Popis zásad správného řízení microsoft Entra ID

Dokončeno

Zásady správného řízení MICROSOFT Entra ID umožňují vyvážit potřebu vaší organizace v oblasti zabezpečení a produktivity zaměstnanců se správnými procesy a viditelností. Při změně rolí zaměstnanců v rámci organizace můžete pomocí zásad správného řízení ID Microsoft Entra zajistit, aby správné osoby měly správný přístup ke správným prostředkům, s automatizací procesů identit a přístupu, delegování do obchodních skupin a zvýšenou viditelností.

Zásady správného řízení ID umožňují organizacím provádět následující úlohy:

• Řízení životního cyklu identity
• Řízení životního cyklu přístupu
• Zabezpečení privilegovaného přístupu pro správu

Tyto akce je možné dokončit pro zaměstnance, obchodní partnery a dodavatele a napříč službami a aplikacemi, a to jak místně, tak i v cloudu.

Účelem je pomoct organizacím řešit tyto čtyři klíčové otázky:

• Kteří uživatelé by měli mít přístup k jakým prostředkům?
• Co tito uživatelé s tímto přístupem dělají?
• Existují efektivní organizační mechanismy pro správu přístupu?
• Můžou auditoři ověřit, že ovládací prvky fungují?

Životní cyklus identity

Správa životního cyklu identit uživatelů je jádrem zásad správného řízení identit.

Při plánování správy životního cyklu identit pro zaměstnance například mnoho organizací modeluje proces "připojení, přesunutí a opuštění". Když se jednotlivec poprvé připojí k organizaci, vytvoří se nová digitální identita, pokud ještě není dostupná. Když se jednotlivec přesune mezi hranicemi organizace, může být potřeba přidat nebo odebrat více autorizací přístupu ke své digitální identitě. Když jednotlivec odejde, může být potřeba odebrat přístup a identita už nemusí být nutná, jinak než pro účely auditu.

Následující diagram znázorňuje zjednodušenou verzi životního cyklu identity.

V mnoha organizacích je tento životní cyklus identity pro zaměstnance svázaný s reprezentací tohoto uživatele v systému lidských zdrojů, jako je Workday nebo SuccessFactors. Personální systém je autoritativní pro poskytování aktuálního seznamu zaměstnanců a některých jejich vlastností, jako je název nebo oddělení. Organizace musí automatizovat proces vytváření identity pro nového zaměstnance, který je založen na signálu ze svého personálního systému, aby zaměstnanec mohl být produktivní 1. den.

V zásadách správného řízení Microsoft Entra ID můžete automatizovat životní cyklus identit uživatelů pomocí:

• Příchozí zřizování ze zdrojů lidských zdrojů vaší organizace pro automatické udržování identit uživatelů v Microsoft Entra ID i Active Directory.
• Pracovní postupy životního cyklu pro automatizaci úloh pracovního postupu, které se spouštějí na určitých klíčových událostech, například před naplánováným zahájením práce v organizaci novým zaměstnancem, když mění stav během své doby v organizaci a při opuštění organizace.
• Zásady automatického přiřazení při správě nároků pro přidání a odebrání členství ve skupinách, rolí aplikací a rolí sharepointového webu na základě změn atributů uživatele. Informace o správě nároků jsou popsány v následující lekci.
• Zřizování uživatelů pro vytváření, aktualizaci a odebírání uživatelských účtů v jiných aplikacích s konektory pro stovky cloudových a místních aplikací.

Obecně platí, že správa životního cyklu identity se týká aktualizace přístupu, který uživatelé potřebují, ať už prostřednictvím integrace se systémem personálního oddělení nebo prostřednictvím aplikací zřizování uživatelů.

Životní cyklus přístupu

Životní cyklus přístupu je proces správy přístupu v průběhu celého životního cyklu organizace uživatele. Uživatelé vyžadují různé úrovně přístupu od okamžiku, kdy se připojí k organizaci, až ji opustí. V různých fázích budou potřebovat přístupová práva k různým prostředkům v závislosti na jejich roli a zodpovědnostech.

Organizace potřebují proces správy přístupu nad rámec toho, co bylo původně zřízeno pro uživatele při vytvoření identity daného uživatele. Organizace navíc musí být schopny efektivně škálovat, aby mohly průběžně vyvíjet a vynucovat zásady přístupu a kontroly.

Díky zásadám správného řízení Microsoft Entra ID můžou IT oddělení stanovit, jaká přístupová práva by uživatelé měli mít v různých prostředcích a jaké kontroly vynucení jsou nezbytné.

Organizace mohou automatizovat proces životního cyklu přístupu prostřednictvím technologií, jako jsou dynamické skupiny. Dynamické skupiny umožňují správcům vytvářet pravidla založená na atributech pro určení členství ve skupinách. Když se změní atributy uživatele nebo zařízení, systém vyhodnotí všechna pravidla dynamické skupiny v adresáři a zjistí, jestli by změna aktivovala přidání nebo odebrání všech uživatelů ze skupiny. Pokud uživatel nebo zařízení splňuje pravidlo pro skupinu, přidá se jako člen této skupiny. Pokud už pravidlo nevyhovuje, odeberou se.

Správa nároků umožňuje organizacím definovat, jak uživatelé požadují přístup mezi balíčky členství ve skupinách a týmových členství, rolích aplikací a rolích SharePointu Online a vynucovat kontroly povinností u žádostí o přístup.

Organizace můžou pravidelně kontrolovat přístupová práva pomocí opakovaných kontrol přístupu Microsoft Entra pro opětovnou certifikaci přístupu.

Životní cyklus privilegovaného přístupu

Monitorování privilegovaného přístupu je klíčovou součástí zásad správného řízení identit. Když mají zaměstnanci, dodavatelé a dodavatelé přiřazená administrativní práva, měl by existovat proces správy kvůli možnému zneužití.

Microsoft Entra Privileged Identity Management (PIM) poskytuje další ovládací prvky přizpůsobené zabezpečení přístupových práv. PIM pomáhá minimalizovat počet lidí, kteří mají přístup k prostředkům napříč ID Microsoft Entra, Azure a dalšími online služby Microsoftu. PIM poskytuje komplexní sadu ovládacích prvků zásad správného řízení, které pomáhají zabezpečit prostředky vaší společnosti.