Principy rolí v Azure Active Directory
Přibližně 60 Azure Active Directory předdefinované role (Azure AD), což jsou role s pevnou sadu oprávnění rolí. Aby bylo možné doplnit předdefinované role, Azure AD také podporuje vlastní role. Pomocí vlastních rolí vyberte požadovaná oprávnění role. Můžete například vytvořit pro správu konkrétních prostředků Azure AD, jako jsou aplikace nebo objekty služby.
Tento článek vysvětluje, co jsou role Azure AD a jak je možné je používat.
Jak se role Azure AD liší od ostatních Microsoft 365 rolí
Ve službě Azure Microsoft 365 mnoho různých služeb, jako je Azure AD a Intune. Některé z těchto služeb mají vlastní systémy řízení přístupu na základě role, konkrétně:
- Azure AD
- Výměna
- Intune
- Defender for Cloud
- Centrum dodržování předpisů
- Microsoft Defender for Cloud Apps
- Obchod
Jiné služby, jako Teams, SharePoint a Managed Desktop, nemají samostatné systémy řízení přístupu na základě role. Pro přístup pro správu používají role Azure AD. Azure má vlastní systém řízení přístupu na základě role pro prostředky Azure, jako jsou virtuální počítače, a tento systém není stejný jako role Azure AD.
Když říkáme samostatný systém řízení přístupu na základě role. To znamená, že existuje jiné úložiště dat, ve kterém jsou uložené definice rolí a přiřazení rolí. Podobně existuje jiný rozhodovací bod zásad, ve kterém prochádnou kontroly přístupu. Další informace najdete v tématu Role pro Microsoft 365 služeb v Azure AD a klasických rolích správce předplatného, rolích Azure a rolích Azure AD.
Proč jsou některé role Azure AD pro jiné služby
Microsoft 365 několik systémů řízení přístupu na základě role, které se vyvíjely nezávisle v průběhu času, z nichž každý má vlastní portál služeb. Aby bylo pro vás výhodné spravovat identitu napříč Microsoft 365 z Azure Portal, přidali jsme některé předdefinované role specifické pro službu, z nichž každá uděluje přístup pro správu k Microsoft 365 službě. Příkladem tohoto přidání je role Exchange ve službě Azure AD. Tato role je ekvivalentní skupině role Správa organizace v Exchange řízení přístupu na základě role a může spravovat všechny aspekty Exchange. Podobně jsme přidali roli správce Intune, správce Teams, správce SharePoint a tak dále. Role specifické pro službu jsou jednou z kategorií předdefinované role Azure AD v následující části.
Kategorie rolí Azure AD
Předdefinované role Azure AD se liší v tom, kde je lze použít, které spadají do následujících tří širokých kategorií.
- Role specifické pro Azure AD: Tyto role udělovat oprávnění ke správě prostředků pouze v rámci Azure AD. Například správce uživatelů, správce aplikací nebo správce skupin udělte oprávnění ke správě prostředků, které se nachází v Azure AD.
- Role specifické pro službu: Pro hlavní Microsoft 365 služeb (mimo Azure AD) jsme sestaví role specifické pro službu, které udělí oprávnění ke správě všech funkcí v rámci služby. Například role Exchange, správce Intune, správce SharePoint a správce Teams mohou spravovat funkce s příslušnými službami. Exchange Správce může spravovat poštovní schránky, správce Intune může spravovat zásady zařízení, SharePoint správce může spravovat kolekce webů, Teams správce může spravovat kvality volání atd.
- Role mezi službami: Některé role zahrnují služby. Máme dvě globální role – globální správce a globální čtenář. Všechny Microsoft 365 služby tyto dvě role respektují. Existují také některé role související se zabezpečením, jako je správce zabezpečení a čtenář zabezpečení, které udělovat přístup mezi několika službami zabezpečení v rámci Microsoft 365. Například pomocí rolí Správce zabezpečení v Azure AD můžete spravovat Microsoft 365 Defender Portal, Rozšířená ochrana před internetovými útoky v programu Microsoft Defender a Microsoft Defender for Cloud Apps. Podobně v roli Správce dodržování předpisů můžete spravovat nastavení související s dodržováním předpisů v centru Microsoft 365 dodržování předpisů, Exchange a tak dále.
Následující tabulka je nabízena jako pomůcka k pochopení těchto kategorií rolí. Kategorie jsou pojmenovány libovolně a nejsou určené k tomu, aby kromě zdokumentovaných oprávnění role Azure AD naznačily žádné další možnosti.
| Kategorie | Role |
|---|---|
| Role specifické pro Azure AD | Správce aplikace Vývojář aplikace Správce ověřování Správce sady klíčů IEF B2C Správce zásad IEF B2C Správce cloudové aplikace Správce cloudových zařízení Správce podmíněného přístupu Správci služeb Čtenáři adresářů Účty synchronizace adresářů Zapisovače adresářů Externí ID správce Flow ID Externí ID správce Flow atributu Správce externího zprostředkovatele identity Správce skupin Pozvaný host Správce helpdesku Správce hybridních identit Správce licencí Partner – podpora vrstvy 1 Partner Tier2 Support Správce hesel Správce privilegovaného ověřování Správce privilegovaných rolí Čtenář sestav Správce uživatelů |
| Role mezi službou | Globální správce Správce dodržování předpisů Správce dat dodržování předpisů Global Reader Správce zabezpečení Operátor zabezpečení Čtenář zabezpečení Správce podpory služeb |
| Role specifické pro službu | Azure DevOps Správce Azure Information Protection správce Správce fakturace Správce služby CRM Customer LockBox Access Approver Desktop Analytics správce Exchange Správce služeb Přehledy Správce Přehledy Vedoucí obchodního týmu Správce služby Intune Kaizala Správce Lync Service Administrator Centrum zpráv ochrany osobních údajů Centrum zpráv čtečky Modern Commerce User Správce sítě Office Správce aplikací Správce služby Power BI Power Platform správce Správce tiskárny Technik tiskárny Správce vyhledávání Editor vyhledávání SharePoint Správce služeb Teams Správce komunikace Teams Technik podpory komunikace Teams Specialista na podporu komunikace Teams Správce zařízení Teams Správce |
Další kroky
- Přehled řízení přístupu na základě role v Azure AD
- Vytvoření přiřazení rolí pomocí Azure Portal, Azure AD PowerShellu a Graph API
- Zobrazení seznamu přiřazení rolí