EP365 IDENTITY MANAGER

Governance skupin a přístupů v Microsoft 365 · v 1.0

Stovky skupin v Entra ID.
Víte vůbec, k čemu jsou?

Identity Manager dává IT a security správci centrální přehled nad skupinami, přístupy a jejich klasifikací – delegovaně, ve vašem Microsoft 365. Žádné PowerShell skripty, žádný drahý IGA nástroj.

Delegovaně

Aplikace volá Microsoft Graph vaším jménem. Neudělá nic, co sám správce v Entra ID nesmí.

Bez IGA nákladů

Governance skupin bez drahého nástroje, bez PowerShell skriptů, bez dalšího cloudu.

Pod vaší kontrolou

Správce a běžný uživatel, read-only gating, vše ve vašem Microsoft 365 tenantu.

Domluvit ukázku Zobrazit ceník DELEGOVANÝ MODEL · NASAZENÍ ZA DNY

Ukázka, jak to vypadá

Governance · Skupiny

Stav adresáře, 190 skupin, čtvrtek 14. 05. 2026

190

Skupin celkem

Bez vlastníka

K recertifikaci

Rizik přístupů

Rizika přístupů · Top 3

HR-Mzdy-All Citlivá + host host bez revize

Projekt-Alfa Bez vlastníka sirotek

All-Company Veřejná M365 veřejná

Skóre zdraví adresáře · 72 % v 1.0 · delegovaný Graph

2 typy

Security i Microsoft 365 skupiny pod správou

100 %

dat ve vašem M365 tenantu

nadpráv – aplikace jedná vaším jménem

NIS2 / ISO

audit trail nad přístupy a skupinami

Co dnes firmy se stovkami skupin řeší · 3 / 3

Tři bolesti, které zná každý IT a security správce.

01 · VLASTNICTVÍ

Skupiny bez vlastníka

Po letech růstu má polovina skupin v Entra ID prázdné pole vlastníka. Když za obsah nikdo neodpovídá, členství bobtná a nikdo ho nereviduje.

02 · KLASIFIKACE

Nikdo neví, k čemu skupina je

„HR-2019“, „Projekt-Alfa“, „Test-Marek“ – názvy bez ladu. Žádná klasifikace, žádná citlivost, žádný štítek. Při auditu se dohadujete, co je vlastně citlivé.

03 · REVIZE

Přístupy se nerevidují

Ex-zaměstnanci, hosté z dávno skončených projektů, mrtvé distribuční skupiny. Least-privilege se rozpadá a NIS2 audit klepe na dveře.

Co řeší · pro koho je

Pro firmy, které chtějí governance přístupů bez drahého IGA a bez skriptů.

EP365 Identity Manager je pro vás, pokud…

Máte desítky až stovky skupin v Entra ID (Security i Microsoft 365 / Teams) a ztrácíte v nich přehled.
Chcete governance přístupů bez drahého IGA nástroje a bez PowerShell skriptů.
Security nebo IT správce potřebuje jeden pohled – zdraví skupin, rizika, recertifikace i úklid.
Řešíte NIS2 nebo ISO 27001 a potřebujete prokazatelný audit trail nad přístupy.
Chcete, aby aplikace jednala delegovaně – nedělala nic, co sám správce v Entra ID nesmí.
Microsoft 365 a Entra ID už máte – nechcete kupovat další SaaS ani servisní účet s nadprávy.

Nejsme to pravé, pokud…

— Hledáte plné IGA – automatický joiner-mover-leaver provisioning identit z HR systému. To je Entra ID Governance nebo SailPoint, jiná liga.
— Potřebujete entitlement management s access packages a katalogem oprávnění napříč aplikacemi (Entra ID P2).
— Chcete privileged access management pro adresářové role – to řeší Entra PIM, ne tato aplikace.
— Nemáte Entra ID / Microsoft 365. Identity Manager je SharePoint webpart výhradně v Microsoft 365.
— Chcete spravovat lokální Active Directory on-premises. Aplikace pracuje s Entra ID v cloudu; synchronizované skupiny jsou read-only.

Klíčové funkce

Osm věcí, díky kterým adresář konečně dává smysl.

Přehled a vyhledávání skupin

Jeden seznam všech skupin – Security i Microsoft 365 – živě z Microsoft Graphu. U každé skupiny skóre zdraví, počet členů, vlastníků a hostů. Filtry podle typu, stavu a správy, fulltext, uložené pohledy a paleta příkazů ⌘K pro skok na libovolnou skupinu nebo obrazovku.

