Роли и разрешения в Azure AD: Назначение и управление ролями для пользователей и групп. Являетесь ли вы администратором IT, который хочет узнать о ролях Azure AD и их значимости при назначении и управлении разрешениями для пользователей и групп?
Важно изучить каждый концепт, чтобы понять связь между ролями Azure AD, пользователями, группами и разрешениями.
Далее мы объясняем роли Azure AD, представляющие следующий уровень в отношении “роль-пользователь-группа-разрешение”.
Чтобы объединить все концепции, статья рассматривает, как пользователи и группы наследуют разрешения при назначении ролей.
Наконец, она предоставляет подробные инструкции о том, как назначить роли Azure AD пользователям или группам, используя различные методы.
Пользователи, группы и членства в группах Azure AD
Базовый уровень разрешения в Azure AD называется “Идентичность”, который включает все, что аутентифицировано. Примеры идентичности: пользователи с именами пользователя, паролями и приложениями или серверами, которым требуется аутентификация.
Эта статья фокусируется на Идентичности как на аутентифицированном пользователе.
Как только пользователь аутентифицируется, он получает доступ к ресурсам через авторизацию. Следовательно, пользователям необходимо разрешение для авторизации доступа к ресурсам.
При создании пользователя Azure AD автоматически предоставляет стандартные разрешения им.
Однако администратор назначает дополнительные разрешения пользователю, используя роль Azure AD. В качестве альтернативы разрешениям пользователей присваиваются, добавляя их в группу.
Считается хорошей практикой назначать разрешения пользователям через группу, а не напрямую пользователю.
Здесь в игру вступают группы в Azure Active Directory. В Azure AD группы управляют пользователями, которым требуется доступ к одним и тем же ресурсам.
После создания группы все пользователи, добавленные в нее, наследуют разрешения, назначенные ей через роли Azure AD.
Следует отметить, что существует 2 типа групп для управления разрешениями в Azure AD: группы безопасности и группы Microsoft 365.
Вы используете группу безопасности, чтобы назначать разрешения и роли ее участникам. Однако в процессе создания группы вам нужно установить ее как подходящую для назначения ролей.
После создания группы вы не можете изменить этот параметр.
В отличие от этого, группы Microsoft 365 предназначены для совместной работы. Участники группы Microsoft 365 получают доступ к общим почтовым ящикам, командам, файлам и другим ресурсам, поддерживающим совместную работу.
Роли и разрешения в Azure Active Directory
Контроль доступа на основе ролей (RBAC) составляет основу безопасности Azure AD . Прибл. 60 встроенных ролей используются для назначения и управления разрешениями.
Чтобы найти полный список этих ролей и их соответствующих разрешений, обратитесь к разделу «Все роли» на странице встроенных ролей Azure AD.
Кроме того, каждая роль имеет предопределенный набор разрешений. Чтобы назначить разрешения, связанные с ролью Azure AD, объекту, такому как пользователь или группа, вы должны назначить роль объекту.
Выполните это назначение либо на странице «Роль и администраторы» в портале Azure Active Directory, либо через узел «Назначенные роли» объекта Azure AD.
Роли могут быть прямо назначены пользователям или группам. Однако динамические группы позволяют автоматически назначать роли на основе определенных условий.
Отношения Между Ролями Azure AD и Разрешениями Групп
Группы управляют несколькими пользователями, которым требуется доступ к тем же ресурсам Azure AD. Однако у групп есть функциональные возможности, выходящие за рамки этого.
Группы используются для назначения лицензий и развертывания приложений их участникам. Кроме того, эти группы делегируют административные роли, за исключением глобального администратора Azure AD.
Найдите список административных ролей, которые вы делегируете с использованием групп.
Кроме того, используйте группы для назначения разрешений на сайты SharePoint или внешние приложения SaaS.
Помните, что назначение ролей группам требует наличия лицензии Azure AD Premium P1. Кроме того, выполнение этой задачи также требует роли «Привилегированный администратор ролей».
Кроме того, Azure предоставляет динамические группы, которые используются для назначения ролей.
Динамические группы автоматически назначают членство в группах пользователям, которые соответствуют динамическим критериям запроса, определенным для группы. Этот автоматизированный процесс существенно экономит административное время крупным организациям по сравнению с ручным назначением групп.
Как назначить роли Azure AD пользователям и группам
Следуйте одному из методов ниже, чтобы назначить роли Azure AD пользователям или группам.
Прежде всего войдите в портал Azure через portal.azure.com. Найдите и откройте «Azure Active Directory».
Метод 1 из 3: Назначение ролей пользователям или группам из интерфейса “Роли и администраторы”
Самый удобный способ назначить роли Azure AD – через интерфейс «Роли и администраторы» в портале Azure Active Directory.
Следуйте этим шагам:
1. В меню Azure Active Directory нажмите «Роли и администраторы».
2. Затем, после открытия страницы «Роли и администраторы», нажмите на роль Azure AD, которую вы хотите назначить и предоставить разрешения для Active Directory и групп. Чтобы быстрее найти роль, выполните поиск.
3. Нажмите «Добавить назначения» на странице назначений роли. На этой странице также перечислены все пользователи и группы, которым в настоящее время назначена эта роль.
4. После открытия страницы «Добавить назначения» нажмите ссылку «Не выбраны участники». Наконец, на странице «Выберите участника» выберите всех пользователей и группы, которым вы хотите назначить роль и нажмите Выбрать.
