Udostępnij za pośrednictwem

Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365

  • Artykuł

Grupy są częścią strategii kontroli dostępu. Możesz użyć grup zabezpieczeń firmy Microsoft Entra i Grupy Microsoft 365 jako podstawy do zabezpieczania dostępu do zasobów. Użyj grup dla następujących mechanizmów kontroli dostępu:

Grupy mają następujące role:

  • Właściciele grup — zarządzanie ustawieniami grupy i jej członkostwem
  • Członkowie — dziedziczą uprawnienia i dostęp przypisany do grupy
  • Goście — są członkami spoza organizacji

Zanim rozpoczniesz

Ten artykuł jest numerem 4 w serii 10 artykułów. Zalecamy przejrzenie artykułów w kolejności. Przejdź do sekcji Następne kroki , aby wyświetlić całą serię.

Strategia grupy

Aby opracować strategię grupy w celu zabezpieczenia dostępu zewnętrznego do zasobów, należy wziąć pod uwagę odpowiedni stan zabezpieczeń.

Dowiedz się więcej: Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego

Tworzenie grupy

Określ, kto ma przyznane uprawnienia do tworzenia grup: administratorzy, pracownicy i/lub użytkownicy zewnętrzni. Rozważ następujące scenariusze:

Zaproszenia do grup

W ramach strategii grupy należy rozważyć, kto może zapraszać osoby lub dodawać je do grup. Członkowie grupy mogą dodawać innych członków lub właściciele grup mogą dodawać członków. Zdecyduj, kto może zostać zaproszony. Domyślnie użytkownicy zewnętrzni mogą być dodawani do grup.

Przypisywanie użytkowników do grup

Użytkownicy są przypisywani do grup ręcznie, na podstawie atrybutów użytkownika w obiekcie użytkownika lub użytkowników są przypisywani na podstawie innych kryteriów. Użytkownicy są przypisywani do grup dynamicznie na podstawie ich atrybutów. Można na przykład przypisać użytkowników do grup w oparciu o:

  • Stanowisko lub dział
  • Organizacja partnerów, do której należą
    • Ręcznie lub za pośrednictwem połączonych organizacji
  • Typ członka lub użytkownika-gościa
  • Uczestnictwo w projekcie
    • Ręcznie
  • Lokalizacja

Grupy dynamiczne mają użytkowników lub urządzenia, ale nie oba te grupy. Aby przypisać użytkowników do grupy dynamicznej, dodaj zapytania na podstawie atrybutów użytkownika. Poniższy zrzut ekranu zawiera zapytania, które dodają użytkowników do grupy, jeśli są członkami działu finansowego.

Zrzut ekranu przedstawiający opcje i wpisy w obszarze Reguły członkostwa dynamicznego.

Dowiedz się więcej: Tworzenie lub aktualizowanie grupy dynamicznej w identyfikatorze Entra firmy Microsoft

Używanie grup dla jednej funkcji

W przypadku korzystania z grup ważne jest, aby miały jedną funkcję. Jeśli grupa jest używana do udzielania dostępu do zasobów, nie używaj jej do innego celu. Zalecamy konwencję nazewnictwa grup zabezpieczeń, która jasno wyjaśnia cel:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Typy grup

Grupy zabezpieczeń firmy Microsoft Entra i Grupy Microsoft 365 można utworzyć w witrynie Azure Portal lub w portalu Administracja Microsoft 365. Użyj dowolnego typu grupy do zabezpieczania dostępu zewnętrznego.

Kwestie wymagające rozważenia Ręczne i dynamiczne grupy zabezpieczeń firmy Microsoft Entra Microsoft 365 Groups
Grupa zawiera Użytkownicy
Grupy
Jednostki usługi
Urządzenia		 Tylko użytkownicy
Miejsce utworzenia grupy Azure Portal
Portal platformy Microsoft 365, jeśli jest włączony pocztą)
PowerShell
Microsoft Graph
Portal użytkowników końcowych		 Portal platformy Microsoft 365
Witryna Azure Portal
PowerShell
Microsoft Graph
W aplikacjach platformy Microsoft 365
Kto tworzy domyślnie Administratorzy
Użytkownicy		 Administratorzy
Użytkownicy
Kto jest domyślnie dodawany Użytkownicy wewnętrzni (członkowie dzierżawy) i użytkownicy-goście Członkowie dzierżawy i goście z organizacji
Dostęp jest udzielany Zasoby, do których jest przypisany. Zasoby związane z grupą:
(Grupuj skrzynkę pocztową, witrynę, zespół, czaty i inne zasoby platformy Microsoft 365)
Inne zasoby, do których jest dodawana grupa
Może być używany z Dostęp warunkowy
zarządzanie upoważnieniami
licencjonowanie grup		 Dostęp warunkowy
zarządzanie upoważnieniami
etykiety poufności

Uwaga

Użyj Grupy Microsoft 365, aby utworzyć zestaw zasobów platformy Microsoft 365 i zarządzać nim, takich jak zespół i skojarzone z nią witryny i zawartość.

