Co jsou kontroly přístupu Azure AD?
kontroly přístupu Azure Active Directory (Azure AD) umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazování rolí. Přístup uživatele se může pravidelně kontrolovat, aby se zajistilo, že budou mít přístup jenom přípravní lidé.
Tady je video, které poskytuje rychlý přehled kontrol přístupu:
Proč jsou recenze přístupů důležité?
Azure AD umožňuje spolupracovat s uživateli ve vaší organizaci a s externími uživateli. Uživatelé můžou připojit skupiny, pozvat hosty, připojit se ke cloudovým aplikacím a vzdáleně pracovat ze svých pracovních nebo osobních zařízení. Pohodlí používání samoobslužné služby vedlo k nutnosti lepších funkcí správy přístupu.
- Jak se noví zaměstnanci připojí, jak zajistit, aby měli přístup, který musí být produktivní?
- Když lidé přesunou týmy nebo odejdou ze společnosti, jak se stará přístup odeberou?
- Nadměrné oprávnění k přístupu může vést k ohrožení zabezpečení.
- Nenadměrný přístup může také vést k tomu, že se výsledky auditu označují jako nedostatečné řízení přístupu.
- Je nutné proaktivně zapojit vlastníky prostředků, aby bylo zajištěno, že budou pravidelně kontrolovat, kdo má přístup ke svým prostředkům.
Kdy byste měli používat recenze přístupu?
- Příliš mnoho uživatelů v privilegovaných rolích: Je vhodné zjistit, kolik uživatelů má přístup pro správu, kolik z nich je globálních správců, a pokud existují pozvaní hostů nebo partneři, kteří se po přiřazení k úloze správy neodebrali. v rolích azure ad , jako jsou globální správci nebo role prostředků azure , jako je například správce přístupu uživatele, můžete znovu certifikovat přiřazení rolí uživatelů v prostředí azure ad Privileged Identity Management (PIM) .
- Když Automation není možné: můžete vytvořit pravidla pro dynamické členství ve skupinách zabezpečení nebo Microsoft 365ch skupinách, ale co když data o personálním oddělení nejsou ve službě Azure AD nebo pokud uživatelé stále potřebují přístup, když opustí skupinu a vyškolí jejich náhradu? Pak můžete vytvořit revizi této skupiny, abyste měli jistotu, že budou mít přístup i nadále potřebují mít přístup.
- Když se skupina používá pro nový účel: Pokud máte skupinu, která bude synchronizovaná s Azure AD, nebo pokud chcete povolit službu Salesforce pro všechny uživatele ve skupině prodejního týmu, je vhodné požádat vlastníka skupiny, aby zkontroloval členství ve skupině před tím, než se skupina používá v jiném rizikovém obsahu.
- Přístup k důležitým podnikovým datům: u určitých prostředků se může vyžadovat, aby uživatelé mimo ni požádali, aby se pravidelně odhlásili a měli odůvodněné důvody k tomu, proč potřebují přístup pro účely auditování.
- Chcete-li zachovat seznam výjimek zásad: V ideálním světě by všichni uživatelé za účelem zabezpečení přístupu k prostředkům vaší organizace dodržovali zásady přístupu. Někdy ale existují obchodní případy, které vyžadují, abyste měli výjimky. Jako správce IT můžete spravovat tuto úlohu, vyhnout se nedohledu nad výjimkami zásad a poskytovat auditorům kontrolu nad tím, že se tyto výjimky pravidelně kontrolují.
- Požádejte vlastníky skupiny, abyste potvrdili, že stále potřebují hosty ve svých skupinách: Přístup zaměstnanců může být automatizovaný s některými místními identitami a správou přístupu (IAM), ale ne s pozvanými hosty. Pokud skupina poskytuje přístup hostů k firemnímu citlivému obsahu, pak je zodpovědností vlastníka skupiny na potvrzení, že hosté mají k dispozici legitimní obchodní nutnost přístupu.
- Pravidelně opakují se recenze: Můžete nastavit opakované kontroly přístupu uživatelů při nastavených frekvencích, jako je týdenní, měsíční, čtvrtletní nebo roční a kontroloři se budou informovat na začátku každé recenze. Recenzenti mohou schvalovat nebo odmítat přístup pomocí popisného rozhraní a s využitím inteligentních doporučení.
Poznámka
Pokud jste připraveni vyzkoušet kontroly přístupu, přečtěte si téma Vytvoření kontroly přístupu skupin nebo aplikací .
Kde můžete vytvářet recenze?
