Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365

Artykuł
10/24/2023

Grupy są częścią strategii kontroli dostępu. Możesz użyć grup zabezpieczeń firmy Microsoft Entra i Grupy Microsoft 365 jako podstawy do zabezpieczania dostępu do zasobów. Użyj grup dla następujących mechanizmów kontroli dostępu:

Zasady dostępu warunkowego
- Co to jest dostęp warunkowy?
Pakiety dostępu do zarządzania upoważnieniami
- Co to jest zarządzanie upoważnieniami?
Dostęp do zasobów platformy Microsoft 365, witryn usługi Microsoft Teams i programu SharePoint

Grupy mają następujące role:

Właściciele grup — zarządzanie ustawieniami grupy i jej członkostwem
Członkowie — dziedziczą uprawnienia i dostęp przypisany do grupy
Goście — są członkami spoza organizacji

Zanim rozpoczniesz

Ten artykuł jest numerem 4 w serii 10 artykułów. Zalecamy przejrzenie artykułów w kolejności. Przejdź do sekcji Następne kroki , aby wyświetlić całą serię.

Strategia grupy

Aby opracować strategię grupy w celu zabezpieczenia dostępu zewnętrznego do zasobów, należy wziąć pod uwagę odpowiedni stan zabezpieczeń.

Dowiedz się więcej: Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego

Tworzenie grupy

Określ, kto ma przyznane uprawnienia do tworzenia grup: Administracja istratorów, pracowników i/lub użytkowników zewnętrznych. Rozważ następujące scenariusze:

Członkowie dzierżawy mogą tworzyć grupy zabezpieczeń firmy Microsoft Entra
Użytkownicy wewnętrzni i zewnętrzni mogą dołączać do grup w dzierżawie
Użytkownicy mogą tworzyć Grupy Microsoft 365
Zarządzanie osobami, które mogą tworzyć Grupy Microsoft 365
- Konfigurowanie tego ustawienia przy użyciu programu PowerShell
Ograniczanie aplikacji Microsoft Entra do zestawu użytkowników w dzierżawie firmy Microsoft Entra
Konfigurowanie samoobsługowego zarządzania grupami w usłudze Microsoft Entra ID
Rozwiązywanie problemów z grupami

Zaproszenia do grup

W ramach strategii grupy należy rozważyć, kto może zapraszać osoby lub dodawać je do grup. Członkowie grupy mogą dodawać innych członków lub właściciele grup mogą dodawać członków. Zdecyduj, kto może zostać zaproszony. Domyślnie użytkownicy zewnętrzni mogą być dodawani do grup.

Przypisywanie użytkowników do grup

Użytkownicy są przypisywani do grup ręcznie, na podstawie atrybutów użytkownika w obiekcie użytkownika lub użytkowników są przypisywani na podstawie innych kryteriów. Użytkownicy są przypisywani do grup dynamicznie na podstawie ich atrybutów. Można na przykład przypisać użytkowników do grup w oparciu o:

Stanowisko lub dział
Organizacja partnerów, do której należą
- Ręcznie lub za pośrednictwem połączonych organizacji
Typ członka lub użytkownika-gościa
Uczestnictwo w projekcie
- Ręcznie
Lokalizacja

Grupy dynamiczne mają użytkowników lub urządzenia, ale nie oba te grupy. Aby przypisać użytkowników do grupy dynamicznej, dodaj zapytania na podstawie atrybutów użytkownika. Poniższy zrzut ekranu zawiera zapytania, które dodają użytkowników do grupy, jeśli są członkami działu finansowego.

Screenshot of options and entries under Dynamic membership rules.

Dowiedz się więcej: Tworzenie lub aktualizowanie grupy dynamicznej w identyfikatorze Entra firmy Microsoft

Używanie grup dla jednej funkcji

W przypadku korzystania z grup ważne jest, aby miały jedną funkcję. Jeśli grupa jest używana do udzielania dostępu do zasobów, nie używaj jej do innego celu. Zalecamy konwencję nazewnictwa grup zabezpieczeń, która jasno wyjaśnia cel:

Secure_access_finance_apps
Team_membership_finance_team
Location_finance_building

Typy grup

Grupy zabezpieczeń firmy Microsoft Entra i Grupy Microsoft 365 można utworzyć w witrynie Azure Portal lub w portalu Administracja Microsoft 365. Użyj dowolnego typu grupy do zabezpieczania dostępu zewnętrznego.

