Kiemelt szerepkörök és engedélyek a Microsoft Entra-azonosítóban (előzetes verzió)
Fontos
A kiemelt szerepkörök és engedélyek címkéje jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
A Microsoft Entra ID jogosultsággal rendelkező szerepkörök és engedélyek. Ezek a szerepkörök és engedélyek a címtárerőforrások felügyeletének más felhasználókra történő delegálására, hitelesítő adatok módosítására, hitelesítési vagy engedélyezési szabályzatok módosítására vagy korlátozott adatok elérésére használhatók. A kiemelt szerepkör-hozzárendelések emelt szintű jogosultsághoz vezethetnek, ha nem biztonságosan és szándékolt módon használják. Ez a cikk a kiemelt szerepköröket és engedélyeket, valamint a használathoz ajánlott eljárásokat ismerteti.
Mely szerepkörök és engedélyek élveznek jogosultságot?
A kiemelt szerepkörök és engedélyek listáját a Microsoft Entra beépített szerepkörei között találja. A Microsoft Entra Felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával is azonosíthatja a kiemeltként azonosított szerepköröket, engedélyeket és szerepkör-hozzárendeléseket.
A Microsoft Entra Felügyeleti központban keresse meg a PRIVILEGED címkét .
A Szerepkörök és rendszergazdák lapon a kiemelt szerepkörök a Privileged oszlopban vannak azonosítva. A Hozzárendelések oszlop felsorolja a szerepkör-hozzárendelések számát. A kiemelt szerepköröket is szűrheti.
Ha megtekinti a kiemelt szerepkörök engedélyeit, láthatja, hogy mely engedélyek élveznek jogosultságot. Ha alapértelmezett felhasználóként tekinti meg az engedélyeket, nem fogja látni, hogy mely engedélyek vannak jogosultsággal.
Amikor egyéni szerepkört hoz létre, láthatja, hogy mely engedélyek emelt szintűek, és az egyéni szerepkör kiemeltként lesz megjelölve.
Ajánlott eljárások a kiemelt szerepkörök használatához
Íme néhány ajánlott eljárás a kiemelt szerepkörök használatához.
- A minimális jogosultság elve
- A Privileged Identity Management használata igény szerint történő hozzáférés biztosításához
- A többtényezős hitelesítés bekapcsolása az összes rendszergazdai fiókhoz
- Ismétlődő hozzáférési felülvizsgálatok konfigurálása a szükségtelen engedélyek időbeli visszavonásához
- A globális Rendszergazda istratorok számának korlátozása 5-nél kevesebbre
- A kiemelt szerepkör-hozzárendelések számának korlátozása 10-nél kevesebbre
További információ: Ajánlott eljárások a Microsoft Entra-szerepkörökhöz.
Emelt szintű engedélyek és védett műveletek
A kiemelt engedélyek és a védett műveletek különböző célú, biztonsággal kapcsolatos képességek. A PRIVILEGED címkével rendelkező engedélyek segítenek azonosítani azokat az engedélyeket, amelyek jogosultságszint-emelt szintű jogosultsághoz vezethetnek, ha nem biztonságosan és rendeltetésszerűen használják. A védett műveletek olyan szerepkör-engedélyek, amelyek feltételes hozzáférési szabályzatokat kaptak a fokozott biztonság érdekében, például többtényezős hitelesítést igényelnek. A feltételes hozzáférési követelmények akkor lesznek érvényesítve, ha egy felhasználó végrehajtja a védett műveletet. A védett műveletek jelenleg előzetes verzióban érhetők el. További információ: Mik azok a védett műveletek a Microsoft Entra-azonosítóban?
| Funkció | Emelt szintű engedély | Védett művelet |
|---|---|---|
| A biztonságosan használandó engedélyek azonosítása | ✅ | |
| Művelet végrehajtásához további biztonság megkövetelése | ✅ |
Terminológia
A Microsoft Entra ID kiemelt szerepköreinek és engedélyeinek megismeréséhez az alábbi terminológiák némelyikét is megismerheti.
