U posljednje vrijeme mnogo smo pričali o postavkama direktorija u Entra ID/Microsoft 365. Iako su one i dalje jedan od nejasnijih dijelova koda unutar paketa, omogućavaju nam da kontroliramo nekoliko važnih konfiguracija, kao što je pristup gosta Microsoft 365 grupama. Stoga je važno razumjeti kako njima upravljati, a čak smo otišli toliko daleko da smo obezbijedili besplatan UI alat za pojednostavljenje procesa.
Jedan od razloga zašto smo se fokusirali na postavke direktorija bio je stalni privatni pregled, ili drugim riječima, saznanje da Microsoft planira uvesti neke nove funkcionalnosti koje se također kontroliraju preko šablona postavki direktorija i njihovih povezanih objekata postavki. Navedena funkcionalnost uključuje podršku za Purview oznake “kontejner” za Entra ID sigurnosne grupe i podršku za kontrolu članstva gostiju za sigurnosne grupe putem postavki direktorija. O čemu ćemo pričati u ovom članku!
Postavke imenika za sigurnosne grupe
Uvedena su dva nova predloška postavki direktorija koji podržavaju novu funkcionalnost sigurnosnih grupa, odražavajući skup predložaka Microsoft 365 grupa. Ovo uključuje cijeli stanar Grupa. Sigurnost šablon (sa ID vrijednošću od d209f6fa-3839-4d70-b83f-60b1c64d0e8f), kao i specifično za objekat Grupa. Sigurnost. Politike jedan (sa ID vrijednošću od 7e0abea2-5c20-405f-9658-bfc9a523fd49). Evo kako ih nabaviti:
Get-MgGroupSettingTemplateGroupSettingTemplate | ? $_.DisplayName -like "Group.Security*" | select *
Description :
Setting templates define the different settings that can be used for the associated ObjectSettings. This template defines
settings that can be used for Cloud Security Groups tenant-wide.
DisplayName : Group.Security
Id : d209f6fa-3839-4d70-b83f-60b1c64d0e8f
Values : AllowToAddGuests, EnableMIPLabels
Description :
Setting templates define the different settings that can be used for the associated ObjectSettings. This template defines
settings that can be used for Cloud Security Groups at a group level.
DisplayName : Group.Security.Policies
Id : 7e0abea2-5c20-405f-9658-bfc9a523fd49
Values : AllowToAddGuestsKao što ste mogli primijetiti iz gornjeg izlaza, skup postavki izloženih u okviru novouvedenih predložaka je prilično ograničen, posebno u poređenju s relevantnim skupom postavki za Microsoft 365 grupe. U stvari, dostupne su samo dvije kontrole na koje smo navikli: AllowToAddGuestskoji je boolean koji pokazuje da li je gostima dozvoljeno da se pridruže; i Omogućite MIPLtagovekoji označava da li je podrška za autorizacijske oznake omogućena za sigurnosne grupe (također boolean).
The Omogućite MIPLtagove postavka je dostupna samo na predlošku na nivou stanara i kontroliše da li se oznake kontejnera Purview mogu koristiti globalno sa Entra ID sigurnosnim grupama. s druge strane, AllowToAddGuestskoji kontrolira da li se gosti mogu dodati u sigurnosnu grupu, može se uključiti bilo globalno ili po grupi. Ispis ispod prikazuje ugrađene opise za obje postavke:
DefaultValue Description Name Type ------------ ----------- ---- ---- true Flag indicating if guests are allowed in any Cloud Security Group. AllowToAddGuests System.Boolean false Flag indicating whether Microsoft Information Protection labels can be assigned to Cloud Security Groups. EnableMIPLabels System.Boolean
Prije nego što uđemo dublje, važno je razumjeti da se pristup gostiju sigurnosnim grupama može kontrolisati i dodjeljivanjem objekta postavki specifičnih za grupu (opisano u sljedećem odjeljku) kao i dodjeljivanjem oznake Purview „container“ (opisano kasnije). Ne morate koristiti obje metode! Oznake bi mogle biti poželjno rješenje, jer se zasnivaju na postojećim integracijama i nude (nešto ograničenu) podršku korisničkog sučelja, ali također možete ograničiti pristup gostiju dodjeljivanjem objekta postavki specifičnih za grupu. Ne mogu odoljeti da ne dodam još jednu glupost za korisničko sučelje upravitelja grupnih postavki!
