U posljednje vrijeme puno smo razgovarali o postavkama direktorija u Entra ID-u/Microsoft 365. Iako ostaju jedan od opskurnijih dijelova koda unutar paketa, omogućuju nam kontrolu nekoliko važnih konfiguracija, kao što je gostujući pristup Microsoft 365 grupama. Stoga je važno razumjeti kako upravljati njih, a čak smo išli toliko daleko da smo pružili a besplatni UI alat kako biste pojednostavili proces.
Jedan od razloga zašto smo se usredotočili na postavke direktorija bio je tekući privatni pregled, ili drugim riječima, saznanje da Microsoft planira uvesti neke nove funkcije koje se također kontroliraju putem predložaka postavki direktorija i njima povezanih objekata postavki. Navedena funkcionalnost uključuje podršku za oznake “spremnika” Purview za sigurnosne grupe Entra ID i podršku za kontrolu članstva gostiju za sigurnosne grupe putem postavki imenika. O čemu ćemo govoriti u ovom članku!
Sadržaj objave
Postavke imenika za sigurnosne grupe
Uvedena su dva nova predloška postavki imenika za podršku novih funkcionalnosti sigurnosnih grupa, odražavajući skup predložaka za Microsoft 365 grupe. To uključuje stanar-širi Grupa.Sigurnost predložak (s ID vrijednošću od d209f6fa-3839-4d70-b83f-60b1c64d0e8f), kao i specifičan za objekt Grupa.Sigurnost.Politike jedan (s ID vrijednošću od 7e0abea2-5c20-405f-9658-bfc9a523fd49). Evo kako ih nabaviti:
Get-MgGroupSettingTemplateGroupSettingTemplate | ? $_.DisplayName -like "Group.Security*" | select *
Description :
Setting templates define the different settings that can be used for the associated ObjectSettings. This template defines
settings that can be used for Cloud Security Groups tenant-wide.
DisplayName : Group.Security
Id : d209f6fa-3839-4d70-b83f-60b1c64d0e8f
Values : AllowToAddGuests, EnableMIPLabels
Description :
Setting templates define the different settings that can be used for the associated ObjectSettings. This template defines
settings that can be used for Cloud Security Groups at a group level.
DisplayName : Group.Security.Policies
Id : 7e0abea2-5c20-405f-9658-bfc9a523fd49
Values : AllowToAddGuests
Kao što ste mogli primijetiti iz gornjeg rezultata, skup postavki izložen unutar novouvedenih predložaka prilično je ograničen, posebno u usporedbi s relevantnim skupom postavki za Microsoft 365 grupe. Zapravo, dostupne su samo dvije kontrole na koje smo navikli: AllowToAddGuestsšto je booleova vrijednost koja označava jesu li gosti dopušteni pridružiti se; i Omogući MIPLoznakekoji pokazuje je li podrška za oznake ovlaštenja omogućena za sigurnosne grupe (također booleov).
The Omogući MIPLoznake postavka je dostupna samo na predlošku na razini stanara i kontrolira mogu li se oznake spremnika Purview globalno koristiti sa sigurnosnim grupama Entra ID. S druge strane, AllowToAddGuestskoji kontrolira mogu li se gosti dodati u sigurnosnu grupu, može se uključiti ili globalno ili na osnovi svake grupe. Ispis u nastavku prikazuje ugrađene opise za obje postavke:
DefaultValue Description Name Type ------------ ----------- ---- ---- true Flag indicating if guests are allowed in any Cloud Security Group. AllowToAddGuests System.Boolean false Flag indicating whether Microsoft Information Protection labels can be assigned to Cloud Security Groups. EnableMIPLabels System.Boolean
Prije nego što kopamo dublje, važno je razumjeti da se gostujući pristup sigurnosnim grupama može kontrolirati i dodjeljivanjem objekta postavki specifičnih za grupu (opisano u sljedećem odjeljku) kao i dodjeljivanjem oznake “spremnika” Purview (opisano kasnije). Ne morate koristiti obje metode! Oznake bi mogle biti preferirano rješenje, budući da se nadograđuju na postojeće integracije i nude (donekle ograničenu) podršku korisničkog sučelja, ali također možete ograničiti pristup gosta dodjeljivanjem objekta postavki specifične za grupu. Ne mogu odoljeti da ne dodam još jednu glupost za naše UI alat za upravljanje postavkama grupe!
