• Pet. svi 29th, 2026

Oblak Znanja

informatička edukacija i vijesti

Top Tags
Microsoft Office

Podrška za oznake spremnika i kontrole pristupa za goste za Entra ID sigurnosne grupe (2. dio)

ByTomšić Damjan

svi 28, 2026

U našem prethodni članakpokrili smo postupak dodjele objekta grupne postavke ili oznake “spremnika” Purview sigurnosnoj grupi kako bismo kontrolirali mogu li se korisnici gosti dodati njezinom članstvu. Pogledajmo sada kako se navedena ograničenja provode u cijeloj usluzi.

Kako se provodi pristup za goste

Sada znamo za postojanje postavke direktorija za kontrolu pristupa gostiju za sigurnosne grupe, kao i za ekvivalentnu funkcionalnost koja se provodi putem oznaka osjetljivosti Purview. Ali čemu sve to točno služi?

Iskustvo je usklađeno s onim na što smo navikli kada je u pitanju kontrola pristupa gostiju Microsoft 365 grupama. Svi građevni blokovi ponašaju se na sličan način kada je riječ o sigurnosnim grupama Entra ID. Evo osnova:

  • Postavke imenika na razini stanara nadmašuju one na razini grupe. Drugim riječima, ako želite kontrolirati pristup gostiju po grupama, morate biti sigurni da objekt postavke na razini stanara ima AllowToAddGuests postaviti na pravi. Tek tada možete omogućiti da objekt postavki po grupi stupi na snagu.
  • Možete koristiti ili AllowToAddGuests postavka ili oznaka osjetljivosti za kontrolu pristupa, nije potrebno konfigurirati oboje.
  • Oznake osjetljivosti stupaju na snagu samo kada Omogući MIPLoznake uključuje se na objektu postavki grupe na razini stanara, stoga ne zaboravite to konfigurirati ako više volite metodu temeljenu na oznaci.
  • Korisnici s dodijeljenim administratorskim ulogama izuzeti su od učinka bilo kojeg AllowToAddGuests postavke ili oznake. To jest, administratori mogu zaobići ograničenja pristupa za goste postavljena bilo kojom metodom. Ovo također uključuje postavku na razini stanara.

Imajući gore navedeno na umu, pogledajmo kako se provode ograničenja pristupa za goste. Da biste testirali ponašanje krajnjeg korisnika, možete koristiti Portal Moje grupekoje je jedino korisničko sučelje koje će omogućiti upravljanje članstvom u sigurnosnoj grupi bez dodijeljene uloge administratora. Morate ipak biti vlasnik grupe, inače Dodati gumb neće biti vidljiv ispod članovi stranica. Za testiranje ograničenja pristupa za goste jednostavno upotrijebite Dodati gumb za dodavanje bilo kojeg gosta.

Iako će vam korisničko sučelje i dalje dopuštati pregled/odabir gostujućih korisnika, pritiskom na gumb Dodaj rezultirat će “Nešto nije u redu.“, kao što je prikazano na gornjoj snimci zaslona. Snimanje mrežnog traga ili pokušaj iste operacije putem Graph API-ja ili ekvivalentnih PowerShell cmdleta otkrit će detaljan razlog:

{
    "error": {
        "code": "Authorization_RequestDenied",
        "message": "Guests users are not allowed to join this Cloud Security Group due to policy setting. paramName: Members, paramValue: , objectType: Microsoft.Online.DirectoryServices.Group",
        "innerError": {
            "date": "2026-05-28T08:17:07",
            "request-id": "48331287-a135-4ab2-9226-b03c5a77bd78",
            "client-request-id": "48331287-a135-4ab2-9226-b03c5a77bd78"
        }
    }
}

Nasuprot tome, pokušaj iste operacije s korisnikom administratorom ne bi trebao rezultirati pogreškama, a korisnik gost trebao bi biti dodan kao član sigurnosne grupe. Budući da su ograničenja nametnuta na pozadini, možemo očekivati ​​isti ishod bez obzira na to koji je alat ili korisničko sučelje korišteno za operaciju, iako se mogu očekivati ​​varijacije gore prikazane poruke o pogrešci zbog različitih “omotača” koji se koriste u cijeloj usluzi.

