Zero Trust v Azure: Navrh Conditional Access politik

V mnoha ceskych firmach, se kterymi spolupracuji, je pristup k firemnim systemum stale resen pres VPN. Zapnete VPN, jste "uvnitr site" a mate pristup ke vsemu. Tento model predpoklada, ze sitovy perimetr je bezpecny a ze vsechno uvnitr je dusteryhodne. Jenze v dobe, kdy zamestnanci pracuji z domova, z kavaren, z telefonu a z desitky ruznych zarizeni, sitovy perimetr neexistuje.

Zero Trust tento predpoklad obraci: zadny pozadavek neni duveryhodny bez overeni. Nezalezi na tom, jestli prichazi z kancelare nebo z druheho konce sveta. Kazda autentizace se vyhodnocuje zvlast -- kdo se prihlasuje, z jakeho zarizeni, odkud, do jake aplikace a s jakym rizikem. V Azure je nastrojem pro vynuceni tohoto principu Entra ID Conditional Access.

Casova narocnost: 2-4 dny pro navrh CA policy framework, 1 den na testovani a komunikaci s uzivateli Naklady: Entra ID P1: ~$6/uzivatel/mesic (soucasti M365 E3), P2: ~$9/uzivatel/mesic pro risk-based CA Predpoklady: Entra ID tenant s licenci P1+, role Global Administrator nebo Conditional Access Administrator, nakonfigurovany emergency access ucet

Co se zmenilo v roce 2025

Conditional Access prosел vyraznym vyvojem:

• Continuous Access Evaluation (CAE) je GA a ve vychozim stavu zapnuty. Kdyz dojde k odvolani session nebo zmene rizikoveho profilu uzivatele, zmena se projevi behem minut, ne hodin. Tokenove lifetime se fakticky stava real-time.
• Token Protection (preview) vaze tokeny na zarizeni, na kterem byly vydany. Ukradene session cookies z exportu prohlizece nebo AITM utoku jsou nepouzitelne na jinem pocitaci.
• Authentication Strength nahrazuje stare per-user MFA nastaveni. Muzete vyzadovat phishing-resistant metody (FIDO2, Windows Hello for Business) primo v CA politice.
• Integrace Entra ID Governance s CA umoznuje propojit access review, entitlement management a CA politiky do jednoho lifecycle workflow.

Proc na tom zalezi

Samotne MFA nestaci. Utocnici se posunuli od credential stuffing k token theft, MFA fatigue utokum (opakované push notifikace, dokud uzivatel neprijme) a adversary-in-the-middle phishingu, ktery zachyti heslo i MFA odpoved v realnem case.

Conditional Access je policy engine, ktery vyhodnocuje kazde prihlaseni proti sade podminek -- identita uzivatele, stav zarizeni, lokace, aplikace, uroven rizika -- a rozhodne, zda povolit, zablokovat nebo vyzadovat dalsi overeni.

Priklad z praxe: utocnik ziskal platne prihlasovaci udaje globalniho admina (phishing cileny na osobni email, opakujici se heslo). Pokusil se prihlasit z rezideneni IP v zemi, kde firma nepusobi. CA politika device compliance prihlaseni zablokovala, protoze zarizeni nebylo registrovane v Intune, a politika pojmenovanych lokaci oznacila IP jako mimo duveryhodne rozsahy. V logu prihlaseni se objevilo:

{
  "userPrincipalName": "admin@firma.onmicrosoft.com",
  "appDisplayName": "Azure Portal",
  "ipAddress": "185.220.xxx.xxx",
  "location": {
    "city": "Bukurest",
    "countryOrRegion": "RO"
  },
  "status": {
    "errorCode": 53003,
    "failureReason": "Pristup zablokovan Conditional Access politikou."
  },
  "conditionalAccessPolicies": [
    {
      "displayName": "CA003-Blokace-Rizikovych-Zemi",
      "result": "failure",
      "enforcedGrantControls": ["Block"]
    },
    {
      "displayName": "CA002-Vyzadovat-Compliant-Zarizeni-Admini",
      "result": "failure",
      "enforcedGrantControls": ["CompliantDevice"]
    }
  ],
  "riskLevelDuringSignIn": "high"
}

Bez techto CA politik by utocnik dostal vyzvu k MFA -- a MFA fatigue utok nebo real-time phishing proxy mohl retezec dokoncit.

