我正在使用 Microsoft Entra ID 并尝试在我的组织内更动态地管理访问权限。目前,我面临的情况是,我需要限制添加到特定组的用户的特定 Azure Active Directory (AAD) 操作。
场景如下:
用户最初有权访问三个 AAD 操作:A、B 和 C。 当该用户添加到 G 组时,我需要限制他们对操作 A 和 C 的访问,同时确保他们仍然有权访问操作 B。
问题:
如何配置条件访问策略以专门限制对某些 AAD 操作的访问? 有没有一种方法可以确保将用户添加到具有受限权限的组中不会影响他们对该组未明确限制的其他权限的访问? 任何类似配置的指导或示例将不胜感激。
这是我希望能够阻止的 AAD 操作列表:
我了解 Microsoft Entra ID 中的条件访问策略可用于此目的,但我不确定如何配置这些策略以专门阻止 G 组成员对操作 A 和 C 的访问,而不影响他们对操作 B 的访问。
条件访问可以根据组成员身份控制对应用程序的访问,但不能控制细粒度的 Entra 目录权限。
我会给你一个解决方案,但你的问题可能更多地与其他地方的过度许可有关。您可能希望考虑分解已被授予这些操作权限的组。
评估权限时,任何显式拒绝条目将优先于允许条目。
解决方案是针对 G 组设置拒绝操作。您可以使用自定义角色来执行此操作,然后将其分配给 G 组。拒绝操作优先于允许,因此该组中的任何用户都将被拒绝您所执行的操作指定。
您必须注意,G 组和 A&C 组之间不存在权限联姻; A 组和 C 组的权限的任何更改都不会自动反映在 G 中。因此,如果 A 组或 C 组获得更多新权限,则必须手动更新 G 组。这就是为什么最好构建您的权限,以便仅允许所需的权限,而不是允许然后拒绝使用组。
要在 Azure 门户中创建名为“临时监狱”的自定义角色并将其分配给“G 组”,同时拒绝特定操作,您可以按照以下步骤操作:
这将创建一个名为“临时监狱”的自定义角色并将其分配给“G 组”。
请记住彻底测试您的角色和小组分配,并选择所有适当的行动来实现您的目标。有很多选择,在某些情况下,简单地拒绝 /update 操作是不够的,因为用户还可能被分配 /create 和 /delete。
您可以在此处找到所有可用目录操作的完整列表:
https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference