Sdílet prostřednictvím

Správa přístupu uživatelů a uživatelů typu host pomocí kontrol přístupu

  • Článek

Pomocí kontrol přístupu můžete snadno zajistit, aby uživatelé nebo hosté měli odpovídající přístup. Požádejte přímo uživatele nebo pracovníka s rozhodovací pravomocí o účast při kontrole přístupu a znovu certifikujte (nebo potvrďte) přístup uživatelů. Revidující mohou poskytnout své připomínky k potřebě každého uživatele pro trvalý přístup na základě návrhů od Microsoft Entra ID. Po dokončení kontroly přístupu můžete provést změny a ukončit přístup uživatelů, kteří ho už nepotřebují.

Poznámka:

Tento článek popisuje provádění kontrol přístupu pro uživatele a aplikace. Informace o provedení kontroly přístupu pro více prostředků v přístupových balíčcích naleznete zde: Kontrola přístupu přístupového balíčku v nástrojích Microsoft Entra pro správu nároků. Pokud chcete zkontrolovat přístup uživatele nebo služebního principála k rolím Microsoft Entra ID nebo Azure, viz Zahájení kontroly přístupu ve službě Microsoft Entra Privileged Identity Management.

Požadavky

Použití této funkce vyžaduje zásady správného řízení Microsoft Entra ID nebo licence sady Microsoft Entra Suite. Informace o tom, jak najít správnou licenci pro vaše požadavky, najdete v tématu základy licencování zásad správného řízení Microsoft Entra ID.

Vytvoření a provedení kontroly přístupu pro uživatele

Nejprve musíte mít přiřazenou alespoň jednu z následujících rolí:

  • Správce uživatelů
  • Správce správy identit
  • Správce privilegovaných rolí (pouze pro kontroly skupin s možností přiřazení rolí)
  • (Preview) Vlastník skupiny zabezpečení Microsoft 365 nebo Microsoft Entra, která se má zkontrolovat

Pak přejděte na stránku Zásad správného řízení identit a ujistěte se, že jsou kontroly přístupu pro vaši organizaci připravené.

V rámci kontroly přístupu můžete mít jednoho nebo více uživatelů jako revidující.

  1. Vyberte skupinu v MICROSOFT Entra ID, které má jednoho nebo více členů. Nebo vyberte aplikaci připojenou k ID Microsoft Entra, které má přiřazeného jednoho nebo více uživatelů.

  2. Rozhodněte, jestli má každý uživatel kontrolovat svůj vlastní přístup, nebo jestli má jeden nebo několik uživatelů kontrolovat přístup všech.

  3. V jedné z dříve uvedených rolí přejděte na stránku Zásad řízení identit.

  4. Vytvořte kontrolu přístupu. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  5. Po spuštění kontroly přístupu požádejte recenzenty, aby poskytli zpětnou vazbu. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  6. Pokud hodnotitelé neposkytli vstup, můžete požádat Microsoft Entra ID, aby jim poslala připomenutí. Ve výchozím nastavení Microsoft Entra ID automaticky pošle připomenutí v polovině období před koncovým datem všem recenzentům.

  7. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Správa přístupu hostů pomocí kontrol přístupu Microsoft Entra

Pomocí Microsoft Entra ID můžete snadno povolit spolupráci napříč hranicemi organizace pomocí funkce Microsoft Entra B2B. Uživatele typu host z jiných tenantů můžou pozvat správci nebo jiní uživatelé. Tato funkce se vztahuje také na sociální identity, jako jsou účty Microsoft.

Vytvoření a provedení kontroly přístupu pro hosty

Stejné role potřebné k vytvoření kontroly přístupu pro uživatele jsou také potřeba k vytvoření kontroly přístupu pro hosty. Další informace najdete v tématu Vytvoření a provedení kontroly přístupu pro uživatele.

Microsoft Entra ID umožňuje zkontrolovat uživatele typu host v několika scénářích.

Můžete si projít jednu z možností:

  • Skupina v Microsoft Entra ID, která má jednoho nebo více hostů jako členy.
  • Aplikace připojená k MICROSOFT Entra ID, které má přiřazených jednoho nebo více uživatelů typu host.

Při kontrole přístupu uživatelů typu host ke skupinám Microsoft 365 můžete buď vytvořit kontrolu pro každou skupinu jednotlivě, nebo zapnout automatickou opakovanou kontrolu přístupu uživatelů typu host ve všech skupinách Microsoftu 365. Následující video obsahuje další informace o opakovaných kontrolách přístupu uživatelů typu host:

Pak se můžete rozhodnout, jestli chcete každého hosta požádat, aby zkontroloval svůj vlastní přístup, nebo požádat jednoho nebo více uživatelů, aby zkontroloval přístup každého hosta.

Tyto scénáře jsou popsané v následujících částech.

Požádejte hosty, aby zkontrolovali své vlastní členství ve skupině.

Pomocí kontrol přístupu můžete zajistit, aby uživatelé, kteří byli pozvaní a přidaní do skupiny, měli dál přístup. Můžete snadno požádat hosty, aby zkontrolovali své vlastní členství v této skupině.

  1. Pokud chcete pro skupinu vytvořit kontrolu přístupu, vyberte kontrolu, která bude zahrnovat pouze členy uživatele typu host a že se členové sami zkontrolují. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte každého hosta, aby zkontroloval vlastní členství. Ve výchozím nastavení každý host, který přijal pozvánku, obdrží e-mail z Microsoft Entra ID s odkazem na kontrolu přístupu. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  4. Kromě uživatelů, kteří odmítli vlastní potřebu dalšího přístupu, můžete také odebrat uživatele, kteří neodpověděli.

