Upravljanje Microsoft Entra Conditional Accessom u 2026.

U utorak je 09:12 kada Maria, direktorica informacijske sigurnosti (CISO) brzorastućeg europskog fintech društva, otvara izvješće o spremnosti za DORA koje je trebalo biti rutinsko. Nadzorna ploča Microsoft Entra Conditional Accessa izgleda snažno. MFA se provodi za administratore. Naslijeđena autentifikacija je blokirana. Visokorizične prijave podliježu dodatnoj provjeri ili se odbijaju. Osjetljive financijske aplikacije zahtijevaju usklađene uređaje. Pristup iz preglednika s neupravljanih krajnjih uređaja ograničen je.

Zatim čita nalaz revizora.

„Vaša pravila Conditional Accessa tehnički su ispravna, ali postoje izvan upravljačkog konteksta. Pokažite nam politiku odobrenu na razini uprave koja nalaže te postavke. Pokažite nam zapis o promjeni za pravilo izmijenjeno prošlog mjeseca. Pokažite nam kako je politika za visokorizične prijave bila aktivna tijekom sumnje na napad credential stuffing. Pokažite nam kako ti dokazi podupiru ISO 27001, DORA, NIS2 i GDPR.”

Tim za identitete može izvesti konfiguraciju. SOC može prikazati dnevnike prijava. Rukovoditelj usklađenosti može uputiti na mapu s politikama. Ali nitko ne može proizvesti jedinstvenu, upravljanu dokaznu priču koja povezuje rizik, politiku, odobrenje, konfiguraciju, iznimke, praćenje, odgovor na incidente, obveze privatnosti i preispitivanje od strane uprave.

To je problem upravljanja Conditional Accessom u 2026.

Microsoft Entra Conditional Access više nije samo postavka identiteta. To je kontrolni sustav na razini uprave koji odlučuje tko može pristupiti uslugama u oblaku, pod kojim uvjetima, s kojih uređaja, kojom snagom autentifikacije i uz koja ograničenja sesije. Za regulirane organizacije te odluke moraju biti objašnjive, dokazive i mapirane na obveze prema ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST i COBIT 2019.

Conditional Access sada je kontrolni sustav spreman za reviziju

Conditional Access nalazi se na sjecištu identiteta, sigurnosnog stanja uređaja, osjetljivosti aplikacije, lokacije, rizika prijave, rizika korisnika, ponašanja sesije i zapisivanja događaja. Jedna politika može zahtijevati MFA, zahtijevati usklađeni uređaj, blokirati pristup s rizične lokacije, ograničiti preuzimanja iz neupravljanih preglednika ili nametnuti ponovnu autentifikaciju kada se rizik promijeni.

Zbog toga je to jedna od najsnažnijih provedbenih točaka Zero Trusta u Microsoft okruženjima u oblaku. Zbog toga je i vrlo pogodna za reviziju.

Prema ISO/IEC 27001:2022, kontrola nije zrela samo zato što postoji u portalu. Organizacija mora razumjeti svoj kontekst, procijeniti rizike informacijske sigurnosti, odabrati mjere obrade rizika, dokumentirati Izjavu o primjenjivosti, provoditi kontrole, pratiti učinkovitost i poboljšavati se tijekom vremena. Relevantne točke uključuju Clause 6.1.2 za procjenu rizika, Clause 6.1.3 za obradu rizika, Clause 7.5 za dokumentirane informacije, Clause 8.1 za operativno planiranje i kontrolu, Clause 9.1 za praćenje i Clause 9.3 za preispitivanje od strane uprave.

Annex A, usklađen s ISO/IEC 27002:2022, daje praktičan jezik kontrola koji revizori prepoznaju. Conditional Access uobičajeno podupire:

• 5.15 kontrola pristupa
• 5.16 upravljanje identitetom
• 5.17 informacije za autentifikaciju
• 5.18 prava pristupa
• 8.1 korisnički krajnji uređaji
• 8.2 prava privilegiranog pristupa
• 8.3 ograničenje pristupa informacijama
• 8.5 sigurna autentifikacija
• 8.15 zapisivanje događaja
• 8.16 aktivnosti praćenja

