Azure AD 群組類型解釋 – 安全 / Microsoft 365 群組。Microsoft 目前的版本是多年技術發展的結果,旨在為客戶提供無縫的體驗。因此,Microsoft 創建了群組功能,以便給用戶管理資源的能力。然而,這導致了許多對象類型的創建,例如 Microsoft 365 和Azure 和 Microsoft 365,例如 Microsoft 365 和Azure Active Directory 安全群組。
我們應該開始這篇有關 Azure AD 群組類型解釋 – 安全 / Microsoft 365 群組的文章博客嗎?
通常,這兩者之間的區別對用戶來說並不清楚,用戶並不總是確定在特定任務中應該選擇哪一組。然而,在本文中,我旨在澄清事情並為您提供指南,以幫助您在決定應該使用其中之一時做出選擇。
同樣閱讀 部署 Azure AD 監視解決方案
什麼是 Microsoft 365 群組?
主要地,Microsoft 365是為了讓用戶更容易共同工作而建立的。因此,Microsoft 365 群組是基於這一目標而建立的。它們確保用戶可以無縫地協作。這些群組使用戶可以選擇一組人與他們進行協作,然後設置一個共享資源池。
使用 Microsoft 365 安全群組時,您為一組指定的使用者授予對一組資源的統一存取權。總的來說,Outlook、Skype for Business、Planner、SharePoint、OneNote、Power BI 和 Dynamics CRM 都可以受益於這些統一的權限設置。甚至可以使用 Microsoft 365 安全群組邀請公司外的使用者。
什麼是 Azure AD 安全群組?
首先,Azure 安全組的功能類似於本地 Active Directory 安全組。您可以通過使用 Azure AD Connect 將它們與 Windows AD 同步,或者在 Azure AD 中原生生成它們。它們具有靜態成員選項,或者您可以使用規則來定義其成員資格。此外,AD 安全組在管理 Azure AD 中的對象時也非常有用。
組中的每個人都可以訪問 SharePoint 資源,或者整個組可以被授予許可證。 您無需手動為每個 安全 組成員授予權限。相反,您將安全策略應用於整個組,以授予每個人所需的權限。
這裡需要注意的一個重要點是,安全組包含使用者、設備、其他組,甚至服務主體作為成員,而 Microsoft 365 群組僅包含使用者。
會員類別
在深入探討之前,讓我們先闡述Azure會員允許的這些群組的類型。這些群組有3種會員類型:指派、動態使用者、動態會員。
- 指派:它讓您有能力將使用者加入群組並賦予他們獨特的權限。
- 動態使用者:它讓您有能力使用動態會員規則自動加入和移除使用者。為此,系統會檢查您的動態群組規則,以查看成員是否符合規則要求(被加入)或不再符合(被移除)。
- 動態裝置:它讓您有能力使用群組規則自動加入和移除裝置。為此,系統會檢查您的目錄動態群組規則,如果裝置的屬性變更,以查看它們是否符合規則要求(裝置被加入)或不符合(裝置被移除)。
存取權限的指派方式
在創建群組後的下一步是決定訪問權限。有四種分配訪問權限的方法:直接分配、群組分配、由外部權威分配以及基於規則的分配。
直接分配:在這裡,資源擁有者直接分配給用戶。
群組分配:資源擁有者將一個Azure AD群組分配給資源,這將自動授予所有群組成員訪問權限。群組擁有者和資源擁有者有能力添加或移除成員。
由外部權威分配:在這種情況下,本地目錄或SaaS應用程序提供訪問權限。資源擁有者分配一個群組來提供資源的訪問權限,外部來源管理群組成員。
基於規則的分配。資源擁有者創建一個群組並使用規則將用戶分配到資源上。用戶屬性確定了規則。在這種情況下,資源擁有者決定了訪問資源所需的屬性和值。
管理上的差異
誰來管理這些群組?
Azure AD 安全群組
談到 Azure AD 安全群組時,有幾個群組的使用者負責管理這些群組。這些使用者包括群組管理員、使用者管理員、特權角色管理員和全域管理員。值得一提的是,從本地 Windows AD 同步的這些群組無法在 Azure AD 中進行管理。您只能通過使用本地工具,例如電腦和 Active Directory 使用者 來管理這些群組。最重要的是,在這些情況下,Azure ADConnect 很方便,因為它將同步對 Azure AD 所做的任何更改。
那麼 Microsoft 365 群組呢?
