Utrzymywanie aktualnego stanu członkostwa w grupach jest często bardzo żmudnym procesem. Niemniej jednak może być on w prosty sposób zautomatyzowany.

Zarządzanie dostępem jest ważną rolą praktycznie w każdej organizacji. Im większa organizacja, tym więcej może ono sprawiać kłopotów, dlatego najlepszym rozwiązaniem jest standaryzacja. W tym celu zamiast bezpośredniego przypisywania użytkowników do poszczególnych ról czy docelowych zasobów najlepiej delegować przypisanie uprawnień dla dedykowanych grup. Dzięki takiemu podejściu zyskujemy pewność, że każda przypisana do grupy osoba będzie posiadać odpowiedni zestaw dostępów, jaki został przydzielony do grupy.

Niestety również i ten model często może zawodzić, z powodu jednej prostej przyczyny – ludzkiego błędu. Mianowicie ręczne zarządzanie członkostwem w grupach, szczególnie w dużych organizacjach, może powodować problemy, że zapomnimy przypisać daną osobę do grupy lub, co gorsza, usunąć ją z grupy na pewien czas w celu odebrania dostępów. Aby rozwiązać wspomniany problem, idealnym narzędziem stają się dynamiczne grupy, które dostępne są w ramach infrastruktury chmurowej Azure AD. Dzięki nim możemy w prosty sposób zautomatyzować zarządzanie członkostwem w grupach.

> GRUPY AZURE AD

Chmurowa infrastruktura katalogowa dostarcza nieco innego modelu obsługi grup niż znanego z klasycznej usługi Active Directory. Otóż w przypadku usług lokalnych posiadamy dostęp jedynie do dwóch typów grup: dystrybucyjnych lub częściej stosowanych grup zabezpieczeń. W przypadku grup dystrybucyjnych w zależności od posiadanej infrastruktury zyskujemy pewną namiastkę grup dynamicznych, ale tylko pod warunkiem, że posiadamy wdrożone rozwiązanie poczty bazującej na serwerze Microsoft Exchange. Niestety rozwiązanie to ogranicza się tylko do dystrybucji poczty.

Obecnie w ramach usługi Azure AD również posiadamy dwa podstawowe rodzaje grup. Są to grupy zabezpieczeń oraz tak zwane grupy typu Microsoft 365, które w przybliżeniu są połączeniem grupy zabezpieczeń oraz dystrybucyjnej, rozszerzonej o możliwość stosowania dodatkowych zasobów jak na przykład witryny SharePoint Online i nie tylko. Oczywiście usługa chmurowa nadal zapewnia obsługę klasycznych grup dystrybucyjnych czy grup zabezpieczeń z włączoną obsługą poczty, jednak zarządzanie tymi grupami jest mocno ograniczone do wykorzystywania narzędzi usługi Exchange Online.

Dla każdej z podstawowych grup usługi Azure AD możliwe jest zastosowanie dynamicznego przypisywania członkostwa. Aby było to możliwe, konieczne jest posiadanie infrastruktury na odpowiednim poziomie. Funkcjonalność dynamicznych grup wymaga od organizacji posiadania dzierżawy usługi Azure AD na poziomie licencyjnym minimum Azure AD Premium P1, w przeciwnym wypadku podczas tworzenia grupy odpowiednie komponenty będą zablokowane. Oczywiście aby zostać członkiem grupy dynamicznej, nie trzeba przypisywać licencji Azure AD Premium każdemu użytkownikowi. Należy jednak pamiętać o zapewnieniu pokrycia licencyjnego odpowiadającego łącznej liczbie użytkowników korzystających z omawianej funkcjonalności.

Dodatkowo w zależności od wybranego rodzaju grupy funkcje dynamicznego członkostwa mogą być nieco inne. Otóż grupy typu Microsoft 365 w głównej mierze skupiają się na dostarczaniu usług dla użytkowników końcowych, tak więc jedynymi członkami tychże grup mogą być tylko konta użytkowników. Dotyczy to zarówno pełnoprawnych członków naszej organizacji, jak i kont zaproszonych gości. Omawiana zasada przekłada się również na reguły członkostwa dynamicznego, gdzie nie możemy budować warunków opartych na atrybutach innych obiektów niż konta użytkowników.

