Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Identyfikator Entra firmy Microsoft udostępnia kilka sposobów zarządzania dostępem do zasobów, aplikacji i zadań. Dzięki grupom firmy Microsoft Entra można udzielić dostępu i uprawnień grupie użytkowników zamiast do poszczególnych użytkowników. Ograniczenie dostępu do zasobów firmy Microsoft Entra tylko dla tych użytkowników, którzy potrzebują dostępu, jest jedną z podstawowych zasad zabezpieczeń zero trust.
Ten artykuł zawiera omówienie sposobu, w jaki grupy i prawa dostępu mogą być używane razem, aby ułatwić zarządzanie użytkownikami firmy Microsoft Entra, a także stosowanie najlepszych rozwiązań w zakresie zabezpieczeń.
Uwaga
Nie można zarządzać niektórymi grupami w portalu Azure lub centrum administracyjne Microsoft Entra.
- Grupy synchronizowane z lokalnej usługi Active Directory mogą być zarządzane tylko lokalnie.
- Listami dystrybucyjnymi i grupami zabezpieczeń z obsługą poczty można zarządzać wyłącznie w centrum administracyjnym Exchange lub w centrum administracyjnym Microsoft 365 . Aby zarządzać tymi grupami, musisz się zalogować i mieć odpowiednie uprawnienia dla tego centrum administracyjnego.
Omówienie grup Entra firmy Microsoft
Efektywne korzystanie z grup może zmniejszyć liczbę zadań ręcznych, takich jak przypisywanie ról i uprawnień do poszczególnych użytkowników. Role można przypisywać do grupy i przypisywać członków do grupy na podstawie ich funkcji lub działu. Można utworzyć zasady dostępu warunkowego, które mają zastosowanie do grupy, a następnie przypisać zasady do grupy. Ze względu na potencjalne zastosowania grup ważne jest, aby zrozumieć, jak działają i jak są zarządzane.
Typy grup
W centrum administracyjnym firmy Microsoft Entra można zarządzać dwoma typami grup:
Grupy zabezpieczeń: służy do zarządzania dostępem do zasobów udostępnionych.
Microsoft 365 grupy: Zapewnianie możliwości współpracy.
- Członkowie grupy platformy Microsoft 365 mogą zawierać tylko użytkowników.
- Użytkownicy i jednostki usługi mogą być właścicielami grupy Microsoft 365.
- Osoby spoza organizacji mogą być członkami grupy.
- Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o grupach platformy Microsoft 365.
Uwaga
Gdy istniejąca grupa zabezpieczeń jest zagnieżdżana w innej grupie zabezpieczeń, tylko członkowie grupy nadrzędnej mają dostęp do udostępnionych zasobów i aplikacji. Aby uzyskać więcej informacji na temat zarządzania zagnieżdżonymi grupami, zobacz Jak zarządzać grupami.
Typy członkostwa
- Przypisane grupy: umożliwia dodawanie określonych użytkowników jako członków grupy i posiadanie unikatowych uprawnień.
- Grupa członkostwa dynamicznego dla użytkowników: umożliwia automatyczne dodawanie i usuwanie użytkowników jako członków za pomocą reguł. Jeśli atrybuty członka zmienią się, system analizuje reguły dla dynamicznych grup członkostwa w katalogu. System sprawdza, czy element członkowski spełnia wymagania reguły (jest dodawany), czy nie spełnia już wymagań reguł (zostanie usunięty).
- Dynamiczna grupa członkostwa dla urządzeń: umożliwia automatyczne dodawanie i usuwanie urządzeń jako członków za pomocą reguł. Jeśli atrybuty urządzenia zmienią się, system analizuje reguły dla dynamicznych grup członkostwa w katalogu, aby sprawdzić, czy urządzenie spełnia wymagania reguły (dodane) lub nie spełnia już wymagań reguł (zostanie usunięte).