Security + M365Skóre zdravíUložené pohledyPaleta ⌘K

Klasifikace a taxonomie

Vlastní klasifikační schémata a stromy – citlivost, štítky, kategorie. Konečně víte, k čemu která skupina je a jak je citlivá. Hromadná klasifikace více skupin najednou a evidence EP365 správců u každé skupiny vedle nativních Entra vlastníků.

Schémata a stromyCitlivost a štítkyHromadná klasifikaceEP365 správci

Členové, vlastníci a dynamická pravidla

Správa členů a Entra vlastníků přímo z aplikace, zakládání nových skupin a dynamická pravidla členství podle atributů uživatele – včetně připravených šablon pravidel. Dávkové přidání i odebrání členů jedním tahem.

Členové + vlastníciZakládání skupinDynamická pravidlaŠablony pravidel

Recertifikace přístupů

Pravidelná revize jako workflow: správce spustí kolo, recenzent u každé skupiny potvrdí (certify), nebo odebere (revoke) přístup. Termíny, historie rozhodnutí a fronta „ke zpracování“ pro každého recenzenta. Bez nutnosti Entra ID P2.

Kola revizíCertify / revokeTermíny + historieBez Entra P2

Rizika přístupů

Detekce porušení least-privilege: skupiny bez vlastníka, hosté v citlivých skupinách, veřejné Microsoft 365 skupiny, citlivá a přitom exponovaná oprávnění. Severity skóre a filtr, klik otevře detail skupiny rovnou k nápravě.

Bez vlastníkaHosté v citlivýchVeřejné M365Severity skóre

Úklid adresáře

Najde sirotky (bez vlastníka), prázdné a dlouho nevyužité (stale) skupiny i duplicity – podobné názvy odhalí porovnáním bez diakritiky a shodou mailových prefixů. Inline náprava a návrh na sloučení; rozhodnutí je vždy na vás.

Sirotci + prázdnéStale skupinyDetekce duplicitInline náprava

Teams a životní cyklus

Nad Microsoft 365 skupinou založíte Microsoft Teams jedním klikem. Řízený životní cyklus: archivace jako EP365 příznak (v Entra ID nic nemaže) a kontrolované mazání skupiny s potvrzením – synchronizované skupiny zůstávají chráněné.

Teams provisioningArchivace skupinŘízené mazáníOchrana synced

Audit změn a reporty

Historie každé skupiny slévá reálný audit z Entra (directory audits) s odvozenými EP365 událostmi. Export členství a vlastníků do CSV, přehled využití a stopa rozhodnutí recertifikace – přímý podklad pro NIS2 a ISO 27001.

Entra auditCSV exportPřehled využitíNIS2 / ISO podklad

Případy užití

Co s tím lidé každý den dělají.

Reálné situace z firemního provozu – od správce u přehledu skupin přes security revizi přístupů po IT úklid adresáře a compliance audit.

SPRÁVCE

Najít skupiny bez vlastníka za minutu

Scénář

„Rizika přístupů → 38 skupin bez vlastníka, tři z nich citlivé. Přiřazuju vlastníky a zbytek dávám do recertifikace.“

Severity filtr rizik přístupů
Klik na skupinu = detail k nápravě
Hromadné zařazení do revize

SECURITY · REVIZE

Kvartální revize přístupů

Scénář

„Spustil jsem kolo recertifikace nad 24 citlivými skupinami. Recenzenti mají 30 dní na potvrzení, nebo odebrání. Historie se uloží.“

Workflow kol revizí
Recenzent certify / revoke
Termíny a auditní historie

IT · ÚKLID

Pročistit adresář před auditem

Scénář

„Úklid: 17 prázdných skupin, 4 sirotci, 3 podezřelé duplicity. Duplicity sloučím, prázdné archivuji – adresář je o třetinu lehčí.“

Sirotci, prázdné a stale
Detekce duplicit názvů
Archivace, nebo mazání

COMPLIANCE

Kdo přidal hosta do mzdové skupiny?

Scénář

„Historie skupiny HR-Mzdy → reálný Entra audit: host přidán 12. 5., kým a kdy. Podklad pro NIS2 mám v CSV za pět minut.“

Entra directory audit v detailu
Stopa EP365 rozhodnutí
CSV export pro auditora

Jak je postavená

Čtyři vrstvy. Všechny ve vašem M365.

Žádný náš server nedrží vaše data. Identity Manager je webpart běžící ve vašem SharePointu, který volá Microsoft Graph delegovaně – jménem přihlášeného správce.

ROZHRANÍ

Identity Manager webpart na SharePoint stránce

Přidá se na libovolnou stránku ve vašem SharePointu. Dvě role: Správce (plná governance) a běžný uživatel (přehled). Licence řídí, kdo smí měnit.

