Referenční příručka k operacím správy identit a přístupu microsoft Entra
Tato část referenční příručky k operacím Microsoft Entra popisuje kontroly a akce, které byste měli zvážit při zabezpečení a správě životního cyklu identit a jejich přiřazení.
Poznámka:
Tato doporučení jsou aktuální k datu publikování, ale můžou se v průběhu času měnit. Organizace by měly průběžně vyhodnocovat své postupy identit při vývoji produktů a služeb Microsoftu v průběhu času.
Klíčové provozní procesy
Přiřazení vlastníků k klíčovým úkolům
Správa MICROSOFT Entra ID vyžaduje průběžné provádění klíčových provozních úkolů a procesů, které nemusí být součástí projektu uvedení. Přesto je důležité nastavit tyto úlohy tak, aby se zachovalo vaše prostředí. Mezi klíčové úkoly a jejich doporučené vlastníky patří:
| Úkol | Vlastník |
|---|---|
| Definování procesu vytváření předplatných Azure | Liší se podle organizace |
| Rozhodnutí o tom, kdo získá licence Enterprise Mobility + Security | Provozní tým IAM |
| Rozhodnutí o tom, kdo získá licence Microsoftu 365 | Tým pro produktivitu |
| Rozhodněte se, kdo získá další licence, například Dynamics, Visual Studio Codespaces. | Vlastník aplikace |
| Přiřazení licencí | Provozní tým IAM |
| Řešení chyb přiřazení licencí a jejich náprava | Provozní tým IAM |
| Zřizování identit pro aplikace v Microsoft Entra ID | Provozní tým IAM |
Při kontrole seznamu možná budete muset buď přiřadit vlastníka k úkolům, u které chybí vlastník, nebo upravit vlastnictví úkolů s vlastníky, kteří nejsou v souladu s poskytnutými doporučeními.
Přiřazení vlastníků doporučeného čtení
Synchronizace místních identit
Identifikace a řešení problémů se synchronizací
Microsoft doporučuje, abyste měli dobrý směrný plán a porozuměli problémům v místním prostředí, které můžou vést k problémům se synchronizací do cloudu. Vzhledem k tomu, že automatizované nástroje, jako je IdFix a Microsoft Entra Connect Health, můžou generovat velký objem falešně pozitivních výsledků, doporučujeme identifikovat chyby synchronizace, které se ještě mají vyřešit déle než 100 dnů vyčištěním těchto objektů v chybě. Dlouhodobé nevyřešené chyby synchronizace můžou generovat incidenty podpory. Řešení chyb během synchronizace poskytuje přehled různých typů chyb synchronizace, některé z možných scénářů, které tyto chyby způsobují, a potenciální způsoby, jak chyby opravit.
Konfigurace synchronizace Microsoft Entra Connect
Pokud chcete povolit všechna hybridní prostředí, stav zabezpečení na základě zařízení a integraci s ID Microsoft Entra, vyžadujeme, abyste synchronizovali uživatelské účty, které vaši zaměstnanci používají k přihlášení ke svým desktopům.
Pokud se uživatelé doménové struktury nepřihlašují, měli byste synchronizaci změnit tak, aby pocházela ze správné doménové struktury.
Obor synchronizace a filtrování objektů
Odebrání známých kontejnerů objektů, které není potřeba synchronizovat, má následující provozní výhody:
- Méně zdrojů chyb synchronizace
- Rychlejší cykly synchronizace
- Méně "odpadu" pro přenos z místního prostředí, například znečištění globálního adresního seznamu pro místní účty služeb, které nejsou relevantní v cloudu
Poznámka:
Pokud zjistíte, že importujete mnoho objektů, které se neexportují do cloudu, měli byste filtrovat podle organizační jednotky nebo konkrétních atributů.
Příklady objektů, které se mají vyloučit, jsou:
- Účty služeb, které se nepoužívají pro cloudové aplikace
- Skupiny, které se nemají použít v cloudových scénářích, jako jsou skupiny používané k udělení přístupu k prostředkům
- Uživatelé nebo kontakty, které jsou externími identitami, které mají být reprezentovány pomocí spolupráce Microsoft Entra B2B
- Účty počítačů, kde zaměstnanci nemají přístup ke cloudovým aplikacím, například ze serverů
Poznámka:
Pokud má jedna lidská identita více účtů zřízených z něčeho, jako je migrace starší verze domény, fúze nebo získání, měli byste účet používaný uživatelem synchronizovat jenom na každodenní bázi, například to, co používá k přihlášení ke svému počítači.
