Azure AD-csoportok használata a szerepkör-hozzárendelések kezeléséhez

  • Cikk
  • 4 perc alatt elolvasható

Az Azure Active Directory (Azure AD) segítségével Azure AD csoportokat célozhat meg szerepkör-hozzárendelésekhez. A szerepkörök csoportokhoz való hozzárendelése leegyszerűsítheti a szerepkör-hozzárendelések kezelését Azure AD a globális rendszergazdák és a kiemelt szerepkörök rendszergazdáinak minimális erőfeszítésével.

Miért érdemes szerepköröket hozzárendelni a csoportokhoz?

Vegyük például azt a példát, amelyben a Contoso vállalat különböző földrajzi helyeken bérelt fel személyeket a Azure AD szervezetében dolgozó alkalmazottak jelszavának kezelésére és alaphelyzetbe állítására. Ahelyett, hogy emelt szintű szerepkörgazdát vagy globális rendszergazdát kérne, hogy külön-külön rendelje hozzá a segélyszolgálati rendszergazda szerepkört mindegyik személyhez, létrehozhat egy Contoso_Helpdesk_Administrators csoportot, és hozzárendelheti a szerepkört a csoporthoz. Amikor a felhasználók csatlakoznak a csoporthoz, közvetetten lesznek hozzárendelve a szerepkörhöz. A meglévő szabályozási munkafolyamat ezután elvégezheti a jóváhagyási folyamatot és a csoport tagságának naplózását, így biztosítható, hogy csak a jogos felhasználók tagjai legyenek a csoportnak, és így hozzá legyen rendelve a Segélyszolgálat rendszergazdája szerepkörhöz.

A csoportok szerepkör-hozzárendeléseinek működése

Ha szerepkört szeretne hozzárendelni egy csoporthoz, létre kell hoznia egy új biztonsági vagy Microsoft 365-csoportot, amelynek tulajdonsága értékre isAssignableToRoletruevan állítva. A Azure Portal a csoporthoz rendelhető Azure AD szerepköröketIgen értékre állítja. Mindkét esetben ugyanúgy rendelhet hozzá egy vagy több Azure AD szerepkört a csoporthoz, mint a felhasználókhoz.

Képernyőkép a Szerepkörök és rendszergazdák lapról

Szerepkörhöz hozzárendelhető csoportok korlátozásai

A szerepkörhöz hozzárendelhető csoportokra a következő korlátozások vonatkoznak:

  • Csak a isAssignableToRole tulajdonságot állíthatja be, vagy a Azure AD szerepkörök az új csoportok csoportbeállításához rendelhetők hozzá.
  • A isAssignableToRole tulajdonság nem módosítható. Miután létrehozott egy csoportot ezzel a tulajdonságkészlettel, az nem módosítható.
  • A meglévő csoportokat nem lehet szerepkörhöz hozzárendelhető csoportként létrehozni.
  • Legfeljebb 500 szerepkörhöz hozzárendelhető csoport hozható létre egyetlen Azure AD szervezetben (bérlőben).

Hogyan védik a szerepkörhöz hozzárendelhető csoportokat?

Ha egy csoporthoz szerepkör van hozzárendelve, a csoporttagság kezelésére képes rendszergazdák közvetetten is kezelhetik a szerepkör tagságát. Tegyük fel például, hogy egy Contoso_User_Administrators nevű csoporthoz felhasználói rendszergazdai szerepkör van hozzárendelve. Egy Exchange-rendszergazda, aki módosíthatja a csoporttagságokat, hozzáadhatja magát a Contoso_User_Administrators csoporthoz, és így felhasználói rendszergazdává válhat. Mint látható, a rendszergazda nem kívánt módon emelheti meg a jogosultságát.

Csak azok a csoportok rendelhetők hozzá szerepkörhöz, amelyeknek a isAssignableToRole tulajdonsága létrehozáskor értékre true van állítva. Ez a tulajdonság nem módosítható. Miután létrehozott egy csoportot ezzel a tulajdonságkészlettel, az nem módosítható. A tulajdonság meglévő csoporton nem állítható be.

