Säker åtkomstkontroll med hjälp av grupper i Microsoft Entra-ID

Med Microsoft Entra-ID kan grupper hantera åtkomst till resurser i en organisation. Använd grupper för åtkomstkontroll för att hantera och minimera åtkomsten till program. När grupper används kan endast medlemmar i dessa grupper komma åt resursen. Med hjälp av grupper kan du också använda följande hanteringsfunktioner:

• Attributbaserade dynamiska medlemskapsgrupper
• Externa grupper som synkroniserats från lokalni Active Directory
• Administratörshanterade eller självbetjäningshanterade grupper

Mer information om fördelarna med grupper för åtkomstkontroll finns i Hantera åtkomst till ett program.

När du utvecklar ett program kan du auktorisera åtkomst med gruppanspråket. Mer information finns i konfigurera gruppanspråk för program med Microsoft Entra-ID.

I dag väljer många program en delmängd av grupper med securityEnabled flaggan inställd på för att true undvika skalningsutmaningar, dvs. för att minska antalet grupper som returneras i token. Om du securityEnabled anger att flaggan ska vara sann för en grupp garanteras inte att gruppen hanteras på ett säkert sätt.

Metodtips för att minska risker

I följande tabell visas flera metodtips för säkerhet för säkerhetsgrupper och de potentiella säkerhetsrisker som varje metod minimerar.

Bästa praxis för säkerhet	Säkerhetsrisken har minimerats
Se till att resursägaren och gruppägaren är samma huvudnamn. Program bör skapa en egen grupphanteringsupplevelse och skapa nya grupper för att hantera åtkomst. Ett program kan till exempel skapa grupper med behörigheten Group.Create och lägga till sig själv som ägare till gruppen. På så sätt har programmet kontroll över sina grupper utan att ha behörighet att ändra andra grupper i klientorganisationen.	När gruppägare och resursägare är olika entiteter kan gruppägare lägga till användare i gruppen som inte ska komma åt resursen men som sedan kan komma åt den oavsiktligt.
Skapa ett implicit kontrakt mellan resursägaren och gruppägaren. Resursägaren och gruppägaren bör justeras efter gruppsyfte, principer och medlemmar som kan läggas till i gruppen för att få åtkomst till resursen. Den här förtroendenivån är icke-teknisk och förlitar sig på mänskligt kontrakt eller affärskontrakt.	När gruppägare och resursägare har olika avsikter kan gruppägaren lägga till användare i gruppen som resursägaren inte hade för avsikt att ge åtkomst till. Den här åtgärden kan leda till onödig och potentiellt riskfylld åtkomst.
Använd privata grupper för åtkomstkontroll. Microsoft 365-grupper hanteras av synlighetskonceptet. Den här egenskapen styr kopplingsprincipen för gruppen och synligheten för gruppresurser. Säkerhetsgrupper har kopplingsprinciper som antingen tillåter vem som helst att ansluta eller kräva ägargodkännande. Lokala synkroniserade grupper kan också vara offentliga eller privata. Användare som ansluter till en lokal synkroniserad grupp kan också få åtkomst till molnresursen.	När du använder en offentlig grupp för åtkomstkontroll kan alla medlemmar ansluta till gruppen och få åtkomst till resursen. Risken för utökade privilegier finns när en offentlig grupp används för att ge åtkomst till en extern resurs.
Gruppera kapsling. När du använder en grupp för åtkomstkontroll och den har andra grupper som medlemmar, kan medlemmar i undergrupperna få åtkomst till resursen. I det här fallet finns det flera gruppägare för den överordnade gruppen och undergrupperna.	Att anpassa sig till flera gruppägare för varje grupp och hur du lägger till rätt medlemmar i dessa grupper är mer komplext och mer benägna att oavsiktligt bevilja åtkomst. Begränsa antalet kapslade grupper eller använd dem inte alls om möjligt.

Nästa steg

• Hantera app- och resursåtkomst med hjälp av Microsoft Entra-grupper
• Begränsa din Microsoft Entra-app till en uppsättning användare i en Microsoft Entra-klientorganisation