Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra предоставляет несколько способов управления доступом к ресурсам, приложениям и задачам. С помощью групп Microsoft Entra можно предоставить доступ и разрешения группе пользователей вместо каждого отдельного пользователя. Ограничение доступа к ресурсам Microsoft Entra только тем пользователям, которым требуется доступ, является одним из основных принципов безопасности Нулевого доверия.
В этой статье представлен обзор того, как группы и права доступа можно использовать вместе, чтобы упростить управление пользователями Microsoft Entra, а также применение рекомендаций по обеспечению безопасности.
Примечание.
Вы не можете управлять некоторыми группами на портале Azure или в центре администрирования Microsoft Entra.
- Группы, синхронизированные из локальной среды Active Directory, могут управляться только локально.
- Списки рассылки и группы безопасности с поддержкой почты можно управлять только в Центре администрирования Exchange или Центре администрирования Microsoft 365. Для управления этими группами необходимо войти и иметь соответствующие разрешения для этого центра администрирования.
Общие сведения о группах Microsoft Entra
Эффективное использование групп может уменьшить количество задач вручную, таких как назначение ролей и разрешений отдельным пользователям. Вы можете назначить роли группе и назначить участников группе на основе их функции или отдела. Вы можете создать политику условного доступа, которая применяется к группе, а затем назначить политику группе. Из-за потенциального использования для групп важно понимать, как они работают и как они управляются.
Типы группы
Вы можете управлять двумя типами групп в Центре администрирования Microsoft Entra:
Группы безопасности: используется для управления доступом к общим ресурсам.
- Члены группы безопасности могут включать пользователей, устройства, основные компоненты службы.
- Группы могут быть членами других групп, которые иногда называют вложенными группами. см. примечание.
- Пользователи и сервисные принципалы могут быть владельцами группы безопасности.
Microsoft 365 группы: предоставление возможностей для совместной работы.
- Члены группы Microsoft 365 могут включать только пользователей.
- Пользователи и субъекты-службы могут быть владельцами группы Microsoft 365.
- Пользователи за пределами вашей организации могут быть членами группы.
- Дополнительные сведения см. в статье Узнайте о группах Microsoft 365.
Примечание.
При вложении существующей группы безопасности в другую группу безопасности только члены родительской группы имеют доступ к общим ресурсам и приложениям. Дополнительные сведения об управлении вложенными группами см. в статье "Управление группами".
Типы членства
- Назначенные группы: позволяет добавлять определенных пользователей в качестве членов группы и иметь уникальные разрешения.
- Динамическая группа членства для пользователей: позволяет использовать правила для автоматического добавления и удаления пользователей в качестве участников. Если атрибуты члена изменяются, система просматривает правила для динамических групп членства в каталоге. Система проверяет, соответствует ли член требованиям правила (добавляется) или больше не соответствует требованиям правил (удаляется).
- Динамическая группа членства для устройств: позволяет использовать правила для автоматического добавления и удаления устройств в качестве участников. Если атрибуты устройства изменяются, система просматривает правила для динамических групп членства в каталоге, чтобы узнать, соответствует ли устройство требованиям правила (добавляется) или больше не соответствует требованиям правил (удаляется).
Внимание
Можно создать динамическую группу либо для устройств, либо для пользователей, но не для обоих. Вы не можете создать группу устройств на основе атрибутов их владельцев. Правила членства для устройств могут ссылаться только на атрибуты этих устройств. Дополнительные сведения см. в статье Создание динамической группы.
Управление доступом
Идентификатор Microsoft Entra помогает предоставить доступ к ресурсам организации путем предоставления прав доступа одному пользователю или группе. Использование групп позволяет владельцу ресурсов или владельцу каталога Microsoft Entra назначать набор разрешений доступа всем членам группы. Владелец ресурса или каталога также может предоставить права на управление группами, например руководителю отдела или администратору службы технической поддержки, что позволяет этому пользователю добавлять и удалять участников. См. дополнительные сведения о том, как управлять владельцами групп.
Ресурсы, к которым группы Microsoft Entra могут управлять доступом:
- Часть организации Microsoft Entra, например разрешения на управление пользователями, приложениями, выставлением счетов и другими объектами.
- Внешние для вашей организации, такие как приложения SaaS, не принадлежащие Майкрософт.
- Службы Azure.
- Сайты SharePoint.
- Локальные ресурсы.
Каждому приложению, ресурсу и службе, требующей разрешений доступа, необходимо управлять отдельно, так как разрешения для одного могут не совпадать с другими. Предоставьте доступ с применением принципа наименьших привилегий, чтобы снизить риск атаки или нарушения безопасности.
