Сведения о типах групп, типах членства и управлении доступом
Идентификатор Microsoft Entra предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. С помощью групп Microsoft Entra можно предоставить доступ и разрешения группе пользователей вместо каждого отдельного пользователя. Ограничение доступа к ресурсам Microsoft Entra только тем пользователям, которым требуется доступ, является одним из основных принципов безопасности Нулевого доверия.
В этой статье представлен обзор того, как группы и права доступа можно использовать вместе, чтобы упростить управление пользователями Microsoft Entra, а также применение рекомендаций по обеспечению безопасности.
Примечание.
некоторые группы нельзя управлять на портале Azure или Центре администрирования Microsoft Entra.
- Группы, синхронизированные из локальной среды Active Directory, могут управляться только локально.
- Списки рассылки и группы безопасности с поддержкой почты можно управлять только в Центре администрирования Exchange или Центре администрирования Microsoft 365. Для управления этими группами необходимо войти и иметь соответствующие разрешения для этого центра администрирования.
Общие сведения о группах Microsoft Entra
Эффективное использование групп может уменьшить количество задач вручную, таких как назначение ролей и разрешений отдельным пользователям. Вы можете назначить роли группе и назначить участников группе на основе их функции или отдела. Вы можете создать политику условного доступа, которая применяется к группе, а затем назначить политику группе. Из-за потенциального использования для групп важно понимать, как они работают и как они управляются.
Типы группы
Вы можете управлять двумя типами групп в Центре администрирования Microsoft Entra:
группы безопасности: Используются для управления доступом к общим ресурсам.
- Члены группы безопасности могут включать пользователей, устройства, учетные записи служб.
- Группы могут быть членами других групп, которые иногда называют вложенными группами. см. примечание.
- Пользователи и субъекты-службы могут быть владельцами группы безопасности.
группы Microsoft 365: предоставляют возможности для совместной работы.
- Члены группы Microsoft 365 могут включать только пользователей.
- Пользователи и субъекты-службы могут быть владельцем группы Microsoft 365.
- Пользователи за пределами вашей организации могут быть членами группы.
- Дополнительные сведения см. в статье Узнайте о группах Microsoft 365.
Примечание.
При вложении существующей группы безопасности в другую группу безопасности только члены родительской группы имеют доступ к общим ресурсам и приложениям. Дополнительные сведения об управлении вложенными группами см. в статье "Управление группами".
Типы членства
- Назначенные группы: позволяет добавлять определенных пользователей в качестве членов группы и иметь уникальные разрешения.
- Динамическая группа пользователей: Позволяет использовать правила для автоматического добавления и удаления пользователей как участников. Если атрибуты члена изменяются, система просматривает правила для динамических групп членства в каталоге. Система проверяет, соответствует ли член требованиям правила (добавляется) или больше не соответствует требованиям правил (удаляется).
- Динамическая группа членства для устройств: Позволяет использовать правила для автоматического добавления и удаления устройств в качестве членов. Если атрибуты устройства изменяются, система просматривает правила для динамических групп членства в каталоге, чтобы узнать, соответствует ли устройство требованиям правила (добавляется) или больше не соответствует требованиям правил (удаляется).
Внимание
Можно создать динамическую группу для устройств или пользователей, но не для устройств и пользователей одновременно. Вы не можете создать группу устройств на основе атрибутов их владельцев. Правила членства для устройств могут ссылаться только на атрибуты этих устройств. Дополнительные сведения см. в статье Создание динамической группы.
Управление доступом
Идентификатор Microsoft Entra помогает предоставить доступ к ресурсам организации путем предоставления прав доступа одному пользователю или группе. Использование групп позволяет владельцу ресурсов или владельцу каталога Microsoft Entra назначать набор разрешений доступа всем членам группы. Владелец ресурса или каталога также может предоставить права на управление группами, например руководителю отдела или администратору службы технической поддержки, что позволяет этому пользователю добавлять и удалять участников. См. дополнительные сведения о том, как управлять владельцами групп.
Ресурсы, к которым группы Microsoft Entra могут управлять доступом:
- Часть организации Microsoft Entra, например разрешения на управление пользователями, приложениями, выставлением счетов и другими объектами.
- Внешние для вашей организации, такие как приложения SaaS, не принадлежащие Майкрософт.
- Службы Azure;
- Сайты SharePoint
- Локальные ресурсы
Каждому приложению, ресурсу и службе, требующей разрешений доступа, необходимо управлять отдельно, так как разрешения для одного могут не совпадать с другими. Предоставьте доступ с применением принципа наименьших привилегий, чтобы снизить риск атаки или нарушения безопасности.
