Типы групп Azure AD объяснены – Группы безопасности / Microsoft 365. Текущие версии Microsoft Azure и Microsoft 365 являются результатом многолетнего технологического развития, направленного на обеспечение беспрепятственного опыта для своих клиентов. Поэтому Microsoft создала функцию групп для предоставления пользователям возможности управлять ресурсами. Однако это привело к созданию множества типов объектов, например, групп безопасности Microsoft 365 и групп безопасности Azure Active Directory. Давайте начнем эту статью в блоге о типах групп Azure AD, объясненных – Группы безопасности / Microsoft 365.
Часто различие между этими двумя не является ясным для пользователей, и пользователи не всегда уверены, к какой группе им следует присоединиться для выполнения конкретной задачи. Однако в этой статье я собираюсь прояснить ситуацию и предоставить вам информацию, которая поможет вам выбрать, когда решаете, какую из двух использовать.
Также прочитайте Развертывание решения мониторинга Azure AD
Что такое группы Microsoft 365?
В основном, Microsoft 365 создан с целью облегчить сотрудничество его пользователей. Поэтому группы Microsoft 365 созданы с этим в виду. Они обеспечивают безупречный опыт совместной работы для пользователей. Эти группы позволяют пользователям выбирать набор людей, с которыми они хотели бы сотрудничать, а затем настроить пул ресурсов, которыми они будут пользоваться.
При использовании групп безопасности Microsoft 365 вы предоставляете единый доступ к набору ресурсов для определенного набора пользователей. В целом, Outlook, Skype для бизнеса, Planner, SharePoint, OneNote, Power BI и Dynamics CRM могут все получить выгоду от унифицированного набора разрешений благодаря им. Даже есть возможность приглашать пользователей извне вашей компании, используя группы безопасности Microsoft 365.
Что такое группы безопасности Azure AD?
Сначала, группы безопасности Azure функционируют аналогично группам безопасности на месте работы с сервером Active Directory. Вы создаёте их, синхронизируя с Windows AD с помощью Azure AD Connect или создавая непосредственно в Azure AD. Они имеют статические опции членства, или вы можете использовать правила для определения членства. Кроме того, группы безопасности AD также пригодны для управления объектами в Azure AD.
Каждому человеку в группе предоставляется доступ к ресурсам SharePoint, или всей группе может быть предоставлена лицензия. Вам не нужно давать разрешения вручную каждому участнику группы безопасности. Вместо этого вы применяете политику безопасности ко всей группе, чтобы предоставить всем необходимые разрешения.
Важно отметить, что хотя в группу безопасности включаются пользователи, устройства, другие группы, и даже служебные принципалы, в группу Microsoft 365 входят только пользователи.
Категории членства
Хорошо, прежде чем углубляться дальше, давайте объясним типы членств Azure, доступные для этих групп. Существует 3 типа членств для этих групп: назначаемые, динамические пользователи и динамические устройства.
- Назначаемые: Он предоставляет вам возможность добавлять пользователей в группу и присваивать им уникальные разрешения.
- Динамический пользователь: Он предоставляет вам возможность автоматически добавлять и удалять пользователей с использованием правил динамического членства. Для этого система проверяет ваши динамические правила группы для каталога, чтобы увидеть, соответствует ли член правилам требований (добавлен) или больше не соответствует (удален).
- Динамическое устройство: Он предоставляет вам возможность автоматически добавлять и удалять устройства с использованием правил группы. Для этого система проверяет правила динамической группы вашего каталога, если свойства устройства меняются, чтобы увидеть, соответствуют ли они требованиям правила (устройство добавлено) или нет (устройство удалено).
Как назначаются права доступа
Следующим шагом после создания группы является определение прав доступа. Существуют четыре способа назначения прав доступа: прямое назначение, назначение группы, назначение внешним источником и назначение на основе правил.
Прямое назначение: Здесь владелец ресурса непосредственно назначает пользователя.
Назначение группы: Владелец ресурса назначает группу Azure AD ресурсу, что автоматически предоставляет всем членам группы доступ. Владелец группы и владелец ресурса имеют возможность добавлять или удалять членов.
Назначение внешним источником: В этом случае учетные записи внутри организации или приложения SaaS предоставляют доступ. Владелец ресурса назначает группу для предоставления доступа к ресурсу, а внешний источник управляет членами группы.
Назначение на основе правил. Владелец ресурса создает группу и использует правило для назначения пользователей ресурсам. Атрибуты пользователей определяют правила. В этом случае владелец ресурса решает, какие атрибуты и значения требуются для доступа к ресурсу.
Также читайте Начните использовать отчеты Office 365 Group
Различия в их управлении
Кто управляет этими группами?
Группы безопасности Azure AD
Когда речь идет о группах безопасности Azure AD, существует несколько групп пользователей, которые управляют этими группами. Эти группы пользователей включают администраторов групп, администраторов пользователей, администраторов привилегированных ролей и глобальных администраторов. Стоит отметить, что эти группы, синхронизированные из локального AD Windows, не могут быть управляемы в Azure AD. Вы управляете этими группами только с помощью инструментов локальной сети, например, компьютеров и пользователей Active Directory. Прежде всего, Azure ADConnect пригодится в таких случаях, поскольку он будет синхронизировать любые изменения, внесенные в Azure AD.
