了解 Microsoft Entra ID 中的组和访问权限
Microsoft Entra ID 提供了多种方式来管理对资源、应用程序和任务的访问。 通过 Microsoft Entra 组,可以向一组用户授予访问权限和权限,而不是向每个用户单独授权。 零信任的核心安全原则之一是仅限需要访问权限的用户访问 Microsoft Entra 资源。
本文概述了如何结合使用组和访问权限,在简化 Microsoft Entra 用户管理的同时应用安全最佳做法。
借助 Microsoft Entra ID,可使用组来管理对应用程序、数据和资源的访问。 资源可以是:
- Microsoft Entra 组织的一部分,例如通过 Microsoft Entra ID 中的角色管理对象的权限
- 组织外部的资源,例如服务型软件 (SaaS) 应用
- Azure 服务
- SharePoint 站点
- 本地资源
某些组无法在 Azure AD 门户中管理:
- 从本地 Active Directory 同步的组只能在本地 Active Directory 中进行管理。
- 通讯组列表和启用了邮件的安全组仅在 Exchange 管理中心或 Microsoft 365 管理中心进行管理。 必须登录到 Exchange 管理中心或 Microsoft 365 管理中心才能管理这些组。
创建组之前需要了解的内容
有两种组类型和三种组成员身份类型。 查看适合自己方案的正确组合的选项。
组类型:
安全性:用于管理用户和计算机对共享资源的访问权限。
例如,可以创建安全组,使所有组成员具有一组相同的安全权限。 安全组的成员可以包括用户、设备、服务主体和其他组(亦称为嵌套组),它们定义了访问策略和权限。 安全组的所有者可以包括用户和服务主体。
注意
将现有安全组嵌套到另一个安全组时,只有父组中的成员才能访问共享资源和应用程序。 嵌套组成员分配的成员身份与父组成员不同。 有关管理嵌套组的详细信息,请参阅如何管理组。
Microsoft 365:通过向成员赋予对共享邮箱、日历、文件、SharePoint 站点等的访问权限,提供协作机会。
此选项还允许向组织外部的人授予对该组的访问权限。 Microsoft 365 组的成员只能包含用户。 Microsoft 365 组的所有者可以包括用户和服务主体。 有关 Microsoft 365 组的详细信息,请参阅了解 Microsoft 365 组。
成员身份类型:
分配的组:允许添加特定用户成为组成员并获得唯一权限。
用户动态成员资格组:允许使用用户规则自动将用户添加为成员和从成员中删除。 如果成员的属性发生更改,系统会查看目录的动态成员资格组规则。 系统会检查并了解成员是符合规则要求(添加),还是不再符合规则要求(删除)。
设备动态成员资格组:允许使用设备规则自动将设备添加为成员和从成员中移除。 如果设备的属性发生改变,系统会查看目录的动态成员资格组规则,了解该设备是满足规则要求(添加),还是不再满足规则要求(删除)。
重要
可以分别创建设备或用户的动态组,不能同时创建。 无法根据设备所有者的属性创建设备组。 设备成员资格只能引用设备属性。 有关为用户和设备创建动态组的详细信息,请参阅创建动态组并检查状态。
向组添加访问权限之前需要了解的内容
创建 Microsoft Entra 组后,需要向其授予适当的访问权限。 需要单独管理需要访问权限的每个应用程序、资源和服务,因为它们的权限可能彼此不同。 使用最低特权原则授予访问权限,以帮助降低攻击或安全漏洞的风险。
Microsoft Entra ID 中的访问管理的工作原理
Microsoft Entra ID 通过向单个用户或整个 Microsoft Entra 组提供访问权限,帮助你授予组织资源的访问权限。 资源所有者或 Microsoft Entra 目录所有者可以使用组将一组访问权限分配给组的所有成员。 资源或目录所有者还可将管理权限授予其他人(例如部门经理或支持人员管理员),让此人添加和删除成员。 有关如何管理组所有者的详细信息,请参阅管理组一文。
分配访问权限的方式
创建组后,需要决定如何分配访问权限。 探索分配访问权限的方法,以确定适合自己方案的最佳流程。
直接分配。 资源所有者直接将用户分配到资源。
组分配。 资源所有者将 Microsoft Entra 组分配到资源,这会自动向所有组成员授予对该资源的访问权限。 组成员资格由组所有者和资源所有者管理,允许任一所有者在该组中添加或删除成员。 有关管理组成员资格的详细信息,请参阅管理组一文。
基于规则的分配。 资源所有者创建一个组,并使用一条规则来定义要将哪些用户分配到特定的资源。 该规则基于分配给单个用户的属性。 资源所有者管理该规则,确定需要提供哪些属性和值才能访问该资源。 有关详细信息,请参阅创建动态组和检查状态。
External authority assignment(外部机构分配)。 访问来自外部源,例如本地目录或 SaaS 应用。 在这种情况下,资源所有者将分配一个组以提供资源访问权限,外部源将管理组成员。
用户是否无需分配即可加入组?
组所有者可让用户查找自己的组加入,而不是分配组。 所有者还可将组设置为自动接受加入的所有用户或需要审批才能加入。
用户请求加入组后,该请求将转发到组所有者。 如果有必要,所有者可以批准请求,并通知用户已获得组成员身份。 如果有多个所有者,并且其中一个所有者拒绝了请求,则会通知用户,但不会将其添加到组中。 有关如何让用户请求加入组的详细信息和说明,请参阅设置 Microsoft Entra ID 以便用户可以请求加入组。