使用 Microsoft Entra 群組來管理角色指派

  • 發行項

使用 Microsoft Entra ID P1 或 P2,您可以建立可指派角色的群組,並將 Microsoft Entra 角色指派給這些群組。 此功能可簡化角色管理、確保一致的存取權,並讓稽核許可權更加直接。 將角色指派給群組,而不是個人,可讓您輕鬆地從角色新增或移除使用者,並為群組的所有成員建立一致的許可權。 您也可以建立具有特定許可權的自訂角色,並將其指派給群組。

為什麼要將角色指派給群組?

假設 Contoso 公司已雇用跨地理位置的人員,為其 Microsoft Entra 組織中的員工管理及重設密碼。 他們無須要求特殊權限角色管理員或全域管理員分別將服務台管理員角色指派給每個人,而是能建立 Contoso_Helpdesk_Administrators 群組,並將角色指派給這個群組。 當人員加入群組時,他們就會間接獲指派角色。 如此一來,現有的治理工作流程可以處理核准程序,以及稽核群組的成員資格,以確保只有合法的使用者可成為群組成員,進而指派服務台管理員角色給他們。

群組的角色指派如何運作

若要將角色指派給群組,您必須建立新的安全性或 Microsoft 365 群組, isAssignableToRole 並將 屬性設定為 true 。 在 Microsoft Entra 系統管理中心中,您可以將 Microsoft Entra 角色指派給群組 選項為 [是 ]。 不論是哪一種方式,您都可以將一或多個 Microsoft Entra 角色指派給群組,就像將角色指派給使用者一樣。

Screenshot of the Roles and administrators page

可指派角色群組的限制

可指派角色的群組具有下列限制:

  • 您只能設定 isAssignableToRole 屬性或 Microsoft Entra 角色可以指派給新群組的群組 選項。
  • 屬性 isAssignableToRole 是不 可變的 。 建立群組並設定此屬性之後,就無法變更。
  • 您無法將現有群組設為可指派角色的群組。
  • 最多可以在單一 Microsoft Entra 組織中建立 500 個可指派角色的群組(租使用者)。

角色可指派群組如何受到保護?

如果指派群組角色,任何可以管理群組成員資格的 IT 系統管理員也可以間接管理該角色的成員資格。 例如,假設名為 Contoso_User_管理員istrators 的群組已獲指派 User 管理員istrator 角色。 可以修改群組成員資格的 Exchange 系統管理員可以將自己新增至 Contoso_User_管理員istrators 群組,如此一來,就會成為使用者管理員istrator。 如您所見,系統管理員可以以您不想要的方式提升其許可權。

只有屬性在建立時設定為 true 的群組 isAssignableToRole 可以指派角色。 這個屬性是不可變的。 建立群組並設定此屬性之後,就無法變更。 您無法在現有的群組上設定 屬性。

可指派角色的群組旨在透過下列限制來協助防止潛在的缺口:

  • 只有全域管理員istrators 和 Privileged Role 管理員istrators 才能建立可指派角色的群組。
  • 角色可指派群組的成員資格類型必須是 [指派],而且不能是 Microsoft Entra 動態群組。 動態群組的自動化母體擴展可能會導致不想要的帳戶新增至群組,因而指派給角色。
  • 根據預設,只有全域管理員istrators 和 Privileged Role 管理員istrators 可以管理可指派角色群組的成員資格,但您可以藉由新增群組擁有者來委派角色指派群組的管理。
  • 針對 Microsoft Graph, 需要 RoleManagement.ReadWrite.Directory 許可權,才能管理可指派角色群組的成員資格。 Group.ReadWrite.All 許可權將無法運作。
  • 若要防止提高許可權,只有 Privileged Authentication 管理員istrator 或 Global 管理員istrator 可以變更認證,或重設 MFA 或修改角色指派群組成員和擁有者的敏感性屬性。
  • 不支援群組巢狀。 無法將群組新增為可指派角色群組的成員。

使用 PIM 讓群組符合角色指派的資格

如果您不想讓群組的成員具有角色的常設存取權,您可以使用 Microsoft Entra Privileged Identity Management (PIM) 讓群組符合角色指派資格。 如此一來,群組的每個成員都有資格在固定期間啟用角色指派。

注意

對於用於提升為 Microsoft Entra 角色的群組,建議您針對合格的成員指派要求核准程式。 未經核准即可啟用的指派,可能會讓您容易受到較不具特殊許可權系統管理員的安全性風險的影響。 例如,Helpdesk 管理員istrator 具有重設合格使用者密碼的許可權。

不支援的案例

不支援下列案例:

  • 將 Microsoft Entra 角色(內建或自訂)指派給內部部署群組。

已知問題

以下是角色可指派群組的已知問題:

  • 僅限 Microsoft Entra ID P2 授權客戶 :即使在刪除群組之後,它仍會顯示 PIM UI 中角色的合格成員。 功能上沒有問題;這只是 Microsoft Entra 系統管理中心的快取問題。
  • 透過群組成員資格使用新的 Exchange 系統管理中心 進行角色指派。 舊的 Exchange 系統管理中心不支援此功能。 如果需要存取舊的 Exchange 系統管理中心,請將合格的角色直接指派給使用者(而非透過角色指派的群組)。 Exchange PowerShell Cmdlet 會如預期般運作。
  • 如果將系統管理員角色指派給可指派角色的群組,而不是個別使用者,群組的成員將無法在新 Exchange 系統管理中心 存取 規則、組織或公用資料夾。 因應措施是將角色直接指派給使用者,而不是群組。
  • Azure 資訊保護 入口網站(傳統入口網站)尚未透過群組辨識角色成員資格。 您可以 移轉至統一敏感度標籤平臺 ,然後使用Microsoft Purview 合規性入口網站來使用群組指派來管理角色。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 Just-In-Time 角色啟用的 Privileged Identity Management 需要 Microsoft Entra ID P2 授權。 若要尋找您需求的正確授權,請參閱 比較免費和進階版版本的 一般可用功能。

下一步