Informace o typech skupin, typech členství a správě přístupu
Microsoft Entra ID poskytuje několik způsobů, jak spravovat přístup k prostředkům, aplikacím a úkolům. Pomocí skupin Microsoft Entra můžete udělit přístup a oprávnění skupině uživatelů, a ne každému jednotlivému uživateli. Omezení přístupu k prostředkům Microsoft Entra jenom na uživatele, kteří potřebují přístup, je jedním ze základních principů zabezpečení nulová důvěra (Zero Trust).
Tento článek obsahuje přehled o tom, jak se skupiny a přístupová práva dají používat společně, aby byla správa uživatelů Microsoft Entra jednodušší a zároveň se používaly osvědčené postupy zabezpečení.
Poznámka:
Některé skupiny nejde spravovat na webu Azure Portal ani v Centru pro správu Microsoft Entra.
- Skupiny synchronizované z místní služby Active Directory je možné spravovat pouze místně.
- Distribuční seznamy a skupiny zabezpečení s podporou pošty je možné spravovat jenom v centru pro správu Exchange nebo Centru pro správu Microsoftu 365. Abyste mohli tyto skupiny spravovat, musíte se přihlásit a mít příslušná oprávnění pro toto centrum pro správu.
Přehled skupin Microsoft Entra
Efektivní používání skupin může omezit ruční úlohy, jako je přiřazování rolí a oprávnění jednotlivým uživatelům. Role můžete přiřadit skupině a přiřadit členy ke skupině na základě jejich funkce nebo oddělení. Můžete vytvořit zásadu podmíněného přístupu, která se vztahuje na skupinu, a pak zásadu přiřadit ke skupině. Vzhledem k potenciálnímu využití skupin je důležité pochopit, jak fungují a jak se spravují.
Typy skupin
V Centru pro správu Microsoft Entra můžete spravovat dva typy skupin:
skupiny zabezpečení : Slouží ke správě přístupu ke sdíleným prostředkům.
- Členové skupiny zabezpečení mohou zahrnovat uživatele, zařízení, instanční objekty.
- Skupiny můžou být členy jiných skupin, někdy označované jako vnořené skupiny. Viz poznámka.
- Uživatelé a instanční objekty můžou být vlastníkem skupiny zabezpečení.
skupiny Microsoftu 365: Poskytují příležitosti pro spolupráci.
- Členové skupiny Microsoftu 365 můžou zahrnovat jenom uživatele.
- Uživatelé a představitelé služeb můžou být vlastníky skupiny Microsoft 365.
- Lidé mimo vaši organizaci můžou být členy skupiny.
- Další informace najdete v tématu Informace o skupinách Microsoftu 365.
Poznámka:
Při vnoření existující skupiny zabezpečení do jiné skupiny zabezpečení mají přístup ke sdíleným prostředkům a aplikacím jenom členové v nadřazené skupině. Další informace o správě vnořených skupin najdete v tématu Správa skupin.
Typy členství
- Přiřazené skupiny: Umožňuje přidat konkrétní uživatele jako členy skupiny a mít jedinečná oprávnění.
- dynamická skupina členství pro uživatele: Umožňuje používat pravidla k automatickému přidávání a odebírání uživatelů jako členů. Pokud se atributy člena změní, systém se podívá na vaše pravidla pro dynamické skupiny členství v adresáři. Systém zkontroluje, jestli člen splňuje požadavky pravidla (je přidán), nebo už nesplňuje požadavky pravidel (je odebrán).
- dynamická skupina členství pro zařízení: Umožňuje používat pravidla k automatickému přidávání a odebírání zařízení jako členů. Pokud se atributy zařízení změní, systém zkontroluje pravidla pro dynamické skupiny členství v adresáři a zjistí, jestli zařízení splňuje požadavky pravidla (je přidáno) nebo už nesplňuje požadavky pravidel (je odebráno).
Důležité
Dynamickou skupinu můžete vytvořit buď pro zařízení, nebo uživatele, ale nikoli pro obojí. Nemůžete vytvořit skupinu zařízení na základě atributů vlastníků zařízení. Pravidla členství zařízení mohou odkazovat pouze na atributy zařízení. Další informace naleznete v tématu Vytvoření dynamické skupiny.
Správa přístupu
Microsoft Entra ID pomáhá udělit přístup k prostředkům vaší organizace tím, že poskytuje přístupová práva jednomu uživateli nebo skupině. Použití skupin umožňuje vlastníkovi prostředku nebo vlastníkovi adresáře Microsoft Entra přiřadit sadu přístupových oprávnění všem členům skupiny. Vlastník prostředku nebo adresáře může také někomu, jako je správce oddělení nebo správce helpdesku, udělit oprávnění ke správě skupin, což této osobě umožňuje přidávat a odebírat členy. Další informace o správě vlastníků skupin najdete v článku Správa skupin .
Prostředky, ke kterým můžou skupiny Microsoft Entra spravovat přístup, můžou být:
- Součástí vaší organizace Microsoft Entra, jako jsou oprávnění ke správě uživatelů, aplikací, fakturace a dalších objektů.
- Mimo vaši organizaci, jako jsou aplikace SaaS (Software as a Service) jiné společnosti než Microsoft.
