Plánování novýchscénářůch
Přehled: Přehled scénářů obchodních partnerů a externích uživatelů
Obvykle všechny obchodní procesy v určitém okamžiku vyžadují spolupráci s partnery, dodavateli nebo dodavateli. Aby bylo možné tuto práci usnadnit, můžou obchodní partneři a externí uživatelé potřebovat přístup k vaší organizaci. Obchodní plánování s ohledem na partnery, dodavatele a externí uživatele zahrnuje navrhování a implementaci technologických řešení, která umožňují efektivní spolupráci, integraci a sladění cílů mezi vaší organizací a partnery.
Microsoft definuje následující osobu na základě jejich vztahu s vaší organizací.
- Pracovní síla. Vaši zaměstnanci na plný úvazek, zaměstnanci na částečný úvazek nebo dodavatelé pro vaši organizaci.
- Obchodní partneři. Organizace, které mají obchodní vztah s vaším podnikem. Mezi tyto organizace patří dodavatelé, dodavatelé, konzultanti a strategická aliance, kteří spolupracují s vaším podnikem, aby dosáhli vzájemných cílů.
- Externí uživatel. Uživatelé, kteří jsou mimo vaši organizaci, jako jsou obchodní partneři a spotřebitelé.
Příklady obchodních procesů a obchodních partnerů a externích uživatelů
Scénáře hosta nebo scénáře externího přístupu jsou specifické případy použití, kdy obchodní partneři nebo externí uživatelé komunikují s prostředky organizace a musí být reprezentovány v jednom z tenantů Microsoft Entra organizace. Tyto scénáře se rozprostírají téměř ve všech aspektech obchodních procesů.
Vezměte v úvahu každý z následujících obchodních procesů a příklady, jak přichází do hry plánování a interakce partnerů. Následující tabulka obsahuje rozpis těchto procesů a ukázkových scénářů, které zahrnují obchodní partnery a externí uživatele.
| Obchodní proces | Definice | Příklad obchodního partnera a externího uživatele |
|---|---|---|
| Správa obchodních procesů | Systematický přístup ke zlepšení pracovních postupů a operací organizace. | Společnost poskytující finanční služby, která spolupracuje s ratingovou agenturou, aby zjednodušila proces schvalování úvěrů. |
| Integrované obchodní plánování | Holistický přístup, který v souladu se strategickými cíli organizace, provozními plány a finančními prognózami vytváří jednotný rámec pro rozhodování. | Maloobchodní společnost sdílí prognózy prodeje a úrovně zásob s dodavateli prostřednictvím integrované platformy pro plánování. |
| Správa vztahů se zákazníky | Strategický přístup a systém pro správu interakcí organizace se svými zákazníky. | Automobilová společnost v koordinaci, podpoře a optimalizaci jejich interakcí s dealery. |
| Orchestrace dodavatelského řetězce | Koordinovaná správa všech procesů dodavatelského řetězce za účelem zajištění efektivity, viditelnosti a odezvy napříč všemi fázemi od zajišťování po dodávky. | Každá společnost, která má dodavatelský řetězec a potřebuje koordinaci s dodavateli a dodavateli. |
| Životní cyklus obchodního partnerského účtu | Ucelený proces správy vztahů a interakcí mezi organizací a externími obchodními partnery. | technologická společnost, která spolupracuje s dodavatelem softwaru, aby zlepšila své nabídky produktů. |
| Spolupráce B2B s jinými organizacemi | Strategické partnerství mezi dvěma nebo více podniky za účelem dosažení společných cílů prostřednictvím sdílených zdrojů, informací a úsilí. | Místní kavárna, která spolupracuje s pekárnou a vylepšuje nabídky obou firem. |
Porozumění vašemu scénáři pomáhá navrhnout vhodné řízení přístupu a zajistit bezproblémovou spolupráci s externími jednotlivci.
Oblasti nového scénáře zásad správného řízení pro obchodní partnery a externí uživatele
Nové obchodní partner a externí uživatelské řešení obvykle zahrnují následující oblasti. Mezi ně patří:
- Objevte své obchodní požadavky – identifikujte aktuální procesy životního cyklu a zásad správného řízení pro externí identity. Toto cvičení vám pomůže určit vhodné scénáře, proveditelnost a rozsah.
