Microsoft Entra ID 提供了多种方式来管理对资源、应用程序和任务的访问。 使用 Microsoft Entra 组,可以向一组用户而不是每个用户授予访问权限和权限。 零信任的核心安全原则之一是仅限需要访问权限的用户访问 Microsoft Entra 资源。
本文概述了如何结合使用组和访问权限,以便更轻松地管理Microsoft Entra 用户,同时应用安全最佳做法。
注意
某些组无法在 Azure 门户或 Microsoft Entra 管理中心进行管理。
- 从本地 Active Directory 同步的组只能在本地管理。
- 通讯组列表和启用邮件的安全组只能在 Exchange 管理中心或 Microsoft 365 管理中心进行管理。 必须登录并具有相应管理中心管理这些组的适当权限。
有效使用组可以减少手动任务,例如为单个用户分配角色和权限。 可以将角色分配给组,并根据其工作职能或部门将成员分配到组。 可以创建适用于组的条件访问策略,然后将策略分配给该组。 由于组的潜在用途,必须了解其工作原理以及管理方式。
可以在 Microsoft Entra 管理中心管理两种类型的组:
安全组: 用于管理对共享资源的访问。
- 安全组的成员可以包括用户、设备、 服务主体。
- 组可以是其他组的成员,有时称为嵌套组。 请参阅注释。
- 用户和服务主体可以是安全组的所有者。
Microsoft 365 组: 提供协作机会。
- Microsoft 365 组的成员只能包含用户。
- 用户和服务主体可以是Microsoft 365 组的所有者。
- 组织外部的人员可以是组的成员。
- 有关详细信息,请参阅了解 Microsoft 365 组。
注意
将现有安全组嵌套到另一个安全组时,只有父组中的成员有权访问共享资源和应用程序。 有关管理嵌套组的详细信息,请参阅如何管理组。
- 分配的组:允许添加特定用户成为组成员并获得唯一权限。
- 用户的动态成员身份组: 允许使用规则自动添加和删除用户作为成员。 如果成员的属性发生更改,系统会查看目录的动态成员资格组规则。 系统会检查并了解成员是符合规则要求(添加),还是不再符合规则要求(删除)。
- 设备的动态成员身份组: 允许使用规则自动添加和删除设备作为成员。 如果设备的属性发生改变,系统会查看目录的动态成员资格组规则,了解该设备是满足规则要求(添加),还是不再满足规则要求(删除)。
重要
可以分别创建设备或用户的动态组,不能同时创建。 无法根据设备所有者的属性创建设备组。 设备成员资格只能引用设备属性。 有关详细信息,请参阅 “创建动态组”。
Microsoft Entra ID 通过向单个用户或组提供访问权限,帮助你授予对组织资源的访问权限。 使用组,资源所有者或Microsoft Entra 目录所有者为组的所有成员分配一组访问权限。 资源或目录所有者还可以向部门经理或技术支持管理员等人员授予组管理权限,从而允许该人员添加和删除成员。 有关如何管理组所有者的详细信息,请参阅管理组一文。
Microsoft Entra 组可以管理访问权限的资源包括:
- Microsoft Entra 组织的一部分,例如管理用户、应用程序、计费和其他对象的权限。
- 组织外部应用,例如非 Microsoft 的软件即服务(SaaS)应用。
- Azure 服务
- SharePoint 站点
- 本地资源
需要单独管理需要访问权限的每个应用程序、资源和服务,因为它们的权限可能彼此不同。 使用最低特权原则授予访问权限,以帮助降低攻击或安全漏洞的风险。
创建组后,需要决定如何管理其访问权限。
直接分配。 资源所有者直接将用户分配到资源。
组分配。 资源所有者将 Microsoft Entra 组分配到资源,这会自动向所有组成员授予对该资源的访问权限。 组成员资格由组所有者和资源所有者管理,允许任一所有者在该组中添加或删除成员。 有关管理组成员资格的详细信息,请参阅管理组一文。
基于规则的分配。 资源所有者创建一个组,并使用一条规则来定义要将哪些用户分配到特定的资源。 该规则基于分配给单个用户的属性。 资源所有者管理该规则,确定需要提供哪些属性和值才能访问该资源。 有关详细信息,请参阅 “创建动态组”。
External authority assignment(外部机构分配)。 访问来自外部源,例如本地目录或 SaaS 应用。 在这种情况下,资源所有者将分配一个组以提供资源访问权限,外部源将管理组成员。
下面是在云中管理组的最佳做法:
-
启用自助服务组管理: 允许用户搜索和加入组,或创建和管理自己的Microsoft 365 组。
- 使团队能够组织自己,同时减轻 IT 的管理负担。
- 应用 组命名策略 以阻止使用受限字词并确保一致性。
- 通过启用组过期策略来防止非活动组挥之不去,除非组所有者续订,否则该策略会在指定时间段后自动删除未使用的组。
- 配置组以自动接受加入或需要审批的所有用户。
- 有关详细信息,请参阅在 Microsoft Entra ID 中设置自助服务组管理。
-
利用敏感度标签: 使用敏感度标签根据安全性和合规性需求对Microsoft 365 组进行分类和管理。
- 提供精细的访问控制,并确保敏感资源受到保护。
-
使用动态组自动执行成员身份: 实现动态成员身份规则,以基于部门、位置或职务等属性自动添加或删除组中的用户和设备。
- 最大程度地减少手动更新并降低挥之不去的访问风险。
- 此功能适用于Microsoft 365 个组和安全组。
-
进行定期访问评审: 使用Microsoft Entra Identity Governance 功能来计划定期访问评审。
- 确保分配的组中的成员身份在一段时间内保持准确且相关。
- 有关详细信息,请参阅 在 Microsoft Entra ID 中创建或更新动态成员身份组
-
使用访问包管理成员身份: 使用 Microsoft Entra Identity Governance 创建访问包,以简化多个组成员身份的管理。 访问包可以:
- 包括成员身份的审批工作流
- 定义访问过期的条件
- 提供一种集中方式,用于跨组和应用程序授予、评审和撤销访问权限
- 有关详细信息,请参阅 在权利管理中创建访问包
-
分配多个组所有者: 向组分配至少两个所有者,以确保连续性并减少单个人的依赖关系。
- 有关详细信息,请参阅管理 Microsoft Entra 组和组成员身份
-
使用基于组的许可: 基于组的许可简化了用户预配并确保一致的许可证分配。
- 使用动态成员身份组自动管理满足特定条件的用户的许可。
- 有关详细信息,请参阅 Microsoft Entra ID 中基于组的许可是什么?
-
强制实施基于角色的访问控制(RBAC): 分配角色来控制谁可以管理组。
- RBAC 可降低特权滥用的风险,并简化组管理。
- 有关详细信息,请参阅 Microsoft Entra ID 中基于角色的访问控制概述