  5. Pokud se skupina nepoužívá ke správě přístupu, můžete odebrat uživatele, kteří se nezúčastní kontroly, protože nepřijmou pozvánku. Nepřijmutí může znamenat, že e-mailová adresa pozvaných uživatelů měla překlep. Pokud se skupina používá jako distribuční seznam, možná někteří uživatelé typu host nebyli vybráni k účasti, protože jsou kontaktními objekty.

Požádejte sponzora, aby zkontroloval členství hosta ve skupině.

Můžete požádat sponzora, například vlastníka skupiny, o kontrolu potřeby hosta pro pokračování členství ve skupině.

  1. Pokud chcete vytvořit kontrolu přístupu pro skupinu, vyberte kontrolu, která bude obsahovat pouze členy uživatele typu host. Pak zadejte jednoho nebo více revidujících. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte revidující o informace. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Poznámka:

Po 30 dnech můžete externím identitám zablokovat přihlášení ke svému tenantovi a odstranit externí identity z tenanta. Během tohoto období nebudou nastavení, výsledky, revidujícím nebo protokoly auditu v rámci aktuální kontroly zobrazitelné ani konfigurovatelné. Další informace naleznete v tématu Zakázání a odstranění externích identit pomocí kontroly přístupu Microsoft Entra .

Požádejte hosty, aby zkontrolovali svůj vlastní přístup k aplikaci.

Kontroly přístupu můžete použít k zajištění toho, aby uživatelé, kteří byli pozvaní pro konkrétní aplikaci, nadále potřebovali přístup. Můžete se snadno zeptat samotných hostů, aby zkontrolovali vlastní potřebu přístupu.

  1. Pokud chcete vytvořit kontrolu přístupu pro aplikaci, vyberte kontrolu, která bude zahrnovat pouze hosty a že uživatelé kontrolují svůj vlastní přístup. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte každého hosta, aby zkontroloval svůj vlastní přístup k aplikaci. Ve výchozím nastavení každý host, který přijal pozvánku, obdrží e-mail z Microsoft Entra ID. Tento e-mail obsahuje odkaz na kontrolu přístupu na přístupovém panelu vaší organizace. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  4. Kromě uživatelů, kteří odmítli vlastní potřebu dalšího přístupu, můžete také odebrat uživatele typu host, kteří neodpověděli. Můžete také odebrat uživatele typu host, kteří nebyli vybráni k účasti, zejména pokud nebyli nedávno pozváni. Tito uživatelé pozvánku nepřijali a neměli tak přístup k aplikaci.

Požádejte sponzora, aby zkontroloval přístup hosta k aplikaci.

Můžete požádat sponzora, například vlastníka aplikace, o kontrolu potřeby hosta pro pokračování přístupu k aplikaci.

  1. Pokud chcete pro aplikaci vytvořit kontrolu přístupu, vyberte kontrolu, která bude obsahovat pouze hosty. Pak zadejte jednoho nebo více uživatelů jako revidujících. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  2. Požádejte revidující o informace. Ve výchozím nastavení každý obdrží e-mail od Microsoft Entra ID s odkazem na přístupový panel, kde zkontrolují přístup ke skupinám nebo aplikacím.

  3. Jakmile revidující poskytnou potřebné informace, zastavte kontrolu přístupu a proveďte příslušné změny. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

Požádejte hosty, aby zkontrolovali, jestli potřebují přístup, obecně

V některých organizacích si hosté nemusí být vědomi členství ve skupinách.

  1. Vytvořte skupinu zabezpečení v Microsoft Entra ID s hosty jako členy, pokud ještě neexistuje vhodná skupina. Můžete například vytvořit skupinu s ručně udržovaným členstvím hostů. Nebo můžete vytvořit dynamickou skupinu s názvem například "Hosté Contoso" pro uživatele v tenantovi Contoso, kteří mají hodnotu atributu UserType "Host." Mějte na paměti, že uživatel typu host, který je členem skupiny, vidí ostatní členy skupiny.

  2. Pro vytvoření kontroly přístupu pro tuto skupinu zvolte jako recenzenty samotné členy. Další informace najdete v tématu Vytvoření kontroly přístupu skupin nebo aplikací.

  3. Požádejte každého hosta, aby zkontroloval vlastní členství. Ve výchozím nastavení každý host, který pozvánku přijal, obdrží e-mail od Microsoft Entra ID s odkazem na kontrolu přístupu na přístupovém panelu vaší organizace. Id Microsoft Entra obsahuje pokyny pro hosty, jak zkontrolovat přístup ke skupinám nebo aplikacím.

  4. Jakmile revidujícím udělíte vstup, zastavte kontrolu přístupu. Další informace najdete v tématu Dokončení kontroly přístupu skupin nebo aplikací.

  5. Odeberte přístup hostů pro hosty, kteří byli odepřeni, nedokončili kontrolu nebo nepřijali pozvánku. Pokud jsou někteří z hostů kontakty, které byly vybrány k účasti na revizi nebo které nepřijali pozvánku, můžete jejich účty zakázat pomocí Centra pro správu Microsoft Entra nebo PowerShellu. Pokud host už nepotřebuje přístup a není kontaktem, můžete jeho objekt uživatele z adresáře odebrat pomocí Centra pro správu Microsoft Entra nebo PowerShellu a odstranit objekt uživatele typu host.

Další kroky

Vytvoření kontroly přístupu skupin nebo aplikací