Co jsou kontroly přístupu?
Kontroly přístupu v Microsoft Entra ID, součást Microsoft Entra, umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Přístup uživatelů je možné pravidelně kontrolovat, abyste měli jistotu, že k přístupu budou mít nadále přístup pouze ti správní uživatelé.
Tady je video, které poskytuje rychlý přehled kontrol přístupu:
Proč jsou kontroly přístupu důležité?
Microsoft Entra ID umožňuje spolupracovat s uživateli z vaší organizace a s externími uživateli. Uživatelé se můžou připojovat ke skupinám, zvát hosty, připojovat se ke cloudovým aplikacím a pracovat vzdáleně z jejich pracovních nebo osobních zařízení. Pohodlí používání samoobslužné služby vedlo k potřebě lepší správy přístupu.
- Jak se připojování nových zaměstnanců zajistíte, aby měli přístup, který potřebují k produktivitě?
- Když lidé přesouvají týmy nebo opustí společnost, jak zajistíte, aby byl jejich starý přístup odebrán?
- Nadměrná přístupová práva můžou vést k ohrožení zabezpečení.
- Nadměrné přístupové právo může také vést ke zjištění auditu, protože značí nedostatek kontroly nad přístupem.
- Musíte proaktivně zapojit vlastníky prostředků, aby se ujistili, že pravidelně kontrolují, kdo má ke svým prostředkům přístup.
Kdy byste měli používat kontroly přístupu?
- Příliš mnoho uživatelů v privilegovaných rolích: Je vhodné zkontrolovat, kolik uživatelů má přístup pro správu, kolik z nich je globálních správců a jestli se po přiřazení k úloze správy neodebrali pozvaní hosté nebo partneři. Uživatele přiřazení rolí můžete znovu certifikovat v rolích Microsoft Entra, jako jsou globální správci nebo role prostředků Azure, jako je správce uživatelských přístupů, v prostředí Microsoft Entra Privileged Identity Management (PIM).
- Pokud automatizace není možná: Můžete vytvořit pravidla pro dynamické skupiny členství, skupiny zabezpečení nebo Skupiny Microsoft 365, ale co když data o lidských zdrojích nejsou v ID Microsoft Entra nebo pokud uživatelé stále potřebují přístup po opuštění skupiny k trénování jejich nahrazení? Pak můžete pro tuto skupinu vytvořit kontrolu, abyste měli jistotu, že ti, kteří stále potřebují přístup, budou mít přístup.
- Pokud se skupina používá pro nový účel: Pokud máte skupinu, která se bude synchronizovat s Microsoft Entra ID, nebo pokud plánujete povolit Salesforce aplikace pro všechny uživatele ve skupině Prodejní tým, bylo by užitečné požádat vlastníka skupiny, aby zkontroloval dynamickou skupinu členství předtím, než ji použijete v jiném rizikovém obsahu.
- Přístup k podnikovým důležitým datům: u určitých prostředků, jako jsou důležité obchodní aplikace, může být vyžadován v rámci procesů dodržování předpisů, aby se lidé pravidelně znovu potvrdili a zdůvodnili, proč potřebují pokračovat v přístupu.
- Pokud chcete zachovat seznam výjimek zásad: V ideálním světě by všichni uživatelé postupovaly podle zásad přístupu k zabezpečení přístupu k prostředkům vaší organizace. Někdy ale existují obchodní případy, které vyžadují, abyste udělali výjimky. Jako správce IT můžete tuto úlohu spravovat, vyhnout se dohledu nad výjimkami zásad a poskytnout auditorům důkaz, že tyto výjimky se pravidelně kontrolují.
- Požádejte vlastníky skupin, aby potvrdili, že stále potřebují hosty ve svých skupinách: Přístup zaměstnanců může být automatizovaný s jinými funkcemi správy identit a přístupu, jako jsou pracovní postupy životního cyklu založené na datech ze zdroje lidských zdrojů, ale ne pozvaných hostů. Pokud skupina poskytuje hostům přístup k firemnímu citlivému obsahu, je zodpovědností vlastníka skupiny potvrdit, že hosté stále potřebují legitimní obchodní potřebu pro přístup.
- Pravidelně se rekurzují recenze: Můžete nastavit opakované kontroly přístupu uživatelů s nastavenými četnostmi, jako jsou týdenní, měsíční, čtvrtletní nebo roční, a kontroloři jsou upozorněni na začátku každé kontroly. Kontroloři můžou schválit nebo odepřít přístup s přátelským rozhraním a pomocí inteligentních doporučení.
Poznámka:
Pokud jste připravení vyzkoušet kontroly Accessu, podívejte se na vytvoření kontroly přístupu skupin nebo aplikací.
Kde vytváříte recenze?
V závislosti na tom, co chcete zkontrolovat, vytvoříte kontrolu přístupu v kontrolách přístupu, podnikových aplikacích Microsoft Entra, PIM nebo správě nároků.
Přístupová práva uživatelů | Revidujícím mohou být | Kontrola vytvořená v aplikaci | Prostředí revidujících |
---|---|---|---|
Členové skupiny zabezpečení– členové skupiny Office |
Určení vlastníci skupin revidujících |
Kontroly přístupu zkontrolují skupiny Microsoft Entra. |
Přístupový panel |
Přiřazeno k připojené aplikaci | Určení revidujícím sami revidují |
kontroly přístupu k podnikovým aplikacím Microsoft Entra |
Přístupový panel |
Role Microsoft Entra | Určení revidujícím sami revidují |
PIM | Centrum pro správu Microsoft Entra |
Role prostředků Azure | Určení revidujícím sami revidují |
PIM | Centrum pro správu Microsoft Entra |
Přiřazení přístupového balíčku | Určení členové skupiny revidujících – vlastní kontrola |
správa nároků | Přístupový panel |
Požadavky na licenci
Tato funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo předplatná Microsoft Entra Suite pro uživatele vaší organizace. Některé funkce v rámci této funkce můžou fungovat s předplatným Microsoft Entra ID P2. Další informace najdete v článcích o jednotlivých funkcích. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.
Poznámka:
Vytvoření kontroly neaktivních uživatelů a doporučení pro přidružení uživatele k skupině vyžaduje licenci zásad správného řízení Microsoft Entra ID.