Plány nasazení Microsoft Entra

Článek
02/21/2024

Azure Active Directory je teď Microsoft Entra ID, které může chránit vaši organizaci pomocí cloudové správy identit a přístupu. Řešení spojuje zaměstnance, zákazníky a partnery se svými aplikacemi, zařízeními a daty.

Pokyny k tomuto článku vám pomůžou vytvořit plán nasazení MICROSOFT Entra ID. Seznamte se se základy sestavování plánů a pak použijte následující části pro nasazení ověřování, aplikace a zařízení, hybridní scénáře, identitu uživatele a další.

Účastníci a role

Při zahájení plánů nasazení zahrňte klíčové zúčastněné strany. Identifikujte a zdokumentujte zúčastněné strany, ovlivněné role a oblasti vlastnictví a odpovědností, které umožňují efektivní nasazení. Názvy a role se liší od jedné organizace po druhé, ale oblasti vlastnictví jsou podobné. V následující tabulce najdete běžné a vlivné role, které ovlivňují jakýkoli plán nasazení.

Role	Odpovědnost
Sponzor	Vedoucí vedoucí organizace s oprávněním schválit nebo přiřadit rozpočet a zdroje. Sponzor je spojení mezi manažery a výkonným týmem.
Koncové uživatele	Lidé, pro které je služba implementovaná. Uživatelé se mohou účastnit pilotního programu.
Správce podpory IT	Poskytuje vstup pro podporu navrhovaných změn.
Architekt identit nebo globální Správa istrator Azure	Definuje, jak změna odpovídá infrastruktuře správy identit.
Vlastník firmy aplikace	Vlastní ovlivněné aplikace, které můžou zahrnovat správu přístupu. Poskytuje vstup do uživatelského prostředí.
Vlastník zabezpečení	Potvrdí, že plán změn splňuje požadavky na zabezpečení.
Správce dodržování předpisů	Zajišťuje soulad s podnikovými, průmyslovými nebo vládními požadavky.

RACI

Zodpovědné, zodpovědné, konzultované a informované (zodpovědné/zodpovědné/konzultované/informované (RACI)) je model pro účast různých rolí k dokončení úkolů nebo dodávek projektu nebo obchodního procesu. Tento model vám pomůže zajistit, aby role ve vaší organizaci porozuměly zodpovědnostem za nasazení.

Zodpovědní – lidé zodpovídají za správné dokončení úkolu.
- Existuje aspoň jedna zodpovědná role, i když můžete delegovat ostatní, aby vám pomohli zajistit práci.
Odpovědnost – ta, která je v konečném důsledku odpovědná za správnost a dokončení dodávky nebo úkolu. Zodpovědná role zajišťuje, že jsou splněny požadavky na úkoly, a deleguje práci na zodpovědné role. Zodpovědná role schvaluje práci, kterou poskytuje zodpovědná osoba. Přiřaďte jednu odpovědnost za každý úkol nebo dodávku.
Konzultační role poskytuje pokyny, obvykle odborníka na danou problematiku (SME).
Informovaní – lidé byli neustále aktuální o průběhu, obecně po dokončení úkolu nebo dodávky.

Nasazení ověřování

K plánování nasazení ověřování použijte následující seznam.

Vícefaktorové ověřování Microsoft Entra (MFA) – Použití metod ověřování schválené správcem pomáhá vícefaktorové ověřování chránit přístup k vašim datům a aplikacím a současně splnit poptávku po snadném přihlášení:
- Podívejte se na video, jak nakonfigurovat a vynutit vícefaktorové ověřování ve vašem tenantovi.
- Viz, Plánování nasazení vícefaktorového ověřování
Podmíněný přístup – Implementace automatizovaných rozhodnutí o řízení přístupu pro uživatele pro přístup ke cloudovým aplikacím na základě podmínek:
- Podívejte se, co je podmíněný přístup?
- Viz, plánování nasazení podmíněného přístupu
Samoobslužné resetování hesla Microsoft Entra (SSPR) – Pomozte uživatelům resetovat heslo bez zásahu správce:
- Viz možnosti ověřování bez hesla pro Microsoft Entra ID
- Viz, Plánování nasazení samoobslužného resetování hesla Microsoft Entra
Ověřování bez hesla – Implementace ověřování bez hesla pomocí aplikace Microsoft Authenticator nebo klíčů zabezpečení FIDO2:
- Viz, Povolení přihlašování bez hesla pomocí aplikace Microsoft Authenticator
- Viz téma Plánování nasazení ověřování bez hesla v Microsoft Entra ID

Aplikace a zařízení

Následující seznam vám pomůže s nasazením aplikací a zařízení.

Jednotné přihlašování ( SSO) – Povolení přístupu uživatelů k aplikacím a prostředkům pomocí jednoho přihlášení bez opětovného zadávání přihlašovacích údajů:
- Podívejte se, co je jednotné přihlašování v Microsoft Entra ID?
- Viz, Plánování nasazení jednotného přihlašování
portál Moje aplikace – Zjišťování a přístup k aplikacím Povolte produktivitu uživatelů pomocí samoobslužné služby, například požádejte o přístup ke skupinám nebo spravujte přístup k prostředkům jménem jiných uživatelů.
- Viz přehled portálu Moje aplikace
Zařízení – Vyhodnoťte metody integrace zařízení pomocí Microsoft Entra ID, zvolte plán implementace a další.
- Viz, plánování nasazení zařízení Microsoft Entra

Hybridní scénáře

Následující seznam popisuje funkce a služby v hybridních scénářích.

