Szerepköralapú hozzáférés-vezérlés áttekintése a Microsoft Entra ID-ben

Ez a cikk a Microsoft Entra szerepköralapú hozzáférés-vezérlésének megértését ismerteti. A Microsoft Entra-szerepkörök lehetővé teszik, hogy részletes engedélyeket adjon a rendszergazdáknak, betartva a minimális jogosultság elvét. A Microsoft Entra beépített és egyéni szerepkörei az Azure-erőforrások (Azure-szerepkörök) szerepköralapú hozzáférés-vezérlési rendszeréhez hasonló fogalmakon alapulnak. A két szerepköralapú hozzáférés-vezérlési rendszer közötti különbség a következő:

  • A Microsoft Entra-szerepkörök a Microsoft Graph API használatával szabályozhatják a Microsoft Entra-erőforrásokhoz, például a felhasználókhoz, csoportokhoz és alkalmazásokhoz való hozzáférést
  • Az Azure-szerepkörök az Azure-erőforrásokhoz, például virtuális gépekhez vagy tárolókhoz való hozzáférést szabályozzák az Azure Resource Management használatával

Mindkét rendszer hasonlóan használt szerepkördefiníciókat és szerepkör-hozzárendeléseket tartalmaz. A Microsoft Entra szerepkör-engedélyei azonban nem használhatók az Azure-beli egyéni szerepkörökben, és fordítva.

A Microsoft Entra szerepköralapú hozzáférés-vezérlésének ismertetése

A Microsoft Entra ID kétféle szerepkördefiníciót támogat:

A beépített szerepkörök beépített szerepkörök, amelyek rögzített engedélykészlettel rendelkeznek. These role definitions cannot be modified. A Microsoft Entra ID számos beépített szerepkört támogat, és a lista egyre bővül. Az élek lekerekítéséhez és a kifinomult követelményeknek való megfeleléshez a Microsoft Entra ID az egyéni szerepköröket is támogatja. Az egyéni Microsoft Entra-szerepkörökkel történő engedélyezés kétlépcsős folyamat, amely magában foglalja egy egyéni szerepkör-definíció létrehozását, majd szerepkör-kijelöléssel történő hozzárendelését. A custom role definition is a collection of permissions that you add from a preset list. These permissions are the same permissions used in the built-in roles.

Az egyéni szerepkör-definíció létrehozását (vagy egy beépített szerepkör kiválasztását) követően szerepkör-hozzárendelés létrehozásával rendelheti azt hozzá egy felhasználóhoz. A role assignment grants the user the permissions in a role definition at a specified scope. This two-step process allows you to create a single role definition and assign it many times at different scopes. A hatókör határozza meg, hogy a szerepkörtag milyen Microsoft Entra-erőforrásokhoz fér hozzá. The most common scope is organization-wide (org-wide) scope. Az egyéni szerepkörnek adható szervezeti szintű hatókör, ebben az esetben a szerepkörtag a szervezet összes erőforrására vonatkozóan megkapja a szerepkör engedélyeit. A custom role can also be assigned at an object scope. An example of an object scope would be a single application. The same role can be assigned to one user over all applications in the organization and then to another user with a scope of only the Contoso Expense Reports app.

Hogyan határozza meg a Microsoft Entra ID, hogy egy felhasználó rendelkezik-e hozzáféréssel egy erőforráshoz

Az alábbiakban a Microsoft Entra ID által használt magas szintű lépéseket követjük annak megállapításához, hogy rendelkezik-e hozzáféréssel egy felügyeleti erőforráshoz. Ezekkel az információkkal elháríthatja a hozzáférési problémákat.

  1. Egy felhasználó (vagy szolgáltatásnév) jogkivonatot szerez be a Microsoft Graph-végponthoz.
  2. A felhasználó API-hívást kezdeményez a Microsoft Entra-azonosítóhoz a Microsoft Graphon keresztül a kibocsátott jogkivonat használatával.
  3. A körülményektől függően a Microsoft Entra ID az alábbi műveletek egyikét hajtja végre:
  4. A Microsoft Entra ID meghatározza, hogy az API-hívásban szereplő művelet szerepel-e az erőforráshoz tartozó szerepkörökben.
  5. Ha a felhasználónak nincs szerepköre a művelettel a kért hatókörben, a hozzáférés nem lesz engedélyezve. Egyéb esetben hozzáférést biztosít.

Szerepkör-hozzárendelés

A szerepkör-hozzárendelés egy Microsoft Entra-erőforrás, amely egy szerepkördefiníciót csatol egy biztonsági taghoz egy adott hatókörben , hogy hozzáférést biztosítson a Microsoft Entra-erőforrásokhoz. A hozzáférés szerepkör-hozzárendelés létrehozásával biztosítható, és a szerepkör-hozzárendelés törlésével vonható vissza. A szerepkör-hozzárendelés lényege három elemből áll:

  • Biztonsági tag – Az engedélyeket lekérő identitás. Ez lehet felhasználó, csoport vagy szolgáltatásnév.
  • Szerepkördefiníció – Engedélyek gyűjteménye.
  • Hatókör – Az engedélyek alkalmazhatóságának korlátozásának módja.

