使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

组是访问控制策略的一部分。 可以使用 Microsoft Entra 安全组和 Microsoft 365 组作为保护对资源的访问的基础。 在以下访问控制机制中使用组:

组具有以下角色:

  • 组所有者 - 管理组设置及其成员身份
  • 成员 - 继承分配给组的权限和访问权限
  • 来宾 - 组织外部的成员

准备阶段

本文是 10 篇系列文章中的第 4 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

组策略

若要制定组策略来保护对资源的外部访问,请考虑所需的安全状况。

了解详细信息:确定外部访问的安全状况

组创建

确定向谁授予创建组的权限:管理员、员工和/或外部用户。 请考虑下列情形:

组邀请

作为组策略的一部分,请考虑谁可邀请或添加人员到组中。 组成员可以添加其他成员,组所有者也可以添加成员。 决定可以邀请谁。 默认情况下,可将外部用户添加到组。

将用户分配到组

根据用户对象中的用户属性将用户手动分配给组,或者根据其他条件分配用户。 用户基于其属性动态分配到组。 例如,你可根据以下信息将用户分配到组:

  • 职务或部门
  • 他们所属的合作伙伴组织
    • 手动或通过连接的组织
  • 成员或来宾用户类型
  • 参与项目
    • 手动
  • 位置

动态组包含用户或设备,但不能同时包含两者。 若要将用户分配到动态组,请根据用户属性添加查询。 如果用户是财务部门的成员,以下屏幕截图包含将用户添加到组的查询。

动态成员身份规则下的选项和条目的屏幕截图。

了解详细信息:在 Microsoft Entra ID 中创建或更新动态组

将组用于一个功能

使用组时,这些组具有单一的功能,这一点很重要。 如果使用组来授予对资源的访问权限,则不要将其用于任何其他目的。 建议使用安全组命名约定来明确目的:

  • Secure_access_finance_apps
  • Team_membership_finance_team
  • Location_finance_building

组类型

可以在 Azure 门户或 Microsoft 365 管理门户中创建 Microsoft Entra 安全组和 Microsoft 365 组。 使用任一组类型来保护外部访问。

注意事项 手动和动态 Microsoft Entra 安全组 Microsoft 365 组
组包含 用户

服务主体
设备
仅用户
组的创建位置 Azure 门户
Microsoft 365 门户(若要支持邮件)
PowerShell
Microsoft Graph
最终用户门户
Microsoft 365 门户
Azure 门户
PowerShell
Microsoft Graph
在 Microsoft 365 应用程序中
默认创建者 管理员
用户
管理员
用户
默认添加对象 内部用户(租户成员)和来宾用户 来自某个组织的租户成员和来宾
将访问权限授予 分配给它的资源。 与组相关的资源:
(组邮箱、站点、团队、聊天和其他 Microsoft 365 资源)
添加到组中的其他资源
可用于 条件性访问
权利管理
组许可
条件性访问
权利管理
敏感度标签

注意

使用 Microsoft 365 组来创建和管理一组 Microsoft 365 资源,例如团队及其关联的站点和内容。

Microsoft Entra 安全组

Microsoft Entra 安全组可以具有用户或设备。 使用这些组来管理对以下项的访问:

  • Azure 资源
    • Microsoft 365 应用
    • 自定义应用
    • 服务型软件 (SaaS) 应用,例如 Dropbox ServiceNow
  • Azure 数据和订阅
  • Azure 服务

使用 Microsoft Entra 安全组分配:

了解详细信息:

注意

使用安全组最多可分配 1,500 个应用程序。

“新建组”下的条目和选项的屏幕截图。

启用邮件的安全组

若要创建支持邮件的安全组,请转到 Microsoft 365 管理中心。 在创建过程中为邮件启用安全组。 之后无法启用它。 无法在 Azure 门户中创建组。

混合组织和 Microsoft Entra 安全组

混合组织具有适用于本地的基础结构和 Microsoft Entra ID。 使用 Active Directory 的混合组织可以在本地创建安全组,并将其同步到云。 因此,只能将本地环境中的用户添加到安全组。

重要

保护本地基础结构免受入侵。

Microsoft 365 组

Microsoft 365 组是用于跨 Microsoft 365 进行访问的成员资格服务。 可通过 Azure 门户或 Microsoft 365 管理中心来创建它们。 创建 Microsoft 365 组时,将授予对用于协作的一组资源的访问权限。

了解详细信息:

Microsoft 365 组角色

  • 组所有者
    • 添加或删除成员
    • 从共享收件箱中删除对话
    • 更改组设置
    • 重命名组
    • 更新说明或图片
  • 成员
  • 来宾
    • 是组织外部的成员
    • 对 Teams 中的功能有一些限制

Microsoft 365 组设置

选择电子邮件别名、隐私以及是否为团队启用该组。

设置后,添加成员并配置电子邮件使用设置等。

后续步骤

请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。

  1. 使用 Microsoft Entra ID 确定外部访问的安全态势

  2. 发现组织中外部协作的当前状态

  3. 为外部资源访问创建安全性计划

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组保护外部访问(你在这里)

  5. 通过 Microsoft Entra B2B 协作过渡到受监管协作

  6. 使用 Microsoft Entra 权利管理来管理外部访问

  7. 使用条件访问策略管理对资源的外部访问

  8. 在 Microsoft Entra ID 中使用敏感度标签来控制对资源的外部访问

  9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business

  10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户