Przeczytaj w języku angielskim

Udostępnij za pośrednictwem

Dowiedz się więcej o typach grup, typach członkostwa i zarządzaniu dostępem

  • Artykuł

Identyfikator Entra firmy Microsoft udostępnia kilka sposobów zarządzania dostępem do zasobów, aplikacji i zadań. Dzięki grupom firmy Microsoft Entra można udzielić dostępu i uprawnień grupie użytkowników zamiast do poszczególnych użytkowników. Ograniczenie dostępu do zasobów firmy Microsoft Entra tylko dla tych użytkowników, którzy potrzebują dostępu, jest jedną z podstawowych zasad zabezpieczeń zero trust.

Ten artykuł zawiera omówienie sposobu, w jaki grupy i prawa dostępu mogą być używane razem, aby ułatwić zarządzanie użytkownikami firmy Microsoft Entra, a także stosowanie najlepszych rozwiązań w zakresie zabezpieczeń.

Uwaga

Niektórych grup nie można zarządzać w witrynie Azure Portal ani w centrum administracyjnym firmy Microsoft Entra.

  • Grupy synchronizowane z lokalnej usługi Active Directory mogą być zarządzane tylko lokalnie.
  • Listami dystrybucyjnymi i grupami zabezpieczeń z obsługą poczty można zarządzać wyłącznie w centrum administracyjnym Exchange lub w centrum administracyjnym Microsoft 365 . Aby zarządzać tymi grupami, musisz się zalogować i mieć odpowiednie uprawnienia dla tego centrum administracyjnego.

Omówienie grup Entra firmy Microsoft

Efektywne korzystanie z grup może zmniejszyć liczbę zadań ręcznych, takich jak przypisywanie ról i uprawnień do poszczególnych użytkowników. Role można przypisywać do grupy i przypisywać członków do grupy na podstawie ich funkcji lub działu. Można utworzyć zasady dostępu warunkowego, które mają zastosowanie do grupy, a następnie przypisać zasady do grupy. Ze względu na potencjalne zastosowania grup ważne jest, aby zrozumieć, jak działają i jak są zarządzane.

Typy grup

W centrum administracyjnym firmy Microsoft Entra można zarządzać dwoma typami grup:

  • Grupy zabezpieczeń: służą do zarządzania dostępem do udostępnionych zasobów.

    • Członkowie grupy zabezpieczeń mogą składać się z użytkowników, urządzeń oraz głównych składników usługi .
    • Grupy mogą być członkami innych grup, czasami nazywanych grupami zagnieżdżonymi. Zobacz notatkę.
    • Użytkownicy i jednostki usługi mogą być właścicielami grupy zabezpieczeń.

  • grupy platformy Microsoft 365: Zapewnianie możliwości współpracy.

    • Członkowie grupy platformy Microsoft 365 mogą zawierać tylko użytkowników.
    • Użytkownicy i jednostki usługi mogą być właścicielem grupy platformy Microsoft 365.
    • Osoby spoza organizacji mogą być członkami grupy.
    • Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o grupach platformy Microsoft 365.

Uwaga

Gdy istniejąca grupa zabezpieczeń jest zagnieżdżana w innej grupie zabezpieczeń, tylko członkowie grupy nadrzędnej mają dostęp do udostępnionych zasobów i aplikacji. Aby uzyskać więcej informacji na temat zarządzania grupami zagnieżdżonych, zobacz Jak zarządzać grupami.

Typy członkostwa

  • Przypisane grupy: umożliwia dodawanie określonych użytkowników jako członków grupy i posiadanie unikatowych uprawnień.
  • Dynamiczne grupy członkowskie dla użytkowników: Umożliwiają automatyczne dodawanie i usuwanie użytkowników zgodnie z regułami. Jeśli atrybuty członka zmienią się, system analizuje reguły dla dynamicznych grup członkostwa w katalogu. System sprawdza, czy element członkowski spełnia wymagania reguły (jest dodawany), czy nie spełnia już wymagań reguł (zostanie usunięty).
  • Dynamiczna grupa członkostwa dla urządzeń: Pozwala na automatyczne dodawanie i usuwanie urządzeń z użyciem reguł. Jeśli atrybuty urządzenia zmienią się, system analizuje reguły dla dynamicznych grup członkostwa w katalogu, aby sprawdzić, czy urządzenie spełnia wymagania reguły (dodane) lub nie spełnia już wymagań reguł (zostanie usunięte).

Ważne

Grupę dynamiczną można utworzyć dla urządzeń lub użytkowników, ale nie dla obu tych elementów. Nie można utworzyć grupy urządzeń na podstawie atrybutów właścicieli urządzeń. Reguły członkostwa urządzenia mogą przywoływać tylko atrybuty urządzeń. Aby uzyskać więcej informacji, zobacz Tworzenie grupy dynamicznej.

Zarządzanie dostępem

Identyfikator Entra firmy Microsoft pomaga zapewnić dostęp do zasobów organizacji, zapewniając prawa dostępu do jednego użytkownika lub grupy. Użycie grup umożliwia właścicielowi zasobu lub właścicielowi katalogu Firmy Microsoft Entra przypisanie zestawu uprawnień dostępu do wszystkich członków grupy. Właściciel zasobu lub katalogu może również przyznać innym osobom prawa do zarządzania grupami, takim jak kierownik działu lub administrator pomocy technicznej, co umożliwia tej osobie dodawanie i usuwanie członków. Aby uzyskać więcej informacji na temat zarządzania właścicielami grup, zobacz artykuł Zarządzanie grupami .

