Použití Microsoft Entra skupin ke správě přiřazení rolí

S ID Microsoft Entra P1 nebo P2 můžete vytvářet skupiny s možností přiřazení rolí a přiřazovat těmto skupinám Microsoft Entra role. Tato funkce zjednodušuje správu rolí, zajišťuje konzistentní přístup a zjednodušuje oprávnění auditování. Přiřazení rolí skupině místo jednotlivců umožňuje snadné přidání nebo odebrání uživatelů z role a vytváří konzistentní oprávnění pro všechny členy skupiny. Můžete také vytvořit vlastní role s konkrétními oprávněními a přiřadit je skupinám.

Proč přiřazovat role skupinám?

Představte si příklad, kdy společnost Contoso najala lidi napříč geografickými oblastmi, aby mohli spravovat a resetovat hesla pro zaměstnance ve své Microsoft Entra organizaci. Místo toho, aby správce privilegovaných rolí nebo globální správce přiřadil roli Správce helpdesku každému uživateli jednotlivě, může vytvořit skupinu Contoso_Helpdesk_Administrators a přiřadit jí roli. Když se lidé připojí ke skupině, přiřadí se jim role nepřímo. Váš stávající pracovní postup zásad správného řízení se pak může postarat o proces schválení a auditování členství ve skupině, aby se zajistilo, že členy skupiny budou jenom legitimní uživatelé, kteří tak budou mít přiřazenou roli správce helpdesku.

Jak fungují přiřazení rolí ke skupinám

Pokud chcete skupině přiřadit roli, musíte vytvořit novou skupinu zabezpečení nebo skupinu Microsoftu 365 s vlastností nastavenou isAssignableToRole na true. V Centru pro správu Microsoft Entra nastavíte, Microsoft Entra role se dají přiřadit skupině na Ano. V obou případě pak můžete skupině přiřadit jednu nebo více Microsoft Entra rolí stejným způsobem, jakým přiřazujete role uživatelům.

Snímek obrazovky se stránkou Role a správci

Omezení pro skupiny s možností přiřazení rolí

Skupiny s možností přiřazení role mají následující omezení:

  • Můžete nastavit isAssignableToRole pouze vlastnost nebo Microsoft Entra role se dají přiřadit k možnosti skupiny pro nové skupiny.
  • Vlastnost isAssignableToRole je neměnná. Jakmile se skupina vytvoří s touto sadou vlastností, nedá se změnit.
  • Existující skupinu nemůžete nastavit jako skupinu s možností přiřazení role.
  • V jedné Microsoft Entra organizaci (tenantovi) je možné vytvořit maximálně 500 skupin s možností přiřazení rolí.

Jak jsou skupiny s možností přiřazení rolí chráněné?

Pokud je skupině přiřazena role, může členství v této roli nepřímo spravovat také správce IT, který může spravovat členství ve skupině. Předpokládejme například, že skupině s názvem Contoso_User_Administrators je přiřazena role Správce uživatelů. Správce Exchange, který může upravovat členství ve skupinách, se může přidat do skupiny Contoso_User_Administrators a stát se tak správcem uživatelů. Jak vidíte, správce může zvýšit oprávnění způsobem, který jste nechtěli.

Roli je možné přiřadit pouze skupinám, které mají isAssignableToRole vlastnost nastavenou na true při vytváření. Tato vlastnost je neměnná. Jakmile se skupina vytvoří s touto sadou vlastností, nedá se změnit. U existující skupiny nejde nastavit vlastnost.

Skupiny s možností přiřazení rolí jsou navržené tak, aby pomáhaly předcházet potenciálním porušením zabezpečení tím, že mají následující omezení:

  • Skupinu s možností přiřazení role můžou vytvořit jenom globální správci a správci privilegovaných rolí.
  • Typ členství pro skupiny s možností přiřazení role musí být Přiřazeno a nesmí být Microsoft Entra dynamickou skupinou. Automatizovaná populace dynamických skupin může vést k přidání nežádoucího účtu do skupiny, a tím k přiřazení role.
  • Ve výchozím nastavení můžou členství ve skupině s přiřaditelnou rolí spravovat jenom globální správci a správci privilegovaných rolí, ale můžete delegovat správu skupin s možností přiřazení rolí přidáním vlastníků skupin.
  • Pro Microsoft Graph se ke správě členství ve skupinách s přiřazením rolí vyžaduje oprávnění RoleManagement.ReadWrite.Directory . Oprávnění Group.ReadWrite.All nebude fungovat.
  • Aby se zabránilo zvýšení oprávnění, může pouze správce privilegovaného ověřování nebo globální správce změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování nebo upravit citlivé atributy pro členy a vlastníky skupiny s možností přiřazení role.
  • Vnořování skupin se nepodporuje. Skupinu nelze přidat jako člena skupiny s možností přiřazení role.

Použití PIM k tomu, aby skupina byla způsobilá pro přiřazení role

Pokud nechcete, aby členové skupiny měli stálý přístup k roli, můžete pomocí Microsoft Entra Privileged Identity Management (PIM) nastavit skupinu, která má nárok na přiřazení role. Každý člen skupiny má pak nárok na aktivaci přiřazení role na pevnou dobu trvání.

Poznámka

U skupin používaných ke zvýšení úrovně na Microsoft Entra rolí doporučujeme vyžadovat schvalovací proces pro přiřazení oprávněných členů. Přiřazení, která se dají aktivovat bez schválení, vás můžou ohrozit rizikem zabezpečení od méně privilegovaných správců. Například správce helpdesku má oprávnění resetovat hesla oprávněného uživatele.

Nepodporují se scénáře

Následující scénáře nejsou podporované:

  • Přiřaďte Microsoft Entra role (předdefinované nebo vlastní) k místním skupinám.

Známé problémy

Níže jsou uvedené známé problémy se skupinami s možností přiřazení rolí:

  • Microsoft Entra pouze licencovaní zákazníci s ID P2: I po odstranění skupiny se v uživatelském rozhraní PIM stále zobrazuje jako oprávněný člen role. Funkčně není problém; jedná se pouze o problém s mezipamětí v centru pro správu Microsoft Entra.
  • K přiřazení rolí prostřednictvím členství ve skupinách použijte nové Centrum pro správu Exchange . Staré centrum pro správu Exchange tuto funkci nepodporuje. Pokud se vyžaduje přístup ke starému Centru pro správu Exchange, přiřaďte oprávněnou roli přímo uživateli (ne prostřednictvím skupin s možností přiřazení rolí). Rutiny Prostředí PowerShell pro Exchange fungují podle očekávání.
  • Pokud je role správce přiřazená skupině s možností přiřazení role místo jednotlivým uživatelům, nebudou mít členové skupiny přístup k pravidlům, organizaci nebo veřejným složkám v novém Centru pro správu Exchange. Alternativním řešením je přiřadit roli přímo uživatelům místo skupiny.
  • Portál Azure Information Protection (portál Classic) zatím nerozpozná členství v rolích prostřednictvím skupiny. Můžete migrovat na sjednocenou platformu popisování citlivosti a pak pomocí Portál dodržování předpisů Microsoft Purview použít přiřazení skupin ke správě rolí.

Licenční požadavky

Použití této funkce vyžaduje licenci Microsoft Entra ID P1. Privileged Identity Management pro aktivaci role za běhu vyžaduje licenci Microsoft Entra ID P2. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si článek Porovnání obecně dostupných funkcí v edicích Free a Premium.

Další kroky