V závislosti na tom, co chcete zkontrolovat, vytvoříte kontrolu přístupu v rámci kontrol přístupu Azure AD, Azure AD Enterprise Apps (ve verzi Preview) nebo Azure AD PIM.
| Přístupová práva uživatelů | Revidující mohou být | Kontrola vytvořená v | Možnosti kontrolora |
|---|---|---|---|
| Členové skupiny zabezpečeníOffice členů skupiny | Určení kontrolořiVlastníci skupinySamoobslužné kontroly | Kontroly přístupu Azure ADSkupiny Azure AD | Přístupový panel |
| Přiřazeno k připojené aplikaci | Určení kontrolořiSamoobslužné kontroly | Kontroly přístupu Azure ADAplikace Azure AD Enterprise (ve verzi Preview) | Přístupový panel |
| Role Azure AD | Určení kontrolořiSamoobslužné kontroly | Azure AD PIM | portál Azure |
| Role prostředku Azure | Určení kontrolořiSamoobslužné kontroly | Azure AD PIM | portál Azure |
Licenční požadavky
Použití této funkce vyžaduje licenci Azure AD Premium P2. Správnou licenci pro vaše požadavky najdete v tématu porovnání všeobecně dostupných funkcí v edicích Free, Office 365 a Premium.
Kolik licencí potřebujete?
váš adresář potřebuje aspoň tolik licencí Azure AD Premium P2 jako počet zaměstnanců, kteří budou provádět následující úlohy:
- Uživatelé členů, kteří jsou přiřazeni jako kontroloři
- Uživatelé členů, kteří provádějí kontrolu sami
- Uživatelé členů jako vlastníci skupiny, kteří provádějí kontrolu přístupu
- Uživatelé členů jako vlastníci aplikací, kteří provádějí kontrolu přístupu
Pro uživatele typu Host budou požadavky na licencování záviset na modelu licencování, který používáte. následující aktivity uživatelů typu host se však považují za Azure AD Premium P2 použití:
- Uživatelé typu Host, kteří jsou přiřazeni jako kontroloři
- Uživatelé typu Host, kteří provádějí kontrolu sami
- Uživatelé typu Host jako vlastníci skupiny, kteří provádějí kontrolu přístupu
- Uživatelé typu Host jako vlastníci aplikace, kteří provádějí kontrolu přístupu
licence Azure AD Premium P2 nejsou vyžadovány pro uživatele s rolemi globální správce nebo správce uživatelů, kteří nastavili kontroly přístupu, konfigurují nastavení nebo použijí rozhodnutí z recenzí.
Přístup uživatelů hosta Azure AD je založený na modelu fakturace měsíčně aktivních uživatelů (MAU), který nahrazuje model fakturace s poměrem 1:5. Další informace najdete v tématu ceny služby Azure AD External identity.
další informace o licencích najdete v tématu přiřazení nebo odebrání licencí pomocí portálu Azure Active Directory.
Příklady scénářů licencí
Tady je několik ukázkových scénářů licencí, které vám pomůžou určit počet licencí, které musíte mít.
| Scenario | Výpočet | Počet licencí |
|---|---|---|
| Správce vytvoří kontrolu přístupu skupiny A s 75 uživateli a 1 vlastníkem skupiny a přiřadí vlastníka skupiny jako kontrolora. | 1 licence pro vlastníka skupiny jako kontrolor | 1 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli a 3 vlastníky skupiny a přiřadí 3 vlastníky skupiny jako kontrolory. | 3 licence pro každého vlastníka skupiny jako kontroloři | 3 |
| Správce vytvoří kontrolu přístupu skupiny B s 500 uživateli. Provede si ho samy se změnami. | licence 500 pro každého uživatele jako kontroloři samoobslužné. | 500 |
| Správce vytvoří kontrolu přístupu skupiny C s 50 členskými uživateli a 25 uživateli typu Host. Provede si ho samy se změnami. | licence 50 pro každého uživatele jako kontroloři pro sebe. * | 50 |
| Správce vytvoří kontrolu přístupu skupiny D s 6 členskými uživateli a 108 uživateli typu Host. Provede si ho samy se změnami. | 6 licencí pro každého uživatele jako kontroloři pro sebe. Uživatelům typu Host se účtuje měsíční aktivní uživatel (MAU). Nejsou potřeba žádné další licence. * | 6 |
* Ceny Azure AD External identity (uživatel typu Host) jsou založené na měsíčních aktivních uživatelích (MAU), což je počet jedinečných uživatelů s aktivitou ověřování v kalendářním měsíci. tento model nahrazuje model účtování poměru 1:5, který povoluje až pět uživatelů typu host pro každou licenci Azure AD Premium ve vašem tenantovi. Pokud je váš tenant propojený s předplatným a používáte funkce externích identit ke spolupráci s uživateli typu Host, bude se vám automaticky účtovat pomocí fakturačního modelu založeného na MAU. Další informace najdete v tématu Model fakturace pro externí identity služby Azure AD.