Megosztás a következőn keresztül:

Tudnivalók a csoporttípusokról, a tagságtípusokról és a hozzáférés-kezelésről

  • Cikk

A Microsoft Entra ID számos módszert kínál az erőforrásokhoz, alkalmazásokhoz és feladatokhoz való hozzáférés kezelésére. A Microsoft Entra-csoportokkal az egyes felhasználók helyett hozzáférést és engedélyeket adhat a felhasználók egy csoportjának. A Microsoft Entra-erőforrásokhoz való hozzáférés korlátozása azon felhasználókra, akiknek szükségük van a hozzáférésre, a Zero Trust egyik alapvető biztonsági alapelve.

Ez a cikk áttekintést nyújt arról, hogyan használhatók együtt a csoportok és a hozzáférési jogosultságok a Microsoft Entra-felhasználók kezelésének megkönnyítése érdekében, és hogyan alkalmazhatják a biztonsági ajánlott eljárásokat is.

Feljegyzés

Egyes csoportok nem kezelhetők az Azure Portalon vagy a Microsoft Entra Felügyeleti központban.

  • A helyszíni Active Directoryból szinkronizált csoportok csak a helyszínen kezelhetők.
  • Terjesztési listák és levelezési biztonsági csoportok csak az Exchange Felügyeleti központban vagy az Microsoft 365 Felügyeleti központbankezelhetők. Be kell jelentkeznie, és rendelkeznie kell a megfelelő engedélyekkel ahhoz, hogy a felügyeleti központ kezelje ezeket a csoportokat.

A Microsoft Entra-csoportok áttekintése

A csoportok hatékony használata csökkentheti a manuális feladatokat, például a szerepkörök és engedélyek egyéni felhasználókhoz való hozzárendelését. Szerepköröket rendelhet egy csoporthoz, és hozzárendelhet tagokat egy csoporthoz a feladatfüggvényük vagy részlegük alapján. Létrehozhat egy csoportra vonatkozó feltételes hozzáférési szabályzatot, majd hozzárendelheti a szabályzatot a csoporthoz. A csoportok lehetséges felhasználási módjai miatt fontos megérteni, hogyan működnek és hogyan kezelik őket.

Csoporttípusok

A Microsoft Entra felügyeleti központban kétféle csoportot kezelhet:

  • biztonsági csoportok: Megosztott erőforrásokhoz való hozzáférés kezelésére szolgál.

    • A biztonsági csoport tagjai lehetnek felhasználók, eszközök, szolgáltatásnevek.
    • A csoportok lehetnek más csoportok tagjai, más néven beágyazott csoportok. Lásd a megjegyzést.
    • A felhasználók és a szolgáltatási objektumok lehetnek a biztonsági csoport tulajdonosa.

  • Microsoft 365-csoportok: Együttműködési lehetőségek biztosítása.

    • A Microsoft 365-csoportok tagjai csak felhasználókat tartalmazhatnak.
    • A felhasználók és a szolgáltatási princípiumok lehetnek a Microsoft 365-csoport tulajdonosai.
    • A szervezeten kívüli személyek egy csoport tagjai lehetnek.
    • További információkért lásd: Tudjon meg többet a Microsoft 365-csoportokról.

Feljegyzés

Ha egy meglévő biztonsági csoportot egy másik biztonsági csoportba ágyaz be, csak a szülőcsoport tagjai férhetnek hozzá a megosztott erőforrásokhoz és alkalmazásokhoz. A beágyazott csoportok kezelésével kapcsolatos további információkért tekintse meg a Csoportok kezelése című témakört.

