Używanie grup do zarządzania przypisaniami ról w usłudze Microsoft Entra
Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 można tworzyć grupy z możliwością przypisywania ról i przypisywać role firmy Microsoft do tych grup. Ta funkcja upraszcza zarządzanie rolami, zapewnia spójny dostęp i sprawia, że uprawnienia inspekcji są prostsze. Przypisywanie ról do grupy zamiast osób umożliwia łatwe dodawanie lub usuwanie użytkowników z roli i tworzenie spójnych uprawnień dla wszystkich członków grupy. Można również tworzyć role niestandardowe z określonymi uprawnieniami i przypisywać je do grup.
Dlaczego warto przypisywać role do grup?
Rozważmy przykład, w którym firma Contoso zatrudniła osoby w różnych lokalizacjach geograficznych, aby zarządzać hasłami i resetować je dla pracowników w swojej organizacji firmy Microsoft Entra. Zamiast prosić administratora ról uprzywilejowanych o przypisanie roli Administrator pomocy technicznej do każdej osoby indywidualnie, może utworzyć grupę Contoso_Helpdesk_Administrators i przypisać rolę do grupy. Gdy osoby dołączają do grupy, są one przypisywane pośrednio do roli. Istniejący przepływ pracy nadzoru może następnie dbać o proces zatwierdzania i inspekcję członkostwa w grupie, aby upewnić się, że tylko wiarygodni użytkownicy są członkami grupy, a tym samym mają przypisaną rolę Administrator pomocy technicznej.
Jak działają przypisania ról do grup
Aby przypisać rolę do grupy, musisz utworzyć nową grupę zabezpieczeń lub platformy Microsoft 365 z właściwością ustawioną isAssignableToRole
na true
. W centrum administracyjnym firmy Microsoft Entra można ustawić role Entra firmy Microsoft, które można przypisać do opcji grupy na Wartość Tak. Tak czy inaczej, możesz przypisać do grupy co najmniej jedną rolę firmy Microsoft w taki sam sposób, jak przypisywanie ról do użytkowników.
Ograniczenia dotyczące grup z możliwością przypisywania ról
Grupy z możliwością przypisywania ról mają następujące ograniczenia:
- Można ustawić
isAssignableToRole
tylko właściwość lub role Entra firmy Microsoft można przypisać do opcji grupy dla nowych grup. - Właściwość
isAssignableToRole
jest niezmienna. Po utworzeniu grupy przy użyciu tego zestawu właściwości nie można jej zmienić. - Nie można ustawić istniejącej grupy jako grupy z możliwością przypisania roli.
- W jednej organizacji firmy Microsoft Entra (dzierżawca) można utworzyć maksymalnie 500 grup z możliwością przypisywania ról.
Jak chronione są grupy z możliwością przypisywania ról?
Jeśli grupa ma przypisaną rolę, każdy administrator IT, który może zarządzać dynamicznymi grupami członkostwa, może również pośrednio zarządzać członkostwem tej roli. Załóżmy na przykład, że grupa o nazwie Contoso_User_Administrators ma przypisaną rolę Administrator użytkowników. Administrator programu Exchange, który może modyfikować dynamiczne grupy członkostwa, może dodać się do grupy Contoso_User_Administrators i w ten sposób zostać administratorem użytkowników. Jak widać, administrator może podnieść swoje uprawnienia w sposób, który nie zamierzał.
Do roli można przypisać tylko grupy, które mają isAssignableToRole
właściwość ustawioną na true
wartość w czasie tworzenia. Ta właściwość jest niezmienna. Po utworzeniu grupy przy użyciu tego zestawu właściwości nie można jej zmienić. Nie można ustawić właściwości w istniejącej grupie.
Grupy z możliwością przypisywania ról zostały zaprojektowane w celu zapobiegania potencjalnym naruszeniom, stosując następujące ograniczenia:
- Aby utworzyć grupę z możliwością przypisywania ról, musisz mieć przypisaną co najmniej rolę Administrator ról uprzywilejowanych.
