Zabezpečení řízení přístupu pomocí skupin v Microsoft Entra ID

Microsoft Entra ID umožňuje použití skupin ke správě přístupu k prostředkům v organizaci. Skupiny slouží ke správě a minimalizaci přístupu k aplikacím. Při použití skupin mají k prostředku přístup jenom členové těchto skupin. Použití skupin také umožňuje následující funkce správy:

• Dynamické skupiny členství založené na atributech
• Externí skupiny synchronizované z místní Active Directory
• Spravované správcem nebo samoobslužné spravované skupiny

Další informace o výhodách skupin pro řízení přístupu najdete v tématu správa přístupu k aplikaci.

Při vývoji aplikace autorizujete přístup pomocí deklarace identity skupin. Další informace najdete v tématu konfigurace deklarací identity skupin pro aplikace s ID Microsoft Entra.

Mnoho aplikací dnes vybere podmnožinu skupin s příznakem securityEnabled nastaveným příznakem, aby true se zabránilo problémům se škálováním, tj. aby se snížil počet skupin vrácených v tokenu. Nastavení příznaku securityEnabled na true pro skupinu nezaručuje, že je skupina bezpečně spravovaná.

Osvědčené postupy pro zmírnění rizika

Následující tabulka obsahuje několik osvědčených postupů zabezpečení pro skupiny zabezpečení a potenciální rizika zabezpečení, které jednotlivé postupy zmírňují.

Osvědčený postup zabezpečení	Zmírnění rizik zabezpečení
Ujistěte se, že vlastník prostředků a vlastník skupiny jsou stejného objektu zabezpečení. Aplikace by měly vytvářet vlastní prostředí pro správu skupin a vytvářet nové skupiny pro správu přístupu. Aplikace může například vytvořit skupiny s oprávněním Group.Create a přidat se jako vlastník skupiny. Tímto způsobem má aplikace kontrolu nad skupinami, aniž by byla privilegovaná, aby upravovala jiné skupiny v tenantovi.	Pokud jsou vlastníci skupin a vlastníci prostředků různé entity, můžou vlastníci skupin přidávat uživatele do skupiny, kteří nemají k prostředku přistupovat, ale můžou k němu neúmyslně přistupovat.
Vytvořte implicitní kontrakt mezi vlastníkem prostředku a vlastníkem skupiny. Vlastník prostředku a vlastník skupiny by se měli shodovat s účelem skupiny, zásadami a členy, které je možné přidat do skupiny, aby získali přístup k prostředku. Tato úroveň důvěryhodnosti není technická a spoléhá na lidskou nebo obchodní smlouvu.	Pokud vlastníci skupin a vlastníci prostředků mají jiné záměry, může vlastník skupiny přidat uživatele do skupiny, ke které vlastník prostředku neměl v úmyslu udělit přístup. Tato akce může vést ke zbytečnému a potenciálně rizikovému přístupu.
Pro řízení přístupu používejte soukromé skupiny. Skupiny Microsoftu 365 se spravují konceptem viditelnosti. Tato vlastnost řídí zásadu spojení skupiny a viditelnost prostředků skupiny. Skupiny zabezpečení mají zásady připojení, které buď umožňují každému připojit se, nebo vyžadují schválení vlastníka. Místní synchronizované skupiny můžou být také veřejné nebo soukromé. Uživatelé, kteří se připojují k místní synchronizované skupině, můžou také získat přístup ke cloudovému prostředku.	Když pro řízení přístupu použijete veřejnou skupinu, může se každý člen připojit ke skupině a získat přístup k prostředku. Riziko zvýšení oprávnění existuje, když se veřejná skupina používá k udělení přístupu k externímu prostředku.
Seskupení vnoření. Když pro řízení přístupu použijete skupinu a její členové mají další skupiny, můžou členové podskupin získat přístup k prostředku. V tomto případě existuje několik vlastníků nadřazené skupiny a podskupin.	Sladění s několika vlastníky skupin na základě účelu každé skupiny a přidání správných členů do těchto skupin je složitější a náchylnější k náhodnému udělení přístupu. Pokud je to možné, omezte počet vnořených skupin nebo je vůbec nepoužívejte.

Další kroky

• Správa přístupu k aplikacím a prostředkům pomocí skupin Microsoft Entra
• Omezení aplikace Microsoft Entra na sadu uživatelů v tenantovi Microsoft Entra