További információ az Azure Active Directoryban található csoportokról és hozzáférési jogosultságokról

Az Azure Active Directory (Azure AD) számos módot kínál az erőforrásokhoz, alkalmazásokhoz és feladatokhoz való hozzáférés kezelésére. A Azure AD csoportok esetében az egyes felhasználók helyett a felhasználók egy csoportjának adhat hozzáférést és engedélyeket. A Teljes felügyelet egyik alapvető biztonsági eleme, hogy csak azokra a felhasználókra korlátozza a hozzáférést Azure AD erőforrásokhoz, akiknek hozzáférésre van szükségük. Ez a cikk áttekintést nyújt arról, hogyan használhatók együtt a csoportok és a hozzáférési jogosultságok a Azure AD-felhasználók egyszerűbb kezeléséhez, valamint a biztonsági ajánlott eljárások alkalmazásával.

Azure AD csoportok használatával kezelheti az alkalmazásokhoz, adatokhoz és erőforrásokhoz való hozzáférést. Az erőforrások a következőek lehetnek:

  • A Azure AD szervezet része, például az objektumok Azure AD szerepkörökön keresztüli kezelésére vonatkozó engedélyek
  • A szervezeten kívül, például szolgáltatott szoftveres (SaaS-) alkalmazások esetén
  • Azure-szolgáltatások
  • SharePoint-webhelyek
  • Helyszíni erőforrások

Egyes csoportok nem kezelhetők a Azure AD portálon:

  • A helyi Active Directory szinkronizált csoportok csak helyi Active Directory kezelhetők.
  • A terjesztési listák és a levelezési biztonsági csoportok csak az Exchange Felügyeleti központban vagy Microsoft 365 Felügyeleti központ kezelhetők. A csoportok kezeléséhez be kell jelentkeznie az Exchange Felügyeleti központba vagy Microsoft 365 Felügyeleti központ.

Tudnivalók a csoport létrehozása előtt

Két csoporttípus és három csoporttagság-típus létezik. Tekintse át a lehetőségeket, és keresse meg a forgatókönyvnek megfelelő kombinációt.

Csoporttípusok:

Biztonsági: A megosztott erőforrásokhoz való felhasználói és számítógép-hozzáférés kezelésére szolgál.

Létrehozhat például egy biztonsági csoportot, hogy minden csoporttag ugyanazokkal a biztonsági engedélyekkel rendelkezzen. A biztonsági csoportok tagjai lehetnek felhasználók, eszközök, más csoportok és szolgáltatásnevek, amelyek meghatározzák a hozzáférési szabályzatot és az engedélyeket. A biztonsági csoportok tulajdonosai felhasználókat és szolgáltatásneveket is tartalmazhatnak.

Microsoft 365: Együttműködési lehetőségeket biztosít a csoporttagok számára a megosztott postaládához, naptárhoz, fájlokhoz, SharePoint-webhelyekhez és egyebekhez való hozzáféréssel.

Ez a lehetőség lehetővé teszi a szervezetnél kívüli személyek hozzáadását is a csoporthoz. A Microsoft 365-csoportok tagjai csak felhasználókat tartalmazhatnak. A Microsoft 365-csoportok tulajdonosai felhasználókat és szolgáltatásneveket is tartalmazhatnak. A Microsoft 365-csoportok kapcsolatos további információkért lásd: Microsoft 365-csoportok.

Tagságtípusok:

  • Hozzárendelt: Lehetővé teszi, hogy adott felhasználókat vegyen fel egy csoport tagjaiként, és egyedi engedélyekkel rendelkezzen.

  • Dinamikus felhasználó: Lehetővé teszi dinamikus tagsági szabályok használatát a tagok automatikus hozzáadásához és eltávolításához. Ha egy tag attribútumai megváltoznak, a rendszer megvizsgálja a címtár dinamikus csoportszabályait, hogy lássa, a tag megfelel-e a szabálykövetelményeknek (hozzáadva), vagy már nem felel meg a szabályok követelményeinek (eltávolítva).

  • Dinamikus eszköz: Lehetővé teszi dinamikus csoportszabályok használatát az eszközök automatikus hozzáadásához és eltávolításához. Ha egy eszköz attribútumai megváltoznak, a rendszer megvizsgálja a címtár dinamikus csoportszabályait, hogy lássa, az eszköz megfelel-e a szabálykövetelményeknek (hozzáadva), vagy már nem felel meg a szabályok követelményeinek (eltávolítva).

