使用 Microsoft Entra 識別碼中的群組保護訪問控制
Microsoft Entra ID 允許使用群組來管理組織中資源的存取權。 使用群組進行訪問控制來管理和最小化應用程式的存取。 使用群組時,只有這些群組的成員可以存取資源。 使用群組也會啟用下列管理功能:
- 以屬性為基礎的動態群組
- 從 內部部署的 Active Directory 同步的外部群組
- 管理員 受控或自助受控群組
若要深入瞭解群組的訪問控制優點,請參閱 管理應用程式的存取權。
開發應用程式時,使用群組宣告授權存取權。 若要深入瞭解,請參閱如何使用 Microsoft Entra ID 設定應用程式的群組宣告。
現今,許多應用程式會選取已設定旗標的群組 securityEnabled 子集, true 以避免規模挑戰,也就是減少令牌中傳回的群組數目。 將群組的 securityEnabled 旗標設定為 true 並不保證該群組受到安全管理。
降低風險的最佳做法
下表提供數個安全組的安全性最佳做法,以及每個做法可能降低的安全性風險。
| 安全性最佳作法 | 已降低安全性風險 |
|---|---|
確定資源擁有者和群組擁有者是相同的主體。 應用程式應該建置自己的群組管理體驗,並建立新的群組來管理存取權。 例如,應用程式可以使用許可權建立群組 Group.Create ,並將本身新增為群組的擁有者。 如此一來,應用程式就能控制其群組,而不需透過許可權修改租使用者中的其他群組。 |
當群組擁有者和資源擁有者是不同的實體時,群組擁有者可以將使用者新增至不應該存取資源的群組,但隨後不小心存取該資源。 |
| 在資源擁有者和群組擁有者之間建立隱含合約。 資源擁有者和群組擁有者應該符合可新增至群組的群組用途、原則和成員,以取得資源的存取權。 這種信任層級是非技術性的,並依賴人力或業務合約。 | 當群組擁有者和資源擁有者有不同的意圖時,群組擁有者可能會將使用者新增至資源擁有者不想授與存取權的群組。 此動作可能會導致不必要的且有風險的存取。 |
| 使用私人群組進行訪問控制。 Microsoft 365 群組是由 可見度概念所管理。 此屬性會控制群組的聯結原則,以及群組資源的可見度。 安全組具有可讓任何人加入或要求擁有者核准的聯結原則。 內部部署同步群組也可以是公用或私人群組。 加入內部部署同步群組的使用者也可以存取雲端資源。 | 當您使用公用群組進行訪問控制時,任何成員都可以加入群組並取得資源的存取權。 當公用群組用來授與外部資源的存取權時,許可權提升的風險就存在。 |
| 群組巢狀。 當您使用群組進行訪問控制,且其具有其他群組做為其成員時,子群組的成員可以取得資源的存取權。 在此情況下,父群組和子群組有多個群組擁有者。 | 根據每個群組的目的與多個群組擁有者一致,以及如何將這些群組中的適當成員新增至這些群組,會比較複雜且更容易意外授與存取權。 限制巢狀群組的數目,或盡可能不要使用它們。 |