Když se s klienty bavím o bezpečnosti v cloudu, jedno téma se vrací znovu a znovu – přístupy. Kdo má kam přístup, na jak dlouho, a kdo to vlastně kontroluje? Většina firem má v Azure rozdělené role a procesy, ale realita bývá jiná – projekty končí, lidé mění týmy, dočasné oprávnění zůstane „napořád".

A právě proto má smysl mluvit o Azure Privileged Identity Management (PIM) a Access Reviews. Dva nástroje, které z mojí praxe považuji za naprostý základ pro řízení přístupů v Azure.

Co je PIM a proč by vás měl zajímat

Azure PIM je součástí Microsoft Entra ID (dříve Azure Active Directory) a umožňuje řídit privilegované přístupy – tedy administrátorské a vysoce citlivé role.

Hlavní princip je jednoduchý: „Nikdo by neměl mít trvalý admin přístup, pokud ho zrovna nepotřebuje."

Pomocí just-in-time přístupu si uživatel aktivuje roli jen na určitou dobu (např. 4 hodiny) a často potřebuje schválení nebo MFA. Každá aktivace se loguje, dá se auditovat a po uplynutí času automaticky vyprší.

V praxi to znamená, že:

  • snižujete riziko zneužití účtu s vysokými právy,
  • máte přehled o tom, kdo kdy aktivoval administrátorskou roli,
  • a auditoři mají jasný záznam o aktivitách.

Access Reviews: protože i dočasné přístupy se časem hromadí

Zatímco PIM řeší, kdy a jak dlouho má člověk přístup, Access Reviews odpovídají na otázku, kdo ho vlastně mít má. Umožňují nastavit pravidelné kontroly přístupů – například každé 3 měsíce – a zajistit, že lidé mají jen ta oprávnění, která dávají smysl.

V praxi to funguje jednoduše: manažer nebo vlastník aplikace dostane seznam uživatelů a potvrdí, kdo má přístup ponechat. Pokud nikdo nereaguje, přístup se automaticky odebere.

Licence a ceny

Azure PIM je součástí licence Microsoft Entra ID Premium P2. Tuto licenci máte automaticky zahrnutou také v balíčku Microsoft 365 E5 nebo Enterprise Mobility + Security (EMS) E5.

Access Reviews jsou také funkcionalitou Entra ID Premium P2 – nejsou tedy samostatně zpoplatněné, ale dostupné pouze v rámci P2 licencí.

Doporučení z praxe

  1. Začněte s nejrizikovějšími rolemi. Global Admin, Owner nebo User Access Administrator bývají první, které by měly projít přes PIM.
  2. Nastavte JIT aktivaci. Admini by měli získat práva jen tehdy, když je skutečně potřebují – s časovým omezením a MFA.
  3. Zaveďte Access Reviews kvartálně. Každé tři měsíce je rozumný interval, který drží přístupy v pořádku bez přehnané administrativy.
  4. Zapojte manažery a vlastníky aplikací. Nechte byznys potvrzovat přístupy – IT tím ušetří čas a zlepší se odpovědnost.
  5. Auditujte a reportujte. Entra PIM má výborné exporty a API integrace pro auditní účely.

Závěr

PIM a Access Reviews nejsou jen "nice to have" bezpečnostní funkce – jsou to praktické nástroje pro každodenní řízení přístupů. Pomáhají firmám odstranit zbytečné oprávnění, zjednodušit audity a hlavně – mít přístupy opravdu pod kontrolou.