Microsoft Entra-csoportok használata a szerepkörök kiosztásának kezeléséhez

A P1 vagy P2 Microsoft Entra-azonosítóval szerepkör-hozzárendelhető csoportokat hozhat létre, és Microsoft Entra-szerepköröket rendelhet ezekhez a csoportokhoz. Ez a funkció leegyszerűsíti a szerepkörkezelést, egységes hozzáférést biztosít, és egyszerűbbé teszi a naplózási engedélyeket. A szerepkörök személyek helyett csoporthoz való hozzárendelése lehetővé teszi a felhasználók egyszerű hozzáadását vagy eltávolítását egy szerepkörből, és konzisztens engedélyeket hoz létre a csoport minden tagjának. Egyéni szerepköröket is létrehozhat adott engedélyekkel, és hozzárendelheti őket csoportokhoz.

Miért érdemes szerepköröket hozzárendelni a csoportokhoz?

Vegyük például azt a példát, amikor a Contoso vállalat különböző földrajzi helyeken bérelt fel személyeket a Microsoft Entra-szervezet alkalmazottainak jelszavainak kezelésére és alaphelyzetbe állítására. Ahelyett, hogy emelt szintű szerepkört kérne Rendszergazda istrator vagy globális Rendszergazda istratortól, hogy egyenként rendelje hozzá a segélyszolgálati Rendszergazda istrator szerepkört, létrehozhat egy Contoso_Helpdesk_Rendszergazda istrators csoportot, és hozzárendelheti a szerepkört a csoporthoz. Amikor a felhasználók csatlakoznak a csoporthoz, közvetett módon lesznek hozzárendelve a szerepkörhöz. A meglévő szabályozási munkafolyamat ezután gondoskodhat a csoport tagságának jóváhagyási folyamatáról és naplózásáról, így biztosítva, hogy csak a jogszerű felhasználók tagjai legyenek a csoportnak, és így a segélyszolgálati Rendszergazda istrator szerepkörhöz legyenek rendelve.

A csoportok szerepkör-hozzárendeléseinek működése

Ha szerepkört szeretne hozzárendelni egy csoporthoz, létre kell hoznia egy új biztonsági vagy Microsoft 365-csoportot, amelynek a tulajdonsága a isAssignableToRole következő true. A Microsoft Entra felügyeleti központban beállíthatja, hogy a Microsoft Entra szerepkörök igen értékre legyenek rendelve a csoportbeállításhoz. Így is hozzárendelhet egy vagy több Microsoft Entra-szerepkört a csoporthoz ugyanúgy, mint a felhasználókhoz.

Szerepkörhöz hozzárendelhető csoportok korlátozásai

A szerepkörhöz hozzárendelhető csoportokra a következő korlátozások vonatkoznak:

• Csak a isAssignableToRole tulajdonságot állíthatja be, vagy a Microsoft Entra-szerepkörök az új csoportok csoportbeállításához rendelhetők hozzá.
• A isAssignableToRole tulajdonság nem módosítható. Miután létrehozott egy csoportot ezzel a tulajdonságkészlettel, az nem módosítható.
• A meglévő csoportokat nem lehet szerepkörhöz hozzárendelhető csoportként létrehozni.
• Egyetlen Microsoft Entra-szervezetben (bérlőben) legfeljebb 500 szerepkör-hozzárendelhető csoport hozható létre.

Hogyan védik a szerepkör-hozzárendelhető csoportokat?

Ha egy csoporthoz szerepkör van rendelve, a csoporttagság kezelésére képes informatikai rendszergazdák közvetett módon is kezelhetik a szerepkör tagságát. Tegyük fel például, hogy egy Contoso_User_Rendszergazda istrators nevű csoporthoz felhasználói Rendszergazda istrator szerepkör van hozzárendelve. Egy Exchange-rendszergazda, aki módosíthatja a csoporttagságokat, hozzáadhatja magát a Contoso_User_Rendszergazda istrators csoporthoz, és így felhasználói Rendszergazda istratorsá válhat. Mint látható, a rendszergazda nem kívánt módon emelheti ki a jogosultságát.

Csak azok a csoportok rendelhetők hozzá szerepkörhöz, amelyeknek a isAssignableToRole tulajdonsága a létrehozáskor van beállítva true . Ez a tulajdonság nem módosítható. Miután létrehozott egy csoportot ezzel a tulajdonságkészlettel, az nem módosítható. A tulajdonság nem állítható be egy meglévő csoporton.

