...

Součást WeGrow Group

Poděbradská 206/57, Praha 9 – Hloubětín, 198 00

Přezkoumání přístupu (Access Reviews) v Microsoft Entra ID pro malé firmy 2026

Přezkoumání přístupu (Access Reviews) v Microsoft Entra ID pro malé firmy 2026

RYCHLÁ IT POMOC DOMA NEBO VE FIRMĚ🧑‍💻

Pomohli jsme 63 klientům za poslední měsíc

Zákazníci hodnotí naše služby 4,8/5 ⭐️⭐️⭐️⭐️⭐️ na Google

Kdo všechno má dnes ve vaší firmě přístup ke sdíleným složkám, k účetnímu systému nebo do Microsoft 365? Pokud odpovídáte „to bych musel dohledat”, nejste sami. Ve většině malých firem se oprávnění roky přidávají, ale skoro nikdy neubírají. Bývalý brigádník je pořád ve skupině, externí účetní vidí do sdíleného disku, nový kolega dostal přístup „pro jistotu” i tam, kam nemá co koukat. Přezkoumání přístupu (Access Reviews) v Microsoft Entra ID je nástroj, který tenhle nepořádek pravidelně uklidí – automaticky se zeptá správných lidí, jestli daný přístup ještě někdo potřebuje. V tomto průvodci si vysvětlíme, co Access Reviews jsou, proč je potřebuje i malá firma a jak je nastavit krok za krokem.

Co je přezkoumání přístupu (Access Reviews)

Přezkoumání přístupu je funkce v rámci Microsoft Entra ID (dříve Azure AD), konkrétně součást sady Entra ID Governance. Umožňuje pravidelně a řízeně ověřovat, zda uživatelé stále potřebují přístup, který mají – ať už jde o členství ve skupině, přístup k aplikaci, administrátorskou roli nebo účet externího hosta.

Princip je jednoduchý: firma si nadefinuje, co se má přezkoumat, kdo to má posoudit a jak často. Systém pak v daných intervalech automaticky rozešle recenzentům žádost, oni u každého uživatele kliknou na „ponechat” nebo „odebrat” a Entra ID podle výsledku přístup buď zachová, nebo odebere. Odpadá tak ruční procházení seznamů v Excelu.

Jednoduchá analogie: je to jako pravidelná inventura. Jednou za čas projdete regály a zjistíte, co tam skutečně má být a co se tam za rok jen tak nahromadilo. Access Reviews dělají přesně tuhle inventuru s přístupovými právy.

Proč pravidelné přezkoumání přístupu potřebuje i malá firma

Panuje představa, že řízení oprávnění je téma jen pro korporace se stovkami zaměstnanců. Opak je pravdou. Právě malé firmy mají přístupy nejméně pod kontrolou – nikdo nemá čas je hlídat a všechno drží jeden dva lidé v hlavě.

Hlavní důvody, proč přezkoumání přístupu zavést:

  • Hromadění oprávnění (privilege creep). Zaměstnanci mění pozice, zapojují se do projektů a sbírají práva, která už dávno nepotřebují. Nikdo je ale zpětně neodebere.
  • Nedokončený offboarding. Odchod kolegy se řeší ve spěchu. Hlavní účet se zablokuje, ale členství v desítce skupin a sdílených schránkách zůstane. Kvalitní offboarding zaměstnance je bez pravidelné kontroly přístupů neúplný.
  • Externí hosté. Sdílíte dokumenty s dodavateli, účetní nebo agenturou přes B2B pozvánky. Spolupráce dávno skončila, ale hostovský účet má pořád přístup.
  • Bezpečnostní riziko. Podle Verizon Data Breach Investigations Report stojí za značnou částí incidentů zneužité přihlašovací údaje a nadměrná oprávnění. Čím méně lidí má přístup, tím menší je útočná plocha.
  • Soulad s pravidly a GDPR. Princip minimálních oprávnění (least privilege) je základ. Pravidelné přezkoumání je zároveň doklad, že přístupy aktivně řídíte.

Co všechno lze přezkoumat

Access Reviews v Microsoft Entra ID zvládnou přezkoumat několik typů přístupu. Pro malou firmu jsou klíčové zejména tyto:

Členství ve skupinách

Nejčastější scénář. Firma řídí přístup k SharePointu, sdíleným složkám nebo aplikacím přes bezpečnostní skupiny a skupiny Microsoft 365. Přezkoumání ověří, jestli všichni členové skupiny do ní stále patří.