Как насчет групп Microsoft 365?
В группах Microsoft 365 владельцы групп имеют возможность контролировать членство в группе в любом из приложений, поддерживаемых группой. Например, владелец группы может добавить участника в группу из приложения Teams, Outlook, Outlook Online или самого сайта SharePoint.
Любые изменения в группе, выполненные в одном приложении, автоматически синхронизируются в остальных приложениях, которые поддерживает группа.
Важно отметить, что опыт использования различных приложений для управления отличается. Так, владельцу может потребоваться использовать определенное приложение для выполнения определенной задачи. Например, если вы хотите обновить настройки конфиденциальности для группы, вам потребуется воспользоваться Outlook или Outlook Online. Это связано с тем, что SharePoint не позволяет изменять эту настройку.
Пользователи с соответствующими административными ролями также создают Группы Microsoft 365 через портал Azure и PowerShell. Кроме того, эти администраторы также могут контролировать настройки и членство в группах с использованием тех же интерфейсов.
Далее, с объяснением типов групп Azure AD – Безопасность / Группы Microsoft 365, мы объясним, как управляются группы.
Также читайте Развертывание отчетов о пользователях Office 365
Как управляются группы?
Группы безопасности Azure AD
Кроме того, в Azure есть хорошо документированные API, которые предоставляют пользователям широкий спектр способов управления этими группами. С графическим пользовательским интерфейсом портал Azure является основным средством управления этими ресурсами. Пользователи с соответствующими разрешениями редактируют, создают, просматривают и удаляют Azure AD Безопасность Группы с использованием портала Azure.
Группы безопасности Azure Active Directory также можно управлять с помощью PowerShell с использованием модуля Azure AD. Однако для этого модуля требуется хост Windows PowerShell 5.x, поскольку он несовместим с .Net Core.
Группы Microsoft 365
Группы Microsoft 365 создаются из множества различных приложений, включая Outlook, Outlook в Интернете, Outlook Mobile, SharePoint, Planner, Teams и многие другие. Какую именно инструментальную программу использовать для создания этих групп, в основном зависит от того, для чего вы хотите использовать группу.
Например, Outlook является предпочтительным вариантом для создания группы, если вам нужно создать группу по электронной почте и календарю для всего офиса. Группы Yammer являются лучшим вариантом, если вам нужно разослать информацию всем в рабочем месте. Я также рекомендую использовать Microsoft Teams, если вы хотите создать групповой проект на основе чата.
Когда дело доходит до доступности, группы могут быть либо приватными, либо публичными. Решать, будет ли группа доступна публично или останется приватной, зависит от владельца группы. Любой пользователь может просматривать содержимое публичной группы и присоединиться к ней. В приватной группе только члены могут просматривать контент, и новые члены должны быть одобрены администратором группы.
Важно отметить, что за исключением приглашенных гостей, ни публичные, ни приватные группы не предоставляют доступ людям, находящимся за пределами вашей организации.
Также читайте Попробуйте инструмент управления Office 365
Различия в их использовании
Группы безопасности Azure AD
Важно отметить, что группы безопасности Azure AD редко используются в Microsoft 365. Однако, когда они используются, они используются для назначения групповых лицензий пользователям. Это часто бывает полезно при автоматизации лицензирования Microsoft 365 во время набора. Другой момент использования – с группами SharePoint.
В основном, группы SharePoint могут добавить группы безопасности Azure AD для доступа к ресурсам SharePoint. Однако это считается рискованным, поскольку администраторы и владельцы сайта SharePoint не имеют знания о том, кто может получить доступ к сайту или кто является членом группы безопасности Azure AD.
Группы Microsoft 365
Очевидно, что Microsoft позиционирует группы Microsoft 365 как будущее разрешения ресурсов. Группы Microsoft 365 имеют уникальное преимущество, позволяющее пользователям Microsoft 365 использовать весь набор приложений Microsoft 365 с минимальным администрированием.
Они дают владельцам групп четкое представление о том, что делает их группа. Группы Microsoft 365, в двух словах, обеспечивают безопасность и управление файлами SharePoint, совместной работой Teams в реальном времени и обсуждениями электронной почты Exchange.
Спасибо за чтение статьи “Объяснение типов групп Azure AD – Безопасность / Группы Microsoft 365”. Мы завершим эту статью сейчас.
Также читайте Использование решения для отчетности Office 365
Типы групп Azure AD – Безопасность / Группы Microsoft 365 Заключение
На протяжении длительного времени, Microsoft 365 и группы безопасности Azure AD были необходимыми инструментами для пользователей Microsoft. Эти группы имеют различные функции, методы управления и ограничения в их использовании. Поэтому всегда рекомендуется знать их различия перед использованием.
Хотя очевидно, что Microsoft хочет, чтобы пользователи перешли к группам Office 365 групп для управления ресурсами в своих приложениях, знание Azure AD групп безопасности также может пригодиться в ситуациях, когда их использование считается необходимым.
Source:
https://infrasos.com/azure-ad-group-types-explained-security-microsoft-365-groups/