Używanie grup do zarządzania przypisaniami ról w usłudze Microsoft Entra

Za pomocą identyfikatora Microsoft Entra ID P1 lub P2 można tworzyć grupy z możliwością przypisywania ról i przypisywać role firmy Microsoft do tych grup. Ta funkcja upraszcza zarządzanie rolami, zapewnia spójny dostęp i sprawia, że uprawnienia inspekcji są prostsze. Przypisywanie ról do grupy zamiast osób umożliwia łatwe dodawanie lub usuwanie użytkowników z roli i tworzenie spójnych uprawnień dla wszystkich członków grupy. Można również tworzyć role niestandardowe z określonymi uprawnieniami i przypisywać je do grup.

Dlaczego warto przypisywać role do grup?

Rozważmy przykład, w którym firma Contoso zatrudniła osoby w różnych lokalizacjach geograficznych, aby zarządzać hasłami i resetować je dla pracowników w swojej organizacji firmy Microsoft Entra. Zamiast prosić administratora ról uprzywilejowanych Administracja istratora lub globalnego Administracja istratora o przypisanie roli Administracja istratora pomocy technicznej do każdej osoby, może utworzyć grupę Contoso_Helpdesk_Administracja istratorów i przypisać rolę do grupy. Gdy osoby dołączają do grupy, są one przypisywane pośrednio do roli. Istniejący przepływ pracy nadzoru może następnie dbać o proces zatwierdzania i inspekcję członkostwa w grupie, aby upewnić się, że tylko wiarygodni użytkownicy są członkami grupy, a tym samym mają przypisaną rolę Administracja istrator pomocy technicznej.

Jak działają przypisania ról do grup

Aby przypisać rolę do grupy, musisz utworzyć nową grupę zabezpieczeń lub platformy Microsoft 365 z właściwością ustawioną isAssignableToRole na true. W centrum administracyjnym firmy Microsoft Entra można ustawić role Entra firmy Microsoft, które można przypisać do opcji grupy na Wartość Tak. Tak czy inaczej, możesz przypisać do grupy co najmniej jedną rolę firmy Microsoft w taki sam sposób, jak przypisywanie ról do użytkowników.

Ograniczenia dotyczące grup z możliwością przypisywania ról

Grupy z możliwością przypisywania ról mają następujące ograniczenia:

• Można ustawić isAssignableToRole tylko właściwość lub role Entra firmy Microsoft można przypisać do opcji grupy dla nowych grup.
• Właściwość isAssignableToRole jest niezmienna. Po utworzeniu grupy przy użyciu tego zestawu właściwości nie można jej zmienić.
• Nie można ustawić istniejącej grupy jako grupy z możliwością przypisania roli.
• W jednej organizacji firmy Microsoft Entra (dzierżawca) można utworzyć maksymalnie 500 grup z możliwością przypisywania ról.

Jak chronione są grupy z możliwością przypisywania ról?

Jeśli grupa ma przypisaną rolę, każdy administrator IT, który może zarządzać członkostwem w grupie, może również pośrednio zarządzać członkostwem tej roli. Załóżmy na przykład, że grupa o nazwie Contoso_User_Administracja istrators ma przypisaną rolę Administracja istrator użytkownika. Administrator programu Exchange, który może modyfikować członkostwo w grupie Contoso_User_Administracja istratorów, a w ten sposób staje się administratorem Administracja istratorem użytkowników. Jak widać, administrator może podnieść swoje uprawnienia w sposób, który nie zamierzał.

Do roli można przypisać tylko grupy, które mają isAssignableToRole właściwość ustawioną na true wartość w czasie tworzenia. Ta właściwość jest niezmienna. Po utworzeniu grupy przy użyciu tego zestawu właściwości nie można jej zmienić. Nie można ustawić właściwości w istniejącej grupie.

