Co jsou kontroly přístupu?

Kontroly přístupu v Microsoft Entra ID, součást Microsoft Entra, umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatelů je možné pravidelně kontrolovat, abyste měli jistotu, že k přístupu budou mít nadále přístup pouze ti správní uživatelé.

Tady je video, které poskytuje rychlý přehled kontrol přístupu:

Proč jsou kontroly přístupu důležité?

Microsoft Entra ID umožňuje spolupracovat s uživateli z vaší organizace a s externími uživateli. Uživatelé se můžou připojovat ke skupinám, zvát hosty, připojovat se ke cloudovým aplikacím a pracovat vzdáleně z jejich pracovních nebo osobních zařízení. Pohodlí používání samoobslužné služby vedlo k potřebě lepší správy přístupu.

• Jak se připojování nových zaměstnanců zajistíte, aby měli přístup, který potřebují k produktivitě?
• Když lidé přesouvají týmy nebo opustí společnost, jak zajistíte, aby byl jejich starý přístup odebrán?
• Nadměrná přístupová práva můžou vést k ohrožení zabezpečení.
• Nadměrné přístupové právo může také vést ke zjištění auditu, protože značí nedostatek kontroly nad přístupem.
• Musíte proaktivně zapojit vlastníky prostředků, aby se ujistili, že pravidelně kontrolují, kdo má ke svým prostředkům přístup.

Kdy byste měli používat kontroly přístupu?

• Příliš mnoho uživatelů v privilegovaných rolích: Je vhodné zkontrolovat, kolik uživatelů má přístup pro správu, kolik z nich je globálních Správa istrátorů, a pokud jsou pozvaní hosté nebo partneři, kteří se po přiřazení k úkolu správy neodebrali. Uživatele přiřazení rolí můžete znovu certifikovat v rolích Microsoft Entra, jako jsou globální Správa istrátory nebo role prostředků Azure, jako je uživatelský přístup Správa istrator v prostředí Microsoft Entra Privileged Identity Management (PIM).
• Pokud automatizace není možná: Můžete vytvořit pravidla pro dynamické členství ve skupinách zabezpečení nebo Skupiny Microsoft 365, ale co když data lidských zdrojů nejsou v Microsoft Entra ID nebo pokud uživatelé stále potřebují přístup po opuštění skupiny k trénování jejich nahrazení? Pak můžete pro tuto skupinu vytvořit kontrolu, abyste měli jistotu, že ti, kteří stále potřebují přístup, budou mít přístup.
• Pokud se skupina používá pro nový účel: Pokud máte skupinu, která se bude synchronizovat s ID Microsoft Entra, nebo pokud plánujete povolit Salesforce aplikace pro všechny uživatele ve skupině prodejního týmu, bylo by užitečné požádat vlastníka skupiny, aby zkontroloval členství ve skupině předtím, než se skupina použije v jiném rizikovém obsahu.
• Přístup k podnikovým důležitým datům: u určitých prostředků, jako jsou důležité obchodní aplikace, může být vyžadován v rámci procesů dodržování předpisů, aby se lidé pravidelně znovu potvrdili a zdůvodnili, proč potřebují pokračovat v přístupu.
• Pokud chcete zachovat seznam výjimek zásad: V ideálním světě by všichni uživatelé postupovaly podle zásad přístupu k zabezpečení přístupu k prostředkům vaší organizace. Někdy ale existují obchodní případy, které vyžadují, abyste udělali výjimky. Jako správce IT můžete tuto úlohu spravovat, vyhnout se dohledu nad výjimkami zásad a poskytnout auditorům důkaz, že tyto výjimky se pravidelně kontrolují.
• Požádejte vlastníky skupin, aby potvrdili, že stále potřebují hosty ve svých skupinách: Přístup zaměstnanců může být automatizovaný s jinými funkcemi správy identit a přístupu, jako jsou pracovní postupy životního cyklu založené na datech ze zdroje lidských zdrojů, ale ne pozvaných hostů. Pokud skupina poskytuje hostům přístup k firemnímu citlivému obsahu, je zodpovědností vlastníka skupiny potvrdit, že hosté stále potřebují legitimní obchodní potřebu pro přístup.
• Pravidelně se rekurzují recenze: Můžete nastavit opakované kontroly přístupu uživatelů s nastavenými četnostmi, jako jsou týdenní, měsíční, čtvrtletní nebo roční, a kontroloři jsou upozorněni na začátku každé kontroly. Kontroloři můžou schválit nebo odepřít přístup s přátelským rozhraním a pomocí inteligentních doporučení.

Poznámka:

Pokud jste připravení vyzkoušet kontroly Accessu, podívejte se na vytvoření kontroly přístupu skupin nebo aplikací.

Kde vytváříte recenze?

V závislosti na tom, co chcete zkontrolovat, vytvoříte kontrolu přístupu v kontrolách přístupu, podnikových aplikacích Microsoft Entra, PIM nebo správě nároků.

Přístupová práva uživatelů	Revidujícím mohou být	Kontrola vytvořená v aplikaci	Prostředí revidujících
Členové skupiny zabezpečení– členové skupiny Office	Určení vlastníci skupin revidujících	Kontroly přístupu zkontrolují skupiny Microsoft Entra.	Přístupový panel
Přiřazeno k připojené aplikaci	Určení revidujícím sami revidují	kontroly přístupu k podnikovým aplikacím Microsoft Entra	Přístupový panel
Role Microsoft Entra	Určení revidujícím sami revidují	PIM	Centrum Microsoft Entra Správa
Role prostředků Azure	Určení revidujícím sami revidují	PIM	Centrum Microsoft Entra Správa
Přiřazení přístupového balíčku	Určení členové skupiny revidujících – vlastní kontrola	správa nároků	Přístupový panel

Požadavky na licenci

Použití této funkce vyžaduje předplatná zásad správného řízení Microsoft Entra ID pro uživatele vaší organizace. Některé funkce v této funkci můžou fungovat s předplatným Microsoft Entra ID P2. Další podrobnosti najdete v článcích o jednotlivých funkcích. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

Poznámka:

Vytvoření kontroly neaktivních uživatelů a doporučení pro přidružení uživatele k skupině vyžaduje licenci zásad správného řízení Microsoft Entra ID.

Další kroky

• Příprava na kontrolu přístupu uživatelů k aplikaci
• Vytvoření kontroly přístupu skupin nebo aplikací
• Vytvoření kontroly přístupu uživatelů v roli pro správu Microsoft Entra
• Kontrola přístupu ke skupinám nebo aplikacím
• Dokončení kontroly přístupu skupin nebo aplikací