Dela via


Lär dig mer om grupper och åtkomsträttigheter i Microsoft Entra ID

Med Microsoft Entra-ID kan du hantera åtkomst till resurser, program och uppgifter på flera olika sätt. Med Microsoft Entra-grupper kan du bevilja åtkomst och behörigheter till en grupp användare i stället för varje enskild användare. Att begränsa åtkomsten till Microsoft Entra-resurser till endast de användare som behöver åtkomst är en av de viktigaste säkerhetsprinciperna för Nolltillit.

Den här artikeln innehåller en översikt över hur grupper och åtkomsträttigheter kan användas tillsammans för att underlätta hanteringen av Dina Microsoft Entra-användare samtidigt som du tillämpar metodtips för säkerhet.

Med Microsoft Entra-ID kan du använda grupper för att hantera åtkomst till program, data och resurser. Resurser kan vara:

  • En del av Microsoft Entra-organisationen, till exempel behörigheter för att hantera objekt via roller i Microsoft Entra-ID
  • Externt för organisationen, till exempel för SaaS-appar (Programvara som en tjänst)
  • Azure-tjänster
  • SharePoint-webbplatser
  • Lokala resurser

Vissa grupper kan inte hanteras i Azure Portal:

  • Grupper som synkroniseras från lokal Active Directory kan endast hanteras i lokal Active Directory.
  • Distributionslistor och e-postaktiverade säkerhetsgrupper hanteras endast i Administrationscenter för Exchange eller Administrationscenter för Microsoft 365. Du måste logga in på Administrationscenter för Exchange eller Administrationscenter för Microsoft 365 för att hantera dessa grupper.

Vad du bör veta innan du skapar en grupp

Det finns två grupptyper och tre gruppmedlemskapstyper. Granska alternativen för att hitta rätt kombination för ditt scenario.

Grupptyper:

Säkerhet: Används för att hantera användar- och datoråtkomst till delade resurser.

Du kan till exempel skapa en säkerhetsgrupp så att alla gruppmedlemmar har samma uppsättning säkerhetsbehörigheter. Medlemmar i en säkerhetsgrupp kan omfatta användare, enheter, tjänstens huvudnamn och andra grupper (även kallade kapslade grupper), som definierar åtkomstprincip och behörigheter. Ägare av en säkerhetsgrupp kan innehålla användare och tjänstens huvudnamn.

Kommentar

När en befintlig säkerhetsgrupp kapslas till en annan säkerhetsgrupp har endast medlemmar i den överordnade gruppen åtkomst till delade resurser och program. Kapslade gruppmedlemmar har inte samma tilldelade medlemskap som de överordnade gruppmedlemmarna. Mer information om hur du hanterar kapslade grupper finns i Hantera grupper.

Microsoft 365: Ger samarbetsmöjligheter genom att ge gruppmedlemmar åtkomst till en delad postlåda, kalender, filer, SharePoint-webbplatser med mera.

Med det här alternativet kan du även ge personer utanför organisationen tillgång till gruppen. Medlemmar i en Microsoft 365-grupp kan bara inkludera användare. Ägare av en Microsoft 365-grupp kan innehålla användare och tjänstens huvudnamn. Mer information om Microsoft 365-grupper finns i Läs mer om Microsoft 365-grupper.

Medlemskapstyper:

  • Tilldelade grupper: Låter dig lägga till specifika användare som medlemmar i en grupp och ha unika behörigheter.

  • Dynamisk medlemskapsgrupp för användare: Låter dig använda regler för användare för att automatiskt lägga till och ta bort användare som medlemmar. Om en medlems attribut ändras tittar systemet på dina regler för dynamiska medlemskapsgrupper för katalogen. Systemet kontrollerar om medlemmen uppfyller regelkraven (läggs till) eller inte längre uppfyller regelkraven (tas bort).

  • Dynamisk medlemskapsgrupp för enheter: Låter dig använda regler för enheter för att automatiskt lägga till och ta bort enheter som medlemmar. Om en enhets attribut ändras tittar systemet på dina regler för dynamiska medlemskapsgrupper för katalogen för att se om enheten uppfyller regelkraven (läggs till) eller inte längre uppfyller regelkraven (tas bort).

