使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问
组是访问控制策略的一部分。 可以使用 Microsoft Entra 安全组和 Microsoft 365 组作为保护对资源的访问的基础。 在以下访问控制机制中使用组:
组具有以下角色:
- 所有者 - 管理组设置及其成员身份
- 成员 - 继承分配给组的权限和访问权限
- 来宾 - 组织外部的成员
准备阶段
本文是 10 篇系列文章中的第 4 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。
组策略
若要制定组策略来保护对资源的外部访问,请考虑所需的安全状况。
了解详细信息:确定外部访问的安全状况
组创建
确定向谁授予创建组的权限:管理员、员工和/或外部用户。 请考虑下列情形:
- 租户成员可以创建 Microsoft Entra 安全组
- 内部和外部用户可以加入租户中的组
- 用户可创建 Microsoft 365 组
- 管理谁可创建 Microsoft 365 组
- 使用 PowerShell 配置此设置
- 将 Microsoft Entra 应用限制为仅供 Microsoft Entra 租户中的一组用户访问
- 在 Microsoft Entra ID 中设置自助服务组管理
- 排查和解决组问题
组邀请
作为组策略的一部分,请考虑谁可邀请或添加人员到组中。 组成员可以添加其他成员,组所有者也可以添加成员。 决定可以邀请谁。 默认情况下,可将外部用户添加到组。
将用户分配到组
根据用户对象中的用户属性将用户手动分配给组,或者根据其他条件分配用户。 用户基于其属性动态分配到组。 例如,你可根据以下信息将用户分配到组:
- 职务或部门
- 他们所属的合作伙伴组织
- 手动或通过连接的组织
- 成员或来宾用户类型
- 参与项目
- 手动
- 位置
动态组包含用户或设备,但不能同时包含两者。 若要将用户分配到动态组,请根据用户属性添加查询。 如果用户是财务部门的成员,以下屏幕截图包含将用户添加到组的查询。
了解详细信息:在 Microsoft Entra ID 中创建或更新动态组
将组用于一个功能
使用组时,这些组具有单一的功能,这一点很重要。 如果使用组来授予对资源的访问权限,则不要将其用于任何其他目的。 建议使用安全组命名约定来明确目的:
- Secure_access_finance_apps
- Team_membership_finance_team
- Location_finance_building
组类型
可以在 Azure 门户或 Microsoft 365 管理门户中创建 Microsoft Entra 安全组和 Microsoft 365 组。 使用任一组类型来保护外部访问。
注意事项 | 手动和动态 Microsoft Entra 安全组 | Microsoft 365 组 |
---|---|---|
组包含 | 用户 组 服务主体 设备 |
仅用户 |
组的创建位置 | Azure 门户 Microsoft 365 门户(若要支持邮件) PowerShell Microsoft Graph 最终用户门户 |
Microsoft 365 门户 Azure 门户 PowerShell Microsoft Graph 在 Microsoft 365 应用程序中 |
默认创建者 | 管理员 用户 |
管理员 用户 |
默认添加对象 | 内部用户(租户成员)和来宾用户 | 来自某个组织的租户成员和来宾 |
将访问权限授予 | 分配给它的资源。 | 与组相关的资源: (组邮箱、站点、团队、聊天和其他 Microsoft 365 资源) 添加到组中的其他资源 |
可用于 | 条件性访问 权利管理 组许可 |
条件性访问 权利管理 敏感度标签 |
注意
使用 Microsoft 365 组来创建和管理一组 Microsoft 365 资源,例如团队及其关联的站点和内容。
Microsoft Entra 安全组
Microsoft Entra 安全组可以具有用户或设备。 使用这些组来管理对以下项的访问:
- Azure 资源
- Microsoft 365 应用
- 自定义应用
- 服务型软件 (SaaS) 应用,例如 Dropbox ServiceNow
- Azure 数据和订阅
- Azure 服务
使用 Microsoft Entra 安全组分配:
- 服务的许可证
- Microsoft 365
- Dynamics 365
- 企业移动性 + 安全性
- 请参阅什么是 Microsoft Entra ID 中基于组的许可?
- 提升的权限
了解详细信息:
注意
使用安全组最多可分配 1,500 个应用程序。
启用邮件的安全组
若要创建支持邮件的安全组,请转到 Microsoft 365 管理中心。 在创建过程中为邮件启用安全组。 之后无法启用它。 无法在 Azure 门户中创建组。
混合组织和 Microsoft Entra 安全组
混合组织具有适用于本地的基础结构和 Microsoft Entra ID。 使用 Active Directory 的混合组织可以在本地创建安全组,并将其同步到云。 因此,只能将本地环境中的用户添加到安全组。
重要
保护本地基础结构免受入侵。 请参阅防范 Microsoft 365 遭受本地攻击。
Microsoft 365 组
Microsoft 365 组是用于跨 Microsoft 365 进行访问的成员资格服务。 可通过 Azure 门户或 Microsoft 365 管理中心来创建它们。 创建 Microsoft 365 组时,将授予对用于协作的一组资源的访问权限。
了解详细信息:
Microsoft 365 组角色
- 组所有者
- 添加或删除成员
- 从共享收件箱中删除对话
- 更改组设置
- 重命名组
- 更新说明或图片
- 成员
- 访问组中的所有内容
- 无法更改组设置
- 可以邀请来宾加入组
- 管理 Microsoft 365 组中的来宾访问
- 来宾
- 是组织外部的成员
- 对 Teams 中的功能有一些限制
Microsoft 365 组设置
选择电子邮件别名、隐私以及是否为团队启用该组。
设置后,添加成员并配置电子邮件使用设置等。
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。