Zabezpečení externího přístupu pomocí skupin v Microsoft Entra ID a Microsoftu 365
Skupiny jsou součástí strategie řízení přístupu. Jako základ pro zabezpečení přístupu k prostředkům můžete použít skupiny zabezpečení Microsoft Entra a Skupiny Microsoft 365. Skupiny použijte pro následující mechanismy řízení přístupu:
- Zásady podmíněného přístupu
- Přístupové balíčky pro správu nároků
- Přístup k prostředkům Microsoftu 365, Microsoft Teams a sharepointovými weby
Skupiny mají následující role:
- Vlastníci skupin – správa nastavení skupiny a jeho členství
- Členové – dědí oprávnění a přístup přiřazený skupině
- Hosté – jsou členy mimo vaši organizaci
Než začnete
Tento článek je číslo 4 v řadě 10 článků. Doporučujeme, abyste si články prostudovali v pořadí. Pokud chcete zobrazit celou řadu, přejděte do části Další kroky .
Strategie skupiny
Pokud chcete vytvořit strategii skupiny pro zabezpečení externího přístupu k prostředkům, zvažte požadovaný stav zabezpečení.
Další informace: Určení stavu zabezpečení pro externí přístup
Vytvoření skupiny
Určete, kdo má udělená oprávnění k vytváření skupin: Správci, zaměstnanci a/nebo externí uživatelé. Zvažte následující scénáře:
- Členové tenanta můžou vytvářet skupiny zabezpečení Microsoft Entra.
- Interní a externí uživatelé se můžou připojit ke skupinám ve vašem tenantovi
- Uživatelé můžou vytvářet Skupiny Microsoft 365
- Spravovat, kdo může vytvářet Skupiny Microsoft 365
- Konfigurace tohoto nastavení pomocí PowerShellu
- Omezení aplikace Microsoft Entra na sadu uživatelů v tenantovi Microsoft Entra
- Nastavení samoobslužné správy skupin v Microsoft Entra ID
- Řešení potíží se skupinami
Pozvánky ke skupinám
V rámci strategie skupiny zvažte, kdo může pozvat lidi nebo je přidat do skupin. Členové skupiny můžou přidávat další členy nebo vlastníci skupin můžou přidávat členy. Rozhodněte, kdo může být pozvaný. Ve výchozím nastavení je možné externí uživatele přidat do skupin.
Přiřazení uživatelů ke skupinám
Uživatelé se přiřazují ke skupinám ručně na základě atributů uživatele v objektu uživatele nebo se uživatelé přiřazují na základě jiných kritérií. Uživatelé se přiřazují k skupinám dynamicky na základě jejich atributů. Můžete například přiřadit uživatele ke skupinám na základě:
- Pracovní pozice nebo oddělení
- Partner organizace, do které patří
- Ručně nebo prostřednictvím propojených organizací
- Typ člena nebo uživatele typu host
- Účast v projektu
- Ručně
- Umístění
Dynamické skupiny mají uživatele nebo zařízení, ale ne obojí. Pokud chcete přiřadit uživatele k dynamické skupině, přidejte dotazy na základě atributů uživatele. Následující snímek obrazovky obsahuje dotazy, které přidávají uživatele do skupiny, pokud jsou členy finančního oddělení.
Další informace: Vytvoření nebo aktualizace dynamické skupiny v Microsoft Entra ID
Použití skupin pro jednu funkci
Při použití skupin je důležité, aby měly jednu funkci. Pokud se skupina používá k udělení přístupu k prostředkům, nepoužívejte ji k jinému účelu. Doporučujeme konvenci vytváření názvů skupin zabezpečení, která zjasňuje účel:
- Secure_access_finance_apps
- Team_membership_finance_team
- Location_finance_building
Typy skupin
Skupiny zabezpečení Microsoft Entra a Skupiny Microsoft 365 můžete vytvořit na webu Azure Portal nebo na portálu Správa Microsoftu 365. Pro zabezpečení externího přístupu použijte některý typ skupiny.
| Důležité informace | Ruční a dynamické skupiny zabezpečení Microsoft Entra | Microsoft 365 Groups |
|---|---|---|
| Skupina obsahuje | Uživatelé Skupiny Instanční objekty Zařízení |
Pouze uživatelé |
| Kde se skupina vytvoří | portál Azure Portál Microsoft 365, pokud je povolená pošta) PowerShell Microsoft Graph Portál pro koncové uživatele |
Portál Microsoftu 365 Azure Portal PowerShell Microsoft Graph V aplikacích Microsoftu 365 |
| Kdo ve výchozím nastavení vytvoří | Správci Uživatelé |
Správci Uživatelé |
| Kdo je ve výchozím nastavení přidaný | Interní uživatelé (členové tenanta) a uživatelé typu host | Členové tenanta a hosté z organizace |
| Přístup se uděluje | Zdroje, ke kterým jsou přiřazeny. | Prostředky související se skupinami: (Poštovní schránka skupiny, web, tým, chaty a další prostředky Microsoftu 365) Další prostředky, do kterých se přidá skupina |
| Lze použít s | Podmíněný přístup správa nároků licencování skupin |
Podmíněný přístup správa nároků popisky citlivosti |
Poznámka:
Pomocí Skupiny Microsoft 365 můžete vytvářet a spravovat sadu prostředků Microsoftu 365, jako je tým a přidružený web a obsah.
