Správa a riadenie Microsoft Entra Conditional Access v roku 2026

Je utorok 09:12, keď Maria, CISO rýchlo rastúcej európskej fintech spoločnosti, otvára správu o pripravenosti na DORA, ktorá mala byť rutinná. Jej dashboard Microsoft Entra Conditional Access vyzerá silne. MFA sa vynucuje pre administrátorov. Zastaraná autentifikácia je blokovaná. Vysokorizikové prihlásenia podliehajú dodatočnému overeniu alebo sú zamietnuté. Citlivé finančné aplikácie vyžadujú vyhovujúce zariadenia. Prístup cez prehliadač z nespravovaných koncových zariadení je obmedzený.

Potom si prečíta auditné zistenie.

„Vaše pravidlá Conditional Access sú technicky správne, ale existujú vo vákuu. Ukážte nám politiku schválenú predstavenstvom, ktorá tieto nastavenia vyžaduje. Ukážte nám záznam o zmene pravidla upraveného minulý mesiac. Ukážte nám, že politika pre vysokorizikové prihlásenia bola aktívna počas podozrivého útoku typu credential stuffing. Ukážte nám, ako tieto dôkazy podporujú ISO 27001, DORA, NIS2 a GDPR.“

Tím správy identít vie exportovať konfiguráciu. SOC vie ukázať logy prihlásení. Manažér súladu vie odkázať na priečinok s politikami. Nikto však nevie predložiť jeden ucelený, riadený dôkazový príbeh, ktorý prepája riziko, politiku, schválenie, konfiguráciu, výnimky, monitorovanie, reakciu na incidenty, povinnosti ochrany súkromia a preskúmanie manažmentom.

Toto je problém správy a riadenia Conditional Access v roku 2026.

Microsoft Entra Conditional Access už nie je iba nastavením identity. Je to systém kontrol na úrovni predstavenstva, ktorý rozhoduje, kto môže pristupovať ku cloudovým službám, za akých podmienok, z ktorých zariadení, s akou silou autentifikácie a s akými obmedzeniami relácie. V regulovaných organizáciách musia byť tieto rozhodnutia vysvetliteľné, obhájiteľné a namapované na povinnosti podľa ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST a COBIT 2019.

Conditional Access je dnes overiteľný systém kontrol

Conditional Access sa nachádza na prieniku identity, bezpečnostného stavu zariadenia, citlivosti aplikácie, lokality, rizika prihlásenia, rizika používateľa, správania relácie a logovania. Jedna politika môže vyžadovať MFA, vyžadovať vyhovujúce zariadenie, blokovať prístup z rizikovej lokality, obmedziť sťahovanie z nespravovaných prehliadačov alebo vynútiť opätovnú autentifikáciu pri zmene rizika.

Vďaka tomu ide o jeden z najsilnejších bodov presadzovania princípov zero trust v cloudových prostrediach Microsoft. Zároveň je vysoko auditovateľný.

Podľa ISO/IEC 27001:2022 nie je kontrola zrelá len preto, že existuje v portáli. Organizácia musí rozumieť svojmu kontextu, posúdiť riziká informačnej bezpečnosti, vybrať ošetrenia rizík, zdokumentovať vyhlásenie o uplatniteľnosti (SoA), prevádzkovať kontroly, monitorovať účinnosť a priebežne sa zlepšovať. Relevantné ustanovenia zahŕňajú Clause 6.1.2 pre posúdenie rizík, Clause 6.1.3 pre ošetrenie rizík, Clause 7.5 pre zdokumentované informácie, Clause 8.1 pre plánovanie a riadenie prevádzky, Clause 9.1 pre monitorovanie a Clause 9.3 pre preskúmanie manažmentom.