Implementace: CA Policy Framework

Nejcastejsi chyba, kterou vidim, je vytvoreni CA politik rovnou v enforcement modu. Kazda politika nize by mela bezet v report-only rezimu minimalne tyden. Projdete logy prihlaseni, identifikujte edge cases, komunikujte se uzivateli a teprve pak prepnete na enforcement.

CA001: Zakladni MFA pro vsechny uzivatele

Kazdy uzivatel, kazda aplikace, pokazde. Jedina vyjimka je emergency access (break-glass) ucet.

CA002: Device Compliance pro administratory

Privilegovane ucty se musi prihlasovat z Intune-spravovanych, compliant zarizeni.

CA003: Blokace rizikovych zemi

Pojmenovane lokace definuji duveryhodne firemni site a blokovane geografie. Udrzuji dva sety: duveryhodne kancelarske IP a blocklist zemi, kde firma nepusobi.

{
  "displayName": "CA003-Blokace-Rizikovych-Zemi",
  "state": "enabledForReportingButNotEnforced",
  "conditions": {
    "users": {
      "includeUsers": ["All"]
    },
    "applications": {
      "includeApplications": ["All"]
    },
    "locations": {
      "includeLocations": ["id-pojmenovane-lokace-rizikove-zeme"],
      "excludeLocations": ["AllTrusted"]
    }
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["block"]
  }
}

CA004: Session Controls pro pristup z prohlizece

Omezeni trvalych browser sessions a vynuceni frekvence prihlaseni pro citlive aplikace.

CA005: Risk-Based blokace

Entra ID P2 poskytuje real-time detekci rizika. Blokace prihlaseni oznacenych jako vysoke riziko (impossible travel, anonymni IP, IP spjata s malwarem).

Vysledky z praxe

Po nasazeni tohoto petipolozkoveho frameworku v organizaci s 200 uzivateli, tady jsou data z prvnich 30 dnu z Entra ID sign-in logu:

Celkem udalosti prihlaseni:              47 832
Uspesne (politika splnena):              46 591  (97,4 %)
Zablokovano CA politikou:                   847  (1,8 %)
  - CA003 (blokace zemi):                   612
  - CA005 (vysoke riziko):                  134
  - CA002 (non-compliant zarizeni):         101
MFA vyzva (CA001):                       12 440  (26,0 %)
Report-only failures:                       394  (0,8 %)

612 blokaci zemi byly temer vyhradne automatizovany pruzkum -- boti cyklujici pres zname credentials. Pred nasazenim CA003 se tyto udalosti zobrazovaly jako "failed MFA," coz je jiny problem -- analytici se nauci ignorovat MFA failures jako sumum na pozadi. Blokace na urovni CA pred MFA vyzvou drzi pomer signal-sum cisty.

101 blokaci non-compliant zarizeni zachytilo dva legitimni pripady: IT admin prihlasujici se z osobniho notebooku behem incidentu a novy zamestnanec, jehoz zarizeni jeste nedobehlo Intune enrollment. Oba se vyresily behem hodin.

Klicove zavery

• Report-only mod vzdy jako prvni. Kazdou CA politiku nechte v report-only alespon tyden. Projdete logy, komunikujte se uzivateli a teprve pak vynucujte.
• Emergency access ucty jsou neprediskutovatelne. Pokud se zamknete z vlastniho tenantu, protoze vsechny CA politiky blokuji break-glass ucet, budete mit hodne spatny den. Vyjmete je ze vsech politik a monitorujte jejich pouziti alertem.
• Authentication Strength misto stareho MFA. Prestante pouzivat per-user MFA portal. CA politiky s Authentication Strength dávaji granularni kontrolu nad tim, ktere MFA metody jsou akceptovatelne.
• Pojmenovane lokace jsou prvni filtr. Blokace prihlaseni ze zemi, kde nepusobite, eliminuje masivni objem automatizovanych utoku driv, nez se vubec dostanou k MFA vyzve.
• Device compliance uzavira mezeru token theft. Ukradeny session cookie je nepouzitelny, pokud CA politika vyzaduje compliant zarizeni, ktere utocnik nema.

Zero Trust identita je zakladni pozadavek NIS2 compliance -- smernice explicitne narizuje rizeni pristupu a overovani identity. Spojte to se silnym CSPM stavem pres Defender for Cloud a pokryjete jak identitni, tak infrastrukturni vrstvu. Pokud potrebujete pomoc s navrhem Zero Trust architektury, podivejte se na nase sluzby cloudoveho poradenstvi.