- Určení stavu zabezpečení – Vyhodnoťte potřeby vaší organizace v oblasti zabezpečení a spolupráce podle scénáře.
- Onboarding obchodních partnerů a externích uživatelů – onboarding, pokud jde o hosta nebo externí identity, je proces nebo procesy nastavení těchto identit v systémech vaší organizace.
- Zrušení zprovoznění obchodních partnerů a externích uživatelů – pokud jde o hosta nebo externí identity, je proces nebo procesy odebrání těchto identit ze systémů vaší organizace.
Požadavky na licenci
Použití některých z níže uvedených funkcí vyžaduje zásady správného řízení MICROSOFT Entra ID nebo licence Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu Základy licencování zásad správného řízení PRO ID Microsoftu.
Další krok
Zjišťování: Identifikace aktuálních procesů životního cyklu a zásad správného řízení pro obchodní partnery a externí uživatele
Identifikujte aktuální procesy životního cyklu a zásad správného řízení pro externí identity. Toto cvičení vám pomůže určit vhodné scénáře, proveditelnost a rozsah.
Zkontrolujte životní cyklus zaměstnanců a hostů pomocí zásad správného řízení Microsoft Entra ID s důrazem na externí identity. Zde popsané procesy jsou také potřeba pro uživatele typu host, dodavatele a další externí uživatele, aby mohli spolupracovat nebo mít přístup k prostředkům. Tento dokument popisuje akce, které můžete provést při zjišťování procesů zásad správného řízení.
Vzhledem k tomu, že scénář zásad správného řízení pro obchodní partnery a externí uživatele používá správu nároků, měli byste také zkontrolovat běžné scénáře správy nároků. To vám poskytne běžné scénáře pro správu nároků na základě role uživatele. Při plánování řešení byste je měli zvážit.
Následující tabulku můžete použít také jako vodítko pro další oblasti, které je potřeba zvážit při vyhodnocování aktuálního stavu.
| Zpracovat | Popis |
|---|---|
| Určení, kdo zahájí externí spolupráci | Obecně platí, že uživatelé, kteří hledají externí spolupráci, znají aplikace, které se mají použít, a po ukončení přístupu. Proto určete uživatele s delegovanými oprávněními k pozvání externích uživatelů, vytváření přístupových balíčků a úplné kontroly přístupu. |
| Zobrazení výčtu obchodních partnerů a externích uživatelů | Externími uživateli můžou být uživatelé Microsoft Entra B2B s přihlašovacími údaji spravovanými partnerem nebo externími uživateli s místně zřízenými přihlašovacími údaji. Obvykle se jedná o typ uživatele typu host. |
| Zjišťování e-mailových domén a vlastností companyName | Externí organizace můžete určit pomocí názvů domén e-mailových adres externích uživatelů. |
| Použití seznamu povolených, blokovaných a správy nároků | Pomocí seznamu povolených nebo blokovaných položek můžete organizaci povolit spolupráci s organizacemi na úrovni tenanta nebo blokovat. |
| Určení přístupu externího uživatele | S inventářem externích uživatelů a organizací určete přístup k udělení uživatelům. |
| Vytvoření výčtu oprávnění aplikace | Prozkoumejte přístup k citlivým aplikacím, abyste se dozvěděli o externím přístupu. |
| Zjištění neformálního sdílení | Pokud máte povolené e-maily a plány sítě, můžete prozkoumat sdílení obsahu prostřednictvím e-mailových nebo neautorizovaných aplikací saaS (software jako služba). |
Další informace najdete v tématu Zjištění aktuálního stavu externí spolupráce ve vaší organizaci.
Příklad – Identifikace aktuálních procesů životního cyklu a zásad správného řízení
Jste správce IT v rušné technické společnosti, Contoso a často čelíte výzvě efektivního a bezpečného zprovoznění firemních externích uživatelů, jako jsou konzultanti, dodavatelé a partneři. Aktuální proces onboardingu je fragmentovaný a nekonzistentní, což vede k ohrožením zabezpečení a nefektivnostem. K tomu se pustíte do fáze zjišťování, abyste identifikovali klíčové požadavky a porozuměli tomu, jak byste mohli využít Microsoft Entra.