Príloha A, zosúladená s ISO/IEC 27002:2022, poskytuje praktický jazyk kontrol, ktorý audítori rozpoznajú. Conditional Access bežne podporuje:

• 5.15 riadenie prístupu
• 5.16 správa identít
• 5.17 autentifikačné informácie
• 5.18 prístupové práva
• 8.1 používateľské koncové zariadenia
• 8.2 privilegované prístupové práva
• 8.3 obmedzenie prístupu k informáciám
• 8.5 bezpečná autentifikácia
• 8.15 logovanie
• 8.16 monitorovanie aktivít

Pre organizácie regulované v EÚ je požiadavka na správu a riadenie ešte jednoznačnejšia. NIS2 Article 20 ukladá riadiacim orgánom zodpovednosť schvaľovať opatrenia riadenia kybernetických rizík a dohliadať na ne. NIS2 Article 21 vyžaduje primerané a proporcionálne technické, prevádzkové a organizačné opatrenia vrátane riadenia prístupu, správy aktív, kybernetickej hygieny, riešenia incidentov, bezpečnosti dodávateľského reťazca, posudzovania účinnosti a viacfaktorovej alebo priebežnej autentifikácie tam, kde je to vhodné. NIS2 Article 23 zavádza postupné hlásenie významných incidentov vrátane včasného varovania do 24 hodín, oznámenia incidentu do 72 hodín a záverečnej správy do jedného mesiaca.

DORA stanovuje podobné očakávania pre finančné subjekty. Article 5 vyžaduje interný rámec správy, riadenia a kontroly. Article 6 vyžaduje rámec riadenia rizík IKT. Article 9 sa týka ochrany a prevencie vrátane obmedzení prístupu a postupov správy identít. Articles 10, 11, 17, 18 a 19 prepájajú detekciu, reakciu, obnovu, riadenie incidentov IKT, klasifikáciu a vykazovanie. Keďže DORA sa uplatňuje od 17. januára 2025, finančné subjekty majú Conditional Access považovať za súčasť dôkazov prevádzkovej odolnosti, nielen za posilnenie zabezpečenia identity.

GDPR pridáva pohľad ochrany súkromia. Ak Conditional Access chráni systémy, ktoré spracúvajú osobné údaje, podporuje zásady zodpovednosti podľa Article 5, zodpovednosť prevádzkovateľa podľa Article 24, ochranu údajov už od návrhu podľa Article 25 a bezpečnosť spracúvania podľa Article 32. Ak existuje podozrenie na neoprávnený prístup, logy Conditional Access sa môžu stať súčasťou dôkazov pre posúdenie porušenia ochrany osobných údajov a oznámenie.

Chybou je zaobchádzať s týmito požiadavkami ako s oddelenými auditnými požiadavkami. Zrelý prístup predstavuje jeden model správy a riadenia Conditional Access, ktorý možno rozdeliť podľa rámca, regulátora, zákazníka alebo publika na úrovni predstavenstva.

Konfigurácia nie je správa a riadenie

Väčšina organizácií vie odpovedať na otázku: „Čo je nakonfigurované?“ Menej z nich vie odpovedať na náročnejšie otázky:

• Prečo je táto politika Conditional Access nakonfigurovaná práve takto?
• Ktorý rizikový scenár ošetruje?
• Ktorá kapitola politiky ju vyžaduje?
• Kto schválil zmenu?
• Ktorí používatelia, aplikácie a zariadenia sú vylúčené?
• Ako sa testuje?
• Ktoré logy dokazujú, že fungovala?
• Ako často sa preskúmava?
• Čo sa stane, keď zlyhá?

Práve tu sa zvyčajne objavujú auditné zistenia. Politiky existujú, ale nie sú prepojené s nastaveniami Microsoft Entra. Súlad zariadení vlastní prevádzka IT, ale nie je namapovaný na riziko riadenia prístupu. Politiky rizika prihlásenia sú zapnuté bez zdokumentovaných prahových hodnôt alebo pravidiel eskalácie. Obmedzenia relácií sú nakonfigurované, ale nikdy sa netestovali z nespravovaných zariadení. Logy sa uchovávajú, ale nie sú pripravené ako použiteľné auditné dôkazy.

