Lär dig mer om grupptyper, medlemskapstyper och åtkomsthantering

Med Microsoft Entra-ID kan du hantera åtkomst till resurser, program och uppgifter på flera olika sätt. Med Microsoft Entra-grupper kan du bevilja åtkomst och behörigheter till en grupp användare i stället för till varje enskild användare. Att begränsa åtkomsten till Microsoft Entra-resurser till endast de användare som behöver åtkomst är en av de viktigaste säkerhetsprinciperna för Nolltillit.

Den här artikeln innehåller en översikt över hur grupper och åtkomsträttigheter kan användas tillsammans för att underlätta hanteringen av Dina Microsoft Entra-användare, samtidigt som du tillämpar metodtips för säkerhet.

Anteckning

Vissa grupper kan inte hanteras i Azure-portalen eller i administrationscentret för Microsoft Entra.

• Grupper som synkroniseras från lokala Active Directory kan endast hanteras lokalt.
• Distributionslistor och e-postaktiverade säkerhetsgrupper kan bara hanteras i Administrationscenter för Exchange eller Administrationscenter för Microsoft 365. Du måste logga in och ha rätt behörigheter för administrationscentret för att hantera dessa grupper.

Översikt över Microsoft Entra-grupper

Effektiv användning av grupper kan minska manuella uppgifter, till exempel tilldela roller och behörigheter till enskilda användare. Du kan tilldela roller till en grupp och tilldela medlemmar till en grupp baserat på deras jobbfunktion eller avdelning. Du kan skapa en princip för villkorsstyrd åtkomst som gäller för en grupp och sedan tilldela principen till gruppen. På grund av de potentiella användningsområdena för grupper är det viktigt att förstå hur de fungerar och hur de hanteras.

Grupptyper

Du kan hantera två typer av grupper i administrationscentret för Microsoft Entra:

• Säkerhetsgrupper: Används för att hantera åtkomst till delade resurser.

  • Medlemmar i en säkerhetsgrupp kan omfatta användare, enheter, tjänstens huvudnamn.
  • Grupper kan vara medlemmar i andra grupper, som ibland kallas kapslade grupper. Se anteckning.
  • Användare och tjänsthuvudprinciper kan vara ägare till en säkerhetsgrupp.

• Microsoft 365-grupper: Ge samarbetsmöjligheter.

  • Medlemmar i en Microsoft 365-grupp kan bara inkludera användare.
  • Användare och tjänstehuvudnamn kan vara ägare av en Microsoft 365-grupp.
  • Personer utanför organisationen kan vara medlemmar i en grupp.
  • Mer information finns i Läs mer om Microsoft 365-grupper.

Kommentar

När en befintlig säkerhetsgrupp kapslas till en annan säkerhetsgrupp har endast medlemmar i den överordnade gruppen åtkomst till delade resurser och program. Mer information om hur du hanterar kapslade grupper finns i Hantera grupper.

Medlemskapstyper

• Tilldelade grupper: Låter dig lägga till specifika användare som medlemmar i en grupp och ha unika behörigheter.
• Dynamisk medlemskapsgrupp för användare: Låter dig använda regler för att automatiskt lägga till och ta bort användare som medlemmar. Om en medlems attribut ändras tittar systemet på dina regler för dynamiska medlemskapsgrupper för katalogen. Systemet kontrollerar om medlemmen uppfyller regelkraven (läggs till) eller inte längre uppfyller regelkraven (tas bort).
• Dynamisk medlemskapsgrupp för enheter: Låter dig använda regler för att automatiskt lägga till och ta bort enheter som medlemmar. Om en enhets attribut ändras tittar systemet på dina regler för dynamiska medlemskapsgrupper för katalogen för att se om enheten uppfyller regelkraven (läggs till) eller inte längre uppfyller regelkraven (tas bort).

Viktigt!

Du kan skapa en dynamisk grupp för antingen enheter eller användare, men inte både och. Du kan inte skapa en enhetsgrupp baserat på enhetsägarnas attribut. Medlemskapsregler för enheten kan bara referera till enhetens uppgifter. Mer information finns i Skapa en dynamisk grupp.

Åtkomsthantering

Microsoft Entra-ID hjälper dig att ge åtkomst till organisationens resurser genom att ge åtkomsträttigheter till en enskild användare eller grupp. Med hjälp av grupper kan resursägaren eller Microsoft Entra-katalogägaren tilldela en uppsättning åtkomstbehörigheter till alla medlemmar i gruppen. Resurs- eller katalogägaren kan också bevilja grupphanteringsrättigheter till någon, till exempel en avdelningschef eller supportadministratör, vilket gör att personen kan lägga till och ta bort medlemmar. Mer information om hur du hanterar gruppägare finns i artikeln Hantera grupper .

De resurser som Microsoft Entra-grupper kan hantera åtkomst till kan vara:

• En del av din Microsoft Entra-organisation, till exempel behörighet att hantera användare, program, fakturering och andra objekt.
• Externt för din organisation, till exempel saaS-appar (programvara som en tjänst) som inte kommer från Microsoft.
• Azure-tjänster
• SharePoint-webbplatser
• Lokala resurser

Varje program, resurs och tjänst som kräver åtkomstbehörigheter måste hanteras separat eftersom behörigheterna för en kanske inte är samma som en annan. Bevilja åtkomst med hjälp av principen om minsta behörighet för att minska risken för angrepp eller säkerhetsöverträdelser.

