Sdílet prostřednictvím


Správa přístupu uživatelů a uživatelů typu host pomocí kontrol přístupu

Pomocí kontrol přístupu můžete snadno zajistit, aby uživatelé nebo hosté měli odpovídající přístup. Požádejte přímo uživatele nebo pracovníka s rozhodovací pravomocí o účast při kontrole přístupu a znovu certifikujte (nebo potvrďte) přístup uživatelů. Revidujícím můžou poskytnout svůj vstup o potřebě každého uživatele k trvalému přístupu na základě návrhů z ID Microsoft Entra. Po dokončení kontroly přístupu můžete provést změny a ukončit přístup uživatelů, kteří ho už nepotřebují.

Poznámka:

Tento článek popisuje provádění kontrol přístupu pro uživatele a aplikace. Informace o provedení kontroly přístupu pro více prostředků v přístupových balíčcích najdete tady : Kontrola přístupu přístupového balíčku ve správě nároků Microsoft Entra. Pokud chcete zkontrolovat přístup uživatele nebo instančního objektu k rolím prostředků Microsoft Entra NEBO AZURE, přečtěte si téma Zahájení kontroly přístupu ve službě Microsoft Entra Privileged Identity Management.

Požadavky

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu základy licencování zásad správného řízení Microsoft Entra ID.

Vytvoření a provedení kontroly přístupu pro uživatele

Nejprve musíte mít přiřazenou jednu z následujících rolí:

  • Globální správce
  • Správce uživatelů
  • Správce zásad správného řízení identit
  • Správce privilegovaných rolí (pouze pro kontroly skupin s možností přiřazení rolí)
  • (Preview) Vlastník skupiny zabezpečení Microsoft 365 nebo Microsoft Entra, která se má zkontrolovat

Poznámka:

Po přístupu s nejnižšími oprávněními doporučujeme pro tyto úlohy použít správce zásad správného řízení identit nebo správce uživatelů.

Pak přejděte na stránku Zásad správného řízení identit a ujistěte se, že jsou kontroly přístupu pro vaši organizaci připravené.

V rámci kontroly přístupu může revidujícími být mít jednoho nebo několik uživatelů jako revidující.

  1. Vyberte skupinu v MICROSOFT Entra ID, které má jednoho nebo více členů. Nebo vyberte aplikaci připojenou k ID Microsoft Entra, které má přiřazeného jednoho nebo více uživatelů.

  2. Rozhodněte, jestli má každý uživatel kontrolovat svůj vlastní přístup, nebo jestli má jeden nebo několik uživatelů kontrolovat přístup všech.

  3. V jedné z dříve uvedených rolí přejděte na stránku Zásad správného řízení identit.

  4. Vytvořte kontrolu přístupu. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  5. Po spuštění kontroly přístupu požádejte revidujícím, aby zadali vstup. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  6. Pokud kontroloři nezadali zadání, můžete požádat Microsoft Entra ID, aby jim poslalo připomenutí. Ve výchozím nastavení microsoft Entra ID automaticky pošle připomenutí na půlce do koncového data všem recenzentům.

  7. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Správa přístupu hostů pomocí kontrol přístupu Microsoft Entra

Pomocí Microsoft Entra ID můžete snadno povolit spolupráci napříč hranicemi organizace pomocí funkce Microsoft Entra B2B. Uživatele typu host z jiných tenantů můžou pozvat správci nebo jiní uživatelé. Tato funkce se vztahuje také na sociální identity, jako jsou účty Microsoft.

Vytvoření a provedení kontroly přístupu pro hosty

Stejné role potřebné k vytvoření kontroly přístupu pro uživatele jsou také potřeba k vytvoření kontroly přístupu pro hosty. Další informace najdete v tématu Vytvoření a provedení kontroly přístupu pro uživatele.

Microsoft Entra ID umožňuje zkontrolovat uživatele typu host v několika scénářích.

Můžete si projít jednu z těchto akcí:

  • Skupina v Microsoft Entra ID, která má jednoho nebo více hostů jako členy.
  • Aplikace připojená k MICROSOFT Entra ID, které má přiřazených jednoho nebo více uživatelů typu host.

Při kontrole přístupu uživatelů typu host ke skupinám Microsoft 365 můžete buď vytvořit kontrolu pro každou skupinu jednotlivě, nebo zapnout automatickou opakovanou kontrolu přístupu uživatelů typu host ve všech skupinách Microsoftu 365. Následující video obsahuje další informace o opakovaných kontrolách přístupu uživatelů typu host:

Pak se můžete rozhodnout, jestli chcete každého hosta požádat, aby zkontroloval svůj vlastní přístup, nebo požádat jednoho nebo více uživatelů, aby zkontroloval přístup každého hosta.

Tyto scénáře jsou popsané v následujících částech.

Požádejte hosty, aby zkontrolovali své vlastní členství ve skupině.

Pomocí kontrol přístupu můžete zajistit, aby uživatelé, kteří byli pozvaní a přidaní do skupiny, měli dál přístup. Můžete snadno požádat hosty, aby zkontrolovali své vlastní členství v této skupině.