Za organizacije regulirane u EU, upravljačko opterećenje još je jasnije. NIS2 Article 20 stavlja odgovornost na upravljačka tijela da odobre i nadziru mjere upravljanja rizicima kibernetičke sigurnosti. NIS2 Article 21 zahtijeva odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere, uključujući kontrolu pristupa, upravljanje imovinom, kibernetičku higijenu, postupanje s incidentima, sigurnost opskrbnog lanca, procjenu učinkovitosti te višefaktorsku ili kontinuiranu autentifikaciju kada je primjereno. NIS2 Article 23 uvodi postupno prijavljivanje značajnih incidenata, uključujući rano upozorenje u roku od 24 sata, obavijest o incidentu u roku od 72 sata i završno izvješće u roku od jednog mjeseca.

DORA postavlja slična očekivanja za financijske subjekte. Article 5 zahtijeva interni okvir upravljanja i kontrola. Article 6 zahtijeva okvir upravljanja IKT rizicima. Article 9 obuhvaća zaštitu i prevenciju, uključujući ograničenja pristupa i prakse upravljanja identitetom. Articles 10, 11, 17, 18 i 19 povezuju otkrivanje, odgovor, oporavak, upravljanje IKT incidentima, klasifikaciju i izvješćivanje. Budući da se DORA primjenjuje od 17. siječnja 2025., financijski subjekti trebaju tretirati Conditional Access kao dio dokaza operativne otpornosti, a ne samo kao sigurnosno očvršćivanje identiteta.

GDPR dodaje perspektivu privatnosti. Ako Conditional Access štiti sustave koji obrađuju osobne podatke, podupire načela odgovornosti iz Article 5, odgovornost voditelja obrade iz Article 24, ugrađenu zaštitu podataka iz Article 25 i sigurnost obrade iz Article 32. Ako postoji sumnja na neovlašteni pristup, dnevnici Conditional Accessa mogu postati dio dokaza za procjenu i prijavu povrede.

Pogrešno je tretirati ih kao odvojene revizijske zahtjeve. Zreo pristup jest jedan model upravljanja Conditional Accessom koji se može prikazati prema okviru, regulatoru, klijentu ili upravi.

Konfiguracija nije upravljanje

Većina organizacija može odgovoriti na pitanje: „Što je konfigurirano?” Manje ih može odgovoriti na teža pitanja:

• Zašto je ova politika Conditional Accessa konfigurirana na ovaj način?
• Koji scenarij rizika obrađuje?
• Koja točka politike to zahtijeva?
• Tko je odobrio promjenu?
• Koji su korisnici, aplikacije i uređaji izuzeti?
• Kako se testira?
• Koji dnevnici dokazuju da je djelovala?
• Koliko se često pregledava?
• Što se događa kada ne uspije?

Tu se obično pojavljuju nalazi revizije. Politike postoje, ali nisu povezane s postavkama Microsoft Entra. Usklađenost uređaja u nadležnosti je IT operacija, ali nije mapirana na rizik kontrole pristupa. Politike rizika prijave omogućene su bez dokumentiranih pragova ili pravila eskalacije. Ograničenja sesije konfigurirana su, ali nikada nisu testirana s neupravljanih uređaja. Dnevnici se čuvaju, ali nisu pripremljeni kao revizijski dokazi.

Clarysec to tretira kao problem sljedivosti. Svaka odluka Conditional Accessa treba povezati politiku, rizik, kontrolu, konfiguraciju, dokaze i pregled.

SME Cloud Usage Policy-sme Cloud Usage Policy-sme - SME navodi:

Višefaktorska autentifikacija (MFA) za administrativne i korisničke račune

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.2.2.

Ta je točka obvezujući zahtjev. Pravilo Conditional Accessa je provedba. Dnevnik prijave je dokaz. Zapis o pregledu dokazuje nadzor.

SME Network Security Policy-sme Network Security Policy-sme - SME dodaje zahtjev za sigurnosno stanje krajnjeg uređaja:

Sustavi bez ažurnog antivirusnog softvera, zakrpa ili prihvatljivog sigurnosnog stanja uređaja moraju biti blokirani ili stavljeni u karantenu

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.4.3.