A szerepkör-hozzárendeléssel rendelkező csoportok az alábbi korlátozásokkal segítenek megelőzni a lehetséges incidenseket:

• Csak a globális Rendszergazda istratorok és a kiemelt szerepkörök Rendszergazda istratorok hozhatnak létre szerepkörhöz hozzárendelhető csoportot.
• A szerepkör-hozzárendelhető csoportok tagságtípusának hozzárendeltnek kell lennie, és nem lehet Microsoft Entra dinamikus csoport. A dinamikus csoportok automatizált sokasága azt eredményezheti, hogy a rendszer nem kívánt fiókot ad hozzá a csoporthoz, és így hozzárendeli a szerepkörhöz.
• Alapértelmezés szerint csak a globális Rendszergazda istratorok és a kiemelt szerepkörök Rendszergazda istratorok kezelhetik a szerepkör-hozzárendelhető csoportok tagságát, de a szerepkör-hozzárendelhető csoportok kezelését csoporttulajdonosok hozzáadásával delegálhatja.
• A Microsoft Graph esetében a RoleManagement.ReadWrite.Directory engedélyre van szükség a szerepkör-hozzárendelhető csoportok tagságának kezeléséhez. A Group.ReadWrite.All engedély nem működik.
• A jogosultságszint-emelés megakadályozása érdekében csak a Privileged Authentication Rendszergazda istrator vagy egy globális Rendszergazda istrator módosíthatja a hitelesítő adatokat, alaphelyzetbe állíthatja az MFA-t, vagy módosíthatja a szerepkörhöz hozzárendelhető csoportok tagjainak és tulajdonosainak bizalmas attribútumait.
• A csoportos beágyazás nem támogatott. Egy csoport nem adható hozzá szerepkörhöz hozzárendelhető csoport tagjaként.

A PIM használata egy csoport szerepkör-hozzárendelésre való jogosultságának céljából

Ha nem szeretné, hogy a csoport tagjai állandó hozzáféréssel rendelkezzenek egy szerepkörhöz, a Microsoft Entra Privileged Identity Management (PIM) használatával jogosulttá teheti a csoportokat a szerepkör-hozzárendelésre. A csoport minden tagja jogosult a szerepkör-hozzárendelés aktiválására egy meghatározott időtartamra.

Megjegyzés:

A Microsoft Entra-szerepkörökbe való emeléshez használt csoportok esetében javasoljuk, hogy a jogosult tag-hozzárendelésekhez jóváhagyási folyamatot igényeljön. A jóváhagyás nélkül aktiválható hozzárendelések sebezhetővé tehetik a kevésbé jogosultsággal rendelkező rendszergazdák biztonsági kockázatait. A segélyszolgálat Rendszergazda istrator például jogosult felhasználó jelszavának alaphelyzetbe állítására.

A forgatókönyvek nem támogatottak

A következő forgatókönyvek nem támogatottak:

• Microsoft Entra-szerepkörök (beépített vagy egyéni) hozzárendelése helyszíni csoportokhoz.

Ismert problémák

A szerepkörhöz rendelhető csoportok ismert problémái a következők:

• Csak Microsoft Entra ID P2 licenccel rendelkező ügyfelek: A csoport törlése után is megjelenik a PIM felhasználói felületén a szerepkör jogosult tagja. Funkcionálisan nincs probléma; ez csak egy gyorsítótár-probléma a Microsoft Entra felügyeleti központban.
• A csoporttagságon keresztüli szerepkör-hozzárendelésekhez használja az új Exchange Felügyeleti központot . A régi Exchange felügyeleti központ nem támogatja ezt a funkciót. Ha a régi Exchange felügyeleti központhoz való hozzáférésre van szükség, a jogosult szerepkört közvetlenül a felhasználóhoz rendelje hozzá (nem szerepkör-hozzárendelhető csoportokon keresztül). Az Exchange PowerShell-parancsmagok a várt módon működnek.
• Ha az egyes felhasználók helyett egy rendszergazdai szerepkör van hozzárendelve egy szerepkörhöz, a csoport tagjai nem férhetnek hozzá a szabályokhoz, a szervezethez vagy a nyilvános mappákhoz az új Exchange felügyeleti központban. A kerülő megoldás az, hogy a szerepkört közvetlenül a felhasználókhoz rendeli a csoport helyett.
• Az Azure Information Protection Portál (a klasszikus portál) még nem ismeri fel a csoporton keresztüli szerepkör-tagságot. Migrálhat az egyesített bizalmassági címkézési platformra, majd a Microsoft Purview megfelelőségi portál használatával csoporthozzárendeléseket használhat a szerepkörök kezeléséhez.

License requirements

Using this feature requires a Microsoft Entra ID P1 license. Az igény szerint történő szerepkör-aktiváláshoz szükséges Privileged Identity Managementhez Microsoft Entra ID P2-licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.

További lépések

• Szerepkörhöz hozzárendelhető csoport létrehozása
• Microsoft Entra-szerepkörök hozzárendelése csoportokhoz