Защитите внешний доступ с помощью групп в Microsoft Entra ID и Microsoft 365

Группы являются частью стратегии управления доступом. Группы безопасности Microsoft Entra и Группы Microsoft 365 можно использовать в качестве основы для защиты доступа к ресурсам. Используйте группы для следующих механизмов управления доступом:

В группах имеются следующие роли:

  • Владельцы групп — управление параметрами группы и его членством
  • Члены — наследуют разрешения и доступ, назначенные группе
  • Гости — это пользователи, не входящие в вашу организацию

Перед началом

Эта статья является номером 4 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Стратегия группы

Чтобы разработать стратегию группы для защиты внешнего доступа к ресурсам, рассмотрите нужный уровень безопасности.

Подробнее: Определение уровня защищенности для внешнего доступа

Создание группы

Определите, кто предоставляет разрешения на создание групп: администраторов, сотрудников и /или внешних пользователей. Рассмотрим следующие сценарии.

Приглашения к группам

В рамках стратегии группы рассмотрите, кто может приглашать людей или добавлять их в группы. Участники группы могут добавлять других участников, или владельцы групп могут добавлять участников. Решите, кто может быть приглашен. По умолчанию внешние пользователи могут быть добавлены в группы.

Назначение пользователей группам

Пользователи назначаются группам вручную на основе атрибутов пользователей в объекте пользователя или назначаются пользователям на основе других критериев. Пользователи назначаются группам динамически на основе их атрибутов. Например, можно назначить пользователей группам на основе следующих элементов:

  • Должность или отдел
  • Партнерская организация, к которой они принадлежат
    • Вручную или через подключенные организации
  • Тип участника или гостевого пользователя
  • Участие в проекте
    • Вручную
  • Расположение

Динамические группы имеют пользователей или устройства, но не оба. Чтобы назначить пользователей динамической группе, добавьте запросы на основе атрибутов пользователей. На следующем снимке экрана показаны запросы, которые добавляют пользователей в группу, если они являются сотрудниками финансового отдела.

Снимок экрана: параметры и записи в правилах динамического членства.

Дополнительные сведения. Создание или обновление динамической группы в идентификаторе Microsoft Entra

Использование групп для одной функции

При использовании групп важно иметь одну функцию. Если группа используется для предоставления доступа к ресурсам, не используйте ее для другой цели. Мы рекомендуем соглашение об именовании групп безопасности, которое делает назначение понятным:

  • Безопасный_доступ_к_финансовым_приложениям
  • Команда_членство_финансы_команда
  • Расположение финансового здания

Типы группы

Вы можете создавать группы безопасности Microsoft Entra и группы Microsoft 365 в портале Azure или в центре администрирования Microsoft 365. Используйте любой тип группы для защиты внешнего доступа.

Рекомендации Статические и динамические группы безопасности Microsoft Entra Группы Microsoft 365
Группа содержит Пользователи
Группы
Субъекты служб
Устройства
Только пользователи
Где создается группа Портал Azure
Портал Microsoft 365, если включена почта)
PowerShell
Microsoft Graph
Портал конечного пользователя
Портал Microsoft 365
Портал Azure
PowerShell
Microsoft Graph
В приложениях Microsoft 365
Кто создает, по умолчанию Администраторы
Пользователи
Администраторы
Пользователи
Кто добавляется по умолчанию Внутренние пользователи (участники арендатора) и гостевые пользователи Участники арендатора и гости организации
Доступ предоставляется Ресурсы, которым он назначен. Ресурсы, связанные с группами:
(Группировать почтовый ящик, сайт, группу, чаты и другие ресурсы Microsoft 365)
Другие ресурсы, к которым добавляется группа
Можно использовать с Условный доступ
управление правами
групповое лицензирование
Условный доступ
управление правами
метки конфиденциальности

Примечание.

Используйте Группы Microsoft 365 для создания и управления набором ресурсов Microsoft 365, таких как команда и связанные с ним сайты и содержимое.

Группы безопасности Microsoft Entra

Группы безопасности Microsoft Entra могут иметь пользователей или устройства. Используйте эти группы для управления доступом к:

  • Ресурсы Azure
    • Приложения Microsoft 365
    • Пользовательские приложения
    • Приложения SaaS, такие как Dropbox ServiceNow
  • Данные и подписки Azure
  • Службы Azure;

Используйте группы безопасности Microsoft Entra для назначения:

Подробнее:

Примечание.

Используйте группы безопасности, чтобы назначать до 1 500 приложений.

Снимок экрана: записи и параметры в разделе

Группа безопасности с поддержкой электронной почты

Чтобы создать группу безопасности с поддержкой почты, перейдите к Центр администрирования Microsoft 365. Включите группу безопасности для почты во время создания. Вы не можете включить его позже. Вы не можете создать группу в портале Azure.

Гибридные организации и группы безопасности Microsoft Entra

Гибридные организации имеют инфраструктуру для локальной среды и идентификатора Microsoft Entra. Гибридные организации, использующие Active Directory, могут создавать локальные группы безопасности и синхронизировать их с облаком. Таким образом, в группы безопасности могут добавляться только пользователи в локальной среде.

Внимание

Защитите локальную инфраструктуру от компрометации. См. защиту Microsoft 365 от локальных атак.

Группы Microsoft 365

Группы Microsoft 365 — это служба членства для доступа к Microsoft 365. Их можно создать в портале Azure или в центре администрирования Microsoft 365. При создании группы Microsoft 365 вы предоставляете доступ к группе ресурсов для совместной работы.

Подробнее:

роли Группы Microsoft 365

  • Владельцы групп
    • Добавление или удаление членов
    • Удаление бесед из общей папки "Входящие"
    • Изменение параметров группы
    • Переименование группы
    • Обновление описания или рисунка
  • Участники
  • Гости
    • Члены извне вашей организации
    • Иметь некоторые ограничения в функциональности Teams

Параметры группы Microsoft 365

Выберите псевдоним электронной почты, конфиденциальность и включение группы для команд.

После установки добавьте участников и настройте параметры использования электронной почты и т. д.

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Мы рекомендуем вам следовать указанному порядку.

  1. Определите уровень безопасности при внешнем доступе с помощью Microsoft Entra ID

  2. Обнаружение текущего состояния внешней совместной работы в организации

  3. Создание плана безопасности для внешнего доступа к ресурсам

  4. Защита внешнего доступа с помощью групп в Microsoft Entra ID и Microsoft 365 (Вы здесь)

  5. Переход к управляемой совместной работе с Microsoft Entra B2B

  6. Управление внешним доступом с помощью управления правами Microsoft Entra

  7. Управление внешним доступом к ресурсам с помощью политик условного доступа

  8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

  9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra

  10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B