U terminologiji Microsoft Entra to može postati „zahtijevaj usklađeni uređaj”, „blokiraj nepodržane platforme”, „ograniči neupravljane sesije preglednika” ili „uskrati pristup visokorizičnim aplikacijama s nepoznatih uređaja”. No kontrola nije potpuna dok organizacija ne može dokazati opseg, odobrenje, testiranje, iznimke i praćenje.

Uspostavite upravljačke temelje prije skupa pravila

Snažan program Conditional Accessa počinje izvan Entra portala. Počinje s ISMS-om, registrom rizika, Politikom kontrole pristupa, Politikom korištenja usluga u oblaku, SoA i modelom dokaza.

Clarysecov Zenith Blueprint: revizorova mapa puta u 30 koraka Zenith Blueprint daje praktičan redoslijed. U fazi upravljanja rizicima, Step 13, planiranje obrade rizika i Izjava o primjenjivosti, nalaže organizacijama da povežu kontrole s rizicima i regulatornim pokretačima:

Unakrsno referencirajte propise: Ako su određene kontrole provedene posebno radi usklađivanja s GDPR, NIS2 ili DORA, to možete navesti u Registru rizika (kao dio obrazloženja utjecaja rizika) ili u napomenama SoA.

Za Conditional Access to mijenja dokaznu priču. Umjesto tvrdnje „Omogućili smo MFA”, organizacija može reći:

• Scenarij rizika: kompromitirane korisničke vjerodajnice omogućuju neovlašteni pristup podacima klijenata u Microsoft 365 i financijskom SaaS-u.
• Vlasnik rizika: voditelj IT sigurnosti.
• Obrada rizika: Entra Conditional Access zahtijeva snažni MFA za privilegirane uloge, MFA za korisnike, blokiranje na temelju rizika prijave, usklađene uređaje za osjetljive aplikacije i ograničenja sesije za neupravljane krajnje uređaje.
• Mapiranje ISO/IEC 27002:2022: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 i 8.16.
• Regulatorno mapiranje: NIS2 Articles 20, 21 i 23, DORA Articles 5, 6, 9, 10, 17 i 18, GDPR Articles 24, 25, 32 i 33.
• Dokazi: odobrenje politike, izvoz Conditional Accessa, zahtjev za promjenu, rezultati testiranja, dnevnici prijava, izvješća o usklađenosti uređaja, registar iznimaka, SOC prijave i zapisnici preispitivanja od strane uprave.

Zenith Blueprint također objašnjava u fazi Kontrole u praksi, Step 19, zašto sigurnosno stanje krajnjeg uređaja pripada odluci o pristupu:

Pristup informacijama putem krajnjih uređaja mora uzimati u obzir kontekst. Primjerice, ispunjava li uređaj minimalne sigurnosne standarde prije pristupa resursima društva? Je li nedavno prošao skeniranje zlonamjernog softvera? Povezuje li se s neuobičajene lokacije ili mreže? Integracijom s načelima Zero Trust, sigurnosno stanje krajnjeg uređaja može se koristiti u conditional accessu, odbijajući pristup dok uređaj ne dokaže da je siguran.

To je temeljno načelo upravljanja. Conditional Access treba biti temeljen na riziku, svjestan konteksta i sposoban proizvoditi dokaze.

Mapirajte odluke Conditional Accessa na ciljeve kontrola

Zreo program definira standardne odluke o pristupu, a zatim svaku mapira na upravljačku namjeru i dokaze. Time se sprječava nekontrolirano širenje politika i olakšavaju razgovori s revizorima.

Enterprise Cloud Usage Policy Cloud Usage Policy podupire integraciju sa središnjim identitetom:

Integracija jedinstvene prijave (SSO) s IdP-om organizacije obvezna je radi osiguranja dosljednosti autentifikacije.

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.2.4.

Enterprise User Account and Privilege Management Policy User Account and Privilege Management Policy izričito zahtijeva praćenje:

Korištenje sustava jedinstvene prijave (SSO) mora biti integrirano sa središnjim pružateljima identiteta (npr. Active Directory (AD), Azure AD) i praćeno radi anomalnih aktivnosti prijave.

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.3.4.

