Sdílet prostřednictvím

Řízení přístupu pro aplikace ve vašem prostředí

  • Článek

Zásady správného řízení MICROSOFT Entra ID umožňují vyvážit potřebu vaší organizace v oblasti zabezpečení a produktivity zaměstnanců se správnými procesy a viditelností. Jeho funkce zajišťují, aby správné lidi měli správný přístup ke správným prostředkům ve vaší organizaci ve správný čas.

Organizace s požadavky na dodržování předpisů nebo plány řízení rizik mají citlivé nebo důležité obchodní aplikace. Citlivost aplikace může být založená na jejím účelu nebo na datech, která obsahuje, jako jsou finanční informace nebo osobní údaje zákazníků organizace. U těchto aplikací bude mít obvykle oprávnění k přístupu jenom podmnožina všech uživatelů v organizaci a přístup by měl být povolen pouze na základě zdokumentovaných obchodních požadavků.

Jako součást ovládacích prvků vaší organizace pro správu přístupu můžete použít funkce Microsoft Entra k:

  • nastavení vhodného přístupu
  • zřizování uživatelů pro aplikace
  • vynucení kontrol přístupu
  • vytváří sestavy, které ukazují, jak se tyto kontroly používají ke splnění cílů dodržování předpisů a řízení rizik.

Kromě scénáře zásad správného řízení přístupu k aplikacím můžete také použít funkce zásad správného řízení ID Microsoft Entra a další funkce Microsoft Entra pro jiné scénáře, jako je kontrola a odebrání uživatelů z jiných organizací nebo správa uživatelů, kteří jsou vyloučeni ze zásad podmíněného přístupu. Pokud má vaše organizace v Microsoft Entra ID nebo Azure více správců, používá správu skupin B2B nebo samoobslužné skupiny, měli byste pro tyto scénáře naplánovat nasazení kontroly přístupu.

Požadavky na licenci

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení microsoftu Entra ID.

Začínáme s řízením přístupu k aplikacím

Zásady správného řízení MICROSOFT Entra ID lze integrovat s mnoha aplikacemi pomocí standardů , jako jsou OpenID Connect, SAML, SCIM, SQL a LDAP. Prostřednictvím těchto standardů můžete použít Microsoft Entra ID s mnoha oblíbenými aplikacemi SaaS, místními aplikacemi a aplikacemi, které vaše organizace vyvinula.

Jakmile připravíte prostředí Microsoft Entra, jak je popsáno v následující části, tento třístupňový plán popisuje, jak připojit aplikaci k MICROSOFT Entra ID a povolit pro tuto aplikaci funkce zásad správného řízení identit.

  1. Definování zásad vaší organizace pro řízení přístupu k aplikaci
  2. Integrujte aplikaci s Microsoft Entra ID , abyste zajistili, že k aplikaci mají přístup jenom autorizovaní uživatelé, a zkontrolujte stávající přístup uživatele k aplikaci a nastavte základní hodnoty všech uživatelů, kteří byli zkontrolováni. To umožňuje ověřování a zřizování uživatelů.
  3. Nasaďte tyto zásady pro řízení jednotného přihlašování (SSO) a automatizaci přiřazení přístupu pro danou aplikaci.

Požadavky před konfigurací ID Microsoft Entra a zásad správného řízení id Microsoft Entra pro zásady správného řízení identit

Než začnete s procesem řízení přístupu k aplikacím ze zásad správného řízení microsoft Entra ID, měli byste zkontrolovat, jestli je prostředí Microsoft Entra správně nakonfigurované.