    Fontos

    Dinamikus csoportot létre lehet hozni eszközök és tagok számára is, de egyszerre mindkettőhöz nem. Az eszköztulajdonosok attribútumai alapján nem hozhat létre eszközcsoportot. Eszköz tagsági szabályok csak eszköz attribútumokra hivatkozhatnak. További információ a dinamikus csoportok felhasználók és eszközök számára történő létrehozásáról: Dinamikus csoport létrehozása és állapotának ellenőrzése

Tudnivalók a hozzáférési jogosultságok csoporthoz való hozzáadása előtt

Miután létrehozott egy Azure AD csoportot, meg kell adnia neki a megfelelő hozzáférést. Minden olyan alkalmazást, erőforrást és szolgáltatást, amely hozzáférési engedélyeket igényel, külön kell kezelni, mert előfordulhat, hogy az egyikhez tartozó engedélyek nem egyeznek meg egymással. A hozzáférés biztosítása a minimális jogosultság elve alapján a támadás vagy biztonsági incidens kockázatának csökkentése érdekében.

A hozzáférés-kezelés működése a Azure AD-ben

Azure AD hozzáférést biztosít a szervezet erőforrásaihoz azáltal, hogy hozzáférési jogosultságokat biztosít egyetlen felhasználónak vagy egy teljes Azure AD csoportnak. A csoportok használatával az erőforrás tulajdonosa vagy Azure AD címtártulajdonos hozzáférési engedélyek készletét rendelheti a csoport összes taghoz. Az erőforrás- vagy címtártulajdonos felügyeleti jogosultságokat adhat valakinek, például részlegvezetőnek vagy ügyfélszolgálati rendszergazdának, lehetővé téve, hogy az adott személy tagokat vegyen fel és távolítson el. A csoporttulajdonosok kezelésével kapcsolatos további információkért tekintse meg a Csoportok kezelése című cikket.

Az Azure Active Directory hozzáférés-kezelésének ábrája.

Hozzáférési jogosultságok hozzárendelésének módjai

Csoport létrehozása után el kell döntenie, hogyan rendeljen hozzáférési jogosultságokat. Megismerheti a hozzáférési jogosultságok hozzárendelésének módjait a forgatókönyv legjobb folyamatának meghatározásához.

  • Közvetlen hozzárendelés. Az erőforrás tulajdonosa közvetlenül hozzárendeli a felhasználót az erőforráshoz.

  • Csoport-hozzárendelés. Az erőforrás tulajdonosa hozzárendel egy Azure AD csoportot az erőforráshoz, amely automatikusan hozzáférést biztosít a csoport összes tagjának az erőforráshoz. A csoporttagságokat a csoport tulajdonosa és az erőforrás tulajdonosa is kezeli, így bármelyik tulajdonos felvehet vagy eltávolíthat tagokat a csoportból. A csoporttagság kezeléséről további információt a Csoportok kezelése című cikkben talál.

  • Szabályalapú hozzárendelés. Az erőforrás tulajdonosa létrehoz egy csoportot, és egy szabályt használ annak meghatározására, hogy mely felhasználók vannak hozzárendelve egy adott erőforráshoz. A szabály az egyes felhasználókhoz rendelt attribútumokon alapul. Az erőforrás tulajdonosa kezeli a szabályt, és meghatározza, hogy mely attribútumok és értékek szükségesek az erőforrás eléréséhez. További információ: Dinamikus csoport létrehozása és állapotának ellenőrzése.

  • Külső szolgáltató hozzárendelése. Az access egy külső forrásból származik, például egy helyszíni címtárból vagy egy SaaS-alkalmazásból. Ebben az esetben az erőforrás tulajdonosa hozzárendel egy csoportot, amely hozzáférést biztosít az erőforráshoz, majd a külső forrás kezeli a csoporttagokat.

    A hozzáférés-kezelés áttekintésének ábrája.

Csatlakozhatnak a felhasználók csoportokhoz hozzárendelés nélkül?

A csoport tulajdonosa engedélyezheti a felhasználóknak, hogy saját csoportokat keressenek a csatlakozáshoz, ahelyett, hogy hozzárendelik őket. A tulajdonos beállíthatja azt is, hogy a csoport automatikusan fogadja az összes olyan felhasználót, aki csatlakozik, vagy jóváhagyást igényel.

Miután egy felhasználó egy csoporthoz való csatlakozást kér, a rendszer továbbítja a kérést a csoport tulajdonosának. Ha szükséges, a tulajdonos jóváhagyhatja a kérést, és a felhasználó értesítést kap a csoporttagságról. Ha több tulajdonosa van, és az egyik nem támogatja, a felhasználó értesítést kap, de nem lesz hozzáadva a csoporthoz. További információt és útmutatást arról, hogy miként engedélyezheti a felhasználóknak a csoportokhoz való csatlakozást, olvassa el a Azure AD beállítása, hogy a felhasználók csoporthoz való csatlakozást kérhessenek.

Következő lépések