Skydda extern åtkomst med grupper i Microsoft Entra ID och Microsoft 365
Grupper ingår i en strategi för åtkomstkontroll. Du kan använda Microsoft Entra-säkerhetsgrupper och Microsoft 365-grupper som grund för att skydda åtkomsten till resurser. Använd grupper för följande mekanismer för åtkomstkontroll:
- Principer för villkorlig åtkomst
- Åtkomstpaket för berättigandehantering
- Åtkomst till Microsoft 365-resurser, Microsoft Teams och SharePoint-webbplatser
Grupper har följande roller:
- Gruppägare – hantera gruppinställningar och dess medlemskap
- Medlemmar – ärver behörigheter och åtkomst som tilldelats gruppen
- Gäster – är medlemmar utanför organisationen
Innan du börjar
Den här artikeln är nummer 4 i en serie med 10 artiklar. Vi rekommenderar att du granskar artiklarna i ordning. Gå till avsnittet Nästa steg för att se hela serien.
Gruppstrategi
Om du vill utveckla en gruppstrategi för att skydda extern åtkomst till dina resurser bör du tänka på vilken säkerhetsstatus du vill ha.
Läs mer: Fastställa din säkerhetsstatus för extern åtkomst
Skapa grupp
Avgör vem som har behörighet att skapa grupper: Administratörer, anställda och/eller externa användare. Föreställ dig följande scenarier:
- Klientmedlemmar kan skapa Microsoft Entra-säkerhetsgrupper
- Interna och externa användare kan ansluta grupper i din klientorganisation
- Användare kan skapa Microsoft 365-grupper
- Hantera vem som kan skapa Microsoft 365-grupper
- Använd PowerShell för att konfigurera den här inställningen
- Begränsa din Microsoft Entra-app till en uppsättning användare i en Microsoft Entra-klientorganisation
- Konfigurera grupphantering med självbetjäning i Microsoft Entra-ID
- Felsöka och lösa problem med grupper
Inbjudningar till grupper
Som en del av gruppstrategin bör du överväga vem som kan bjuda in personer eller lägga till dem i grupper. Gruppmedlemmar kan lägga till andra medlemmar, eller så kan gruppägare lägga till medlemmar. Bestäm vem som kan bjudas in. Som standard kan externa användare läggas till i grupper.
Tilldela användare grupper
Användare tilldelas till grupper manuellt, baserat på användarattribut i användarobjektet, eller så tilldelas användarna baserat på andra kriterier. Användare tilldelas till grupper dynamiskt baserat på deras attribut. Du kan till exempel tilldela användare till grupper baserat på:
- Befattning eller avdelning
- Partnerorganisation som de tillhör
- Manuellt eller via anslutna organisationer
- Typ av medlem eller gästanvändare
- Deltagande i ett projekt
- Manuellt
- Plats
Dynamiska grupper har användare eller enheter, men inte båda. Om du vill tilldela användare till den dynamiska gruppen lägger du till frågor baserat på användarattribut. Följande skärmbild innehåller frågor som lägger till användare i gruppen om de är ekonomiavdelningsmedlemmar.
Läs mer: Skapa eller uppdatera en dynamisk grupp i Microsoft Entra-ID
Använda grupper för en funktion
När du använder grupper är det viktigt att de har en enda funktion. Om en grupp används för att bevilja åtkomst till resurser ska du inte använda den för ett annat syfte. Vi rekommenderar en namngivningskonvention för säkerhetsgrupper som gör syftet tydligt:
- Secure_access_finance_apps
- Team_membership_finance_team
- Location_finance_building
Grupptyper
Du kan skapa Microsoft Entra-säkerhetsgrupper och Microsoft 365-grupper i Azure Portal eller Microsoft 365-administratörsportalen. Använd någon av grupptyperna för att skydda extern åtkomst.
| Att tänka på | Manuella och dynamiska Microsoft Entra-säkerhetsgrupper | Microsoft 365 Groups |
|---|---|---|
| Gruppen innehåller | Användare Grupper Tjänstens huvudnamn Enheter |
Endast användare |
| Var gruppen skapas | Azure Portal Microsoft 365-portalen, om e-post är aktiverat) PowerShell Microsoft Graph Slutanvändarportalen |
Microsoft 365-portalen Azure Portal PowerShell Microsoft Graph I Microsoft 365-program |
| Vem skapar som standard | Administratörer Användare |
Administratörer Användare |
| Vem läggs till som standard | Interna användare (klientmedlemmar) och gästanvändare | Klientmedlemmar och gäster från en organisation |
| Åtkomst beviljas till | Resurser som den är tilldelad till. | Grupprelaterade resurser: (Grupppostlåda, webbplats, team, chattar och andra Microsoft 365-resurser) Andra resurser som gruppen läggs till i |
| Kan användas med | Villkorlig åtkomst berättigandehantering grupplicensiering |
Villkorlig åtkomst berättigandehantering känslighetsetiketter |
Kommentar
Använd Microsoft 365-grupper för att skapa och hantera en uppsättning Microsoft 365-resurser, till exempel ett team och dess associerade webbplatser och innehåll.
