Správa uživatelských účtů a firemních zařízení z cloudu a životní cyklus zaměstnance

Globální softwarová firma se sídlem v Tokiu plánovala své strukturální změny s přístupem ke světovému trhu. To znamenalo i zásadní změny v mnoha oblastech managementu společnosti. Jedním z nich bylo i řízení přístupů uživatelů a získání jednoduchého přehledu nad tím, jaký zaměstnanec má jaká oprávnění a k jakým aplikacím může přistupovat.

Microsoft 365
Malá a střední firmy

Globální softwarová firma se sídlem v Tokiu plánovala své strukturální změny s přístupem ke světovému trhu. To znamenalo i zásadní změny v mnoha oblastech managementu společnosti. Jedním z nich bylo i řízení přístupů uživatelů a získání jednoduchého přehledu nad tím, jaký zaměstnanec má jaká oprávnění a k jakým aplikacím může přistupovat. Proto jsme byli osloveni, abychom se zapojili do mezinárodního týmu jako jeden z 8 členů a společně vyřešili nelehký úkol sjednocení uživatelských identit, management firemních zařízení a u co nejvíce možných aplikací nastavili jednotné přihlášení (Single Sign On – SSO).

Výzvy

  1. Na počátku nás čekal audit všech uživatelů v počtu přes 8000, kde jsme porovnávali již existující přístupy z cloudového poskytovatele správy identit JumpCloud.
  2. Technický management společnosti uvažoval o změně poskytovatele správy identit (Identity Provider – IdP) na více známý a podporovaný Microsoft Azure, resp. Entra ID. Tudíž jsme analyzovali, které nástroje a aplikace umožňují nejen jednotné přihlášení (SSO), ale zároveň i životní cyklus uživatele sadou specifikací pro mezi-doménové sdílení (System for Cross-domain Identity Management – SCIM).
  3. Další výzvou bylo sjednotit firemní zařízení a jejich správu, aby bylo možné jednoduše aplikovat zásady požadovaného nastavení (Group Policy Object – GPO) přímo z cloudového doménového řadiče v Azure a tím získat přehlednější kontrolu nad užívanými prostředky společnosti.
  4. Největší výzvou byla komunikace s jednotlivými výrobci nástrojů a aplikací (Vendor), se kterými jsme domlouvali změnu poskytovatele identity, aby nedošlo k výpadku během pracovní doby a uživatelská data zůstala zachována, aby běžný zaměstnanec nepocítil žádný významný rozdíl od předchozího řešení.

Cíle

  1. Přenést uživatelské identity z JumpCloud do Microsoft Azure, resp. Entra ID a na základě podrobné analýzy provést korekci přístupů k jednotlivým aplikacím a licencím.
  2. Nastavit management zařízení (Mobile Device Management – MDM, tedy Microsoft Intune) pro firemní zařízení, aby bylo možné jednoduše z cloudu aplikovat definované bezpečnostní zásady. A správa zařízení nebyla limitována na aktuální výskyt zařízení, což doplňuje tzv. Zero-Trust koncept zabezpečení a dává smysl vzhledem k globální působnosti společnosti.
  3. Nastavit co nejvíce nástrojů a aplikací na jednotné přihlášení (SSO) a zjednodušit tím přihlášení k jednotlivým aplikacím na všem zaměstnancům na jediný login, čímž se zároveň zvýší i bezpečnost.
  4. U co nejvíce aplikací nastavit propagaci identit mezi výrobcem a poskytovatelem identity (SCIM), aby nebylo nutné pro každou aplikaci zakládat účet u výrobce, ale ten si nastavení účtu načetl z poskytovatele identity a to i v případě, kdy je naopak potřeba zaměstnanci účet úplně zrušit.
  5. Domluvit s výrobci software hladké přesunutí existujících identit k novému poskytovateli identity do Microsoft Azure, resp. Entra ID a zachovat všechna uživatelská data u výrobce.

Řešení

Mezi prvními kroky probíhala analýza všech nástrojů, které nám byly přiděleny. Zjistili jsme, zda výrobce podporuje napojení do Entra ID a zda podporuje SCIM. Zde jsme si zároveň museli dát pozor, aby výrobce software neomezoval funkce SSO a SCIM dle užívané licence, tzn. pokud společnost používala levnější tarif, který nepodporoval funkce SSO a SCIM, bylo nutné rozhodnout jak postupovat. Dále jsme provedli analýzu, jací uživatelé k vybranému nástroji přistupují a tento seznam konzultovali s technickým projektový managementem, zda je to v pořádku. V případě neshod, jsme dále řešili, zda již uživatel nadále neexistuje, zda mu bude přístup odebrán a nebo zda některý ze současných zaměstnanců nechybí v seznamu a měl by mít přístup.