Grupy zabezpieczeń firmy Microsoft Entra

Grupy zabezpieczeń firmy Microsoft Entra mogą mieć użytkowników lub urządzenia. Użyj tych grup, aby zarządzać dostępem do:

  • Zasoby platformy Azure
    • Aplikacje platformy Microsoft 365
    • Niestandardowe aplikacje
    • Aplikacje oprogramowania jako usługi (SaaS), takie jak Dropbox ServiceNow
  • Dane i subskrypcje platformy Azure
  • Usługi platformy Azure

Użyj grup zabezpieczeń firmy Microsoft Entra, aby przypisać:

Więcej informacji:

Uwaga

Użyj grup zabezpieczeń, aby przypisać maksymalnie 1500 aplikacji.

Zrzut ekranu przedstawiający wpisy i opcje w obszarze Nowa grupa.

Grupa zabezpieczeń z obsługą poczty

Aby utworzyć grupę zabezpieczeń z obsługą poczty, przejdź do Centrum administracyjne platformy Microsoft 365. Włącz grupę zabezpieczeń dla poczty podczas tworzenia. Nie można go włączyć później. Nie można utworzyć grupy w witrynie Azure Portal.

Organizacje hybrydowe i grupy zabezpieczeń firmy Microsoft Entra

Organizacje hybrydowe mają infrastrukturę lokalną i identyfikator Firmy Microsoft Entra. Organizacje hybrydowe korzystające z usługi Active Directory mogą tworzyć lokalne grupy zabezpieczeń i synchronizować je z chmurą. W związku z tym do grup zabezpieczeń można dodawać tylko użytkowników w środowisku lokalnym.

Ważne

Ochrona infrastruktury lokalnej przed naruszeniem zabezpieczeń. Zobacz Ochrona platformy Microsoft 365 przed atakami lokalnymi.

Microsoft 365 Groups

Grupy Microsoft 365 to usługa członkostwa w celu uzyskania dostępu do platformy Microsoft 365. Można je utworzyć w witrynie Azure Portal lub Centrum administracyjne platformy Microsoft 365. Podczas tworzenia grupy platformy Microsoft 365 udzielasz dostępu do grupy zasobów na potrzeby współpracy.

Więcej informacji:

role Grupy Microsoft 365

  • Właściciele grup
    • Dodawanie lub usuwanie członków
    • Usuwanie konwersacji z udostępnionej skrzynki odbiorczej
    • Zmienianie ustawień grupy
    • Zmienianie nazwy grupy
    • Aktualizowanie opisu lub obrazu
  • Elementy członkowskie
  • Gości
    • Są członkami spoza organizacji
    • Mają pewne ograniczenia dotyczące funkcjonalności w usłudze Teams

Ustawienia grupy platformy Microsoft 365

Wybierz alias wiadomości e-mail, prywatność i określ, czy chcesz włączyć grupę dla zespołów.

Po skonfigurowaniu dodaj członków i skonfiguruj ustawienia użycia poczty e-mail itd.

Następne kroki

Skorzystaj z poniższej serii artykułów, aby dowiedzieć się więcej na temat zabezpieczania dostępu zewnętrznego do zasobów. Zalecamy przestrzeganie wymienionej kolejności.

  1. Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego za pomocą identyfikatora Entra firmy Microsoft

  2. Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji

  3. Tworzenie planu zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów

  4. Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365 (jesteś tutaj)

  5. Przejście do zarządzanej współpracy z firmą Microsoft Entra B2B

  6. Zarządzanie dostępem zewnętrznym za pomocą zarządzania upoważnieniami firmy Microsoft

  7. Zarządzanie dostępem zewnętrznym do zasobów przy użyciu zasad dostępu warunkowego

  8. Kontrolowanie dostępu zewnętrznego do zasobów w identyfikatorze Entra firmy Microsoft przy użyciu etykiet poufności

  9. Zabezpieczanie dostępu zewnętrznego do aplikacji Microsoft Teams, SharePoint i OneDrive dla Firm przy użyciu identyfikatora Entra firmy Microsoft

  10. Konwertowanie lokalnych kont gości na konta gości Microsoft Entra B2B