瞭解群組類型、成員資格類型和存取管理

Microsoft Entra ID 提供數種管理存取資源、應用程式和工作的方式。 透過Microsoft Entra 群組，您可以將存取權和許可權授與使用者群組，而不是授與每位個別使用者的存取權。 將 Microsoft Entra 資源的存取限制為只有需要存取權的使用者，是零信任的核心安全性原則之一。

本文提供群組和訪問許可權如何一起使用的概觀，讓管理Microsoft Entra 使用者變得更容易，同時套用安全性最佳做法。

注意

某些群組無法在 Azure 入口網站或 Microsoft Entra 系統管理中心管理。

• 從內部部署 Active Directory 同步的群組僅可在內部部署環境中進行管理。
• 通訊組清單和啟用郵件功能的安全組只能在 Exchange 系統管理中心 或 Microsoft 365 系統管理中心中管理。 您必須登入並擁有該系統管理中心管理這些群組的適當許可權。

Microsoft Entra 群組概觀

有效使用群組可減少手動工作，例如將角色和許可權指派給個別使用者。 您可以指派角色給群組，並根據其工作職能或部門將成員指派給群組。 您可以建立套用至群組的條件式存取原則，然後將原則指派給群組。 由於群組的潛在用途，請務必瞭解其運作方式，以及其管理方式。

群組類型

您可以在 Microsoft Entra 系統管理中心管理兩種類型的群組：

• 安全組： 用來管理共用資源的存取權。

  • 安全組的成員可以包含使用者、裝置、服務主體。
  • 群組可以是其他群組的成員，有時稱為巢狀群組。 請參閱附註。
  • 用戶和服務主體可以是安全組的擁有者。

• Microsoft 365 個群組： 提供共同作業機會。

  • Microsoft 365 群組的成員只能包含使用者。
  • 用戶和服務主體可以是Microsoft 365 群組的擁有者。
  • 組織外部的人員可以是群組的成員。
  • 如需詳細資訊，請參閱瞭解 Microsoft 365 群組。

注意

將現有的安全組巢狀至另一個安全組時，只有父群組中的成員可以存取共用的資源和應用程式。 如需管理巢狀群組的詳細資訊，請參閱 如何管理群組。

成員資格類型

• 已指派群組： 讓您將特定使用者新增為群組的成員，並具有唯一權限。
• 使用者的動態成員資格群組： 可讓您使用規則自動新增和移除使用者作為成員。 如果成員的屬性有所變更，系統會查看目錄組動態成員資格群組規則。 系統會檢查成員是否符合規則需求（已新增），或不再符合規則需求（已移除）。
• 裝置的動態成員資格群組： 可讓您使用規則自動新增和移除裝置作為成員。 如果裝置的屬性出現變化，系統會檢閱您針對目錄所設定的組動態成員資格群組規則，以了解該裝置是否仍符合規則需求 (已新增)，或已不再符合規則需求 (已移除)。

重要

您可以針對裝置或使用者建立動態群組，但不能同時建立。 您無法依據裝置擁有者的屬性建立裝置群組。 裝置成員資格規則只能參照裝置屬性。 如需詳細資訊，請參閱 建立動態群組。

存取管理

Microsoft Entra ID 可藉由為單一使用者或群組提供訪問許可權，協助您授與組織資源的存取權。 使用群組可讓資源擁有者或Microsoft Entra 目錄擁有者將一組訪問許可權指派給群組的所有成員。 資源或目錄擁有者也可以將群組管理許可權授與部門經理或技術支援中心系統管理員等人員，以允許該人員新增和移除成員。 如需如何管理群組擁有者的詳細資訊，請參閱管理群組一文。

Microsoft Entra 群組可以管理存取權的資源可以是：

• 您在 Microsoft Entra 組織中所擁有的部分許可權，例如管理使用者、應用程式、計費和其他對象之类的許可權。
• 組織外部的應用程式，例如非Microsoft的軟體即服務（SaaS）應用程式。
• Azure 服務
• SharePoint 網站
• 內部部署資源