W przypadku grup zabezpieczeń posiadamy szersze pole manewru, gdzie dodatkowo zyskujemy możliwość dodawania członkostwa również dla obiektów urządzeń. W przypadku stosowania dynamicznego członkostwa zyskujemy zbliżoną funkcjonalność, przy czym nieco ograniczoną w stosunku do ręcznego zarządzania członkostwem. Dynamiczne grupy zabezpieczeń w danym momencie mogą bazować jedynie na jednym typie obiektów, czyli członkostwie użytkowników (ang. Dynamic User) lub urządzeń (ang. Dynamic Device).

> DYNAMICZNE GRUPY

Pod kątem funkcjonalnym dynamiczne grupy usługi Azure AD niewiele różnią się od ich klasycznych odpowiedników ze statycznym członkostwem. Jak łatwo się domyślić, główną zmianą jest tutaj tylko mechanizm przypisywania członkostwa. W przypadku dynamicznych grup nie mamy wiele możliwości ręcznego sterowania członkostwem. O tym, kto będzie przynależał do danej grupy, decyduje jedynie odpowiednie zbudowanie warunku logicznego bazującego na właściwych atrybutach obiektów usługi katalogowej.

Jak już wspomniano, dynamiczne grupy zabezpieczeń mogą bazować na dwóch rodzajach obiektów, niestety bez możliwości łączenia członkostwa obydwu typów w ramach jednej grupy. Omawiana zasada ma proste wytłumaczenie – podczas budowania warunków nie można wykorzystywać atrybutów stosowanych w ramach drugiego typu obiektów, np. grupowania urządzeń, bazując na atrybutach ich właścicieli.

Do zbudowania warunku członkostwa musimy zdefiniować zestaw trzech niezbędnych elementów. Otóż pierwszym z nich są atrybuty obiektów, w ramach których będziemy wyszukiwać potencjalnych członków grupy, np. dział (ang. Department). Następnie musimy zdecydować, jaki zostanie zastosowany operator logiczny, np. wartości rozpoczynające się konkretnym wyrażeniem (startsWith). Ostatecznie warunek członkostwa kończymy zdefiniowaniem konkretnej wartości, która będzie wyszukiwana wśród zdeklarowanych typów obiektów usługi Azure AD.

Cała reguła członkostwa działa na zasadzie wyrażenia binarnego, dlatego jej wynik końcowy będzie zawierać wyłącznie jedną z dwóch wartości – prawdę lub fałsz – odpowiednio definiujących, czy dany obiekt ma być członkiem grupy, czy nie.

Należy jednak pamiętać, że aktualizacja członkostwa w grupach dynamicznych nie odbywa się natychmiastowo, mimo iż jest automatyczna. Gdy zmieniamy atrybuty, np. konta użytkownika, tak aby spełniały warunki reguły, użytkownik ten nie zostanie od razu członkiem wskazanej grupy dynamicznej. Jest to spowodowane okresową weryfikacją członkostwa dla każdej z grup dynamicznych. Wspomniany okres odświeżania grupy jest uzależniony od rozmiaru posiadanej usługi katalogowej. W przypadku niewielkich środowisk aktualizacje członkostwa mogą następować nawet co kilka minut, natomiast w przypadku większej liczby obiektów może to trwać nawet kilkadziesiąt minut lub dłużej. Chociaż nie ma możliwości ręcznego wymuszenia samej aktualizacji członkostwa, można ten proces wywołać poprzez zaktualizowanie reguły członkostwa. Gdy reguła się zmienia, wyzwalany jest proces ponownej aktualizacji dynamicznych członków grupy.

Jednym z dodatkowych ograniczeń grup dynamicznych jest brak możliwości przypisywania w nich ról w usłudze Azure AD. Próba skorzystania z opcji grupowego nadawania uprawnień automatycznie wykluczy funkcję zastosowania dynamicznego członkostwa. Niniejsza restrykcja jest podyktowana względami bezpieczeństwa, gdzie poprzez błędnie zdefiniowany warunek uczestnictwa nieopatrznie członkowie grupy mogliby otrzymać wysokie uprawnienia.

[...]

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.