Tworzenie, konfigurowanie grup i zarządzanie nimi

  • 3 min

Grupa Microsoft Entra pomaga organizować użytkowników, co ułatwia zarządzanie uprawnieniami. Użycie grup umożliwia właścicielowi zasobu (lub właścicielowi katalogu entra firmy Microsoft) przypisanie zestawu uprawnień dostępu do wszystkich członków grupy, zamiast podać prawa jeden po jednym. Grupy umożliwiają definiowanie granicy zabezpieczeń oraz dodawanie bądź usuwanie określonych użytkowników, co pozwala zminimalizować czynności związane z przyznawaniem lub odmawianiem dostępu. Jeszcze lepiej, microsoft Entra ID obsługuje możliwość definiowania członkostwa na podstawie reguł — takich jak dział, w jakim działa użytkownik, lub stanowisko, w których się pracuje.

Microsoft Entra ID umożliwia zdefiniowanie dwóch różnych typów grup.

  • Grupy zabezpieczeń — najczęściej używany typ grup i służą do zarządzania dostępem członków i komputerów do zasobów udostępnionych dla grupy użytkowników. Na przykład można utworzyć grupę zabezpieczeń dla konkretnych zasad zabezpieczeń. W ten sposób można jednocześnie udzielić zestawu uprawnień wszystkim członkom zamiast udzielania uprawnień każdemu członkowi osobno. Ta opcja wymaga administratora firmy Microsoft Entra.
  • Grupy platformy Microsoft 365 — zapewniają możliwości współpracy, zapewniając członkom dostęp do udostępnionej skrzynki pocztowej, kalendarza, plików, witryny programu SharePoint i nie tylko. Ta opcja umożliwia także udzielenie dostępu do grupy osobom spoza organizacji. Ta opcja jest dostępna dla użytkowników oraz administratorów.

Wyświetlanie dostępnych grup

Wszystkie grupy można wyświetlić za pomocą elementu Grupy w obszarze Zarządzanie grupą na pulpicie nawigacyjnym Microsoft Entra — Tożsamość. Nowe wdrożenie identyfikatora Entra firmy Microsoft nie będzie miało zdefiniowanych grup.

Screenshot of the Microsoft Entra ID view all groups page. It shows a list of several groups that already exist, along with attributes about group like Group Type and Membership Type.

Drugą cechą grupy, o której należy pamiętać, jest typ członkostwa. Określa sposób dodawania poszczególnych członków do grupy. Dwa typy to:

  • Przypisane — składowe są dodawane i obsługiwane ręcznie.
  • Dynamiczne — elementy członkowskie są dodawane na podstawie reguł, tworząc grupę dynamiczną. Te grupy są nadal grupą zabezpieczeń lub grupą platformy Microsoft 365, tylko ich członkowie są kontrolowani przez regułę.

Grupy dynamiczne

Ostatnim typem grupy jest grupa dynamiczna, która oznacza, że członkostwo jest generowane przez formułę za każdym razem, gdy grupa jest używana. Grupa dynamiczna zawiera dowolnego adresata w usłudze Active Directory z wartościami atrybutów odpowiadającymi jego filtrowi. Jeśli właściwości adresata są modyfikowane w celu dopasowania do filtru, odbiorca może przypadkowo stać się członkiem grupy i rozpocząć odbieranie wiadomości wysyłanych do grupy. Dobrze zdefiniowane, spójne procesy aprowizacji kont zmniejszy prawdopodobieństwo wystąpienia tego problemu.

Screenshot of the Dynamic Group membership rule generator. In this dialog you can add rules to let you define exactly what users can be a part of the group. You could set up a rule that includes on members from a specific country.

Ta grupa dynamiczna będzie składać się ze wszystkich prawidłowych członków identyfikatora Entra firmy Microsoft.