Vytvoření kontroly přístupu k prostředkům Azure a rolím Microsoft Entra v PIM

  • Článek

Potřeba přístupu k privilegovaným prostředkům Azure a Microsoft Entra rolím zaměstnanců se v průběhu času mění. Pokud chcete snížit riziko související se zastaralými přiřazeními rolí, měli byste přístup kontrolovat pravidelně. Pomocí Microsoft Entra Privileged Identity Management (PIM) můžete vytvořit kontroly přístupu pro privilegovaný přístup k prostředkům Azure a rolím Microsoft Entra. Můžete také nakonfigurovat opakované kontroly přístupu, ke kterým dochází automaticky. Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu.

Požadavky

Používání Privileged Identity Management vyžaduje licence. Další informace o licencování najdete v tématu základy licencování Microsoft Entra ID Governance .

Další informace o licencích pro PIM najdete v tématu Licenční požadavky pro použití Privileged Identity Management.

Pokud chcete vytvořit kontroly přístupu pro prostředky Azure, musíte mít přiřazenou roli Vlastník nebo Správce uživatelských přístupů pro prostředky Azure. Pokud chcete vytvořit kontroly přístupu pro Microsoft Entra role, musíte mít přiřazenou roli Globální správce nebo Správce privilegovaných rolí.

Kontroly přístupu pro instanční objekty vyžadují kromě Microsoft Entra ID P2 nebo licencí Microsoft Entra ID Governance také plán ID úloh Microsoft Entra Premium.

  • Licencování Identit úloh Premium: Licence můžete zobrazit a získat v okně Identity úloh v centru pro správu Microsoft Entra.

Vytvoření kontrol přístupu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, ze které začínáte.

  1. Přihlaste se k centru pro správu Microsoft Entra jako uživatel, který má přiřazenou některou z požadovaných rolí.

  2. Přejděte na zásady správného řízení> identit Privileged Identity Management.

  3. U Microsoft Entra rolí vyberte Microsoft Entra role. V části Prostředky Azure vyberte Prostředky Azure.

    Na snímku obrazovky Centra pro správu Microsoft Entra vyberte Zásady správného řízení identit.

  4. U Microsoft Entra rolí vyberte znovu Microsoft Entra role v části Spravovat. V části Prostředky Azure vyberte předplatné, které chcete spravovat.

  5. V části Spravovat vyberte Kontroly přístupu a pak vyberte Nový a vytvořte novou kontrolu přístupu.

    Microsoft Entra rolí – snímek obrazovky se seznamem kontrol přístupu se stavem všech kontrol

  6. Pojmenujte kontrolu přístupu. Volitelně můžete recenzi popsat. Revidujícím se zobrazí název a popis.

    Vytvoření kontroly přístupu – Snímek obrazovky s názvem a popisem

  7. Nastavte počáteční datum. Ve výchozím nastavení se kontrola přístupu provede jednou, spustí se ve stejnou dobu, kdy se vytvoří, a skončí za jeden měsíc. Počáteční a koncové datum můžete změnit tak, aby kontrola přístupu začala v budoucnu a trvala libovolný počet dní.

    Snímek obrazovky s počátečním datem, četností, dobou trvání, koncem, počtem opakování a koncovým datem

  8. Pokud chcete, aby se kontrola přístupu opakovala, změňte nastavení Frekvence z Jednorázové na Týdenní, Měsíční, Čtvrtletní, Ročně nebo Pololetně. Pomocí posuvníku doba trvání nebo textového pole určete, kolik dní budou mít revidující otevřené jednotlivé revize opakující se řady. Například maximální doba trvání, kterou můžete nastavit pro měsíční kontrolu, je 27 dní, aby se recenze nepřekrývaly.

  9. Pomocí nastavení Konec můžete určit, jak ukončit řadu opakovaných kontrol přístupu. Řada může skončit třemi způsoby: běží nepřetržitě, aby se kontroly spouštěly neomezeně, až do určitého data nebo po dokončení definovaného počtu výskytů. Vy nebo jiný správce, který může spravovat recenze, můžete řadu po vytvoření zastavit změnou data v Nastavení tak, aby skončila tímto datem.