Ważne
Grupę dynamiczną można utworzyć dla urządzeń lub użytkowników, ale nie dla obu tych elementów. Nie można utworzyć grupy urządzeń na podstawie atrybutów właścicieli urządzeń. Reguły członkostwa urządzenia mogą przywoływać tylko atrybuty urządzeń. Aby uzyskać więcej informacji, zobacz Tworzenie grupy dynamicznej.
Zarządzanie dostępem
Identyfikator Entra firmy Microsoft pomaga zapewnić dostęp do zasobów organizacji, zapewniając prawa dostępu do jednego użytkownika lub grupy. Użycie grup umożliwia właścicielowi zasobu lub właścicielowi katalogu Firmy Microsoft Entra przypisanie zestawu uprawnień dostępu do wszystkich członków grupy. Właściciel zasobu lub katalogu może również przyznać innym osobom prawa do zarządzania grupami, takim jak kierownik działu lub administrator pomocy technicznej, co umożliwia tej osobie dodawanie i usuwanie członków. Aby uzyskać więcej informacji na temat zarządzania właścicielami grup, zobacz artykuł Zarządzanie grupami .
Zasoby, do których grupy Firmy Microsoft Entra mogą zarządzać dostępem, mogą być następujące:
- Część organizacji firmy Microsoft Entra, taka jak uprawnienia do zarządzania użytkownikami, aplikacjami, rozliczeniami i innymi obiektami.
- Poza organizacją, takie jak aplikacje SaaS (Software as a Service) firmy innej niż Microsoft.
- Usługi platformy Azure.
- SharePoint witryn.
- Zasoby lokalne.
Każda aplikacja, zasób i usługa, która wymaga uprawnień dostępu, musi być zarządzana oddzielnie, ponieważ uprawnienia dla tej aplikacji mogą nie być takie same jak inne. Udzielanie dostępu przy użyciu zasady najniższych uprawnień , aby zmniejszyć ryzyko ataku lub naruszenia zabezpieczeń.
Typy zadań
Po utworzeniu grupy należy zdecydować, jak zarządzać dostępem.
Bezpośrednie przypisanie: właściciel zasobu bezpośrednio przypisuje użytkownika do zasobu.
Zadanie grupowe. Właściciel zasobu przypisuje do zasobu grupę Microsoft Entra, która automatycznie zapewnia wszystkim członkom grupy dostęp do zasobu. Zarówno właściciel grupy, jak i właściciel zasobu zarządzają członkostwem w grupie, umożliwiając właścicielowi dodawanie lub usuwanie członków z grupy. Aby uzyskać więcej informacji na temat zarządzania członkostwem w grupach, zobacz artykuł Zarządzane grupy .
Przypisanie oparte na regułach: właściciel zasobu tworzy grupę i używa reguły do zdefiniowania użytkowników przypisanych do określonego zasobu. Reguła jest oparta na atrybutach przypisanych do poszczególnych użytkowników. Właściciel zasobu zarządza regułą, określając, które atrybuty i wartości są wymagane, aby zezwolić na dostęp do zasobu. Aby uzyskać więcej informacji, zobacz Tworzenie grupy dynamicznej.
Przypisanie przez podmiot zewnętrzny: Dostęp pochodzi z zewnętrznego źródła, takiego jak katalog lokalny lub aplikacja SaaS. W takiej sytuacji właściciel zasobu przypisuje grupę w celu zapewnienia dostępu do zasobu, a następnie źródło zewnętrzne zarządza członkami grupy.
Najlepsze rozwiązania dotyczące zarządzania grupami w chmurze
Poniżej przedstawiono najlepsze rozwiązania dotyczące zarządzania grupami w chmurze:
-
Włączenie samoobsługowego zarządzania grupami: Zezwalaj użytkownikom na wyszukiwanie i dołączanie do grup lub tworzenie własnych grup Microsoft 365 i zarządzanie nimi.
- Umożliwia zespołom organizowanie się przy jednoczesnym zmniejszeniu obciążeń administracyjnych związanych z it.
