了解 Microsoft Entra ID 中的群組和存取權限
Microsoft Entra ID 提供數種管理存取資源、應用程式和工作的方式。 透過 Microsoft Entra 群組,您可以將存取權和權限授與使用者群組,而不是個別使用者。 將 Microsoft Entra 資源的存取限制為只有需要存取權的使用者,是零信任的核心安全性原則之一。
本文提供群組和存取權限如何一起使用的概觀,讓您更輕鬆地管理 Microsoft Entra 使用者,同時套用安全性最佳做法。
Microsoft Entra ID 可讓您使用群組來管理應用程式、資料和資源的存取權。 資源可以是:
- Microsoft Entra 組織的一部分,例如透過 Microsoft Entra ID 中的角色管理物件的權限
- 組織外部,例如軟體即服務 (SaaS) 應用程式
- Azure 服務
- SharePoint 網站
- 內部部署資源
某些群組無法在 Azure 入口網站中管理:
- 從內部部署的 Active Directory 同步處理的群組只能在內部部署的 Active Directory 中進行管理。
- 通訊群組和已啟用電子郵件的安全性群組只能在 Exchange 系統管理中心或 Microsoft 365 系統管理中心中進行管理。 您必須登入 Exchange 系統管理中心或 Microsoft 365 系統管理中心來管理這些群組。
建立群組之前要知道的事項
有兩種群組類型和三種群組成員資格類型。 檢閱選項,以尋找適合您案例的組合。
群組類型:
安全性:用於管理使用者和電腦對共用資源的存取。
例如,您可以建立安全性群組,讓所有群組成員都具有一組相同的安全性權限。 安全性群組的成員可包括使用者、裝置、 服務主體和其他群組 (也稱為巢狀群組),這些群組會定義 存取原則和權限。 安全性群組的擁有者可以包含使用者和服務主體。
注意
將現有的安全組巢狀至另一個安全組時,只有父群組中的成員可以存取共用的資源和應用程式。 巢狀群組成員與父群組成員的指派成員資格不同。 如需管理巢狀群組的詳細資訊,請參閱 如何管理群組。
Microsoft 365:透過將共用信箱、行事曆、檔案、SharePoint 網站等的存取權限授與群組成員,來提供共同作業的機會。
此選項也可讓您將群組的存取權授與組織外的人員。 Microsoft 365 群組的成員只能包含使用者。 Microsoft 365 群組的擁有者可以包含使用者和服務主體。 如需 Microsoft 365 群組的詳細資訊,請參閱 深入了解 Microsoft 365 群組。
成員資格類型:
已指派群組: 讓您將特定使用者新增為群組的成員,並具有唯一權限。
組動態成員資格群組使用者: 讓您作為成員以使用者規則來自動新增及移除使用者。 如果成員的屬性有所變更,系統會查看目錄組動態成員資格群組規則。 系統會檢查成員是否符合規則需求(已新增),或不再符合規則需求(已移除)。
裝置的組動態成員資格: 讓您作為成員使用裝置規則來自動新增及移除裝置。 如果裝置的屬性出現變化,系統會檢閱您針對目錄所設定的組動態成員資格群組規則,以了解該裝置是否仍符合規則需求 (已新增),或已不再符合規則需求 (已移除)。
重要
您可以針對裝置或使用者建立動態群組,但不能同時建立。 您無法依據裝置擁有者的屬性建立裝置群組。 裝置成員資格規則只能參照裝置屬性。 如需針對使用者及裝置建立動態群組的詳細資訊,請參閱建立動態群組並檢查狀態。
新增存取權限至群組之前,需要知道的事項
建立 Microsoft Entra 群組之後,您必須授與其適當的存取權。 每個需要存取權限的應用程式、資源和服務都必須分開管理,因為其權限可能彼此不同。 請使用最低權限原則來授與存取權,以利縮減攻擊風險或安全性缺口。
Microsoft Entra ID 存取管理的運作方式
Microsoft Entra ID 可協助您將存取權限提供給單一使用者或整個 Microsoft Entra 群組,以提供貴組織資源的存取權限。 使用群組可讓資源擁有者或 Microsoft Entra 目錄的擁有者,將一組存取權限指派給群組內的所有成員。 資源或目錄擁有者也可以為部門經理或技術支援中心系統管理員等人員授與管理權限,讓該人員新增和移除成員。 如需如何管理群組擁有者的詳細資訊,請參閱管理群組一文。
指派存取權限的方式
建立群組之後,您必須決定如何指派存取權限。 探索指派存取權限的方式,以確定最適合您案例的流程。
直接指派。 資源擁有者會將使用者直接指派給資源。
群組指派。 資源擁有者會將 Microsoft Entra 群組指派給資源,這會自動授與所有群組成員對資源的存取權。 群組成員資格是由群組擁有者和資源擁有者所管理,任何一者皆可新增或移除群組內的成員。 有關管理群組成員資格的詳細資訊,請參閱 管理群組 一文。
以規則為基礎的指派。 資源擁有者會建立群組,並使用規則來定義將哪些使用者指派給特定資源。 此規則是以指派給個別使用者的屬性為基礎。 資源擁有者會管理規則,判斷允許存取資源所需的屬性和值。 如需詳細資訊,請參閱建立動態群組並檢查狀態。
外部授權單位指派。 存取來自外部來源,例如內部部署目錄或 SaaS 應用程式。 在此情況下,資源擁有者會指派群組以提供資源的存取權,然後由外部來源管理該群組成員。
使用者是否可以在未獲指派的情況下加入群組?