Microsoft Entra-säkerhetsgrupper
Microsoft Entra-säkerhetsgrupper kan ha användare eller enheter. Använd dessa grupper för att hantera åtkomst till:
- Azure-resurser
- Microsoft 365-appar
- Anpassade program
- SaaS-appar (Software as a Service), till exempel Dropbox ServiceNow
- Azure-data och prenumerationer
- Azure-tjänster
Använd Microsoft Entra-säkerhetsgrupper för att tilldela:
- Licenser för tjänster
- Microsoft 365
- Dynamics 365
- Enterprise Mobility + Security
- Se Vad är gruppbaserad licensiering i Microsoft Entra-ID?
- Utökade behörigheter
Läs mer:
- Hantera Microsoft Entra-grupper och gruppmedlemskap
- Microsoft Entra version 2-cmdletar för grupphantering.
Kommentar
Använd säkerhetsgrupper för att tilldela upp till 1 500 program.
E-postaktiverad säkerhetsgrupp
Om du vill skapa en e-postaktiverad säkerhetsgrupp går du till Administrationscenter för Microsoft 365. Aktivera en säkerhetsgrupp för e-post när du skapar. Du kan inte aktivera den senare. Du kan inte skapa gruppen i Azure Portal.
Hybridorganisationer och Microsoft Entra-säkerhetsgrupper
Hybridorganisationer har infrastruktur för lokalt och ett Microsoft Entra-ID. Hybridorganisationer som använder Active Directory kan skapa säkerhetsgrupper lokalt och synkronisera dem till molnet. Därför kan endast användare i den lokala miljön läggas till i säkerhetsgrupperna.
Viktigt!
Skydda din lokala infrastruktur från att komprometteras. Se Skydda Microsoft 365 från lokala attacker.
Microsoft 365 Groups
Microsoft 365-grupper är medlemskapstjänsten för åtkomst i Microsoft 365. De kan skapas från Azure Portal eller Administrationscenter för Microsoft 365. När du skapar en Microsoft 365-grupp beviljar du åtkomst till en grupp resurser för samarbete.
Läs mer:
- Översikt över Microsoft 365-grupper för administratörer
- Skapa en grupp i Administrationscenter för Microsoft 365
- Administrationscenter för Microsoft Entra
- Microsoft 365-administrationscenter
Microsoft 365-grupper roller
- Gruppägare
- Lägga till eller ta bort medlemmar
- Ta bort konversationer från den delade inkorgen
- Ändra gruppinställningar
- Byt namn på gruppen
- Uppdatera beskrivningen eller bilden
- Medlemmar
- Få åtkomst till allt i gruppen
- Det går inte att ändra gruppinställningar
- Kan bjuda in gäster att gå med i gruppen
- Hantera gäståtkomst i Microsoft 365-grupper
- Gästerna
- Är medlemmar utanför organisationen
- Ha vissa begränsningar för funktioner i Teams
Gruppinställningar för Microsoft 365
Välj e-postalias, sekretess och om du vill aktivera gruppen för team.
Efter installationen lägger du till medlemmar och konfigurerar inställningar för e-postanvändning och så vidare.
Nästa steg
Använd följande artikelserie för att lära dig mer om hur du skyddar extern åtkomst till resurser. Vi rekommenderar att du följer den angivna ordningen.
Fastställa din säkerhetsstatus för extern åtkomst med Microsoft Entra-ID
Identifiera det aktuella tillståndet för externt samarbete i din organisation
Skydda extern åtkomst med grupper i Microsoft Entra-ID och Microsoft 365 (du är här)
Övergång till reglerat samarbete med Microsoft Entra B2B-samarbete
Hantera extern åtkomst med Microsoft Entra-berättigandehantering
Hantera extern åtkomst till resurser med principer för villkorlig åtkomst
Kontrollera extern åtkomst till resurser i Microsoft Entra-ID med känslighetsetiketter
Konvertera lokala gästkonton till Microsoft Entra B2B-gästkonton