Vytvoření kontroly přístupu skupin a aplikací v Azure AD

Přístup k skupinám a aplikacím pro zaměstnance a hosty se v průběhu času mění. aby se snížilo riziko spojené s nezastaralým přiřazením přístupu, můžou správci pomocí služby Azure Active Directory (Azure AD) vytvářet kontroly přístupu pro členy skupiny nebo přístup k aplikacím.

Microsoft 365 a vlastníci skupiny zabezpečení můžou pomocí Azure AD vytvořit kontroly přístupu pro členy skupiny, pokud globální uživatel nebo správce uživatelů povolí nastavení prostřednictvím podokna kontroly přístupu Nastavení (preview). Další informace o těchto scénářích najdete v tématu Správa recenzí přístupu.

Podívejte se na krátké video, které mluví o povolování kontrol přístupu.

Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu pro členy skupiny nebo přístup k aplikaci.

Požadavky

• Azure AD Premium P2.
• Globální správce, Správce uživatelů nebo správce zásad správného řízení identity k vytváření recenzí pro skupiny nebo aplikace.
• Správci globálních správců a privilegovaných rolí můžou vytvářet recenze pro skupiny s přiřazením rolí. Další informace najdete v tématu použití skupin Azure AD ke správě přiřazení rolí.
• Tisk Microsoft 365 a vlastník skupiny zabezpečení.

Další informace najdete v tématu licenční požadavky.

Vytvoření jedné nebo více kontrol přístupu

1. Přihlaste se k Azure Portal a otevřete stránku zásad správného řízení identity .

2. V nabídce vlevo vyberte recenze přístupů.

3. Výběrem nové kontroly přístupu vytvořte novou kontrolu přístupu.

   

4. V poli Vyberte, co chcete zkontrolovat vyberte prostředek, který chcete zkontrolovat.

   

5. pokud jste vybrali Teams + skupiny, máte dvě možnosti:

   • všechny Microsoft 365 skupiny s uživateli typu host: tuto možnost vyberte, pokud chcete vytvářet opakované recenze všech uživatelů typu host napříč všemi Microsoft Teams a Microsoft 365mi skupinami ve vaší organizaci. Nezahrnují se dynamické skupiny a skupiny s přiřazením rolí. Můžete také zvolit vyloučení jednotlivých skupin výběrem Vybrat skupiny, které se mají vyloučit.

   • vyberte Teams + skupiny: tuto možnost vyberte, pokud chcete určit konečnou skupinu týmů nebo skupin, které chcete zkontrolovat. Na pravé straně se zobrazí seznam skupin, ze kterých si můžete vybrat.

     

6. Pokud jste vybrali možnost aplikace, vyberte jednu nebo více aplikací.

   

   Poznámka

   Výběr více skupin nebo aplikací má za následek vytvoření více revizí přístupu. Pokud například vyberete pět skupin ke kontrole, výsledkem je pět samostatných kontrol přístupu.

7. Nyní můžete vybrat obor pro kontrolu. Máte tyto možnosti:

   • Jenom uživatelé typu Host: Tato možnost omezí kontrolu přístupu jenom na uživatele typu Host Azure AD B2B ve vašem adresáři.
   • Everyone: Tato možnost umožňuje rozsah kontroly přístupu pro všechny uživatelské objekty přidružené k prostředku.

   Poznámka

   pokud jste vybrali možnost všechny Microsoft 365 skupiny s uživateli typu host, stačí jenom zkontrolovat uživatele typu host.

8. Vyberte Další: recenze.

9. V části zadat revidující vyberte v poli Vybrat revidujících jednu nebo více lidí a Projděte si kontroly přístupu. Na výběr máte tyto:

   • Vlastník skupiny: Tato možnost je k dispozici pouze v případě, že provedete kontrolu pro tým nebo skupinu.
   • Vybraní uživatelé nebo skupiny
   • Uživatelé kontrolují svůj vlastní přístup
   • Manažeři uživatelů

   Pokud zvolíte buď Správce uživatelů nebo vlastník skupiny, můžete také určit záložního kontrolora. Záložní revidující jsou vyzváni, aby provedli kontrolu v případě, že uživatel nemá žádného správce zadaného v adresáři, nebo pokud skupina nemá vlastníka.

   

10. V části zadat opakování revize zadejte následující výběry:

    • Doba trvání (ve dnech): jak dlouho je revize otevřená pro vstup od revidujících.

    • Počáteční datum: po zahájení řady revizí.

