytvořit jednu nebo více zásad přístupu, které nastavují podmínky, pro které můžou uživatelé požádat o přístupový balíček, jak vypadá proces schvalování a jak často bude muset osoba znovu požádat o přístup. Kontroly přístupu se konfigurují při vytváření nebo úpravách zásad přístupového balíčku.

Vyberte kartu Životní cyklus a posuňte se dolů a zobrazte kontroly přístupu.

Screenshot that shows the Lifecycle tab.

Plánování kontrol přístupu pro skupiny

Kromě přístupových balíčků je kontrola členství ve skupinách nejúčinnějším způsobem řízení přístupu. Přiřaďte přístup k prostředkům prostřednictvím skupin zabezpečení nebo skupin Microsoft 365. Přidejte uživatele do těchto skupin, abyste získali přístup.

Přístup ke všem příslušným prostředkům je možné udělit jedné skupině. Můžete přiřadit přístup ke skupině k jednotlivým prostředkům nebo k přístupovém balíčku, který seskupuje aplikace a další prostředky. Pomocí této metody můžete zkontrolovat přístup ke skupině místo přístupu jednotlivce k jednotlivým aplikacím.

Členství ve skupinách můžete zkontrolovat:

  • Správci.
  • Vlastníci skupin.
  • Vybraní uživatelé, kteří mají delegovanou funkci kontroly při vytváření kontroly.
  • Členové skupiny, kteří si otestují sami sebe.
  • Manažeři, kteří kontrolují přístup k přímým sestavám.

Vlastnictví skupiny

Vlastníci skupin zkontrolují členství, protože jsou nejlépe kvalifikovaní, aby věděli, kdo potřebuje přístup. Vlastnictví skupin se liší podle typu skupiny:

  • Skupiny vytvořené v Microsoft 365 a Azure AD mají jednoho nebo více dobře definovaných vlastníků. Vevětšiněch zařízeních ve většině případů můžou tito vlastníci vytvářet dokonalé revidenty pro své vlastní skupiny, protože vědí,

    Například Microsoft Teams používá Skupiny Microsoft 365 jako základní autorizační model k udělení přístupu uživatelů k prostředkům, které jsou v SharePoint, Exchange, OneNote nebo jiných službách Microsoft 365. Tvůrce týmu se automaticky stane vlastníkem a měl by být zodpovědný za ověření členství v této skupině.

  • Skupiny vytvořené ručně na portálu Azure AD nebo prostřednictvím skriptování prostřednictvím microsoft Graph nemusí nutně mít definované vlastníky. Definujte je prostřednictvím portálu Azure AD v části Vlastníci skupiny nebo prostřednictvím microsoft Graph.

  • Skupiny synchronizované z místní Active Directory nemůžou mít vlastníka v Azure AD. Při vytváření kontroly přístupu pro ně vyberte jednotlivce, kteří jsou nejvhodnější k rozhodování o členství v nich.

Poznámka

Definujte obchodní zásady, které definují, jak se skupiny vytvářejí, aby se zajistilo jasné vlastnictví skupiny a odpovědnost za pravidelnou kontrolu členství.

Kontrola členství ve skupinách vyloučení v zásadách podmíněného přístupu

Informace o tom, jak zkontrolovat členství ve skupinách vyloučení, najdete v tématu Použití kontrol přístupu Azure AD ke správě uživatelů vyloučených ze zásad podmíněného přístupu.

Kontrola členství ve skupinách uživatelů typu host

Informace o tom, jak zkontrolovat přístup uživatelů typu host k členství ve skupinách, najdete v tématu Správa přístupu hostů pomocí Azure AD kontrol přístupu.

Kontrola přístupu k místním skupinám

Kontroly přístupu nemůžou změnit členství ve skupinách skupin, které synchronizujete z místního prostředí s Azure AD Připojení. Toto omezení spočívá v tom, že zdroj autority je místní.

Kontroly přístupu můžete dál používat k plánování a údržbě pravidelných kontrol místních skupin. Revidujícím se pak provede akce v místní skupině. Tato strategie uchovává kontroly přístupu jako nástroj pro všechna hodnocení.

Výsledky z kontroly přístupu můžete použít v místních skupinách a dále je zpracovat:

  • Stažení sestavy CSV z kontroly přístupu a ruční provedení akce
  • Pomocí Microsoftu Graph můžete programově přistupovat k výsledkům a rozhodnutím v dokončených kontrolách přístupu.

Pokud například chcete získat přístup k výsledkům pro skupinu spravovanou Windows AD, použijte tento ukázkový skript PowerShellu. Skript popisuje požadované volání Microsoftu Graph a exportuje Windows AD-PowerShell příkazy k provedení změn.