Tagságtípusok

  • Hozzárendelt csoportok: Lehetővé teszi, hogy adott felhasználókat vegyen fel egy csoport tagjaiként, és egyedi engedélyekkel rendelkezzen.
  • Dinamikus tagsági csoport a felhasználók számára: Lehetővé teszi, hogy szabályokkal automatikusan tagként vegyen fel és távolítson el felhasználókat. Ha egy tag attribútumai megváltoznak, a rendszer megvizsgálja a címtár dinamikus tagsági csoportjaira vonatkozó szabályokat. A rendszer ellenőrzi, hogy a tag megfelel-e a szabálykövetelményeknek (hozzáadva), vagy már nem felel meg a szabályok követelményeinek (eltávolítva).
  • Dinamikus tagsági csoport az eszközökhöz: Lehetővé teszi, hogy szabályok használatával automatikusan vegyen fel és távolítson el eszközöket tagként. Ha egy eszköz attribútumai megváltoznak, a rendszer megvizsgálja a címtár dinamikus tagsági csoportjaira vonatkozó szabályokat, hogy ellenőrizze, hogy az eszköz megfelel-e a szabálykövetelményeknek (hozzáadva), vagy már nem felel meg a szabályok követelményeinek (eltávolítva).

Fontos

Dinamikus csoportot létre lehet hozni vagy eszközökhöz, vagy felhasználókhoz, de egyszerre mindkettőhöz nem. Az eszköztulajdonosok attribútumai alapján nem hozható létre eszközcsoport. Eszköz tagsági szabályok csak eszköz attribútumokra hivatkozhatnak. További információ: Dinamikus csoport létrehozása.

Hozzáférés-kezelés

A Microsoft Entra ID segítségével hozzáférést biztosíthat a szervezet erőforrásaihoz azáltal, hogy hozzáférési jogosultságokat biztosít egyetlen felhasználónak vagy csoportnak. A csoportok használatával az erőforrás-tulajdonos vagy a Microsoft Entra-címtár tulajdonosa hozzáférési engedélyeket rendelhet a csoport összes tagához. Az erőforrás- vagy címtártulajdonos csoportfelügyeleti jogosultságokat is adhat egy olyan személynek, mint például egy részlegvezető vagy egy ügyfélszolgálati rendszergazda, amely lehetővé teszi, hogy az adott személy tagokat vegyen fel és távolítson el. A csoporttulajdonosok kezelésével kapcsolatos további információkért tekintse meg a Csoportok kezelése című cikket.

A Microsoft Entra-csoportok a következő erőforrásokhoz férhetnek hozzá:

  • A Microsoft Entra-szervezet része, például a felhasználók, alkalmazások, számlázás és egyéb objektumok kezelésére vonatkozó engedélyek.
  • A szervezeten kívüli alkalmazások, például a nem Microsoft felhőalapú szoftverek (SaaS) alkalmazások.
  • Azure-szolgáltatások
  • SharePoint-webhelyek
  • Helyszíni erőforrások

Minden olyan alkalmazást, erőforrást és szolgáltatást, amely hozzáférési engedélyeket igényel, külön kell kezelni, mert előfordulhat, hogy az egyik engedélyei nem egyeznek meg a másik engedélyével. A hozzáférés biztosítása a minimális jogosultság elve alapján a támadás vagy a biztonsági incidens kockázatának csökkentése érdekében.

Hozzárendelés-típusok

A csoport létrehozása után el kell döntenie, hogyan kezelheti a hozzáférését.

  • Közvetlen hozzárendelés. Az erőforrás tulajdonosa közvetlenül hozzárendeli a felhasználót az erőforráshoz.

  • Csoportfeladat. Az erőforrás tulajdonosa hozzárendel egy Microsoft Entra-csoportot az erőforráshoz, amely automatikusan hozzáférést biztosít az összes csoporttagnak az erőforráshoz. A csoporttulajdonos és az erőforrás-tulajdonos is kezeli a csoporttagságokat, így a tulajdonos felvehet vagy eltávolíthat tagokat a csoportból. A csoporttagság kezelésével kapcsolatos további információkért tekintse meg a felügyelt csoportokról szóló cikket.

