Hozzáférés-vezérlés biztonságossá tétel csoportok használatával a Microsoft Entra-azonosítóban
A Microsoft Entra ID lehetővé teszi a csoportok használatát a szervezet erőforrásaihoz való hozzáférés kezeléséhez. Csoportok használata hozzáférés-vezérléshez az alkalmazásokhoz való hozzáférés kezeléséhez és minimalizálásához. Csoportok használata esetén csak a csoportok tagjai férhetnek hozzá az erőforráshoz. A csoportok használata a következő felügyeleti funkciókat is lehetővé teszi:
- Attribútumalapú dinamikus csoportok
- Külső csoportok szinkronizálása helyi Active Directory
- felügyelt vagy önkiszolgáló felügyelt csoportok Rendszergazda istrator
Ha többet szeretne megtudni a csoportok hozzáférés-vezérlési előnyeiről, tekintse meg az alkalmazáshoz való hozzáférés kezelését ismertető témakört.
Alkalmazás fejlesztése közben engedélyezze a hozzáférést a csoportok jogcímével. További információkért tekintse meg, hogyan konfigurálhat csoportjogcímeket alkalmazásokhoz a Microsoft Entra-azonosítóval.
Napjainkban számos alkalmazás kiválasztja a csoportok egy részhalmazát a securityEnabled jelölővel true , hogy elkerülje a skálázási kihívásokat, azaz csökkentse a jogkivonatban visszaadott csoportok számát. A csoport jelölőjének securityEnabled igaz értékre állítása nem garantálja a csoport biztonságos kezelését.
Ajánlott eljárások a kockázat csökkentéséhez
Az alábbi táblázat számos ajánlott biztonsági eljárást mutat be a biztonsági csoportok számára, és az egyes gyakorlatok esetleges biztonsági kockázatait.
| Ajánlott biztonsági eljárások | A biztonsági kockázat mérséklése |
|---|---|
Győződjön meg arról, hogy az erőforrás-tulajdonos és a csoport tulajdonosa ugyanaz a rendszernév. Az alkalmazásoknak saját csoportfelügyeleti felületet kell létrehozniuk, és új csoportokat kell létrehozniuk a hozzáférés kezeléséhez. Egy alkalmazás például létrehozhat csoportokat az Group.Create engedélyekkel, és hozzáadhatja magát a csoport tulajdonosaként. Így az alkalmazás anélkül szabályozhatja a csoportjait, hogy jogosultságokkal rendelkezik a bérlő más csoportjainak módosításához. |
Ha a csoporttulajdonosok és az erőforrás-tulajdonosok különböző entitások, a csoporttulajdonosok hozzáadhatnak felhasználókat a csoporthoz, akiknek nem kellene hozzáférnie az erőforráshoz, de ezt követően véletlenül hozzáférhetnek. |
| Implicit szerződés létrehozása az erőforrás-tulajdonos és a csoporttulajdonos között. Az erőforrás tulajdonosának és a csoporttulajdonosnak igazodnia kell a csoport céljához, szabályzataihoz és tagjaihoz, amelyek hozzáadhatók a csoporthoz az erőforráshoz való hozzáféréshez. Ez a bizalmi szint nem technikai jellegű, és emberi vagy üzleti szerződésre támaszkodik. | Ha a csoporttulajdonosok és az erőforrás-tulajdonosok eltérő szándékokkal rendelkeznek, a csoporttulajdonos hozzáadhat felhasználókat ahhoz a csoporthoz, amelyhez az erőforrás tulajdonosa nem kívánt hozzáférést adni. Ez a művelet szükségtelen és potenciálisan kockázatos hozzáférést eredményezhet. |
| Privát csoportok használata hozzáférés-vezérléshez. A Microsoft 365-csoportokat a láthatósági koncepció kezeli. Ez a tulajdonság szabályozza a csoport csatlakozási szabályzatát és a csoporterőforrások láthatóságát. A biztonsági csoportok olyan csatlakozási szabályzatokkal rendelkeznek, amelyek lehetővé teszik bárki számára a csatlakozást, vagy tulajdonosi jóváhagyást igényelnek. A helyszíni szinkronizált csoportok lehetnek nyilvánosak vagy privátak is. A helyszíni szinkronizált csoporthoz csatlakozó felhasználók is hozzáférhetnek a felhőbeli erőforrásokhoz. | Amikor nyilvános csoportot használ hozzáférés-vezérléshez, bármely tag csatlakozhat a csoporthoz, és hozzáférhet az erőforráshoz. A jogosultságszint-emelés kockázata akkor áll fenn, ha egy nyilvános csoport egy külső erőforráshoz való hozzáférést biztosít. |
| Csoportosítás beágyazása. Ha egy csoportot hozzáférés-vezérlésre használ, és annak tagjai más csoportokkal is rendelkezik, az alcsoportok tagjai hozzáférhetnek az erőforráshoz. Ebben az esetben a szülőcsoportnak és az alcsoportoknak több csoporttulajdonosa is van. | Az egyes csoportok céljára több csoporttulajdonossal való összehangolás és a megfelelő tagok hozzáadása ezekhez a csoportokhoz összetettebb és hajlamosabb a véletlen hozzáférés megadására. Korlátozza a beágyazott csoportok számát, vagy ha lehetséges, egyáltalán ne használja őket. |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: