Sdílet prostřednictvím

Kurz: Řízení a monitorování aplikací

  • Článek

Správce IT ve společnosti Fabrikam přidal a nakonfiguroval aplikaci z galerie aplikací Microsoft Entra. Také se ujistili, že je možné spravovat přístup a že aplikace je zabezpečená pomocí informací v kurzu: Správa přístupu k aplikacím a zabezpečení. Teď musí porozumět prostředkům, které jsou k dispozici pro řízení a monitorování aplikace.

Pomocí informací v tomto kurzu se správce aplikace naučí:

  • Vytvoření kontroly přístupu
  • Přístup k protokolům auditu
  • Přístup k přihlášením
  • Odesílání protokolů do služby Azure Monitor

Požadavky

  • Účet Azure s aktivním předplatným. Pokud ho ještě nemáte, vytvořte si účet zdarma.
  • Jedna z následujících rolí: Správce zásad správného řízení identit, Správce privilegovaných rolí, Správce cloudových aplikací nebo Správce aplikací.
  • Podniková aplikace, která je nakonfigurovaná v tenantovi Microsoft Entra ID.

Vytvoření kontroly přístupu

Správce chce zajistit, aby uživatelé nebo hosté měli odpovídající přístup. Rozhodnou se požádat uživatele aplikace, aby se zúčastnili kontroly přístupu a znovu certifikovali nebo potvrdili, že potřebují přístup. Po dokončení kontroly přístupu pak můžou provádět změny a odebírat přístup uživatelům, kteří ho už nepotřebují. Další informace najdete v tématu Správa přístupu uživatelů a uživatelů typu host pomocí kontrol přístupu.

Vytvoření kontroly přístupu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
  2. Přejděte do >identit identit.
  3. Výběrem možnosti Nová kontrola přístupu vytvořte novou kontrolu přístupu.
  4. V možnosti Vybrat, co chcete zkontrolovat, vyberte Aplikace.
  5. Vyberte + Vyberte aplikace, vyberte aplikaci a pak zvolte Vybrat.
  6. Teď můžete vybrat obor kontroly. Vaše možnosti jsou:
    • Pouze uživatelé typu host – Tato možnost omezuje kontrolu přístupu pouze na uživatele typu host Microsoft Entra B2B ve vašem adresáři.
    • Všichni uživatelé – Tato možnost definuje kontrolu přístupu na všechny objekty uživatele přidružené k prostředku. Vyberte Všechny uživatele.
  7. Vyberte Další: Recenze.
  8. V části Zadat revidujících vyberte v poli Vybrat revidujícím vybrané uživatele nebo skupiny, vyberte + Vybrat revidujících a pak vyberte uživatelský účet, který je přiřazen k aplikaci.
  9. V části Zadat opakování revize zadejte následující výběry:
    • Doba trvání (ve dnech) – Přijměte výchozí hodnotu 3.
    • Zkontrolovat opakování – vyberte jednorázově.
    • Počáteční datum – Přijměte dnešní datum jako počáteční datum.
  10. Vyberte Další: Nastavení.
  11. V části Nastavení po dokončení můžete určit, co se stane po dokončení kontroly. Vyberte Možnost Automaticky použít výsledky pro prostředek.
  12. Vyberte Další: Zkontrolovat + vytvořit.
  13. Pojmenujte kontrolu přístupu. Volitelně zadejte popis kontroly. Jméno a popis se zobrazí revidujícím.
  14. Zkontrolujte informace a vyberte Vytvořit.

Spuštění kontroly přístupu

Kontrola přístupu se spustí za několik minut a zobrazí se v seznamu s indikátorem jeho stavu.

Ve výchozím nastavení microsoft Entra ID pošle revidujícím krátce po spuštění kontroly e-mail. Pokud se rozhodnete, že microsoft Entra ID neodesílá e-mail, nezapomeňte informovat revidujícím, že kontrola přístupu čeká na dokončení. Můžete jim ukázat pokyny, jak zkontrolovat přístup ke skupinám nebo aplikacím. Pokud máte kontrolu pro hosty, aby si zkontrolovali svůj vlastní přístup, přečtěte si pokyny, jak kontrolovat přístup pro sebe ke skupinám nebo aplikacím.

Pokud jste hostům přiřadili pozvánku jako revidujícím a nepřijmou pozvánku do tenanta, nebudou dostávat e-maily z kontrol přístupu. Před zahájením kontroly musí pozvánku nejprve přijmout.

Zobrazení stavu kontroly přístupu

Průběh kontrol přístupu můžete sledovat, jak jsou dokončené.

  1. Přejděte na >identit.
  2. V seznamu vyberte kontrolu přístupu, kterou jste vytvořili.
  3. Na stránce Přehled zkontrolujte průběh kontroly přístupu.

Na stránce Výsledky najdete informace o jednotlivých uživatelích, kteří si prohlédnou instanci, včetně možnosti Zastavit, Resetovat a Stáhnout výsledky. Další informace najdete v článku Kontroly přístupu ke skupinám a aplikacím v článku Kontroly přístupu Microsoft Entra.

Přístup k protokolům auditu

Protokoly auditu Microsoft Entra zaznamenávají širokou škálu aktivit ve vašem tenantovi. Tyto protokoly poskytují cenné přehledy o aktivitách, které potřebujete monitorovat. Další informace naleznete v protokolech auditu v Microsoft Entra ID.

Pokud chcete získat přístup k auditorským protokolům, přejděte na Identity>Monitorování stavu &>Auditorské protokoly.

Protokoly auditu zaznamenávají aktivity, které spadají do následujících kategorií. Tento seznam není vyčerpávající. Úplný seznam kategorií a aktivit protokolu auditu najdete v tématu aktivit protokolu auditování.

  • Aktivity resetování hesla
  • Aktivita registrace resetování hesla
  • Aktivita samoobslužných skupin
  • Změny názvů skupin Office365
  • Aktivita zřizování účtů
  • Stav vrácení hesla
  • Chyby zřizování účtů

Přístup k protokolům přihlašování

Protokoly přihlášení Microsoft Entra zaznamenávají interaktivní, neinteraktivní přihlášení, spravované identity a instanční objekty. Další informace naleznete v Protokoly přihlášení v Microsoft Entra ID.

Pokud chcete získat přístup k protokolům přihlašování, přejděte na Identity>Monitorování & stavu>protokoly přihlášení.

Informace o přihlášení k aplikaci můžete zobrazit také v oblasti Podnikové aplikace. Protokoly přihlášení otevřou stejné protokoly z Monitorování & stavu>protokoly přihlášení, ale filtr je už nastavený na vybranou aplikaci. Sestava Usage & Insights také shrnuje aktivitu přihlašování pro aplikaci.

Odesílání protokolů do služby Azure Monitor

Protokoly aktivit Microsoft Entra ukládají informace pouze po dobu sedmi dnů pro Microsoft Entra ID Free a 30 dní pro Microsoft Entra ID P1/P2. V závislosti na vašich potřebách můžete k zálohování dat protokolů aktivit vyžadovat dodatečné úložiště.

Pomocí protokolů služby Azure Monitor můžete uchovávat data delší dobu a povolit výkonné analytické nástroje, jako jsou vizualizace a výstrahy. Další informace o integraci protokolů s protokoly služby Azure Monitor najdete v tématu Integrace protokolů Microsoft Entra se službou Azure Monitor.

Pokud chcete odesílat protokoly do služby Azure Monitor, potřebujete pracovní prostor služby Log Analytics. Po vytvoření nakonfigurujete nastavení diagnostiky pro integraci se službou Log Analytics. Při integraci protokolů se službami Azure Monitor a Log Analytics existují úvahy o nákladech, proto si nejprve přečtěte tuto část protokolů aktivit Microsoft Entra ve službě Azure Monitor, než budete pokračovat.

S nakonfigurovaným pracovním prostorem služby Log Analytics:

  1. Vyberte Nastavení diagnostiky a pak vyberte Přidat nastavení diagnostiky. Nastavení exportu můžete také vybrat ze stránky Protokoly auditu nebo přihlašovací stránky, abyste se dostali na stránku konfigurace nastavení diagnostiky.
  2. Zvolte protokoly, které chcete streamovat, vyberte možnost Odeslat do pracovního prostoru služby Log Analytics a vyplňte pole.
  3. Vyberte Uložit.

Přibližně po 15 minutách ověřte, že se události streamují do pracovního prostoru služby Log Analytics.

Další kroky

V dalším článku se dozvíte, jak...

Správa souhlasu s aplikacemi a vyhodnocování žádostí o udělení souhlasu