- Typ członkostwa dla grup z możliwością przypisania ról musi być Przypisany i nie może być grupą dynamiczną Firmy Microsoft Entra. Zautomatyzowana populacja dynamicznych grup członkostwa może prowadzić do dodania niechcianego konta do grupy, a tym samym przypisanego do roli.
- Domyślnie administratorzy ról uprzywilejowanych mogą zarządzać członkostwem grupy z możliwością przypisywania ról, ale można delegować zarządzanie grupami, które można przypisać do ról, dodając właścicieli grup.
- W przypadku programu Microsoft Graph uprawnienie RoleManagement.ReadWrite.Directory jest wymagane, aby móc zarządzać członkostwem grup z możliwością przypisywania ról. Uprawnienie Group.ReadWrite.All nie będzie działać.
- Aby zapobiec podwyższeniu uprawnień, musisz mieć przypisaną co najmniej rolę Administratora uwierzytelniania uprzywilejowanego, aby zmienić poświadczenia lub zresetować uwierzytelnianie wieloskładnikowe lub zmodyfikować poufne atrybuty dla członków i właścicieli grupy z możliwością przypisania roli.
- Zagnieżdżanie grup nie jest obsługiwane. Nie można dodać grupy jako członka grupy z możliwością przypisywania ról.
Użyj usługi PIM, aby utworzyć grupę kwalifikującą się do przypisania roli
Jeśli nie chcesz, aby członkowie grupy mieli stały dostęp do roli, możesz użyć usługi Microsoft Entra Privileged Identity Management (PIM), aby utworzyć grupę kwalifikującą się do przypisania roli. Każdy członek grupy może następnie aktywować przypisanie roli przez określony czas.
Uwaga
W przypadku grup używanych do uzyskiwania uprawnień do ról firmy Microsoft Entra zalecamy wymaganie procesu zatwierdzania kwalifikujących się przypisań członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić cię podatnym na ryzyko bezpieczeństwa ze strony mniej uprzywilejowanych administratorów. Na przykład administrator pomocy technicznej ma uprawnienia do resetowania haseł uprawnionych użytkowników.
Scenariusze nieobsługiwane
Następujące scenariusze nie są obsługiwane:
- Przypisz role entra firmy Microsoft (wbudowane lub niestandardowe) do grup lokalnych.
Znane problemy
Poniżej przedstawiono znane problemy z grupami z możliwością przypisywania ról:
- Tylko klienci z licencją Microsoft Entra ID P2: nawet po usunięciu grupy nadal jest wyświetlany uprawniony członek roli w interfejsie użytkownika usługi PIM. Funkcjonalnie nie ma problemu; jest to tylko problem z pamięcią podręczną w centrum administracyjnym firmy Microsoft Entra.
- Użyj nowego centrum administracyjnego programu Exchange dla przypisań ról za pośrednictwem dynamicznych grup członkostwa. Stare centrum administracyjne programu Exchange nie obsługuje tej funkcji. Jeśli wymagane jest uzyskanie dostępu do starego centrum administracyjnego programu Exchange, przypisz kwalifikującą się rolę bezpośrednio do użytkownika (a nie za pośrednictwem grup z możliwością przypisywania ról). Polecenia cmdlet programu Exchange PowerShell działają zgodnie z oczekiwaniami.
- Jeśli rola administratora jest przypisana do grupy z możliwością przypisania roli zamiast poszczególnych użytkowników, członkowie grupy nie będą mogli uzyskać dostępu do reguł, organizacji lub folderów publicznych w nowym centrum administracyjnym programu Exchange. Obejście polega na przypisaniu roli bezpośrednio do użytkowników zamiast do grupy.
- Portal usługi Azure Information Protection (portal klasyczny) nie rozpoznaje jeszcze członkostwa w rolach za pośrednictwem grupy. Możesz przeprowadzić migrację do ujednoliconej platformy etykietowania poufności, a następnie użyć portal zgodności Microsoft Purview do zarządzania rolami za pomocą przypisań grup.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID P1. Aktywacja roli just in time w usłudze Privileged Identity Management wymaga licencji Microsoft Entra ID P2. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.