| Időszak | Definíció |
|---|---|
| művelet | Olyan tevékenység, amit egy biztonsági tag végezhet egy objektumtípuson. Néha műveletnek is nevezik. |
| Engedély | Egy definíció, amely meghatározza azt a tevékenységet, amelyet egy biztonsági tag végezhet egy objektumtípuson. Az engedélyek egy vagy több műveletet tartalmaznak. |
| emelt szintű engedély | A Microsoft Entra ID-ban a címtárerőforrások felügyeletének más felhasználók számára történő delegálására, hitelesítő adatok módosítására, hitelesítési vagy engedélyezési szabályzatok módosítására vagy korlátozott adatok elérésére használható engedélyek. |
| kiemelt szerepkör | Egy beépített vagy egyéni szerepkör, amely egy vagy több kiemelt engedéllyel rendelkezik. |
| emelt szintű szerepkör-hozzárendelés | Kiemelt szerepkört használó szerepkör-hozzárendelés. |
| jogosultságszint emelése | Ha egy biztonsági tag több engedélyt kap, mint a hozzárendelt szerepköre, amelyet eredetileg egy másik szerepkör megszemélyesítésével adott meg. |
| védett művelet | A feltételes hozzáféréssel rendelkező engedélyek további biztonságot igényelnek. |
A szerepkör-engedélyek ismertetése
Az engedélyek sémája lazán követi a Microsoft Graph REST formátumát:
<namespace>/<entity>/<propertySet>/<action>
Példa:
microsoft.directory/applications/credentials/update
| Engedélyelem | Leírás |
|---|---|
| névtér | Olyan termék vagy szolgáltatás, amely elérhetővé teszi a feladatot, és elő van állítva a következővel microsoft: . A Microsoft Entra ID-ban például minden tevékenység a microsoft.directory névteret használja. |
| Entitás | A szolgáltatás által a Microsoft Graphban közzétett logikai funkció vagy összetevő. A Microsoft Entra ID például elérhetővé teszi a felhasználókat és csoportokat, a OneNote pedig jegyzeteket tesz közzé, az Exchange pedig postaládákat és naptárakat tesz elérhetővé. Van egy speciális allEntities kulcsszó a névtérben lévő összes entitás megadásához. Ezt gyakran használják olyan szerepkörökben, amelyek hozzáférést biztosítanak egy teljes termékhez. |
| propertySet | Annak az entitásnak a konkrét tulajdonságai vagy aspektusai, amelyekhez hozzáférést adnak. Például microsoft.directory/applications/authentication/read lehetővé teszi a válasz URL-cím, a kijelentkezés URL-címe és az implicit folyamat tulajdonság olvasását az alkalmazásobjektumon a Microsoft Entra-azonosítóban.
|
| művelet | A művelet meg van adva, általában létrehozás, olvasás, frissítés vagy törlés (CRUD). A fenti képességek (létrehozás, olvasás, frissítés és törlés) megadására egy speciális allTasks kulcsszó használható. |
Hitelesítési szerepkörök összehasonlítása
Az alábbi táblázat a hitelesítéssel kapcsolatos szerepkörök képességeit hasonlítja össze.
| Szerepkör | A felhasználó hitelesítési módszereinek kezelése | Felhasználónkénti MFA kezelése | MFA-beállítások kezelése | A hitelesítési módszerek szabályzatának kezelése | A jelszavas védelemre vonatkozó szabályzat kezelése | Érzékeny tulajdonságok frissítése | Felhasználók törlése és visszaállítása |
|---|---|---|---|---|---|---|---|
| Hitelesítési Rendszergazda istrator | Igen néhány felhasználó számára | Igen néhány felhasználó számára | Nem | Nem | Nem | Igen néhány felhasználó számára | Igen néhány felhasználó számára |
| Privileged Authentication Rendszergazda istrator | Igen, minden felhasználó esetében | Igen, minden felhasználó esetében | Nem | Nem | Nem | Igen, minden felhasználó esetében | Igen, minden felhasználó esetében |
| Hitelesítési házirend Rendszergazda istrator | Nem | Nem | Igen | Igen | Igen | Nem | Nem |
| Felhasználói rendszergazda | Nem | Nem | Nem | Nem | Nem | Igen néhány felhasználó számára | Igen néhány felhasználó számára |
Ki állíthatja vissza a jelszavakat?
Az alábbi táblázatban az oszlopok felsorolják azokat a szerepköröket, amelyek alaphelyzetbe állíthatják a jelszavakat, és érvényteleníthetik a frissítési jogkivonatokat. A sorok felsorolják azokat a szerepköröket, amelyekhez a jelszó alaphelyzetbe állítható. A Jelszó Rendszergazda istrator például alaphelyzetbe állíthatja a címtárolvasók, a vendéghívó, a jelszó Rendszergazda istrator és a rendszergazdai szerepkörrel nem rendelkező felhasználók jelszavát. Ha egy felhasználó más szerepkörhöz van hozzárendelve, a Jelszó Rendszergazda istrator nem tudja alaphelyzetbe állítani a jelszavát.