Обратите внимание, что выпадающее меню отображает только группы, которые могут быть назначены на роль.
Используйте функцию поиска для поиска пользователей и групп и избегайте прокрутки.
Также читайте Важность управления доступом на основе ролей в Azure AD
Метод 2 из 3: Назначение ролей Azure AD из пользовательского интерфейса
Другой метод назначения ролей Azure AD пользователям – открытие страницы портала Azure Active Directory пользователя. Вот шаги:
1. Нажмите меню «Пользователи» на портале Azure Active Directory. Затем выберите пользователя, нажав на него.
2. После открытия страницы пользователя нажмите «Назначенные роли». Затем нажмите «+ Добавить назначение».
3. Затем выберите роль Azure AD, от которой вы хотите, чтобы пользователь унаследовал ее разрешения из выпадающего списка “Выбрать роль”. После выбора роли нажмите “Далее”.
4. Наконец, если у вас есть лицензия на Управление привилегированными идентичностями (PIM), на последней странице отображается опция “Тип назначения”. Опция “Максимальная допустимая продолжительность” также доступна для PIM.
Выберите свои настройки и нажмите “Назначить”.
Метод 2 из 3: Назначение ролей Azure AD из интерфейса групп
Чтобы назначить роли Azure AD для назначаемых ролей групп, выполните следующие шаги:
1. Нажмите “Группы” на портале Azure Active Directory.
2. Azure AD перечисляет все группы. Однако вы можете назначать роли только группам, для которых включена эта функция.
Поэтому, чтобы увидеть группы, для которых включено назначение ролей, нажмите “Управление видом” и выберите “Изменить столбцы”.
3. Установите флажок “Разрешить назначение ролей” в выпадающем меню столбцов и нажмите «Сохранить». Вы также можете снять флажки с “Идентификатор объекта”, “Тип участия”, “Электронная почта” и “Источник”, чтобы уменьшить количество столбцов.
Эти столбцы установлены по умолчанию. Однако столбец “Разрешить назначение ролей” по умолчанию не установлен.
4. После включения отображения страницы, показывающей, можно ли назначить роль группе, выберите правильную группу.
Помните, что если вы откроете группу, для которой эта функция не была включена при ее создании, роли Azure AD не будут отображаться.
5. После открытия группы нажмите “Назначенные роли” в меню, затем нажмите “Добавить назначения”.
6. Выберите роль из выпадающего списка “Выбрать роль” и нажмите “Далее”. Наконец, выберите параметры назначения роли и нажмите Назначить.
Назначение ролей Azure AD через динамические группы
Кроме того, Azure AD позволяет использовать динамические группы для автоматического назначения ролей Azure AD пользователям.
Вот шаги по созданию динамической группы Azure AD, которая автоматически назначает роли своим участникам.
1. На странице Групп портала Azure Active Directory нажмите “Новая группа”.
2. Когда открывается страница “Новая группа”, назовите группу и выберите тип динамического назначения из выпадающего списка “Тип участия”. Выбор “Динамический пользователь” или “Динамическое устройство” отображает ссылку “Добавить динамический запрос”.
Убедитесь, что переключатель “Роли Azure AD могут быть назначены” включен.
3. Нажмите ссылку “Добавить динамический запрос”, чтобы создать динамический запрос, который автоматически добавляет пользователей в группу.
4. Как только откроется страница “Правила динамического участия”, нажмите “Изменить”, затем создайте свой запрос. Узнайте, как создавать динамические запросы для членства в группах.
5. На всплывающем окне “Изменить синтаксис правила” введите свое правило и нажмите ОК. Затем на странице динамического запроса участия нажмите “Сохранить”.
I built a simple rule that adds users to my group by user’s department.
6. Наконец, проверьте настройки на странице “Новая группа” и нажмите Создать.
Чтобы проверить, что ваше динамическое правило работает, откройте группу и нажмите меню “Участники”. Если ваше правило верное и некоторые пользователи соответствуют критериям, они должны быть динамически добавлены в качестве членов группы.
После создания динамической группы назначьте роли Azure AD этой группе. После выполнения этих шагов все пользователи, добавленные динамически в группу, автоматически наследуют разрешения, присвоенные ролям, назначенным группе.
Роли и разрешения Azure AD: Назначение и управление ролями для пользователей и групп Заключение
В заключение, в этой статье рассмотрены основные аспекты ролей и разрешений Azure AD. Особое внимание уделяется эффективному назначению и управлению ролями для пользователей и групп.
Мы объяснили понятия пользователей, групп и членства в группах Azure AD, подчеркнув их значение в назначении ролей. Мы также рассмотрели структуру ролей и разрешений в Azure Active Directory.
В статье акцентируется внимание на взаимосвязи между ролями Azure AD и разрешениями группы.
Кроме того, представлены 3 метода назначения ролей Azure AD пользователям и группам. Метод 1 предполагает использование интерфейса “Роли и администраторы”, а метод 2 – назначение ролей из интерфейсов пользователей и групп.
Мы также рассматривали использование членства в динамической группе как третий метод для назначения ролей AD Azure пользователям.
Понимая эти методы и используя возможности Azure AD, администраторы эффективно назначают и управляют ролями, чтобы обеспечить надлежащий доступ и разрешения для пользователей и групп внутри своих организаций.
Source:
https://infrasos.com/azure-ad-roles-and-permissions-assign-manage-roles-for-users-groups/