Zajedno, te točke zahtijevaju više od SSO-a. Zahtijevaju središnju arhitekturu identiteta, dosljednu autentifikaciju, praćenje anomalnih prijava i dokaze da se odluke o pristupu pregledavaju.

Usklađenost uređaja: kontrola koju revizori mogu testirati

Usklađenost uređaja jedno je od područja koje je najlakše precijeniti. Nadzorna ploča može pokazivati 92 posto usklađenih uređaja, ali revizor će pitati primjenjuje li se pravilo na aplikacije koje su bitne, jesu li privatni uređaji dopušteni, jesu li nepodržane platforme blokirane i jesu li iznimke odobrene.

Enterprise Remote Work Policy Remote Work Policy postavlja polaznu osnovu odobrenja:

BYOD uređaji moraju biti izričito odobreni i:

Iz odjeljka „Upravljački zahtjevi”, točka politike 5.2.2.

Ta kratka rečenica je važna. BYOD nije samo tehničko stanje. To je upravljačka odluka. U Conditional Accessu trebala bi se pretočiti u pravila vlasništva uređaja, minimalne polazne osnove usklađenosti, zahtjeve šifriranja, provjere zakrpa i zaštite od zlonamjernog softvera, zaštitu mobilnih aplikacija, postupanje s ugovornim izvođačima i pregled iznimaka.

Clarysecov Zenith Controls: vodič za višestruku usklađenost Zenith Controls mapira kontrolu ISO/IEC 27002:2022 5.15 kontrola pristupa kao preventivnu kontrolu koja štiti povjerljivost, cjelovitost i dostupnost u operativnoj sposobnosti upravljanja identitetom i pristupom. Također povezuje kontrolu pristupa s korisničkim krajnjim uređajima jer neupravljana prijenosna računala, mobilni uređaji i stolna računala mogu oslabiti centraliziranu provedbu pristupa.

Praktični tromjesečni paket dokaza o uređajima za Conditional Access treba uključivati:

• Odobrenu polaznu osnovu usklađenosti uređaja.
• Politike Conditional Accessa koje zahtijevaju usklađene uređaje.
• Aplikacije zaštićene tim politikama.
• Izvoz izuzetih korisnika, grupa, aplikacija i platformi.
• Izvješće o trendu neusklađenih uređaja.
• Uzorke dnevnika blokiranih prijava za neusklađene uređaje.
• Registar iznimaka s vlasnikom, razlogom, datumom isteka i prihvaćanjem rizika.
• Zapis o preispitivanju od strane uprave.

Taj paket dokaza podupire operativnu kontrolu prema ISO/IEC 27001:2022, kibernetičku higijenu prema NIS2, zaštitu i prevenciju prema DORA te odgovornost prema GDPR.

Rizik prijave: otkrivanje mora postati dokaz odluke

Conditional Access temeljen na riziku mjesto je gdje otkrivanje na razini identiteta postaje upravljanje pristupom. Microsoft Entra može procijeniti signale kao što su nepoznata svojstva prijave, anonimne IP adrese, nemoguće putovanje i procurjele vjerodajnice. No revizori neće prihvatiti „politika rizika je omogućena” kao konačan odgovor. Pitat će zašto su odabrani pragovi, tko pregledava rizične događaje i kada visokorizična prijava postaje incident.

SME Logging and Monitoring Policy-sme Logging and Monitoring Policy-sme - SME definira minimalni zahtjev za zapisivanje događaja:

Dnevnici autentifikacije: uspješni i neuspješni pokušaji prijave, trajanje sesije, uporaba MFA

Iz odjeljka „Upravljački zahtjevi”, točka politike 5.4.2.

Enterprise Logging and Monitoring Policy Logging and Monitoring Policy proširuje očekivani skup događaja:

Vrste događaja koje treba bilježiti (npr. prijave, neuspjeli pristupi, promjene konfiguracije, administrativne naredbe, otkrivanje zlonamjernog softvera)

Iz odjeljka „Upravljački zahtjevi”, točka politike 5.1.1.

Za Conditional Access korisni dokazi trebaju uključivati uspješne prijave, neuspjele prijave, rezultat politike Conditional Accessa, metodu MFA, rizik prijave, rizik korisnika, stanje usklađenosti uređaja, pristupljenu aplikaciju, lokaciju, klijentsku aplikaciju, rezultat kontrole sesije, povijest promjena politike i administrativne radnje.