  10. V části Rozsah uživatelů vyberte obor kontroly. U Microsoft Entra rolí je první možností oboru Uživatelé a skupiny. Tento výběr bude obsahovat přímo přiřazené uživatele a skupiny s možností přiřazení rolí . U rolí prostředků Azure bude prvním oborem Uživatelé. Skupiny přiřazené k rolím prostředků Azure se rozbalí, aby se v recenzi s tímto výběrem zobrazila tranzitivní přiřazení uživatelů. Můžete také vybrat instanční objekty a zkontrolovat účty počítačů s přímým přístupem k prostředku Azure nebo Microsoft Entra roli.

    Rozsah uživatelé pro kontrolu členství v rolích na snímku obrazovky

  11. Nebo můžete vytvořit kontroly přístupu jenom pro neaktivní uživatele (Preview). V části Obor uživatelé nastavte možnost Neaktivní uživatelé (na úrovni tenanta) pouze na true. Pokud je přepínač nastavený na hodnotu true, rozsah kontroly se zaměří pouze na neaktivní uživatele. Pak zadejte dny neaktivní s počtem dnů neaktivních až 730 dnů (dva roky). Uživatelé, kteří nebudou po zadaný počet dnů aktivní, budou jedinými uživateli v rámci kontroly.

  12. V části Kontrola členství v rolích vyberte privilegovaný prostředek Azure nebo Microsoft Entra role, které chcete zkontrolovat.

    Poznámka

    Výběrem více rolí vytvoříte více kontrol přístupu. Například výběrem pěti rolí vytvoříte pět samostatných kontrol přístupu.

    Snímek obrazovky s kontrolou členství v rolích

  13. U typu přiřazení vymezují rozsah kontroly podle toho, jak byl objekt zabezpečení přiřazen k roli. Výběrem oprávněných přiřazení můžete zkontrolovat pouze oprávněná přiřazení (bez ohledu na stav aktivace při vytvoření kontroly) nebo aktivní přiřazení jenom pro kontrolu aktivních přiřazení. Pokud chcete zkontrolovat všechna přiřazení bez ohledu na typ, zvolte všechna aktivní a způsobilá přiřazení .

    Snímek obrazovky se seznamem revidujících typů přiřazení

  14. V části Revidující vyberte jednu nebo více osob a zkontrolujte všechny uživatele. Nebo můžete vybrat, aby si členové zkontrolovali svůj vlastní přístup.

    Seznam revidujících vybraných uživatelů nebo členů (vlastní uživatelé)

    • Vybraní uživatelé – Pomocí této možnosti můžete určit konkrétního uživatele, který má dokončit kontrolu. Tato možnost je dostupná bez ohledu na rozsah kontroly a vybraní revidující můžou kontrolovat uživatele, skupiny a instanční objekty.
    • Členové (vlastní uživatelé) – Tuto možnost použijte, pokud chcete, aby uživatelé zkontrolovali svá přiřazení rolí. Tato možnost je dostupná jenom v případě, že je obor kontroly vymezený na Uživatelé a skupiny nebo Uživatelé. U Microsoft Entra rolí nebudou skupiny s možností přiřazení rolí při výběru této možnosti součástí kontroly.
    • Nadřízený – Tuto možnost použijte, pokud chcete, aby nadřízený uživatele zkontroloval přiřazení role. Tato možnost je dostupná jenom v případě, že je obor kontroly vymezený na Uživatelé a skupiny nebo Uživatelé. Po výběru správce budete mít také možnost zadat náhradního revidujícího. Náhradní revidující jsou vyzváni ke kontrole uživatele, pokud uživatel nemá v adresáři zadaného žádného správce. U Microsoft Entra rolí zkontroluje záložní kontrolor skupiny s možností přiřazení rolí, pokud je nějaká vybraná.

Nastavení po dokončení

  1. Pokud chcete určit, co se má provést po dokončení kontroly, rozbalte část Nastavení Po dokončení .

    Po dokončení se nastavení automaticky použije a měl by zkontrolovat, že snímek obrazovky neodpovídá.