Zasoby, do których grupy Firmy Microsoft Entra mogą zarządzać dostępem, mogą być następujące:

  • Część organizacji firmy Microsoft Entra, taka jak uprawnienia do zarządzania użytkownikami, aplikacjami, rozliczeniami i innymi obiektami.
  • Poza organizacją, takie jak aplikacje SaaS (Software as a Service) firmy innej niż Microsoft.
  • Usługi platformy Azure
  • Witryny programu SharePoint
  • Zasoby lokalne

Każda aplikacja, zasób i usługa, która wymaga uprawnień dostępu, musi być zarządzana oddzielnie, ponieważ uprawnienia dla tej aplikacji mogą nie być takie same jak inne. Udzielanie dostępu przy użyciu zasady najniższych uprawnień , aby zmniejszyć ryzyko ataku lub naruszenia zabezpieczeń.

Typy zadań

Po utworzeniu grupy należy zdecydować, jak zarządzać dostępem.

  • Bezpośrednie przypisanie. Właściciel zasobu bezpośrednio przypisuje użytkownika do zasobu.

  • Przypisanie grupy. Właściciel zasobu przypisuje do zasobu grupę Microsoft Entra, która automatycznie zapewnia wszystkim członkom grupy dostęp do zasobu. Zarówno właściciel grupy, jak i właściciel zasobu zarządzają członkostwem w grupie, umożliwiając właścicielowi dodawanie lub usuwanie członków z grupy. Aby uzyskać więcej informacji na temat zarządzania członkostwem w grupach, zobacz artykuł Zarządzane grupy .

  • Przypisanie oparte na regułach. Właściciel zasobu tworzy grupę i używa reguły do zdefiniowania użytkowników przypisanych do określonego zasobu. Reguła jest oparta na atrybutach przypisanych do poszczególnych użytkowników. Właściciel zasobu zarządza regułą, określając, które atrybuty i wartości są wymagane, aby zezwolić na dostęp do zasobu. Aby uzyskać więcej informacji, zobacz Tworzenie grupy dynamicznej.

  • Przypisanie urzędu zewnętrznego. Dostęp pochodzi z zewnętrznego źródła, takiego jak katalog lokalny lub aplikacja SaaS. W takiej sytuacji właściciel zasobu przypisuje grupę w celu zapewnienia dostępu do zasobu, a następnie źródło zewnętrzne zarządza członkami grupy.

Najlepsze rozwiązania dotyczące zarządzania grupami w chmurze

Poniżej przedstawiono najlepsze rozwiązania dotyczące zarządzania grupami w chmurze:

  • Włącz samoobsługowe zarządzanie grupami: Zezwalaj użytkownikom na wyszukiwanie i dołączanie do grup lub tworzenie własnych grup platformy Microsoft 365 i zarządzanie nimi.
    • Umożliwia zespołom organizowanie się przy jednoczesnym zmniejszeniu obciążeń administracyjnych związanych z it.
    • Zastosuj zasady nazewnictwa grup , aby zablokować używanie ograniczonych wyrazów i zapewnić spójność.
    • Zapobiegaj utrzymywaniu się nieaktywnych grup przez włączenie zasad wygasania grup, które automatycznie usuwa nieużywane grupy po upływie określonego okresu, chyba że zostanie odnowiona przez właściciela grupy.
    • Skonfiguruj grupy tak, aby automatycznie akceptowały wszystkich użytkowników, którzy dołączają lub wymagają zatwierdzenia.
    • Aby uzyskać więcej informacji, zobacz Konfigurowanie samoobsługowego zarządzania grupami w usłudze Microsoft Entra ID.
  • Korzystanie z etykiet poufności: Używanie etykiet poufności do klasyfikowania i zarządzania grupami platformy Microsoft 365 na podstawie ich potrzeb związanych z zabezpieczeniami i zgodnością.
  • Automatyzowanie członkostwa w grupach dynamicznych: Zaimplementuj reguły członkostwa dynamicznego, aby automatycznie dodawać lub usuwać użytkowników i urządzenia z grup na podstawie atrybutów, takich jak dział, lokalizacja lub stanowisko.
    • Minimalizuje aktualizacje ręczne i zmniejsza ryzyko utrzymującego się dostępu.
    • Ta funkcja dotyczy grup i grup zabezpieczeń platformy Microsoft 365.
  • przeprowadzanie okresowych przeglądów dostępu: Korzystanie z funkcji zarządzania tożsamościami firmy Microsoft do planowania regularnych przeglądów dostępu.
  • Zarządzanie członkostwem przy użyciu pakietów dostępu: Tworzenie pakietów dostępu za pomocą usługi Microsoft Entra Identity Governance w celu usprawnienia zarządzania wieloma członkostwami w grupach. Pakiety dostępu mogą:
    • Uwzględnij przepływy pracy zatwierdzania dla członków
    • Definiowanie kryteriów wygaśnięcia dostępu
    • Zapewnienie scentralizowanego sposobu udzielania, przeglądania i odwoływanie dostępu między grupami i aplikacjami
    • Aby uzyskać więcej informacji, zobacz Tworzenie pakietu dostępu w zarządzaniu upoważnieniami
  • Przypisz wielu właścicieli grup: przypisz co najmniej dwóch właścicieli do grupy, aby zapewnić ciągłość i zmniejszyć zależności od pojedynczej osoby.
  • Korzystanie z licencjonowania opartego na grupach: licencjonowanie oparte na grupach upraszcza aprowizację użytkowników i zapewnia spójne przypisania licencji.
  • wymuszanie kontroli dostępu opartej na rolach (RBAC): Przypisz role do kontrolowania, kto może zarządzać grupami.

Powiązana zawartość