V ideálním případě se snažte dosáhnout rovnováhy mezi snížením počtu objektů pro synchronizaci a složitostí pravidel. Obecně platí, že kombinace mezi filtrováním organizačních jednotek a kontejneru a jednoduchým mapováním atributů na atribut cloudFiltered je efektivní kombinací filtrování.
Důležité
Pokud používáte filtrování skupin v produkčním prostředí, měli byste přejít na jiný přístup filtrování.
Synchronizace převzetí služeb při selhání nebo zotavení po havárii
Microsoft Entra Connect hraje klíčovou roli v procesu zřizování. Pokud synchronizační server z nějakého důvodu přejde do offline režimu, změny v místním prostředí se nedají aktualizovat v cloudu a můžou vést k problémům s přístupem pro uživatele. Proto je důležité definovat strategii převzetí služeb při selhání, která správcům umožňuje rychle obnovit synchronizaci po přechodu synchronizačního serveru do režimu offline. Takové strategie mohou spadat do následujících kategorií:
- Nasaďte servery Microsoft Entra Connect v pracovním režimu – umožňuje správci "zvýšit úroveň" přípravného serveru do produkčního prostředí jednoduchým přepínačem konfigurace.
- Použití virtualizace – Pokud je microsoft Entra Connect nasazený na virtuálním počítači, můžou správci použít svůj virtualizační zásobník na živé, migrované nebo rychle nasadit virtuální počítač a obnovit tak synchronizaci.
Pokud ve vaší organizaci chybí strategie zotavení po havárii a převzetí služeb při selhání pro Synchronizaci, neměli byste váhat nasadit Microsoft Entra Connect v pracovním režimu. Podobně pokud dojde k neshodě mezi produkční a přípravnou konfigurací, měli byste pracovní režim Microsoft Entra Connect znovu vytvořit tak, aby odpovídal produkční konfiguraci, včetně verzí softwaru a konfigurací.
Zajištění aktuálnosti
Microsoft pravidelně aktualizuje Microsoft Entra Connect. Mějte přehled o tom, jak využívat vylepšení výkonu, opravy chyb a nové funkce, které nabízí každá nová verze.
Pokud je vaše verze Microsoft Entra Connect delší než šest měsíců, měli byste upgradovat na nejnovější verzi.
Zdrojové ukotvení
Použití ms-DS-consistencyguid jako zdrojové ukotvení umožňuje snadnější migraci objektů mezi doménovými strukturami a doménami, což je běžné v konsolidaci a čištění domén AD, fúze, akvizice a úvody.
Pokud jako zdrojové ukotvení aktuálně používáte ObjectGuid , doporučujeme přepnout na příkaz ms-DS-ConsistencyGuid.
Vlastní pravidla
Vlastní pravidla Microsoft Entra Connect umožňují řídit tok atributů mezi místními objekty a cloudovými objekty. Nadměrné nebo chybné použití vlastních pravidel ale může představovat následující rizika:
- Řešení potíží se složitostí
- Snížení výkonu při provádění složitých operací napříč objekty
- Vyšší pravděpodobnost rozdílnosti konfigurace mezi produkčním serverem a pracovním serverem
- Další režie při upgradu služby Microsoft Entra Connect, pokud jsou vlastní pravidla vytvořená v rámci priority větší než 100 (používá se předdefinovaná pravidla)
Pokud používáte příliš složitá pravidla, měli byste prozkoumat důvody složitosti a najít příležitosti ke zjednodušení. Podobně pokud jste vytvořili vlastní pravidla s hodnotou priority nad 100, měli byste tato pravidla opravit, aby nebyla ohrožená nebo kolidují s výchozí sadou.
Mezi příklady chybného použití vlastních pravidel patří:
- Kompenzace za špinavá data v adresáři – V tomto případě doporučujeme spolupracovat s vlastníky týmu AD a vyčistit data v adresáři jako úlohu nápravy a upravit procesy, aby se zabránilo opětovnému zavedení chybných dat.
- Jednorázová náprava jednotlivých uživatelů – je běžné najít pravidla, která se týkají odlehlých hodnot zvláštních případů, obvykle kvůli problému s konkrétním uživatelem.
