Udostępnij za pośrednictwem

Używanie grup do zarządzania przypisaniami ról w usłudze Microsoft Entra

  • Artykuł

Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 można tworzyć grupy z możliwością przypisywania ról i przypisywać role firmy Microsoft do tych grup. Ta funkcja upraszcza zarządzanie rolami, zapewnia spójny dostęp i sprawia, że uprawnienia inspekcji są prostsze. Przypisywanie ról do grupy zamiast osób umożliwia łatwe dodawanie lub usuwanie użytkowników z roli i tworzenie spójnych uprawnień dla wszystkich członków grupy. Można również tworzyć role niestandardowe z określonymi uprawnieniami i przypisywać je do grup.

Dlaczego warto przypisywać role do grup?

Rozważmy przykład, w którym firma Contoso zatrudniła osoby w różnych lokalizacjach geograficznych, aby zarządzać hasłami i resetować je dla pracowników w swojej organizacji firmy Microsoft Entra. Zamiast prosić administratora ról uprzywilejowanych o przypisanie roli Administrator pomocy technicznej do każdej osoby indywidualnie, może utworzyć grupę Contoso_Helpdesk_Administrators i przypisać rolę do grupy. Gdy osoby dołączają do grupy, przypisana im jest rola pośrednia. Istniejący przepływ pracy zarządzania może następnie zadbać o proces zatwierdzania i audytu członkostwa w grupie, aby upewnić się, że tylko uprawnieni użytkownicy są członkami grupy, a tym samym mają przypisaną rolę administratora pomocy technicznej.

Jak działają przypisania ról do grup

Aby przypisać rolę do grupy, musisz utworzyć nową grupę zabezpieczeń lub platformy Microsoft 365 z właściwością ustawioną isAssignableToRole na true. W centrum administracyjnym firmy Microsoft Entra można ustawić role Entra firmy Microsoft, które można przypisać do opcji grupy na Wartość Tak. Tak czy inaczej, możesz przypisać do grupy jedną lub więcej ról Microsoft Entra w taki sam sposób, jak przypisywanie ról do użytkowników.

Zrzut ekranu strony ról i administratorów

Ograniczenia dotyczące grup z możliwością przypisywania ról

Grupy z możliwością przypisywania ról mają następujące ograniczenia:

  • Można ustawić tylko właściwość isAssignableToRole lub opcję, aby role Microsoft Entra były przypisywane do grupy dla nowych grup.
  • Właściwość isAssignableToRole jest niezmienna. Po utworzeniu grupy przy użyciu tego zestawu właściwości nie można jej zmienić.
  • Nie można ustawić istniejącej grupy jako grupy z możliwością przypisania roli.
  • W jednej organizacji firmy Microsoft Entra (dzierżawca) można utworzyć maksymalnie 500 grup z możliwością przypisywania ról.

Jak chronione są grupy z możliwością przypisywania ról?

Jeśli grupa ma przypisaną rolę, każdy administrator IT, który może zarządzać dynamicznymi grupami członkostwa, może również pośrednio zarządzać członkostwem tej roli. Załóżmy na przykład, że grupa o nazwie Contoso_User_Administrators ma przypisaną rolę Administrator użytkowników. Administrator programu Exchange, który może modyfikować dynamiczne grupy członkostwa, może dodać się do grupy Contoso_User_Administrators i w ten sposób zostać administratorem użytkowników. Jak widać, administrator może podnieść swoje uprawnienia w sposób, który nie zamierzał.

Tylko grupy, które mają ustawioną właściwość isAssignableToRole na true w momencie tworzenia, mogą być przypisane do roli. Ta właściwość jest niezmienna. Po utworzeniu grupy przy użyciu tego zestawu właściwości nie można jej zmienić. Nie można ustawić właściwości w istniejącej grupie.