Clarysec k tomu pristupuje ako k problému sledovateľnosti. Každé rozhodnutie Conditional Access má prepájať politiku, riziko, kontrolu, konfiguráciu, dôkazy a preskúmanie.

Politika používania cloudových služieb pre MSP Politika používania cloudových služieb pre MSP uvádza:

Viacfaktorová autentifikácia (MFA) pre administrátorské a používateľské účty

Zo sekcie „Požiadavky na implementáciu politiky“, bod politiky 6.2.2.

Tento bod je mandátom. Pravidlo Conditional Access je uplatnením. Log prihlásenia je dôkazom. Záznam o preskúmaní dokazuje dohľad.

Politika bezpečnosti sietí pre MSP Politika bezpečnosti sietí pre MSP pridáva požiadavku na bezpečnostný stav koncových zariadení:

Systémy bez aktuálneho antivírusového softvéru, záplat alebo prijateľného bezpečnostného stavu zariadenia musia byť zablokované alebo presunuté do karantény

Zo sekcie „Požiadavky na implementáciu politiky“, bod politiky 6.4.3.

V terminológii Microsoft Entra sa to môže premietnuť do požiadavky „vyžadovať vyhovujúce zariadenie“, „blokovať nepodporované platformy“, „obmedziť relácie nespravovaných prehliadačov“ alebo „zamietnuť prístup k vysokorizikovým aplikáciám z neznámych zariadení“. Kontrola však nie je úplná, kým organizácia nevie preukázať rozsah, schválenie, testovanie, výnimky a monitorovanie.

Vybudujte základ správy a riadenia pred sadou pravidiel

Silný program Conditional Access začína mimo portálu Entra. Začína systémom ISMS, registrom rizík, politikou riadenia prístupu, politikou používania cloudových služieb, SoA a modelom dôkazov.

Clarysec Zenith Blueprint: 30-kroková audítorská cestovná mapa Zenith Blueprint poskytuje praktickú postupnosť. Vo fáze riadenia rizík, krok 13, plánovanie ošetrenia rizík a vyhlásenie o uplatniteľnosti, organizáciám odporúča prepojiť kontroly s rizikami a regulačnými faktormi:

Krížovo odkazujte na predpisy: Ak sa určité kontroly implementujú osobitne na dosiahnutie súladu s GDPR, NIS2 alebo DORA, môžete to uviesť buď v registri rizík (ako súčasť odôvodnenia dopadu rizika), alebo v poznámkach k SoA.

Pre Conditional Access to mení dôkazový príbeh. Namiesto tvrdenia „Zapli sme MFA“ môže organizácia uviesť:

• Rizikový scenár: Kompromitované používateľské poverenia umožnia neoprávnený prístup k údajom zákazníkov v Microsoft 365 a finančnom SaaS.
• Vlastník rizika: Vedúci bezpečnosti IT.
• Ošetrenie: Entra Conditional Access vyžaduje silné MFA pre privilegované roly, MFA pre používateľov, blokovanie rizikového prihlásenia, vyhovujúce zariadenia pre citlivé aplikácie a obmedzenia relácií pre nespravované koncové zariadenia.
• Mapovanie ISO/IEC 27002:2022: 5.15, 5.16, 5.17, 5.18, 8.1, 8.2, 8.3, 8.5, 8.15 a 8.16.
• Regulačné mapovanie: NIS2 Articles 20, 21 a 23, DORA Articles 5, 6, 9, 10, 17 a 18, GDPR Articles 24, 25, 32 a 33.
• Dôkazy: schválenie politiky, export Conditional Access, tiket zmeny, výsledky testov, logy prihlásení, reporty o súlade zariadení, register výnimiek, tikety SOC a zápisnice z preskúmania manažmentom.