Skupiny zabezpečení Microsoft Entra
Skupiny zabezpečení Microsoft Entra můžou mít uživatele nebo zařízení. Ke správě přístupu k těmto skupinám použijte tyto skupiny:
- Prostředky Azure
- Aplikace Microsoft 365
- Vlastní aplikace
- Aplikace typu Software jako služba (SaaS), jako je Dropbox ServiceNow
- Data a předplatná Azure
- Služby Azure
K přiřazení použijte skupiny zabezpečení Microsoft Entra:
- Licence pro služby
- Microsoft 365
- Dynamics 365
- Enterprise Mobility + Security
- Podívejte se, co je licencování založené na skupinách v Microsoft Entra ID?
- Zvýšená oprávnění
Další informace:
- Správa skupin Microsoft Entra a členství ve skupinách
- Rutiny Microsoft Entra verze 2 pro správu skupin
Poznámka:
Pomocí skupin zabezpečení přiřaďte až 1 500 aplikací.
Poštovní skupina zabezpečení
Pokud chcete vytvořit skupinu zabezpečení s podporou pošty, přejděte na Centrum pro správu Microsoftu 365. Povolte skupinu zabezpečení pro poštu během vytváření. Později ho nemůžete povolit. Skupinu nemůžete vytvořit na webu Azure Portal.
Hybridní organizace a skupiny zabezpečení Microsoft Entra
Hybridní organizace mají infrastrukturu pro místní prostředí a ID Microsoft Entra. Hybridní organizace, které používají Službu Active Directory, můžou vytvářet místní skupiny zabezpečení a synchronizovat je s cloudem. Proto je možné do skupin zabezpečení přidat pouze uživatele v místním prostředí.
Důležité
Chraňte místní infrastrukturu před ohrožením zabezpečení. Viz ochrana Microsoftu 365 před místními útoky.
Microsoft 365 Groups
Skupiny Microsoft 365 je služba členství pro přístup k Microsoftu 365. Můžete je vytvořit z webu Azure Portal nebo Centrum pro správu Microsoftu 365. Když vytvoříte skupinu Microsoft 365, udělíte přístup ke skupině prostředků pro spolupráci.
Další informace:
- Přehled Skupiny Microsoft 365 pro správce
- Vytvoření skupiny v Centrum pro správu Microsoftu 365
- Centrum pro správu Microsoft Entra
- Centrum pro správu Microsoftu 365
role Skupiny Microsoft 365
- Vlastníci skupin
- Přidání nebo odebrání členů
- Odstranění konverzací ze sdílené doručené pošty
- Změna nastavení skupiny
- Přejmenování skupiny
- Aktualizace popisu nebo obrázku
- Členové
- Přístup ke všemu ve skupině
- Nejde změnit nastavení skupiny
- Může pozvat hosty, aby se připojili ke skupině.
- Správa přístupu hostů ve skupinách Microsoftu 365
- Hosté
- Jsou členy mimo vaši organizaci
- Omezení funkčnosti v Teams
Nastavení skupiny Microsoftu 365
Vyberte e-mailový alias, ochranu osobních údajů a jestli chcete povolit skupinu pro týmy.
Po nastavení přidejte členy a nakonfigurujte nastavení pro používání e-mailu atd.
Další kroky
V následujících sérii článků se dozvíte o zabezpečení externího přístupu k prostředkům. Doporučujeme postupovat podle uvedeného pořadí.
Určení stavu zabezpečení pro externí přístup pomocí Microsoft Entra ID
Zjištění aktuálního stavu externí spolupráce ve vaší organizaci
Vytvoření plánu zabezpečení pro externí přístup k prostředkům
Zabezpečení externího přístupu pomocí skupin v Microsoft Entra ID a Microsoftu 365 (tady jste)
Přechod na řízenou spolupráci pomocí spolupráce Microsoft Entra B2B
Správa externího přístupu pomocí správy nároků Microsoft Entra
Správa externího přístupu k prostředkům pomocí zásad podmíněného přístupu
Řízení externího přístupu k prostředkům v Microsoft Entra ID pomocí popisků citlivosti
Převod místních účtů hostů na účty hosta Microsoft Entra B2B