Přístup k aplikacím

Ověříte, kdo má přiřazený přístup ke konkrétní podnikové aplikaci propojené s Entra ID – například k CRM, docházkovému systému nebo cloudové službě.

Role v Entra ID a v PIM

Zvlášť citlivé jsou administrátorské role. Přezkoumání přístupu se skvěle doplňuje s Privileged Identity Managementem (PIM) – zatímco PIM zajistí, že admin práva jsou jen dočasná, Access Reviews pravidelně potvrdí, že daný člověk má být vůbec „způsobilý” roli používat.

Externí hosté (B2B)

Samostatný typ přezkoumání se zaměřuje na hostovské účty. Můžete nechat hosty i sami potvrdit, zda přístup ještě potřebují – pokud nereagují, systém je automaticky odebere.

Jak přezkoumání přístupu funguje krok za krokem

Životní cyklus jednoho přezkoumání vypadá takto:

  1. Definice. Určíte předmět (skupina, aplikace, role), recenzenta a periodicitu (jednorázově, měsíčně, čtvrtletně).
  2. Notifikace. V daný okamžik systém automaticky pošle recenzentovi e-mail s odkazem na jednoduchý přehled.
  3. Rozhodnutí. Recenzent u každého uživatele zvolí „schválit” nebo „zamítnout”. Volitelně vidí i doporučení systému založené na tom, kdy se uživatel naposledy přihlásil.
  4. Aplikace výsledku. Po uzavření se rozhodnutí buď provede automaticky (odebrání přístupu), nebo počká na ruční potvrzení – podle nastavení.
  5. Záznam. Vše se uloží do historie, takže máte doložitelný audit, kdo, kdy a co schválil.

Chytrá vychytávka: můžete nastavit, co se stane, když recenzent nerozhodne (tzv. „if reviewers don’t respond”) – nechat přístup beze změny, nebo ho raději odebrat. Pro citlivá data je bezpečnější volit odebrání.

Jak nastavit přezkoumání přístupu – návod

Zjednodušený postup pro přezkoumání členství ve skupině:

1. Otevřete Entra ID Governance

V Microsoft Entra admin centru přejděte do sekce Identity Governance → Access Reviews. Klikněte na New access review.

2. Vyberte, co přezkoumat

Jako typ zvolte Teams + Groups a vyberte konkrétní skupinu, případně rovnou všechny hostovské uživatele napříč skupinami.

3. Nastavte recenzenta a frekvenci

Recenzentem může být vlastník skupiny, konkrétní osoba (např. jednatel nebo IT správce), nebo sami uživatelé. Zvolte periodicitu – pro malou firmu se osvědčí čtvrtletní cyklus.

4. Určete výsledek a upozornění

Zapněte automatické provedení výsledků, nastavte reakci na chybějící odpověď a volitelně zobrazení doporučení podle poslední aktivity. Přezkoumání pojmenujte srozumitelně (např. „Q3 – sdílené složky účetnictví”).

5. Spusťte a monitorujte

Po dokončení přezkoumání najdete v přehledu, kolik přístupů bylo ponecháno a kolik odebráno. Historii lze kdykoli exportovat pro potřeby auditu nebo firemního IT auditu.

Jak Access Reviews zapadají do zabezpečení firmy

Tři pilíře řízení přístupu: Conditional Access, PIM a Access Reviews v Microsoft Entra ID
Podmíněný přístup, PIM a Access Reviews tvoří jádro modelu Zero Trust.

Přezkoumání přístupu není osamocený nástroj – je součástí širšího přístupu k identitám a bezpečnosti Microsoft 365. Nejlépe funguje ve trojici:

  • Podmíněný přístup hlídá, za jakých podmínek se lze přihlásit (viz Conditional Access).
  • PIM hlídá, na jak dlouho člověk získá administrátorská práva.
  • Access Reviews hlídají, jestli daný přístup vůbec ještě má smysl.

Dohromady tvoří jádro modelu Zero Trust, kde se nikomu nedůvěřuje automaticky a každý přístup se pravidelně ověřuje. Zavedení Access Reviews navíc přímo zvyšuje vaše Microsoft Secure Score.

Licencování a předpoklady

Přezkoumání přístupu je součástí Microsoft Entra ID Governance a vyžaduje licenci Microsoft Entra ID P2 (dříve Azure AD Premium P2) pro každého člověka zapojeného do přezkoumání. Přesné licenční požadavky popisuje oficiální dokumentace Microsoftu.