Zenith Blueprint vo fáze Kontroly v praxi, krok 19, vysvetľuje aj to, prečo bezpečnostný stav koncového zariadenia patrí do rozhodnutia o prístupe:

Prístup k informáciám prostredníctvom koncových bodov musí zohľadňovať kontext. Spĺňa zariadenie napríklad minimálne bezpečnostné požiadavky pred prístupom k zdrojom spoločnosti? Prešlo nedávno skenom na malvér? Pripája sa z nezvyčajnej lokality alebo siete? Pri integrácii so zásadami zero trust môže bezpečnostný stav koncového bodu vstupovať do conditional access a odmietnuť vstup, kým zariadenie nepreukáže, že je bezpečné.

Toto je základná zásada správy a riadenia. Conditional Access má byť založený na riziku, zohľadňovať kontext a vytvárať dôkazy.

Mapujte rozhodnutia Conditional Access na ciele kontrol

Zrelý program definuje štandardné prístupové rozhodnutia a následne každé z nich mapuje na zámer správy a riadenia a dôkazy. Tým sa predchádza nekontrolovanému rozrastaniu politík a zjednodušujú sa auditné rozhovory.

Podniková Politika používania cloudových služieb Politika používania cloudových služieb podporuje integráciu centrálnej identity:

Integrácia Single Sign-On (SSO) s IdP organizácie sa vyžaduje na zabezpečenie konzistentnosti autentifikácie.

Zo sekcie „Požiadavky na implementáciu politiky“, bod politiky 6.2.4.

Podniková Politika správy používateľských účtov a oprávnení Politika správy používateľských účtov a oprávnení explicitne vyžaduje monitorovanie:

Používanie systémov Single Sign-On (SSO) musí byť integrované s centrálnymi poskytovateľmi identít (napr. Active Directory (AD), Azure AD) a monitorované z hľadiska anomálnej prihlasovacej aktivity.

Zo sekcie „Požiadavky na implementáciu politiky“, bod politiky 6.3.4.

Spoločne tieto body vyžadujú viac než SSO. Vyžadujú centrálnu architektúru identity, konzistentnú autentifikáciu, monitorovanie anomálií prihlásenia a dôkazy, že rozhodnutia o prístupe sa preskúmavajú.

Súlad zariadení: kontrola, ktorú audítori vedia otestovať

Súlad zariadení patrí medzi oblasti, ktoré sa najľahšie nadhodnocujú. Dashboard môže ukazovať 92 % vyhovujúcich zariadení, ale audítor sa opýta, či sa pravidlo uplatňuje na aplikácie, na ktorých záleží, či sú povolené súkromné zariadenia, či sú blokované nepodporované platformy a či sú výnimky schválené.

Podniková Politika práce na diaľku Politika práce na diaľku stanovuje východiskovú úroveň schválenia:

BYOD zariadenia musia byť výslovne schválené a:

Zo sekcie „Požiadavky na správu a riadenie“, bod politiky 5.2.2.

Táto krátka veta je dôležitá. BYOD nie je len technický stav. Je to rozhodnutie správy a riadenia. V Conditional Access sa má premietnuť do pravidiel vlastníctva zariadení, minimálnych referenčných úrovní súladu, požiadaviek na šifrovanie, kontrol záplatovania a ochrany pred malvérom, ochrany mobilných aplikácií, zaobchádzania s dodávateľmi a preskúmania výnimiek.

Clarysec Zenith Controls: príručka pre viacnásobný súlad Zenith Controls mapuje kontrolu ISO/IEC 27002:2022 5.15 riadenie prístupu ako preventívnu kontrolu chrániacu dôvernosť, integritu a dostupnosť v rámci prevádzkovej spôsobilosti správy identít a prístupu. Riadenie prístupu zároveň prepája s používateľskými koncovými zariadeniami, pretože nespravované notebooky, mobilné zariadenia a desktopy môžu oslabiť centralizované presadzovanie prístupu.

