Správa a řízení Microsoft Entra Conditional Access v roce 2026

Je úterý 09:12, když Maria, CISO rychle rostoucího evropského fintechu, otevírá report připravenosti na DORA, který měl být rutinní. Její řídicí panel Microsoft Entra Conditional Access vypadá dobře. MFA je vynucena pro správce. Starší autentizace je blokována. Vysoce riziková přihlášení jsou podrobena dodatečnému ověření nebo zamítnuta. Citlivé finanční aplikace vyžadují zařízení splňující požadavky. Přístup z prohlížeče z nespravovaných koncových bodů je omezen.

Pak si přečte zjištění auditora.

„Vaše zásady Conditional Access jsou technicky správné, ale existují izolovaně. Předložte vedením schválenou politiku, která tato nastavení vyžaduje. Předložte záznam o změně zásady upravené minulý měsíc. Předložte důkaz, že zásada pro vysoce riziková přihlášení byla aktivní během podezření na útok typu credential stuffing. Ukažte, jak tyto důkazy podporují ISO 27001, DORA, NIS2 a GDPR.“

Tým správy identit umí exportovat konfiguraci. SOC umí ukázat logy přihlášení. Manažer souladu umí odkázat na složku s politikami. Nikdo však nedokáže předložit jednotný řízený důkazní příběh, který propojuje riziko, politiku, schválení, konfiguraci, výjimky, monitorování, reakci na incidenty, povinnosti v oblasti ochrany soukromí a přezkum vedením.

To je problém správy a řízení Conditional Access v roce 2026.

Microsoft Entra Conditional Access už není jen nastavení identity. Je to systém opatření na úrovni vedení, který rozhoduje, kdo smí přistupovat ke cloudovým službám, za jakých podmínek, z jakých zařízení, s jakou silou autentizace a s jakými omezeními relace. U regulovaných organizací musí být tato rozhodnutí vysvětlitelná, obhajitelná a mapovaná na povinnosti podle ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST a COBIT 2019.

Conditional Access je nyní auditovatelný systém opatření

Conditional Access stojí na průsečíku identity, bezpečnostního stavu zařízení, citlivosti aplikací, lokality, rizika přihlášení, uživatelského rizika, chování relace a protokolování. Jedna zásada může vyžadovat MFA, požadovat zařízení splňující požadavky, blokovat přístup z rizikové lokality, omezit stahování z nespravovaných prohlížečů nebo vynutit opětovnou autentizaci při změně rizika.

Tím se z něj stává jeden z nejsilnějších bodů vynucování principů Zero Trust v cloudových prostředích Microsoft. Zároveň je vysoce auditovatelný.

Podle ISO/IEC 27001:2022 není opatření vyspělé jen proto, že existuje v portálu. Organizace musí rozumět svému kontextu, posuzovat rizika bezpečnosti informací, vybírat ošetření rizik, dokumentovat Prohlášení o použitelnosti, provozovat opatření, monitorovat účinnost a průběžně se zlepšovat. Relevantní kapitoly zahrnují kapitolu 6.1.2 pro posouzení rizik, kapitolu 6.1.3 pro ošetření rizik, kapitolu 7.5 pro dokumentované informace, kapitolu 8.1 pro provozní plánování a řízení, kapitolu 9.1 pro monitorování a kapitolu 9.3 pro přezkum vedením.

Příloha A, sladěná s ISO/IEC 27002:2022, poskytuje praktický jazyk opatření, kterému auditoři rozumějí. Conditional Access běžně podporuje:

• 5.15 řízení přístupu
• 5.16 správa identit
• 5.17 autentizační informace
• 5.18 přístupová práva
• 8.1 uživatelská koncová zařízení
• 8.2 privilegovaná přístupová práva
• 8.3 omezení přístupu k informacím
• 8.5 bezpečná autentizace
• 8.15 protokolování
• 8.16 monitorovací činnosti

U organizací regulovaných v EU je požadavek na správu a řízení ještě zřetelnější. NIS2 Article 20 ukládá řídicím orgánům odpovědnost za schvalování opatření k řízení kybernetických rizik a dohled nad nimi. NIS2 Article 21 vyžaduje vhodná a přiměřená technická, provozní a organizační opatření, včetně řízení přístupu, správy aktiv, kybernetické hygieny, zvládání incidentů, zabezpečení dodavatelského řetězce, hodnocení účinnosti a vícefaktorové nebo průběžné autentizace tam, kde je to vhodné. NIS2 Article 23 zavádí postupné oznamování významných incidentů, včetně včasného varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečné zprávy do jednoho měsíce.

