Zabezpieczanie kontroli dostępu przy użyciu grup w usłudze Microsoft Entra ID
Microsoft Entra ID umożliwia używanie grup do zarządzania dostępem do zasobów w organizacji. Użyj grup do kontroli dostępu, aby zarządzać aplikacjami i zminimalizować dostęp do nich. Gdy grupy są używane, tylko członkowie tych grup mogą uzyskiwać dostęp do zasobu. Korzystanie z grup umożliwia również następujące funkcje zarządzania:
- Grupy dynamiczne oparte na atrybutach
- Grupy zewnętrzne synchronizowane z lokalna usługa Active Directory
- Administracja istrator zarządzane lub samoobsługowe grupy zarządzane
Aby dowiedzieć się więcej o zaletach grup kontroli dostępu, zobacz Zarządzanie dostępem do aplikacji.
Podczas tworzenia aplikacji autoryzuj dostęp za pomocą oświadczenia grup. Aby dowiedzieć się więcej, zobacz konfigurowanie oświadczeń grup dla aplikacji przy użyciu identyfikatora Entra firmy Microsoft.
Obecnie wiele aplikacji wybiera podzbiór grup z ustawioną flagą, aby true uniknąć wyzwań związanych ze securityEnabled skalowaniem, czyli w celu zmniejszenia liczby grup zwracanych w tokenie. securityEnabled Ustawienie flagi na wartość true dla grupy nie gwarantuje, że grupa jest bezpiecznie zarządzana.
Najlepsze rozwiązania dotyczące ograniczania ryzyka
W poniższej tabeli przedstawiono kilka najlepszych rozwiązań w zakresie zabezpieczeń dla grup zabezpieczeń, a potencjalne zagrożenia bezpieczeństwa są ograniczane przez poszczególne praktyki.
| Najlepsze rozwiązanie w zakresie zabezpieczeń | Ograniczenie ryzyka zabezpieczeń |
|---|---|
Upewnij się, że właściciel zasobu i właściciel grupy są tym samym podmiotem zabezpieczeń. Aplikacje powinny tworzyć własne środowisko zarządzania grupami i tworzyć nowe grupy w celu zarządzania dostępem. Na przykład aplikacja może tworzyć grupy z Group.Create uprawnieniem i dodawać się jako właściciel grupy. Dzięki temu aplikacja ma kontrolę nad swoimi grupami bez uprawnień do modyfikowania innych grup w dzierżawie. |
Gdy właściciele grup i właściciele zasobów są różnymi jednostkami, właściciele grup mogą dodawać użytkowników do grupy, którzy nie powinni uzyskiwać dostępu do zasobu, ale mogą uzyskiwać do niego dostęp przypadkowo. |
| Utwórz niejawny kontrakt między właścicielem zasobu a właścicielem grupy. Właściciel zasobu i właściciel grupy powinny być dostosowane do celu grupy, zasad i członków, które można dodać do grupy, aby uzyskać dostęp do zasobu. Ten poziom zaufania jest nietechniczny i opiera się na umowie ludzkiej lub biznesowej. | Gdy właściciele grup i właściciele zasobów mają różne intencje, właściciel grupy może dodać użytkowników do grupy, do których właściciel zasobu nie zamierzał udzielać dostępu. Ta akcja może spowodować niepotrzebny i potencjalnie ryzykowny dostęp. |
| Użyj grup prywatnych do kontroli dostępu. Grupy platformy Microsoft 365 są zarządzane przez koncepcję widoczności. Ta właściwość steruje zasadami sprzężenia grupy i widocznością zasobów grupy. Grupy zabezpieczeń mają zasady dołączania, które umożliwiają każdemu dołączanie lub wymaganie zatwierdzenia właściciela. Grupy synchronizowane lokalnie mogą być również publiczne lub prywatne. Użytkownicy dołączani do grupy synchronizowanej lokalnie mogą również uzyskiwać dostęp do zasobu w chmurze. | Jeśli używasz grupy publicznej do kontroli dostępu, każdy członek może dołączyć do grupy i uzyskać dostęp do zasobu. Ryzyko podniesienia uprawnień istnieje, gdy grupa publiczna jest używana do udzielenia dostępu do zasobu zewnętrznego. |
| Zagnieżdżanie grup. Jeśli używasz grupy do kontroli dostępu i ma inne grupy jako jej członkowie, członkowie podgrup mogą uzyskać dostęp do zasobu. W takim przypadku istnieje wiele właścicieli grup nadrzędnych i podgrup. | Dostosowanie do wielu właścicieli grup w celu każdej grupy i sposób dodawania odpowiednich członków do tych grup jest bardziej złożone i bardziej podatne na przypadkowe udzielenie dostępu. Ogranicz liczbę zagnieżdżonych grup lub nie używaj ich w ogóle, jeśli jest to możliwe. |