Praktický štvrťročný dôkazový balík pre zariadenia v Conditional Access má obsahovať:

• Schválenú referenčnú úroveň súladu zariadení.
• Politiky Conditional Access vyžadujúce vyhovujúce zariadenia.
• Aplikácie chránené týmito politikami.
• Export vylúčených používateľov, skupín, aplikácií a platforiem.
• Trendový report nevyhovujúcich zariadení.
• Vzorky logov blokovaných prihlásení pre nevyhovujúce zariadenia.
• Register výnimiek s vlastníkom, dôvodom, dátumom skončenia platnosti a akceptáciou rizika.
• Záznam z preskúmania manažmentom.

Tento dôkazový balík podporuje riadenie prevádzky podľa ISO/IEC 27001:2022, kybernetickú hygienu podľa NIS2, ochranu a prevenciu podľa DORA a zodpovednosť podľa GDPR.

Riziko prihlásenia: detekcia sa musí stať dôkazom rozhodnutia

Conditional Access založený na riziku je miestom, kde sa detekcia identity mení na správu a riadenie prístupu. Microsoft Entra vie vyhodnocovať signály, ako sú neznáme vlastnosti prihlásenia, anonymné IP adresy, nemožné cestovanie a uniknuté poverenia. Audítori však neprijmú „riziková politika je zapnutá“ ako konečnú odpoveď. Budú sa pýtať, prečo boli vybraté konkrétne prahové hodnoty, kto preskúmava rizikové udalosti a kedy sa vysokorizikové prihlásenie stáva incidentom.

Politika logovania a monitorovania pre MSP Politika logovania a monitorovania pre MSP definuje minimálnu požiadavku na logovanie:

Autentifikačné logy: úspešné a neúspešné pokusy o prihlásenie, trvanie relácie, používanie MFA

Zo sekcie „Požiadavky na správu a riadenie“, bod politiky 5.4.2.

Podniková Politika logovania a monitorovania Politika logovania a monitorovania rozširuje očakávaný rozsah udalostí:

Typy udalostí, ktoré sa majú zachytávať (napr. prihlásenia, zlyhania prístupu, zmeny konfigurácie, administrátorské príkazy, detekcia malvéru)

Zo sekcie „Požiadavky na správu a riadenie“, bod politiky 5.1.1.

Pre Conditional Access majú užitočné dôkazy zahŕňať úspešné prihlásenia, neúspešné prihlásenia, výsledok politiky Conditional Access, metódu MFA, riziko prihlásenia, riziko používateľa, stav súladu zariadenia, aplikáciu, ku ktorej sa pristupovalo, lokalitu, klientsku aplikáciu, výsledok riadenia relácie, históriu zmien politiky a administrátorské akcie.

Zenith Controls mapuje kontrolu ISO/IEC 27002:2022 8.16 monitorovanie aktivít ako detekčnú a nápravnú kontrolu súvisiacu s konceptmi Detect a Respond. Prepája monitorovanie s logovaním, posudzovaním udalostí, spravodajstvom o hrozbách, monitorovaním dodávateľov a riadením incidentov. Zároveň mapuje monitorovanie aktivít na GDPR Articles 32 a 33, monitorovanie a hlásenie incidentov podľa NIS2, evidenciu incidentov IKT podľa DORA, priebežné monitorovanie podľa NIST a monitorovanie bezpečnosti podľa COBIT.

Vysokorizikové prihlásenie zablokované cez Conditional Access preto nie je len bezpečnostným úspechom. Je dôkazom, že preventívne, detekčné a reakčné procesy sú prepojené.

Riadenie relácií: prepojenie medzi prístupom a ochranou údajov

Rozhodnutia pred prístupom nestačia. Po autentifikácii používateľa riadenie relácií určuje, aká expozícia zostáva. Je to obzvlášť dôležité pri nespravovaných zariadeniach, dodávateľoch, práci na diaľku, zdieľaných termináloch, rizikových lokalitách a aplikáciách spracúvajúcich osobné údaje.

Politika požiadaviek na bezpečnosť aplikácií pre MSP Politika požiadaviek na bezpečnosť aplikácií pre MSP uvádza:

Riadenie relácií: údaje relácie musia vypršať po 15 minútach nečinnosti a tam, kde je to vhodné, musia zahŕňať upozornenia na blížiace sa ukončenie relácie.