DORA stanoví podobná očekávání pro finanční subjekty. Article 5 vyžaduje interní rámec správy a řízení a kontrolní rámec. Article 6 vyžaduje rámec řízení rizik v oblasti ICT. Article 9 se týká ochrany a prevence, včetně omezení přístupu a postupů správy identit. Articles 10, 11, 17, 18 a 19 propojují detekci, reakci, obnovu, řízení incidentů v oblasti ICT, klasifikaci a oznamování. Vzhledem k tomu, že DORA se použije od 17. ledna 2025, měly by finanční subjekty považovat Conditional Access za součást důkazů o provozní odolnosti, nikoli pouze za posílení zabezpečení identity.

GDPR přidává perspektivu ochrany soukromí. Pokud Conditional Access chrání systémy, které zpracovávají osobní údaje, podporuje zásady odpovědnosti podle Article 5, odpovědnost správce podle Article 24, záměrnou ochranu osobních údajů podle Article 25 a zabezpečení zpracování podle Article 32. Pokud existuje podezření na neoprávněný přístup, mohou se logy Conditional Access stát součástí důkazů pro posouzení porušení zabezpečení a související oznamování.

Chybou je zacházet s těmito požadavky jako s oddělenými auditními požadavky. Vyspělý přístup představuje jeden model správy a řízení Conditional Access, který lze rozdělit podle rámce, regulačního orgánu, zákazníka nebo řídicího orgánu.

Konfigurace není správa a řízení

Většina organizací umí odpovědět na otázku: „Co je nakonfigurováno?“ Méně organizací umí odpovědět na náročnější otázky:

• Proč je tato zásada Conditional Access nakonfigurována právě takto?
• Jaký rizikový scénář ošetřuje?
• Které ustanovení politiky ji vyžaduje?
• Kdo změnu schválil?
• Kteří uživatelé, aplikace a zařízení jsou vyloučeni?
• Jak je testována?
• Které logy prokazují, že fungovala?
• Jak často je přezkoumávána?
• Co se stane, když selže?

Právě zde se obvykle objevují zjištění auditu. Politiky existují, ale nejsou propojeny s nastaveními Microsoft Entra. Soulad zařízení vlastní provoz IT, ale není mapován na riziko řízení přístupu. Zásady rizika přihlášení jsou zapnuté bez dokumentovaných prahových hodnot nebo eskalačních pravidel. Omezení relací jsou nakonfigurována, ale nikdy se netestují z nespravovaných zařízení. Logy jsou uchovávány, ale nejsou zpracovány do podoby auditních důkazů.

Clarysec k tomu přistupuje jako k problému dohledatelnosti. Každé rozhodnutí Conditional Access má propojit politiku, riziko, opatření, konfiguraci, důkazy a přezkum.

Politika používání cloudových služeb pro SME Politika používání cloudových služeb pro SME uvádí:

Vícefaktorová autentizace (MFA) pro administrátorské a uživatelské účty

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.2.

Toto ustanovení je mandátem. Zásada Conditional Access je uplatněním. Log přihlášení je důkazem. Záznam o přezkumu prokazuje dohled.

Politika zabezpečení sítí pro SME Politika zabezpečení sítí pro SME přidává požadavek na bezpečnostní stav koncových bodů:

Systémy bez aktuálního antivirového programu, záplat nebo přijatelného bezpečnostního stavu zařízení musí být blokovány nebo převedeny do karantény

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.4.3.

