阐述Azure AD群组类型 – 安全 / Microsoft 365群组。微软当前的版本Azure 和 Microsoft 365 是多年技术发展的结果,旨在为客户提供无缝体验。因此,微软创建了群组功能,以便让用户管理资源。然而,这导致了许多对象类型的创建,例如Microsoft 365和Azure Active Directory 安全 群组。
我们是否开始撰写关于Azure AD群组类型 – 安全 / Microsoft 365群组的文章博客。
通常,用户对这两者之间的区别并不清楚,用户并不总是确定在特定任务中应该选择哪个组。然而,在这篇文章中,我旨在澄清事情并为您提供信息,指导您在决定应该使用哪一个时的选择。
另请阅读 部署Azure AD监控解决方案
什么是Microsoft 365群组?
首先,Microsoft 365的建立目标是让用户更轻松地共同工作。因此,Microsoft 365群组就是以此为目标建立的。它们确保用户能够无缝地进行协作体验。这些群组使用户能够选择一组希望与之合作的人,然后建立一个共享资源池。
使用Microsoft 365安全组,您为指定的一组用户统一授予一组资源的访问权限。总的来说,Outlook、Skype for Business、Planner、SharePoint、OneNote、Power BI 和 Dynamics CRM 可能都会因为这些而受益于统一的权限设置。甚至可以选择使用Microsoft 365安全组邀请来自公司外部的用户。
什么是 Azure AD 安全组?
首先,Azure 安全组的功能类似于本地 Active Directory 安全组。您可以通过使用 Azure AD Connect 从 Windows AD 进行同步创建它们,也可以在 Azure AD 中本地生成它们。它们具有静态成员选项,或者您可以使用规则来定义它们的成员资格。此外,AD 安全组在管理 Azure AD 中的对象时也非常有用。
组中的每个人都可以访问 SharePoint 资源,或者整个组可以被授予许可证。 您不必手动为 安全 组的每个成员授予权限。相反,您可以将安全策略应用于整个组,以便为每个人提供所需的权限。
这里需要注意的一个重要点是,安全组包括用户、设备、其他组,甚至服务主体作为成员,而 Microsoft 365 组仅包括用户。
会员类别
好的,在深入探讨之前,我们先来阐述一下Azure会员资格允许这些群体的类型。这些群体有3种类型的会员资格:分配的、动态用户和动态设备。
- 分配的:它使您能够将用户添加到一个组,并为他们分配独特的权限。
- 动态用户:它使您能够使用动态会员规则自动添加和删除用户。为此,系统会检查您的目录的动态组规则,看成员是否符合规则要求(被添加)或不再符合(被删除)。
- 动态设备:它使您能够使用组规则自动添加和删除设备。为此,系统会检查您的目录的动态组规则,看设备的属性是否发生变化,看它们是否符合规则要求(设备被添加)或不符合(设备被删除)。
访问权限是如何分配的
管理方式的不同
谁来管理这些群组?
Azure AD 安全群组
谈到 Azure AD 安全群组,有几组用户来管理这些群组。这些用户组包括群组管理员、用户管理员、特权角色管理员和全局管理员。值得注意的是,从本地 Windows AD 同步的这些群组无法在 Azure AD 中进行管理。你只能通过本地工具,例如计算机和 Active Directory 用户,来管理这些群组。总的来说,在这些情况下,Azure ADConnect 很方便,因为它会同步对 Azure AD 所做的任何更改。
那么,Microsoft 365 群组呢?
在 Microsoft 365 群组中,群组所有者有权利控制群组成员在群组支持的任何应用程序中的成员资格。例如,群组所有者可以从 Teams 应用程序、Outlook、Outlook 在线版或 SharePoint 站点本身将成员添加到群组中。
在一个应用程序中对群组进行的任何修改都将自动同步到群组支持的其他应用程序中。
值得注意的是,由于使用不同应用程序进行管理的体验不同。因此,群组所有者可能需要使用特定的应用程序来完成特定的任务。例如,如果您想要更新群组的隐私设置,您将需要使用 Outlook 或 Outlook 在线版。这是因为 SharePoint 不允许修改此设置。
拥有适当管理角色的用户也可以创建Microsoft 365组通过Azure门户和PowerShell。此外,这些管理员用户还可以使用相同的界面控制组的设置和成员资格。
接下来,在Azure AD组类型解释-安全/Microsoft 365组中,我们将解释如何管理这些组。
另请阅读部署Office 365用户报告
如何管理组?
Azure AD安全组
此外,Azure拥有良好且文档齐全的API,为用户提供了多种管理这些组的方式。通过图形用户界面,Azure门户是管理这些资源的首选。具有适当权限的用户可以使用Azure门户编辑、创建、查看和删除Azure AD安全组。
Azure Active Directory安全组也可以通过PowerShell使用Azure AD模块进行管理。但是,由于该模块与.Net Core不兼容,因此需要Windows PowerShell 5.x主机。
Microsoft 365组
Microsoft 365 Groups可以从多个不同的应用程序中创建,包括Outlook、Outlook网页版、Outlook移动版、SharePoint、Planner、Teams等。您使用哪种工具来创建这些组主要取决于您打算如何使用该组。
例如,如果您需要创建一个基于办公室范围的电子邮件和日历的组,Outlook是您的首选。如果您需要在工作中向所有人传达信息,Yammer组是最佳选择。如果您想创建一个基于聊天的组项目,我也建议使用Microsoft Teams。
在谈到可用性时,群组分为私有或公开。群组的拥有者可以决定群组是公开可访问还是保持私有。任何用户都可以查看公开群组的内容并加入群组。在私有群组中,只有成员可以查看内容,新成员必须得到群组管理员的批准。
需要注意的是,除了受邀的客人外,无论是公开还是私有群组,都不允许组织外部的人访问。
它们的使用差异
Azure AD安全群组
重要的是,Azure AD安全群组在Microsoft365中很少使用。然而,当它们被使用时,它们被用来为用户分配基于群组的许可证。这在需要自动化Microsoft365许可证 在入职期间非常有用。另一个使用点是与SharePoint群组。
基本上,SharePoint组可以将Azure AD安全组添加到SharePoint资源中以进行访问。然而,这被认为是危险的,因为SharePoint站点的管理员和所有者并不知道谁可以访问站点或谁是Azure AD安全组的成员。
Microsoft 365 Groups
很明显,微软正在将Microsoft 365组定位为未来资源权限的解决方案。Microsoft 365组具有独特的优势,允许Microsoft 365用户以最少的管理使用整个Microsoft 365套件应用程序。
它们为组所有者提供了一个清晰的视角,以便查看他们的组正在做什么。简而言之,Microsoft 365组确保和管理SharePoint文件、Teams实时协作和Exchange电子邮件讨论。
感谢您阅读Azure AD组类型解释 – 安全/Microsoft 365组。我们现在将结束这篇文章。
Azure AD组类型 – 安全/Microsoft 365组结论
长期以来,Microsoft 365和Azure AD安全组一直是Microsoft用户的必要工具。这些组具有不同的功能、管理方法和使用上的限制。因此,在使用它们之前,始终建议了解它们之间的区别。
虽然很明显Microsoft希望用户过渡到Office 365组以在应用程序中管理资源,但在某些情况下,了解Azure AD安全组的使用也可能派上用场。
Source:
https://infrasos.com/azure-ad-group-types-explained-security-microsoft-365-groups/