Sdílet prostřednictvím

Použití skupin Microsoft Entra ke správě přiřazení rolí

  • Článek

Pomocí Microsoft Entra ID P1 nebo P2 můžete vytvářet skupiny s možností přiřazení role a přiřazovat k těmto skupinám role Microsoft Entra. Tato funkce zjednodušuje správu rolí, zajišťuje konzistentní přístup a zjednodušuje oprávnění auditování. Přiřazení rolí skupině místo jednotlivců umožňuje snadné přidání nebo odebrání uživatelů z role a vytvoření konzistentních oprávnění pro všechny členy skupiny. Můžete také vytvořit vlastní role s konkrétními oprávněními a přiřadit je ke skupinám.

Proč přiřazovat role skupinám?

Představte si příklad, kdy společnost Contoso najala lidi v různých zeměpisných oblastech, aby spravovala a resetovala hesla pro zaměstnance ve své organizaci Microsoft Entra. Místo toho, aby správce privilegované role přiřadil roli správce helpdesku jednotlivým osobám, může vytvořit skupinu Contoso_Helpdesk_Administrators a přiřadit roli skupině. Když se lidé ke skupině připojí, přiřadí se jim tato role nepřímo. Váš stávající pracovní postup zásad správného řízení se pak může postarat o proces schvalování a auditování členství ve skupině, aby se zajistilo, že jsou členy skupiny jenom legitimní uživatelé a přiřadí se tak role Správce helpdesku.

Jak fungují přiřazení rolí ke skupinám

Pokud chcete přiřadit roli ke skupině, musíte vytvořit nové zabezpečení nebo skupinu Microsoft 365 s vlastností nastavenou isAssignableToRole na true. V Centru pro správu Microsoft Entra můžete nastavit role Microsoft Entra k možnosti Skupiny na Ano. V obou směrech můžete skupině přiřadit jednu nebo více rolí Microsoft Entra stejným způsobem jako přiřazování rolí uživatelům.

Snímek obrazovky se stránkou Role a správci

Omezení pro skupiny s možností přiřazení rolí

Skupiny, které lze přiřadit role, mají následující omezení:

  • Vlastnost můžete nastavit isAssignableToRole pouze nebo role Microsoft Entra lze přiřadit k možnosti skupiny pro nové skupiny.
  • Vlastnost isAssignableToRole je neměnná. Po vytvoření skupiny s touto sadou vlastností ji nelze změnit.
  • Existující skupinu nemůžete nastavit jako přiřaditelnou skupinu.
  • V jedné organizaci Microsoft Entra (tenant) je možné vytvořit maximálně 500 skupin, které je možné přiřadit role.

Jak jsou chráněné skupiny s možností přiřazení role?

Pokud je skupině přiřazena role, může každý správce IT, který může spravovat dynamické skupiny členství, také nepřímo spravovat členství této role. Předpokládejme například, že skupina s názvem Contoso_User_Administrators má přiřazenou roli Správce uživatelů. Správce Exchange, který může upravovat dynamické skupiny členství, se může přidat do skupiny Contoso_User_Administrators a tímto způsobem se stát správcem uživatelů. Jak vidíte, správce by mohl zvýšit své oprávnění způsobem, který jste nechtěli.

Roli je možné přiřadit pouze skupinám, které mají isAssignableToRole vlastnost nastavenou true při vytváření. Tato vlastnost je neměnná. Po vytvoření skupiny s touto sadou vlastností ji nelze změnit. U existující skupiny nelze nastavit vlastnost.

Skupiny s možností přiřazení rolí jsou navržené tak, aby zabránily potenciálním porušením zabezpečení tím, že mají následující omezení:

  • Abyste mohli vytvořit skupinu, která se dá přiřadit, musíte mít přiřazenou alespoň roli správce privilegovaných rolí.
  • Typ členství pro skupiny s možností přiřazení role musí být přiřazený a nemůže být dynamickou skupinou Microsoft Entra. Automatizovaná populace dynamických skupin členství by mohla vést k přidání nežádoucího účtu do skupiny a přiřazení k roli.
  • Ve výchozím nastavení můžou správci privilegovaných rolí spravovat členství ve skupině s možností přiřazení role, ale správu skupin, které je možné přiřadit, delegovat přidáním vlastníků skupin.
  • Pro Microsoft Graph se vyžaduje oprávnění RoleManagement.ReadWrite.Directory , aby bylo možné spravovat členství ve skupinách, které je možné přiřadit role. Oprávnění Group.ReadWrite.All nebude fungovat.
  • Pokud chcete zabránit zvýšení oprávnění, musíte mít přiřazenou alespoň roli Správce privilegovaného ověřování, abyste mohli změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování nebo upravit citlivé atributy pro členy a vlastníky skupiny, které je možné přiřadit role.
  • Vnoření skupin se nepodporuje. Skupinu nelze přidat jako člena skupiny s možností přiřazení role.

Použití PIM k tomu, aby skupina byla způsobilá pro přiřazení role

Pokud nechcete, aby členové skupiny měli stálý přístup k roli, můžete použít Microsoft Entra Privileged Identity Management (PIM) k tomu, aby skupina měla nárok na přiřazení role. Každý člen skupiny pak může aktivovat přiřazení role pro pevnou dobu trvání.

Poznámka:

Pro skupiny používané ke zvýšení oprávnění k rolím Microsoft Entra doporučujeme, abyste pro oprávněná přiřazení členů vyžadovali schvalovací proces. Přiřazení, která je možné aktivovat bez schválení, vás můžou ohrozit bezpečnostní riziko od méně privilegovaných správců. Správce helpdesku má například oprávnění k resetování hesel oprávněných uživatelů.

Nepodporovaná scénáře

Následující scénáře se nepodporují:

  • Přiřaďte role Microsoft Entra (předdefinované nebo vlastní) k místním skupinám.

Známé problémy

Níže jsou známé problémy se skupinami, které je možné přiřadit role:

  • Zákazníci s licencí Microsoft Entra ID P2: I po odstranění skupiny se stále zobrazuje oprávněný člen role v uživatelském rozhraní PIM. Funkčně neexistuje žádný problém; je to jen problém s mezipamětí v Centru pro správu Microsoft Entra.
  • Nové Centrum pro správu Exchange použijte pro přiřazení rolí prostřednictvím dynamických skupin členství. Staré Centrum pro správu Exchange tuto funkci nepodporuje. Pokud se vyžaduje přístup ke starému Centru pro správu Exchange, přiřaďte oprávněné roli přímo uživateli (ne prostřednictvím skupin s možností přiřazení rolí). Rutiny Prostředí PowerShell pro Exchange fungují podle očekávání.
  • Pokud je role správce přiřazená ke skupině s možností přiřazení role místo jednotlivých uživatelů, nebudou mít členové skupiny přístup k pravidlům, organizaci ani veřejným složkám v novém Centru pro správu Exchange. Alternativním řešením je přiřadit roli přímo uživatelům místo skupiny.
  • Portál Azure Information Protection (portál Classic) ještě nerozpozná členství v rolích prostřednictvím skupiny. Můžete migrovat na sjednocenou platformu popisků citlivosti a pak pomocí Portál dodržování předpisů Microsoft Purview použít přiřazení skupin ke správě rolí.

Požadavky na licenci

Použití této funkce vyžaduje licenci Microsoft Entra ID P1. Privileged Identity Management pro aktivaci role za běhu vyžaduje licenci Microsoft Entra ID P2. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.

Další kroky