  • Ujistěte se, že vaše prostředí Microsoft Entra ID a Microsoft Online Services jsou připravené na požadavky na dodržování předpisů pro integrované a správně licencované aplikace. Dodržování předpisů je sdílená odpovědnost mezi Microsoftem, poskytovateli cloudových služeb (CSP) a organizacemi. Pokud chcete pro řízení přístupu k aplikacím použít ID Microsoft Entra, musíte mít v tenantovi jednu z následujících kombinací licencí:

    • Zásady správného řízení MICROSOFT Entra ID a její požadavky, Microsoft Entra ID P1
    • Microsoft Entra ID Governance krok up for Microsoft Entra ID P2 a jeho předpoklad, buď Microsoft Entra ID P2, nebo Enterprise Mobility + Security (EMS) E5

    Váš tenant musí mít alespoň tolik licencí jako počet uživatelů, kteří se řídí členy (mimo host), včetně těch, kteří mají nebo můžou požádat o přístup k aplikacím, schválit nebo zkontrolovat přístup k aplikacím. S odpovídající licencí pro tyto uživatele pak můžete řídit přístup až k 1500 aplikacím na uživatele.

  • Pokud budete řídit přístup hosta k aplikaci, propojte tenanta Microsoft Entra s předplatným pro fakturaci MAU. Tento krok je nutný před žádostí o hosta nebo kontrolou přístupu. Další informace najdete v modelu fakturace pro Microsoft Entra Externí ID.

  • Zkontrolujte, že ID Microsoft Entra už odesílá protokol auditu a volitelně i další protokoly do služby Azure Monitor. Azure Monitor je volitelný, ale užitečný pro řízení přístupu k aplikacím, protože Microsoft Entra ukládá události auditu až po dobu 30 dnů v protokolu auditu. Data auditu můžete uchovávat déle, než je výchozí doba uchovávání, jak dlouho microsoft Entra ID ukládá data sestav? a používat sešity služby Azure Monitor a vlastní dotazy a sestavy historických dat auditu. Kliknutím na Sešity můžete zkontrolovat konfiguraci Microsoft Entra a zjistit, jestli používá Azure Monitor, v Microsoft Entra ID v Centru pro správu Microsoft Entra. Pokud tato integrace není nakonfigurovaná a máte předplatné Azure a jsou v rolích Global AdministratorSecurity Administrator , můžete nakonfigurovat ID Microsoft Entra tak, aby používalo Azure Monitor.

  • Vyberte přístup k uchovávání objektů. Pokud vaše organizace vyžaduje, aby mohla vykazovat historické objekty Microsoft Entra, například sestavy, které obsahovaly uživatele, kteří měli přístup k aplikaci v minulém roce, včetně uživatelů, kteří byli následně odstraněni z Microsoft Entra, měli byste naplánovat archivaci objektů z Microsoft Entra do samostatného úložiště pro účely uchovávání informací a vytváření sestav. Další informace naleznete v tématu Přizpůsobené sestavy v Azure Data Exploreru (ADX) pomocí dat z Microsoft Entra ID.

  • Ujistěte se, že ve vašem tenantovi Microsoft Entra jsou jenom autorizovaní uživatelé ve vysoce privilegovaných rolích pro správu. Správci globálního správce, správce zásad správného řízení identit, správce uživatelů, správce aplikací, správce cloudových aplikací a správce privilegovaných rolí můžou provádět změny uživatelů a jejich přiřazení rolí aplikace. Pokud se členství v těchto rolích ještě nezkontrolovalo, potřebujete uživatele, který je v globálním správci nebo správci privilegovaných rolí, aby se zajistilo, že se spustí kontrola přístupu těchto rolí adresáře. Měli byste také zajistit, aby uživatelé v rolích Azure v předplatných, která obsahují Azure Monitor, Logic Apps a další prostředky potřebné k provedení vaší konfigurace Microsoft Entra, zkontrolovali.

  • Zkontrolujte, jestli má váš tenant odpovídající izolaci. Pokud vaše organizace používá místní službu Active Directory a tyto domény AD jsou připojené k MICROSOFT Entra ID, musíte zajistit, aby byly vysoce privilegované operace správy pro služby hostované v cloudu izolované od místních účtů. Zkontrolujte, že jste své systémy nakonfigurovali tak, aby chránily cloudové prostředí Microsoftu 365 před místním ohrožením.

Jakmile zkontrolujete, jestli je prostředí Microsoft Entra připravené, pokračujte definováním zásad správného řízení pro vaše aplikace.

Další kroky