- Zastosuj zasady nazewnictwa grup , aby zablokować używanie ograniczonych wyrazów i zapewnić spójność.
- Zapobiegaj utrzymywaniu się nieaktywnych grup przez włączenie zasad wygasania grup, które automatycznie usuwa nieużywane grupy po upływie określonego okresu, chyba że zostanie odnowiona przez właściciela grupy.
- Skonfiguruj grupy tak, aby automatycznie akceptowały wszystkich użytkowników, którzy dołączają lub wymagają zatwierdzenia.
- Aby uzyskać więcej informacji, zobacz Konfigurowanie samoobsługowego zarządzania grupami w usłudze Microsoft Entra ID.
-
Korzystaj z etykiet poufności: Używaj etykiet poufności do klasyfikowania grup Microsoft 365 i zarządzania nimi zgodnie z wymaganiami dotyczącymi zabezpieczeń i zgodności.
- Zapewnia szczegółowe mechanizmy kontroli dostępu i zapewnia ochronę poufnych zasobów.
- Aby uzyskać więcej informacji, zobacz Przypisywanie etykiet poufności do grup platformy Microsoft 365 w usłudze Microsoft Entra ID
-
Automatyzowanie członkostwa w grupach dynamicznych: zaimplementuj reguły członkostwa dynamicznego, aby automatycznie dodawać lub usuwać użytkowników i urządzenia z grup na podstawie atrybutów, takich jak dział, lokalizacja lub stanowisko.
- Minimalizuje aktualizacje ręczne i zmniejsza ryzyko niezamierzonego dostępu.
- Ta funkcja dotyczy grup i grup zabezpieczeń platformy Microsoft 365.
-
Wprowadzenie okresowych przeglądów dostępu: Użyj funkcji zarządzania tożsamościami Microsoft Entra, aby zaplanować regularne przeglądy dostępu.
- Zapewnia, że członkostwo w przypisanych grupach pozostaje dokładne i istotne w czasie.
- Aby uzyskać więcej informacji, zobacz Tworzenie lub aktualizowanie dynamicznej grupy członkostwa w usłudze Microsoft Entra ID
-
Zarządzaj członkostwem w pakietach dostępu: Tworzenie pakietów dostępu za pomocą Microsoft Entra Identity Governance w celu usprawnienia zarządzania wieloma członkostwami w grupach. Pakiety dostępu mogą:
- Uwzględnij przepływy pracy do zatwierdzania członkostwa
- Definiowanie kryteriów wygaśnięcia dostępu
- Zapewnienie scentralizowanego sposobu udzielania, przeglądania i odwoływanie dostępu między grupami i aplikacjami
- Aby uzyskać więcej informacji, zobacz Tworzenie pakietu dostępu w zarządzaniu upoważnieniami
-
Przypisz wielu właścicieli do grupy: przypisz co najmniej dwóch właścicieli do grupy, aby zapewnić ciągłość i zmniejszyć zależność od jednej osoby.
- Aby uzyskać więcej informacji, zobacz Zarządzanie grupami i członkostwem w grupach firmy Microsoft
-
Korzystanie z licencjonowania opartego na grupach: licencjonowanie oparte na grupach upraszcza aprowizację użytkowników i zapewnia spójne przypisania licencji.
- Użyj dynamicznych grup członkostwa, aby automatycznie zarządzać licencjonowaniem użytkowników spełniających określone kryteria.
- Aby uzyskać więcej informacji, zobacz Co to jest licencjonowanie oparte na grupach w identyfikatorze Entra firmy Microsoft?
-
Wymuszanie kontroli dostępu opartej na rolach (RBAC): przypisywanie ról do kontrolowania, kto może zarządzać grupami.
- Kontrola dostępu oparta na rolach zmniejsza ryzyko nieprawidłowego użycia uprawnień i upraszcza zarządzanie grupami.
- Aby uzyskać więcej informacji, zobacz Omówienie kontroli dostępu opartej na rolach w usłudze Microsoft Entra ID