Zenith Controls mapira kontrolu ISO/IEC 27002:2022 8.16 aktivnosti praćenja kao detektivnu i korektivnu, povezanu s konceptima otkrivanja i odgovora. Povezuje praćenje sa zapisivanjem događaja, procjenom događaja, obavještajnim podacima o prijetnjama, praćenjem dobavljača i upravljanjem incidentima. Također mapira aktivnosti praćenja na GDPR Articles 32 i 33, praćenje i izvješćivanje o incidentima prema NIS2, praćenje IKT incidenata prema DORA, kontinuirano praćenje prema NIST i sigurnosno praćenje prema COBIT.

Visokorizična prijava blokirana Conditional Accessom stoga nije samo sigurnosni uspjeh. To je dokaz da su preventivni, detektivni i odgovorni procesi povezani.

Kontrole sesija: poveznica između pristupa i zaštite podataka

Odluke prije pristupa nisu dovoljne. Nakon što je korisnik autentificiran, kontrole sesija određuju koliko izloženosti preostaje. To je posebno važno za neupravljane uređaje, ugovorne izvođače, rad na daljinu, dijeljene terminale, rizične lokacije i aplikacije koje obrađuju osobne podatke.

SME Application Security Requirements Policy-sme Application Security Requirements Policy-sme - SME navodi:

Upravljanje sesijama: podaci sesije moraju isteći nakon 15 minuta neaktivnosti i, gdje je primjenjivo, uključivati upozorenja o isteku vremena.

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.1.1.3.

U upravljanju Microsoft Entra to se može mapirati na učestalost prijave, ograničenja trajnih sesija preglednika, Conditional Access App Control, ograničenja koja provodi aplikacija, blokiranje preuzimanja, ponovnu autentifikaciju nakon promjene rizika i ograničenja sesije temeljena na osjetljivosti.

Kontrole sesija podupiru kontrolu ISO/IEC 27002:2022 8.3 ograničenje pristupa informacijama i 8.5 sigurnu autentifikaciju. Također podupiru GDPR Article 32 smanjenjem neovlaštenog pregleda, preuzimanja ili trajnosti pristupa osobnim podacima. Za DORA ograničenja sesije pomažu ograničiti izloženost u IKT sustavima i podupiru otkrivanje i odgovor. Za NIS2 one su razmjerne mjere kontrole pristupa i kibernetičke higijene.

Dokazi trebaju objasniti zašto kontrola sesije postoji. Primjerice, „blokirati preuzimanje s neupravljanih uređaja za HR i financijske aplikacije” treba mapirati na istjecanje osobnih podataka, kompromitaciju krajnjeg uređaja i gubitak povjerljivosti. Dokazi trebaju uključivati konfiguraciju, opseg aplikacija, testne prijave s upravljanih i neupravljanih uređaja, dnevnike koji prikazuju ograničenja i zapise odobrenja.

Izradite registar kontrola Conditional Accessa

Registar kontrola Conditional Accessa operativna je poveznica između registra rizika, Izjave o primjenjivosti i konfiguracije Microsoft Entra. Ne zamjenjuje te dokumente. Čini ih uporabljivima.

Primijenite ciklus pregleda u pet koraka:

1. Potvrdite opseg: Identificirajte aplikacije u oblaku koje obrađuju regulirane, financijske, operativne ili osobne podatke.
2. Mapirajte politike na rizike: Povežite svaku politiku Conditional Accessa s najmanje jednim scenarijem rizika i jednim vlasnikom rizika.
3. Provjerite izuzeća: Izvezite izuzete korisnike, uloge, aplikacije, grupe, lokacije i uređaje. Svako izuzeće mora imati vlasnika, razlog, odobrenje i rok isteka.
4. Testirajte provedbu: Koristite testne račune za provjeru MFA, usklađenosti uređaja, blokiranja rizika, blokiranja naslijeđene autentifikacije i ograničenja sesija.
5. Pripremite paket dokaza: Pohranite izvoze, snimke zaslona, dnevnike i odobrenja s metapodacima.

