Использование групп Microsoft Entra для управления назначениями ролей

С помощью идентификатора Microsoft Entra ID P1 или P2 можно создать группы с возможностью назначения ролей и назначить роли Microsoft Entra этим группам. Эта функция упрощает управление ролями, обеспечивает согласованный доступ и упрощает аудит разрешений. Назначение ролей группе вместо отдельных лиц позволяет легко добавлять или удалять пользователей из роли и создавать согласованные разрешения для всех членов группы. Вы также можете создавать пользовательские роли с определенными разрешениями и назначать их группам.

Для чего назначать роли группам?

Рассмотрим пример, в котором компания Contoso наняла сотрудников по регионам для управления паролями и сброса паролей для сотрудников в своей организации Microsoft Entra. Вместо того чтобы запрашивать права администратора привилегированных ролей или глобального администратора для назначения роли администратора службы поддержки каждому сотруднику отдельно, можно создать группу Contoso_Helpdesk_Administrators и назначить роль ей. Когда пользователи присоединяются к этой группе, им косвенно назначается роль. Затем в существующем рабочем процессе управления можно реализовать процесс утверждения и аудит членства в группе, чтобы гарантировать, что только уполномоченные пользователи являются членами группы и, следовательно, получают назначение роли администратора службы поддержки.

Как работают назначения ролей для групп

Чтобы назначить роль группе, необходимо создать группу безопасности или группу Microsoft 365, свойству isAssignableToRole которой присвоено значение true. В Центре администрирования Microsoft Entra можно назначить роли Microsoft Entra параметру "Да". В любом случае можно назначить одну или несколько ролей Microsoft Entra группе так же, как и назначение ролей пользователям.

Ограничения для групп с назначениями ролей

Группы с назначениями ролей имеют следующие ограничения:

• Можно задать isAssignableToRole только свойство или роли Microsoft Entra можно назначить параметру группы для новых групп.
• Свойство isAssignableToRole является неизменяемым. После создания группы, для которой задано это свойство, изменить его значение невозможно.
• Невозможно сделать существующую группу группой с назначением ролей.
• В одной организации Microsoft Entra (клиент) можно создать не более 500 групп с возможностью назначения ролей.

Как защищаются группы с назначениями ролей?

Если группе назначена роль, любой ИТ-администратор, который может управлять членством в группе, также может косвенно управлять членством в этой роли. Предположим, что группе Contoso_User_Administrators назначена роль администратора учетных записей пользователя. Администратор Exchange, который может изменить членство в группе, может добавить себя в группу Contoso_User_Administrators. Таким образом он станет администратором учетных записей пользователя. Как видно, администратор может повысить свои привилегии таким образом, чтобы вы не собирались.

Роль могут назначаться только группам, для свойства isAssignableToRole которых при их создании было задано значение true. Это свойство является неизменяемым. После создания группы, для которой задано это свойство, изменить его значение невозможно. Невозможно задать это свойство для существующей группы.

Группы с назначениями ролей предназначены для предотвращения потенциальных нарушений за счет следующих ограничений:

• Только глобальные администраторы и администраторы привилегированных ролей могут создавать группы с назначениями ролей.
• Тип членства для групп, назначаемых ролем, должен быть назначен и не может быть динамической группой Microsoft Entra. Автоматическое заполнение динамических групп может привести к добавлению нежелательной учетной записи в группу и ее назначению роли.
• По умолчанию только глобальные администраторы и администраторы привилегированных ролей управляют членством в группе c назначениями ролей, но вы можете делегировать управление группами c назначениями ролей, добавив владельцев групп.
• Для Microsoft Graph разрешение RoleManagement.ReadWrite.Directory требуется для управления членством в группах, назначаемых ролем. Разрешение Group.ReadWrite.All не будет работать.
• Чтобы предотвратить несанкционированное повышение привилегий, только администратору привилегированной проверки подлинности или глобальному администратору разрешено изменять учетные данные или сбрасывать MFA или изменять конфиденциальные атрибуты для членов и владельцев группы с назначениями ролей.
• Вложенные группы не поддерживаются. Невозможно добавить группу в качестве члена группы с назначением ролей.

Используйте PIM, чтобы сделать группу доступной для назначения ролей.

Если вы не хотите, чтобы члены группы имели постоянный доступ к роли, вы можете использовать Microsoft Entra управление привилегированными пользователями (PIM), чтобы сделать группу правой на назначение ролей. Затем каждый член группы сможет активировать назначение роли на фиксированный период времени.

Примечание.

Для групп, используемых для повышения привилегий в роли Microsoft Entra, рекомендуется требовать процесс утверждения для соответствующих назначений участников. Назначения, которые могут быть активированы без утверждения, создают риск нарушения безопасности менее привилегированным администратором. Например, у администратора службы поддержки есть разрешение на сброс паролей разрешенных пользователей.

Неподдерживаемые сценарии

Не поддерживаются следующие сценарии:

• Назначение ролей Microsoft Entra (встроенных или настраиваемых) локальным группам.

Известные проблемы

Ниже перечислены известные проблемы, возникающие при работе с группами с назначениями ролей.

• Только пользователи с лицензией идентификатора Microsoft Entra ID P2: даже после удаления группы он по-прежнему отображается подходящий участник роли в пользовательском интерфейсе PIM. Функционально нет проблем; Это просто проблема с кэшем в Центре администрирования Microsoft Entra.
• Используйте новый Центр администрирования Exchange для назначения ролей с помощью членства в группе. Прежний Центр администрирования Exchange не поддерживает эту функцию. Если требуется доступ к старому Центру администрирования Exchange, назначьте соответствующую роль непосредственно пользователю (а не через группы с назначением роли). Командлеты Exchange PowerShell работают должным образом.
• Если роль администратора назначена группе с назначением роли, а не отдельным пользователям, участники этой группы не смогут получить доступ к разделам правил, организации или общедоступных папок в новом Центре администрирования Exchange. Обходное решение заключается в назначении роли непосредственно пользователям, а не группе.
• Портал Azure Information Protection (классический портал) еще не распознает членство в роли посредством группы. Вы можете перейти на единую платформу меток конфиденциальности, а затем использовать Портал соответствия требованиям Microsoft Purview для управления ролями с помощью назначений групп.

Требования к лицензиям

Для использования этой функции требуется лицензия Microsoft Entra ID уровня P1. Для активации роли управление привилегированными пользователями требуется лицензия Microsoft Entra ID P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.

Следующие шаги

• Создание группы с возможностью назначения ролей
• Назначение ролей Microsoft Entra группам