Zo sekcie „Požiadavky na implementáciu politiky“, bod politiky 6.1.1.3.

V správe a riadení Microsoft Entra sa to môže mapovať na frekvenciu prihlásenia, obmedzenia trvalých relácií prehliadača, Conditional Access App Control, obmedzenia vynucované aplikáciou, blokovanie sťahovania, opätovnú autentifikáciu po zmene rizika a obmedzenia relácií založené na citlivosti.

Riadenie relácií podporuje kontrolu ISO/IEC 27002:2022 8.3 obmedzenie prístupu k informáciám a 8.5 bezpečnú autentifikáciu. Podporuje aj GDPR Article 32 tým, že znižuje neoprávnené zobrazenie, sťahovanie alebo pretrvávanie prístupu k osobným údajom. Pre DORA pomáhajú obmedzenia relácií znižovať expozíciu v systémoch IKT a podporujú detekciu a reakciu. Pre NIS2 ide o primerané opatrenia riadenia prístupu a kybernetickej hygieny.

Dôkazy majú vysvetľovať, prečo dané riadenie relácie existuje. Napríklad „blokovať sťahovanie z nespravovaných zariadení pre HR a finančné aplikácie“ sa má mapovať na únik osobných údajov, kompromitáciu koncového zariadenia a stratu dôvernosti. Dôkazy majú zahŕňať konfiguráciu, rozsah aplikácií, testovacie prihlásenia zo spravovaných a nespravovaných zariadení, logy preukazujúce obmedzenia a záznamy o schválení.

Vytvorte register kontrol Conditional Access

Register kontrol Conditional Access je prevádzkovým premostením medzi registrom rizík, vyhlásením o uplatniteľnosti a konfiguráciou Microsoft Entra. Nenahrádza tieto dokumenty. Robí ich použiteľnými.

Použite päťkrokový cyklus preskúmania:

1. Potvrďte rozsah: Identifikujte cloudové aplikácie spracúvajúce regulované, finančné, prevádzkové alebo osobné údaje.
2. Mapujte politiky na riziká: Prepojte každú politiku Conditional Access aspoň s jedným rizikovým scenárom a jedným vlastníkom rizika.
3. Overte výnimky: Exportujte vylúčených používateľov, roly, aplikácie, skupiny, lokality a zariadenia. Každá výnimka potrebuje vlastníka, dôvod, schválenie a dátum skončenia platnosti.
4. Otestujte presadzovanie: Pomocou testovacích účtov overte MFA, súlad zariadení, blokovanie rizika, blokovanie zastaranej autentifikácie a obmedzenia relácií.
5. Zabaľte dôkazy: Uložte exporty, snímky obrazovky, logy a schválenia spolu s metadátami.

Politika monitorovania auditov a súladu pre MSP Politika monitorovania auditov a súladu pre MSP je kľúčová pre integritu dôkazov:

Metadáta (napr. kto ich zhromaždil, kedy a z ktorého systému) musia byť zdokumentované.

Zo sekcie „Požiadavky na implementáciu politiky“, bod politiky 6.2.3.

Snímky obrazovky bez zdroja, dátumu, osoby, ktorá ich zozbierala, a systémového kontextu sú slabým dôkazom. Exporty Conditional Access, logy prihlásení a správy z preskúmania sa majú považovať za riadené auditné záznamy.

Mapovanie dôkazov Conditional Access na viacnásobný súlad

Hodnota Conditional Access spočíva v tom, že jedna sada kontrol môže pri správnom riadení uspokojiť viacero auditných pohľadov.

Zenith Controls mapuje 5.15 riadenie prístupu aj na GDPR Article 32, NIS2 Article 21(2)(i), koncepty správy prístupu podľa DORA, rodiny riadenia prístupu podľa NIST SP 800-53 a COBIT 2019 DSS06.04. Mapuje 8.5 bezpečnú autentifikáciu na GDPR Articles 5, 24, 25 a 32, riadenie kybernetických rizík podľa NIS2, riadenie rizík IKT podľa DORA, identifikáciu a autentifikáciu podľa NIST a identitu a logický prístup podľa COBIT.