SME Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme - SME ključna je za cjelovitost dokaza:

Metapodaci (npr. tko ih je prikupio, kada i iz kojeg sustava) moraju biti dokumentirani.

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.2.3.

Snimke zaslona bez izvora, datuma, osobe koja ih je prikupila i konteksta sustava slab su dokaz. Izvoze Conditional Accessa, dnevnike prijava i izvješća o pregledu treba tretirati kao kontrolirane revizijske zapise.

Mapiranje višestruke usklađenosti za dokaze Conditional Accessa

Vrijednost Conditional Accessa jest u tome što jedan skup kontrola može zadovoljiti više revizijskih perspektiva kada se njime pravilno upravlja.

Zenith Controls također mapira 5.15 kontrolu pristupa na GDPR Article 32, NIS2 Article 21(2)(i), koncepte upravljanja pristupom prema DORA, obitelji kontrole pristupa NIST SP 800-53 i COBIT 2019 DSS06.04. Mapira 8.5 sigurnu autentifikaciju na GDPR Articles 5, 24, 25 i 32, upravljanje rizicima kibernetičke sigurnosti prema NIS2, upravljanje IKT rizicima prema DORA, identifikaciju i autentifikaciju prema NIST te identitet i logički pristup prema COBIT.

Pouka je jednostavna. Okviri koriste različit jezik, ali očekuju isti obrazac osiguranja: pravi korisnici, iz prihvatljivih konteksta, uz snažnu autentifikaciju, kroz upravljane sesije, s dnevnicima koji dokazuju što se dogodilo.

Kako će revizori ispitivati Conditional Access

Revizor ISO/IEC 27001:2022 počet će od ISMS-a. Pitat će je li Conditional Access u opsegu, koje rizike obrađuje, kako se pojavljuje u SoA, kako se politike odobravaju, kako se promjene kontroliraju i dokazuju li dokazi operativnu učinkovitost. Očekujte uzorkovanje privilegiranih korisnika, osjetljivih aplikacija, izuzeća i nedavnih promjena politika.

Revizor za DORA ili NIS2 usredotočit će se na operativnu otpornost, odgovornost uprave i rizik. Može pitati kako kontrole pristupa štite kritične ili važne funkcije, kako uprava nadzire rizik identiteta, kako se trijažiraju visokorizične prijave i ulaze li neuspjeli pristupi u klasifikaciju incidenata ili odluke o izvješćivanju.

Revizora usmjerenog na GDPR zanimat će osobni podaci. Može pitati kako su HR, financijski ili korisnički podaci zaštićeni od neupravljanih uređaja, kako kontrole sesija smanjuju neovlašteni pregled, kako je pristup ograničen na ovlaštene korisnike i kako dnevnici podupiru procjenu povrede.

Pregledavatelj COBIT 2019 tražit će prakse upravljanja, vlasništvo, metrike, ponovljivost, praćenje učinkovitosti i poboljšavanje. Procjenitelj usmjeren na NIST usporedit će ishode identiteta, autentifikacije, autorizacije, praćenja i odgovora s tehničkim dokazima.

Enterprise Access Control Policy Access Control Policy postavlja ton za pristup s povišenim ovlastima:

Administratorski pristup mora biti strogo kontroliran putem:

Iz odjeljka „Upravljački zahtjevi”, točka politike 5.4.1.

Vaši dokazi iz Microsoft Entra moraju operativno dovršiti tu rečenicu. Koje su uloge privilegirane? Koje zahtijevaju MFA otporan na phishing ili snažni MFA? Koje su prihvatljive kroz upravljanje privilegiranim identitetom? Koji su računi za hitne slučajeve? Koji su izuzeti iz politika? Tko ih pregledava? Kamo se šalju upozorenja?

Metrike za upravu o upravljanju Conditional Accessom

Budući da NIS2 i DORA naglašavaju odgovornost uprave, izvješćivanje o Conditional Accessu treba biti razumljivo upravi. Izbjegavajte izvješćivanje samo o nazivima politika. Izvješćujte o profilu rizika i učinkovitosti kontrola.

