了解 Microsoft Entra ID 中的群組和存取權限
Microsoft Entra ID 提供數種管理存取資源、應用程式和工作的方式。 透過 Microsoft Entra 群組,您可以將存取權和權限授與使用者群組,而不是個別使用者。 將 Microsoft Entra 資源的存取限制為只有需要存取權的使用者,是零信任的核心安全性原則之一。
本文提供群組和存取權限如何一起使用的概觀,讓您更輕鬆地管理 Microsoft Entra 使用者,同時套用安全性最佳做法。
Microsoft Entra ID 可讓您使用群組來管理應用程式、資料和資源的存取權。 資源可以是:
- Microsoft Entra 組織的一部分,例如透過 Microsoft Entra ID 中的角色管理物件的權限
- 組織外部,例如軟體即服務 (SaaS) 應用程式
- Azure 服務
- SharePoint 網站
- 內部部署資源
某些群組無法在 Azure 入口網站中管理:
- 從內部部署的 Active Directory 同步處理的群組只能在內部部署的 Active Directory 中進行管理。
- 通訊群組和已啟用電子郵件的安全性群組只能在 Exchange 系統管理中心或 Microsoft 365 系統管理中心中進行管理。 您必須登入 Exchange 系統管理中心或 Microsoft 365 系統管理中心來管理這些群組。
建立群組之前要知道的事項
有兩種群組類型和三種群組成員資格類型。 檢閱選項,以尋找適合您案例的組合。
群組類型:
安全性:用於管理使用者和電腦對共用資源的存取。
例如,您可以建立安全性群組,讓所有群組成員都具有一組相同的安全性權限。 安全性群組的成員可包括使用者、裝置、 服務主體和其他群組 (也稱為巢狀群組),這些群組會定義 存取原則和權限。 安全性群組的擁有者可以包含使用者和服務主體。
注意
將現有的安全組巢狀至另一個安全組時,只有父群組中的成員可以存取共用的資源和應用程式。 巢狀群組成員與父群組成員的指派成員資格不同。 如需管理巢狀群組的詳細資訊,請參閱 如何管理群組。
Microsoft 365:透過將共用信箱、行事曆、檔案、SharePoint 網站等的存取權限授與群組成員,來提供共同作業的機會。
此選項也可讓您將群組的存取權授與組織外的人員。 Microsoft 365 群組的成員只能包含使用者。 Microsoft 365 群組的擁有者可以包含使用者和服務主體。 如需 Microsoft 365 群組的詳細資訊,請參閱 深入了解 Microsoft 365 群組。
成員資格類型:
已指派群組: 讓您將特定使用者新增為群組的成員,並具有唯一權限。
組動態成員資格群組使用者: 讓您作為成員以使用者規則來自動新增及移除使用者。 如果成員的屬性有所變更,系統會查看目錄組動態成員資格群組規則。 系統會檢查成員是否符合規則需求(已新增),或不再符合規則需求(已移除)。
裝置的組動態成員資格: 讓您作為成員使用裝置規則來自動新增及移除裝置。 如果裝置的屬性出現變化,系統會檢閱您針對目錄所設定的組動態成員資格群組規則,以了解該裝置是否仍符合規則需求 (已新增),或已不再符合規則需求 (已移除)。
重要
您可以針對裝置或使用者建立動態群組,但不能同時建立。 您無法依據裝置擁有者的屬性建立裝置群組。 裝置成員資格規則只能參照裝置屬性。 如需針對使用者及裝置建立動態群組的詳細資訊,請參閱建立動態群組並檢查狀態。
新增存取權限至群組之前,需要知道的事項
建立 Microsoft Entra 群組之後,您必須授與其適當的存取權。 每個需要存取權限的應用程式、資源和服務都必須分開管理,因為其權限可能彼此不同。 請使用最低權限原則來授與存取權,以利縮減攻擊風險或安全性缺口。
Microsoft Entra ID 存取管理的運作方式
Microsoft Entra ID 可協助您將存取權限提供給單一使用者或整個 Microsoft Entra 群組,以提供貴組織資源的存取權限。 使用群組可讓資源擁有者或 Microsoft Entra 目錄的擁有者,將一組存取權限指派給群組內的所有成員。 資源或目錄擁有者也可以為部門經理或技術支援中心系統管理員等人員授與管理權限,讓該人員新增和移除成員。 如需如何管理群組擁有者的詳細資訊,請參閱管理群組一文。
指派存取權限的方式
建立群組之後,您必須決定如何指派存取權限。 探索指派存取權限的方式,以確定最適合您案例的流程。
直接指派。 資源擁有者會將使用者直接指派給資源。
群組指派。 資源擁有者會將 Microsoft Entra 群組指派給資源,這會自動授與所有群組成員對資源的存取權。 群組成員資格是由群組擁有者和資源擁有者所管理,任何一者皆可新增或移除群組內的成員。 有關管理群組成員資格的詳細資訊,請參閱 管理群組 一文。
以規則為基礎的指派。 資源擁有者會建立群組,並使用規則來定義將哪些使用者指派給特定資源。 此規則是以指派給個別使用者的屬性為基礎。 資源擁有者會管理規則,判斷允許存取資源所需的屬性和值。 如需詳細資訊,請參閱建立動態群組並檢查狀態。
外部授權單位指派。 存取來自外部來源,例如內部部署目錄或 SaaS 應用程式。 在此情況下,資源擁有者會指派群組以提供資源的存取權,然後由外部來源管理該群組成員。
使用者是否可以在未獲指派的情況下加入群組?
群組擁有者可讓使用者尋找自己的群組來加入,而不是指派群組。 擁有者也可以將群組設定為自動接受所有加入的使用者或要求核准。
在使用者要求加入群組之後,要求會轉送給群組擁有者。 如果需要,擁有者可以核准要求,並通知使用者群組成員資格。 如果有多個擁有者,而其中一個擁有者不同意,則會通知使用者,但不會將其新增至群組。 如需如何讓使用者要求加入群組的詳細資訊和指示,請參閱設定 Microsoft Entra ID 讓使用者可以要求加入群組。