ŽIVÁ DATA – GRAPH

Skupiny, členové, vlastníci, audit

Vše čteme i zapisujeme přes Microsoft Graph delegovaně – jménem přihlášeného správce. Aplikace neudělá nic, co sám v Entra ID nesmí. Data nikdy neopustí tenant.

METADATA – SP LISTY

Klasifikace, recertifikace, lifecycle

Klasifikační schémata, EP365 správci, revize přístupů a příznaky životního cyklu žijí v SharePoint Lists ve vašem Microsoft 365. Žádná kopie dat ven.

AUDIT

Entra audit + stopa rozhodnutí

Historie skupin čte reálný directory audit z Entra a slévá ho s EP365 událostmi. Žádný separátní log, žádný externí systém pro správu logů.

Srovnání

Kde má EP365 Identity Manager jasnou výhodu.

Oblast

EP365 Identity Manager

Entra ID portál (ručně)

Enterprise IGA

Přehled skupin + zdraví

✓ jeden pohled

! roztříštěné

✓ komplexní

Klasifikace a taxonomie

✓ vlastní schémata

✕ není

✓ ano

Recertifikace přístupů

✓ workflow

✕ ručně

✓ reviews (P2)

Rizika přístupů

✓ least-privilege

✕ ručně

✓ ano

Úklid duplicit a prázdných

✓ detekce

✕ ručně

! částečně

Audit pro NIS2 / ISO

✓ Entra + stopa

! jen Entra log

✓ ano

Delegovaný model

✓ vaším jménem

! servisní účet

Cena

✓ od 3 000 Kč / měs.

✓ v ceně M365

✕ P2 + nástroj

Nasazení

✓ ve dnech

! ruční práce

✕ týdny – měsíce

Pro IT a GDPR

Bezpečnost a compliance – argumenty, které sedí.

Když vám security team řekne „dokud to neprojde review, nikam to nepustím“ – tady je review materiál.

Delegovaný model

Aplikace volá Microsoft Graph jménem přihlášeného správce (delegated permissions), ne přes aplikační oprávnění ani servisní účet s nadprávy. Co nesmíte vy, neudělá ani aplikace.

Data ve vašem M365

Skupiny zůstávají v Entra ID, klasifikace a revize v SharePoint Lists, audit v Entra. Žádný náš server vaše data nedrží, nic neopouští tenant.

Least-privilege v praxi

Aplikace sama pomáhá prosadit minimální oprávnění – rizika přístupů, recertifikace a úklid odhalí, kde má někdo přístup, který už nepotřebuje.

Audit trail pro NIS2 / ISO

Reálný directory audit z Entra plus prokazatelná stopa rozhodnutí: kdo a kdy potvrdil, nebo odebral přístup. Podklad pro NIS2 a ISO 27001 access governance.

Role a licence gating

Správce versus běžný uživatel. Při neaktivní licenci jede aplikace v režimu jen pro čtení – žádné mutace skupin. Mazání je navíc chráněné potvrzením.

Žádný IGA overhead

Žádná aplikační oprávnění s God-mode, žádný servisní účet, žádný další cloud. Governance běží na delegovaném Graphu, který už ve svém Microsoft 365 máte.

Bonus integrace s EP365 Hub: skupiny po termínu recertifikace se propisují jako upozornění do globálního Můj provoz. Správce vidí attention panel napříč všemi EP365 aplikacemi na jednom místě.

Ceník

Měsíční licence dle velikosti firmy + podpora dle potřeby.

Výše měsíčního předplatného se odvíjí od velikosti organizace, tedy od celkového počtu uživatelů ve vašem Microsoft 365 prostředí. Neomezený počet spravovaných skupin i správců – platí se za velikost prostředí, ne za počet skupin.

Licence

Jak určujeme cenu licence

Do 25 uživatelů

3 000 Kč / měsíc

26 – 70 uživatelů

4 500 Kč / měsíc

71 – 150 uživatelů

6 000 Kč / měsíc

Více než 150 uživatelů

Kontaktujte nás

Mám zájem o licenci

Rozšířená podpora

Cena podpory

2 200 Kč / hodinu

Konzultace, nastavení klasifikace, custom reporty nebo příprava recertifikačních kol.

Jak počítáme cenu podpory

Cena podpory je účtována za každých započatých 15 minut práce. Zákazník je předem informován o předpokládaném rozsahu prací.

Uvedené ceny jsou bez DPH

Případová studie

Jak to vypadá v reálném provozu.