Poučenie je jednoduché. Rámce používajú odlišný jazyk, ale očakávajú rovnaký vzor uistenia: správni používatelia, z prijateľných kontextov, so silnou autentifikáciou, cez riadené relácie a s logmi preukazujúcimi, čo sa stalo.

Ako budú audítori skúmať Conditional Access

Audítor ISO/IEC 27001:2022 začne systémom ISMS. Bude sa pýtať, či je Conditional Access v rozsahu, ktoré riziká ošetruje, ako sa objavuje v SoA, ako sa schvaľujú politiky, ako sa riadia zmeny a či dôkazy preukazujú prevádzkovú účinnosť. Očakávajte vzorkovanie privilegovaných používateľov, citlivých aplikácií, výnimiek a nedávnych zmien politík.

Audítor DORA alebo NIS2 sa zameria na prevádzkovú odolnosť, zodpovednosť manažmentu a riziko. Môže sa pýtať, ako kontroly prístupu chránia kritické alebo dôležité funkcie, ako predstavenstvo dohliada na riziko identity, ako sa triedia vysokorizikové prihlásenia a či zlyhania prístupu vstupujú do klasifikácie incidentov alebo rozhodnutí o hlásení.

Audítora zameraného na GDPR budú zaujímať osobné údaje. Môže sa pýtať, ako sú údaje HR, financií alebo zákazníkov chránené pred nespravovanými zariadeniami, ako riadenie relácií znižuje neoprávnené zobrazenie, ako je prístup obmedzený na oprávnených používateľov a ako logy podporujú posúdenie porušenia ochrany osobných údajov.

Hodnotiteľ COBIT 2019 bude hľadať postupy správy a riadenia, vlastníctvo, metriky, opakovateľnosť, monitorovanie výkonnosti a zlepšovanie. Posudzovateľ orientovaný na NIST porovná výsledky v oblasti identity, autentifikácie, autorizácie, monitorovania a reakcie s technickými dôkazmi.

Podniková Politika riadenia prístupu Politika riadenia prístupu nastavuje štandard pre privilegovaný prístup:

Administrátorský prístup musí byť prísne riadený prostredníctvom:

Zo sekcie „Požiadavky na správu a riadenie“, bod politiky 5.4.1.

Vaše dôkazy z Microsoft Entra musia túto vetu prevádzkovo doplniť. Ktoré roly sú privilegované? Ktoré vyžadujú MFA odolné voči phishingu alebo silné MFA? Ktoré sú oprávnené prostredníctvom správy privilegovaných identít? Ktoré účty sú núdzové účty „break glass“? Ktoré sú vylúčené z politík? Kto ich preskúmava? Kam sa odosielajú upozornenia?

Metriky pre predstavenstvo k správe a riadeniu Conditional Access

Keďže NIS2 a DORA zdôrazňujú zodpovednosť manažmentu, vykazovanie Conditional Access má byť zrozumiteľné pre predstavenstvo. Nevykazujte iba názvy politík. Vykazujte rizikový profil a výkonnosť kontrol.

Užitočné metriky zahŕňajú:

• Percento privilegovaných účtov chránených silným MFA.
• Počet výnimiek Conditional Access podľa rizikovej úrovne.
• Počet vysokorizikových prihlásení, ktoré boli zablokované, podrobené dodatočnému overeniu alebo povolené.
• Percento prístupov k citlivým aplikáciám vyžadujúcich vyhovujúce zariadenia.
• Počet relácií z nespravovaných zariadení do regulovaných aplikácií.
• Čas do triáže vysokorizikových prihlasovacích udalostí.
• Počet zmien politík Conditional Access za štvrťrok.
• Počet uplynutých, obnovených a oneskorených výnimiek.
• Pokrytie logovania autentifikácie, relácií a zmien politík.
• Neúspešné testovacie prípady zo štvrťročného overenia Conditional Access.