Po detailní analýze aplikací a přístupů, a diskuzi jak s těmito informacemi naložit, jsme přistoupili k zakládání uživatelských skupin, které definují oprávnění pro užívání dané aplikace. Např. SSO-Aplikace, do které jsme vložili účty oprávněných uživatelů.

Takto připravené podklady jsme využili při nastavení každé z aplikací v nastavení podnikových aplikací (Entreprise Applications), kdy došlo nejprve k založení samotné aplikace do seznamu, vyplnění základního nastavení a dále nastavení SSO, které jsme předem konzultovali s výrobcem, abychom vložili správné hodnoty do požadovaných polí a proběhlo korektní spárování uživatelských identit s výrobcem.

Po ověření, že autorizace uživatele skrze SSO funguje, jsme přistoupili k nastavení SCIM, kdy rovněž byla nedílnou součástí komunikace s výrobcem. Po úspěšném testu, kdy se nový uživatel přihlásí svým jediným účtem k aplikaci, je přesměrován do správného prostoru společnosti a je mu založen nový účet, jsme pouze doladili úrovně oprávnění při použití SCIM na základě definovaných proměnných v podmíněném přístupu.

Výsledek

V původním plánu jsme od technického managementu dostali na starost zpracovat přesun 24 aplikací. Díky námi precizně provedené analýze, kdy jsme kladli důraz na to, aby každý uživatel z počtu přes 8000, byl správně zařazen a měl očekávané oprávnění, byla spokojenost ze strany managementu tak vysoká, že nám přidělili další aplikace do počtu cca 46 aplikací, které měly být zpracovány interním týmem společnosti, protože se jednalo o aplikace obsahující citlivá firemní data.

Z důvodu rozsáhlého přesunu velkého množství uživatelských identit, počtu zařízení ve správě a počtu nástrojů a aplikací, jsme nakonec neřešili část správy zařízení v Microsoft Intune přes MDM a tuto část řešil dedikovaný člen týmu.

Přesun aplikací, který jsme dostali za úkol, proběhl úspěšně a požadované funkce, jako je jednotné přihlášení (SSO) a synchronizace účtu mezi poskytovatelem identity a výrobcem (SCIM), byly u aplikací, které tuto funkci podporují, nastaveny a otestovány úspěšně.

Závěr

Díky aplikovaným funkcím pro jednotné přihlášení (SSO) a synchronizaci mezi poskytovatelem identity a výrobcem (SCIM) má interní IT tým u většiny nástrojů a aplikací plnou kontrolu nad životním cyklem uživatele. Při založení nové identity uživatele pouze volí příslušné skupiny, do kterých má mít uživatel přístup a nastupující zaměstnanec automaticky získá přístup k nástrojům a aplikacím, které ze své podstaty pracovní funkce má mít. Navíc mu k tomu poslouží pouze jediný uživatelský login, a žádné desítky různých loginů a hesel na různé aplikace. I v případě, kdy zaměstnanec své pracovní místo opouští, má interní IT tým jednoduchou práci s odebráním těchto přístupů a především má jistotu, že na žádné klíčové aplikace nezapomněl.

Také vás trápí velké množství různých aplikací, přihlašovacích údajů pro velký počet zaměstnanců a chcete mít jednoduchý přehled o tom, kdo má jaké oprávnění? Kontaktujte nás a rádi s vámi vymyslíme řešení šité přímo pro vaše potřeby.

Další příběhy

Podívejte se, jak jsme pomohli dalším školám.

Jak Microsoft 365 zjednodušil práci malé účetní firmy

Malé a střední firmy často hledají jednoduché a bezpečné řešení pro centrální správu dokumentů a komunikaci. Microsoft 365 Business Premium umožnil malé účetní firmě se čtyřmi zaměstnanci plně digitalizovat procesy – od faktur a dokladů po interní komunikaci – a zároveň zajistit bezpečnost dat a přehledné řízení přístupu.

Zobrazit příběh

Efektivní správa školních zařízení přes cloud s Microsoft Intune

Základní škola v Mirošovicích u Prahy pro 1. stupeň (malotřídka) se potýkala s problémy správy svých zařízení. Často docházelo k tzv. hurá akci, kdy obětavý rodič přiložil ruku k dílu a „nějak“ zařízení nastavil. Pomoc malé základní škole se správou je chvályhodná, ale postrádá systémové ukotvení a potřebnou odbornou podporu..

Zobrazit příběh