Защита управления доступом с помощью групп в идентификаторе Microsoft Entra
Идентификатор Microsoft Entra позволяет использовать группы для управления доступом к ресурсам в организации. Используйте группы для управления доступом, если необходимо контролировать и ограничить доступ к приложениям. При использовании групп доступ к ресурсу могут получить только члены этих групп. Использование групп также включает следующие функции управления:
- Группы динамического членства на основе атрибутов
- внешние группы, синхронизированные из локальной службы Active Directory;
- управляемые администратором или самостоятельно группы.
Дополнительные сведения о преимуществах групп для управления доступом см. в разделе Управление доступом к приложению.
При разработке приложения авторизуйте доступ с помощью утверждения групп. Дополнительные сведения см. в статье о настройке групповых утверждений для приложений с помощью идентификатора Microsoft Entra.
Сегодня многие приложения выбирают подмножество групп с флагом securityEnabled , чтобы избежать проблем масштабирования, т. е. для true уменьшения количества групп, возвращаемых в маркере. Установка флага securityEnabled true для группы не гарантирует безопасное управление группой.
Рекомендации по устранению рисков
В таблице ниже представлены некоторые рекомендации по обеспечению безопасности для групп безопасности и потенциальные риски, на устранение которых направлены рекомендации.
| Рекомендация по безопасности | Устраняемый риск безопасности |
|---|---|
Убедитесь, что владелец ресурса и владелец группы являются одним и тем же субъектом. Приложения должны иметь возможность создавать собственные возможности управления группами и новые группы для управления доступом. Например, приложение может создавать группы, используя разрешение Group.Create, и добавлять себя в качестве владельца группы. Таким образом, приложение сможет управлять своими группами без повышенных привилегий, позволяющих менять другие группы в арендаторе. |
Если владельцы групп и владельцы ресурсов являются разными сущностями, то владельцы групп могут добавить в группу пользователей, которые не должны получать доступ к ресурсу, и, таким образом, непреднамеренно предоставить доступ. |
| Создайте неявный контракт между владельцами ресурсов и владельцами групп. Владелец ресурса и владелец группы должны согласовать назначение группы, политики группы и участников, которые могут быть добавлены в группу для получения доступа к ресурсу. Этот уровень доверия обеспечивается не является техническим, а зависит от согласованности между людьми или от бизнес-контракта. | Если владельцы группы и владельцы ресурсов имеют разные намерения, владелец группы может добавить в группу пользователей, которым владелец ресурса не планировал предоставлять доступ. Это действие может привести к ненужному и потенциально опасному доступу. |
| Используйте частные группы для управления доступом. Управление группами Microsoft 365 осуществляется с помощью концепции видимости. Это свойство управляет политикой присоединения к группе и видимостью ресурсов группы. Для групп безопасности предусмотрены политики присоединения, которые либо позволяют присоединяться всем пользователям, либо требуют утверждения владельца. Локальные синхронизированные группы также могут быть общедоступными или частными. Пользователи, присоединившись к локальной синхронизированной группе, также могут получить доступ к облачному ресурсу. | При использовании общедоступной группы для управления доступом любой участник может присоединиться к группе и получить доступ к ресурсу. Если для предоставления доступа к внешнему ресурсу используется общедоступная группа, существует риск несанкционированного повышения привилегий. |
| Вложение групп. Если для управление доступом вы используется группу, участниками которой являются другие группы, участники этих подгрупп могут получать доступ к ресурсу. В этом случае существует несколько владельцев групп: владельцы родительской группы и владельцы подгрупп. | Процесс согласования с несколькими владельцами групп назначения каждой группы и принципов добавления нужных участников в эти группы будет более сложным и более подвержен непредусмотренному предоставлению доступа. Ограничьте количество вложенных групп или вовсе отказаться от них, если это возможно. |