Važno je razumjeti da primjena ograničenja pristupa za goste na postojeću sigurnosnu grupu NEĆE utjecati na korisnike goste koji su već dodani kao članovi. Zapravo, pokušaj primjene oznake osjetljivosti s ograničenjima za goste konfiguriranim na takvu grupu zapravo će propasti s “Politika zaštite oznaka nalaže da korisnici u grupi nisu dopušteni” Poruka o pogrešci. Iako nam svakako može koristiti bolje formuliranje navedene poruke, ukupni učinak je da morate ručno ukloniti sve gostujuće korisnike kako biste im dodijelili oznaku koja im nameće ograničenja za goste.

Ovo je jedno mjesto gdje se iskustvo razlikuje od onog u Microsoft 365 grupama, koje vam dopuštaju da ih označite bilo kojom oznakom spremnika, bez obzira na to mogu li se gostujući korisnici pronaći na njihovom trenutnom popisu članova. Pretpostavljam da možemo proširiti argument da je prilagodba članstva u sigurnosnim grupama malo osjetljivija tema, jer se često koriste za odobravanje pristupa raznim resursima. No čak i ako se oznaka primijeni, postojeći gosti neće biti uklonjeni ni u jednom slučaju, pa je to možda samo neki propust u dizajniranju značajke.

Osim toga, možete zapravo dodijeliti objekt postavke direktorija na razini grupe sigurnosnoj grupi s gostujućim korisnicima na popisu članova. Zapravo, postoji razlika u tome kako se kontrole pristupa gostiju primjenjuju na Entra ID sigurnosne grupe s postojećim korisnicima gostima. Dodjela oznake neće uspjeti i zahtijeva da prvo uklonite sve gostujuće korisnike iz grupe. Nasuprot tome, objekti postavke mogu se dodijeliti čak i kada se gosti nalaze na popisu članova. Obje metode neće učiniti ništa u pogledu uklanjanja postojećih gostujućih korisnika, kao što je gore spomenuto.

Slično se ponašanje opaža za grupe s ugniježđenim članstvom, ali više o tome u sljedećem odjeljku. Na kraju, nećete moći dodijeliti objekt postavke označenoj sigurnosnoj grupi. Takve će operacije rezultirati “Dodijeljena oznaka ne dopušta operaciju postavke grupnog gosta” Poruka o pogrešci. Obrnuti redoslijed operacija ipak funkcionira i možete dodijeliti oznaku osjetljivosti sigurnosnoj grupi na koju je primijenjen postojeći objekt postavke.

Još uvijek možete završiti u situaciji u kojoj se i oznaka i objekt postavke grupe primjenjuju na istu sigurnosnu grupu. Bilo koja od ovih kontrola može spriječiti dodavanje gostujućeg pristupa grupi, čak i ako isto dopušta njezin brat ili sestra. Drugim riječima, kontrole rade u konfiguraciji logičkog ILI i ne morate se zamarati konfiguriranjem oba. Ali imajte ovu činjenicu na umu kada budete morali rješavati probleme s gostujućim pristupom!

Poznata ograničenja i rješavanje problema

Dok su Microsoft 365 grupe prvenstveno namijenjene suradnji, Entra sigurnosne grupe su prije svega sigurnosni principal, odnosno koriste se za kontrolu pristupa raznim funkcionalnostima. Stoga ne možemo očekivati ​​da će oboje na sličan način provoditi korisnička ograničenja za goste. Evo (ne tako kratkog) popisa poznatih ograničenja i razlika u ponašanju:

  • Nema podrške za sigurnosne grupe s omogućenom poštom jer je njihov izvor ovlaštenja Exchange Online, a ne Entra ID.
  • Nema podrške ni za popise distribucije, iz istog razloga.
  • Dinamičke članske grupe također nisu podržane.
  • Nema podrške za sigurnosne grupe sinkronizirane iz lokalnog AD-a.
  • Oznake dodijeljene sigurnosnim grupama ne mogu se ukloniti ili zamijeniti.
  • Ograničena podrška za korisničko sučelje, kao što je već spomenuto nekoliko puta. To bi se moglo, ali i ne mora poboljšati u budućnosti.