    • Datum ukončení: po ukončení řady revizí. Můžete určit, že nikdy nekončí. Nebo můžete vybrat konec na určité datum nebo ukončit po určitém počtu výskytů.

      

11. vyberte další: Nastavení.

12. V části nastavení po dokončení můžete určit, co se stane po dokončení revize.

    

    • Automaticky použít výsledky do prostředku: zaškrtněte toto políčko, pokud chcete, aby byl přístup odepřených uživatelů odebrán automaticky po skončení doby trvání kontroly. Pokud je možnost zakázaná, budete muset po dokončení revize ručně použít výsledky. Další informace o použití výsledků kontroly najdete v tématu Správa kontrol přístupu.

    • Pokud recenzenti nereagují: tuto možnost použijte, pokud chcete určit, co se stane pro uživatele, kteří neprošli kontrolorem v rámci období revize. Toto nastavení nemá vliv na uživatele, kteří byli zkontrolováni kontrolorem. Rozevírací seznam zobrazuje následující možnosti:

      • Beze změny: ponechá přístup uživatele beze změny.
      • Odebrat přístup: Odebere přístup uživatele.
      • Schválit přístup: schválí přístup uživatele.
      • Doporučení: Vezměte v úvahu doporučení systému při odepření nebo schválení přístupu uživatele k dalšímu přístupu.

    • Akce, která se má použít u odepřených uživatelů typu Host: Tato možnost je k dispozici pouze v případě, že je kontrola přístupu vymezena tak, aby obsahovala pouze uživatele typu Host, aby bylo možné určit, co se stane uživatelům typu Host, pokud je odepře buď kontrolor, nebo když revidující nereagují na nastavení.

      • Odebrat členství uživatele z prostředku: Tato možnost odebere odepřený přístup uživatele typu Host do skupiny nebo aplikace, které se právě přezkoumávají. Můžou se pořád přihlašovat ke klientovi a nebudou přijít o žádné další přístupy.
      • Zablokovat uživateli přihlášení po dobu 30 dnů a pak odebrat uživatele z klienta: Tato možnost zablokuje odepřeného uživatele typu host z přihlášení k tenantovi bez ohledu na to, jestli mají přístup k jiným prostředkům. Pokud došlo k této akci při chybě, správci můžou znovu povolit přístup uživatelů typu Host do 30 dnů po zakázání uživatele typu Host. Pokud se po uplynutí 30 dnů žádná akce nestane u zakázaného uživatele typu Host, odstraní se z tenanta.

    Další informace o osvědčených postupech pro odebrání uživatelů typu Host, kteří už nemají přístup k prostředkům ve vaší organizaci, najdete v tématu použití Azure AD identity governance ke kontrole a odebírání externích uživatelů, kteří už nemají přístupk prostředkům.

    Poznámka

    Akce, která se má použít u zamítnutých uživatelů typu Host , není u revizí s rozsahem pro uživatele typu Host nakonfigurované. u všech Microsoft 365 skupin s uživateli typu host není možné konfigurovat žádné recenze. Pokud není konfigurovatelné, použije se výchozí možnost odebrání členství uživatele z prostředku pro zamítnuté uživatele.

13. Na konci recenze použijte možnost Odeslat oznámení k odeslání oznámení ostatním uživatelům nebo skupinám s aktualizacemi dokončení. Tato funkce umožňuje, aby se v průběhu kontroly aktualizovaly i zúčastněné strany kromě autora recenze. Chcete-li použít tuto funkci, zvolte možnost vybrat uživatele nebo skupiny a přidejte další uživatele nebo skupinu, pro které chcete získat stav dokončení.

14. V části Povolit kontrolu rozhodnutí pro rozhodování si vyberte, jestli chcete, aby kontrolor obdržel doporučení během procesu revize. Pokud je povoleno, budou se uživatelé, kteří se přihlásili během posledních 30 dnů, doporučuje ke schválení. Uživatelům, kteří nebyli přihlášení během posledních 30 dnů, se doporučuje pro odmítnutí.

    Poznámka

    Pokud vytvoříte kontrolu přístupu na základě aplikací, doporučení jsou založená na intervalu 30 dnů v závislosti na tom, kdy se uživatel naposledy přihlásil k aplikaci, a ne jako tenant.

    

15. V části Upřesnit nastavení můžete vybrat následující možnosti:

    • Požadováno odůvodnění: zaškrtněte toto políčko, pokud chcete, aby kontrolor zadal důvod ke schválení nebo zamítnutí.

    • E-mailová oznámení: zaškrtněte toto políčko, pokud chcete, aby služba Azure AD odesílala e-mailová oznámení kontrolorům při zahájení kontroly přístupu a správcům, když se kontrola dokončí.