V terminologii Microsoft Entra se z toho může stát „vyžadovat zařízení splňující požadavky“, „blokovat nepodporované platformy“, „omezit relace nespravovaných prohlížečů“ nebo „zamítnout přístup k vysoce rizikovým aplikacím z neznámých zařízení“. Opatření však není úplné, dokud organizace nedokáže doložit rozsah, schválení, testování, výjimky a monitorování.

Nejprve vybudujte základ správy a řízení, teprve potom sadu zásad

Silný program Conditional Access začíná mimo portál Entra. Začíná u ISMS, registru rizik, Politiky řízení přístupu, Politiky používání cloudových služeb, SoA a modelu důkazů.

Clarysec Zenith Blueprint: 30krokový plán auditora Zenith Blueprint poskytuje praktickou posloupnost kroků. Ve fázi řízení rizik, kroku 13, Plánování ošetření rizik a Prohlášení o použitelnosti, instruuje organizace, aby propojily opatření s riziky a regulačními faktory:

Křížově odkazujte právní předpisy: Pokud jsou určitá opatření implementována konkrétně za účelem souladu s GDPR, NIS2 nebo DORA, můžete to uvést buď v Registru rizik jako součást odůvodnění dopadu rizika, nebo v poznámkách SoA.

U Conditional Access to mění důkazní příběh. Místo tvrzení „Zapnuli jsme MFA“ může organizace říci:

• Rizikový scénář: Kompromitované uživatelské přihlašovací údaje umožňují neoprávněný přístup k zákaznickým datům v Microsoft 365 a finančním SaaS.
• Vlastník rizika: Vedoucí IT bezpečnosti.
• Ošetření: Entra Conditional Access vyžaduje silnou MFA pro privilegované role, MFA pro uživatele, blokování podle rizika přihlášení, zařízení splňující požadavky pro citlivé aplikace a omezení relací pro nespravované koncové body.
• Mapování na ISO/IEC 27002:2022: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 a 8.16.
• Regulační mapování: NIS2 Articles 20, 21 a 23, DORA Articles 5, 6, 9, 10, 17 a 18, GDPR Articles 24, 25, 32 a 33.
• Důkazy: schválení politiky, export Conditional Access, záznam změny, výsledky testů, logy přihlášení, reporty souladu zařízení, registr výjimek, záznamy SOC a zápisy z přezkumu vedením.

Zenith Blueprint ve fázi Opatření v praxi, kroku 19, také vysvětluje, proč bezpečnostní stav koncových bodů patří do rozhodnutí o přístupu:

Přístup k informacím prostřednictvím koncových bodů musí zohledňovat kontext. Splňuje například zařízení minimální bezpečnostní standardy před přístupem k firemním zdrojům? Prošlo nedávno skenem malwaru? Připojuje se z neobvyklé lokality nebo sítě? Integrace s principy Zero Trust umožňuje, aby bezpečnostní stav koncového bodu vstupoval do podmíněného přístupu a přístup byl odepřen, dokud zařízení neprokáže, že je bezpečné.

To je základní princip správy a řízení. Conditional Access má být založený na riziku, citlivý na kontext a schopný vytvářet důkazy.

Mapujte rozhodnutí Conditional Access na cíle opatření

Vyspělý program definuje standardní rozhodnutí o přístupu a poté každé z nich mapuje na záměr správy a řízení a na důkazy. Tím se omezuje nekontrolované množení zásad a usnadňuje komunikace s auditory.

Podniková Politika používání cloudových služeb Politika používání cloudových služeb podporuje centrální integraci identit:

Integrace Single Sign-On (SSO) s IdP organizace je vyžadována pro zajištění konzistence autentizace.

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.4.

Podniková Politika správy uživatelských účtů a oprávnění Politika správy uživatelských účtů a oprávnění výslovně požaduje monitorování:

Používání systémů Single Sign-On (SSO) musí být integrováno s centrálními poskytovateli identity (např. Active Directory (AD), Azure AD) a monitorováno z hlediska anomální přihlašovací aktivity.

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.3.4.