Kontrolirajte pristup gostiju za sigurnosne grupe
Da bismo konfigurirali postavke imenika za sigurnosne grupe putem postavki imenika, slijedit ćemo standardnu proceduru: instancirajte novi objekt postavki imenika na temelju predloška specifičnog za grupu, konfigurirajte željeni AllowToAddGuests vrijednost postavke, zatim potvrdite promjene. Za ovaj zadatak možemo koristiti Graph SDK za PowerShell cmdlete ili Graph API metode. Potrebna su dopuštenja GroupSettings.ReadWrite.Allplus odgovarajuća uloga direktorija ako koristite model dopuštenja delegata. Podsjetimo, tZadatak je znatno olakšan korištenjem našeg besplatan alat 🙂
Primjeri u nastavku pokazuju kako možete konfigurirati objekt postavki gostujućeg pristupa na razini stanara za sigurnosne grupe:
Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All" #Verify whether a settings object already exist $res = Get-MgGroupSetting | ? $_.TemplateId -eq "d209f6fa-3839-4d70-b83f-60b1c64d0e8f" #Update the settings object if it exists if ($res) Update-MgGroupSetting -GroupSettingId $res.Id -Values (@'name'='AllowToAddGuests';'value'='false') #Or create a new object New-MgGroupSetting -TemplateId d209f6fa-3839-4d70-b83f-60b1c64d0e8f -Values (@'name'='AllowToAddGuests';'value'='false')
Pristup gostiju također se može kontrolirati po grupama, putem Grupa.Sigurnost.Politike šablona. Možete konfigurirati postavku na razini zakupca da onemogući pristup gostu, dok je uključujete za određene sigurnosne grupe, stvaranjem objekta postavki i dodjeljivanjem dotičnoj grupi. Evo kako:
Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All" #Create a new setting object using the Group.Security.Policies template New-MgGroupSetting -TemplateId 7e0abea2-5c20-405f-9658-bfc9a523fd49 -GroupId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -Values (@'name'='AllowToAddGuests';'value'='true') #Update an existing setting object $res = Get-MgGroupSetting -GroupId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx if ($res) Update-MgGroupSetting -GroupSettingId $res.Id -GroupId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -Values (@'name'='AllowToAddGuests';'value'='false')
Budući da su to postavke specifične za grupu, morate koristiti relevantne -Id grupe parametar i navedite identifikator grupe. Detaljnije objašnjenje o tome kako proces funkcionira možete pronaći u našem prethodni članak. Morate biti svjesni jednog “gotcha”. Ako dotična grupa već ima dodijeljenu oznaku spremnika, stvaranje ili ažuriranje objekta postavke možda neće uspjeti s “Dodijeljena oznaka ne dopušta operaciju postavke grupnog gosta” poruka o grešci. Ovo je lijep segway za našu sljedeću sekciju 🙂
Podrška za oznake osjetljivosti za sigurnosne grupe
Prije nego što zaronimo u detalje, moramo razjasniti jednu stvar. Trenutačno je podrška za oznake osjetljivosti za sigurnosne grupe ograničena na kontrolu pristupa gostiju, a sam proces dodjele oznaka moguć je samo putem Graph API-ja i SDK-a te portala Entra. Nije dostupno korisničko sučelje za dodjelu oznaka sigurnosnim grupama unutar Microsoft 365 Admin Center ili portala Purview. Sam proces omogućavanja podrške za oznake kontrolira se putem Grupa.Sigurnost predložak postavki direktorija kojim se, kao što znamo do sada, također upravlja samo putem Graph API-ja ili PowerShell cmdleta.