Grupy z możliwością przypisywania ról zostały zaprojektowane w celu zapobiegania potencjalnym naruszeniom, stosując następujące ograniczenia:

  • Aby utworzyć grupę, do której można przypisywać role, musisz mieć przypisaną co najmniej rolę Administrator roli uprzywilejowanej.
  • Typ członkostwa dla grup, którym można przypisać role, musi być ustawiony na Przypisany i nie może być grupą dynamiczną Microsoft Entra. Automatyczne uzupełnianie dynamicznych grup członkowskich może skutkować dodaniem niechcianego konta do grupy, co w konsekwencji skutkuje przypisaniem do roli.
  • Domyślnie administratorzy ról uprzywilejowanych mogą zarządzać członkostwem grup z przypisaniem ról, ale można delegować zarządzanie takimi grupami, dodając właścicieli grup.
  • W przypadku programu Microsoft Graph uprawnienie RoleManagement.ReadWrite.Directory jest wymagane, aby móc zarządzać członkostwem grup z możliwością przypisywania ról. Uprawnienie Group.ReadWrite.All nie będzie działać.
  • Aby zapobiec podwyższeniu uprawnień, musisz mieć przypisaną co najmniej rolę administratora uwierzytelniania uprzywilejowanego, aby zmienić poświadczenia, zresetować usługę MFA lub zmodyfikować poufne atrybuty dla członków i właścicieli grupy z możliwością przypisania roli.
  • Zagnieżdżanie grup nie jest obsługiwane. Nie można dodać grupy jako członka grupy z możliwością przypisywania ról.

Użyj usługi PIM, aby utworzyć grupę kwalifikującą się do przypisania roli

Jeśli nie chcesz, aby członkowie grupy mieli stały dostęp do roli, możesz użyć usługi Microsoft Entra Privileged Identity Management (PIM), aby utworzyć grupę kwalifikującą się do przypisania roli. Następnie każdy członek grupy jest uprawniony do aktywowania przypisania roli na określony czas.

Uwaga

W przypadku grup używanych do podnoszenia do ról w Microsoft Entra, zalecamy wymaganie procesu zatwierdzania przypisań kwalifikujących się członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić cię podatnym na ryzyko bezpieczeństwa ze strony mniej uprzywilejowanych administratorów. Na przykład administrator pomocy technicznej ma uprawnienia do resetowania haseł uprawnionych użytkowników.

Scenariusze nieobsługiwane

Następujące scenariusze nie są obsługiwane:

  • Przypisz role usługi Microsoft Entra (wbudowane lub niestandardowe) do grup lokalnych.

Znane problemy

Poniżej przedstawiono znane problemy z grupami z możliwością przypisywania ról:

  • Tylko klienci z licencją Microsoft Entra ID P2: Nawet po usunięciu grupy, nadal jest ona wyświetlana jako uprawniony członek roli w interfejsie użytkownika PIM. Funkcjonalnie nie ma problemu; jest to tylko problem z pamięcią podręczną w centrum administracyjnym firmy Microsoft Entra.
  • Użyj nowego centrum administracyjnego programu Exchange dla przypisań ról za pośrednictwem dynamicznych grup członkostwa. Stare centrum administracyjne programu Exchange nie obsługuje tej funkcji. Jeśli wymagane jest uzyskanie dostępu do starego centrum administracyjnego programu Exchange, przypisz kwalifikującą się rolę bezpośrednio do użytkownika (a nie za pośrednictwem grup z możliwością przypisywania ról). Cmdlet programu Exchange PowerShell działają zgodnie z oczekiwaniami.
  • Jeśli rola administratora jest przypisana do grupy z możliwością przypisania roli zamiast poszczególnych użytkowników, członkowie grupy nie będą mogli uzyskać dostępu do reguł, organizacji lub folderów publicznych w nowym centrum administracyjnym programu Exchange . Obejście polega na przypisaniu roli bezpośrednio do użytkowników zamiast do grupy.
  • Portal usługi Azure Information Protection (portal klasyczny) nie rozpoznaje jeszcze członkostwa w rolach za pośrednictwem grupy. Możesz przeprowadzić migrację do ujednoliconej platformy etykietowania poufności, a następnie użyć portal zgodności Microsoft Purview do zarządzania rolami za pomocą przypisań grup.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID P1. Aktywacja roli just-in-time w usłudze Privileged Identity Management wymaga licencji Microsoft Entra ID P2. Aby znaleźć odpowiednią licencję dla swoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji edycji Bezpłatnej i Premium.

Następne kroki