  • Szabályalapú hozzárendelés. Az erőforrás tulajdonosa létrehoz egy csoportot, és egy szabály használatával határozza meg, hogy mely felhasználók legyenek hozzárendelve egy adott erőforráshoz. A szabály az egyes felhasználókhoz rendelt attribútumokon alapul. Az erőforrás tulajdonosa kezeli a szabályt, meghatározva, hogy mely attribútumok és értékek szükségesek az erőforráshoz való hozzáférés engedélyezéséhez. További információ: Dinamikus csoport létrehozása.

  • Külső hatóság hozzárendelése. Az access külső forrásból, például helyszíni címtárból vagy SaaS-alkalmazásból származik. Ebben az esetben az erőforrás tulajdonosa hozzárendel egy csoportot, amely hozzáférést biztosít az erőforráshoz, majd a külső forrás kezeli a csoporttagokat.

Ajánlott eljárások a felhőbeli csoportok kezeléséhez

A felhőbeli csoportok kezelésének ajánlott eljárásai a következők:

  • Önkiszolgáló csoportkezelés engedélyezése: A felhasználók csoportokat kereshetnek és csatlakozhatnak hozzájuk, illetve létrehozhatják és kezelhetik saját Microsoft 365-csoportjukat.
    • Lehetővé teszi a csapatok számára, hogy szervezkedjenek, miközben csökkentik az informatikai adminisztrációs terheket.
    • Használjon csoportelnevezési szabályzatot a korlátozott szavak használatának letiltásához és a konzisztencia biztosításához.
    • A csoport lejárati szabályzatainak engedélyezésével megakadályozhatja, hogy inaktív csoportok maradhassanak, amely automatikusan törli a nem használt csoportokat egy adott időszak után, kivéve, ha a csoport tulajdonosa megújította.
    • Konfigurálja a csoportokat úgy, hogy automatikusan elfogadják az összes olyan felhasználót, aki csatlakozik vagy jóváhagyást igényel.
    • További információ: Önkiszolgáló csoportkezelés beállítása a Microsoft Entra ID.
  • Bizalmassági címkék használata: Bizalmassági címkék használatával osztályozhatja és szabályozhatja a Microsoft 365-csoportokat a biztonsági és megfelelőségi igényeik alapján.
  • Tagság automatizálása dinamikus csoportokkal: Dinamikus tagsági szabályok implementálása a felhasználók és eszközök automatikus hozzáadásához vagy eltávolításához a csoportokból olyan attribútumok alapján, mint a részleg, a hely vagy a feladat címe.
    • Minimálisra csökkenti a manuális frissítéseket, és csökkenti a hozzáférés eltolásának kockázatát.
    • Ez a funkció a Microsoft 365-csoportokra és biztonsági csoportokra vonatkozik.
  • rendszeres hozzáférési felülvizsgálatok elvégzése: A Microsoft Entra Identity Governance képességeinek használata rendszeres hozzáférési felülvizsgálatok ütemezéséhez.
  • Tagság kezelése hozzáférési csomagokkal: Hozzáférési csomagok létrehozása a Microsoft Entra Identity Governance használatával több csoporttagság felügyeletének egyszerűsítése érdekében. Az Access-csomagok:
    • A tagság jóváhagyási munkafolyamatainak beépítése
    • Hozzáférési lejárat feltételeinek meghatározása
    • Központosított módszer biztosítása csoportok és alkalmazások hozzáférésének megadására, felülvizsgálatára és visszavonására
    • További információ: Hozzáférési csomag létrehozása a jogosultságkezelésben
  • Több csoporttulajdonos hozzárendelése: Legalább két tulajdonos hozzárendelése egy csoporthoz a folytonosság biztosítása és a függőségek csökkentése érdekében.
  • Csoportalapú licencelés használata: csoportalapú licencelés leegyszerűsíti a felhasználók kiépítését, és biztosítja a konzisztens licenckiosztásokat.
  • Szerepköralapú hozzáférés-vezérlők (RBAC) kényszerítése: Szerepkörök hozzárendelése a csoportok kezeléséhez.

Kapcsolódó tartalom