Omogućivanje podrške za oznaku osjetljivosti za sigurnosne grupe je konfiguracija na razini zakupca, koja iskorištava Omogući MIPLoznake vrijednost postavke od gore navedenog Grupa.Sigurnost predložak za postavljanje imenika. Primjeri ispod pokazuju kako možete kontrolirati ovu postavku putem Graph SDK-a za PowerShell:
Connect-MgGraph -Scopes "GroupSettings.ReadWrite.All" #Verify whether a settings object already exist $res = Get-MgGroupSetting | ? $_.TemplateId -eq "d209f6fa-3839-4d70-b83f-60b1c64d0e8f" #Update the settings object if it exists if ($res) Update-MgGroupSetting -GroupSettingId $res.Id -Values (@'name'='EnableMIPLabels';'value'='true') #Or create a new object New-MgGroupSetting -TemplateId d209f6fa-3839-4d70-b83f-60b1c64d0e8f -Values (@'name'='EnableMIPLabels';'value'='true')
Važno je napomenuti da ako prethodno niste omogućili podršku za oznake Purview, tj. za kontrolu postavki Microsoft 365 grupa, morate izvršiti Izvrši-AzureADLabelSync cmdlet kako biste osigurali sinkronizaciju oznaka s Entra ID-om. I morate imati barem jednu naljepnicu “kontejner” s Grupe i stranice opseg omogućen i Pristup vanjskog korisnika postavka promijenjena. Bilo koja postojeća oznaka “spremnika” koju ste možda koristili s grupama Microsoft 365 poslužit će, budući da ih Microsoft proširuje da pokriju i scenarij sigurnosne grupe. Ne postoji način za stvaranje oznaka koje pokrivaju samo Entra ID sigurnosne grupe!
Kako dodijeliti oznaku osjetljivosti sigurnosnim grupama
Kao što je gore spomenuto, Entra administratorski portal nudi jednostavno korisničko sučelje za dodjelu oznaka ovlaštenja novostvorenim i/ili postojećim Entra ID sigurnosnim grupama. Da biste dodijelili oznaku postojećoj sigurnosnoj grupi, otvorite je Svojstva stranicu i upotrijebite Oznaka osjetljivosti padajuća kontrola. Ista kontrola dostupna je i kada pritisnete Nova grupa gumb za dodjelu nove sigurnosne grupe. Negativno, nijedno drugo administratorsko ili korisničko sučelje trenutno ne podržava oznake sigurnosnih grupa, stoga nećete moći koristiti Microsoft 365 centar za administraciju ili portal Moje grupe za ovaj zadatak.
Još jedna važna stvar koju treba imati na umu je da jednom kada se oznaka dodijeli sigurnosnoj grupi, ne može se ukloniti, kao što aludira napomena na gornjoj snimci zaslona. Ovo nije ograničenje korisničkog sučelja – nećete moći ukloniti oznaku niti putem PowerShell-a ili Graph API-ja. Isto vrijedi i za zamjenu naljepnice.
Kad smo već kod toga, evo kako dodijeliti oznaku putem PowerShell-a (imajte na umu da nam treba samo Group.ManageProtection.All opseg za dodjeljivanje oznake postojećim grupama!):
Connect-MgGraph -Scopes "Group.ManageProtection.All" #Assign a label to security group Update-MgGroup -GroupId c20a48cc-3931-47e7-95fd-911224c600bb -AssignedLabels @labelId = "97de4155-a502-43c4-bf15-51cd8447c07e"
I odgovarajuća Graph API metoda:
PATCH https://graph.microsoft.com/v1.0/groups/37e85861-5e4e-4670-9dfd-07e22a678779
"assignedLabels": [
"labelId": "97de4155-a502-43c4-bf15-51cd8447c07e"
]
Upamtite da je dodijeljeneOznake svojstvo se ne vraća prema zadanim postavkama kada se koriste Graph API metode u /v1.0 ili /beta, a isto se odnosi na odgovarajuće PowerShell cmdlete. Stoga, ako pokušavate potvrditi rezultat operacije dodjele oznake, morate posebno zatražiti svojstvo:
#Retrieve the assignedLabels property for a group Get-MgGroup -GroupId 37e85861-5e4e-4670-9dfd-07e22a678779 -Property assignedLabels | select -ExpandProperty assignedLabels
GET https://graph.microsoft.com/beta/groups/37e85861-5e4e-4670-9dfd-07e22a678779?$select=assignedLabels
U našem sljedeći članakopisat ćemo kako ograničenja funkcioniraju u cijeloj usluzi. Ali prije toga evo još jedne zanimljive činjenice – čini se da možemo stvarati Grupa.Sigurnost.Politike postavljanje objekata i za Microsoft 365 grupe. Čak i ako spomenuta grupa nije zaštićena!
