Lär dig mer om grupper och åtkomsträttigheter i Azure Active Directory

Azure Active Directory (Azure AD) innehåller flera sätt att hantera åtkomst till resurser, program och uppgifter. Med Azure AD grupper kan du bevilja åtkomst och behörigheter till en grupp användare i stället för för varje enskild användare. Att begränsa åtkomsten till Azure AD resurser till endast de användare som behöver åtkomst är en av de viktigaste säkerhetsprinciperna i Nolltillit. Den här artikeln innehåller en översikt över hur grupper och åtkomsträttigheter kan användas tillsammans för att göra det enklare att hantera dina Azure AD användare samtidigt som du tillämpar metodtips för säkerhet.

Azure AD kan du använda grupper för att hantera åtkomst till program, data och resurser. Resurser kan vara:

• En del av Azure AD organisation, till exempel behörigheter att hantera objekt via roller i Azure AD
• Externt för organisationen, till exempel för SaaS-appar (Programvara som en tjänst)
• Azure-tjänster
• SharePoint-webbplatser
• Lokala resurser

Vissa grupper kan inte hanteras i Azure Portal:

• Grupper som synkroniseras från lokal Active Directory kan endast hanteras i lokal Active Directory.
• Distributionslistor och e-postaktiverade säkerhetsgrupper hanteras endast i Administrationscenter för Exchange eller Administrationscenter för Microsoft 365. Du måste logga in på Administrationscenter för Exchange eller Administrationscenter för Microsoft 365 för att hantera dessa grupper.

Vad du bör veta innan du skapar en grupp

Det finns två grupptyper och tre gruppmedlemskapstyper. Granska alternativen för att hitta rätt kombination för ditt scenario.

Grupptyper:

Säkerhet: Används för att hantera användar- och datoråtkomst till delade resurser.

Du kan till exempel skapa en säkerhetsgrupp så att alla gruppmedlemmar har samma uppsättning säkerhetsbehörigheter. Medlemmar i en säkerhetsgrupp kan inkludera användare, enheter, andra grupper och tjänstens huvudnamn, som definierar åtkomstprincip och behörigheter. Ägare av en säkerhetsgrupp kan innehålla användare och tjänstens huvudnamn.

Microsoft 365: Ger samarbetsmöjligheter genom att ge gruppmedlemmar åtkomst till en delad postlåda, kalender, filer, SharePoint-webbplatser med mera.

Med det här alternativet kan du även ge personer utanför organisationen tillgång till gruppen. Medlemmar i en Microsoft 365-grupp kan bara inkludera användare. Ägare av en Microsoft 365-grupp kan innehålla användare och tjänstens huvudnamn. Mer information om Microsoft 365-grupper finns i Läs mer om Microsoft 365-grupper.

Medlemskapstyper:

• Tilldelade: Gör att du kan lägga till specifika användare som medlemmar i en grupp och har unika behörigheter.

• Dynamisk användare: Gör att du kan använda regler för dynamiskt medlemskap för att automatiskt lägga till och ta bort medlemmar. Om en medlems attribut ändras tittar systemet på dina dynamiska gruppregler för katalogen för att se om medlemmen uppfyller regelkraven (läggs till) eller inte längre uppfyller regelkraven (tas bort).

• Dynamisk enhet: Gör att du kan använda regler för dynamiska grupper för att automatiskt lägga till och ta bort enheter. Om en enhets attribut ändras tittar systemet på dina dynamiska gruppregler för katalogen för att se om enheten uppfyller regelkraven (läggs till) eller inte längre uppfyller regelkraven (tas bort).

  Viktigt

  Du kan skapa en dynamisk grupp för antingen enheter eller användare, men inte både och. Du kan inte skapa en enhetsgrupp baserat på enhetsägarnas attribut. Medlemskapsregler för enheten kan bara referera till enhetens uppgifter. Mer information om hur du skapar en dynamisk grupp för användare och enheter finns i Skapa en dynamisk grupp och kontrollera status

Vad du bör veta innan du lägger till åtkomsträttigheter till en grupp

När du har skapat en Azure AD grupp måste du ge den lämplig åtkomst. Varje program, resurs och tjänst som kräver åtkomstbehörigheter måste hanteras separat eftersom behörigheterna för ett program kanske inte är samma som ett annat. Bevilja åtkomst med principen om lägsta behörighet för att minska risken för angrepp eller säkerhetsöverträdelser.

Så här fungerar åtkomsthantering i Azure AD

Azure AD hjälper dig att ge åtkomst till organisationens resurser genom att ge åtkomsträttigheter till en enskild användare eller till en hel Azure AD grupp. Med hjälp av grupper kan resursägaren eller Azure AD katalogägare tilldela en uppsättning åtkomstbehörigheter till alla medlemmar i gruppen. Resurs- eller katalogägaren kan också ge hanteringsrättigheter till någon, till exempel en avdelningschef eller supportadministratör, så att personen kan lägga till och ta bort medlemmar. Mer information om hur du hanterar gruppägare finns i artikeln Hantera grupper .

Sätt att tilldela åtkomsträttigheter

När du har skapat en grupp måste du bestämma hur du ska tilldela åtkomsträttigheter. Utforska hur du tilldelar åtkomsträttigheter för att fastställa den bästa processen för ditt scenario.

• Direkttilldelning. Resursägaren tilldelar användaren direkt till resursen.

• Grupptilldelning. Resursägaren tilldelar en Azure AD grupp till resursen, vilket automatiskt ger alla gruppmedlemmar åtkomst till resursen. Gruppmedlemskap hanteras av både gruppägaren och resursägaren, så att antingen ägaren lägger till eller tar bort medlemmar från gruppen. Mer information om hur du hanterar gruppmedlemskap finns i artikeln Hantera grupper .

• Regelbaserad tilldelning. Resursägaren skapar en grupp och använder en regel för att definiera vilka användare som tilldelas till en specifik resurs. Regeln baseras på attribut som tilldelas enskilda användare. Resursägaren hanterar regeln och avgör vilka attribut och värden som krävs för att ge åtkomst till resursen. Mer information finns i Skapa en dynamisk grupp och kontrollera status.

• Tilldelning av extern utfärdare. Åtkomsten kommer från en extern källa, till exempel en lokal katalog eller en SaaS-app. I det här fallet tilldelar resursägaren en grupp för att ge åtkomst till resursen och sedan hanterar den externa källan gruppmedlemmarna.

  

Kan användare ansluta till grupper utan att tilldelas?

Gruppägaren kan låta användarna hitta sina egna grupper att ansluta till, i stället för att tilldela dem. Ägaren kan också konfigurera gruppen så att den automatiskt accepterar alla användare som ansluter eller kräver godkännande.

När en användare begär att få ansluta till en grupp vidarebefordras begäran till gruppägaren. Om det behövs kan ägaren godkänna begäran och användaren meddelas om gruppmedlemskapet. Om du har flera ägare och en av dem inte godkänns meddelas användaren, men läggs inte till i gruppen. Mer information och instruktioner om hur du låter användarna begära att ansluta till grupper finns i Konfigurera Azure AD så att användarna kan begära att ansluta till grupper.

Nästa steg

• Skapa och hantera Azure AD grupper och gruppmedlemskap

• Läs mer om gruppbaserad licensiering i Azure AD

• Hantera åtkomst till SaaS-appar med grupper

• Hantera dynamiska regler för användare i en grupp

• Läs mer om Privileged Identity Management för Azure AD roller