Типы назначений
После создания группы необходимо решить, как управлять доступом.
Прямое назначение. Владелец ресурса непосредственно назначает пользователя ресурсу.
Назначение группы. Владелец ресурса назначает группе Microsoft Entra ресурсу, которая автоматически предоставляет всем членам группы доступ к ресурсу. Владелец группы и владелец ресурса управляют членством в группе, позволяя владельцу добавлять или удалять участников из группы. Дополнительные сведения об управлении членством в группах см. в статье об управляемых группах .
Назначение на основе правил. Владелец ресурса создает группу и с помощью правила определяет, какие пользователи назначены определенному ресурсу. Правило основывается на атрибутах, назначенных отдельным пользователям. Владелец ресурса управляет правилом, определяя, какие атрибуты и значения необходимы для предоставления доступа к ресурсу. Дополнительные сведения см. в статье Создание динамической группы.
Назначение внешним источником. Доступ предоставляется внешним источником, таким как локальный каталог или приложение SaaS. В этой ситуации владелец ресурса назначает группу для предоставления доступа к ресурсу, а членами группы управляет внешний источник.
Рекомендации по управлению группами в облаке
Ниже приведены рекомендации по управлению группами в облаке:
-
Включить самостоятельное управление группами: Разрешить пользователям искать группы и присоединяться к ним или создавать собственные группы Microsoft 365 и управлять ими.
- Предоставляет командам возможность самостоятельно организовываться, уменьшая административное бремя на ИТ-отдел.
- Примените политику именования групп , чтобы заблокировать использование ограниченных слов и обеспечить согласованность.
- Запретить неактивным группам задерживаться, включив политики истечения срока действия группы, которые автоматически удаляют неиспользуемые группы после указанного периода, если не будет продлен владельцем группы.
- Настройте группы для автоматического принятия всех пользователей, которые присоединяются или требуют утверждения.
- Дополнительные сведения см. в разделе Настройка группового самостоятельного управления в Microsoft Entra ID.
-
Использовать метки конфиденциальности: использовать метки конфиденциальности для классификации групп Microsoft 365 и управления ими в зависимости от потребностей безопасности и соответствия требованиям.
- Предоставляет подробные средства управления доступом и гарантирует защиту конфиденциальных ресурсов.
- Для получения дополнительной информации см. статью Назначение меток конфиденциальности группам Microsoft 365 в Microsoft Entra ID
-
Автоматизация членства с динамическими группами: реализовать правила динамического членства для автоматического добавления или удаления пользователей и устройств из групп на основе атрибутов, таких как отдел, расположение или название задания.
- Минимизирует выполнение обновлений вручную и снижает риск длительного сохранения доступа.
- Эта функция применяется к группам Microsoft 365 и группам безопасности.
-
проводить периодические проверки доступа: использовать возможности Microsoft Entra для управления удостоверениями для планирования регулярных проверок доступа.
- Гарантирует, что членство в назначенных группах остается точным и актуальным с течением времени.
- Дополнительные сведения см. в разделе Создание или обновление динамической группы членства в идентификатора Microsoft Entra ID
-
Управление членством с помощью пакетов доступа: Создание пакетов доступа с помощью системы управления удостоверениями Microsoft Entra для упрощения управления членством в нескольких группах. Пакеты доступа могут:
- Включите процедуры утверждения для членства
- Определение условий истечения срока действия доступа
- Предоставление централизованного способа предоставления, проверки и отмены доступа между группами и приложениями
- Дополнительные сведения см. в статье Создание пакета доступа в управление правами доступа
-
Назначить нескольких владельцев групп: Назначить по крайней мере двух владельцев группе, чтобы обеспечить непрерывность и сокращение зависимостей от одного человека.
- Дополнительные сведения см. в статье Управление группами Microsoft Entra и членством в группах
-
Использование группового лицензирования: групповое лицензирование упрощает подготовку пользователей и гарантирует согласованные назначения лицензий.
- Используйте динамические группы членства для автоматического управления лицензированием для пользователей с определенными критериями.
- Дополнительные сведения см. в разделе Что такое групповое лицензирование в идентификаторе Microsoft Entra ID?
-
Принудительно применять управления доступом на основе ролей (RBAC): Назначьте роли для контроля над тем, кто может управлять группами.
- RBAC снижает риск неправильного использования привилегий и упрощает управление группами.
- Для получения дополнительной информации см. Обзор управления доступом на основе ролей в Microsoft Entra ID.