Mezi klíčové požadavky patří:
- Různorodé požadavky na onboarding hostů s různými odděleními, které vyžadují jedinečné úrovně přístupu.
- Zajištění, aby uživatelé typu host měli nejnižší oprávnění potřebnou k provádění svých úloh, jsou zásadní a potřebují robustní zásady podmíněného přístupu a vícefaktorové ověřování k ochraně citlivých dat.
- Bezproblémový a uživatelsky přívětivý proces onboardingu pro vás jako správce IT i externí uživatele. Externí uživatelé by měli mít rychlý a snadný přístup k prostředkům, které vyžadují, aniž by museli zbytečně zpožďovat.
- Integrace se stávajícími nástroji pro spolupráci, jako jsou Microsoft Teams a SharePoint, a možností samoobslužné registrace (SSSU)
- Možnost řídit hosta pravidelným monitorováním aktivity uživatelů typu host, nastavením vypršení platnosti přístupu a pravidelných kontrol přístupu zajistí, aby přístup hostů zůstal v čase vhodný. Další informace najdete v tématu Řízení životního cyklu zaměstnanců a hostů pomocí zásad správného řízení microsoft Entra ID a zjištění aktuálního stavu externí spolupráce ve vaší organizaci.
S ohledem na tyto klíčové požadavky je potřeba vzít v úvahu dvě věci:
- onboarding externích uživatelů do tenanta
- získání přístupu externích uživatelů k prostředkům
V závislosti na obchodním případu existují různé možnosti. Pojďme se podrobně ponořit do onboardingu externích uživatelů a možností, které jsou k dispozici.
Další krok
Stav zabezpečení: Určení stavu zabezpečení pro obchodní partnery a externí uživatele
Při zvažování zásad správného řízení externího přístupu vyhodnocujte potřeby vaší organizace v oblasti zabezpečení a spolupráce podle scénáře. Můžete začít s úrovní kontroly, kterou má IT tým v průběhu každodenní spolupráce koncových uživatelů. Organizace v vysoce regulovaných odvětvích můžou vyžadovat větší kontrolu IT týmů.
Příklad:
- Dodavatelé obrany mohou mít požadavek na pozitivní identifikaci a dokumentovat externí uživatele, jejich přístup a odebrání přístupu.
- Konzultační agentury můžou pomocí určitých funkcí umožnit koncovým uživatelům určit externí uživatele, se kterými spolupracují.
- Dodavatel v bance může vyžadovat větší kontrolu než dodavatel softwarové společnosti.
Poznámka:
Vysoký stupeň kontroly nad spoluprácemi může vést k vyšším rozpočtům IT, nižší produktivitě a zpožděným obchodním výsledkům. Když jsou oficiální kanály pro spolupráci vnímány jako neslušné, koncoví uživatelé mají tendenci vyhýbat se oficiálním kanálům. Příkladem je odesílání nezabezpečených dokumentů e-mailem koncovým uživatelům.
Plánování na základě scénářů
IT týmy můžou delegovat přístup partnerů, aby mohli zaměstnanci spolupracovat s partnery. K tomuto delegování může dojít při zachování dostatečného zabezpečení pro ochranu duševního vlastnictví.
Zkompilujte a vyhodnoťte scénáře vaší organizace, které pomáhají vyhodnotit přístup zaměstnanců a obchodních partnerů k prostředkům. Finanční instituce můžou mít standardy dodržování předpisů, které omezují přístup zaměstnanců k prostředkům, jako jsou informace o účtu. Naopak stejné instituce můžou delegovaným partnerům povolit přístup k projektům, jako jsou marketingové kampaně.
Důležité informace o scénářích
Pomocí následujícího seznamu můžete měřit úroveň řízení přístupu.
- Citlivost informací a související riziko jeho expozice
- Přístup partnera k informacím o ostatních koncových uživatelích
- Náklady na porušení zabezpečení a režijní náklady na centralizovanou kontrolu a tření koncových uživatelů
Organizace můžou začít s vysoce spravovanými ovládacími prvky, které splňují cíle dodržování předpisů, a pak můžou některé kontroly delegovat koncovým uživatelům v průběhu času. V organizaci můžou existovat souběžné modely správy přístupu.
