Vytvoření kontroly přístupu k prostředkům Azure a rolím Microsoft Entra v PIM
Potřeba přístupu k privilegovaným prostředkům Azure a rolím Microsoft Entra, které uživatelé v průběhu času mění. Pokud chcete snížit riziko související se zastaralými přiřazeními rolí, měli byste přístup kontrolovat pravidelně. Pomocí microsoft Entra Privileged Identity Management (PIM) můžete vytvořit kontroly přístupu pro privilegovaný přístup k prostředkům Azure a rolím Microsoft Entra. Můžete také nakonfigurovat opakované kontroly přístupu, ke kterým dochází automaticky. Tento článek popisuje, jak vytvořit jednu nebo více kontrol přístupu.
Požadavky
Použití Privileged Identity Management vyžaduje licence. Další informace o licencování naleznete v tématu Základy licencování zásad správného řízení pro Id Microsoftu .
Další informace o licencích pro PIM najdete v licenčních požadavcích pro použití Privileged Identity Management.
Pokud chcete vytvořit kontroly přístupu pro prostředky Azure, musíte mít přiřazenou roli Vlastník nebo Správce uživatelských přístupů pro prostředky Azure. Chcete-li vytvořit kontroly přístupu pro role Microsoft Entra, musíte mít přiřazenou alespoň roli Správce privilegovaných rolí.
Použití kontrol přístupu pro instanční objekty vyžaduje plán ID úloh Microsoft Entra Premium kromě licence zásad správného řízení Microsoft Entra ID P2 nebo Microsoft Entra ID.
- Licencování Identities úloh Premium: Licence můžete zobrazit a získat v okně Identity úloh v Centru pro správu Microsoft Entra.
Poznámka:
Kontroly přístupu zachycují snímek přístupu na začátku každé instance kontroly. Všechny změny provedené během procesu kontroly se projeví v dalším cyklu kontroly. S zahájením každého nového opakování se v podstatě načtou příslušná data týkající se uživatelů, zdrojů, které kontrolují, a jejich revidujících.
Vytváření kontrol přístupu
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
Přihlaste se do centra pro správu Microsoft Entra jako uživatel, který je přiřazený k některé z požadovaných rolí.
Přejděte do služby Privileged Identity Governance>Privileged Identity Management.
V případě rolí Microsoft Entra vyberte role Microsoft Entra. V případě prostředků Azure vyberte prostředky Azure.
V případě rolí Microsoft Entra znovu v části Spravovat vyberte role Microsoft Entra. V případě prostředků Azure vyberte předplatné, které chcete spravovat.
V části Spravovat vyberte Kontroly přístupu a pak výběrem možnosti Nový vytvořte novou kontrolu přístupu.
Pojmenujte kontrolu přístupu. Volitelně zadejte popis kontroly. Jméno a popis se zobrazí revidujícím.
Nastavte počáteční datum. Ve výchozím nastavení probíhá kontrola přístupu jednou. Začíná v době vytváření a končí za jeden měsíc. Počáteční a koncové datum můžete změnit tak, aby se v budoucnu spustila kontrola přístupu a trvala však mnoho dní, které chcete.
Pokud chcete, aby se kontrola přístupu opakovala, změňte nastavení Frekvence z jednoho na Týdenní, Měsíční, Čtvrtletní, Roční nebo Půlroční. Pomocí posuvníku Doba trvání nebo textového pole zadejte dobu trvání kontroly. Například maximální doba trvání, kterou můžete nastavit pro měsíční kontrolu, je 27 dní, aby se zabránilo překrývajícím se recenzím.
Pomocí nastavení Konec můžete určit, jak ukončit řadu opakovaných kontrol přístupu. Řada může končit třemi způsoby: nepřetržitě spouští kontroly po neomezenou dobu, do určitého data nebo po dokončení definovaného počtu výskytů. Vy nebo jiný správce, který může spravovat recenze, můžete řadu po vytvoření zastavit změnou data v Nastavení tak, aby skončila k tomuto datu.
V části Rozsah uživatelů vyberte obor kontroly. U rolí Microsoft Entra je první možností oboru Uživatelé a skupiny. Do tohoto výběru jsou zahrnuti přímo přiřazení uživatelé a skupiny s možností přiřazení rolí. Pro role prostředků Azureje prvním oborem Uživatelé. Skupiny přiřazené k rolím prostředků Azure se rozbalí tak, aby zobrazovaly přechodná přiřazení uživatelů v kontrole s tímto výběrem. Můžete také vybrat instanční objekty a zkontrolovat účty počítačů s přímým přístupem k prostředku Azure nebo roli Microsoft Entra.
Nebo můžete vytvářet kontroly přístupu jenom pro neaktivní uživatele. V části Rozsah Uživatelé nastavte neaktivní uživatele (na úrovni tenanta) pouze na true. Pokud je přepínač nastavený na true, rozsah kontroly se zaměřuje pouze na neaktivní uživatele. Poté zadejte dny neaktivity. Můžete zadat až 730 dní (dva roky). Uživatelé neaktivní pro zadaný počet dní jsou jedinými uživateli v kontrole.