Korisne metrike uključuju:

• Postotak privilegiranih računa zaštićenih snažnim MFA.
• Broj izuzeća Conditional Accessa prema razini rizika.
• Broj visokorizičnih prijava koje su blokirane, podvrgnute dodatnoj provjeri ili dopuštene.
• Postotak pristupa osjetljivim aplikacijama koji zahtijeva usklađene uređaje.
• Broj sesija neupravljanih uređaja prema reguliranim aplikacijama.
• Vrijeme do trijaže visokorizičnih događaja prijave.
• Broj promjena politika Conditional Accessa u tromjesečju.
• Broj isteklih, obnovljenih i zakašnjelih iznimaka.
• Obuhvat zapisivanja autentifikacije, sesija i promjena politika.
• Neuspjeli testni slučajevi iz tromjesečne provjere Conditional Accessa.

Te metrike pretvaraju konfiguraciju identiteta u dokaze nadzora. Također pomažu upravljačkim tijelima dokazati odobrenje, pregled, resurse i kontinuirano poboljšavanje.

Uobičajeni nalazi koje treba ukloniti prije revizije

Nalazi povezani s Conditional Accessom obično proizlaze iz slabosti upravljanja, a ne iz tehnološkog kvara. Najčešći problemi uključuju:

• Računi za hitne slučajeve izuzeti su, ali se ne prate.
• Politike su nedosljedno imenovane i nemaju vlasnike.
• Osjetljive aplikacije nedostaju u pravilima usklađenosti uređaja.
• Gosti i vanjski suradnici zaobilaze standardne kontrole.
• Uslužni računi i identiteti radnih opterećenja nisu zasebno uređeni.
• Detekcije rizika prijave ne trijažiraju se niti povezuju s incidentima.
• Kontrole sesija nikada se ne testiraju s neupravljanih uređaja.
• Promjene politika provode se izravno u produkcijskom okruženju bez zapisa o promjeni.
• Izuzeća su trajna, nedokumentirana ili usmeno odobrena.
• Dnevnici se čuvaju, ali se ne pregledavaju.
• Dokazima nedostaju metapodaci, kontekst izvora ili lanac nadzora.

Ciljno stanje spremno za 2026. ima upravljanje pristupom odobreno od uprave, dizajn Conditional Accessa temeljen na riziku, izričito mapiranje na ISO/IEC 27001:2022 i ISO/IEC 27002:2022, dokumentiranu potporu za NIS2, DORA i GDPR, snažni MFA prema ulozi i riziku, usklađenost uređaja za osjetljiv pristup, ograničenja sesije za neupravljane kontekste, praćenu autentifikaciju i promjene politika, životni ciklus iznimaka, tromjesečno testiranje i izvješćivanje upravi.

Pretvorite Microsoft Entra u dokaze spremne za reviziju

Vaše politike Conditional Accessa već svake minute donose sigurnosne odluke. Pitanje je jesu li te odluke upravljane, temeljene na riziku, praćene i mapirane na obveze koje zanimaju vaše revizore i regulatore.

Počnite sa Zenith Blueprint Zenith Blueprint, posebno Step 13, kako biste povezali politike Conditional Accessa s rizicima, obradama rizika, Izjavom o primjenjivosti i regulatornim napomenama. Koristite Zenith Controls Zenith Controls za mapiranje kontrole pristupa, sigurne autentifikacije, sigurnosnog stanja krajnjih uređaja, zapisivanja događaja i praćenja kroz ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST i COBIT 2019.

Zatim uskladite svoje interne zahtjeve s politikama Clarysec, uključujući Cloud Usage Policy-sme, Network Security Policy-sme, Logging and Monitoring Policy-sme, Audit and Compliance Monitoring Policy-sme, Application Security Requirements Policy-sme, Cloud Usage Policy, User Account and Privilege Management Policy, Remote Work Policy, Access Control Policy i Logging and Monitoring Policy.

Clarysec vam pomaže pretvoriti Microsoft Entra Conditional Access iz zbirke postavki u provediv, mjerljiv kontrolni sustav spreman za reviziju. Preuzmite relevantne Clarysec alate, zatražite pregled mapiranja politika ili rezervirajte procjenu kako biste provjerili mogu li vaši dokazi za Conditional Access izdržati provjeru prema ISO 27001, NIS2, DORA i GDPR.