Tieto metriky menia konfiguráciu identity na dôkazy dohľadu. Zároveň pomáhajú riadiacim orgánom preukázať schvaľovanie, preskúmanie, zabezpečenie zdrojov a neustále zlepšovanie.

Bežné zistenia, ktoré treba odstrániť pred auditom

Zistenia týkajúce sa Conditional Access zvyčajne vyplývajú zo slabín správy a riadenia, nie zo zlyhania technológie. Medzi najčastejšie problémy patria:

• Núdzové účty „break glass“ sú vylúčené, ale nie monitorované.
• Politiky sú pomenované nekonzistentne a nemajú vlastníkov.
• Citlivé aplikácie chýbajú v pravidlách súladu zariadení.
• Hosťovskí používatelia a externí spolupracovníci obchádzajú štandardné kontroly.
• Servisné účty a identity pracovných záťaží nie sú riadené samostatne.
• Detekcie rizika prihlásenia sa netriedia alebo nie sú prepojené s incidentmi.
• Riadenie relácií sa nikdy netestuje z nespravovaných zariadení.
• Zmeny politík sa vykonávajú priamo v produkčnom prostredí bez záznamov o zmenách.
• Výnimky sú trvalé, nezdokumentované alebo schválené ústne.
• Logy sa uchovávajú, ale nepreskúmavajú.
• Dôkazom chýbajú metadáta, zdrojový kontext alebo reťazec zverenia.

Cieľový stav pripravený na rok 2026 zahŕňa správu a riadenie prístupu schválené manažmentom, návrh Conditional Access založený na riziku, explicitné mapovanie na ISO/IEC 27001:2022 a ISO/IEC 27002:2022, zdokumentovanú podporu NIS2, DORA a GDPR, silné MFA podľa roly a rizika, súlad zariadení pre citlivý prístup, obmedzenia relácií pre nespravované kontexty, monitorovanú autentifikáciu a zmeny politík, životný cyklus výnimiek, štvrťročné testovanie a manažérske vykazovanie.

Premeňte Microsoft Entra na dôkazy pripravené na audit

Vaše politiky Conditional Access už každú minútu robia bezpečnostné rozhodnutia. Otázkou je, či sú tieto rozhodnutia riadené, založené na riziku, monitorované a namapované na povinnosti, ktoré zaujímajú vašich audítorov a regulátorov.

Začnite s Zenith Blueprint Zenith Blueprint, najmä krokom 13, aby ste prepojili politiky Conditional Access s rizikami, ošetreniami, vyhlásením o uplatniteľnosti a regulačnými poznámkami. Použite Zenith Controls Zenith Controls na mapovanie riadenia prístupu, bezpečnej autentifikácie, bezpečnostného stavu koncových zariadení, logovania a monitorovania naprieč ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIS2, DORA, GDPR, NIST a COBIT 2019.

Následne zosúlaďte svoje interné požiadavky s politikami Clarysec vrátane Politiky používania cloudových služieb pre MSP, Politiky bezpečnosti sietí pre MSP, Politiky logovania a monitorovania pre MSP, Politiky monitorovania auditov a súladu pre MSP, Politiky požiadaviek na bezpečnosť aplikácií pre MSP, Politiky používania cloudových služieb, Politiky správy používateľských účtov a oprávnení, Politiky práce na diaľku, Politiky riadenia prístupu a Politiky logovania a monitorovania.

Clarysec vám pomáha premeniť Microsoft Entra Conditional Access zo zbierky nastavení na presadzovaný, merateľný systém kontrol pripravený na audit. Stiahnite si príslušné sady nástrojov Clarysec, požiadajte o preskúmanie mapovania politík alebo si rezervujte posúdenie, aby ste zistili, či vaše dôkazy Conditional Access obstoja pri kontrole podľa ISO 27001, NIS2, DORA a GDPR.