A szerepkörhöz hozzárendelhető csoportok úgy vannak kialakítva, hogy a következő korlátozásokkal előzzék meg a lehetséges incidenseket:

  • Szerepkörhöz hozzárendelhető csoportot csak a globális rendszergazdák és a kiemelt szerepkörű rendszergazdák hozhatnak létre.
  • A szerepkörhöz hozzárendelhető csoportok tagsági típusának Hozzárendeltnek kell lennie, és nem lehet Azure AD dinamikus csoport. A dinamikus csoportok automatizált sokasága azt eredményezheti, hogy a rendszer nem kívánt fiókot ad hozzá a csoporthoz, és így hozzárendeli őket a szerepkörhöz.
  • Alapértelmezés szerint csak a globális rendszergazdák és a kiemelt szerepkörű rendszergazdák kezelhetik a szerepkörhöz hozzárendelhető csoportok tagságát, de a szerepkörhöz hozzárendelhető csoportok felügyeletét csoporttulajdonosok hozzáadásával delegálhatja.
  • A Microsoft Graph esetében a SzerepkörManagement.ReadWrite.Directory engedély szükséges a szerepkörhöz hozzárendelhető csoportok tagságának kezeléséhez. A Group.ReadWrite.All engedély nem fog működni.
  • A jogosultságszint-emelés megakadályozása érdekében csak a privileged authentication rendszergazda vagy a globális rendszergazda módosíthatja a hitelesítő adatokat, alaphelyzetbe állíthatja az MFA-t, vagy módosíthatja a szerepkörhöz hozzárendelhető csoportok tagjainak és tulajdonosainak bizalmas attribútumait.
  • A csoportos beágyazás nem támogatott. Egy csoport nem vehető fel szerepkörhöz hozzárendelhető csoport tagjaként.

Csoport szerepkör-hozzárendelésre való alkalmassá tétele a PIM használatával

Ha nem szeretné, hogy a csoport tagjai állandó hozzáféréssel rendelkezzenek egy szerepkörhöz, a Azure AD Privileged Identity Management (PIM) használatával jogosulttá teheti a csoportokat a szerepkör-hozzárendelésre. Ezután a csoport minden tagja jogosult a szerepkör-hozzárendelés aktiválására egy meghatározott időtartamra.

Megjegyzés

A Azure AD szerepkörökbe való emeléshez használt csoportok esetében azt javasoljuk, hogy a jogosult tag-hozzárendelésekhez jóváhagyási folyamatot igényeljön. A jóváhagyás nélkül aktiválható hozzárendelések sebezhetővé tehetik a kevésbé kiemelt rendszergazdák biztonsági kockázatait. A segélyszolgálat rendszergazdája például rendelkezik engedéllyel egy jogosult felhasználó jelszavának alaphelyzetbe állításához.

A forgatókönyvek nem támogatottak

A következő forgatókönyvek nem támogatottak:

  • Azure AD szerepkörök (beépített vagy egyéni) hozzárendelése helyszíni csoportokhoz.

Ismert problémák

A szerepkörhöz hozzárendelhető csoportokkal kapcsolatos ismert problémák a következők:

  • csak A P2 licenccel rendelkező ügyfelek Azure AD: A csoport törlése után is megjelenik a szerepkör jogosult tagja a PIM felhasználói felületén. Funkcionálisan nincs probléma; Ez csak egy gyorsítótár-probléma a Azure Portal.
  • A csoporttagságon keresztüli szerepkör-hozzárendelésekhez használja az új Exchange Felügyeleti központot . A régi Exchange felügyeleti központ nem támogatja ezt a funkciót. Ha a régi Exchange Felügyeleti központhoz való hozzáférésre van szükség, a jogosult szerepkört közvetlenül a felhasználóhoz kell rendelni (nem szerepkörhöz hozzárendelhető csoportokon keresztül). Az Exchange PowerShell-parancsmagok a várt módon működnek.
  • Ha az egyes felhasználók helyett egy rendszergazdai szerepkör van hozzárendelve egy szerepkörhöz hozzárendelhető csoporthoz, a csoport tagjai nem férhetnek hozzá a Szabályok, a Szervezet vagy a Nyilvános mappákhoz az új Exchange Felügyeleti központban. A megkerülő megoldás az, hogy a szerepkört közvetlenül a felhasználókhoz rendeli hozzá a csoport helyett.
  • Az Azure Information Protection Portal (a klasszikus portál) még nem ismeri fel a szerepkör-tagságot csoporton keresztül. Migrálhat az egységes bizalmassági címkézési platformra, majd a Microsoft Purview megfelelőségi központ használatával csoport-hozzárendeléseket használhat a szerepkörök kezeléséhez.

Licenckövetelmények

A funkció használatához prémium szintű Azure AD P1-licenc szükséges. Az igény szerint történő szerepkör-aktiváláshoz Privileged Identity Management Prémium P2 szintű Azure AD licencre van szükség. A követelményeknek megfelelő licenc megkereséséhez lásd: Az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása.

Következő lépések