Aspekty architektury
Správný návrh architektury zabezpečení je základní součástí zajištění zabezpečeného obchodního partnera a scénáře externího uživatele. Při navrhování plánu zabezpečení byste se měli seznámit s různými typy doporučených architektur. Mezi doporučené architektury, které používají zásady správného řízení identit Microsoftu, patří:
- Aspekty architektury orientované na pracovní sílu a spolupráci – umožňují pracovníkům spolupracovat s obchodními partnery z externích organizací.
- Izolovaný přístup pro obchodní partnery – izolace externích uživatelů od tenanta vaší organizace
Navrhovaná dokumentace
Nakonec byste si měli projít následující dokumentaci. Při kontrole této dokumentace můžete navrhnout a vytvořit plán zabezpečení, který můžete použít s obchodním partnerem a exteranl uživatelskými scénáři.
- architektury nasazení Microsoft Entra Externí ID pomocí Microsoft Entra
- Zabezpečená externí spolupráce
- Naplánujte nasazení spolupráce Microsoft Entra B2B.
Další krok
Onboarding: Onboarding obchodních partnerů a externích uživatelů
Onboarding obchodních partnerů a externích uživatelů je důležitým aspektem správy identit a přístupu, který pomáhá udržovat zabezpečení, dodržování předpisů a provozní efektivitu ve vaší organizaci. Onboarding pro obchodní partnery a externí uživatele je možné rozdělit do následujících položek:
- Vytvořte proces onboardingu pro přidání externích partnerů.
- Vytvořte proces onboardingu pro přidání externích uživatelů do vašich systémů.
Proces onboardingu pro obchodní partnery
Následující položky představují obecný seznam kroků, které byste měli zvážit při připojování obchodních partnerů z vaší organizace.
- Určete počáteční datum pro práci s obchodním partnerem.
- Upozorněte všechna příslušná oddělení na konkrétní počáteční čas a datum.
- Koordinovat zahájení přístupu obchodního partnera ke všem systémům (portály, nástroje, rozhraní API)
- Partnerské propojené účty se přidají a role a přiřazení se schválí.
Proces onboardingu pro externí uživatele
Následující položky představují obecný seznam kroků, které byste měli zvážit při připojování externích uživatelů z vaší organizace.
- Určete počáteční datum.
- Upozorněte IT, aby do systémů přidal přístup jednotlivých uživatelů. To se dá automatizovat pomocí přístupového balíčku a pomocí samoobslužné žádosti.
- Poznamenejte si kroky onboardingu.
- Získejte konečné schválení od personálního oddělení, IT a všech příslušných oddělení, aby se zajistilo, že jsou všechny aspekty onboardingu dokončené.
Použití správy nároků k usnadnění onboardingu
Správa nároků používá katalogy, přístupové balíčky a zásady k:
- Řízení, kdo může získat přístup k prostředkům
- Udělení přístupu uživatelům automaticky
- Odebrání přístupu uživatele
- Delegujte na nesprávce možnost vytvářet přístupové balíčky.
- Vyberte připojené organizace, jejichž uživatelé můžou požádat o přístup.
Další informace najdete v tématu Co je Správa nároků?
Katalog, přístup k balíčkům a zásadám
Ve správě nároků může mít přístupový balíček více zásad a každá zásada určuje, jak uživatelé přiřadí přístupový balíček a jak dlouho. Správu nároků je možné nakonfigurovat pro onboarding obchodních partnerů a externích uživatelů, přidání přístupových práv a jejich účtu do tenanta.
Typický přístupový balíček může zahrnovat následující:
- Přidá se přístup ke všem prostředkům přidruženým k balíčku.
- Uživatel se přidá do libovolné skupiny, která je potřeba.
- Účet se přidá do adresáře uživatele typu host.
- Použití protokolů auditu pro dodržování předpisů
- Oznámení se posílají s potvrzením úspěšného onboardingu.