群組擁有者可讓使用者尋找自己的群組來加入,而不是指派群組。 擁有者也可以將群組設定為自動接受所有加入的使用者或要求核准。
在使用者要求加入群組之後,要求會轉送給群組擁有者。 如果需要,擁有者可以核准要求,並通知使用者群組成員資格。 如果有多個擁有者,而其中一個擁有者不同意,則會通知使用者,但不會將其新增至群組。 如需如何讓使用者要求加入群組的詳細資訊和指示,請參閱設定 Microsoft Entra ID 讓使用者可以要求加入群組。
在雲端中管理群組的最佳做法
以下是在雲端中管理群組的最佳做法:
- 啟用 Self-Service 群組管理: 允許使用者建立和管理自己的Microsoft 365 (M365) 群組。 這可讓小組自行組織,同時降低IT的系統管理負擔。 套用群組命名原則來封鎖使用受限制字組並確保一致性。 啟用群組到期策略,防止不活躍的群組持續存在。 除非群組擁有者更新,否則這會在指定期間之後自動刪除未使用的群組。 如需詳細資訊,請參閱 在 entra ID Microsoft 中設定自助式群組管理
- 利用敏感度標籤: 使用敏感度標籤根據其安全性和合規性需求來分類和管理 M365 群組。 這會提供更細緻的訪問控制,並確保敏感性資源受到保護。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中將敏感度標籤指派給 Microsoft 365 群組
- 使用動態群組自動加入成員資格: 實作動態成員資格規則,根據部門、位置或職稱等屬性,自動新增或移除群組中的使用者和裝置。 這會將手動更新降到最低,並減少揮之不去的存取風險。 此功能適用於 M365 群組和安全組。
- 進行定期存取權檢閱: 使用 Entra Identity Governance 功能來排程定期存取權檢閱。 這些可確保指派群組中的成員資格在一段時間內保持正確且相關。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中建立或更新動態成員資格群組
-
使用存取套件管理成員資格: 使用 Entra Identity Governance 建立存取套件,以簡化多個群組成員資格的管理。 存取套件可以:
- 包含成員資格的核准工作流程
- 定義存取到期的準則
- 提供集中方式來授與、檢閱和撤銷跨群組和應用程式的存取權 如需詳細資訊,請參閱 在權利管理中建立存取套件
- 指派多個群組擁有者: 將至少兩個擁有者指派給群組,以確保對單一個人的持續性並減少相依性。 如需詳細資訊,請參閱管理Microsoft Entra 群組和群組成員資格
- 使用群組型授權: 群組型授權可簡化使用者布建,並確保一致的授權指派。 您也可以使用動態成員資格群組來自動管理符合特定準則的用戶授權。 如需詳細資訊,請參閱 Microsoft Entra 標識符中的群組型授權為何?
- 強制執行角色型訪問控制(RBAC): 指派角色(例如群組管理員)來控制誰可以管理群組。 RBAC 可降低許可權誤用的風險,並簡化群組管理。 如需詳細資訊,請參閱 Entra ID Microsoft 中角色型訪問控制的概觀