Nejčastější dotazy

Tento článek odpovídá na nejčastější dotazy k Správa oprávnění Microsoft Entra.

Co je Správa oprávnění Microsoft Entra?

Správa oprávnění Microsoft Entra (Správa oprávnění) je řešení pro správu nároků cloudové infrastruktury (CIEM), které poskytuje komplexní přehled o oprávněních přiřazených všem identitám. Například nadprivilegované úlohy a identity uživatelů, akce a prostředky napříč vícecloudovými infrastrukturami v Microsoft Azure, Amazon Web Services (AWS) a Google Cloud Platform (GCP). Správa oprávnění detekuje, automaticky zmenšuje správné velikosti a nepřetržitě monitoruje nepoužívané a nadměrné oprávnění. Prohlubuje strategii zabezpečení nulová důvěra (Zero Trust) rozšířením principu přístupu s nejnižšími oprávněními.

Jaké jsou požadavky na používání správy oprávnění?

Správa oprávnění podporuje shromažďování dat z AWS, GCP a/nebo Microsoft Azure. Pro shromažďování a analýzu dat musí mít zákazníci účet Microsoft Entra, aby mohli používat správu oprávnění.

Může zákazník použít správu oprávnění, pokud má jiné identity s přístupem ke své platformě IaaS, která ještě není v Microsoft Entra ID?

Ano, zákazník může detekovat, zmírnit a monitorovat riziko účtů AWS IAM nebo GCP nebo od jiných zprostředkovatelů identity, jako jsou Okta nebo AWS IAM.

Kde můžou zákazníci získat přístup ke správě oprávnění?

Zákazníci mají přístup k rozhraní Pro správu oprávnění z Centra pro správu Microsoft Entra .

Můžou zákazníci mimo cloud používat správu oprávnění místně?

Ne, Správa oprávnění je hostovaná cloudová nabídka.

Můžou zákazníci mimo Azure používat správu oprávnění?

Ano, zákazníci mimo Azure můžou naše řešení používat. Správa oprávnění je multicloudové řešení, takže z něj můžou těžit i zákazníci, kteří nemají předplatné Azure.

Je správa oprávnění dostupná pro tenanty hostované v Evropské unii (EU)?

Ano, správa oprávnění je aktuálně určená pro tenanty hostované v Evropské unii (EU).

Pokud už používám Microsoft Entra ID Privileged Identity Management (PIM) pro Azure, jakou hodnotu poskytuje Správa oprávnění?

Správa oprávnění doplňuje Microsoft Entra PIM. Microsoft Entra PIM poskytuje přístup za běhu pro role správců v Azure a online službách Microsoftu a aplikacích, které používají skupiny. Správa oprávnění umožňuje vícecloudové zjišťování, nápravu a monitorování privilegovaného přístupu v Azure, AWS a GCP.

Jaké infrastruktury veřejného cloudu správa oprávnění podporuje?

Správa oprávnění v současné době podporuje tři hlavní veřejné cloudy: Amazon Web Services (AWS), Google Cloud Platform (GCP) a Microsoft Azure.

Podporuje správa oprávnění hybridní prostředí?

Správa oprávnění v současné době nepodporuje hybridní prostředí.

Jaké typy identit správa oprávnění podporuje?

Správa oprávnění podporuje identity uživatelů (například zaměstnance, zákazníky, externí partnery) a identity úloh (například virtuální počítače, kontejnery, webové aplikace, bezserverové funkce).

Je správa oprávnění dostupná v cloudu pro státní správu?

Ne, Správa oprávnění v současné době není dostupná v cloudech pro státní správu.

Je správa oprávnění dostupná pro suverénní cloudy?

Ne, správa oprávnění v současné době není dostupná v suverénních cloudech.

Jak správa oprávnění shromažďuje přehledy o využití oprávnění?

Správa oprávnění má kolekci dat, která shromažďuje přístupová oprávnění přiřazená různým identitám, protokolům aktivit a metadatům prostředků. Kolektor dat poskytuje úplný přehled o oprávněních udělených všem identitám pro přístup k prostředkům a podrobnostem o využití udělených oprávnění.

Jak správa oprávnění vyhodnocuje riziko cloudových oprávnění?

Správa oprávnění nabízí podrobný přehled o všech identitách a jejich oprávněních udělených v porovnání s použitými cloudovými infrastrukturami za účelem odhalení všech akcí prováděných jakoukoli identitou na jakémkoli prostředku. Viditelnost není omezená jenom na identity uživatelů, ale také identity úloh, jako jsou virtuální počítače, přístupové klíče, kontejnery a skripty. Řídicí panel poskytuje přehled profilu oprávnění k vyhledání nejrizivějších identit a prostředků.

Co je index oprávnění creepu?

Index indexu oprávnění plížení (PCI) je kvantitativní míra rizika spojená s identitou nebo rolí určenou porovnáním udělených oprávnění a uplatněných oprávnění. Umožňuje uživatelům okamžitě vyhodnotit úroveň rizika související s počtem nepoužívaných nebo nadměrně zřízených oprávnění napříč identitami a prostředky. Měří, kolik identit poškození může způsobit na základě oprávnění, která mají.

Jak můžou zákazníci používat správu oprávnění k odstranění nepoužívaných nebo nadměrných oprávnění?

Správa oprávnění umožňuje uživatelům nastavit správnou velikost nadměrných oprávnění a pomocí několika kliknutí automatizovat vynucení zásad nejnižších oprávnění. Řešení nepřetržitě analyzuje historická data o využití oprávnění pro každou identitu a poskytuje zákazníkům možnost správné velikosti oprávnění k oprávněním, která se používají jenom pro každodenní operace. Všechna nepoužitá a další riziková oprávnění je možné automaticky odebrat.

Proč je uživatel, který jsem odstranil, stále viditelný na kartě Analýza?

Zkontrolujte, jestli má uživatel přiřazenou klasickou roli Správa istratoru. Klasické role správce se při odstranění uživatele neodejdou. Pokud chcete tento problém vyřešit, přejděte na stránku klasického správce a odstraňte přiřazení této role pro uživatele samostatně.

Jak můžou zákazníci udělit oprávnění na vyžádání pomocí správy oprávnění?

V případě jakýchkoli situací, kdy identita potřebuje provést konkrétní sadu akcí pro sadu konkrétních prostředků, může tato identita požádat o tato oprávnění na vyžádání po omezenou dobu pomocí samoobslužného pracovního postupu. Zákazníci můžou buď použít integrovaný modul pracovních postupů, nebo nástroj pro správu IT služeb (ITSM). Uživatelské prostředí je stejné pro jakýkoli typ identity, zdroj identity (místní, podnikový adresář nebo federovaný) a cloud.

Jaký je rozdíl mezi oprávněními na vyžádání a přístupem za běhu?

Přístup za běhu (JIT) je metoda, která se používá k vynucení principu nejnižšího oprávnění, aby se zajistilo, že identitám je udělena minimální úroveň oprávnění k provedení úkolu. Oprávnění na vyžádání jsou typem přístupu JIT, který umožňuje dočasné zvýšení oprávnění, což umožňuje identitám přistupovat k prostředkům podle požadavku podle času.

Jak můžou zákazníci monitorovat využití oprávnění pomocí správy oprávnění?

Zákazníci potřebují sledovat vývoj indexu Oprávnění Creep Index (PCI), aby mohli monitorovat využití oprávnění. Zákazníci můžou monitorovat PCI na kartě Analýza na řídicím panelu Správa oprávnění.

Můžou zákazníci generovat sestavy využití oprávnění?

Ano, Správa oprávnění má k dispozici různé typy systémových sestav, které zachycují konkrétní datové sady. Tyto sestavy umožňují zákazníkům:

  • Proveďte včasná rozhodnutí.
  • Analýza trendů využití a výkonu systému a uživatelů
  • Identifikujte oblasti s vysokým rizikem.

Informace o sestavách využití oprávnění najdete v tématu Generování a stažení sestavy analýzy oprávnění.

Integruje se správa oprávnění s nástroji ITSM (Správa informačních technologií) třetích stran?

Integrace s nástroji ITMS, jako je ServiceNow, je v budoucnu v plánu.

Jak se nasazuje správa oprávnění?

Zákazníci, kteří mají přiřazenou roli Správa oprávnění Správa istrator, musí nejprve připojit správu oprávnění ke svému tenantovi Microsoft Entra a pak připojit své účty AWS, projekty GCP a předplatná Azure. Další podrobnosti o onboardingu najdete v naší produktové dokumentaci.

Jak dlouho trvá nasazení správy oprávnění?

Záleží na každém zákazníkovi a na tom, kolik účtů AWS, projektů GCP a předplatných Azure má.

Jak rychle můžu získat přehledy oprávnění po nasazení správy oprávnění?

Po úplném nasazení s nastavením shromažďování dat můžou zákazníci získat přístup k přehledům využití oprávnění během několika hodin. Náš modul strojového učení aktualizuje index oprávnění creep každou hodinu, aby zákazníci mohli začít s posouzením rizik hned.

Shromažďuje a ukládá správa oprávnění citlivé osobní údaje?