V části Kontrola členství v rolích vyberte privilegovaný prostředek Azure nebo role Microsoft Entra, které chcete zkontrolovat.
Poznámka:
Výběrem více než jedné role vytvoříte více kontrol přístupu. Když například vyberete pět rolí, vytvoří se pět samostatných kontrol přístupu.
V typu přiřazení vymezují obor kontroly podle toho, jak byl objekt zabezpečení přiřazen k roli. Pokud chcete zkontrolovat oprávněná přiřazení (bez ohledu na stav aktivace při vytvoření kontroly) nebo aktivní přiřazení, zvolte pouze oprávnění ke kontrole aktivních přiřazení. Pokud chcete zkontrolovat všechna aktivní a oprávněná přiřazení bez ohledu na typ, vyberte všechna aktivní a oprávněná přiřazení .
V části Revidujícím vyberte jednoho nebo více lidí, kteří chtějí zkontrolovat všechny uživatele. Nebo můžete vybrat, aby členové zkontrolovali svůj vlastní přístup.
- Vybraní uživatelé – Pomocí této možnosti můžete určit konkrétního uživatele k dokončení kontroly. Tato možnost je dostupná bez ohledu na rozsah kontroly a vybraní kontroloři můžou kontrolovat uživatele, skupiny a instanční objekty.
- Členové (sami) – Tuto možnost použijte, pokud chcete, aby uživatelé zkontrolovali svá přiřazení rolí. Tato možnost je dostupná jenom v případě, že je kontrola vymezená na uživatele a skupiny nebo uživatele. Pro role Microsoft Entra, skupiny, které lze přiřadit role, nejsou součástí kontroly při výběru této možnosti.
- Nadřízený – Tuto možnost použijte, pokud chcete, aby správce uživatele zkontroloval přiřazení role. Tato možnost je dostupná jenom v případě, že je kontrola vymezená na uživatele a skupiny nebo uživatele. Při výběru správce můžete také zadat náhradního revidujícího. Záložní revidujícím se zobrazí výzva, aby zkontrolovali uživatele, pokud uživatel nemá v adresáři zadaný žádný správce. Pro role Microsoft Entrajsou skupiny, kterým lze přiřadit role, zkontrolovány náhradním recenzentem, pokud je vybrán.
Po dokončení nastavení
Pokud chcete určit, co se stane po dokončení kontroly, rozbalte část Nastavení po dokončení.
Pokud chcete automaticky odebrat přístup pro uživatele, kteří byli odepřeni, nastavte automatické použití výsledků na prostředek na povolení. Pokud chcete výsledky po dokončení kontroly použít ručně, nastavte přepínač Zakázat.
Pomocí seznamu Pokud revidující neodpovídá určete, co se stane s uživateli, které revidující během revizního období nekontroluje. Toto nastavení nemá vliv na uživatele, kteří už byli zkontrolováni.
- Beze změny – Ponechat přístup uživatele beze změny
- Odebrání přístupu – Odebrání přístupu uživatele
- Schválení přístupu – Schválení přístupu uživatele
- Přijmout doporučení – Vezměte doporučení systému k odepření nebo schválení nepřetržitého přístupu uživatele
Pomocí akce použijte seznam odepřených uživatelů typu host a určete, co se stane pro uživatele typu host, kteří jsou odepřeni. Toto nastavení se v tuto chvíli nedá upravit pro Microsoft Entra ID a kontroly rolí v prostředcích Azure. Uživatelé typu host, stejně jako všichni uživatelé, vždy ztratí přístup k prostředku, pokud je jim odepřen přístup.
Můžete posílat oznámení jiným uživatelům nebo skupinám, aby dostávali aktualizace dokončení kontroly. Tato funkce umožňuje ostatním účastníkům, než je tvůrce revizí, aktualizovat průběh kontroly. Pokud chcete tuto funkci použít, vyberte Vybrat uživatele nebo skupiny a přidejte všechny uživatele nebo skupiny, které chcete dostávat oznámení o stavu dokončení.
Rozšířené nastavení
Pokud chcete konfigurovat další nastavení, rozbalte část Upřesnit nastavení.
Nastavte možnost Zobrazit doporučení , aby bylo možné zobrazit revidujícím systémová doporučení založená na přístupových informacích uživatele. Doporučení jsou založená na 30denním intervalu. Uživatelům, kteří se přihlásili během posledních 30 dnů, se zobrazují s doporučeným schválením přístupu, zatímco uživatelé, kteří se nepřihlásili, se zobrazují s doporučeným odepřením přístupu. Tato přihlášení jsou bez ohledu na to, jestli byly interaktivní. Spolu s doporučením se zobrazí také poslední přihlášení uživatele.
Pokud chcete povolit, aby kontrolor mohl zadat důvod ke schválení, nastavte možnost Vyžadovat důvod schválení.
Pokud chcete, aby služba Microsoft Entra ID posílala e-mailová oznámení kontrolorům, když začne kontrola přístupu, a správcům, když se kontrola dokončí, u položky E-mailová oznámení nastavte Povolit.
Nastavte Připomenutí na Povolit, aby Microsoft Entra ID odesílal připomenutí probíhajících přezkumů přístupu kontrolorům, kteří nedokončili svou kontrolu.
Obsah e-mailu odeslaného revidujícím se automaticky vygeneruje na základě podrobností kontroly, jako je název kontroly, název zdroje, termín splnění atd. Pokud potřebujete sdělit další informace, jako jsou další pokyny nebo kontaktní údaje, můžete tyto podrobnosti uvést v části Další obsah pro e-maily recenzentů. Tyto informace jsou zahrnuty v pozvánkách a připomínkových e-mailech, které jsou odesílány přiřazeným recenzentům. Zvýrazněný oddíl je, kde se tyto informace zobrazují.
Správa kontroly přístupu
Průběh můžete sledovat, jakmile revidoři dokončí recenze na stránce Přehled kontroly přístupu. V adresáři nejsou změněna žádná přístupová práva, dokud se kontrola nedokončila.
Po kontrole přístupu, postupujte podle kroků v Dokončení kontroly přístupu k prostředkům Azure a rolím Microsoft Entra, abyste zobrazili a použili výsledky.
Pokud spravujete sérii kontrol přístupu, přejděte na kontrolu přístupu, a v plánovaných kontrolách najdete nadcházející výskyty, kde můžete upravit datum ukončení nebo přidat/odebrat kontrolory podle potřeby.
Na základě vašich výběrů v nastavení Po dokončení se automaticky použije po koncovém datu kontroly nebo po ručním zastavení kontroly. Stav revize se změní z Dokončeno prostřednictvím přechodných stavů, jako je Používání a nakonec stav Aplikováno. Měli byste očekávat, že se během několika minut odeberou z rolí odepření uživatelé.
Dopad skupin přiřazených k rolím Microsoft Entra a rolím prostředků Azure v kontrolách přístupu
• Pro role Microsoft Entra je možné přiřadit skupiny s možností přiřazení role k roli pomocí skupin, které lze přiřadit role. Při vytvoření kontroly v roli Microsoft Entra s přiřazenými skupinami přiřazenými rolemi se název skupiny zobrazí v kontrole bez rozbalení členství ve skupině. Kontrolor může schválit nebo odepřít přístup celé skupiny k roli. Odepřené skupiny při použití výsledků kontroly ztratí přiřazení k roli.
• Pro role prostředků Azure je možné k této roli přiřadit libovolnou skupinu zabezpečení. Při vytvoření přezkumu v roli prostředku Azure s přiřazenou skupinou zabezpečení mohou posuzovatelé rolí zobrazit plně rozšířené zobrazení členství ve skupině. Když recenzent odmítne uživatele, který byl přiřazen k roli prostřednictvím skupiny zabezpečení, uživatel ze skupiny neodejde. Důvodem je to, že se skupina může sdílet s jinými prostředky Azure nebo prostředky mimo Azure. Správci musí implementovat změny vyplývající z odepření přístupu.
Poznámka:
Skupina zabezpečení může mít přiřazené další skupiny. V takovém případě se v kontrole role zobrazí jenom uživatelé přiřazené přímo ke skupině zabezpečení přiřazené k dané roli.
Aktualizace kontroly přístupu
Po spuštění jedné nebo více kontrol přístupu můžete chtít upravit nebo aktualizovat nastavení stávajících kontrol přístupu. Tady je několik běžných scénářů, které byste mohli zvážit:
Přidávání a odebírání revidujících – Při aktualizaci kontrol přístupu můžete kromě primárního revidujících přidat náhradního revidora. Při aktualizaci kontroly přístupu se můžou odebrat primární revidoři. Náhradní revidoři se ale záměrně nedají vyměnit.
Poznámka:
Náhradní revidujícím se dají přidat jenom v případech, kdy je typ revidujících nadřízený. Primární revidujícím je možné přidat, když je vybraný uživatel typu revidujících.
Připomínání revidujících – Při aktualizaci kontrol přístupu se můžete rozhodnout povolit možnost připomenutí v části Upřesnit nastavení. Po povolení dostanou uživatelé e-mailové oznámení v polovině období kontroly. Revidujícím se zobrazují oznámení bez ohledu na to, jestli kontrolu dokončili nebo ne.
Aktualizace nastavení – Pokud je kontrola přístupu opakovaná, existují samostatná nastavení v části Aktuální versus řada. Aktualizace nastavení v části Aktuální použije změny pouze u aktuální kontroly přístupu při aktualizaci nastavení v části Řada aktualizuje nastavení pro všechna budoucí opakování.