使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问
组是访问控制策略的一部分。 可以使用 Microsoft Entra 安全组和 Microsoft 365 组作为保护对资源的访问的基础。 在以下访问控制机制中使用组:
组具有以下角色:
- 组所有者 - 管理组设置及其成员身份
- 成员 - 继承分配给组的权限和访问权限
- 来宾 - 组织外部的成员
准备阶段
本文是 10 篇系列文章中的第 4 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。
组策略
若要制定组策略来保护对资源的外部访问,请考虑所需的安全状况。
了解详细信息:确定外部访问的安全状况
组创建
确定向谁授予创建组的权限:管理员、员工和/或外部用户。 请考虑下列情形:
- 租户成员可以创建 Microsoft Entra 安全组
- 内部和外部用户可以加入租户中的组
- 用户可创建 Microsoft 365 组
- 管理谁可创建 Office 365 组
- 使用 PowerShell 配置此设置
- 将 Microsoft Entra 应用限制为仅供 Microsoft Entra 租户中的一组用户访问
- 在 Microsoft Entra ID 中设置自助服务组管理
- 排查和解决组问题
组邀请
作为组策略的一部分,请考虑谁可邀请或添加人员到组中。 组成员可以添加其他成员,组所有者也可以添加成员。 决定可以邀请谁。 默认情况下,可将外部用户添加到组。
将用户分配到组
根据用户对象中的用户属性将用户手动分配给组,或者根据其他条件分配用户。 用户基于其属性动态分配到组。 例如,你可根据以下信息将用户分配到组:
- 职务或部门
- 他们所属的合作伙伴组织
- 手动或通过连接的组织
- 成员或来宾用户类型
- 参与项目
- 手动
- 位置
动态组包含用户或设备,但不能同时包含两者。 若要将用户分配到动态组,请根据用户属性添加查询。 如果用户是财务部门的成员,以下屏幕截图包含将用户添加到组的查询。
了解详细信息:在 Microsoft Entra ID 中创建或更新动态组
将组用于一个功能
使用组时,这些组具有单一的功能,这一点很重要。 如果使用组来授予对资源的访问权限,则不要将其用于任何其他目的。 建议使用安全组命名约定来明确目的:
- Secure_access_finance_apps
- Team_membership_finance_team
- Location_finance_building
组类型
可以在 Azure 门户或 Microsoft 365 管理门户中创建 Microsoft Entra 安全组和 Microsoft 365 组。 使用任一组类型来保护外部访问。
| 注意事项 | 手动和动态 Microsoft Entra 安全组 | Microsoft 365 组 |
|---|---|---|
| 组包含 | 用户 组 服务主体 设备 |
仅用户 |
| 组的创建位置 | Azure 门户 Microsoft 365 门户(若要支持邮件) PowerShell Microsoft Graph 最终用户门户 |
Microsoft 365 门户 Azure 门户 PowerShell Microsoft Graph 在 Microsoft 365 应用程序中 |
| 默认创建者 | 管理员 用户 |
管理员 用户 |
| 默认添加对象 | 内部用户(租户成员)和来宾用户 | 来自某个组织的租户成员和来宾 |
| 将访问权限授予 | 分配给它的资源。 | 与组相关的资源: (组邮箱、站点、团队、聊天和其他 Microsoft 365 资源) 添加到组中的其他资源 |
| 可用于 | 条件性访问 权利管理 组许可 |
条件性访问 权利管理 敏感度标签 |
注意
使用 Microsoft 365 组来创建和管理一组 Microsoft 365 资源,例如团队及其关联的站点和内容。
Microsoft Entra 安全组
Microsoft Entra 安全组可以具有用户或设备。 使用这些组来管理对以下项的访问:
- Azure 资源
- Microsoft 365 应用
- 自定义应用
- 服务型软件 (SaaS) 应用,例如 Dropbox ServiceNow
- Azure 数据和订阅
- Azure 服务
使用 Microsoft Entra 安全组分配:
- 服务的许可证
- Microsoft 365
- Dynamics 365
- 企业移动性 + 安全性
- 请参阅什么是 Microsoft Entra ID 中基于组的许可?
- 提升的权限
了解详细信息:
注意
使用安全组最多可分配 1,500 个应用程序。
启用邮件的安全组
若要创建支持邮件的安全组,请转到 Microsoft 365 管理中心。 在创建过程中为邮件启用安全组。 之后无法启用它。 无法在 Azure 门户中创建组。
混合组织和 Microsoft Entra 安全组
混合组织具有适用于本地的基础结构和 Microsoft Entra ID。 使用 Active Directory 的混合组织可以在本地创建安全组,并将其同步到云。 因此,只能将本地环境中的用户添加到安全组。
重要
保护本地基础结构免受入侵。
Microsoft 365 组
Microsoft 365 组是用于跨 Microsoft 365 进行访问的成员资格服务。 可通过 Azure 门户或 Microsoft 365 管理中心来创建它们。 创建 Microsoft 365 组时,将授予对用于协作的一组资源的访问权限。
了解详细信息:
Microsoft 365 组角色
- 组所有者
- 添加或删除成员
- 从共享收件箱中删除对话
- 更改组设置
- 重命名组
- 更新说明或图片
- 成员
- 访问组中的所有内容
- 无法更改组设置
- 可以邀请来宾加入组
- 管理 Microsoft 365 组中的来宾访问
- 来宾
- 是组织外部的成员
- 对 Teams 中的功能有一些限制
Microsoft 365 组设置
选择电子邮件别名、隐私以及是否为团队启用该组。
设置后,添加成员并配置电子邮件使用设置等。
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。