Tilldelningstyper

När du har skapat en grupp måste du bestämma hur du ska hantera dess åtkomst.

• Direkttilldelning. Resursägaren tilldelar direkt användaren till resursen.

• Grupptilldelning. Resursägaren tilldelar en Microsoft Entra-grupp till resursen, vilket automatiskt ger alla gruppmedlemmar åtkomst till resursen. Både gruppägaren och resursägaren hanterar gruppmedlemskap, så att antingen ägaren lägger till eller tar bort medlemmar från gruppen. Mer information om hur du hanterar gruppmedlemskap finns i artikeln Hanterade grupper .

• Regelbaserad tilldelning. Resursägaren skapar en grupp och använder en regel för att definiera vilka användare som tilldelas till en specifik resurs. Regeln baseras på attribut som tilldelas enskilda användare. Resursägaren hanterar regeln och avgör vilka attribut och värden som krävs för att tillåta åtkomst till resursen. Mer information finns i Skapa en dynamisk grupp.

• Tilldelning av extern auktoritet. Åtkomsten kommer från en extern källa, till exempel en lokal katalog eller en SaaS-app. I det här fallet tilldelar resursägaren en grupp för att ge åtkomst till resursen och sedan hanterar den externa källan gruppmedlemmarna.

Metodtips för att hantera grupper i molnet

Följande är metodtips för att hantera grupper i molnet:

• Aktivera grupphantering via självbetjäning: Tillåt användare att söka efter och ansluta till grupper eller skapa och hantera egna Microsoft 365-grupper.
  • Ger teamen möjlighet att organisera sig samtidigt som de minskar den administrativa bördan för IT.
  • Använd en grupnamngivningsprincip för att blockera användningen av begränsade ord och säkerställa konsekvens.
  • Förhindra att inaktiva grupper dröjer sig kvar genom att aktivera principer för gruppens förfallodatum, som automatiskt tar bort oanvända grupper efter en angiven period, såvida de inte förnyas av en gruppägare.
  • Konfigurera grupper för att automatiskt acceptera alla användare som ansluter eller kräver godkännande.
  • Mer information finns i Konfigurera grupphantering med självbetjäning i Microsoft Entra ID.
• Använd känslighetsetiketter: Använd känslighetsetiketter för att klassificera och styra Microsoft 365-grupper baserat på deras säkerhets- och efterlevnadsbehov.
  • Tillhandahåller detaljerade åtkomstkontroller och säkerställer att känsliga resurser skyddas.
  • Mer information finns i Tilldela känslighetsetiketter till Microsoft 365-grupper i Microsoft Entra-ID
• Automatisera medlemskap med dynamiska grupper: Implementera regler för dynamiskt medlemskap för att automatiskt lägga till eller ta bort användare och enheter från grupper baserat på attribut som avdelning, plats eller jobbtitel.
  • Minimerar manuella uppdateringar och minskar risken för kvardröjande åtkomst.
  • Den här funktionen gäller för Microsoft 365-grupper och säkerhetsgrupper.
• Genomför regelbundna åtkomstgranskningar: Använda Microsoft Entra Identity Governance-funktioner för att schemalägga regelbundna åtkomstgranskningar.
  • Säkerställer att medlemskapet i tilldelade grupper förblir korrekt och relevant över tid.
  • Mer information finns i Skapa eller uppdatera en dynamisk medlemskapsgrupp i Microsoft Entra ID
• Hantera medlemskap med åtkomstpaket: Skapa åtkomstpaket med Microsoft Entra Identity Governance för att effektivisera hanteringen av flera gruppmedlemskap. Åtkomstpaket kan:
  • Inkludera arbetsflöden för godkännande för medlemskap
  • Definiera villkor för förfallodatum för åtkomst
  • Ge ett centraliserat sätt att bevilja, granska och återkalla åtkomst mellan grupper och program
  • Mer information finns i Skapa ett åtkomstpaket i berättigandehantering
• Tilldela flera gruppägare: Tilldela minst två ägare till en grupp för att säkerställa kontinuitet och minska beroenden för en enskild individ.
  • Mer information finns i Hantera Microsoft Entra-grupper och gruppmedlemskap
• Använd gruppbaserad licensiering: Gruppbaserad licensiering förenklar användaretablering och säkerställer konsekventa licenstilldelningar.
  • Använd dynamiska medlemskapsgrupper för att automatiskt hantera licensiering för användare som uppfyller specifika kriterier.
  • Mer information finns i Vad är gruppbaserad licensiering i Microsoft Entra-ID?
• Framtvinga rollbaserade åtkomstkontroller (RBAC): Tilldela roller för att styra vem som kan hantera grupper.
  • RBAC minskar risken för missbruk av privilegier och förenklar grupphantering.
  • Mer information finns i Översikt över rollbaserad åtkomstkontroll i Microsoft Entra ID

Relaterat innehåll

• Skapa och hantera Microsoft Entra-grupper och gruppmedlemskap
• Hantera åtkomst till SaaS-appar med grupper
• Hantera regler för dynamiska medlemskapsgrupper