Společně tato ustanovení vyžadují více než SSO. Vyžadují centrální architekturu identit, konzistentní autentizaci, monitorování anomálního přihlašovacího chování a důkazy, že rozhodnutí o přístupu jsou přezkoumávána.

Soulad zařízení: opatření, které mohou auditoři otestovat

Soulad zařízení je jednou z oblastí, které lze snadno nadhodnotit. Řídicí panel může ukazovat 92 procent zařízení splňujících požadavky, auditor se však zeptá, zda se zásada vztahuje na aplikace, na kterých záleží, zda jsou povolena osobní zařízení, zda jsou blokovány nepodporované platformy a zda jsou schváleny výjimky.

Podniková Politika práce na dálku Politika práce na dálku stanovuje výchozí požadavek na schválení:

BYOD zařízení musí být výslovně schválena a:

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.2.

Tato krátká věta je důležitá. BYOD není pouze technický stav. Je to rozhodnutí v oblasti správy a řízení. V Conditional Access se má promítnout do zásad vlastnictví zařízení, minimálních základních požadavků na soulad, požadavků na šifrování, kontroly záplat a ochrany před škodlivým kódem, ochrany mobilních aplikací, nakládání s dodavateli a přezkumu výjimek.

Clarysec Zenith Controls: Průvodce napříč rámci souladu Zenith Controls mapuje opatření ISO/IEC 27002:2022 5.15 řízení přístupu jako preventivní opatření chránící důvěrnost, integritu a dostupnost v oblasti řízení identit a přístupů. Zároveň propojuje řízení přístupu s uživatelskými koncovými zařízeními, protože nespravované notebooky, mobilní zařízení a desktopy mohou narušit centralizované vynucování přístupu.

Praktický čtvrtletní balíček důkazů o zařízeních pro Conditional Access má obsahovat:

• Schválený základní soubor požadavků na soulad zařízení.
• Zásady Conditional Access vyžadující zařízení splňující požadavky.
• Aplikace chráněné těmito zásadami.
• Export vyloučených uživatelů, skupin, aplikací a platforem.
• Trendový report nevyhovujících zařízení.
• Vzorky logů blokovaných přihlášení pro nevyhovující zařízení.
• Registr výjimek s vlastníkem, důvodem, datem ukončení platnosti a přijetím rizika.
• Záznam z přezkumu vedením.

Tento balíček důkazů podporuje provozní řízení podle ISO/IEC 27001:2022, kybernetickou hygienu podle NIS2, ochranu a prevenci podle DORA a odpovědnost podle GDPR.

Riziko přihlášení: detekce se musí stát důkazem rozhodnutí

Conditional Access založený na riziku je místem, kde se detekce identity mění ve správu přístupu. Microsoft Entra umí vyhodnocovat signály, jako jsou neznámé vlastnosti přihlášení, anonymní IP adresy, nemožné cestování a uniklé přihlašovací údaje. Auditoři však nepřijmou „riziková politika je zapnutá“ jako konečnou odpověď. Budou se ptát, proč byly vybrány dané prahové hodnoty, kdo přezkoumává rizikové události a kdy se vysoce rizikové přihlášení stává incidentem.

Politika protokolování a monitorování pro SME Politika protokolování a monitorování pro SME definuje minimální požadavek na protokolování:

Autentizační logy: úspěšné a neúspěšné pokusy o přihlášení, doba trvání relace, použití MFA

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.2.

Podniková Politika protokolování a monitorování Politika protokolování a monitorování rozšiřuje očekávaný rozsah událostí:

Typy událostí, které mají být zachycovány (např. přihlášení, selhání přístupu, změny konfigurace, administrátorské příkazy, detekce malwaru)

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.1.1.

U Conditional Access by užitečné důkazy měly zahrnovat úspěšná přihlášení, neúspěšná přihlášení, výsledek zásady Conditional Access, metodu MFA, riziko přihlášení, uživatelské riziko, stav souladu zařízení, přístup k aplikaci, lokalitu, klientskou aplikaci, výsledek řízení relace, historii změn zásad a administrativní akce.