Active Directory Federation Services (AD FS) (AD FS) – Migrace ověřování uživatelů z federace do cloudu s předávacím ověřováním nebo synchronizací hodnot hash hesel:
- Podívejte se, co je federace s ID Microsoft Entra?
- Další informace najdete v tématu Migrace z federace na cloudové ověřování.
Proxy aplikací Microsoft Entra – Umožňuje zaměstnancům zvýšit produktivitu ze zařízení. Seznamte se s aplikacemi typu software jako služba (SaaS) v cloudu a podnikových aplikacích místně. Proxy aplikací Microsoft Entra umožňuje přístup bez virtuálních privátních sítí (VPN) nebo demilitarizovaných zón (DMZ):
- Viz vzdálený přístup k místním aplikacím prostřednictvím proxy aplikací Microsoft Entra.
- Viz, Plánování nasazení proxy aplikací Microsoft Entra
Bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) – Pro přihlašování uživatelů používejte bezproblémové jednotné přihlašování na podnikových zařízeních připojených k podnikové síti. Uživatelé nepotřebují hesla pro přihlášení k ID Microsoft Entra a obvykle nepotřebují zadávat uživatelská jména. Oprávnění uživatelé přistupují ke cloudovým aplikacím bez dalších místních komponent:
- Viz Microsoft Entra SSO: Rychlý start
- Podívejte se, microsoft Entra bezproblémové jednotné přihlašování: Technické podrobné informace

Uživatelé

Identity uživatelů – Seznamte se s automatizací pro vytváření, údržbu a odebírání identit uživatelů v cloudových aplikacích, jako je Dropbox, Salesforce, ServiceNow a další.
- Viz, Plánování automatického nasazení zřizování uživatelů v Microsoft Entra ID
Zásady správného řízení Microsoft Entra ID – Vytváření zásad správného řízení identit a vylepšení obchodních procesů, které se spoléhají na data identit. Pomocí produktů personálního oddělení, jako jsou Workday nebo Successfactors, spravujte životní cyklus identit zaměstnanců a podmíněných zaměstnanců pomocí pravidel. Tato pravidla mapují procesy Joiner-Mover-Leaver (JLM), jako jsou new hire, terminate, transfer, to IT actions, such as Create, Enable, Disable. Další informace najdete v následující části.
- Další informace najdete v tématu Plánování cloudové aplikace hr pro zřizování uživatelů Microsoft Entra.
Spolupráce Microsoft Entra B2B – Vylepšení spolupráce externích uživatelů pomocí zabezpečeného přístupu k aplikacím:
- Viz přehled spolupráce B2B
- Viz, Plánování nasazení spolupráce Microsoft Entra B2B

Zásady správného řízení identit a vytváření sestav

Zásady správného řízení Microsoft Entra ID umožňují organizacím zlepšit produktivitu, posílit zabezpečení a snadněji splňovat požadavky na dodržování předpisů a zákonné požadavky. Pomocí zásad správného řízení MICROSOFT Entra ID zajistěte, aby měli správní lidé správný přístup ke správným prostředkům. Zlepšete automatizaci procesů identit a přístupu, delegování do obchodních skupin a zvyšte viditelnost. Informace o zásadách správného řízení a vytváření sestav identit najdete v následujícím seznamu.

Další informace:

Zabezpečený přístup pro připojený svět – seznamte se s Microsoft Entra
Řízení přístupu pro aplikace ve vašem prostředí
Privileged Identity Management (PIM) – Správa privilegovaných rolí pro správu napříč ID Microsoft Entra, prostředky Azure a dalšími online služby Microsoftu Použijte ho pro přístup za běhu (JIT), pracovní postupy schvalování žádostí a integrované kontroly přístupu, které pomáhají zabránit škodlivým aktivitám:
- Viz, začínáme používat Privileged Identity Management
- Viz, plánování nasazení Privileged Identity Management
Vytváření sestav a monitorování – Návrh řešení microsoft Entra pro vytváření sestav a monitorování má závislosti a omezení: právní, zabezpečení, provoz, prostředí a procesy.
- Viz závislosti nasazení microsoft Entra pro vytváření sestav a monitorování
Kontroly přístupu – Principy a správa přístupu k prostředkům:
- Podívejte se, co jsou kontroly přístupu?
- Viz, Plánování nasazení kontroly přístupu Microsoft Entra

Osvědčené postupy pro pilotní nasazení

Před provedením změny pro větší skupiny nebo pro všechny použijte pilotní nasazení k testování s malou skupinou. Ujistěte se, že je každý případ použití ve vaší organizaci otestovaný.

Pilotní nasazení: Fáze 1

V první fázi cílíte na IT, použitelnost a další uživatele, kteří můžou testovat a poskytovat zpětnou vazbu. Pomocí této zpětné vazby můžete získat přehled o potenciálních problémech pro pracovníky podpory a vyvinout komunikaci a pokyny, které pošlete všem uživatelům.

Pilotní nasazení: Fáze 2

Rozšiřte pilotní nasazení na větší skupiny uživatelů pomocí dynamického členství nebo ručním přidáním uživatelů do cílových skupin.

Další informace: Pravidla dynamického členství pro skupiny v Microsoft Entra ID