Szerepkör-hozzárendeléseket hozhat létre, és listázhatja a szerepkör-hozzárendeléseket a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával. Az Azure CLI nem támogatott a Microsoft Entra szerepkör-hozzárendeléseihez.

Az alábbi ábrán egy példa látható szerepkör-hozzárendelésre. Ebben a példában Chris hozzárendelte az alkalmazásregisztrációs Rendszergazda istrator egyéni szerepkört a Contoso Widget Builder alkalmazásregisztrációjának hatókörébe. A hozzárendelés csak az adott alkalmazásregisztrációhoz adja meg Chrisnek az alkalmazásregisztrációs Rendszergazda istrator szerepkör engedélyeit.

Role assignment is how permissions are enforced and has three parts.

Rendszerbiztonsági tag

A biztonsági tagok olyan felhasználót, csoportot vagy szolgáltatásnevet jelölnek, amely hozzáféréssel rendelkezik a Microsoft Entra-erőforrásokhoz. A felhasználó olyan személy, aki rendelkezik felhasználói profillal a Microsoft Entra-azonosítóban. A csoport egy új Microsoft 365-ös vagy biztonsági csoport, amely szerepkör-hozzárendelhető csoportként lett beállítva. A szolgáltatásnév egy olyan identitás, amely alkalmazásokkal, üzemeltetett szolgáltatásokkal és automatizált eszközökkel való használatra készült a Microsoft Entra-erőforrások eléréséhez.

Szerepkör-definíció

A szerepkördefiníciók vagy szerepkörök engedélyek gyűjteményei. A szerepkördefiníciók felsorolják a Microsoft Entra-erőforrásokon végrehajtható műveleteket, például létrehozást, olvasást, frissítést és törlést. A Microsoft Entra-azonosító kétféle szerepkört kínál:

  • A Microsoft által létrehozott beépített szerepkörök nem módosíthatók.
  • A szervezet által létrehozott és felügyelt egyéni szerepkörök.

Scope

A hatókörök lehetővé teszik az engedélyezett műveletek egy adott erőforráskészletre való korlátozását egy szerepkör-hozzárendelés részeként. Ha például egyéni szerepkört szeretne hozzárendelni egy fejlesztőhöz, de csak egy adott alkalmazásregisztráció kezeléséhez, az adott alkalmazásregisztrációt hatókörként is felveheti a szerepkör-hozzárendelésbe.

Szerepkör hozzárendelésekor a következő hatókörtípusok egyikét kell megadnia:

Ha hatókörként egy Microsoft Entra-erőforrást ad meg, az a következők egyike lehet:

  • Microsoft Entra csoportok
  • Vállalati alkalmazások
  • Alkalmazásregisztrációk

További információ: Microsoft Entra-szerepkörök hozzárendelése különböző hatókörökben.

Szerepkör-hozzárendelési beállítások

A Microsoft Entra ID több lehetőséget is kínál a szerepkörök hozzárendelésére:

  • A szerepköröket közvetlenül is hozzárendelheti a felhasználókhoz, ez az alapértelmezett módja a szerepkörök hozzárendelésének. A beépített és az egyéni Microsoft Entra-szerepkörök is hozzárendelhetők a felhasználókhoz a hozzáférési követelmények alapján. További információ: Microsoft Entra-szerepkörök hozzárendelése felhasználókhoz.
  • A P1 Microsoft Entra-azonosítóval szerepkörhöz rendelhető csoportokat hozhat létre, és szerepköröket rendelhet hozzájuk. A szerepkörök személyek helyett csoporthoz való hozzárendelése lehetővé teszi a felhasználók egyszerű hozzáadását vagy eltávolítását egy szerepkörből, és konzisztens engedélyeket hoz létre a csoport minden tagjának. További információ: Microsoft Entra-szerepkörök hozzárendelése csoportokhoz.
  • A P2 Microsoft Entra-azonosítóval a Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) használatával igény szerinti hozzáférést biztosíthat a szerepkörökhöz. Ez a funkció lehetővé teszi, hogy egy szerepkörhöz időkorlátos hozzáférést biztosítson azoknak a felhasználóknak, akiknek szüksége van rá, és nem biztosít állandó hozzáférést. Emellett részletes jelentéskészítési és naplózási képességeket is biztosít. További információ: Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben.

License requirements

A beépített szerepkörök használata a Microsoft Entra-azonosítóban ingyenes. Az egyéni szerepkörök használatához minden egyéni szerepkör-hozzárendeléssel rendelkező felhasználóhoz Microsoft Entra ID P1 licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.

További lépések