Informace o skupinách a přístupových právech v Azure Active Directory

Azure Active Directory (Azure AD) nabízí několik způsobů správy přístupu k prostředkům, aplikacím a úkolům. S Azure AD skupinami můžete udělit přístup a oprávnění skupině uživatelů místo jednotlivých uživatelů. Omezení přístupu k prostředkům Azure AD jenom těm uživatelům, kteří potřebují přístup, je jedním ze základních objektů zabezpečení nulová důvěra (Zero Trust). Tento článek obsahuje přehled o tom, jak se skupiny a přístupová práva dají používat společně, abyste usnadnili správu Azure AD uživatelů a zároveň používali osvědčené postupy zabezpečení.

Azure AD umožňuje používat skupiny ke správě přístupu k aplikacím, datům a prostředkům. Zdroje můžou být:

  • Část organizace Azure AD, jako je například oprávnění ke správě objektů prostřednictvím rolí v Azure AD
  • Externí aplikace, jako je software jako služba (SaaS)
  • Služby Azure
  • Weby SharePoint
  • Místní prostředky

Některé skupiny nejde spravovat na portálu Azure AD:

  • Skupiny synchronizované z místní Active Directory je možné spravovat pouze v místní Active Directory.
  • Distribuční seznamy a skupiny zabezpečení s podporou pošty se spravují jenom v Centru pro správu Exchange nebo v Centrum pro správu Microsoftu 365. Abyste mohli tyto skupiny spravovat, musíte se přihlásit do Centra pro správu Exchange nebo Centrum pro správu Microsoftu 365.

Co je potřeba vědět před vytvořením skupiny

Existují dva typy skupin a tři typy členství ve skupinách. Projděte si možnosti, jak najít správnou kombinaci pro váš scénář.

Typy skupin:

Zabezpečení: Slouží ke správě přístupu uživatelů a počítačů ke sdíleným prostředkům.

Můžete například vytvořit skupinu zabezpečení, aby všichni členové skupiny měli stejnou sadu oprávnění zabezpečení. Členové skupiny zabezpečení můžou zahrnovat uživatele, zařízení, jiné skupiny a instanční objekty, které definují zásady přístupu a oprávnění. Vlastníci skupiny zabezpečení můžou zahrnovat uživatele a instanční objekty.

Microsoft 365: Poskytuje možnosti spolupráce tím, že členům skupiny poskytne přístup ke sdílené poštovní schránce, kalendáři, souborům, sharepointovým webům a dalším možnostem.

Tato možnost vám také umožňuje udělit přístup ke skupině lidem mimo vaši organizaci. Členové skupiny Microsoft 365 můžou zahrnovat jenom uživatele. Vlastníci skupiny Microsoft 365 můžou zahrnovat uživatele a instanční objekty. Další informace o Skupiny Microsoft 365 najdete v tématu Informace o Skupiny Microsoft 365.

Typy členství:

  • Přiřazen: Umožňuje přidávat konkrétní uživatele jako členy skupiny a mít jedinečná oprávnění.

  • Dynamický uživatel: Umožňuje používat pravidla dynamického členství k automatickému přidávání a odebírání členů. Pokud se změní atributy člena, systém vyhledá pravidla dynamické skupiny pro adresář a zjistí, jestli člen splňuje požadavky na pravidlo (je přidán), nebo už nesplňuje požadavky pravidel (je odebrán).

  • Dynamické zařízení: Umožňuje používat pravidla dynamické skupiny k automatickému přidávání a odebírání zařízení. Pokud se atributy zařízení změní, systém se podívá na pravidla dynamické skupiny pro adresář a zjistí, jestli zařízení splňuje požadavky pravidel (je přidáno), nebo už nesplňuje požadavky pravidel (je odebráno).

    Důležité

    Dynamickou skupinu můžete vytvořit buď pro zařízení, nebo uživatele, ale nikoli pro obojí. Skupinu zařízení nemůžete vytvořit na základě atributů vlastníků zařízení. Pravidla členství zařízení mohou odkazovat pouze na atributy zařízení. Další informace o vytvoření dynamické skupiny pro uživatele a zařízení najdete v tématu Vytvoření dynamické skupiny a kontrola stavu

Co vědět před přidáním přístupových práv ke skupině

Po vytvoření skupiny Azure AD ji musíte udělit odpovídající přístup. Každá aplikace, prostředek a služba, které vyžadují přístupová oprávnění, musí být spravována samostatně, protože oprávnění pro jednu nemusí být stejná jako jiná. Udělte přístup pomocí principu nejnižšího oprávnění , který pomáhá snížit riziko útoku nebo porušení zabezpečení.

Jak funguje správa přístupu v Azure AD

Azure AD vám pomůže udělit přístup k prostředkům vaší organizace tím, že poskytuje přístupová práva jednomu uživateli nebo celé skupině Azure AD. Použití skupin umožňuje vlastníkovi prostředku nebo Azure AD vlastníku adresáře přiřadit sadu přístupových oprávnění všem členům skupiny. Vlastník prostředku nebo adresáře může také udělit oprávnění pro správu někomu, jako je manažer oddělení nebo správce helpdesku, a umožnit mu přidávat a odebírat členy. Další informace o správě vlastníků skupin najdete v článku Správa skupin .

Diagram správy přístupu ke službě Azure Active Directory

Způsoby přiřazení přístupových práv

Po vytvoření skupiny se musíte rozhodnout, jak přiřadit přístupová práva. Prozkoumejte způsoby přiřazení přístupových práv k určení nejlepšího procesu pro váš scénář.

  • Přímé přiřazení. Vlastník prostředku přímo přiřadí uživatele k prostředku.

  • Přiřazení skupiny Vlastník prostředku přiřadí k prostředku skupinu Azure AD, která automaticky poskytne všem členům skupiny přístup k prostředku. Členství ve skupinách spravuje vlastník skupiny i vlastník prostředku, takže buď vlastník přidá nebo odebere členy ze skupiny. Další informace o správě členství ve skupinách najdete v článku Správa skupin .

  • Přiřazení založené na pravidlech Vlastník prostředku vytvoří skupinu a použije pravidlo k definování uživatelů přiřazených ke konkrétnímu prostředku. Pravidlo je založeno na atributech přiřazených jednotlivým uživatelům. Vlastník prostředku spravuje pravidlo a určuje, které atributy a hodnoty jsou potřeba k povolení přístupu k prostředku. Další informace najdete v tématu Vytvoření dynamické skupiny a kontrola stavu.

  • Přiřazení externí autority Access pochází z externího zdroje, jako je místní adresář nebo aplikace SaaS. V takovém případě vlastník prostředku přiřadí skupinu, která poskytne přístup k prostředku a pak externí zdroj spravuje členy skupiny.

    Diagram přehledu správy přístupu

Můžou se uživatelé připojit ke skupinám bez přiřazení?

Vlastník skupiny může uživatelům umožnit, aby se připojili ke svým vlastním skupinám a nepřiřadili je. Vlastník může také nastavit skupinu tak, aby automaticky přijímala všechny uživatele, kteří se připojují nebo vyžadují schválení.

Jakmile uživatel požádá o připojení ke skupině, žádost se předá vlastníkovi skupiny. Pokud je to potřeba, může vlastník žádost schválit a uživatel bude upozorněn na členství ve skupině. Pokud máte více vlastníků a jeden z nich nesouhlasí, zobrazí se uživateli oznámení, ale nepřidá se do skupiny. Další informace a pokyny, jak uživatelům umožnit připojení ke skupinám, najdete v tématu Nastavení Azure AD, aby uživatelé mohli požádat o připojení ke skupinám.

Další kroky