- Překomplikované "CloudFiltering" – Snížení počtu objektů je dobrým postupem, ale existuje riziko vytvoření překomplikovaného oboru synchronizace pomocí příliš velkého počtu pravidel synchronizace. Pokud používáte složitou logiku k zahrnutí nebo vyloučení objektů mimo proces filtrování organizačních jednotek, doporučujeme tuto logiku zpracovat mimo synchronizaci. Můžete to udělat tak, že objekty označíte jednoduchým atributem "cloudFiltered", který může tokovat jednoduchým pravidlem synchronizace.
Microsoft Entra Connect Configuration Documenter
Microsoft Entra Connect Configuration Documenter je nástroj, který můžete použít ke generování dokumentace k instalaci Microsoft Entra Connect. Tento nástroj vám poskytne lepší přehled o konfiguraci synchronizace a pomůže vám lépe porozumět tomu, jak všechno správně získat. Nástroj vám také řekne, k jakým změnám došlo, když jste použili nové sestavení nebo konfiguraci nástroje Microsoft Entra Connect a jaká vlastní pravidla synchronizace byla přidána nebo aktualizována.
Mezi aktuální možnosti nástroje patří:
- Dokumentace k úplné konfiguraci synchronizace Microsoft Entra Connects.
- Dokumentace všech změn v konfiguraci dvou serverů Microsoft Entra Connect Sync nebo změn z daného standardního plánu konfigurace
- Generování skriptu nasazení PowerShellu pro migraci rozdílů v pravidlech synchronizace nebo přizpůsobení z jednoho serveru do jiného
Přiřazení k aplikacím a prostředkům
Licencování na základě skupin pro cloudové služby Microsoftu
Microsoft Entra ID zjednodušuje správu licencí prostřednictvím licencování na základě skupin pro cloudové služby Microsoftu. Díky tomu IAM poskytuje infrastrukturu skupin a delegovanou správu těchto skupin správným týmům v organizacích. Existuje několik způsobů, jak nastavit členství ve skupinách v ID Microsoft Entra, včetně:
Synchronizované z místního prostředí – Skupiny můžou pocházet z místních adresářů, což může být vhodné pro organizace, které vytvořily procesy správy skupin, které je možné rozšířit a přiřazovat licence v Microsoftu 365.
Dynamické skupiny členství – Skupiny založené na atributech lze vytvořit v cloudu na základě výrazu založeného na atributech uživatele, například oddělení se rovná "prodej". Microsoft Entra ID udržuje členy skupiny a udržuje ho v souladu s definovaným výrazem. Použití dynamických skupin členství pro přiřazení licencí umožňuje přiřazení licence založené na atributech, což je vhodné pro organizace, které mají vysokou kvalitu dat ve svém adresáři.
Delegované vlastnictví – Skupiny je možné vytvořit v cloudu a mohou být určené vlastníky. Díky tomu můžete vlastníkům firmy, například týmu pro spolupráci nebo týmu BI, umožnit definovat, kdo by měl mít přístup.
Pokud aktuálně k přiřazování licencí a komponent uživatelům používáte ruční proces, doporučujeme implementovat licencování na základě skupin. Pokud váš aktuální proces nemonitoruje chyby licencování nebo zjistí, které licence jsou přiřazené a k dispozici, měli byste definovat vylepšení procesu. Ujistěte se, že váš proces řeší chyby licencování a monitoruje přiřazení licencí.
Dalším aspektem správy licencí je definice plánů služeb (součástí licence), které by se měly povolit na základě funkcí úloh v organizaci. Udělení přístupu k plánům služeb, které nejsou potřeba, může vést k tomu, že uživatelé na portálu Microsoft 365 uvidí nástroje, na kterých ještě nebyli natrénovaní nebo by je neměli používat. Tyto scénáře můžou zvýšit objem helpdesku, nepotřebné zřizování a ohrozit dodržování předpisů a zásady správného řízení; Například při zřizování OneDrivu jednotlivcům, kteří nemusí mít povoleno sdílet obsah.
K definování plánů služeb pro uživatele použijte následující pokyny:
- Správci by měli definovat "balíčky" plánů služeb, které mají být nabízeny uživatelům na základě jejich role; například pracovník white-límec versus podlahový pracovník.
- Vytvořte skupiny podle clusteru a přiřaďte licenci k plánu služeb.
- Volitelně je možné definovat atribut, který bude obsahovat balíčky pro uživatele.