  2. Pokud chcete automaticky odebrat přístup uživatelům, kterým byl odepřen přístup, nastavte automatické použití výsledků pro prostředek na Povolit. Pokud chcete výsledky po dokončení kontroly použít ručně, nastavte přepínač na Zakázat.

  3. Pomocí seznamu Pokud revidující neodpoví , můžete určit, co se stane u uživatelů, které revidující během období kontroly nekontroluje. Toto nastavení nemá vliv na uživatele, které kontroloři kontrolovali.

    • Beze změny – Ponechat přístup uživatele beze změny
    • Odebrání přístupu – odebrání přístupu uživatele
    • Schválení přístupu – Schválení přístupu uživatele
    • Přijímání doporučení – Vezměte doporučení systému týkající se odepření nebo schválení dalšího přístupu uživatele.

  4. Pomocí seznamu Akce použít u zakázaných uživatelů typu host určete, co se stane u uživatelů typu host, kteří mají odepření. Toto nastavení není v tuto chvíli možné upravovat u Microsoft Entra ID a kontrol rolí prostředků Azure. Uživatelé typu host, stejně jako všichni uživatelé, ztratí přístup k prostředku vždy, pokud ho odepřete.

    Nastavení Po dokončení – snímek obrazovky s akcí, která se má použít u zamítnutých uživatelů typu host

  5. Můžete odeslat oznámení dalším uživatelům nebo skupinám, aby dostávali aktualizace dokončení kontroly. Tato funkce umožňuje účastníkům jiným než autorovi kontroly aktualizovat průběh kontroly. Pokud chcete tuto funkci použít, vyberte Vybrat uživatele nebo skupiny a přidejte dalšího uživatele nebo skupinu, jakmile chcete získat stav dokončení.

    Nastavení Po dokončení – Snímek obrazovky s přidáním dalších uživatelů pro příjem oznámení

Rozšířená nastavení

  1. Pokud chcete zadat další nastavení, rozbalte část Upřesnit nastavení .

    Snímek obrazovky s upřesňujícími nastaveními pro zobrazení doporučení, vyžadování důvodu při schválení, e-mailových oznámení a připomenutí

  2. Nastavením možnosti Zobrazit doporučení na Povolit zobrazíte kontrolorům systémová doporučení na základě informací o přístupu uživatele. Doporučení jsou založená na 30denním intervalu, kdy se uživatelům, kteří se přihlásili v posledních 30 dnech, doporučujeme přístup, zatímco uživatelům, kteří se k tomu nepřihlásili, se doporučuje odepření přístupu. Tato přihlášení jsou bez ohledu na to, jestli byla interaktivní. Spolu s doporučením se zobrazí také poslední přihlášení uživatele.

  3. Pokud chcete, aby kontrolor mohl zadat důvod schválení, nastavte možnost Vyžadovat důvod při schválení na Povolit .

  4. Pokud chcete, aby Microsoft Entra ID odesílala e-mailová oznámení revidujícím při spuštění kontroly přístupu a správcům, když se kontrola dokončí, nastavte možnostPovolit.

  5. Pokud chcete, aby id Microsoft Entra odesílala kontrolorům, kteří nedokončili kontrolu, nastavte Připomenutí na Povolit.

  6. Obsah e-mailu odeslaného revidujícím se automaticky vygeneruje na základě podrobností o kontrole, jako je název recenze, název prostředku, termín splnění atd. Pokud potřebujete způsob, jak sdělit další informace, jako jsou další pokyny nebo kontaktní informace, můžete tyto podrobnosti zadat v e-mailu Další obsah pro revidujícího , který bude součástí e-mailů s pozvánkami a připomenutím odeslaným přiřazeným recenzentům. Zvýrazněná část označuje místo, kde se tyto informace zobrazí.

    Obsah e-mailu odeslaného revidujícím se zvýrazněnými body

Správa kontroly přístupu

Průběh kontrolorů můžete sledovat na stránce Přehled kontroly přístupu. Dokud se kontrola nedokončila, nebudou v adresáři změněna žádná přístupová práva. Níže je snímek obrazovky zobrazující stránku s přehledem prostředků Azure a kontrol přístupu Microsoft Entra rolí.