Katalog je kontejner prostředků a přístupových balíčků. Katalog můžete vytvořit, když chcete seskupit související prostředky a přistupovat k balíčkům. Můžete například vytvořit katalog obchodních partnerů pro organizace, které se zabývají jinou organizací, jako je Contoso. V tomto katalogu můžete vytvářet přístupové balíčky. Přístupový balíček umožňuje jednorázově nastavit prostředky a zásady, které automaticky spravují přístup po dobu životnosti přístupového balíčku. Tyto přístupové balíčky je možné přizpůsobit různým externím uživatelům a partnerům ve společnosti Contoso a pro celou organizaci Contoso. Můžete mít například přístupový balíček pro dodavatele Společnosti Contoso a jeden pro dodavatele Společnosti Contoso a jeden pro dodavatele Společnosti Contoso a druhý pro organizaci Contoso. Další informace najdete v tématu Vytvoření a správa katalogu prostředků ve správě nároků.
Přístupový balíček umožňuje jednorázově nastavit prostředky a zásady, které automaticky spravují přístup po dobu životnosti přístupového balíčku. Všechny přístupové balíčky musí být v kontejneru nazývaném katalog. Přístupový balíček lze použít k přiřazení přístupu k rolím více prostředků, které jsou v katalogu. Všechny přístupové balíčky musí mít alespoň jednu zásadu, aby k nim měli uživatelé přiřazené. Další informace najdete v tématu Vytvoření přístupového balíčku ve správě nároků.
Zásady určují, kdo může požádat o přístupový balíček, spolu s nastavením schválení a životního cyklu nebo jak se přístup automaticky přiřadí.
Další informace najdete v tématu Onboarding externích uživatelů se správou nároků.
Poskytnutí přístupu k onboardingu obchodním partnerům a externím uživatelům
Pomocí správy nároků můžete definovat zásadu, která umožňuje uživatelům z organizací, které určíte, aby mohli samoobslužný přístupový balíček. Tato zásada zahrnuje, jestli se vyžaduje schválení, jestli se vyžadují kontroly přístupu, a datum vypršení platnosti přístupu.
Další informace najdete v tématu Řízení přístupu externích uživatelů ve správě nároků.
Konkrétní příklad najdete v tématu Kurz – Onboarding externích uživatelů k ID Microsoft Entra prostřednictvím schvalovacího procesu.
Použití pracovních postupů životního cyklu k usnadnění při onboardingu úloh
Pracovní postupy životního cyklu jsou funkce zásad správného řízení identit, která organizacím umožňuje spravovat uživatele Microsoft Entra automatizací těchto tří základních procesů životního cyklu:
- Joiner: Když jednotlivec vstoupí do rozsahu potřebného přístupu. Příkladem je nový zaměstnanec, který se připojuje ke společnosti nebo organizaci.
- Mover: Když se jednotlivec pohybuje mezi hranicemi v rámci organizace. Tento přesun může vyžadovat více přístupu nebo autorizace. Příkladem je uživatel, který byl v marketingu a je teď členem prodejní organizace.
- Leaver: Když jednotlivec opustí obor potřebného přístupu. Tento přesun může vyžadovat odebrání přístupu. Příkladem je zaměstnanec, který vyřazuje nebo je ukončený.
Pracovní postupy obsahují konkrétní procesy, které se spouštějí automaticky vůči uživatelům při procházení jejich životního cyklu. Pracovní postupy se skládají z úkolů a podmínek provádění.
Mnoho úloh, které umožní začít obchodním partnerům a externím uživatelům, je možné automatizovat pomocí pracovních postupů životního cyklu. Další informace najdete v tématu Co jsou pracovní postupy životního cyklu?
Další informace o tom, jak tyto a další úkoly automatizovat, najdete v tématu Automatizace úloh připojování zaměstnanců a hostů.
Iterace dalších zdrojů prostřednictvím přímého přiřazení
Teď můžete mít další požadavky, které je potřeba přiřadit uživatelům typu host. Můžete to provést pomocí přístupových balíčků a správy nároků.
Můžete mít například přístupový balíček, který je přiřazen vašim běžným uživatelům a chcete mít podobný balíček přiřazený uživatelům typu host. Správu nároků můžete použít k přiřazení uživatelů typu host k těmto přístupovým balíčkům. Viz Zobrazení, přidání a odebrání přiřazení přístupového balíčku ve správě nároků
Můžete se rozhodnout vytvořit nový balíček, nebudete se dotknuti svého exisitingu a přiřadíte k ho uživatelům typu host. Další informace najdete tady:
- Vytvoření přístupového balíčku
- Konfigurace zásady automatického přiřazení pro přístupový balíček ve správě nároků
- Změna nastavení životního cyklu přístupového balíčku ve správě nároků
Následující části obsahují příklady různých způsobů, jak můžete připojit uživatele typu host.