  1. Pokud chcete pro skupinu vytvořit kontrolu přístupu, vyberte kontrolu, která bude zahrnovat pouze členy uživatele typu host a že se členové sami zkontrolují. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte každého hosta, aby zkontroloval vlastní členství. Ve výchozím nastavení každý host, který přijal pozvánku, obdrží e-mail z Microsoft Entra ID s odkazem na kontrolu přístupu. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  4. Kromě uživatelů, kteří odmítli vlastní potřebu dalšího přístupu, můžete také odebrat uživatele, kteří neodpověděli.

  5. Pokud se skupina nepoužívá ke správě přístupu, můžete odebrat uživatele, kteří se nezúčastní kontroly, protože nepřijmou pozvánku. Nepřijmutí může znamenat, že e-mailová adresa pozvaných uživatelů měla překlep. Pokud se skupina používá jako distribuční seznam, možná někteří uživatelé typu host nebyli vybráni k účasti, protože jsou kontaktními objekty.

Požádejte sponzora, aby zkontroloval členství hosta ve skupině.

Můžete požádat sponzora, například vlastníka skupiny, o kontrolu potřeby hosta pro pokračování členství ve skupině.

  1. Pokud chcete vytvořit kontrolu přístupu pro skupinu, vyberte kontrolu, která bude obsahovat pouze členy uživatele typu host. Pak zadejte jednoho nebo více revidujících. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte revidující o informace. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Poznámka:

Po 30 dnech můžete externím identitám zablokovat přihlášení ke svému tenantovi a odstranit externí identity z tenanta. Během tohoto období nebudou nastavení, výsledky, revidujícím nebo protokoly auditu v rámci aktuální kontroly zobrazitelné ani konfigurovatelné. Další informace naleznete v tématu Zakázání a odstranění externích identit pomocí kontroly přístupu Microsoft Entra .

Požádejte hosty, aby zkontrolovali svůj vlastní přístup k aplikaci.

Kontroly přístupu můžete použít k zajištění toho, aby uživatelé, kteří byli pozvaní pro konkrétní aplikaci, nadále potřebovali přístup. Můžete se snadno zeptat samotných hostů, aby zkontrolovali vlastní potřebu přístupu.

  1. Pokud chcete vytvořit kontrolu přístupu pro aplikaci, vyberte kontrolu, která bude zahrnovat pouze hosty a že uživatelé kontrolují svůj vlastní přístup. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte každého hosta, aby zkontroloval svůj vlastní přístup k aplikaci. Ve výchozím nastavení každý host, který přijal pozvánku, obdrží e-mail z Microsoft Entra ID. Tento e-mail obsahuje odkaz na kontrolu přístupu na přístupovém panelu vaší organizace. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  4. Kromě uživatelů, kteří odmítli vlastní potřebu dalšího přístupu, můžete také odebrat uživatele typu host, kteří neodpověděli. Můžete také odebrat uživatele typu host, kteří nebyli vybráni k účasti, zejména pokud nebyli nedávno pozváni. Tito uživatelé pozvánku nepřijali a neměli tak přístup k aplikaci.

Požádejte sponzora, aby zkontroloval přístup hosta k aplikaci.

Můžete požádat sponzora, například vlastníka aplikace, o kontrolu potřeby hosta pro pokračování přístupu k aplikaci.

  1. Pokud chcete pro aplikaci vytvořit kontrolu přístupu, vyberte kontrolu, která bude obsahovat pouze hosty. Pak zadejte jednoho nebo více uživatelů jako revidujících. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte revidující o informace. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Požádejte hosty, aby zkontrolovali, jestli potřebují přístup, obecně

V některých organizacích si hosté nemusí být vědomi členství ve skupinách.

  1. Vytvořte skupinu zabezpečení v Microsoft Entra ID s hosty jako členy, pokud ještě neexistuje vhodná skupina. Můžete například vytvořit skupinu s ručně udržovaným členstvím hostů. Nebo můžete vytvořit dynamickou skupinu s názvem, například "Hosté contoso" pro uživatele v tenantovi Contoso, kteří mají hodnotu atributu UserType hosta. Mějte na paměti, že uživatel typu host, který je členem skupiny, vidí ostatní členy skupiny.

  2. Pokud chcete vytvořit kontrolu přístupu pro tuto skupinu, vyberte revidujícím, aby byli členy sami. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  3. Požádejte každého hosta, aby zkontroloval vlastní členství. Ve výchozím nastavení každý host, který pozvánku přijal, obdrží e-mail od Microsoft Entra ID s odkazem na kontrolu přístupu na přístupovém panelu vaší organizace. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  4. Jakmile revidujícím udělíte vstup, zastavte kontrolu přístupu. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  5. Odeberte přístup hostů pro hosty, kteří byli odepřeni, nedokončili kontrolu nebo nepřijali pozvánku. Pokud jsou někteří z hostů kontakty, které byly vybrány k účasti na revizi nebo které nepřijali pozvánku, můžete jejich účty zakázat pomocí Centra pro správu Microsoft Entra nebo PowerShellu. Pokud host už nepotřebuje přístup a není kontaktem, můžete jeho objekt uživatele z adresáře odebrat pomocí Centra pro správu Microsoft Entra nebo PowerShellu a odstranit objekt uživatele typu host.

Další kroky

Vytvoření kontroly přístupu skupin nebo aplikací