Informace o skupinách a přístupových právech v Microsoft Entra ID

Microsoft Entra ID poskytuje několik způsobů, jak spravovat přístup k prostředkům, aplikacím a úkolům. Pomocí skupin Microsoft Entra můžete udělit přístup a oprávnění skupině uživatelů, a ne pro každého jednotlivého uživatele. Omezení přístupu k prostředkům Microsoft Entra jenom na uživatele, kteří potřebují přístup, je jedním ze základních principů zabezpečení nulová důvěra (Zero Trust).

Tento článek obsahuje přehled o tom, jak se skupiny a přístupová práva dají používat společně, abyste usnadnili správu uživatelů Microsoft Entra a zároveň používali osvědčené postupy zabezpečení.

Microsoft Entra ID umožňuje používat skupiny ke správě přístupu k aplikacím, datům a prostředkům. Zdroje můžou být:

  • Součást organizace Microsoft Entra, například oprávnění ke správě objektů prostřednictvím rolí v Microsoft Entra ID
  • Mimo organizaci, například pro aplikace SaaS (Software jako služba)
  • Služby Azure
  • Weby SharePointu
  • Místní prostředky

Některé skupiny nejde spravovat na webu Azure Portal:

  • Skupiny synchronizované z místní Active Directory je možné spravovat pouze v místní Active Directory.
  • Distribuční seznamy a poštovní skupiny zabezpečení se spravují jenom v Centru pro správu Exchange nebo v Centrum pro správu Microsoftu 365. Abyste mohli tyto skupiny spravovat, musíte se přihlásit do Centra pro správu Exchange nebo Centrum pro správu Microsoftu 365.

Co je potřeba vědět před vytvořením skupiny

Existují dva typy skupin a tři typy členství ve skupinách. Projděte si možnosti, které vám umožní najít správnou kombinaci pro váš scénář.

Typy skupin:

Zabezpečení: Slouží ke správě přístupu uživatelů a počítačů ke sdíleným prostředkům.

Můžete například vytvořit skupinu zabezpečení, aby všichni členové skupiny měli stejnou sadu oprávnění zabezpečení. Členové skupiny zabezpečení můžou zahrnovat uživatele, zařízení, instanční objekty a další skupiny (označované také jako vnořené skupiny), které definují zásady přístupu a oprávnění. Vlastníci skupiny zabezpečení můžou zahrnovat uživatele a instanční objekty.

Poznámka:

Při vnoření existující skupiny zabezpečení do jiné skupiny zabezpečení budou mít přístup ke sdíleným prostředkům a aplikacím jenom členové v nadřazené skupině. Členové vnořené skupiny nemají stejné přiřazené členství jako členové nadřazené skupiny. Další informace o správě vnořených skupin najdete v tématu Správa skupin.

Microsoft 365: Poskytuje možnosti spolupráce tím, že členům skupiny poskytuje přístup ke sdílené poštovní schránce, kalendáři, souborům, sharepointovým webům a dalším možnostem.

Tato možnost vám také umožňuje udělit přístup ke skupině lidem mimo vaši organizaci. Členové skupiny Microsoftu 365 můžou zahrnovat jenom uživatele. Vlastníci skupiny Microsoftu 365 můžou zahrnovat uživatele a instanční objekty. Další informace o Skupiny Microsoft 365 najdete v tématu Informace o Skupiny Microsoft 365.

Typy členství:

  • Přiřazeno: Umožňuje přidat konkrétní uživatele jako členy skupiny a mít jedinečná oprávnění.

  • Dynamický uživatel: Umožňuje používat pravidla dynamického členství k automatickému přidávání a odebírání členů. Pokud se atributy člena změní, systém se podívá na pravidla dynamické skupiny pro adresář a zjistí, jestli člen splňuje požadavky pravidla (je přidán), nebo už nesplňuje požadavky pravidel (je odebrán).

  • Dynamické zařízení: Umožňuje používat pravidla dynamických skupin k automatickému přidávání a odebírání zařízení. Pokud se atributy zařízení změní, systém zkontroluje pravidla dynamické skupiny pro adresář a zjistí, jestli zařízení splňuje požadavky pravidla (je přidáno), nebo už nesplňuje požadavky pravidel (je odebráno).