Důležité
Licencování založené na skupinách v Microsoft Entra ID zavádí koncept uživatelů ve stavu chyby licencování. Pokud si všimnete chyb licencování, měli byste okamžitě identifikovat a vyřešit případné problémy s přiřazením licencí.
Správa životního cyklu
Pokud aktuálně používáte nástroj, například Microsoft Identity Manager nebo systém třetích stran, který spoléhá na místní infrastrukturu, doporučujeme přiřazení přesměrovat z existujícího nástroje. Místo toho byste měli implementovat licencování založené na skupinách a definovat správu životního cyklu skupiny na základě dynamických skupin členství.
Pokud váš stávající proces neodpovídá novým zaměstnancům nebo zaměstnancům, kteří organizaci opustí, měli byste nasadit licencování na základě skupin na základě dynamických skupin členství a definovat jejich životní cyklus. A konečně, pokud je licencování založené na skupinách nasazené pro místní skupiny, které nemají správu životního cyklu, zvažte použití cloudových skupin k povolení možností, jako jsou delegované vlastnictví nebo dynamické skupiny členství založené na atributech.
Přiřazení aplikací se skupinou Všichni uživatelé
Vlastníci prostředků můžou uvěřit, že skupina Všichni uživatelé obsahují jenom zaměstnance organizace, pokud by ve skutečnosti mohli obsahovat zaměstnance organizace i hosty. V důsledku toho byste měli věnovat zvláštní pozornost při použití skupiny Všichni uživatelé pro přiřazení aplikace a udělení přístupu k prostředkům, jako je sharepointový obsah nebo aplikace.
Důležité
Pokud je skupina Všichni uživatelé povolená a používá se pro zásady podmíněného přístupu, aplikaci nebo přiřazení prostředků, nezapomeňte skupinu zabezpečit, pokud nechcete, aby zahrnovala uživatele typu host. Kromě toho byste měli přiřazení licencí opravit tak, že vytvoříte a přiřadíte skupiny, které obsahují jenom zaměstnance organizace. Pokud zjistíte, že je skupina Všichni uživatelé povolená, ale nepoužívá se k udělení přístupu k prostředkům, ujistěte se, že provozní pokyny vaší organizace slouží k úmyslnému použití této skupiny (která zahrnuje zaměstnance organizace i hosty).
Automatizované zřizování uživatelů pro aplikace
Automatizované zřizování uživatelů pro aplikace je nejlepší způsob, jak vytvořit konzistentní zřizování, zrušení zřízení a životní cyklus identit napříč několika systémy.
Pokud aktuálně zřizujete aplikace ad hoc nebo používáte soubory CSV, JIT nebo místní řešení, které neřeší správu životního cyklu, doporučujeme implementovat zřizování aplikací pomocí Microsoft Entra ID. Toto řešení poskytuje podporované aplikace a definuje konzistentní vzor pro aplikace, které ještě nejsou podporovány id Microsoft Entra.
Standardní hodnoty rozdílového cyklu synchronizace Microsoft Entra Connect
Je důležité pochopit objem změn ve vaší organizaci a ujistit se, že nemá příliš dlouhou dobu na předvídatelnou synchronizaci.
Výchozí rozdílová frekvence synchronizace je 30 minut. Pokud rozdílová synchronizace trvá konzistentně déle než 30 minut nebo dochází k významným nesrovnalostem mezi výkonem rozdílové synchronizace přípravného a produkčního prostředí, měli byste prozkoumat a zkontrolovat faktory ovlivňující výkon služby Microsoft Entra Connect.
Doporučené čtení k řešení potíží s Microsoft Entra Connect
- Příprava atributů adresáře pro synchronizaci s Microsoftem 365 pomocí nástroje IdFix
- Microsoft Entra Connect: Řešení chyb během synchronizace
Shrnutí
Zabezpečená infrastruktura identit má pět aspektů. Tento seznam vám pomůže rychle najít a provést potřebné akce k zabezpečení a správě životního cyklu identit a jejich nároků ve vaší organizaci.
- Přiřaďte vlastníky k klíčovým úkolům.
- Vyhledejte a vyřešte problémy se synchronizací.
- Definujte strategii převzetí služeb při selhání pro zotavení po havárii.
- Zjednodušte správu licencí a přiřazování aplikací.
- Automatizujte zřizování uživatelů pro aplikace.