Výrobní firma · 280 zaměstnanců · 190 skupin

„Audit přístupů byl letos export, ne třídenní panika.“

Nasazení

5 dní

Skupin v Entra ID

190 → 142

Skupin s vlastníkem

100 %

Skupin s klasifikací

100 %

První recertifikace

24 skupin

PROBLÉM

Výrobní firma, 280 zaměstnanců, 190 skupin v Entra ID nasbíraných za osm let. 38 bez vlastníka, hosté v citlivých skupinách, desítky prázdných a duplicitních. NIS2 audit za dveřmi a žádný přehled o tom, kdo má kam přístup.

DODÁNO

Identity Manager na firemním intranetu. Klasifikace všech skupin do tří úrovní citlivosti, přiřazení vlastníků, úklid prázdných i duplicit. První kolo recertifikace nad 24 citlivými skupinami. 5 dní od kickoffu.

VÝSLEDEK

190 skupin pročištěno na 142. 100 % skupin má vlastníka i klasifikaci. Hosté mimo termín odebráni v recertifikaci. NIS2 auditor dostal CSV s plnou stopou rozhodnutí – bez jediného PowerShell skriptu.

„Poprvé za roky víme, k čemu každá skupina je a kdo za ni odpovídá. Audit byl letos otázka exportu, ne paniky.“

– IT manažer, výrobní firma

FAQ

Co se ptají IT a security správci.

Potřebujeme Entra ID P1 nebo P2?

Pro většinu funkcí stačí běžné Entra ID. Dynamická pravidla členství vyžadují Entra ID P1 – to je licenční podmínka Microsoftu, ne naše. Recertifikaci, rizika přístupů i úklid děláme i bez Entra ID P2, takže nemusíte kupovat dražší plán kvůli access reviews.

Dělá aplikace něco, co já jako správce sám nesmím?

Ne. Identity Manager pracuje delegovaně – volá Microsoft Graph vaším jménem. Pokud nějakou změnu nesmíte udělat vy v Entra ID, neudělá ji ani aplikace. Žádné aplikační oprávnění s nadprávy, žádný servisní účet.

Odcházejí nám data někam ven?

Ne. Skupiny zůstávají v Entra ID, klasifikace a revize v SharePoint Lists ve vašem tenantu, audit v Entra. Žádný náš server vaše data nedrží. Vše běží uvnitř vašeho Microsoft 365.

Není mazání skupin nebezpečné?

Mazání je chráněné: smí ho jen správce, potvrzuje se zaškrtnutím a synchronizované (synced z on-premises AD) skupiny smazat nelze. Pokud chcete skupinu jen vyřadit z provozu, použijte archivaci – ta je pouhý EP365 příznak a v Entra ID nic nemaže.

Funguje to na security i Microsoft 365 skupiny?

Ano, na oba typy. Přehled, klasifikace, rizika i recertifikace pokrývají Security i Microsoft 365 skupiny. Vytvoření Microsoft Teams se týká jen Microsoft 365 (cloudových) skupin.

Nahrazuje recertifikace Entra Access Reviews?

Je to lehčí alternativa. Místo Entra ID P2 a access reviews dostanete workflow kol revizí v SharePoint listu – recenzent potvrdí, nebo odebere přístup, vše s termíny a historií. Pro firmy, které P2 nemají nebo nechtějí.

Jak poznáte duplicitní skupiny?

Porovnáním názvů bez diakritiky, podobností tokenů a shodou mailových prefixů – z dat, která už máme načtená, bez dalšího dotazování Graphu. Podezřelé páry vám nabídneme ke sloučení; rozhodnutí je vždy na vás.

Potřebujeme PowerShell nebo IT specialistu?

Ne. Všechno se děje přes uživatelské rozhraní ve SharePointu – přehled, klasifikace, revize i úklid. Žádné skripty, žádné moduly, žádné servisní účty.

Je to připravené na NIS2 a ISO 27001?

Audit trail nad přístupy – reálný Entra directory audit slitý se stopou rozhodnutí recertifikace – je přímý podklad pro access governance podle NIS2 i ISO 27001. Export do CSV pro auditora je otázka kliku.

Zvládne to stovky skupin?

Ano. Seznamy stránkujeme, máme fulltext, filtry a paletu příkazů ⌘K pro skok na libovolnou skupinu. Skóre zdraví a rizika vám napoví, kde začít, i když máte skupin stovky.

Integruje se to s ostatními EP365 aplikacemi?

Ano. Skupiny po termínu recertifikace se propisují jako upozornění do EP365 Hub – do globálního přehledu Můj provoz. Správce tak vidí governance úkoly vedle úkolů z ostatních EP365 aplikací.

DALŠÍ KROK