További információ a csoportokról és a hozzáférési jogosultságokról a Microsoft Entra-azonosítóban

  • Cikk

A Microsoft Entra ID számos módszert kínál az erőforrásokhoz, alkalmazásokhoz és feladatokhoz való hozzáférés kezelésére. A Microsoft Entra-csoportokkal az egyes felhasználók helyett hozzáférést és engedélyeket adhat a felhasználók egy csoportjának. A Microsoft Entra-erőforrásokhoz való hozzáférés korlátozása csak azokra a felhasználókra, akiknek hozzáférésre van szükségük, a Teljes felügyelet egyik alapvető biztonsági alapelve.

Ez a cikk áttekintést nyújt arról, hogyan használhatók együtt a csoportok és a hozzáférési jogosultságok a Microsoft Entra-felhasználók kezelésének megkönnyítésére, valamint a biztonsági ajánlott eljárások alkalmazására.

A Microsoft Entra ID segítségével csoportok segítségével kezelheti az alkalmazásokhoz, adatokhoz és erőforrásokhoz való hozzáférést. Az erőforrások lehetnek:

  • A Microsoft Entra szervezet része, például az objektumok Microsoft Entra-azonosítóban lévő szerepkörökön keresztüli kezelésére vonatkozó engedélyek
  • A szervezeten kívül, például a Szolgáltatott szoftver (SaaS) alkalmazások esetében
  • Azure-szolgáltatások
  • SharePoint-webhelyek
  • Helyszíni erőforrások

Egyes csoportok nem kezelhetők az Azure Portalon:

  • A helyi Active Directory szinkronizált csoportok csak helyi Active Directory kezelhetők.
  • A terjesztési listák és az e-mail-kompatibilis biztonsági csoportok kezelése csak az Exchange Felügyeleti központban vagy Microsoft 365 Felügyeleti központ érhető el. A csoportok kezeléséhez be kell jelentkeznie az Exchange Felügyeleti központba vagy Microsoft 365 Felügyeleti központ.

Tudnivalók a csoport létrehozása előtt

Két csoporttípus és három csoporttagságtípus létezik. Tekintse át azokat a beállításokat, hogy megtalálja a forgatókönyvhöz megfelelő kombinációt.

Csoporttípusok:

Biztonság: A megosztott erőforrásokhoz való felhasználói és számítógép-hozzáférés kezelésére szolgál.

Létrehozhat például egy biztonsági csoportot, hogy minden csoporttag ugyanazokkal a biztonsági engedélyekkel rendelkezzen. A biztonsági csoportok tagjai lehetnek felhasználók, eszközök, szolgáltatásnevek és más csoportok (más néven beágyazott csoportok), amelyek hozzáférési szabályzatot és engedélyeket határoznak meg. A biztonsági csoportok tulajdonosai lehetnek felhasználók és szolgáltatásnevek.

Feljegyzés

Ha egy meglévő biztonsági csoportot egy másik biztonsági csoportba ágyaz be, csak a szülőcsoport tagjai férhetnek hozzá a megosztott szervezeti egységekhez és alkalmazásokhoz. A beágyazott csoporttagok nem rendelkeznek ugyanazzal a hozzárendelt tagsággal, mint a szülőcsoport tagjai. A beágyazott csoportok kezelésével kapcsolatos további információkért tekintse meg a Csoportok kezelése című témakört.

Microsoft 365: Együttműködési lehetőségeket biztosít, ha hozzáférést biztosít a csoporttagok számára megosztott postaládához, naptárhoz, fájlokhoz, SharePoint-webhelyekhez és egyebekhez.

Ez a lehetőség lehetővé teszi a szervezetnél kívüli személyek hozzáadását is a csoporthoz. A Microsoft 365-csoportok tagjai csak felhasználókat tartalmazhatnak. A Microsoft 365-csoportok tulajdonosai felhasználókat és szolgáltatásneveket is tartalmazhatnak. A Microsoft 365-csoportok további információkért lásd a Microsoft 365-csoportok című témakört.

Tagságtípusok:

  • Hozzárendelve: Lehetővé teszi, hogy adott felhasználókat vegyen fel egy csoport tagjaiként, és egyedi engedélyekkel rendelkezzen.

  • Dinamikus felhasználó: Lehetővé teszi a dinamikus tagsági szabályok használatát a tagok automatikus hozzáadásához és eltávolításához. Ha egy tag attribútumai megváltoznak, a rendszer megvizsgálja a címtár dinamikus csoportszabályait, hogy lássa, a tag megfelel-e a szabálykövetelményeknek (hozzáadva), vagy már nem felel meg a szabályok követelményeinek (eltávolítva).

  • Dinamikus eszköz: Lehetővé teszi dinamikus csoportszabályok használatát az eszközök automatikus hozzáadásához és eltávolításához. Ha egy eszköz attribútumai megváltoznak, a rendszer megvizsgálja a címtár dinamikus csoportszabályait, hogy ellenőrizze, hogy az eszköz megfelel-e a szabálykövetelményeknek (hozzáadva), vagy már nem felel meg a szabályok követelményeinek (eltávolítva).