Příklad – Zřízení uživatele pomocí správy nároků
Jako správce IT jste identifikovali projekt, který ke spolupráci vyžaduje onboarding externích konzultantů ze společnosti Fabrikam. Je důležité mít automatizovanou správu přístupu, schvalovací pracovní postupy a správu životního cyklu. Pomocí správy nároků společnosti Microsoft Entra vytvoříte přístupový balíček, který vám umožní seskupit více prostředků (jako jsou skupiny, aplikace a weby SharePointu), zahrnout pracovní postupy schválení, které zajistí, aby se žádosti o přístup před udělením přístupu a nastavením časového období přístupu kontrolovaly a schválily příslušné osoby.
Pozvánky pošlete konzultantům, kteří dostanou e-maily s odkazy pro přijetí přístupového balíčku. Jan, jeden z konzultantů, se řídí odkazem, ověří svou identitu a během několika minut získá přístup k potřebným prostředkům. Proces onboardingu je hladký a zabezpečený a umožňuje konzultantům okamžitě začít spolupracovat. Projekt se spustí bez zpoždění a zajistí produktivní partnerství mezi společností Contoso a Fabrikam.
Další informace naleznete v tématu:
- Onboarding externích uživatelů se správou nároků
- Konfigurace zásady automatického přiřazení pro přístupový balíček ve správě nároků
- Kurz – Onboarding externích uživatelů k ID Microsoft Entra prostřednictvím procesu schvalování
- Scénář nasazení Microsoft Entra – Nasazení pracovních sil a hostů, identita a zásady správného řízení životního cyklu přístupu napříč všemi vašimi aplikacemi
Příklad – spolupráce řízená koncovým uživatelem
V případě jiného projektu návrhu vás vedoucí týmu návrhu požádal jako správce IT o přidání Johna Doea z globálních řešení, aby spolupracoval. Primárním cílem je pozvat uživatele, aby se připojil k vašemu adresáři a spolupracoval. Pomocí svého e-mailu pozvete externího uživatele Johna jako uživatele typu host. Pozvánka e-mailem je jednoduchá a flexibilní a umožňuje pozvat uživatele z různých domén a zprostředkovatelů identity, včetně sociálních identit, jako jsou účty Gmail nebo Microsoft. Jan používá k bezpečnému přihlášení vlastní přihlašovací údaje a eliminuje potřebu správy životního cyklu účtu nebo údržby hesel, která zjednodušuje proces onboardingu.
Další informace najdete v tématu Přidání uživatelů spolupráce B2B v Centru pro správu Microsoft Entra a Konfigurace nastavení externí spolupráce.
Příklad – Iterace dalších zdrojů prostřednictvím přímého přiřazení
Teď jako správce IT potřebujete obejít žádosti o přístup a přímo přiřadit ke přístupovém balíčku konkrétní uživatele a udělit externímu týmu okamžitý přístup. V přístupovém balíčku vytvoříte první zásadu přiřazení přístupového balíčku. Zkontrolujte zásady přístupového balíčku a ověřte, že umožňuje přímé přidání externích uživatelů.
Se vším na místě se Emma přesunula na kartu zadání. Zadala e-mailové adresy externích členů týmu a zajistila jejich správné uvedení. Po závěrečné kontrole klikla na tlačítko Přiřadit.
Téměř okamžitě dostali externí partneři pozvánky. Bez problémů se připojili k adresáři a získali přístup k potřebným prostředkům bez zpoždění. Toto efektivní nastavení umožnilo oběma týmům okamžitě začít spolupracovat a podporovat produktivní a inovativní prostředí. Další informace najdete tady:
- Vytvoření přístupového balíčku
- Konfigurace zásady automatického přiřazení pro přístupový balíček ve správě nároků
- Změna nastavení životního cyklu přístupového balíčku ve správě nároků
Další krok
Offboarding: Efektivní odpojování obchodních partnerů a externích uživatelů.