在Microsoft 365群組中,群組擁有者有能力控制群組成員在群組支援的任何應用程式中的成員資格。例如,群組擁有者可以從Teams應用程式、Outlook、Outlook Online或SharePoint網站本身將成員添加到群組中。
在一個應用程式中對群組所做的任何修改都將自動同步到群組支援的其餘應用程式中。
需要注意的是,由於使用不同應用程式的管理體驗不同,因此擁有者可能需要使用特定的應用程式來完成特定的任務。例如,如果您想要更新群組的隱私設定,您將需要使用Outlook或Outlook online。這是因為SharePoint不允許修改此設置。
擁有適當管理角色的用戶也可以創建Microsoft 365群組通過Azure入口網站和PowerShell。此外,這些管理員用戶還可以使用相同的界面來控制群組的設置和成員資格。
接下來,在Azure AD群組類型解釋-安全/Microsoft 365群組中,我們將解釋群組是如何管理的。
也請閱讀部署Office 365用戶報告
群組是如何管理的?
Azure AD安全群組
此外,Azure擁有良好且詳細記錄的API,這些API為用戶提供了廣泛的管理這些群組的方式。使用圖形用戶界面,Azure入口網站是管理這些資源的首選。具有適當權限的用戶可以使用Azure入口網站編輯、創建、查看和刪除Azure AD安全群組。
Azure Active Directory 安全性群組也可以透過PowerShell使用Azure AD模組來管理。然而,由於此模組與.Net Core不相容,因此需要Windows PowerShell 5.x主機才能使用此模組。
Microsoft 365群組
Microsoft 365 Groups可以從許多不同的應用程式中建立,包括Outlook、Outlook網頁版、Outlook行動版、SharePoint、Planner、Teams等等。您使用哪種工具來建立這些群組,主要取決於您打算如何使用該群組。
例如,如果您需要建立一個基於辦公室範圍內電子郵件和行事曆的群組,Outlook是您的首選。如果您需要在整個工作場所中傳達訊息,Yammer群組是最好的選擇。如果您想要建立一個基於聊天的小組專案,我也建議使用Microsoft Teams。
談到可用性,群組可分為私人或公開。群組的擁有者有權決定群組是對公眾開放還是保持私密。任何用戶都可以查看公開群組的內容並加入該群組。在私人群組中,只有成員可以查看內容,新成員必須得到群組管理員的批准。
值得注意的是,除了受邀的嘉賓外,無論是公開還是私人群組,都不允許組織外的人員存取。
也請閱讀 試用Office 365管理工具
它們的使用差異
Azure AD安全群組
重要的是,Azure AD安全群組在Microsoft 365中很少使用。然而,當它們被使用時,它們用於將基於群組的許可證分配給用戶。這在您需要在新員工入職時自動化Microsoft 365許可證 時非常有用。另一個使用場景是與SharePoint群組相關。
基本上,SharePoint 群組可以將 Azure AD 安全群組添加到 SharePoint 資源以進行訪問。然而,這被認為是有風險的,因為 SharePoint 站點的管理員和所有者沒有關於誰可以訪問站點或誰是 Azure AD 安全群組成員的知識。
Microsoft 365 群組
顯然,Microsoft 正在定位 Microsoft 365 群組 作為資源許可權管理的未來。Microsoft 365 群組具有獨特的優勢,允許 Microsoft 365 用戶以最少的管理使用整個 Microsoft 365 應用程式套件。
它們為群組所有者提供了清晰的視角,以便查看他們的群組正在做什麼。簡而言之,Microsoft 365 群組安全地管理 SharePoint 文件、Teams 即時協作和 Exchange 電子郵件討論。
感謝您閱讀 Azure AD 群組類型解釋 – 安全 / Microsoft 365 群組。我們將在此結束本文。
另請閱讀 使用 Office 365 報告解決方案
Azure AD群組類型 – 安全 / Microsoft 365群組結論
長期以來,Microsoft 365和Azure AD安全群組一直是Microsoft用戶必不可少的工具。這些群組在使用上具有不同的功能、管理方法和限制。因此,在使用它們之前,建議您瞭解它們之間的區別。
儘管明顯地,Microsoft希望用戶過渡到Office 365 群組以管理應用程序中的資源,但在必要時,瞭解Azure AD安全群組的知識也可能派上用場。
Source:
https://infrasos.com/azure-ad-group-types-explained-security-microsoft-365-groups/