Använda Azure AD-grupper för att hantera rolltilldelningar

Med Azure Active Directory (Azure AD) kan du rikta Azure AD grupper för rolltilldelningar. Att tilldela roller till grupper kan förenkla hanteringen av rolltilldelningar i Azure AD med minimal ansträngning från dina globala administratörer och privilegierade rolladministratörer.

Varför tilldela roller till grupper?

Tänk dig exemplet där Contoso-företaget har anlitat personer i olika geografiska områden för att hantera och återställa lösenord för anställda i dess Azure AD organisation. I stället för att be en privilegierad rolladministratör eller global administratör att tilldela rollen Supportadministratör till varje person individuellt, kan de skapa en Contoso_Helpdesk_Administrators grupp och tilldela rollen till gruppen. När personer ansluter till gruppen tilldelas de rollen indirekt. Ditt befintliga styrningsarbetsflöde kan sedan ta hand om godkännandeprocessen och granskning av gruppens medlemskap för att säkerställa att endast legitima användare är medlemmar i gruppen och därmed tilldelas rollen Supportadministratör.

Så här fungerar rolltilldelningar till grupper

Om du vill tilldela en roll till en grupp måste du skapa en ny säkerhets- eller Microsoft 365-grupp med isAssignableToRole egenskapen inställd på true. I Azure Portal anger du Azure AD roller kan tilldelas till gruppalternativettill Ja. Hur som helst kan du tilldela en eller flera Azure AD roller till gruppen på samma sätt som du tilldelar roller till användare.

Skärmbild av sidan Roller och administratörer

Begränsningar för rolltilldelningsbara grupper

Rolltilldelningsbara grupper har följande begränsningar:

  • Du kan bara ange isAssignableToRole egenskapen eller så kan Azure AD roller tilldelas till gruppalternativet för nya grupper.
  • Egenskapen isAssignableToRole är oföränderlig. När en grupp har skapats med den här egenskapsuppsättningen kan den inte ändras.
  • Du kan inte göra en befintlig grupp till en rolltilldelningsbar grupp.
  • Högst 500 rolltilldelningsbara grupper kan skapas i en enda Azure AD organisation (klientorganisation).
  • Du kan inte tilldela licenser till en rolltilldelningsbar grupp.

Hur skyddas rolltilldelningsbara grupper?

Om en grupp tilldelas en roll kan alla IT-administratörer som kan hantera gruppmedlemskap också indirekt hantera medlemskapet i den rollen. Anta till exempel att en grupp med namnet Contoso_User_Administrators tilldelas rollen Användaradministratör. En Exchange-administratör som kan ändra gruppmedlemskap kan lägga till sig själva i gruppen Contoso_User_Administrators och på så sätt bli användaradministratör. Som du ser kan en administratör höja sina privilegier på ett sätt som du inte hade för avsikt.

Endast grupper som har egenskapen isAssignableToRole inställd true på vid skapandetillfället kan tilldelas en roll. Den här egenskapen är oföränderlig. När en grupp har skapats med den här egenskapsuppsättningen kan den inte ändras. Du kan inte ange egenskapen för en befintlig grupp.

Rolltilldelningsbara grupper är utformade för att förhindra potentiella överträdelser genom att ha följande begränsningar:

  • Endast globala administratörer och privilegierade rolladministratörer kan skapa en rolltilldelningsbar grupp.
  • Medlemskapstypen för rolltilldelningsbara grupper måste tilldelas och kan inte vara en Azure AD dynamisk grupp. Automatiserad population av dynamiska grupper kan leda till att ett oönskat konto läggs till i gruppen och därmed tilldelas rollen.
  • Som standard kan endast globala administratörer och privilegierade rolladministratörer hantera medlemskapet i en rolltilldelningsbar grupp, men du kan delegera hanteringen av rolltilldelningsbara grupper genom att lägga till gruppägare.
  • För Microsoft Graph krävs behörigheten RoleManagement.ReadWrite.Directory för att kunna hantera medlemskap i rolltilldelningsbara grupper. Behörigheten Group.ReadWrite.All fungerar inte.
  • För att förhindra utökade privilegier kan endast en administratör för privilegierad autentisering eller global administratör ändra autentiseringsuppgifterna eller återställa MFA eller ändra känsliga attribut för medlemmar och ägare av en rolltilldelningsbar grupp.
  • Gruppkapsling stöds inte. Det går inte att lägga till en grupp som medlem i en rolltilldelningsbar grupp.

Använda PIM för att göra en grupp berättigad till en rolltilldelning

Om du inte vill att medlemmar i gruppen ska ha stående åtkomst till en roll kan du använda Azure AD Privileged Identity Management (PIM) för att göra en grupp berättigad till en rolltilldelning. Varje medlem i gruppen är sedan berättigad att aktivera rolltilldelningen under en fast tidslängd.

Anteckning

För privilegierade åtkomstgrupper som används för att höja till Azure AD roller rekommenderar vi att du behöver en godkännandeprocess för berättigade medlemstilldelningar. Tilldelningar som kan aktiveras utan godkännande kan skapa en säkerhetsrisk från administratörer som har en lägre behörighetsnivå. Supportadministratören har till exempel behörighet att återställa en berättigad användares lösenord.

Scenarier stöds inte

Följande scenarier stöds inte:

  • Tilldela Azure AD roller (inbyggda eller anpassade) till lokala grupper.

Kända problem

Följande är kända problem med rolltilldelningsbara grupper:

  • Azure AD endast P2-licensierade kunder: Även när du har raderat gruppen visas den fortfarande som berättigad medlem i rollen i PIM-användargränssnittet. Funktionellt finns det inga problem; det är bara ett cacheproblem i Azure Portal.
  • Använd det nya administrationscentret för Exchange för rolltilldelningar via gruppmedlemskap. Det gamla administrationscentret för Exchange stöder inte den här funktionen. Om det krävs åtkomst till det gamla administrationscentret för Exchange tilldelar du den berättigade rollen direkt till användaren (inte via rolltilldelningsbara grupper). Exchange PowerShell-cmdletar fungerar som förväntat.
  • Om en administratörsroll tilldelas till en rolltilldelningsbar grupp i stället för enskilda användare kommer medlemmar i gruppen inte att kunna komma åt regler, organisation eller gemensamma mappar i det nya administrationscentret för Exchange. Lösningen är att tilldela rollen direkt till användare i stället för gruppen.
  • Azure Information Protection Portal (den klassiska portalen) känner inte igen rollmedlemskap via grupp ännu. Du kan migrera till den enhetliga plattformen för känslighetsetiketter och sedan använda Office 365 Säkerhetsefterlevnadscenter & för att använda grupptilldelningar för att hantera roller.
  • Administrationscentret för appar stöder inte den här funktionen ännu. Tilldela rollen Administratör för Office-appar direkt till användare.

Licenskrav

För den här funktionen krävs en Azure AD Premium P1-licens. För att även använda Privileged Identity Management för just-in-time-rollaktivering kräver en Azure AD Premium P2 licens. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i kostnadsfria och Premium-utgåvor.

Nästa steg