Kontrolirajte pristup gostiju za sigurnosne grupe
Da bismo konfigurirali postavke direktorija za sigurnosne grupe putem postavki direktorija, slijedit ćemo standardnu proceduru: instancirati novi objekt postavki direktorija na osnovu predloška specifičnog za grupu, konfigurirati željeni AllowToAddGuests vrijednost postavke, a zatim potvrdite promjene. Za ovaj zadatak možemo koristiti Graph SDK za PowerShell cmdlete ili Graph API metode. Potrebne su dozvole GroupSettings.ReadWrite.Allplus odgovarajuća uloga direktorija ako koristite model dozvole delegata. Podsjetimo, tZadatak je znatno olakšan korištenjem našeg besplatnog alata 🙂
Primjeri u nastavku pokazuju kako možete konfigurirati objekt postavki pristupa gostu na nivou stanara za sigurnosne grupe:
Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All" #Verify whether a settings object already exist $res = Get-MgGroupSetting | ? $_.TemplateId -eq "d209f6fa-3839-4d70-b83f-60b1c64d0e8f" #Update the settings object if it exists if ($res) Update-MgGroupSetting -GroupSettingId $res.Id -Values (@'name'='AllowToAddGuests';'value'='false') #Or create a new object New-MgGroupSetting -TemplateId d209f6fa-3839-4d70-b83f-60b1c64d0e8f -Values (@'name'='AllowToAddGuests';'value'='false')
Pristup gostiju se također može kontrolirati po grupama, putem Grupa. Sigurnost. Politike šablon. Možete da konfigurišete postavku na nivou stanara da onemogućite pristup gostu, dok ga omogućite za određene bezbednosne grupe, kreiranjem objekta podešavanja i dodeljivanjem dotičnoj grupi. Evo kako:
Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All" #Create a new setting object using the Group.Security.Policies template New-MgGroupSetting -TemplateId 7e0abea2-5c20-405f-9658-bfc9a523fd49 -GroupId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -Values (@'name'='AllowToAddGuests';'value'='true') #Update an existing setting object $res = Get-MgGroupSetting -GroupId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx if ($res) Update-MgGroupSetting -GroupSettingId $res.Id -GroupId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -Values (@'name'='AllowToAddGuests';'value'='false')
Budući da su ovo postavke specifične za grupu, morate koristiti one relevantne -Id grupe parametar i navedite identifikator grupe. Detaljnije objašnjenje kako proces funkcionira možete pronaći u našem prethodnom članku. Morate biti svjesni jednog “uhvati me”. Ako grupa o kojoj je riječ već ima dodijeljenu oznaku spremnika, kreiranje ili ažuriranje objekta postavke možda neće uspjeti s “Dodijeljena oznaka ne dozvoljava rad grupnog postavljanja gostiju” poruka o grešci. Ovo je lijep segway za naš sljedeći dio 🙂
Podrška za oznake osjetljivosti za sigurnosne grupe
Prije nego što uđemo u detalje, moramo razjasniti jednu stvar. Trenutno je podrška za oznake osjetljivosti sigurnosne grupe ograničena na kontrolu pristupa gostiju, a sam proces dodjeljivanja oznaka moguć je samo preko Graph API-ja i SDK-a i Entra portala. Nema dostupnog korisničkog interfejsa za dodeljivanje oznaka bezbednosnim grupama u okviru Microsoft 365 Admin centra ili portala Purview. Sam proces omogućavanja podrške oznakama kontroliše se preko Grupa. Sigurnost predložak postavki direktorija kojim se, kao što znamo do sada, također upravlja samo preko Graph API-ja ili PowerShell cmdleta.