- Služby Azure
- Weby SharePointu
- Místní prostředky
Každá aplikace, prostředek a služba, které vyžadují přístupová oprávnění, musí být spravována samostatně, protože oprávnění pro jednu nemusí být stejná jako jiná. Udělte přístup pomocí principu nejnižších oprávnění , abyste snížili riziko útoku nebo porušení zabezpečení.
Typy přiřazení
Po vytvoření skupiny se musíte rozhodnout, jak spravovat jeho přístup.
Přímé přiřazení. Vlastník prostředku přímo přiřadí uživatele k prostředku.
Skupinový úkol Vlastník prostředku přiřadí k prostředku skupinu Microsoft Entra, která automaticky udělí všem členům skupiny přístup k prostředku. Vlastník skupiny i vlastník prostředku spravují členství ve skupině, což umožňuje kterémukoli z nich přidávat nebo odebírat členy ze skupiny. Další informace o správě členství ve skupinách najdete v článku o spravovaných skupinách .
Přiřazení založené na pravidlech Vlastník prostředku vytvoří skupinu a pomocí pravidla definuje, kteří uživatelé jsou přiřazeni ke konkrétnímu prostředku. Pravidlo je založeno na atributech přiřazených jednotlivým uživatelům. Vlastník prostředku spravuje pravidlo a určuje, které atributy a hodnoty jsou potřeba k povolení přístupu k prostředku. Další informace naleznete v tématu Vytvoření dynamické skupiny.
Přiřazení externí autority Přístup pochází z externího zdroje, jako je místní adresář nebo aplikace SaaS. V takovém případě vlastník prostředku přiřadí skupinu, která poskytne přístup k prostředku a pak externí zdroj spravuje členy skupiny.
Osvědčené postupy pro správu skupin v cloudu
Následující osvědčené postupy pro správu skupin v cloudu:
-
Povolit samoobslužnou správu skupin: Povolit uživatelům vyhledávat a připojovat se ke skupinám nebo vytvářet a spravovat vlastní skupiny Microsoftu 365.
- Umožňuje týmům uspořádat se a zároveň snížit administrativní zátěž it.
- Pokud chcete blokovat použití omezených slov a zajistit konzistenci, použijte zásady pojmenování skupiny.
- Zabraňte setrvání neaktivních skupin tím, že povolíte politiku vypršení skupiny, která automaticky odstraní nepoužívané skupiny po zadaném období, pokud je vlastník skupiny neprodlouží.
- Nakonfigurujte skupiny tak, aby automaticky přijímaly všechny uživatele, kteří se připojují nebo vyžadují schválení.
- Další informace najdete v tématu Nastavení samoobslužné správy skupin vMicrosoft Entra ID .
-
Využití popisků citlivosti: Použití popisků citlivosti ke klasifikaci a řízení skupin Microsoftu 365 na základě jejich potřeb zabezpečení a dodržování předpisů.
- Poskytuje jemně odstupňované řízení přístupu a zajišťuje ochranu citlivých prostředků.
- Další informace najdete v tématu Přiřaďte popisky citlivosti ke skupinám Microsoft 365 v Microsoft Entra ID.
-
Automatizovat členství pomocí dynamických skupin: Implementovat pravidla dynamického členství, která automaticky přidávají nebo odebírají uživatele a zařízení ze skupin na základě atributů, jako je oddělení, umístění nebo pracovní pozice.
- Minimalizuje ruční aktualizace a snižuje riziko trvalého přístupu.
- Tato funkce platí pro skupiny Microsoftu 365 a skupiny zabezpečení.
-
provádět pravidelné kontroly přístupu: používat funkce zásad správného řízení identit Microsoft Entra k naplánování pravidelných kontrol přístupu.
- Zajišťuje, aby členství v přiřazených skupinách zůstalo v průběhu času přesné a relevantní.
- Další informace najdete v tématu Vytvoření nebo aktualizace dynamické skupiny členství v Microsoft Entra ID
-
Spravovat členství pomocí přístupových balíčků: Vytvářet přístupové balíčky pomocí zásad správného řízení identit Microsoft Entra, aby se zjednodušila správa více členství ve skupinách. Přístupové balíčky můžou:
- Zahrnout pracovní postupy schválení pro členství
- Definování kritérií pro vypršení platnosti přístupu
- Poskytnutí centralizovaného způsobu udělení, kontroly a odvolání přístupu napříč skupinami a aplikacemi
- Další informace najdete v tématu Vytvoření přístupového balíčku ve správě nároků.
-
Přiřazení více vlastníků skupin: Přiřaďte ke skupině alespoň dva vlastníky, abyste zajistili kontinuitu a snížili závislosti na jednom jednotlivci.
- Další informace najdete v tématu Správa skupin Microsoft Entra a členství ve skupinách
-
Používat licencování na základě skupin: licencování založené na skupinách zjednodušuje zřizování uživatelů a zajišťuje konzistentní přiřazení licencí.
- Pomocí dynamických skupin členství můžete automaticky spravovat licencování pro uživatele, kteří splňují konkrétní kritéria.
- Další informace najdete v tématu Co je licencování založené na skupinách v Microsoft Entra ID?
-
Zajistěte řízení přístupu na základě rolí (RBAC): Přiřaďte role k řízení toho, kdo může spravovat skupiny.
- RBAC snižuje riziko zneužití oprávnění a zjednodušuje správu skupin.
- Další informace najdete v tématu Přehled řízení přístupu na základě role v Microsoft Entra ID