每個需要存取權限的應用程式、資源和服務都必須分開管理，因為其權限可能彼此不同。 請使用最低權限原則來授與存取權，以利縮減攻擊風險或安全性缺口。

指派類型

建立群組之後，您必須決定如何管理其存取權。

• 直接指派。 資源擁有者會將使用者直接指派給資源。

• 群組指派。 資源擁有者會將 Microsoft Entra 群組指派給資源，這會自動授與所有群組成員對資源的存取權。 群組成員資格是由群組擁有者和資源擁有者所管理，任何一者皆可新增或移除群組內的成員。 有關管理群組成員資格的詳細資訊，請參閱 管理群組 一文。

• 以規則為基礎的指派。 資源擁有者會建立群組，並使用規則來定義將哪些使用者指派給特定資源。 此規則是以指派給個別使用者的屬性為基礎。 資源擁有者會管理規則，判斷允許存取資源所需的屬性和值。 如需詳細資訊，請參閱 建立動態群組。

• 外部授權單位指派。 存取來自外部來源，例如內部部署目錄或 SaaS 應用程式。 在此情況下，資源擁有者會指派群組以提供資源的存取權，然後由外部來源管理該群組成員。

在雲端中管理群組的最佳做法

以下是在雲端中管理群組的最佳做法：

• 啟用自助式群組管理： 允許用戶搜尋和加入群組，或建立和管理自己的Microsoft 365 個群組。
  • 讓小組能夠自行組織，同時降低IT的系統管理負擔。
  • 套用 組命名原則 來封鎖使用受限制字組並確保一致性。
  • 啟用群組到期原則以防止非使用中的群組積聚，系統會在指定期限後自動刪除未使用的群組，除非由群組擁有者更新。
  • 設定群組以自動接受加入或需要核准的所有使用者。
  • 如需詳細資訊，請參閱 在 Microsoft Entra ID中設定自助群組管理。
• 利用敏感度標籤： 使用敏感度標籤，根據其安全性和合規性需求來分類和管理Microsoft 365 個群組。
  • 提供更細緻的訪問控制，並確保敏感性資源受到保護。
  • 如需詳細資訊，請參閱 在 Microsoft Entra ID 中將敏感度標籤指派給 Microsoft 365 群組
• 自動使用動態群組的成員資格： 實作動態成員資格規則，根據部門、位置或職稱等屬性，自動新增或移除群組中的使用者和裝置。
  • 將手動更新降到最低，並減少揮之不去的存取風險。
  • 此功能適用於Microsoft 365 個群組和安全組。
• 進行定期存取權檢閱： 使用Microsoft Entra Identity Governance 功能來排程定期存取權檢閱。
  • 確保被指派群組的成員資格始終保持正確且相關。
  • 如需詳細資訊，請參閱 在 Microsoft Entra ID 中建立或更新動態成員資格群組
• 使用存取套件管理成員資格： 使用 Microsoft Entra Identity Governance 建立存取套件，以簡化多個群組成員資格的管理。 存取套件可以：
  • 包含成員資格的核准工作流程
  • 定義存取到期的準則
  • 提供集中方式，授與、檢閱和撤銷跨群組和應用程式的存取權
  • 如需詳細資訊，請參閱在權利管理中建立存取套件
• 指派多個群組擁有者： 將至少兩個擁有者指派給群組，以確保單一個人的持續性並減少相依性。
  • 如需詳細資訊，請參閱管理Microsoft Entra 群組和群組成員資格
• 使用群組型授權： 群組型授權可簡化使用者布建，並確保一致的授權指派。
  • 使用動態成員資格群組來自動管理符合特定準則的用戶授權。
  • 如需詳細資訊，請參閱 Microsoft Entra 標識符中的群組型授權為何？
• 強制執行角色型訪問控制（RBAC）： 指派角色來控制誰可以管理群組。
  • RBAC 可降低許可權誤用的風險，並簡化群組管理。
  • 如需詳細資訊，請參閱 Entra ID Microsoft 中角色型訪問控制的概觀

相關內容

• 建立和管理 Microsoft Entra 群組和群組成員資格
• 使用群組管理對 SaaS 應用程式的存取
• 管理組動態成員資格群組規則