Kwestie wymagające rozważenia	Ręczne i dynamiczne grupy zabezpieczeń firmy Microsoft Entra	Microsoft 365 Groups
Grupa zawiera	Użytkownicy Grupy Jednostki usługi Urządzenia	Tylko użytkownicy
Miejsce utworzenia grupy	Azure Portal Portal platformy Microsoft 365, jeśli jest włączony pocztą) PowerShell Microsoft Graph Portal użytkowników końcowych	Portal platformy Microsoft 365 Witryna Azure Portal PowerShell Microsoft Graph W aplikacjach platformy Microsoft 365
KtoTo tworzy domyślnie	Administracja istratory Użytkownicy	Administratorzy Użytkownicy
KtoTo jest domyślnie dodawany	Użytkownicy wewnętrzni (członkowie dzierżawy) i użytkownicy-goście	Członkowie dzierżawy i goście z organizacji
Dostęp jest udzielany	Zasoby, do których jest przypisany.	Zasoby związane z grupą: (Grupuj skrzynkę pocztową, witrynę, zespół, czaty i inne zasoby platformy Microsoft 365) Inne zasoby, do których jest dodawana grupa
Może być używany z	Dostęp warunkowy zarządzanie upoważnieniami licencjonowanie grup	Dostęp warunkowy zarządzanie upoważnieniami etykiety poufności

Uwaga

Użyj Grupy Microsoft 365, aby utworzyć zestaw zasobów platformy Microsoft 365 i zarządzać nim, takich jak zespół i skojarzone z nią witryny i zawartość.

Grupy zabezpieczeń firmy Microsoft Entra

Grupy zabezpieczeń firmy Microsoft Entra mogą mieć użytkowników lub urządzenia. Użyj tych grup, aby zarządzać dostępem do:

Zasoby platformy Azure
- Aplikacje platformy Microsoft 365
- Niestandardowe aplikacje
- Aplikacje oprogramowania jako usługi (SaaS), takie jak Dropbox ServiceNow
Dane i subskrypcje platformy Azure
Usługi platformy Azure

Użyj grup zabezpieczeń firmy Microsoft Entra, aby przypisać:

Licencje na usługi
- Microsoft 365
- Dynamics 365
- Enterprise Mobility + Security
- Zobacz Co to jest licencjonowanie oparte na grupach w usłudze Microsoft Entra ID?
Uprawnienia z podwyższonym poziomem uprawnień
- Zobacz Używanie grup firmy Microsoft Entra do zarządzania przypisaniami ról

Więcej informacji:

Uwaga

Użyj grup zabezpieczeń, aby przypisać maksymalnie 1500 aplikacji.

Screenshot of entries and options under New Group.

Grupa zabezpieczeń z obsługą poczty

Aby utworzyć grupę zabezpieczeń z obsługą poczty, przejdź do Centrum administracyjne platformy Microsoft 365. Włącz grupę zabezpieczeń dla poczty podczas tworzenia. Nie można go włączyć później. Nie można utworzyć grupy w witrynie Azure Portal.

Organizacje hybrydowe i grupy zabezpieczeń firmy Microsoft Entra

Organizacje hybrydowe mają infrastrukturę lokalną i identyfikator Firmy Microsoft Entra. Organizacje hybrydowe korzystające z usługi Active Directory mogą tworzyć lokalne grupy zabezpieczeń i synchronizować je z chmurą. W związku z tym do grup zabezpieczeń można dodawać tylko użytkowników w środowisku lokalnym.

Ważne

Ochrona infrastruktury lokalnej przed naruszeniem zabezpieczeń. Zobacz Ochrona platformy Microsoft 365 przed atakami lokalnymi.

Microsoft 365 Groups

Grupy Microsoft 365 to usługa członkostwa w celu uzyskania dostępu do platformy Microsoft 365. Można je utworzyć w witrynie Azure Portal lub Centrum administracyjne platformy Microsoft 365. Podczas tworzenia grupy platformy Microsoft 365 udzielasz dostępu do grupy zasobów na potrzeby współpracy.

Więcej informacji:

role Grupy Microsoft 365

Właściciele grup
- Dodawanie lub usuwanie członków
- Usuwanie konwersacji z udostępnionej skrzynki odbiorczej
- Zmienianie ustawień grupy
- Zmienianie nazwy grupy
- Aktualizowanie opisu lub obrazu
Elementy członkowskie
- Uzyskiwanie dostępu do wszystkich elementów w grupie
- Nie można zmienić ustawień grupy
- Może zapraszać gości do dołączenia do grupy
- Zarządzanie dostępem gościa w grupach platformy Microsoft 365
Zatrzymali
- Są członkami spoza organizacji
- Mają pewne ograniczenia dotyczące funkcjonalności w usłudze Teams

Ustawienia grupy platformy Microsoft 365

Wybierz alias wiadomości e-mail, prywatność i określ, czy chcesz włączyć grupę dla zespołów.

Screenshot of options and entries under Edit settings.

Po skonfigurowaniu dodaj członków i skonfiguruj ustawienia użycia poczty e-mail itd.

Następne kroki

Skorzystaj z poniższej serii artykułów, aby dowiedzieć się więcej na temat zabezpieczania dostępu zewnętrznego do zasobów. Zalecamy przestrzeganie wymienionej kolejności.

Udostępnij za pośrednictwem