Stránka přehledu kontrol přístupu zobrazující podrobnosti kontroly přístupu pro Microsoft Entra role snímek obrazovky.

Pokud se jedná o jednorázovou kontrolu, pak po uplynutí období kontroly přístupu nebo po ukončení kontroly přístupu správcem postupujte podle kroků v tématu Dokončení kontroly přístupu k prostředkům Azure a rolím Microsoft Entra, abyste viděli a použili výsledky.

Pokud chcete spravovat řadu kontrol přístupu, přejděte na kontrolu přístupu a v naplánovaných kontrolách najdete nadcházející výskyty a upravte koncové datum nebo odpovídajícím způsobem přidejte nebo odeberte revidující.

Na základě vašich výběrů v nastavení Při dokončení se automatické použití spustí po datu ukončení recenze nebo po ručním zastavení kontroly. Stav kontroly se změní od Dokončeno přes přechodné stavy, jako je Použít , a nakonec na stav Použito. Měli byste očekávat, že za několik minut dojde k odebrání odepřených uživatelů z rolí, pokud vůbec nějaké existují.

Dopad skupin přiřazených k rolím Microsoft Entra a rolím prostředků Azure v kontrolách přístupu

• U Microsoft Entra rolí je možné k roli přiřadit skupiny s možností přiřazení role pomocí skupin s možností přiřazení rolí. Při vytvoření kontroly u role Microsoft Entra s přiřazenými skupinami s přiřazením role se název skupiny zobrazí v kontrole bez rozšíření členství ve skupině. Kontrolor může schválit nebo odepřít přístup k roli celé skupině. Odepřené skupiny při použití výsledků kontroly ztratí přiřazení k roli.

• U rolí prostředků Azure je možné k této roli přiřadit libovolnou skupinu zabezpečení. Když se vytvoří kontrola pro roli prostředku Azure s přiřazenou skupinou zabezpečení, uživatelé přiřazení k této skupině zabezpečení se plně rozbalí a zobrazí kontrolorovi role. Pokud revidující uživatel odmítne uživatele, který byl přiřazen k roli prostřednictvím skupiny zabezpečení, uživatel nebude ze skupiny odebrán, a proto bude použití výsledku zamítnutí neúspěšné.

Poznámka

Skupina zabezpečení může mít přiřazené další skupiny. V takovém případě se při kontrole role zobrazí jenom uživatelé, kteří jsou přímo přiřazeni ke skupině zabezpečení přiřazené k dané roli.

Aktualizace kontroly přístupu

Po spuštění jedné nebo více kontrol přístupu můžete chtít změnit nebo aktualizovat nastavení stávajících kontrol přístupu. Tady jsou některé běžné scénáře, které byste měli zvážit:

  • Přidávání a odebírání revidujících – Při aktualizaci kontrol přístupu můžete kromě primárního revidujícího přidat náhradního revidujícího. Primární revidující mohou být při aktualizaci kontroly přístupu odebráni. Náhradní revidující se ale záměrně neodstraní.

    Poznámka

    Náhradní revidující je možné přidat pouze v případech, kdy je typ revidujícího manažer. Primární revidující je možné přidat, když je typ revidujícího vybraný uživatel.

  • Připomenutí revidujícím – Při aktualizaci kontrol přístupu můžete povolit možnost připomenutí v části Upřesnit nastavení. Po povolení obdrží uživatelé e-mailové oznámení v polovině období kontroly bez ohledu na to, jestli kontrolu dokončili nebo ne.

    Snímek obrazovky s možností připomenutí v nastavení kontroly přístupu

  • Aktualizace nastavení – Pokud se kontrola přístupu opakuje, existují samostatná nastavení v části Aktuální a v části Řada. Aktualizace nastavení v části Aktuální provede změny pouze u aktuální kontroly přístupu, zatímco aktualizace nastavení v části Řada aktualizuje nastavení pro všechna budoucí opakování.

    Snímek obrazovky se stránkou nastavení v části Kontroly přístupu

Další kroky