    Fontos

    Dinamikus csoportot létre lehet hozni eszközök és tagok számára is, de egyszerre mindkettőhöz nem. Az eszköztulajdonosok attribútumai alapján nem hozható létre eszközcsoport. Eszköz tagsági szabályok csak eszköz attribútumokra hivatkozhatnak. A dinamikus csoportok felhasználók és eszközök számára történő létrehozásáról további információt a Dinamikus csoport létrehozása és az állapot ellenőrzése című témakörben talál.

Tudnivalók a hozzáférési jogosultságok csoporthoz való hozzáadása előtt

A Microsoft Entra-csoport létrehozása után meg kell adnia neki a megfelelő hozzáférést. Minden olyan alkalmazást, erőforrást és szolgáltatást, amely hozzáférési engedélyeket igényel, külön kell kezelni, mert előfordulhat, hogy az egyik engedélyei nem egyeznek meg a másik engedélyével. A hozzáférés biztosítása a minimális jogosultság elve alapján a támadás vagy a biztonsági incidens kockázatának csökkentése érdekében.

A Hozzáférés-kezelés működése a Microsoft Entra ID-ban

A Microsoft Entra ID segítségével hozzáférést biztosíthat a szervezet erőforrásaihoz azáltal, hogy hozzáférési jogosultságokat biztosít egyetlen felhasználónak vagy egy teljes Microsoft Entra-csoportnak. A csoportok használatával az erőforrás-tulajdonos vagy a Microsoft Entra-címtár tulajdonosa hozzáférési engedélyeket rendelhet a csoport összes tagjának. Az erőforrás- vagy címtártulajdonos felügyeleti jogokat is adhat valakinek, például részlegvezetőnek vagy ügyfélszolgálati rendszergazdának, lehetővé téve, hogy az adott személy tagokat vegyen fel és távolítson el. A csoporttulajdonosok kezelésével kapcsolatos további információkért tekintse meg a Csoportok kezelése című cikket.

Screenshot of a diagram of Microsoft Entra ID access management..

Hozzáférési jogosultságok hozzárendelésének módjai

A csoport létrehozása után el kell döntenie, hogyan rendeljen hozzá hozzáférési jogosultságokat. Megismerheti a hozzáférési jogosultságok hozzárendelésének módjait a forgatókönyv legjobb folyamatának meghatározásához.

  • Közvetlen hozzárendelés. Az erőforrás tulajdonosa közvetlenül hozzárendeli a felhasználót az erőforráshoz.

  • Csoport-hozzárendelés. Az erőforrás tulajdonosa hozzárendel egy Microsoft Entra-csoportot az erőforráshoz, amely automatikusan hozzáférést biztosít az összes csoporttagnak az erőforráshoz. A csoporttagságokat a csoport tulajdonosa és az erőforrás tulajdonosa is felügyeli, így a tulajdonos felvehet vagy eltávolíthat tagokat a csoportból. A csoporttagság kezeléséről további információt a Csoportok kezelése című cikkben talál.

  • Szabályalapú hozzárendelés. Az erőforrás tulajdonosa létrehoz egy csoportot, és egy szabály használatával határozza meg, hogy mely felhasználók legyenek hozzárendelve egy adott erőforráshoz. A szabály az egyes felhasználókhoz rendelt attribútumokon alapul. Az erőforrás tulajdonosa kezeli a szabályt, meghatározva, hogy mely attribútumok és értékek szükségesek az erőforráshoz való hozzáférés engedélyezéséhez. További információ: Dinamikus csoport létrehozása és állapot ellenőrzése.

  • Külső szolgáltató hozzárendelése. Az access külső forrásból, például helyszíni címtárból vagy SaaS-alkalmazásból származik. Ebben az esetben az erőforrás tulajdonosa hozzárendel egy csoportot, amely hozzáférést biztosít az erőforráshoz, majd a külső forrás kezeli a csoporttagokat.

    Screenshot of a diagram of access management overview..

Csatlakozhatnak a felhasználók csoportokhoz hozzárendelés nélkül?

A csoport tulajdonosa engedélyezheti a felhasználóknak, hogy saját csoportokat keressenek a csatlakozáshoz ahelyett, hogy hozzárendelik őket. A tulajdonos beállíthatja azt is, hogy a csoport automatikusan fogadja az összes olyan felhasználót, aki csatlakozik vagy jóváhagyást igényel.

Miután egy felhasználó egy csoporthoz való csatlakozást kér, a rendszer továbbítja a kérést a csoport tulajdonosának. Ha szükséges, a tulajdonos jóváhagyhatja a kérést, és a felhasználó értesítést kap a csoporttagságról. Ha több tulajdonosa van, és az egyik nem támogatja, a felhasználó értesítést kap, de nem lesz hozzáadva a csoporthoz. További információkért és útmutatásért arról, hogyan engedélyezheti a felhasználóknak a csoportokhoz való csatlakozást, olvassa el a Microsoft Entra-azonosító beállítása, hogy a felhasználók csoporthoz való csatlakozást kérhessenek.

Következő lépések