Plánování kontrol přístupu pro aplikace

Když zkontrolujete přístup k aplikaci, kontrolujete přístup zaměstnanců a externích identit k informacím a datům v aplikaci. Pokud potřebujete vědět, kdo má přístup k konkrétní aplikaci, místo přístupového balíčku nebo skupiny, zvolte kontrolu aplikace.

Plánování kontrol aplikací v následujících scénářích:

  • Uživatelům je udělen přímý přístup k aplikaci (mimo skupinu nebo přístupový balíček).
  • Aplikace zveřejňuje kritické nebo citlivé informace.
  • Aplikace má specifické požadavky na dodržování předpisů, pro které je nutné provést testování.
  • Máte podezření na nevhodný přístup.

Pokud chcete pro aplikaci vytvořit kontroly přístupu, nastavte požadovanou možnost Přiřazení uživatele naano. Pokud je nastavená na Ne, můžou k aplikaci přistupovat všichni uživatelé ve vašem adresáři, včetně externích identit, a nemůžete zkontrolovat přístup k aplikaci.

Screenshot that shows planning app assignments.

Pak přiřaďte uživatele a skupiny , jejichž přístup chcete zkontrolovat.

Přečtěte si další informace o tom, jak se připravit na kontrolu přístupu uživatelů k aplikaci.

Revidoři aplikace

Kontroly přístupu můžou být pro členy skupiny nebo pro uživatele, kteří byli přiřazeni k aplikaci. Aplikace v Azure AD nemusí nutně mít vlastníka, a proto není možné vybrat vlastníka aplikace jako revidujícího. Kontrolu můžete dále nastavit tak, aby kontrolovat pouze uživatele typu host přiřazený k aplikaci, a ne zkontrolovat veškerý přístup.

Kontrola Azure AD a rolí prostředků Azure

Privileged Identity Management zjednodušuje správu privilegovaného přístupu k prostředkům v Azure AD. Použití PIM uchovává seznam privilegovaných rolí v Azure AD a prostředcích Azure mnohem menší. Zvyšuje se také celkové zabezpečení adresáře.

Kontroly přístupu umožňují revidujícím zjistit, jestli uživatelé stále musí být v roli. Stejně jako kontroly přístupu pro přístupové balíčky jsou kontroly rolí Azure AD a prostředků Azure integrované do uživatelského prostředí správce PIM.

Pravidelně zkontrolujte následující přiřazení rolí:

  • Globální správce
  • Správce uživatelů
  • Správce privilegovaného ověřování
  • Správce podmíněného přístupu
  • Správce zabezpečení
  • Všechny role pro správu služby Microsoft 365 a Dynamics Service

Mezi revidované role patří trvalá a oprávněná přiřazení.

V části Revidujícím vyberte jednu nebo více lidí, aby zkontrolovali všechny uživatele. Nebo můžete vybrat členy (sami), aby členové zkontrolovali svůj vlastní přístup.

Screenshot that shows selecting reviewers.

Nasazení kontrol přístupu

Jakmile připravíte strategii a plán pro kontrolu přístupu k prostředkům integrovaným s Azure AD, nasaďte a spravujte recenze pomocí následujících zdrojů informací.

Kontrola přístupových balíčků

Aby se snížilo riziko zastaralého přístupu, můžou správci povolit pravidelné kontroly uživatelů, kteří mají aktivní přiřazení k přístupovém balíčku. Postupujte podle pokynů v článcích uvedených v tabulce.

Články s návody Popis
Vytváření kontrol přístupu Povolte kontroly přístupového balíčku.
Proveďte kontroly přístupu Proveďte kontroly přístupu pro ostatní uživatele, kteří jsou přiřazeni k přístupového balíčku.
Samoobslužná kontrola přiřazených přístupových balíčků Proveďte samoobslužnou kontrolu přiřazených přístupových balíčků.

Poznámka

Uživatelé, kteří se sami kontrolují a říkají, že už nepotřebují přístup, se z přístupového balíčku neodeberou okamžitě. Po skončení kontroly se odeberou z přístupového balíčku nebo pokud správce kontrolu zastaví.

Kontrola skupin a aplikací

Přístup potřebuje skupiny a aplikace pro zaměstnance a hosty se pravděpodobně v průběhu času měnit. Aby se snížilo riziko spojené se zastaralým přiřazením přístupu, můžou správci vytvářet kontroly přístupu pro členy skupiny nebo přístup k aplikacím. Postupujte podle pokynů v článcích uvedených v tabulce.

