Управление доступом к приложениям и ресурсам с помощью групп Azure Active DirectoryManage app and resource access using Azure Active Directory groups

Azure Active Directory (Azure AD) помогает управлять облачными приложениями, локальными приложениями и ресурсами с помощью корпоративных групп.Azure Active Directory (Azure AD) helps you to manage your cloud-based apps, on-premises apps, and your resources using your organization's groups. Ваши ресурсы могут как относиться к каталогу, например разрешения на управление объектами с помощью ролей в каталоге, так и не относиться, например приложения SaaS, службы Azure, сайты SharePoint и локальные ресурсы.Your resources can be part of the directory, such as permissions to manage objects through roles in the directory, or external to the directory, such as for Software as a Service (SaaS) apps, Azure services, SharePoint sites, and on-premises resources.

Примечание

Чтобы использовать Azure Active Directory, необходима учетная запись Azure.To use Azure Active Directory, you need an Azure account. Если у вас нет учетной записи, вы можете зарегистрироваться для получения бесплатной учетной записи Azure.If you don't have an account, you can sign up for a free Azure account.

Как работает управление доступом в Azure AD?How does access management in Azure AD work?

Azure AD позволяет предоставлять доступ к корпоративным ресурсам, предоставляя права доступа одному пользователю или группе Azure AD.Azure AD helps you give access to your organization's resources by providing access rights to a single user or to an entire Azure AD group. Используя группы, владелец ресурса (или владелец каталога Azure AD) может назначить набор разрешений на доступ всем членам группы, а не предоставлять права по-отдельности.Using groups lets the resource owner (or Azure AD directory owner), assign a set of access permissions to all the members of the group, instead of having to provide the rights one-by-one. Владелец ресурса или каталога может также предоставить права на управление списком членов кому-либо другому, например руководителю отдела или администратору службы технической поддержки, позволяя этому лицу добавлять и удалять участников по мере необходимости.The resource or directory owner can also give management rights for the member list to someone else, such as a department manager or a Helpdesk administrator, letting that person add and remove members, as needed. См. дополнительные сведения о том, как управлять владельцами групп.For more information about how to manage group owners, see Manage group owners

Схема управления доступом Azure Active Directory

Способы назначения прав доступаWays to assign access rights

Существует четыре способа назначить пользователям права доступа к ресурсу:There are four ways to assign resource access rights to your users:

  • Прямое назначение.Direct assignment. Владелец ресурса непосредственно назначает пользователя ресурсу.The resource owner directly assigns the user to the resource.

  • Назначение группы.Group assignment. Владелец ресурса назначает ресурсу группу Azure AD, которая автоматически предоставляет всем своим членам доступ к этому ресурсу.The resource owner assigns an Azure AD group to the resource, which automatically gives all of the group members access to the resource. Членством в группе управляют как владелец группы, так и владелец ресурса, что позволяет каждому из них добавлять и удалять членов группы.Group membership is managed by both the group owner and the resource owner, letting either owner add or remove members from the group. Дополнительные сведения о добавлении и удалении членства в группе см. в разделе Практическое руководство. Добавление или удаление группы из другой группы в Azure Active Directory.For more information about adding or removing group membership, see How to: Add or remove a group from another group using the Azure Active Directory portal.

  • Назначение на основе правил.Rule-based assignment. Владелец ресурса создает группу и с помощью правила определяет, какие пользователи назначены определенному ресурсу.The resource owner creates a group and uses a rule to define which users are assigned to a specific resource. Правило основывается на атрибутах, назначенных отдельным пользователям.The rule is based on attributes that are assigned to individual users. Владелец ресурса управляет правилом, определяя, какие атрибуты и значения необходимы для предоставления доступа к ресурсу.The resource owner manages the rule, determining which attributes and values are required to allow access the resource. Дополнительные сведения см. в руководстве по созданию динамической группы и проверке состояния.For more information, see Create a dynamic group and check status.

    Вы также можете посмотреть этот короткий видеоролик с описанием создания и использования динамических групп:You can also Watch this short video for a quick explanation about creating and using dynamic groups:

  • Назначение внешним источником.External authority assignment. Доступ предоставляется внешним источником, таким как локальный каталог или приложение SaaS.Access comes from an external source, such as an on-premises directory or a SaaS app. В этой ситуации владелец ресурса назначает группу для предоставления доступа к ресурсу, а членами группы управляет внешний источник.In this situation, the resource owner assigns a group to provide access to the resource and then the external source manages the group members.

    Обзор схемы управления доступом

Могут ли пользователи присоединяться к группам без назначения?Can users join groups without being assigned?

Владелец группы может разрешить пользователям самим находить группы для присоединения, а не назначать их.The group owner can let users find their own groups to join, instead of assigning them. Также владелец может настроить для группы автоматически включать всех пользователей, которые присоединяются или запрашивают утверждение.The owner can also set up the group to automatically accept all users that join or to require approval.

Когда пользователь захочет присоединиться к группе, запрос будет перенаправлен владельцу группы.After a user requests to join a group, the request is forwarded to the group owner. Если это необходимо, владелец может утвердить запрос, и пользователь будет уведомлен о членстве в группе.If it's required, the owner can approve the request and the user is notified of the group membership. Но если при наличии нескольких владельцев один из них отклонит запрос, пользователь будет уведомлен, но не добавлен в группу.However, if you have multiple owners and one of them disapproves, the user is notified, but isn't added to the group. См. дополнительные сведения в руководстве по настройке Azure AD для самостоятельного изменения членства в группах пользователями.For more information and instructions about how to let your users request to join groups, see Set up Azure AD so users can request to join groups

Дальнейшие действияNext steps

Теперь, когда вы ознакомились с управлением доступом с помощью групп, можно начать управление собственными ресурсами и приложениями.Now that you have a bit of an introduction to access management using groups, you start to manage your resources and apps.