Zenith Controls mapuje opatření ISO/IEC 27002:2022 8.16 monitorovací činnosti jako detekční a nápravné, spojené s koncepty Detect a Respond. Propojuje monitorování s protokolováním, hodnocením událostí, informacemi o hrozbách, monitorováním dodavatelů a řízením incidentů. Zároveň mapuje monitorovací činnosti na GDPR Articles 32 a 33, monitorování a hlášení incidentů podle NIS2, sledování incidentů v oblasti ICT podle DORA, průběžné monitorování podle NIST a bezpečnostní monitorování podle COBIT.

Vysoce rizikové přihlášení zablokované prostřednictvím Conditional Access tedy není jen bezpečnostním úspěchem. Je důkazem, že preventivní, detekční a reakční procesy jsou propojené.

Řízení relací: spojnice mezi přístupem a ochranou údajů

Rozhodnutí před udělením přístupu nestačí. Jakmile je uživatel autentizován, řízení relací určuje, jak velká expozice zůstává. To je zvlášť důležité u nespravovaných zařízení, dodavatelů, práce na dálku, sdílených terminálů, rizikových lokalit a aplikací zpracovávajících osobní údaje.

Politika požadavků na zabezpečení aplikací pro SME Politika požadavků na zabezpečení aplikací pro SME uvádí:

Řízení relací: data relací musí expirovat po 15 minutách nečinnosti a tam, kde je to relevantní, musí obsahovat varování před vypršením časového limitu.

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.1.1.3.

Ve správě Microsoft Entra se to může mapovat na frekvenci přihlášení, omezení perzistentních relací prohlížeče, Conditional Access App Control, omezení vynucovaná aplikací, blokování stahování, opětovnou autentizaci po změně rizika a omezení relací podle citlivosti.

Řízení relací podporuje opatření ISO/IEC 27002:2022 8.3 omezení přístupu k informacím a 8.5 bezpečná autentizace. Podporuje také GDPR Article 32 tím, že snižuje riziko neoprávněného zobrazení, stahování nebo přetrvávání přístupu k osobním údajům. Pro DORA pomáhají omezení relací omezit expozici v systémech ICT a podporují detekci a reakci. Pro NIS2 jde o přiměřené řízení přístupu a opatření kybernetické hygieny.

Důkazy mají vysvětlit, proč řízení relace existuje. Například „blokovat stahování z nespravovaných zařízení pro HR a finanční aplikace“ se má mapovat na únik osobních údajů, kompromitaci koncového bodu a ztrátu důvěrnosti. Důkazy mají zahrnovat konfiguraci, rozsah aplikací, testovací přihlášení ze spravovaných a nespravovaných zařízení, logy prokazující omezení a záznamy o schválení.

Vytvořte registr opatření Conditional Access

Registr opatření Conditional Access je provozním mostem mezi registrem rizik, Prohlášením o použitelnosti a konfigurací Microsoft Entra. Nenahrazuje tyto dokumenty. Zajišťuje, že jsou použitelné.

Použijte pětikrokový cyklus přezkumu:

1. Potvrďte rozsah: Identifikujte cloudové aplikace zpracovávající regulovaná, finanční, provozní nebo osobní data.
2. Mapujte politiky na rizika: Propojte každou zásadu Conditional Access alespoň s jedním rizikovým scénářem a jedním vlastníkem rizika.
3. Ověřte výjimky: Exportujte vyloučené uživatele, role, aplikace, skupiny, lokality a zařízení. Každá výjimka potřebuje vlastníka, důvod, schválení a datum ukončení platnosti.
4. Otestujte vynucování: Pomocí testovacích účtů ověřte MFA, soulad zařízení, blokování rizik, blokování starší autentizace a omezení relací.
5. Zabalte důkazy: Uložte exporty, snímky obrazovky, logy a schválení s metadaty.

Politika monitorování auditu a souladu pro SME Politika monitorování auditu a souladu pro SME je kritická pro integritu důkazů:

Metadata (např. kdo je shromáždil, kdy a z jakého systému) musí být dokumentována.

Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.3.

Snímky obrazovky bez zdroje, data, osoby, která je pořídila, a systémového kontextu jsou slabým důkazem. Exporty Conditional Access, logy přihlášení a reporty přezkumu mají být považovány za řízené auditní záznamy.

Mapování důkazů Conditional Access napříč rámci souladu

Hodnota Conditional Access spočívá v tom, že jedna sada opatření může při řádné správě a řízení uspokojit více auditních perspektiv.

Zenith Controls také mapuje 5.15 řízení přístupu na GDPR Article 32, NIS2 Article 21(2)(i), koncepty správy přístupu podle DORA, rodiny řízení přístupu NIST SP 800-53 a COBIT 2019 DSS06.04. Opatření 8.5 bezpečná autentizace mapuje na GDPR Articles 5, 24, 25 a 32, řízení rizik kybernetické bezpečnosti podle NIS2, řízení rizik v oblasti ICT podle DORA, identifikaci a autentizaci podle NIST a identitu a logický přístup podle COBIT.

Poučení je jednoduché. Rámce používají odlišný jazyk, ale očekávají stejný vzorec ujištění: správní uživatelé, z přijatelných kontextů, se silnou autentizací, prostřednictvím řízených relací a s logy prokazujícími, co se stalo.

Jak budou auditoři Conditional Access prověřovat

Auditor ISO/IEC 27001:2022 začne u ISMS. Zeptá se, zda je Conditional Access v rozsahu, která rizika ošetřuje, jak se objevuje v SoA, jak jsou politiky schvalovány, jak jsou řízeny změny a zda důkazy prokazují provozní účinnost. Očekávejte vzorkování privilegovaných uživatelů, citlivých aplikací, výjimek a nedávných změn zásad.

Auditor DORA nebo NIS2 se zaměří na provozní odolnost, odpovědnost vedení a rizika. Může se ptát, jak opatření řízení přístupu chrání kritické nebo důležité funkce, jak řídicí orgán dohlíží na riziko identity, jak jsou tříděna vysoce riziková přihlášení a zda selhání přístupu vstupují do klasifikace incidentů nebo rozhodování o hlášení.

Auditor zaměřený na GDPR se bude zajímat o osobní údaje. Může se ptát, jak jsou HR, finanční nebo zákaznická data chráněna před nespravovanými zařízeními, jak řízení relací snižuje neoprávněné zobrazení, jak je přístup omezen na oprávněné uživatele a jak logy podporují posouzení porušení zabezpečení.

Hodnotitel COBIT 2019 bude hledat postupy správy a řízení, vlastnictví, metriky, opakovatelnost, monitorování výkonnosti a zlepšování. Hodnotitel orientovaný na NIST porovná výsledky v oblasti identity, autentizace, autorizace, monitorování a reakce s technickými důkazy.

Podniková Politika řízení přístupu Politika řízení přístupu nastavuje rámec pro privilegovaný přístup:

Administrátorský přístup musí být přísně řízen prostřednictvím:

Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.1.

Vaše důkazy z Microsoft Entra musí tuto větu provozně doplnit. Které role jsou privilegované? Které vyžadují MFA odolnou vůči phishingu nebo silnou MFA? Které jsou způsobilé prostřednictvím správy privilegovaných identit? Které účty jsou nouzové účty typu break-glass? Které jsou vyloučeny z politik? Kdo je přezkoumává? Kam jsou odesílána upozornění?

Metriky pro řídicí orgán ke správě a řízení Conditional Access

Protože NIS2 a DORA zdůrazňují odpovědnost vedení, reporting Conditional Access má být srozumitelný pro řídicí orgán. Nevykazujte pouze názvy zásad. Vykazujte postoj k riziku a výkonnost opatření.