Licence P2 je součástí balíčku Microsoft 365 E5, nebo ji lze dokoupit samostatně. Pokud řešíte, jaký plán se vaší firmě vyplatí, může pomoci srovnání Microsoft 365 Business Premium vs Standard – i když plná funkčnost Access Reviews vyžaduje právě P2, ne samotný Business Premium.

Nejčastější chyby při zavádění

  • Jednorázové přezkoumání místo pravidelného. Přístupy zastarávají neustále. Skutečnou hodnotu má až opakující se cyklus.
  • Špatně zvolený recenzent. Když necháte rozhodovat člověka, který skupinu nezná, jen naslepo vše schválí. Recenzentem má být ten, kdo přístup reálně přiděluje.
  • Ignorování hostů. Externí účty jsou nejrizikovější a přitom se na ně nejsnáz zapomíná. Nastavte pro ně samostatné přezkoumání.
  • Nevyužití doporučení. Systém umí navrhnout odebrání účtů, které se dlouho nepřihlásily. Tato data recenzentům výrazně ušetří čas.

Doporučený postup pro malou firmu

Nemusíte zavádět všechno najednou. Osvědčený start:

  1. Zapněte čtvrtletní přezkoumání všech hostovských účtů – rychlá výhra s velkým bezpečnostním dopadem.
  2. Přidejte přezkoumání skupin s přístupem k nejcitlivějším datům (účetnictví, HR, vedení).
  3. Propojte přezkoumání s administrátorskými rolemi a PIM.
  4. Postupně rozšiřte na zbylé skupiny a aplikace.

Nastavení není složité, ale vyplatí se ho promyslet – špatně zvolení recenzenti nebo příliš agresivní automatické odebírání dokážou nadělat víc škody než užitku. Pokud si nejste jistí, rádi vám s návrhem i nasazením pomůžeme.

Časté dotazy (FAQ)

Jaký je rozdíl mezi Access Reviews a PIM?

PIM řídí, na jak dlouho a za jakých podmínek získá uživatel administrátorská oprávnění (dočasná, just-in-time aktivace). Access Reviews naopak pravidelně ověřují, zda má daný člověk vůbec být oprávněný k roli, skupině nebo aplikaci. Oba nástroje se doplňují.

Jakou licenci potřebuji pro přezkoumání přístupu?

Přezkoumání přístupu vyžaduje licenci Microsoft Entra ID P2 (součást Microsoft 365 E5 nebo balíčku Entra ID Governance) pro každého uživatele zapojeného do přezkoumání.

Jak často by se mělo přezkoumání provádět?

Pro většinu malých firem je optimální čtvrtletní cyklus u běžných skupin a měsíční u nejcitlivějších přístupů a administrátorských rolí. Jednorázové přezkoumání má smysl jako první úklid.

Co se stane, když recenzent nerozhodne?

Reakci na chybějící odpověď si nastavíte předem. Můžete přístup ponechat beze změny, nebo ho automaticky odebrat. U citlivých dat je bezpečnější volit odebrání.

Zvládne malá firma nastavit Access Reviews sama?

Ano, základní přezkoumání skupiny nebo hostů nastavíte během několika minut. U složitějších scénářů (více rolí, návaznost na PIM a Conditional Access) se vyplatí konzultace s IT partnerem, aby nastavení dávalo smysl jako celek.

Závěr

Přezkoumání přístupu (Access Reviews) v Microsoft Entra ID promění chaotické hromadění oprávnění v řízený a doložitelný proces. Pro malou firmu je to jeden z nejúčinnějších a přitom nejlevnějších způsobů, jak snížit bezpečnostní riziko – stačí pravidelně ověřovat, kdo skutečně potřebuje přístup ke kterým datům a rolím. Ve spojení s PIM a podmíněným přístupem tvoří pevný základ moderního zabezpečení firemních identit.

Nevíte, kdo všechno má ve vaší firmě přístup k citlivým datům? Rádi vám nastavíme Microsoft Entra ID i pravidelná přezkoumání přístupu na míru. Ozvěte se nám na nezávazný IT audit a získejte přehled o tom, kdo a kam ve vaší firmě reálně vidí.

RYCHLÁ IT POMOC DOMA NEBO VE FIRMĚ🧑‍💻

Pomohli jsme 63 klientům za poslední měsíc

Zákazníci hodnotí naše služby 4,8/5 ⭐️⭐️⭐️⭐️⭐️ na Google

Další příspěvky