了解 Azure Active Directory 中的群組和存取權限

Azure Active Directory (Azure AD) 提供了數種方式來管理對資源、應用程式和工作的存取。 透過 Azure AD 群組,您可以將存取權和權限授與使用者群組,而不是個別使用者。 將 Azure AD 資源的存取限制為只有需要存取權的使用者,是零信任的核心安全性原則之一。 本文將概述如何搭配使用群組和存取權限,讓您能夠更輕鬆地管理 Azure AD 使用者,同時套用安全性最佳做法。

Azure AD 可讓您使用群組來管理對應用程式、資料和資源的存取。 資源可以是:

  • Azure AD 組織的一部分,例如透過 Azure AD 中的角色來管理物件的權限
  • 組織外部,例如軟體即服務 (SaaS) 應用程式
  • Azure 服務
  • SharePoint 網站
  • 內部部署資源

某些群組無法在Azure 入口網站中管理:

  • 從內部部署的 Active Directory 同步處理的群組只能在內部部署的 Active Directory 中進行管理。
  • 通訊群組清單和擁有郵件功能的安全性群組只能在 Exchange 系統管理中心或 Microsoft 365 系統管理中心受到管理。 您必須登入 Exchange 系統管理中心或 Microsoft 365 系統管理中心來管理這些群組。

建立群組前的須知事項

有兩種群組類型與三種群組成員資格類型。 請檢閱選項,以找出個人案例的適當組合。

群組類型:

安全性:用來管理使用者和電腦對共用資源的存取。

例如,您可以建立安全性群組,讓所有群組成員具有一組相同的安全性權限。 安全性群組的成員可包含使用者、裝置、其他群組和服務主體 (會定義存取原則和權限)。 安全性群組的擁有者可包含使用者和服務主體。

Microsoft 365:透過將共用信箱、行事曆、檔案、SharePoint 網站等的存取權授與群組成員,來提供共同作業的機會。

此選項也可讓您將群組的存取權授與組織外的人員。 Microsoft 365 群組的成員只能包含使用者。 Microsoft 365 群組的擁有者可包含使用者和服務主體。 如需 Microsoft 365 群組的詳細資訊,請參閱深入了解 Microsoft 365 群組

成員資格類型:

  • 已指派:讓您將特定使用者新增為群組的成員,並具有唯一權限。

  • 動態使用者:讓您使用動態成員資格規則來自動新增及移除成員。 如果成員的屬性出現變化,系統會查看您針對目錄所設定的動態群組規則,以判斷該成員是否仍符合規則需求 (並新增該成員),或已不再符合規則需求 (並移除該成員)。

  • 動態裝置:讓您使用動態群組規則來自動新增及移除裝置。 如果裝置的屬性出現變化,系統會查看您針對目錄所設定的動態群組規則,以判斷該裝置是否仍符合規則需求 (並新增該裝置),或已不再符合規則需求 (並移除該裝置)。

    重要

    您可以針對裝置或使用者建立動態群組,但不能同時建立。 您無法根據裝置擁有者的屬性來建立裝置群組。 裝置成員資格規則只能參考裝置屬性。 如需針對使用者與裝置建立動態群組的詳細資訊,請參閱建立動態群組並檢查狀態

將存取權限新增至群組前的須知事項

建立 Azure AD 群組後,您必須為其授與適當的存取權。 每個需要存取權限的應用程式、資源和服務都必須分開管理,因為其權限可能彼此不同。 請使用最低權限原則來授與存取權,以利縮減攻擊風險或安全性缺口。

存取權管理在 Azure AD 中如何運作

Azure AD 可協助您藉由對單一使用者或整個 Azure AD 群組提供存取權限,來提供貴組織資源的存取權。 使用群組可讓資源擁有者 (或 Azure AD 目錄的擁有者) 將一組存取權限指派給群組內的所有成員。 資源或目錄的擁有者也可以將管理權限提供給其他人 (例如,部門經理或服務台管理員),讓該人員新增和移除成員。 如需如何管理群組擁有者的詳細資訊,請參閱管理群組一文。

Azure Active Directory 存取管理圖表。

指派存取權限的方式

建立群組後,您必須決定如何指派存取權限。 探索指派存取權限的方式,以確認個人案例的最佳程序。

  • 直接指派。 資源擁有者可直接將使用者指派給資源。

  • 群組指派。 資源擁有者可將 Azure AD 群組指派給資源,以自動對所有群組成員提供資源的存取權。 群組成員資格會由群組擁有者和資源擁有者共同管理,讓任一擁有者可以在群組中新增或移除成員。 如需管理群組成員資格的詳細資訊,請參閱管理群組一文。

  • 以規則為基礎的指派。 資源擁有者可建立群組,並使用規則來定義要將哪些使用者指派給特定資源。 此規則會以指派給個別使用者的屬性為基礎。 資源擁有者可管理規則,決定需要有哪些屬性和值才能允許存取資源。 如需詳細資訊,請參閱建立動態群組並檢查狀態

  • 外部授權單位指派。 存取權來自外部來源,例如內部部署目錄或 SaaS 應用程式。 在此情況下,資源擁有者會指派群組以提供資源存取權,然後由外部來源管理群組成員。

    存取管理概觀圖表。

使用者可否不經指派直接加入群組?

群組擁有者可以讓使用者自行尋找群組來加入,而不用由其指派。 擁有者也可以將群組設定為自動接受加入的所有使用者,或需要經過核准。

使用者要求加入群組後,系統會將該要求轉送給群組擁有者。 如有需要,擁有者可以核准要求,使用者便會收到獲得群組成員資格的通知。 如果您有多個擁有者,而且其中之一不同意,使用者會收到通知,但不會新增至該群組。 如需如何讓使用者要求加入群組的詳細資訊和指示,請參閱設定 Azure AD 讓使用者可以要求加入群組

後續步驟