Использование групп Microsoft Entra для управления назначениями ролей

С помощью идентификатора Microsoft Entra ID P1 или P2 можно создать группы с возможностью назначения ролей и назначить роли Microsoft Entra этим группам. Эта функция упрощает управление ролями, обеспечивает согласованный доступ и упрощает аудит разрешений. Назначение ролей группе вместо отдельных лиц позволяет легко добавлять или удалять пользователей из роли и создавать согласованные разрешения для всех членов группы. Вы также можете создавать пользовательские роли с определенными разрешениями и назначать их группам.

Для чего назначать роли группам?

Рассмотрим пример, в котором компания Contoso наняла сотрудников по регионам для управления паролями и сброса паролей для сотрудников в своей организации Microsoft Entra. Вместо того, чтобы попросить администратора привилегированных ролей назначить роль администратора службы поддержки каждому пользователю по отдельности, они могут создать группу Contoso_Helpdesk_Administrators и назначить роль группе. Когда пользователи присоединяются к этой группе, им косвенно назначается роль. Затем в существующем рабочем процессе управления можно реализовать процесс утверждения и аудит членства в группе, чтобы гарантировать, что только уполномоченные пользователи являются членами группы и, следовательно, получают назначение роли администратора службы поддержки.

Как работают назначения ролей для групп

Чтобы назначить роль группе, необходимо создать группу безопасности или группу Microsoft 365, свойству isAssignableToRole которой присвоено значение true. В Центре администрирования Microsoft Entra можно назначить роли Microsoft Entra параметру "Да". В любом случае можно назначить одну или несколько ролей Microsoft Entra группе так же, как и назначение ролей пользователям.

Снимок экрана: страница

Ограничения для групп с назначениями ролей

Группы с назначениями ролей имеют следующие ограничения:

  • Можно задать isAssignableToRole только свойство или роли Microsoft Entra можно назначить параметру группы для новых групп.
  • Свойство isAssignableToRole является неизменяемым. После создания группы, для которой задано это свойство, изменить его значение невозможно.
  • Невозможно сделать существующую группу группой с назначением ролей.
  • В одной организации Microsoft Entra (клиент) можно создать не более 500 групп с возможностью назначения ролей.

Как защищаются группы с назначениями ролей?

Если группе назначена роль, любой ИТ-администратор, который может управлять динамическими группами членства, также может косвенно управлять членством в этой роли. Предположим, что группе Contoso_User_Administrators назначена роль администратора учетных записей пользователя. Администратор Exchange, который может изменить динамические группы членства, может добавить себя в группу Contoso_User_Administrators и таким образом стать администратором пользователей. Как видно, администратор может повысить свои привилегии таким образом, чтобы вы не собирались.

Роль могут назначаться только группам, для свойства isAssignableToRole которых при их создании было задано значение true. Это свойство является неизменяемым. После создания группы, для которой задано это свойство, изменить его значение невозможно. Невозможно задать это свойство для существующей группы.

Группы с назначениями ролей предназначены для предотвращения потенциальных нарушений за счет следующих ограничений:

  • Для создания группы, назначаемой ролью администратора привилегированных ролей, необходимо назначить по крайней мере роль администратора привилегированных ролей.
  • Тип членства для групп, назначаемых ролем, должен быть назначен и не может быть динамической группой Microsoft Entra. Автоматическое заполнение динамических групп членства может привести к добавлению нежелательной учетной записи в группу и, таким образом, назначенной роли.
  • По умолчанию администраторы привилегированных ролей могут управлять членством в группе, назначаемой ролями, но вы можете делегировать управление группами, назначаемыми ролями, добавив владельцев групп.
  • Для Microsoft Graph разрешение RoleManagement.ReadWrite.Directory требуется для управления членством в группах, назначаемых ролем. Разрешение Group.ReadWrite.All не будет работать.
  • Чтобы предотвратить повышение привилегий, необходимо назначить по крайней мере роль администратора привилегированной проверки подлинности, чтобы изменить учетные данные или сбросить MFA или изменить конфиденциальные атрибуты для членов и владельцев группы, назначаемой ролями.
  • Вложенные группы не поддерживаются. Невозможно добавить группу в качестве члена группы с назначением ролей.

Используйте PIM, чтобы сделать группу доступной для назначения ролей.

Если вы не хотите, чтобы члены группы имели постоянный доступ к роли, вы можете использовать Microsoft Entra управление привилегированными пользователями (PIM), чтобы сделать группу правой на назначение ролей. Затем каждый член группы сможет активировать назначение роли на фиксированный период времени.

Примечание.

Для групп, используемых для повышения привилегий в роли Microsoft Entra, рекомендуется требовать процесс утверждения для соответствующих назначений участников. Назначения, которые могут быть активированы без утверждения, создают риск нарушения безопасности менее привилегированным администратором. Например, у администратора службы поддержки есть разрешение на сброс паролей разрешенных пользователей.

Неподдерживаемые сценарии

Не поддерживаются следующие сценарии:

  • Назначение ролей Microsoft Entra (встроенных или настраиваемых) локальным группам.

Известные проблемы

Ниже перечислены известные проблемы, возникающие при работе с группами с назначениями ролей.

  • Только пользователи с лицензией идентификатора Microsoft Entra ID P2: даже после удаления группы он по-прежнему отображается подходящий участник роли в пользовательском интерфейсе PIM. Функционально нет проблем; Это просто проблема с кэшем в Центре администрирования Microsoft Entra.
  • Используйте новый центр администрирования Exchange для назначений ролей с помощью динамических групп членства. Прежний Центр администрирования Exchange не поддерживает эту функцию. Если требуется доступ к старому Центру администрирования Exchange, назначьте соответствующую роль непосредственно пользователю (а не через группы с назначением роли). Командлеты Exchange PowerShell работают должным образом.
  • Если роль администратора назначена группе с назначением роли, а не отдельным пользователям, участники этой группы не смогут получить доступ к разделам правил, организации или общедоступных папок в новом Центре администрирования Exchange. Обходное решение заключается в назначении роли непосредственно пользователям, а не группе.
  • Портал Azure Information Protection (классический портал) еще не распознает членство в роли посредством группы. Вы можете перейти на единую платформу меток конфиденциальности, а затем использовать Портал соответствия требованиям Microsoft Purview для управления ролями с помощью назначений групп.

Требования к лицензиям

Для использования этой функции требуется лицензия Microsoft Entra ID уровня P1. Для активации роли управление привилегированными пользователями требуется лицензия Microsoft Entra ID P2. Чтобы подобрать лицензию под свои требования, ознакомьтесь с разделом Сравнение общедоступных функций выпусков Free и Premium.

Следующие шаги