Типы назначений
После создания группы необходимо решить, как управлять доступом.
Прямое назначение: владелец ресурса напрямую назначает пользователя ресурсу.
Групповое задание. Владелец ресурса назначает группу Microsoft Entra к ресурсу, что автоматически предоставляет всем членам группы доступ к ресурсу. Владелец группы и владелец ресурса управляют членством в группе, позволяя владельцу добавлять или удалять участников из группы. Дополнительные сведения об управлении членством в группах см. в статье об управляемых группах .
Назначение на основе правил: владелец ресурса создает группу и использует правило для определения пользователей определенного ресурса. Правило основывается на атрибутах, назначенных отдельным пользователям. Владелец ресурса управляет правилом, определяя, какие атрибуты и значения необходимы для предоставления доступа к ресурсу. Дополнительные сведения см. в статье Создание динамической группы.
Назначение из внешнего источника: доступ назначается из внешнего источника, например из локального каталога или приложения SaaS. В этой ситуации владелец ресурса назначает группу для предоставления доступа к ресурсу, а членами группы управляет внешний источник.
Рекомендации по управлению группами в облаке
Ниже приведены рекомендации по управлению группами в облаке:
-
Включите самостоятельное управление группами: Разрешите пользователям искать группы и присоединяться к ним или создавать собственные группы Microsoft 365 и управлять ими.
- Предоставляет командам возможность самостоятельно организовываться, уменьшая административное бремя на ИТ-отдел.
- Примените политику именования групп , чтобы заблокировать использование ограниченных слов и обеспечить согласованность.
- Запретить неактивным группам задерживаться, включив политики истечения срока действия группы, которые автоматически удаляют неиспользуемые группы после указанного периода, если не будет продлен владельцем группы.
- Настройте группы для автоматического принятия всех пользователей, которые присоединяются или требуют утверждения.
- Дополнительные сведения см. в разделе Настройка группового самостоятельного управления в Microsoft Entra ID.
-
Используйте метки конфиденциальности: Используйте метки конфиденциальности для классификации групп Microsoft 365 и управления ими в соответствии с их требованиями к безопасности и соответствию нормативным требованиям.
- Предоставляет подробные средства управления доступом и гарантирует защиту конфиденциальных ресурсов.
- Для получения дополнительной информации см. статью Назначение меток конфиденциальности группам Microsoft 365 в Microsoft Entra ID
-
Автоматизация членства с динамическими группами: реализуйте правила динамического членства для автоматического добавления или удаления пользователей и устройств из групп на основе атрибутов, таких как отдел, расположение или название задания.
- Минимизирует ручные обновления и снижает риск продолжительного доступа.
- Эта функция применяется к группам Microsoft 365 и группам безопасности.
-
Проводите периодические проверки доступа: используйте возможности Microsoft Entra Identity Governance для планирования регулярных проверок доступа.
- Гарантирует, что членство в назначенных группах остается точным и актуальным с течением времени.
- Дополнительные сведения см. в разделе Создание или обновление группы с динамическим членством в Microsoft Entra ID
-
Управление членством с помощью пакетов доступа: Создавайте пакеты доступа с помощью Microsoft Entra Identity Governance, чтобы упростить управление членством в нескольких группах. Пакеты доступа могут:
- Включите процедуры утверждения для членства
- Определение условий истечения срока действия доступа
- Предоставление централизованного способа предоставления, проверки и отмены доступа между группами и приложениями
- Дополнительные сведения см. в статье Создание пакета доступа в управление правами доступа
-
Назначение нескольких владельцев групп: назначьте по крайней мере двух владельцев группе, чтобы обеспечить непрерывность и сокращение зависимостей от одного человека.
- Дополнительные сведения см. в статье Управление группами Microsoft Entra и членством в группах
-
Использование группового лицензирования: групповое лицензирование упрощает подготовку пользователей и гарантирует согласованные назначения лицензий.
- Используйте динамические группы членства для автоматического управления лицензированием для пользователей с определенными критериями.
- Дополнительные сведения см. в разделе Что такое групповое лицензирование в идентификаторе Microsoft Entra ID?
-
Настройте ролевое управление доступом (RBAC): назначайте роли, чтобы определить, кто может управлять группами.
- RBAC снижает риск неправильного использования привилегий и упрощает управление группами.
- Для получения дополнительной информации см. Обзор управления доступом на основе ролей в Microsoft Entra ID.