Správa identit: Active Directory a Entra ID z pohledu Service Desku

S přechodem na IT Service Desk pro mě začala úplně nová kapitola. Než jsem sem nastoupil, věděl jsem sice, co to je uživatelský účet, ale vůbec jsem si neuvědomoval, co se děje na pozadí, když nový uživatel přijde do firmy, zapomene své heslo, nebo se přesune na jinou pozici. Srdcem toho všeho jsou nástroje pro Identity and Access Management (IAM), typicky Active Directory (AD) a jeho cloudový bratříček Microsoft Entra ID (v minulosti známé jako reklamní Azure Active Directory).

A právě práce s uživatelskými identitami představuje jeden z nosných pilířů IT podpory, bez kterých by enterprise prostředí zkolabovalo.

Tradiční pilíř: Active Directory (On-Premise)

Představte si Active Directory jako obrovský korporátní “telefonní a klíčový” seznam. Když se uživatel posadí ke svému počítači, zadá jméno a heslo, o ověření se obvykle stará server běžící lokálně v síti firmy (tzv. doménový řadič - Domain Controller) využívající Active Directory.

Co řeším z pohledu Service Desku na straně AD nejčastěji:

• Resetování hesel & Unlock účtů: Absolutní klasika. Uživatel “několikrát určitě zadal správné heslo”, účet se z bezpečnostních důvodů uzamkl a mým úkolem je jej odemknout.
• Zakládání a deaktivace (Offboarding) uživatelů: Když někdo odchází, musí být jeho účet do posledního přístupu zrušen či zakázán. V AD se musí nejen disablovat účet samotný, ale i odebrat patřičné skupiny, zrušit maily, přeřadit do správné Organizační Jednotky (OU) s názvem DisabledUsers. Rychlost a přesnost je zde z bezpečnostního hlediska alfa a omega.
• Správa distribučních a bezpečnostních skupin: Má Pepa z marketingu mít přístup na sdílený disk „Fakturace“? Pokud ano, musí se přidat do správné security skupiny v AD.

Cloudová evoluce: Microsoft Entra ID

Zatímco AD vládne lokální síti firmy a stolním počítačům, Entra ID obhospodařuje vše cloudové (Office 365, Teams, SharePoint, ale i tisíce třetích stran pomocí Single Sign-On).

V moderních podnicích (včetně toho, kde pracuji já) se tyto dva systémy z pohledu identit většinou neustále synchronizují (skrze Entra Connect). Pokud uživatele zablokuji na lokálním serveru v brněnské pobočce, Entra ID to do několika málo chvil zaregistruje a přístupy mu automaticky odebere i k firemnímu OneDrive.

Co je pro podporu v Entra ID specifické:

• Přiřazování licencí O365: Entra ID je místem, kde se řeší, zda má uživatel nárok na Visio, nebo jestli mu vůbec zapneme firemní Teams.
• Správa MFA (Multi-Factor Authentication): Pokud uživatel ztratí firemní mobil, případně provede “factory reset” na starém a pořídí si nový bez migrace aplikace Authenticator. V Entra ID se řeší reset těchto MFA metod, aby se člověk vůbec do firmy znovu přihlásil. Tady se vždy přesně ověřujeme proti HR a manažerovi, protože vypnutí MFA zkrátka zavání obrovským bezpečnostním rizikem (social engineering).
• Vynucování moderních bezpečnostních politik (Conditional Access): Zde už jako L1 Service Desk nezasahujeme úplně do hloubky a do pravidel konfigurací, ale dokážeme skrze Entra ID logy jasně dohledat, proč se uživatel z domácí sítě do systému “A” nedostal, ukáže se, jaký přesný bezpečnostní profil mu z důvodu nedostatečné bezpečnosti zařízení (Intune compliance) nedal zelenou.

Proč mě to vůbec baví?

Active Directory a Entra ID se sice prezentují jen jako jakési “seznamy a složky”, leží ale v úplném středu IT infrastruktury. Získal jsem k nim ohromný respekt a právě díky tomu chápu podstatu bezpečnostních certifikací. Spravovat identity znamená spravovat celou důvěru v IT systémy; kdo jsme, co smíme dělat, a s čím. Jako obrovský bonus se skrze AD i Entra ID učí člověk perfektně rozumět organizaci dané společnosti, tomu jak komunikují různé procesy a kde na sebe navazují.