Hola Eduardo,
Definitivamente es un punto importante el que comentas, ya que como la documentación de MS Entra ID nos comenta es nuestra responsabilidad designar el acceso adecuado considerando el principio de minimo privilegio, este principio tambien debe aplicarse para grupos dentro de otros grupos, en este caso recomiendo considerar RBAC para los grupos y si se quiere ser mas granular con los permisos aplicar ABAC en las que podemos aplicar condiciones.
Ref. ABAC: https://learn.microsoft.com/en-us/azure/role-based-access-control/conditions-overview
Ref. RBAC: https://learn.microsoft.com/en-us/azure/role-based-access-control/overview
Espero que sea de tu interes.
Saludos!