Užitečné metriky zahrnují:

• Procento privilegovaných účtů chráněných silnou MFA.
• Počet výjimek Conditional Access podle úrovně rizika.
• Počet zablokovaných, dodatečně ověřených nebo povolených vysoce rizikových přihlášení.
• Procento přístupů k citlivým aplikacím vyžadujících zařízení splňující požadavky.
• Počet relací z nespravovaných zařízení k regulovaným aplikacím.
• Dobu do triáže vysoce rizikových událostí přihlášení.
• Počet změn zásad Conditional Access za čtvrtletí.
• Počet expirovaných, obnovených a opožděných výjimek.
• Pokrytí protokolováním autentizace, relací a změn zásad.
• Neúspěšné testovací případy z čtvrtletního ověření Conditional Access.

Tyto metriky mění konfiguraci identity na důkazy o dohledu. Zároveň pomáhají řídicím orgánům prokázat schvalování, přezkum, zajištění zdrojů a neustálé zlepšování.

Běžná zjištění, která je třeba odstranit před auditem

Zjištění týkající se Conditional Access obvykle vyplývají ze slabé správy a řízení, nikoli z technologického selhání. Mezi nejčastější problémy patří:

• Nouzové účty typu break-glass jsou vyloučené, ale nejsou monitorované.
• Zásady jsou pojmenovány nekonzistentně a nemají vlastníky.
• Citlivé aplikace chybí v zásadách souladu zařízení.
• Hostující uživatelé a externí spolupracovníci obcházejí standardní opatření.
• Servisní účty a identity pracovních zátěží nejsou řízeny samostatně.
• Detekce rizikových přihlášení nejsou tříděny ani propojeny s incidenty.
• Řízení relací se nikdy netestuje z nespravovaných zařízení.
• Změny zásad se provádějí přímo v produkčním prostředí bez záznamů změn.
• Výjimky jsou trvalé, nedokumentované nebo schválené pouze ústně.
• Logy jsou uchovávány, ale nejsou přezkoumávány.
• Důkazům chybí metadata, kontext zdroje nebo řetězec svěření.

Cílový stav připravený na rok 2026 zahrnuje vedením schválené řízení přístupu, návrh Conditional Access založený na riziku, výslovné mapování na ISO/IEC 27001:2022 a ISO/IEC 27002:2022, dokumentovanou podporu NIS2, DORA a GDPR, silnou MFA podle role a rizika, soulad zařízení pro citlivý přístup, omezení relací pro nespravované kontexty, monitorované autentizace a změny zásad, životní cyklus výjimek, čtvrtletní testování a reporting vedení.

Přeměňte Microsoft Entra na důkazy připravené pro audit

Vaše zásady Conditional Access už každou minutu přijímají bezpečnostní rozhodnutí. Otázkou je, zda jsou tato rozhodnutí řízená, založená na riziku, monitorovaná a mapovaná na povinnosti, které zajímají vaše auditory a regulační orgány.

Začněte s Zenith Blueprint Zenith Blueprint, zejména krokem 13, abyste propojili zásady Conditional Access s riziky, ošetřeními, Prohlášením o použitelnosti a regulačními poznámkami. Použijte Zenith Controls Zenith Controls k mapování řízení přístupu, bezpečné autentizace, bezpečnostního stavu koncových bodů, protokolování a monitorování napříč ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST a COBIT 2019.

Poté slaďte své interní požadavky s politikami Clarysec, včetně Politiky používání cloudových služeb pro SME, Politiky zabezpečení sítí pro SME, Politiky protokolování a monitorování pro SME, Politiky monitorování auditu a souladu pro SME, Politiky požadavků na zabezpečení aplikací pro SME, Politiky používání cloudových služeb, Politiky správy uživatelských účtů a oprávnění, Politiky práce na dálku, Politiky řízení přístupu a Politiky protokolování a monitorování.

Clarysec vám pomůže přeměnit Microsoft Entra Conditional Access ze sady nastavení na vynutitelný, měřitelný a na audit připravený systém opatření. Stáhněte si příslušné nástroje Clarysec, požádejte o přezkum mapování politik nebo si objednejte posouzení, abyste zjistili, zda vaše důkazy Conditional Access obstojí při prověrce podle ISO 27001, NIS2, DORA a GDPR.