Školení
Certifikace
Microsoft Certified: Přidružení správce identit a přístupu - Certifications
Předveďte funkce Microsoft Entra ID pro modernizaci řešení identit, implementaci hybridních řešení a implementaci zásad správného řízení identit.
Použití skupin Microsoft Entra ke správě přiřazení rolí
Pomocí Microsoft Entra ID P1 nebo P2 můžete vytvářet skupiny s možností přiřazení role a přiřazovat k těmto skupinám role Microsoft Entra. Tato funkce zjednodušuje správu rolí, zajišťuje konzistentní přístup a zjednodušuje oprávnění auditování. Přiřazení rolí skupině místo jednotlivců umožňuje snadné přidání nebo odebrání uživatelů z role a vytvoření konzistentních oprávnění pro všechny členy skupiny. Můžete také vytvořit vlastní role s konkrétními oprávněními a přiřadit je ke skupinám.
Představte si příklad, kdy společnost Contoso najala lidi v různých zeměpisných oblastech, aby spravovala a resetovala hesla pro zaměstnance ve své organizaci Microsoft Entra. Místo toho, aby správce privilegované role přiřadil roli správce helpdesku jednotlivým osobám, může vytvořit skupinu Contoso_Helpdesk_Administrators a přiřadit roli skupině. Když se lidé ke skupině připojí, přiřadí se jim tato role nepřímo. Váš stávající pracovní postup zásad správného řízení se pak může postarat o proces schvalování a auditování členství ve skupině, aby se zajistilo, že jsou členy skupiny jenom legitimní uživatelé a přiřadí se tak role Správce helpdesku.
Pokud chcete přiřadit roli ke skupině, musíte vytvořit nové zabezpečení nebo skupinu Microsoft 365 s vlastností nastavenou isAssignableToRole na true. V Centru pro správu Microsoft Entra můžete nastavit role Microsoft Entra k možnosti Skupiny na Ano. V obou směrech můžete skupině přiřadit jednu nebo více rolí Microsoft Entra stejným způsobem jako přiřazování rolí uživatelům.
Skupiny, které lze přiřadit role, mají následující omezení:
- Vlastnost můžete nastavit
isAssignableToRolepouze nebo role Microsoft Entra lze přiřadit k možnosti skupiny pro nové skupiny. - Vlastnost
isAssignableToRoleje neměnná. Po vytvoření skupiny s touto sadou vlastností ji nelze změnit. - Existující skupinu nemůžete nastavit jako přiřaditelnou skupinu.
- V jedné organizaci Microsoft Entra (tenant) je možné vytvořit maximálně 500 skupin, které je možné přiřadit role.
Pokud je skupině přiřazena role, může každý správce IT, který může spravovat dynamické skupiny členství, také nepřímo spravovat členství této role. Předpokládejme například, že skupina s názvem Contoso_User_Administrators má přiřazenou roli Správce uživatelů. Správce Exchange, který může upravovat dynamické skupiny členství, se může přidat do skupiny Contoso_User_Administrators a tímto způsobem se stát správcem uživatelů. Jak vidíte, správce by mohl zvýšit své oprávnění způsobem, který jste nechtěli.
Roli je možné přiřadit pouze skupinám, které mají isAssignableToRole vlastnost nastavenou true při vytváření. Tato vlastnost je neměnná. Po vytvoření skupiny s touto sadou vlastností ji nelze změnit. U existující skupiny nelze nastavit vlastnost.
Skupiny s možností přiřazení rolí jsou navržené tak, aby zabránily potenciálním porušením zabezpečení tím, že mají následující omezení:
- Abyste mohli vytvořit skupinu, která se dá přiřadit, musíte mít přiřazenou alespoň roli správce privilegovaných rolí.
- Typ členství pro skupiny s možností přiřazení role musí být přiřazený a nemůže být dynamickou skupinou Microsoft Entra. Automatizovaná populace dynamických skupin členství by mohla vést k přidání nežádoucího účtu do skupiny a přiřazení k roli.
- Ve výchozím nastavení můžou správci privilegovaných rolí spravovat členství ve skupině s možností přiřazení role, ale správu skupin, které je možné přiřadit, delegovat přidáním vlastníků skupin.
- Pro Microsoft Graph se vyžaduje oprávnění RoleManagement.ReadWrite.Directory , aby bylo možné spravovat členství ve skupinách, které je možné přiřadit role. Oprávnění Group.ReadWrite.All nebude fungovat.
- Pokud chcete zabránit zvýšení oprávnění, musíte mít přiřazenou alespoň roli Správce privilegovaného ověřování, abyste mohli změnit přihlašovací údaje, resetovat MFA nebo upravit citlivé atributy pro členy a vlastníky skupiny s možností přiřazení role.
- Vnoření skupin se nepodporuje. Skupinu nelze přidat jako člena skupiny s možností přiřazení role.
Pokud nechcete, aby členové skupiny měli stálý přístup k roli, můžete použít Microsoft Entra Privileged Identity Management (PIM) k tomu, aby skupina měla nárok na přiřazení role. Každý člen skupiny pak může aktivovat přiřazení role pro pevnou dobu trvání.
Poznámka
Pro skupiny používané ke zvýšení oprávnění k rolím Microsoft Entra doporučujeme, abyste pro oprávněná přiřazení členů vyžadovali schvalovací proces. Přiřazení, která je možné aktivovat bez schválení, vás můžou ohrozit bezpečnostní riziko od méně privilegovaných správců. Správce helpdesku má například oprávnění k resetování hesel oprávněných uživatelů.
Následující scénáře se nepodporují:
- Přiřaďte role Microsoft Entra (předdefinované nebo vlastní) k místním skupinám.
Níže jsou známé problémy se skupinami, které je možné přiřadit role:
- licencovaní zákazníci Microsoft Entra ID P2 pouze: I po odstranění skupiny se stále zobrazuje jako oprávněný člen role v uživatelském rozhraní PIM. Funkčně neexistuje žádný problém; je to jen problém s mezipamětí v Centru pro správu Microsoft Entra.
- Nové Centrum pro správu Exchange použijte pro přiřazení rolí prostřednictvím dynamických skupin členství. Staré Centrum pro správu Exchange tuto funkci nepodporuje. Pokud se vyžaduje přístup ke starému Centru pro správu Exchange, přiřaďte oprávněné roli přímo uživateli (ne prostřednictvím skupin s možností přiřazení rolí). Rutiny Prostředí PowerShell pro Exchange fungují podle očekávání.
- Pokud je role správce přiřazena ke skupině s možností přiřazení role místo jednotlivých uživatelů, nebudou mít členové skupiny přístup k pravidlům, organizaci ani veřejným složkám v novém Centru pro správu Exchange. Alternativním řešením je přiřadit roli přímo uživatelům místo skupiny.
- Portál Azure Information Protection (portál Classic) ještě nerozpozná členství v rolích prostřednictvím skupiny. Můžete migrovat na sjednocenou platformu popisků citlivosti a pak pomocí Portál dodržování předpisů Microsoft Purview použít přiřazení skupin ke správě rolí.
Použití této funkce vyžaduje licenci Microsoft Entra ID P1. Privileged Identity Management pro aktivaci role za běhu vyžaduje licenci Microsoft Entra ID P2. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.