Články s návody Popis
Vytváření kontrol přístupu Vytvořte jednu nebo více kontrol přístupu pro členy skupiny nebo přístup k aplikaci.
Proveďte kontroly přístupu Zkontrolujte přístup členů skupiny nebo uživatelů s přístupem k aplikaci.
Samoobslužná kontrola přístupu Umožňuje členům zkontrolovat vlastní přístup ke skupině nebo aplikaci.
Dokončení kontroly přístupu Zobrazte kontrolu přístupu a použijte výsledky.
Provedení akce pro místní skupiny Pomocí ukázkového skriptu PowerShellu můžete pracovat s kontrolami přístupu pro místní skupiny.

Kontrola rolí Azure AD

Pokud chcete snížit riziko spojené se zastaralými přiřazeními rolí, pravidelně kontrolujte přístup k privilegovaným Azure AD rolím.

Screenshot that shows the Review membership list of Azure A D roles.

Postupujte podle pokynů v článcích uvedených v tabulce.

Články s návody Popis
Vytváření kontrol přístupu Vytvořte kontroly přístupu pro privilegované role Azure AD v PIM.
Samoobslužná kontrola přístupu Pokud jste přiřazení k roli správce, schvalte nebo odepřete přístup k vaší roli.
Dokončení kontroly přístupu Zobrazte kontrolu přístupu a použijte výsledky.

Kontrola rolí prostředků Azure

Pokud chcete snížit riziko spojené se zastaralými přiřazeními rolí, pravidelně kontrolujte přístup k privilegovaným rolím prostředků Azure.

Screenshot that shows reviewing Azure A D roles.

Postupujte podle pokynů v článcích uvedených v tabulce.

Články s návody Popis
Vytváření kontrol přístupu Vytvořte kontroly přístupu pro privilegované role prostředků Azure v PIM.
Samoobslužná kontrola přístupu Pokud jste přiřazení k roli správce, schvalte nebo odepřete přístup k vaší roli.
Dokončení kontroly přístupu Zobrazte kontrolu přístupu a použijte výsledky.

Použití rozhraní API pro kontroly přístupu

Informace o interakci a správě kontrolovatelných prostředků najdete v tématu Microsoft Graph API metody a kontroly autorizace oprávnění aplikací a rolí. Metody kontroly přístupu v Microsoft Graph API jsou k dispozici pro kontexty aplikací i uživatelů. Při spouštění skriptů v kontextu aplikace musí být účet použitý ke spuštění rozhraní API (instancí) udělen oprávnění AccessReview.Read.All k dotazování na informace o kontrolách přístupu.

Oblíbené úlohy kontroly přístupu, které se mají automatizovat pomocí microsoft Graph API pro kontroly přístupu, jsou:

  • Vytvořte a spusťte kontrolu přístupu.
  • Ručně ukončete kontrolu přístupu před plánovaným koncem.
  • Zobrazí seznam všech spuštěných kontrol přístupu a jejich stavu.
  • Prohlédněte si historii řady revizí a rozhodnutí a akcí provedených v každé revizi.
  • Shromážděte rozhodnutí z kontroly přístupu.
  • Shromážděte rozhodnutí z dokončených kontrol, kde kontrolor provedl jiné rozhodnutí než to, co systém doporučil.

Když vytváříte nové dotazy Microsoft Graph API pro automatizaci, pomocí Graph Exploreru sestavte a prozkoumejte dotazy Microsoft Graph předtím, než je vložíte do skriptů a kódu. Tento krok vám může pomoct rychle iterovat dotaz, abyste získali přesně ty výsledky, které hledáte, aniž byste změnili kód skriptu.

Monitorování kontrol přístupu

Aktivity kontroly přístupu se zaznamenávají a jsou k dispozici v protokolech auditu Azure AD. Data auditu můžete filtrovat podle kategorie, typu aktivity a rozsahu dat. Tady je ukázkový dotaz.

Kategorie Zásady
Typ aktivity Vytvoření kontroly přístupu
Aktualizace kontroly přístupu
Ukončení kontroly přístupu
Odstranění kontroly přístupu
Schválit rozhodnutí
Odepřít rozhodnutí
Rozhodnutí o resetování
Použít rozhodnutí
Rozsah dat Sedm dní

Pokud chcete získat pokročilejší dotazy a analýzu kontrol přístupu a sledovat změny a dokončování kontrol, exportujte protokoly auditu Azure AD do Azure Log Analytics nebo Azure Event Hubs. Pokud jsou protokoly auditu uložené v Log Analytics, můžete použít výkonný analytický jazyk a vytvořit vlastní řídicí panely.

Další kroky

Seznamte se s následujícími souvisejícími technologiemi: