Konfigurace delegování pomocí jednotek pro správu

  • 7 min

Jednotky pro správu jsou prostředky Microsoft Entra ID, které mohou být kontejnery pro jiné prostředky Microsoft Entra. Jednotka pro správu může obsahovat jenom uživatele, skupiny a zařízení.

Jednotky pro správu omezují oprávnění v rámci role na libovolnou část vaší organizace, kterou definujete. Pomocí jednotek pro správu například můžete delegovat roli Správce technické podpory na regionální specialisty podpory, aby mohli spravovat uživatele pouze v oblasti, ve které zajišťují podporu. Jednotky pro správu můžete spravovat pomocí webu Azure Portal, rutin PowerShellu a skriptů nebo Microsoft Graphu.

Co je jednotka pro správu?

V Microsoft Entra ID pomocí jednoho tenanta, pokud přiřadíte uživateli jakoukoli roli správce, je teď správcem pro každého uživatele v tenantovi. Vždy se zamyslete nad principem zabezpečení nejnižších oprávnění, vždy je to nejlepší způsob, jak udělit správní povinnosti. Jednotky pro správu jsou kontejnery vytvořené k vyřešení tohoto úkolu v ID Microsoft Entra. Pokud chcete, aby správce uživatelů mohl spravovat jenom určitou sadu uživatelů a skupin. Řekněme, že spravujete pouze uživatele ve výzkumném oddělení nemocnice. Můžete nastavit jednotku pro správu. V této jednotce pro správu byste přidali uživatele a skupiny pro výzkumný tým a pak byste přidali konkrétního uživatele do role Správce uživatelů v rámci jednotky pro správu, zavolejte je Admin-for-research. Admin-for-research by mohl spravovat uživatele v jednotce pro správu, ale ne v celém tenantovi, což pomáhá dosáhnout principu nejnižších oprávnění.

Jaké role správce jsou k dispozici pro jednotku pro správu?

Ke správě jednotky pro správu můžete mít uživatele v následujících rolích:

  • Správce ověřování
  • Správce skupin
  • Správce helpdesku
  • Správce licencí
  • Správce hesel
  • Správce uživatelů

Poznámka:

Pokud znáte místní Active Directory, tato funkce byla zpracována nastavením organizačních jednotek (OU) v adresáři a přidáním uživatelů do organizační jednotky.

Plánování jednotek pro správu

Jednotky pro správu můžete použít k logickému seskupení prostředků Microsoft Entra. Organizace, jejíž ODDĚLENÍ IT je rozptýleno globálně, může vytvářet jednotky pro správu, které definují relevantní geografické hranice. V jiném scénáři, kdy globální organizace má v operacích dílčí uspořádání, které jsou částečně autonomní, mohou správní jednotky představovat podorganizace.

Kritéria, na kterých jsou vytvořeny jednotky pro správu, se řídí jedinečnými požadavky organizace. Jednotky pro správu představují běžný způsob definování struktury napříč službami Microsoftu 365. Doporučujeme připravit jednotky pro správu s jejich použitím napříč službami Microsoftu 365. Maximální hodnotu z jednotek pro správu můžete získat, když v rámci jednotky pro správu můžete přidružit společné prostředky v Microsoftu 365.

Můžete očekávat, že vytvoření jednotek pro správu v organizaci projde následujícími fázemi:

  1. Počáteční přijetí: Vaše organizace začne vytvářet jednotky pro správu na základě počátečních kritérií a počet jednotek pro správu se při upřesnění kritérií zvýší.
  2. Vyřazení: Po definování kritérií budou odstraněny jednotky pro správu, které už nejsou vyžadovány.
  3. Stabilizace: Vaše organizační struktura je definovaná a počet jednotek správy se v krátkodobém horizontu výrazně nezmění.

Delegování správy v Microsoft Entra ID

S růstem organizace je složitost. Jednou z běžných odpovědí je omezení některých úloh správy přístupu pomocí rolí správce Microsoft Entra. Uživatelům můžete přiřadit nejnižší možná oprávnění pro přístup ke svým aplikacím a provádění jejich úloh. I když roli globálního správce nepřiřazujete každému vlastníkovi aplikace, umisťujete odpovědnost za správu aplikací stávajícím globálním správcům. Existuje mnoho důvodů, proč organizace přechází k decentralizovanější správě.

V Microsoft Entra ID můžete delegovat oprávnění k vytváření a správě aplikace následujícími způsoby:

  • Omezení, kdo může vytvářet aplikace a spravovat aplikace, které vytvářejí. Ve výchozím nastavení v Microsoft Entra ID mohou všichni uživatelé registrovat registrace aplikací a spravovat všechny aspekty aplikací, které vytvářejí. Můžete omezit, aby bylo možné povolit jenom vybrané osoby, které mají toto oprávnění.
  • Přiřazení jednoho nebo více vlastníků k aplikaci Jednoduchý způsob, jak někomu udělit možnost spravovat všechny aspekty konfigurace Microsoft Entra ID pro konkrétní aplikaci.
  • Přiřazení předdefinované role pro správu, která uděluje přístup ke správě konfigurace v Microsoft Entra ID pro všechny aplikace. Doporučený způsob, jak it specialistům udělit přístup ke správě rozsáhlých oprávnění konfigurace aplikací bez udělení přístupu ke správě jiných částí Microsoft Entra ID nesouvisejí s konfigurací aplikace.
  • Vytvořte vlastní roli pro definování konkrétních oprávnění. Potom přiřaďte roli uživateli, aby přiřadil omezeného vlastníka. Nebo můžete přiřadit obor adresáře – všechny aplikace – jako omezený správce.

Při udělování přístupu použijte jednu z výše uvedených metod ze dvou důvodů. Za prvé delegování schopnosti provádět úlohy správy snižuje režii globálního správce. Za druhé, použití omezených oprávnění zlepšuje stav zabezpečení a snižuje potenciál neoprávněného přístupu.

Plánování delegování

Pracujeme na vývoji modelu delegování, který vyhovuje vašim potřebám. Vývoj modelu delegování je proces iterativního návrhu a doporučujeme postupovat následovně:

  • Definování potřebných rolí
  • Delegování správy aplikací
  • Udělení možnosti registrace aplikací
  • Delegování vlastnictví aplikace
  • Vývoj plánu zabezpečení
  • Vytvoření účtů tísňového volání
  • Zabezpečení rolí správce
  • Dočasné zvýšení oprávnění

Definování rolí

Určete úlohy služby Active Directory, které provádějí správci a jak se mapují na role. Každý úkol by měl být vyhodnocen z hlediska četnosti, důležitosti a obtížnosti. Tato kritéria jsou zásadními aspekty definice úkolu, protože určují, jestli má být oprávnění delegováno:

  • Úkoly, které pravidelně děláte, mají omezené riziko a jsou triviální k dokončení, jsou vynikajícími kandidáty pro delegování.
  • Úkoly, které děláte zřídka, ale mají potenciální riziko v celé organizaci a vyžadují vysokou úroveň dovedností, je třeba před delegováním pečlivě zvážit. Místo toho můžete dočasně zvýšit úroveň účtu na požadovanou roli nebo úkol znovu přiřadit.

Delegování správy aplikací

Rozšíření aplikací ve vaší organizaci může zatížit model delegování. Pokud globální správce zatěžuje správu přístupu k aplikacím, je pravděpodobné, že model zvyšuje svou režii při běhu. Pokud jste lidem udělili roli globálního správce pro věci, jako je konfigurace podnikových aplikací, můžete je teď přesměrovat na následující méně privilegované role. To pomáhá zlepšit stav zabezpečení a snížit potenciál nešťastných chyb. Role správce aplikací s největším oprávněním jsou:

  • Role Správce aplikací, která uděluje možnost spravovat všechny aplikace v adresáři, včetně registrací, nastavení jednotného přihlašování, přiřazení uživatelů a skupin a licencování, proxy aplikací nastavení a souhlasu. Neuděluje možnost spravovat podmíněný přístup.
  • Role Správce cloudových aplikací, která uděluje všem možnostem správce aplikace, s výjimkou toho, že neuděluje přístup k nastavení proxy aplikací (protože nemá žádné místní oprávnění).

Delegování registrace aplikace

Ve výchozím nastavení můžou všichni uživatelé vytvářet registrace aplikací. Selektivní udělení možnosti vytvářet registrace aplikací:

  • Nastavení uživatelů může registrovat aplikace na hodnotu Ne v uživatelských nastaveních
  • Přiřazení uživatele k roli Vývojář aplikací

Selektivní udělení souhlasu s povolením přístupu aplikace k datům:

  • Nastavení souhlasu uživatelů s aplikacemi, které přistupují k firemním datům jejich jménem, v nastavení uživatele v podnikových aplikacích
  • Přiřazení uživatele k roli Vývojář aplikací

Když vývojář aplikace vytvoří novou registraci aplikace, automaticky se přidá jako první vlastník.

Delegování vlastnictví aplikace

Pro jemně odstupňované delegování přístupu k aplikacím můžete přiřadit vlastnictví jednotlivým podnikovým aplikacím. Vylepšili jste stávající podporu pro přiřazování vlastníků registrace aplikací. Vlastnictví se přiřazuje na základě jednotlivých podnikových aplikací na obrazovce Podnikové aplikace. Výhodou je, že vlastníci můžou spravovat jenom podnikové aplikace, které vlastní. Můžete například přiřadit vlastníka aplikace Salesforce a tento vlastník může spravovat přístup k Salesforce a konfiguraci pro Salesforce a žádné jiné aplikace. Podniková aplikace může mít mnoho vlastníků a uživatel může být vlastníkem mnoha podnikových aplikací. Existují dvě role vlastníka aplikace:

  • Role Vlastník podnikové aplikace umožňuje spravovat podnikové aplikace, které vlastní uživatel, včetně nastavení jednotného přihlašování, přiřazení uživatelů a skupin a přidání dalších vlastníků. Neuděluje možnost spravovat nastavení proxy aplikací ani podmíněný přístup.
  • Role Vlastník registrace aplikace umožňuje spravovat registrace aplikací pro aplikaci, kterou vlastní uživatel, včetně manifestu aplikace a přidání dalších vlastníků.

Vývoj plánu zabezpečení

Microsoft Entra ID poskytuje rozsáhlý průvodce plánováním a spuštěním plánu zabezpečení u rolí správců Microsoft Entra, zabezpečení privilegovaného přístupu pro hybridní a cloudová nasazení.

Vytvoření účtů tísňového volání

Pokud chcete zachovat přístup k úložišti pro správu identit v případě vzniku problému, připravte účty pro nouzový přístup podle vytvoření účtů pro správu pro nouzový přístup.

Zabezpečení rolí správce

Útočníci, kteří získají kontrolu nad privilegovanými účty, můžou způsobit obrovské škody. Nejdřív tyto účty vždy chraňte. Použijte funkci Výchozí nastavení zabezpečení, která je k dispozici pro všechny organizace Microsoft Entra. Výchozí nastavení zabezpečení vynucuje vícefaktorové ověřování u privilegovaných účtů Microsoft Entra.