Ne, Správa oprávnění nemá přístup k citlivým osobním údajům.

Kde najdu další informace o správě oprávnění?

Můžete si přečíst náš blog a navštívit naši webovou stránku. Můžete se také spojit s kontaktním bodem Microsoftu a naplánovat si ukázku.

Co je proces zničení nebo vyřazení dat z provozu?

Pokud zákazník zahájí bezplatnou zkušební verzi Správy oprávnění 45 dnů a nepřevedí na placenou licenci do 45 dnů od vypršení platnosti zkušební verze, odstraní se všechna shromážděná data do 30 dnů od data vypršení platnosti zkušební verze.

Pokud se zákazník rozhodne ukončit licencování služby, odstraní se všechna dříve shromážděná data do 30 dnů od ukončení licence.

Zákazníci můžou také odebrat, exportovat nebo upravit konkrétní data, pokud správce oprávnění Správa istrator pomocí souborů služby Správa oprávnění oficiální žádost subjektu údajů. Vytvoření žádosti:

Pokud jste podnikový zákazník, můžete kontaktovat zástupce Microsoftu, tým účtů nebo správce tenanta a požádat o žádost o žádost subjektu údajů lístek podpory ICM s vysokou prioritou. Do žádosti ICM nezahrnujte podrobnosti ani žádné identifikovatelné osobní údaje. S těmito podrobnostmi vás budeme kontaktovat až po vytvoření ICM.

Pokud jste samoobslužný zákazník (nastavili jste zkušební nebo placenou licenci v Centrum pro správu Microsoftu 365), můžete kontaktovat tým ochrany osobních údajů pro správu oprávnění tak, že vyberete rozevírací nabídku svého profilu a pak účet Nastavení ve správě oprávnění. Podle pokynů proveďte žádost subjektu údajů.

Přečtěte si další informace o žádostech subjektů údajů Azure.

Potřebuji licenci k používání Správa oprávnění Microsoft Entra?

Ano, od 1. července 2022 musí noví zákazníci získat bezplatnou 45denní zkušební licenci nebo placenou licenci, aby mohli službu používat. Zkušební verzi můžete povolit tady: https://aka.ms/TryPermissionsManagement nebo můžete licence založené na prostředcích zakoupit přímo tady: https://aka.ms/BuyPermissionsManagement

Jak je správa oprávnění cenová?

Správa oprávnění je 125 USD za prostředky za rok (10,40 USD za prostředek za měsíc). Správa oprávnění vyžaduje licence pro úlohy, které zahrnují jakýkoli prostředek, který používá výpočetní prostředky nebo paměť.

Musím platit za všechny prostředky?

I když správa oprávnění podporuje všechny prostředky, Microsoft vyžaduje jenom licence na fakturovatelné prostředky v cloudovém prostředí. Další informace o fakturovatelných prostředcích najdete v tématu Zobrazení fakturovatelných prostředků uvedených v autorizačním systému.

Návody vypočítat počet fakturovatelných prostředků?

Pokud chcete vypočítat fakturovatelné prostředky, které máte v infrastruktuře s více cloudy, musíte nejprve aktivovat 45denní bezplatnou zkušební verzi služby Permissions Management nebo zakoupit placenou licenci. Ve správě oprávnění vyberte Nastavení (ikona ozubeného kola) a potom klikněte na kartu Fakturovatelné prostředky. Zobrazte množství fakturovatelných prostředků ve sloupci Celkový počet licencí.

Co mám dělat, když používám starší verzi služby CloudKnox?

V současné době pracujeme na vývoji plánu migrace, který zákazníkům v původní službě CloudKnox pomůže přejít na novou službu Správa oprávnění Microsoft Entra později v roce 2022.

Mohu používat Správa oprávnění Microsoft Entra v EU?

Ano, produkt je kompatibilní.

Jak povolit jeden z nových 18 jazyků podporovaných ve verzi GA?

Nyní jsme lokalizováni ve 18 jazycích. Respektujeme vaše nastavení prohlížeče nebo můžete ručně povolit jazyk podle svého výběru přidáním přípony řetězce dotazu k vaší adrese URL Správa oprávnění Microsoft Entra:

?lang=xx-XX

Kde xx-XX je jedním z následujících dostupných parametrů jazyka: 'cs-CZ', 'de-DE', 'en-US', 'es-ES', 'fr-FR', 'hu-HU', 'id-ID', 'it-IT', 'ja-JP', 'ko-KR', 'nl-NL', 'pl-PL', 'pt-BR', 'pt-PT', 'ru-RU', 'sv-SE', 'tr-TR', 'zh-CN' nebo 'zh-TW'.

Zdroje informací

Další kroky