Grupy z możliwością przypisywania ról zostały zaprojektowane w celu zapobiegania potencjalnym naruszeniom, stosując następujące ograniczenia:

• Tylko globalne Administracja istratory i Administracja istratory ról uprzywilejowanych mogą tworzyć grupę z możliwością przypisywania ról.
• Typ członkostwa dla grup z możliwością przypisania ról musi być Przypisany i nie może być grupą dynamiczną Firmy Microsoft Entra. Zautomatyzowana populacja grup dynamicznych może prowadzić do dodania niechcianego konta do grupy, a tym samym przypisanego do roli.
• Domyślnie tylko administratorzy globalni Administracja i role uprzywilejowane Administracja istratory mogą zarządzać członkostwem grupy z możliwością przypisywania ról, ale można delegować zarządzanie grupami, które można przypisać do ról, dodając właścicieli grup.
• W przypadku programu Microsoft Graph uprawnienie RoleManagement.ReadWrite.Directory jest wymagane, aby móc zarządzać członkostwem grup z możliwością przypisywania ról. Uprawnienie Group.ReadWrite.All nie będzie działać.
• Aby zapobiec podwyższeniu uprawnień, tylko Administracja istrator uwierzytelniania uprzywilejowanego lub Administracja istrator globalny może zmienić poświadczenia lub zresetować uwierzytelnianie wieloskładnikowe lub zmodyfikować poufne atrybuty dla członków i właścicieli grupy z możliwością przypisania roli.
• Zagnieżdżanie grup nie jest obsługiwane. Nie można dodać grupy jako członka grupy z możliwością przypisywania ról.

Użyj usługi PIM, aby utworzyć grupę kwalifikującą się do przypisania roli

Jeśli nie chcesz, aby członkowie grupy mieli stały dostęp do roli, możesz użyć usługi Microsoft Entra Privileged Identity Management (PIM), aby utworzyć grupę kwalifikującą się do przypisania roli. Każdy członek grupy może następnie aktywować przypisanie roli przez określony czas.

Uwaga

W przypadku grup używanych do uzyskiwania uprawnień do ról firmy Microsoft Entra zalecamy wymaganie procesu zatwierdzania kwalifikujących się przypisań członków. Przypisania, które można aktywować bez zatwierdzenia, mogą pozostawić cię podatnym na ryzyko bezpieczeństwa ze strony mniej uprzywilejowanych administratorów. Na przykład Administracja istrator pomocy technicznej ma uprawnienia do resetowania haseł uprawnionych użytkowników.

Scenariusze nieobsługiwane

Następujące scenariusze nie są obsługiwane:

• Przypisz role entra firmy Microsoft (wbudowane lub niestandardowe) do grup lokalnych.

Znane problemy

Poniżej przedstawiono znane problemy z grupami z możliwością przypisywania ról:

• Tylko klienci z licencją Microsoft Entra ID P2: nawet po usunięciu grupy nadal jest wyświetlany uprawniony członek roli w interfejsie użytkownika usługi PIM. Funkcjonalnie nie ma problemu; jest to tylko problem z pamięcią podręczną w centrum administracyjnym firmy Microsoft Entra.
• Użyj nowego centrum administracyjnego programu Exchange dla przypisań ról za pośrednictwem członkostwa w grupie. Stare centrum administracyjne programu Exchange nie obsługuje tej funkcji. Jeśli wymagane jest uzyskanie dostępu do starego centrum administracyjnego programu Exchange, przypisz kwalifikującą się rolę bezpośrednio do użytkownika (a nie za pośrednictwem grup z możliwością przypisywania ról). Polecenia cmdlet programu Exchange PowerShell działają zgodnie z oczekiwaniami.
• Jeśli rola administratora jest przypisana do grupy z możliwością przypisania roli zamiast poszczególnych użytkowników, członkowie grupy nie będą mogli uzyskać dostępu do reguł, organizacji lub folderów publicznych w nowym centrum administracyjnym programu Exchange. Obejście polega na przypisaniu roli bezpośrednio do użytkowników zamiast do grupy.
• Portal usługi Azure Information Protection (portal klasyczny) nie rozpoznaje jeszcze członkostwa w rolach za pośrednictwem grupy. Możesz przeprowadzić migrację do ujednoliconej platformy etykietowania poufności, a następnie użyć portal zgodności Microsoft Purview do zarządzania rolami za pomocą przypisań grup.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji Microsoft Entra ID P1. Aktywacja roli just in time w usłudze Privileged Identity Management wymaga licencji Microsoft Entra ID P2. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.

Następne kroki

• Tworzenie grupy z możliwością przypisywania ról
• Przypisywanie ról usługi Microsoft Entra do grup