Odpojování obchodních partnerů a externích uživatelů je důležitým aspektem správy identit a přístupu, které pomáhá udržovat zabezpečení, dodržování předpisů a provozní efektivitu ve vaší organizaci. Offboarding pro firemní partnery a externí uživatele je možné rozdělit do následujících položek:
- Vývoj procesu zrušení zprovoznění pro odebrání externích partnerů
- Vytvořte proces zrušení zprovoznění pro odebrání externích uživatelů z vašich systémů.
Proces offboardingu pro obchodní partnery
Následující položky představují obecný seznam kroků, které byste měli zvážit při zprovoznění obchodních partnerů z vaší organizace.
- Určete koncové datum pro práci s obchodním partnerem.
- Upozorněte všechny relevantní oddělení na konkrétní koncový čas a datum.
- Koordinace ukončení přístupu obchodního partnera ke všem systémům (portály, nástroje, rozhraní API)
- Partnerské propojené účty se odeberou a role a přiřazení se odvolají.
- Zkontrolujte data sdílená s partnerem a určete, jestli by se nějaké měly zachovat nebo bezpečně odstranit.
- Shromáždění vlastnických nebo citlivých dat ze systémů partnerů
- Ověřte, že se odstranění dat provádí, aby se zajistilo dodržování předpisů.
Proces offboardingu pro externí uživatele
Následující položky představují obecný seznam kroků, které byste měli zvážit při zprovoznění externích uživatelů z vaší organizace.
- Určete koncové datum.
- Zajištění dokončení všech čekajících dodávek nebo úkolů
- Informujte IT, aby ze systémů odebral přístup jednotlivých uživatelů. To se dá automatizovat pomocí přístupového balíčku.
- Potvrďte, že se všechna data ve vlastnictví externího uživatele přenesla nebo vrátila.
- Zajistěte, aby všechny účty specifické pro externího uživatele byly zakázané, aniž by to mělo vliv na ostatní uživatele ze stejné organizace.
- Poznamenejte si provedený postup odpojování.
- Získejte konečná schválení od personálního oddělení, IT a všech relevantních oddělení, aby se zajistilo, že jsou všechny aspekty offboardingu dokončené.
Použití správy nároků k usnadnění offboardingu
Ve správě nároků může mít přístupový balíček více zásad a každá zásada určuje, jak uživatelé přiřadí přístupový balíček a jak dlouho. Správu nároků je možné nakonfigurovat tak, aby po vypršení platnosti posledního přiřazení přístupového balíčku automaticky odpojování uživatele typu host odebrala přístupová práva a uživatelský účet typu host z vašeho tenanta.
Po vypršení platnosti přístupového balíčku by měl proces offboardingu zahrnovat následující:
- Přístup ke všem prostředkům přidruženým k balíčku s vypršenou platností je odvolán.
- Uživatel se odebere z jakékoli skupiny, ve které je členem
- Účet se odebere z adresáře uživatele typu host.
- Použití protokolů auditu pro dodržování předpisů
- Oznámení se odesílají s potvrzením úspěšného offboardingu.
Další informace najdete v tématu Řízení přístupu externích uživatelů ve správě nároků.
Použití pracovních postupů životního cyklu k usnadnění při zprovoznění úloh
Pracovní postupy životního cyklu jsou funkce zásad správného řízení identit, která organizacím umožňuje spravovat uživatele Microsoft Entra automatizací některých základních procesů životního cyklu.
Pracovní postupy obsahují konkrétní procesy, které se spouštějí automaticky vůči uživatelům při procházení jejich životního cyklu. Pracovní postupy se skládají z úkolů a podmínek provádění.
Další informace najdete v tématu Automatizace pracovních úkolů zaměstnanců po posledním dni práce s Centrem pro správu Microsoft Entra.
Příklad – offboarding účtů hostů
Jan je host, jehož platnost přístupového balíčku vypršela. Systém pak odvolá přístup Johna ke všem prostředkům propojeným s tímto balíčkem. John je odebraný z jakékoli skupiny, ve které je součástí. Po vypršení platnosti posledního aktivního balíčku se účet Johna odebere z adresáře uživatele typu host.
Další informace najdete v tématu Správa přístupu uživatelů a uživatelů typu host pomocí kontrol přístupu a automatizace úkolů zprovoznění zaměstnanců po posledním dni práce s Centrem pro správu Microsoft Entra.