Omogućavanje podrške oznaka osjetljivosti za sigurnosne grupe je konfiguracija na nivou stanara, koja eksploatiše Omogućite MIPLtagove podešavanje vrednosti odozgo Grupa. Sigurnost predložak za postavljanje direktorija. Primjeri u nastavku pokazuju kako možete kontrolirati ovu postavku kroz Graph SDK za PowerShell:
Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All" #Verify whether a settings object already exist $res = Get-MgGroupSetting | ? $_.TemplateId -eq "d209f6fa-3839-4d70-b83f-60b1c64d0e8f" #Update the settings object if it exists if ($res) Update-MgGroupSetting -GroupSettingId $res.Id -Values (@'name'='EnableMIPLabels';'value'='true') #Or create a new object New-MgGroupSetting -TemplateId d209f6fa-3839-4d70-b83f-60b1c64d0e8f -Values (@'name'='EnableMIPLabels';'value'='true')
Važno je napomenuti da ako prethodno niste omogućili podršku za Purview labele, tj. za kontrolu postavki Microsoft 365 grupa, morate Execute-AzureADLabelSync cmdlet kako bi se osiguralo da su oznake sinkronizirane s Entra ID-om. I morate imati barem jednu oznaku “kontejner” sa Grupe i stranice opseg omogućen i Pristup eksternim korisnicima postavka promijenjena. Sve postojeće oznake „kontejnera“ koje ste možda koristili sa Microsoft 365 grupama će biti od koristi, jer ih Microsoft proširuje da pokrije i scenario bezbednosne grupe. Ne postoji način da se kreiraju oznake koje pokrivaju samo Entra ID sigurnosne grupe!
Kako dodijeliti oznaku osjetljivosti sigurnosnim grupama
Kao što je gore spomenuto, Entra Admin Portal pruža jednostavan korisnički interfejs za dodjelu autorizacijskih oznaka novokreiranim i/ili postojećim Entra ID sigurnosnim grupama. Da biste dodijelili oznaku postojećoj sigurnosnoj grupi, otvorite je Svojstva stranicu i koristite je Oznaka osjetljivosti kontrola padajućeg menija. Ista kontrola je dostupna kada pritisnete Nova grupa dugme za dodjelu nove sigurnosne grupe. S druge strane, nijedan drugi administratorski ili korisnički interfejs trenutno ne podržava oznake bezbednosnih grupa, tako da nećete moći da koristite Microsoft 365 centar administracije ili portal Moje grupe za ovaj zadatak.
Još jedna važna stvar koju treba imati na umu je da kada se oznaka dodijeli sigurnosnoj grupi, ona se ne može ukloniti, kao što aludira napomena na slici iznad. Ovo nije ograničenje korisničkog interfejsa – nećete moći da uklonite oznaku ni preko PowerShell-a ni preko Graph API-ja. Isto vrijedi i za zamjenu naljepnice.
Kad smo kod toga, evo kako dodijeliti oznaku putem PowerShell-a (imajte na umu da nam je potreban samo Group.ManageProtection.All opseg za dodeljivanje oznake postojećim grupama!):
Connect-MgGraph -Scopes "Group.ManageProtection.All" #Assign a label to security group Update-MgGroup -GroupId c20a48cc-3931-47e7-95fd-911224c600bb -AssignedLabels @labelId = "97de4155-a502-43c4-bf15-51cd8447c07e"
I odgovarajuća metoda Graph API:
PATCH https://graph.microsoft.com/v1.0/groups/37e85861-5e4e-4670-9dfd-07e22a678779
"assignedLabels": [
"labelId": "97de4155-a502-43c4-bf15-51cd8447c07e"
]
Zapamtite da jeste dodijeljene oznake svojstvo se ne vraća prema zadanim postavkama kada se koriste Graph API metode u /v1.0 ili /beta, a isto se odnosi i na odgovarajuće PowerShell cmdlete. Stoga, ako pokušavate potvrditi rezultat operacije dodjeljivanja oznake, morate posebno zatražiti svojstvo:
#Retrieve the assignedLabels property for a group Get-MgGroup -GroupId 37e85861-5e4e-4670-9dfd-07e22a678779 -Property assignedLabels | select -ExpandProperty assignedLabels
GET https://graph.microsoft.com/beta/groups/37e85861-5e4e-4670-9dfd-07e22a678779?$select=assignedLabels
U našem sljedećem članku ćemo opisati kako ograničenja funkcioniraju u cijeloj usluzi. Ali prije toga evo još jedne zanimljive činjenice – čini se da možemo stvarati Grupa. Sigurnost. Politike postavljanje objekata i za Microsoft 365 grupe. Čak i ako navedena grupa nije zaštićena!
