Managing user accounts and company devices from the cloud and employee lifecycle

The Tokyo-based global software firm planned its structural changes with access to the global market. This also meant major changes in many areas of the company's management. One of these was controlling user access and gaining a simple overview of which employee had what permissions and which applications they could access.

Microsoft 365
Malá a střední firmy

Globální softwarová firma se sídlem v Tokiu plánovala své strukturální změny s přístupem ke světovému trhu. To znamenalo i zásadní změny v mnoha oblastech managementu společnosti. Jedním z nich bylo i řízení přístupů uživatelů a získání jednoduchého přehledu nad tím, jaký zaměstnanec má jaká oprávnění a k jakým aplikacím může přistupovat. Proto jsme byli osloveni, abychom se zapojili do mezinárodního týmu jako jeden z 8 členů a společně vyřešili nelehký úkol sjednocení uživatelských identit, management firemních zařízení a u co nejvíce možných aplikací nastavili jednotné přihlášení (Single Sign On – SSO).

Výzvy

  1. Na počátku nás čekal audit všech uživatelů v počtu přes 8000, kde jsme porovnávali již existující přístupy z cloudového poskytovatele správy identit JumpCloud.
  2. Technický management společnosti uvažoval o změně poskytovatele správy identit (Identity Provider – IdP) na více známý a podporovaný Microsoft Azure, resp. Entra ID. Tudíž jsme analyzovali, které nástroje a aplikace umožňují nejen jednotné přihlášení (SSO), ale zároveň i životní cyklus uživatele sadou specifikací pro mezi-doménové sdílení (System for Cross-domain Identity Management – SCIM).
  3. Další výzvou bylo sjednotit firemní zařízení a jejich správu, aby bylo možné jednoduše aplikovat zásady požadovaného nastavení (Group Policy Object – GPO) přímo z cloudového doménového řadiče v Azure a tím získat přehlednější kontrolu nad užívanými prostředky společnosti.
  4. Největší výzvou byla komunikace s jednotlivými výrobci nástrojů a aplikací (Vendor), se kterými jsme domlouvali změnu poskytovatele identity, aby nedošlo k výpadku během pracovní doby a uživatelská data zůstala zachována, aby běžný zaměstnanec nepocítil žádný významný rozdíl od předchozího řešení.

Cíle

  1. Přenést uživatelské identity z JumpCloud do Microsoft Azure, resp. Entra ID a na základě podrobné analýzy provést korekci přístupů k jednotlivým aplikacím a licencím.
  2. Nastavit management zařízení (Mobile Device Management – MDM, tedy Microsoft Intune) pro firemní zařízení, aby bylo možné jednoduše z cloudu aplikovat definované bezpečnostní zásady. A správa zařízení nebyla limitována na aktuální výskyt zařízení, což doplňuje tzv. Zero-Trust koncept zabezpečení a dává smysl vzhledem k globální působnosti společnosti.
  3. Nastavit co nejvíce nástrojů a aplikací na jednotné přihlášení (SSO) a zjednodušit tím přihlášení k jednotlivým aplikacím na všem zaměstnancům na jediný login, čímž se zároveň zvýší i bezpečnost.
  4. U co nejvíce aplikací nastavit propagaci identit mezi výrobcem a poskytovatelem identity (SCIM), aby nebylo nutné pro každou aplikaci zakládat účet u výrobce, ale ten si nastavení účtu načetl z poskytovatele identity a to i v případě, kdy je naopak potřeba zaměstnanci účet úplně zrušit.
  5. Domluvit s výrobci software hladké přesunutí existujících identit k novému poskytovateli identity do Microsoft Azure, resp. Entra ID a zachovat všechna uživatelská data u výrobce.

Řešení

Mezi prvními kroky probíhala analýza všech nástrojů, které nám byly přiděleny. Zjistili jsme, zda výrobce podporuje napojení do Entra ID a zda podporuje SCIM. Zde jsme si zároveň museli dát pozor, aby výrobce software neomezoval funkce SSO a SCIM dle užívané licence, tzn. pokud společnost používala levnější tarif, který nepodporoval funkce SSO a SCIM, bylo nutné rozhodnout jak postupovat. Dále jsme provedli analýzu, jací uživatelé k vybranému nástroji přistupují a tento seznam konzultovali s technickým projektový managementem, zda je to v pořádku. V případě neshod, jsme dále řešili, zda již uživatel nadále neexistuje, zda mu bude přístup odebrán a nebo zda některý ze současných zaměstnanců nechybí v seznamu a měl by mít přístup.

Po detailní analýze aplikací a přístupů, a diskuzi jak s těmito informacemi naložit, jsme přistoupili k zakládání uživatelských skupin, které definují oprávnění pro užívání dané aplikace. Např. SSO-Aplikace, do které jsme vložili účty oprávněných uživatelů.

Takto připravené podklady jsme využili při nastavení každé z aplikací v nastavení podnikových aplikací (Entreprise Applications), kdy došlo nejprve k založení samotné aplikace do seznamu, vyplnění základního nastavení a dále nastavení SSO, které jsme předem konzultovali s výrobcem, abychom vložili správné hodnoty do požadovaných polí a proběhlo korektní spárování uživatelských identit s výrobcem.

Po ověření, že autorizace uživatele skrze SSO funguje, jsme přistoupili k nastavení SCIM, kdy rovněž byla nedílnou součástí komunikace s výrobcem. Po úspěšném testu, kdy se nový uživatel přihlásí svým jediným účtem k aplikaci, je přesměrován do správného prostoru společnosti a je mu založen nový účet, jsme pouze doladili úrovně oprávnění při použití SCIM na základě definovaných proměnných v podmíněném přístupu.

Výsledek

V původním plánu jsme od technického managementu dostali na starost zpracovat přesun 24 aplikací. Díky námi precizně provedené analýze, kdy jsme kladli důraz na to, aby každý uživatel z počtu přes 8000, byl správně zařazen a měl očekávané oprávnění, byla spokojenost ze strany managementu tak vysoká, že nám přidělili další aplikace do počtu cca 46 aplikací, které měly být zpracovány interním týmem společnosti, protože se jednalo o aplikace obsahující citlivá firemní data.

Z důvodu rozsáhlého přesunu velkého množství uživatelských identit, počtu zařízení ve správě a počtu nástrojů a aplikací, jsme nakonec neřešili část správy zařízení v Microsoft Intune přes MDM a tuto část řešil dedikovaný člen týmu.

Přesun aplikací, který jsme dostali za úkol, proběhl úspěšně a požadované funkce, jako je jednotné přihlášení (SSO) a synchronizace účtu mezi poskytovatelem identity a výrobcem (SCIM), byly u aplikací, které tuto funkci podporují, nastaveny a otestovány úspěšně.

Závěr

Díky aplikovaným funkcím pro jednotné přihlášení (SSO) a synchronizaci mezi poskytovatelem identity a výrobcem (SCIM) má interní IT tým u většiny nástrojů a aplikací plnou kontrolu nad životním cyklem uživatele. Při založení nové identity uživatele pouze volí příslušné skupiny, do kterých má mít uživatel přístup a nastupující zaměstnanec automaticky získá přístup k nástrojům a aplikacím, které ze své podstaty pracovní funkce má mít. Navíc mu k tomu poslouží pouze jediný uživatelský login, a žádné desítky různých loginů a hesel na různé aplikace. I v případě, kdy zaměstnanec své pracovní místo opouští, má interní IT tým jednoduchou práci s odebráním těchto přístupů a především má jistotu, že na žádné klíčové aplikace nezapomněl.

Také vás trápí velké množství různých aplikací, přihlašovacích údajů pro velký počet zaměstnanců a chcete mít jednoduchý přehled o tom, kdo má jaké oprávnění? Contact us a rádi s vámi vymyslíme řešení šité přímo pro vaše potřeby.

Další příběhy

Podívejte se, jak jsme pomohli dalším školám.

How Microsoft 365 simplified the work of a small accounting firm

Small and medium-sized businesses are often looking for a simple and secure solution for central document management and communication. Microsoft 365 Business Premium enabled a small accounting firm with four employees to fully digitize processes - from invoices and documents to internal communications - while ensuring data security and clear access control.

View story

Efektivní správa školních zařízení přes cloud s Microsoft Intune

Základní škola v Mirošovicích u Prahy pro 1. stupeň (malotřídka) se potýkala s problémy správy svých zařízení. Často docházelo k tzv. hurá akci, kdy obětavý rodič přiložil ruku k dílu a „nějak“ zařízení nastavil. Pomoc malé základní škole se správou je chvályhodná, ale postrádá systémové ukotvení a potřebnou odbornou podporu..

View story