Použití skupin Microsoft Entra ke správě přiřazení rolí

Pomocí Microsoft Entra ID P1 nebo P2 můžete vytvářet skupiny s možností přiřazení role a přiřazovat k těmto skupinám role Microsoft Entra. Tato funkce zjednodušuje správu rolí, zajišťuje konzistentní přístup a zjednodušuje oprávnění auditování. Přiřazení rolí skupině místo jednotlivců umožňuje snadné přidání nebo odebrání uživatelů z role a vytvoření konzistentních oprávnění pro všechny členy skupiny. Můžete také vytvořit vlastní role s konkrétními oprávněními a přiřadit je ke skupinám.

Proč přiřazovat role skupinám?

Představte si příklad, kdy společnost Contoso najala lidi v různých zeměpisných oblastech, aby spravovala a resetovala hesla pro zaměstnance ve své organizaci Microsoft Entra. Místo toho, abyste požádali privilegovanou roli Správa istrator nebo globální Správa istrator, aby každému uživateli přiřadil roli helpdesku Správa istratoru jednotlivě, může vytvořit skupinu Contoso_Helpdesk_Správa istrators a přiřadit roli skupině. Když se lidé ke skupině připojí, přiřadí se jim tato role nepřímo. Váš stávající pracovní postup zásad správného řízení se pak může postarat o proces schvalování a auditování členství ve skupině, aby se zajistilo, že členové skupiny jsou jenom legitimní uživatelé a přiřadí se tak role helpdesku Správa istrator.

Jak fungují přiřazení rolí ke skupinám

Pokud chcete přiřadit roli ke skupině, musíte vytvořit nové zabezpečení nebo skupinu Microsoft 365 s vlastností nastavenou isAssignableToRole na true. V Centru pro správu Microsoft Entra můžete nastavit role Microsoft Entra k možnosti Skupiny na Ano. V obou směrech můžete skupině přiřadit jednu nebo více rolí Microsoft Entra stejným způsobem jako přiřazování rolí uživatelům.

Omezení pro skupiny s možností přiřazení rolí

Skupiny, které lze přiřadit role, mají následující omezení:

• Vlastnost můžete nastavit isAssignableToRole pouze nebo role Microsoft Entra lze přiřadit k možnosti skupiny pro nové skupiny.
• Vlastnost isAssignableToRole je neměnná. Po vytvoření skupiny s touto sadou vlastností ji nelze změnit.
• Existující skupinu nemůžete nastavit jako přiřaditelnou skupinu.
• V jedné organizaci Microsoft Entra (tenant) je možné vytvořit maximálně 500 skupin, které je možné přiřadit role.

Jak jsou chráněné skupiny s možností přiřazení role?

Pokud je skupině přiřazena role, může každý správce IT, který může spravovat členství ve skupině, také nepřímo spravovat členství v této roli. Předpokládejme například, že se skupině s názvem Contoso_User_Správa istrators přiřadí role User Správa istrator. Správce Exchange, který může změnit členství ve skupinách, by se mohl přidat do skupiny Contoso_User_Správa istrators a tímto způsobem se stát uživatelem Správa istrator. Jak vidíte, správce by mohl zvýšit své oprávnění způsobem, který jste nechtěli.

Roli je možné přiřadit pouze skupinám, které mají isAssignableToRole vlastnost nastavenou true při vytváření. Tato vlastnost je neměnná. Po vytvoření skupiny s touto sadou vlastností ji nelze změnit. U existující skupiny nelze nastavit vlastnost.

Skupiny s možností přiřazení rolí jsou navržené tak, aby zabránily potenciálním porušením zabezpečení tím, že mají následující omezení:

• Pouze globální Správa istrátory a privilegované role Správa istrátory mohou vytvořit skupinu s možností přiřazení role.
• Typ členství pro skupiny s možností přiřazení role musí být přiřazený a nemůže být dynamickou skupinou Microsoft Entra. Automatizovaná populace dynamických skupin by mohla vést k přidání nežádoucího účtu do skupiny a přiřazení k roli.
• Ve výchozím nastavení můžou spravovat členství ve skupině s možností přiřazení role pouze globální Správa istrátory a privilegované role Správa istrátory, ale správu skupin s možností přiřazení rolí můžete delegovat přidáním vlastníků skupin.
• Pro Microsoft Graph se vyžaduje oprávnění RoleManagement.ReadWrite.Directory , aby bylo možné spravovat členství ve skupinách, které je možné přiřadit role. Oprávnění Group.ReadWrite.All nebude fungovat.
• Aby se zabránilo zvýšení oprávnění, může změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování nebo upravovat citlivé atributy členů a vlastníků skupiny, které se dají přiřadit role, pouze privilegovaný ověřovací Správa nebo globální Správa istrator.
• Vnoření skupin se nepodporuje. Skupinu nelze přidat jako člena skupiny s možností přiřazení role.

Použití PIM k tomu, aby skupina byla způsobilá pro přiřazení role

Pokud nechcete, aby členové skupiny měli stálý přístup k roli, můžete použít Microsoft Entra Privileged Identity Management (PIM) k tomu, aby skupina měla nárok na přiřazení role. Každý člen skupiny pak může aktivovat přiřazení role pro pevnou dobu trvání.

Poznámka:

Pro skupiny používané ke zvýšení oprávnění k rolím Microsoft Entra doporučujeme, abyste pro oprávněná přiřazení členů vyžadovali schvalovací proces. Přiřazení, která je možné aktivovat bez schválení, vás můžou ohrozit bezpečnostní riziko od méně privilegovaných správců. Například helpdesk Správa istrator má oprávnění k resetování hesel oprávněných uživatelů.

Nepodporovaná scénáře

Následující scénáře se nepodporují:

• Přiřaďte role Microsoft Entra (předdefinované nebo vlastní) k místním skupinám.

Známé problémy

Níže jsou známé problémy se skupinami, které je možné přiřadit role:

• Zákazníci s licencí Microsoft Entra ID P2: I po odstranění skupiny se stále zobrazuje oprávněný člen role v uživatelském rozhraní PIM. Funkčně neexistuje žádný problém; je to jen problém s mezipamětí v Centru pro správu Microsoft Entra.
• Nové Centrum pro správu Exchange použijte pro přiřazení rolí prostřednictvím členství ve skupině. Staré Centrum pro správu Exchange tuto funkci nepodporuje. Pokud se vyžaduje přístup ke starému Centru pro správu Exchange, přiřaďte oprávněné roli přímo uživateli (ne prostřednictvím skupin s možností přiřazení rolí). Rutiny Prostředí PowerShell pro Exchange fungují podle očekávání.
• Pokud je role správce přiřazená ke skupině s možností přiřazení role místo jednotlivých uživatelů, nebudou mít členové skupiny přístup k pravidlům, organizaci ani veřejným složkám v novém Centru pro správu Exchange. Alternativním řešením je přiřadit roli přímo uživatelům místo skupiny.
• Portál Azure Information Protection (portál Classic) ještě nerozpozná členství v rolích prostřednictvím skupiny. Můžete migrovat na sjednocenou platformu popisků citlivosti a pak pomocí Portál dodržování předpisů Microsoft Purview použít přiřazení skupin ke správě rolí.

Požadavky na licenci

Použití této funkce vyžaduje licenci Microsoft Entra ID P1. Privileged Identity Management pro aktivaci role za běhu vyžaduje licenci Microsoft Entra ID P2. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.

Další kroky

• Vytvoření skupiny s možností přiřazení role
• Přiřazení rolí Microsoft Entra ke skupinám