Поделиться через

Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

  • Статья

Группы являются частью стратегии управления доступом. Группы безопасности Microsoft Entra и Группы Microsoft 365 можно использовать в качестве основы для защиты доступа к ресурсам. Используйте группы для следующих механизмов управления доступом:

В группах имеются следующие роли:

  • Владельцы групп — управление параметрами группы и его членством
  • Члены — наследуют разрешения и доступ, назначенные группе
  • Гости — члены за пределами вашей организации

Подготовка к работе

Эта статья является номером 4 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Стратегия группы

Чтобы разработать стратегию группы для защиты внешнего доступа к ресурсам, рассмотрите нужный уровень безопасности.

Дополнительные сведения. Определение состояния безопасности для внешнего доступа

Создание группы

Определите, кто предоставляет разрешения на создание групп: администраторов, сотрудников и /или внешних пользователей. Рассмотрим следующие сценарии.

Приглашения к группам

В рамках стратегии группы рассмотрите, кто может приглашать людей или добавлять их в группы. Участники группы могут добавлять других участников, или владельцы групп могут добавлять участников. Решите, кто может быть приглашен. По умолчанию внешние пользователи могут быть добавлены в группы.

Назначение пользователей группам

Пользователи назначаются группам вручную на основе атрибутов пользователей в объекте пользователя или назначаются пользователям на основе других критериев. Пользователи назначаются группам динамически на основе их атрибутов. Например, можно назначить пользователей группам на основе следующих элементов:

  • Должность или отдел
  • Партнерская организация, к которой они принадлежат
    • Вручную или через подключенные организации
  • Тип участника или гостевого пользователя
  • Участие в проекте
    • Вручную
  • Расположение

Динамические группы имеют пользователей или устройства, но не оба. Чтобы назначить пользователей динамической группе, добавьте запросы на основе атрибутов пользователей. На следующем снимках экрана содержатся запросы, которые добавляют пользователей в группу, если они являются членами отдела финансов.

Снимок экрана: параметры и записи в правилах динамического членства.

Дополнительные сведения. Создание или обновление динамической группы в идентификаторе Microsoft Entra

Использование групп для одной функции

При использовании групп важно иметь одну функцию. Если группа используется для предоставления доступа к ресурсам, не используйте ее для другой цели. Мы рекомендуем соглашение об именовании групп безопасности, которое делает назначение понятным:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

Типы группы

Вы можете создавать группы безопасности Microsoft Entra и Группы Microsoft 365 на портале администрирования портал Azure или на портале администрирования Microsoft 365. Используйте любой тип группы для защиты внешнего доступа.

Рекомендации Группы безопасности Microsoft Entra вручную и динамические Microsoft 365 Groups
Группа содержит Пользователи
Группы
Субъекты-службы
.		 Только пользователи
Где создается группа Портал Azure
Портал Microsoft 365, если включена почта)
PowerShell
Microsoft Graph
Портал пользователей		 Портал Microsoft 365
Портал Azure
PowerShell
Microsoft Graph
В приложениях Microsoft 365
Кто создает, по умолчанию Администраторы
Пользователи		 Администраторы
Пользователи
Кто добавляется по умолчанию Внутренние пользователи (участники клиента) и гостевые пользователи Участники клиента и гости из организации
Доступ предоставляется Ресурсы, которым он назначен. Ресурсы, связанные с группами:
(Группировать почтовый ящик, сайт, группу, чаты и другие ресурсы Microsoft 365)
Другие ресурсы, к которым добавляется группа
Совместимые технологии Условный доступ
управление правами
лицензирование группы		 Условный доступ
управление правами
метки конфиденциальности

Примечание.

Используйте Группы Microsoft 365 для создания и управления набором ресурсов Microsoft 365, таких как команда и связанные с ним сайты и содержимое.

Группы безопасности Microsoft Entra

Группы безопасности Microsoft Entra могут иметь пользователей или устройства. Используйте эти группы для управления доступом к:

  • Ресурсы Azure
    • Приложения Microsoft 365
    • Пользовательские приложения
    • Приложения SaaS, такие как Dropbox ServiceNow
  • Данные и подписки Azure
  • Службы Azure;

Используйте группы безопасности Microsoft Entra для назначения:

Подробнее:

Примечание.

Используйте группы безопасности для назначения до 1500 приложений.

Снимок экрана: записи и параметры в разделе

Группа безопасности с поддержкой электронной почты

Чтобы создать группу безопасности с поддержкой почты, перейдите к Центр администрирования Microsoft 365. Включите группу безопасности для почты во время создания. Вы не можете включить его позже. Невозможно создать группу в портал Azure.

Гибридные организации и группы безопасности Microsoft Entra

Гибридные организации имеют инфраструктуру для локальной среды и идентификатора Microsoft Entra. Гибридные организации, использующие Active Directory, могут создавать локальные группы безопасности и синхронизировать их с облаком. Таким образом, в группы безопасности могут добавляться только пользователи в локальной среде.

Внимание

Защитите локальную инфраструктуру от компрометации. См. защиту Microsoft 365 от локальных атак.

Microsoft 365 Groups

Группы Microsoft 365 — это служба членства для доступа к Microsoft 365. Их можно создать из портал Azure или Центр администрирования Microsoft 365. При создании группы Microsoft 365 вы предоставляете доступ к группе ресурсов для совместной работы.

Подробнее:

роли Группы Microsoft 365

  • Владельцы групп
    • Добавление или удаление членов
    • Удаление бесед из общей папки "Входящие"
    • Изменение параметров группы
    • Переименование группы
    • Обновление описания или рисунка
  • Участники
  • Гости
    • Члены извне вашей организации
    • Использование некоторых ограничений на функциональные возможности в Teams

Параметры группы Microsoft 365

Выберите псевдоним электронной почты, конфиденциальность и включение группы для команд.

После установки добавьте участников и настройте параметры использования электронной почты и т. д.

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

  1. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

  2. Обнаружение текущего состояния внешней совместной работы в организации

  3. Создание плана безопасности для внешнего доступа к ресурсам

  4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365 (вы здесь)

  5. Переход к управляемой совместной работе с Microsoft Entra B2B

  6. Управление внешним доступом с помощью управления правами Microsoft Entra

  7. Управление внешним доступом к ресурсам с помощью политик условного доступа

  8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

  9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra

  10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B