    Viktigt!

    Du kan skapa en dynamisk grupp för antingen enheter eller användare, men inte både och. Du kan inte skapa en enhetsgrupp baserat på enhetsägarnas attribut. Medlemskapsregler för enheten kan bara referera till enhetens uppgifter. Mer information om hur du skapar en dynamisk grupp för användare och enheter finns i Skapa en dynamisk grupp och kontrollera status.

Vad du bör veta innan du lägger till åtkomsträttigheter till en grupp

När du har skapat en Microsoft Entra-grupp måste du ge den lämplig åtkomst. Varje program, resurs och tjänst som kräver åtkomstbehörigheter måste hanteras separat eftersom behörigheterna för en kanske inte är samma som en annan. Bevilja åtkomst med hjälp av principen om minsta behörighet för att minska risken för angrepp eller säkerhetsöverträdelser.

Så här fungerar åtkomsthantering i Microsoft Entra-ID

Microsoft Entra-ID hjälper dig att ge åtkomst till organisationens resurser genom att ge åtkomsträttigheter till en enskild användare eller till en hel Microsoft Entra-grupp. Med hjälp av grupper kan resursägaren eller Microsoft Entra-katalogägaren tilldela en uppsättning åtkomstbehörigheter till alla medlemmar i gruppen. Resurs- eller katalogägaren kan också ge hanteringsrättigheter till någon, till exempel en avdelningschef eller supportadministratör, så att personen kan lägga till och ta bort medlemmar. Mer information om hur du hanterar gruppägare finns i artikeln Hantera grupper .

Skärmbild av ett diagram över Åtkomsthantering för Microsoft Entra-ID.

Sätt att tilldela åtkomsträttigheter

När du har skapat en grupp måste du bestämma hur du ska tilldela åtkomsträttigheter. Utforska hur du tilldelar åtkomsträttigheter för att fastställa den bästa processen för ditt scenario.

  • Direkttilldelning. Resursägaren tilldelar direkt användaren till resursen.

  • Grupptilldelning. Resursägaren tilldelar en Microsoft Entra-grupp till resursen, vilket automatiskt ger alla gruppmedlemmar åtkomst till resursen. Både gruppägaren och resursägaren hanterar gruppmedlemskap, så att antingen ägaren lägger till eller tar bort medlemmar från gruppen. Mer information om hur du hanterar gruppmedlemskap finns i artikeln Hanterade grupper .

  • Regelbaserad tilldelning. Resursägaren skapar en grupp och använder en regel för att definiera vilka användare som tilldelas till en specifik resurs. Regeln baseras på attribut som tilldelas enskilda användare. Resursägaren hanterar regeln och avgör vilka attribut och värden som krävs för att tillåta åtkomst till resursen. Mer information finns i Skapa en dynamisk grupp och kontrollera status.

  • Tilldelning av extern utfärdare. Åtkomsten kommer från en extern källa, till exempel en lokal katalog eller en SaaS-app. I det här fallet tilldelar resursägaren en grupp för att ge åtkomst till resursen och sedan hanterar den externa källan gruppmedlemmarna.

    Skärmbild av ett diagram över översikten över åtkomsthantering.

Kan användare ansluta till grupper utan att tilldelas?

Gruppägaren kan låta användarna hitta sina egna grupper att ansluta till, i stället för att tilldela dem. Ägaren kan också konfigurera gruppen så att den automatiskt accepterar alla användare som ansluter eller för att kräva godkännande.

När en användare begär att ansluta till en grupp vidarebefordras begäran till gruppägaren. Om det behövs kan ägaren godkänna begäran och användaren meddelas om gruppmedlemskapet. Om du har flera ägare och en av dem inte godkänns meddelas användaren, men läggs inte till i gruppen. Mer information och instruktioner om hur du låter användarna begära att ansluta till grupper finns i Konfigurera Microsoft Entra-ID så att användare kan begära att ansluta till grupper.

Nästa steg