Создание, настройка групп и управление ими

  • 3 мин

Группа Microsoft Entra помогает упорядочивать пользователей, что упрощает управление разрешениями. Использование групп позволяет владельцу ресурса (или владельцу каталога Microsoft Entra), назначать набор разрешений доступа всем членам группы, а не предоставлять права по одному. Группы позволяют определить границу безопасности, а затем добавлять и удалять определенных пользователей, чтобы предоставить или запретить доступ с минимальными усилиями. Еще лучше, Идентификатор Microsoft Entra поддерживает возможность определения членства на основе правил, таких как отдел, в который работает пользователь, или название задания, в который они имеются.

Идентификатор Microsoft Entra позволяет определить два различных типа групп.

  • Группы безопасности — наиболее распространенный тип групп, который используется для управления доступом участников и компьютеров к общим ресурсам группы пользователей. Например, можно создать группу безопасности для определенной политики безопасности. Поступив так, можно сразу предоставить набор разрешений всем участникам, а не добавлять эти разрешения каждому участнику по отдельности. Для этого параметра требуется администратор Microsoft Entra.
  • Группы Microsoft 365 — обеспечивают возможность совместной работы, предоставляя участникам доступ к общему почтовому ящику, календарю, файлам, SharePoint сайту и пр. Этот параметр также позволяет предоставить доступ к группе пользователям за пределами организации. Этот вариант доступен для пользователей, а также для администраторов.

Просмотр доступных групп

Все группы можно просмотреть с помощью элемента "Группы" в группе "Управление " на панели мониторинга Microsoft Entra — Identity. Новое развертывание идентификатора Microsoft Entra ID не будет определять группы.

Screenshot of the Microsoft Entra ID view all groups page. It shows a list of several groups that already exist, along with attributes about group like Group Type and Membership Type.

Вторая характеристика группы, которую необходимо учитывать, — это тип членства. Указывает способ добавления участников в группу. Вот эти два типа:

  • Назначенные — участники добавляются и обслуживаются вручную.
  • Динамически — участники добавляются на основе правил, создавая динамическую группу. Эти группы по-прежнему являются группой безопасности или группой Microsoft 365, только их участники управляются правилом.

Динамические группы

Последний тип групп — это динамическая группа. Название подразумевает, что членство генерируется формулой каждый раз при использовании группы. Динамическая группа включает любого получателя в Active Directory со значениями атрибутов, которые соответствуют его фильтру. Если свойства получателя изменены в соответствии с фильтром, получатель может случайно стать участником группы и начать получать сообщения, отправляемые в группу. Четко определенные и последовательные процессы подготовки учетной записи снизят вероятность возникновения этой проблемы.

Screenshot of the Dynamic Group membership rule generator. In this dialog you can add rules to let you define exactly what users can be a part of the group. You could set up a rule that includes on members from a specific country.

Эта динамическая группа будет состоять из всех допустимых элементов идентификатора Microsoft Entra.