在 Microsoft Entra ID 中使用群組來保護存取控制
Microsoft Entra ID 允許使用群組來管理對組織中資源的存取權。 使用群組以進行存控制,以管理和最小化對應用程式的存取。 使用群組時,只有這些群組的成員才能存取資源。 使用群組也會啟用下列管理功能:
- 以屬性為基礎的組動態成員資格群組
- 從內部部署 Active Directory 同步的外部群組
- 系統管理員管理或自助式管理的群組
若要深入了解存取控制群組的優點,請參閱管理應用程式的存取權。
在開發應用程式時,請使用群組宣告授權存取。 若要深入了解,請參閱如何使用 Microsoft Entra ID 設定應用程式的群組宣告。
現今,許多應用程式會選取群組的子集,並將 securityEnabled
旗標設定為 true
,以避免規模挑戰,即減少權杖中傳回的群組數目。 將群組的 securityEnabled
旗標設定為 true 並不能保證該群組受到安全管理。
緩解風險的最佳做法
下表列出安全性群組的數個安全性最佳做法以及每個做法可以緩解的潛在安全性風險。
安全性最佳作法 | 安全性風險已緩解 |
---|---|
確保資源擁有者和群組擁有者是相同的主體。 應用程式應該組建自己的群組管理體驗,並建立新的群組來管理存取權。 例如,應用程式可以使用 Group.Create 權限建立群組,並將其自身新增為群組的擁有者。 如此一來,應用程式就可以控制其群組,而無需擁有修改租用戶中其他群組的權限。 |
當群組擁有者和資源擁有者是不同的實體時,群組擁有者可以將不應存取資源的使用者新增至群組,以讓其使用者仍可以無意存取資源。 |
在資源擁有者和群組擁有者之間建立隱含合約。 資源擁有者和群組擁有者應就可以新增到群組中以存取資源的群組目的、原則和成員進行協調。 此信任層級為非技術性,依賴於人力或商業合約。 | 當群組擁有者和資源擁有者有不同的意圖時,群組擁有者可以將使用者新增到資源擁有者不打算授與存取權的群組中。 此動作可能會導致不必要和潛在的風險存取。 |
使用私人群組進行存取控制。 Microsoft 365 群組由可見性概念受控。 此屬性會控制群組的聯結原則和資源群組的可見性。 安全性群組具有允許任何人加入或要求擁有者核准的聯結原則。 內部部署同步群組也可以是公用的或私人的。 加入內部部署同步群組的使用者也可以取得雲端資源的存取權。 | 當您使用公用群組進行存取控制時,任何成員都可以加入群組並取得資源的存取權。 當公用群組用於授與外部資源的存取權時,提高權限的風險就會存在。 |
群組巢狀化。 當您使用群組進行存取控制,並且其具有其他群組作為其成員時,子群組的成員可以取得資源的存取權。 在此情況下,有多個父代群組和子群組的群組擁有者。 | 與多個群組擁有者就每個群組的目的以及如何向這些群組新增正確的成員進行協調更加複雜,並且更容易意外授與存取權。 請限制巢狀群組的數目,或者盡可能不要使用這些群組。 |