Megosztás a következőn keresztül:

Microsoft Entra-csoportok használata a szerepkörök kiosztásának kezeléséhez

  • Cikk

A P1 vagy P2 Microsoft Entra-azonosítóval szerepkör-hozzárendelhető csoportokat hozhat létre, és Microsoft Entra-szerepköröket rendelhet ezekhez a csoportokhoz. Ez a funkció leegyszerűsíti a szerepkörkezelést, egységes hozzáférést biztosít, és egyszerűbbé teszi a naplózási engedélyeket. A szerepkörök személyek helyett csoporthoz való hozzárendelése lehetővé teszi a felhasználók egyszerű hozzáadását vagy eltávolítását egy szerepkörből, és konzisztens engedélyeket hoz létre a csoport minden tagjának. Egyéni szerepköröket is létrehozhat adott engedélyekkel, és hozzárendelheti őket csoportokhoz.

Miért érdemes szerepköröket hozzárendelni a csoportokhoz?

Vegyük például azt a példát, amikor a Contoso vállalat különböző földrajzi helyeken bérelt fel személyeket a Microsoft Entra-szervezet alkalmazottainak jelszavainak kezelésére és alaphelyzetbe állítására. Ahelyett, hogy arra kérné a kiemelt szerepkör-rendszergazdát, hogy egyenként rendelje hozzá a segélyszolgálati rendszergazdai szerepkört, létrehozhat egy Contoso_Helpdesk_Administrators csoportot, és hozzárendelheti a szerepkört a csoporthoz. Amikor a felhasználók csatlakoznak a csoporthoz, közvetett módon lesznek hozzárendelve a szerepkörhöz. A meglévő szabályozási munkafolyamat ezután gondoskodhat a csoport tagságának jóváhagyási folyamatáról és naplózásáról, így biztosítva, hogy csak a jogos felhasználók tagjai legyenek a csoportnak, és így hozzá legyen rendelve a segélyszolgálati rendszergazdai szerepkörhöz.

A csoportok szerepkör-hozzárendeléseinek működése

Ha szerepkört szeretne hozzárendelni egy csoporthoz, létre kell hoznia egy új biztonsági vagy Microsoft 365-csoportot, amelynek a tulajdonsága a isAssignableToRole következő true. A Microsoft Entra felügyeleti központban beállíthatja, hogy a Microsoft Entra szerepkörök igen értékre legyenek rendelve a csoportbeállításhoz. Így is hozzárendelhet egy vagy több Microsoft Entra-szerepkört a csoporthoz ugyanúgy, mint a felhasználókhoz.

Képernyőkép a Szerepkörök és rendszergazdák lapról

Szerepkörhöz hozzárendelhető csoportok korlátozásai

A szerepkörhöz hozzárendelhető csoportokra a következő korlátozások vonatkoznak:

  • Csak a isAssignableToRole tulajdonságot állíthatja be, vagy a Microsoft Entra-szerepkörök az új csoportok csoportbeállításához rendelhetők hozzá.
  • A isAssignableToRole tulajdonság nem módosítható. Miután létrehozott egy csoportot ezzel a tulajdonságkészlettel, az nem módosítható.
  • A meglévő csoportokat nem lehet szerepkörhöz hozzárendelhető csoportként létrehozni.
  • Egyetlen Microsoft Entra-szervezetben (bérlőben) legfeljebb 500 szerepkör-hozzárendelhető csoport hozható létre.

Hogyan védik a szerepkör-hozzárendelhető csoportokat?

Ha egy csoporthoz szerepkör van rendelve, a dinamikus tagsági csoportok kezelésére képes informatikai rendszergazdák közvetetten is kezelhetik a szerepkör tagságát. Tegyük fel például, hogy egy Contoso_User_Administrators nevű csoporthoz felhasználói rendszergazdai szerepkör van hozzárendelve. Egy Exchange-rendszergazda, aki módosíthatja a dinamikus tagsági csoportokat, hozzáadhatja magát a Contoso_User_Administrators csoporthoz, és így felhasználói rendszergazdává válhat. Mint látható, a rendszergazda nem kívánt módon emelheti ki a jogosultságát.

Csak azok a csoportok rendelhetők hozzá szerepkörhöz, amelyeknek a isAssignableToRole tulajdonsága a létrehozáskor van beállítva true . Ez a tulajdonság nem módosítható. Miután létrehozott egy csoportot ezzel a tulajdonságkészlettel, az nem módosítható. A tulajdonság nem állítható be egy meglévő csoporton.

A szerepkör-hozzárendeléssel rendelkező csoportok az alábbi korlátozásokkal segítenek megelőzni a lehetséges incidenseket:

  • Szerepkör-hozzárendelhető csoport létrehozásához legalább a Privileged Role Administrator szerepkört kell hozzárendelni.
  • A szerepkör-hozzárendelhető csoportok tagságtípusának hozzárendeltnek kell lennie, és nem lehet Microsoft Entra dinamikus csoport. A dinamikus tagsági csoportok automatikus sokasága azt eredményezheti, hogy a rendszer nem kívánt fiókot ad hozzá a csoporthoz, és így hozzá van rendelve a szerepkörhöz.
  • A kiemelt szerepkörgazdák alapértelmezés szerint kezelhetik a szerepkörhöz rendelhető csoportok tagságát, de a szerepkör-hozzárendelhető csoportok kezelését csoporttulajdonosok hozzáadásával delegálhatja.
  • A Microsoft Graph esetében a RoleManagement.ReadWrite.Directory engedélyre van szükség a szerepkör-hozzárendelhető csoportok tagságának kezeléséhez. A Group.ReadWrite.All engedély nem működik.
  • A jogosultságszint-emelés megakadályozása érdekében legalább a Privileged Authentication Administrator szerepkörrel kell rendelkeznie a hitelesítő adatok módosításához, az MFA alaphelyzetbe állításához vagy egy szerepkörhöz hozzárendelhető csoport tagjainak és tulajdonosainak bizalmas attribútumainak módosításához.
  • A csoportos beágyazás nem támogatott. Egy csoport nem adható hozzá szerepkörhöz hozzárendelhető csoport tagjaként.

A PIM használata egy csoport szerepkör-hozzárendelésre való jogosultságának céljából

Ha nem szeretné, hogy a csoport tagjai állandó hozzáféréssel rendelkezzenek egy szerepkörhöz, a Microsoft Entra Privileged Identity Management (PIM) használatával jogosulttá teheti a csoportokat a szerepkör-hozzárendelésre. A csoport minden tagja jogosult a szerepkör-hozzárendelés aktiválására egy meghatározott időtartamra.

Feljegyzés

A Microsoft Entra-szerepkörökbe való emeléshez használt csoportok esetében javasoljuk, hogy a jogosult tag-hozzárendelésekhez jóváhagyási folyamatot igényeljön. A jóváhagyás nélkül aktiválható hozzárendelések sebezhetővé tehetik a kevésbé jogosultsággal rendelkező rendszergazdák biztonsági kockázatait. A segélyszolgálat rendszergazdája például jogosult felhasználó jelszavának alaphelyzetbe állítására.

A forgatókönyvek nem támogatottak

A következő forgatókönyvek nem támogatottak:

  • Microsoft Entra-szerepkörök (beépített vagy egyéni) hozzárendelése helyszíni csoportokhoz.

Ismert problémák

A szerepkörhöz rendelhető csoportok ismert problémái a következők:

  • Csak Microsoft Entra ID P2 licenccel rendelkező ügyfelek: A csoport törlése után is megjelenik a PIM felhasználói felületén a szerepkör jogosult tagja. Funkcionálisan nincs probléma; ez csak egy gyorsítótár-probléma a Microsoft Entra felügyeleti központban.
  • Az új Exchange Felügyeleti központ dinamikus tagsági csoportokon keresztüli szerepkör-hozzárendelésekhez használható. A régi Exchange felügyeleti központ nem támogatja ezt a funkciót. Ha a régi Exchange felügyeleti központhoz való hozzáférésre van szükség, a jogosult szerepkört közvetlenül a felhasználóhoz rendelje hozzá (nem szerepkör-hozzárendelhető csoportokon keresztül). Az Exchange PowerShell-parancsmagok a várt módon működnek.
  • Ha az egyes felhasználók helyett egy rendszergazdai szerepkör van hozzárendelve egy szerepkörhöz, a csoport tagjai nem férhetnek hozzá a szabályokhoz, a szervezethez vagy a nyilvános mappákhoz az új Exchange felügyeleti központban. A kerülő megoldás az, hogy a szerepkört közvetlenül a felhasználókhoz rendeli a csoport helyett.
  • Az Azure Information Protection Portál (a klasszikus portál) még nem ismeri fel a csoporton keresztüli szerepkör-tagságot. Migrálhat az egyesített bizalmassági címkézési platformra, majd a Microsoft Purview megfelelőségi portál használatával csoporthozzárendeléseket használhat a szerepkörök kezeléséhez.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1 licenc szükséges. Az igény szerint történő szerepkör-aktiváláshoz szükséges Privileged Identity Managementhez Microsoft Entra ID P2-licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.

Következő lépések