    • Připomenutí: zaškrtněte toto políčko, pokud chcete, aby služba Azure AD odesílala připomenutí kontrol přístupu na všechny kontrolory. Kontroloři dostanou připomenutí po kontrole, bez ohledu na to, jestli dokončili svou kontrolu.

    • Další obsah pro odesílatele e-mailu: obsah e-mailu odeslaného revidujícím se automaticky generuje na základě podrobností o kontrole, jako je třeba název revize, název prostředku a termín splnění. Pokud potřebujete sdělit více informací, můžete zadat podrobnosti, například pokyny nebo kontaktní údaje v poli. Informace, které zadáte, jsou součástí pozvánky a e-maily připomenutí jsou odesílány přiřazeným kontrolorům. V části zvýrazněné na následujícím obrázku vidíte, kde se zobrazí tyto informace.

      

16. Vyberte Další: zkontrolovat + vytvořit.

    

17. Pojmenujte kontrolu přístupu. Volitelně můžete zadat popis recenze. Jméno a popis se zobrazí kontrolorům.

18. Zkontrolujte informace a vyberte Vytvořit.

Povolit vlastníkům skupin vytvářet a spravovat recenze přístupu svých skupin (Preview)

Role předpokladu je globální správce nebo správce uživatelů.

1. Přihlaste se k Azure Portal a otevřete stránku Zásady správného řízení identit.

2. V nabídce na levé straně v části Access reviews (Recenze přístupu) vyberte Nastavení.

3. Na stránce Delegovat, kdo může vytvářet a spravovat recenze přístupu nastavte (Preview) Vlastníci skupiny mohou vytvářet a spravovat recenze přístupu pro skupiny, které vlastní, na Ano.

   

   Poznámka

   Ve výchozím nastavení je nastavení nastaveno na Ne. Pokud chcete vlastníkům skupiny povolit vytváření a správu recenzí přístupu, změňte nastavení na Ano.

Zahájení revize přístupu

Po nastavení pro revize přístupu vyberte Spustit. Kontrola přístupu se zobrazí v seznamu s indikátorem jejího stavu.

Ve výchozím nastavení Azure AD pošle revidující krátce po spuštění revize e-mail. Pokud se rozhodnete neposílat e-mail do Azure AD, nezapomeňte revidující informovat, že kontrola přístupu čeká na dokončení. Můžete jim zobrazit pokyny, jak zkontrolovat přístup ke skupinám nebo aplikacím. Pokud vaše kontrola je, že hosté mohou zkontrolovat svůj vlastní přístup, přečtěte si pokyny, jak sami zkontrolovat přístup ke skupinám nebo aplikacím.

Pokud jste hosty přiřadili jako revidující a nepřijali pozvánku do tenanta, neobdrží e-mail ze kontrol přístupu. Před zahájením revize musí nejprve přijmout pozvánku.

Aktualizace revize přístupu

Po spuštění jedné nebo více recenzí přístupu můžete upravit nebo aktualizovat nastavení stávajících recenzí přístupu. Tady je několik běžných scénářů ke zvážení:

• Aktualizace nastavení nebo kontrolorů: Pokud se kontrola přístupu opakuje, jsou v části Aktuální a v části Řada samostatná nastavení. Aktualizace nastavení nebo kontrolorů v části Aktuální aplikuje změny jenom na aktuální revize přístupu. Aktualizace nastavení v části Řada aktualizuje nastavení pro všechna budoucí opakování.

  

• Přidání a odebrání kontrolorů: Při aktualizaci kontrol přístupu se můžete rozhodnout přidat kromě primárního kontrolora i záložního kontrolora. Primární revidující můžou být při aktualizaci kontrol přístupu odebraní. Záložní kontroloři se ze návrhu nesměšovat.

  Poznámka

  Záložní kontrolory je možné přidat pouze v případě, že je typ revidujícího manažerem nebo vlastníkem skupiny. Primární revidující je možné přidat, když je vybraným uživatelem typ revidujícího.

• Připomeňte revidující: Když aktualizujete recenze přístupu, můžete se rozhodnout povolit možnost Připomenutí v části Upřesnit nastavení. Uživatelé pak dostanou e-mailové oznámení v polovině kontrolního období bez ohledu na to, jestli dokončili nebo ne.

  

Další kroky

• Kontrola přístupu ke skupinám nebo aplikacím
• Kontrola přístupu ke skupinám nebo aplikacím
• Dokončení revize přístupu ke skupinám nebo aplikacím