    Důležité

    Dynamickou skupinu můžete vytvořit buď pro zařízení, nebo uživatele, ale nikoli pro obojí. Nemůžete vytvořit skupinu zařízení na základě atributů vlastníků zařízení. Pravidla členství zařízení mohou odkazovat pouze na atributy zařízení. Další informace o vytvoření dynamické skupiny pro uživatele a zařízení najdete v tématu Vytvoření dynamické skupiny a kontrola stavu.

Co je potřeba vědět před přidáním přístupových práv ke skupině

Po vytvoření skupiny Microsoft Entra ji musíte udělit odpovídající přístup. Každá aplikace, prostředek a služba, které vyžadují přístupová oprávnění, musí být spravována samostatně, protože oprávnění pro jednu nemusí být stejná jako jiná. Udělte přístup pomocí principu nejnižších oprávnění , abyste snížili riziko útoku nebo porušení zabezpečení.

Jak funguje správa přístupu v Microsoft Entra ID

Microsoft Entra ID pomáhá udělit přístup k prostředkům vaší organizace tím, že poskytuje přístupová práva jednomu uživateli nebo celé skupině Microsoft Entra. Použití skupin umožňuje vlastníkovi prostředku nebo vlastníkovi adresáře Microsoft Entra přiřadit sadu přístupových oprávnění všem členům skupiny. Vlastník prostředku nebo adresáře může také někomu, jako je správce oddělení nebo správce helpdesku, udělit oprávnění ke správě, aby mohl přidávat a odebírat členy. Další informace o správě vlastníků skupin najdete v článku Správa skupin .

Screenshot of a diagram of Microsoft Entra ID access management..

Způsoby přiřazení přístupových práv

Po vytvoření skupiny se musíte rozhodnout, jak přiřadit přístupová práva. Prozkoumejte způsoby přiřazení přístupových práv k určení nejlepšího procesu pro váš scénář.

  • Přímé přiřazení. Vlastník prostředku přímo přiřadí uživatele k prostředku.

  • Přiřazení skupiny Vlastník prostředku přiřadí k prostředku skupinu Microsoft Entra, která automaticky udělí všem členům skupiny přístup k prostředku. Členství ve skupinách spravuje vlastník skupiny i vlastník prostředku a umožňuje buď přidat nebo odebrat členy ze skupiny. Další informace o správě členství ve skupinách najdete v článku Správa skupin .

  • Přiřazení založené na pravidlech Vlastník prostředku vytvoří skupinu a pomocí pravidla definuje, kteří uživatelé jsou přiřazeni ke konkrétnímu prostředku. Pravidlo je založeno na atributech přiřazených jednotlivým uživatelům. Vlastník prostředku spravuje pravidlo a určuje, které atributy a hodnoty jsou potřeba k povolení přístupu k prostředku. Další informace najdete v tématu Vytvoření dynamické skupiny a kontrola stavu.

  • Přiřazení externí autority Přístup pochází z externího zdroje, jako je místní adresář nebo aplikace SaaS. V takovém případě vlastník prostředku přiřadí skupinu, která poskytne přístup k prostředku a pak externí zdroj spravuje členy skupiny.

    Screenshot of a diagram of access management overview..

Můžou se uživatelé připojit ke skupinám bez přiřazení?

Vlastník skupiny může uživatelům umožnit, aby se připojili ke svým vlastním skupinám a nepřiřadili je. Vlastník může také nastavit skupinu tak, aby automaticky přijímala všechny uživatele, kteří se připojují nebo vyžadují schválení.

Jakmile uživatel požádá o připojení ke skupině, žádost se předá vlastníkovi skupiny. V případě potřeby může vlastník žádost schválit a uživatel bude upozorněn na členství ve skupině. Pokud máte více vlastníků a jeden z nich nesouhlasí, zobrazí se uživateli oznámení, ale nepřidá se do skupiny. Další informace a pokyny o tom, jak uživatelům umožnit připojení ke skupinám, najdete v tématu Nastavení ID Microsoft Entra, aby uživatelé mohli požádat o připojení ke skupinám.

Další kroky