Neka druga ograničenja mogu dovesti do pogreške kada pokušate dodijeliti oznaku. Na primjer, ako odabrana grupa ima jednog ili više dodanih gostujućih korisnika, operacija neće uspjeti s “Politika zaštite oznaka nalaže da korisnici u grupi nisu dopušteni“, poruka o pogrešci. Drugim riječima, nemojte očekivati ​​da će oznake retroaktivno ukloniti postojeće goste iz grupa. Umjesto toga, prvo morate ručno ukloniti sve goste prije dodjele oznake kako biste spriječili buduće dodavanje gostiju.

Slično je, ali čak i složenije, ponašanje s ugniježđenim grupama. Ako odabrana grupa ima jednu ili više ugniježđenih grupa kao članova, dodjeljivanje oznake neće uspjeti s “Pravila oznake nalažu da članovi ugniježđene grupe ne smiju postojati” poruka o pogrešci. Ovdje je rješenje ukloniti sve ugniježđene grupe prije dodjele oznake. Imajte na umu da se “označenoj” grupi mogu naknadno dodati ugniježđene grupe, ali one moraju biti označene istom ili jednako restriktivnom oznakom. Drugim riječima, grupe koje ograničavaju pristup gostima ne mogu imati ugniježđene grupe koje to dopuštaju, što biste očekivali. Ovo ograničenje ne odnosi se na postavke grupe, samo na oznake!

Promjene u definicijama oznaka još su jedna stvar na koju treba biti oprezan. Ako promijenite postojeću oznaku da omogućite pristup gostu, kao u prebacite njezinu Pristup vanjskog korisnika postavku, to neće utjecati na već dodane gostujuće korisnike. Kombinirajte to s činjenicom da ne možemo ukloniti ili promijeniti oznaku dodijeljenu sigurnosnoj grupi, kao i ograničenu podršku korisničkog sučelja, i možemo vidjeti kako su objekti postavki bolji izbor za nametanje ograničenja pristupa gostima. Naravno, s njima je malo teže raditi, ali našima besplatan alat pomaže u tome 🙂

Sažetak

Ukratko, sada imamo dvije metode za kontrolu pristupa gostiju Entra ID sigurnosnim grupama. Obje metode iskorištavaju postojeću funkcionalnost, sada proširenu na sigurnosne grupe. Oznake “spremnika” Purview nude bolje iskustvo korisničkog sučelja, bolje su usklađene s slučajem upotrebe Microsoft 365 Groups, ali dolaze s više ograničenja. Postavke imenika temeljene na grupi teže je dodijeliti i njima upravljati, ali nude malo više fleksibilnosti. Obje metode omogućit će vam da spriječite dodavanje gostujućih korisnika u sigurnosne grupe, stoga odaberite svoj otrov!

Web izvor

By Tomšić Damjan

Pozdrav, ja sam Damjan Tomšić, osnivatelj i urednik informatičko edukativnog bloga Oblak Znanja. Za Vas ću se potruditi da dobijete edukativne članke, savjete i recenzije vezane uz osnovno i napredno korištenje računala i interneta. Kontak: Google+, Gmail.

Related Post

Microsoft Office
Podrška za oznake spremnika i kontrole pristupa za goste za Entra ID sigurnosne grupe (1. dio)
svi 28, 2026 Tomšić Damjan
Microsoft Office
Konfigurirajte isključene pozivatelje za pravila upravljanja aplikacijom Entra
svi 16, 2026 Tomšić Damjan
Microsoft Office
Primer: skupne akcije s API-jem Agent 365
svi 9, 2026 Tomšić Damjan

You missed

Novosti
Novosti
Novosti
Novosti