Az alábbi táblázat a bérlő hatókörében hozzárendelt szerepkörökre terjed ki. A felügyeleti egység hatókörében hozzárendelt szerepkörökre további korlátozások vonatkoznak.
| A jelszó alaphelyzetbe állítható szerepköre | Jelszó Rendszergazda | Segélyszolgálati Rendszergazda | Hitelesítés Rendszergazda | Felhasználói Rendszergazda | Privileged Auth Rendszergazda | Globális rendszergazda |
|---|---|---|---|---|---|---|
| Hitelesítés Rendszergazda | ✅ | ✅ | ✅ | |||
| Címtárolvasók | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Globális rendszergazda | ✅ | ✅* | ||||
| Csoportok Rendszergazda | ✅ | ✅ | ✅ | |||
| Vendégmeghívó | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Segélyszolgálati Rendszergazda | ✅ | ✅ | ✅ | ✅ | ||
| Üzenetközpont olvasója | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Jelszó Rendszergazda | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Privileged Auth Rendszergazda | ✅ | ✅ | ||||
| Emelt szintű szerepkör Rendszergazda | ✅ | ✅ | ||||
| Jelentésolvasó | ✅ | ✅ | ✅ | ✅ | ✅ | |
| User (nincs rendszergazdai szerepkör) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| User (nincs rendszergazdai szerepkör, de egy szerepkörhöz hozzárendelhető csoport tagja vagy tulajdonosa) |
✅ | ✅ | ||||
| Korlátozott felügyeleti felügyeleti egységre hatókörrel rendelkező felhasználó | ✅ | ✅ | ||||
| Felhasználói Rendszergazda | ✅ | ✅ | ✅ | |||
| Használati összefoglaló jelentések olvasója | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Minden egyéni szerepkör | ✅ | ✅ |
Fontos
A partnerszintű 2. szintű támogatási szerepkör alaphelyzetbe állíthatja a jelszavakat, és érvénytelenítheti a frissítési jogkivonatokat az összes nem rendszergazda és rendszergazda számára (beleértve a globális Rendszergazda istratorokat). A partnerszintű 1. szintű támogatási szerepkör alaphelyzetbe állíthatja a jelszavakat, és érvénytelenítheti a frissítési jogkivonatokat csak a nem rendszergazdák számára. Ezeket a szerepköröket nem szabad használni, mert elavultak.
A jelszó alaphelyzetbe állításának lehetősége magában foglalja az önkiszolgáló jelszó-visszaállításhoz szükséges alábbi bizalmas tulajdonságok frissítését:
- üzleti Telefon
- mobil Telefon
- otherMails
Ki hajthat végre bizalmas műveleteket?
Egyes rendszergazdák az alábbi bizalmas műveleteket hajthatják végre egyes felhasználók számára. Minden felhasználó elolvashatja a bizalmas tulajdonságokat.
| Bizalmas művelet | Bizalmas tulajdonság neve |
|---|---|
| Felhasználók letiltása vagy engedélyezése | accountEnabled |
| Üzleti telefon frissítése | businessPhones |
| Mobiltelefon frissítése | mobilePhone |
| A helyszíni nem módosítható azonosító frissítése | onPremisesImmutableId |
| Egyéb e-mailek frissítése | otherMails |
| Jelszóprofil frissítése | passwordProfile |
| Egyszerű felhasználónév frissítése | userPrincipalName |
| Felhasználók törlése vagy visszaállítása | Nem alkalmazható |
Az alábbi táblázatban az oszlopok felsorolják a bizalmas műveleteket végrehajtó szerepköröket. A sorok felsorolják azokat a szerepköröket, amelyeken a bizalmas művelet végrehajtható.
Az alábbi táblázat a bérlő hatókörében hozzárendelt szerepkörökre terjed ki. A felügyeleti egység hatókörében hozzárendelt szerepkörökre további korlátozások vonatkoznak.
| Olyan szerepkör, amelyen a bizalmas művelet végrehajtható | Hitelesítés Rendszergazda | Felhasználói Rendszergazda | Privileged Auth Rendszergazda | Globális rendszergazda |
|---|---|---|---|---|
| Hitelesítés Rendszergazda | ✅ | ✅ | ✅ | |
| Címtárolvasók | ✅ | ✅ | ✅ | ✅ |
| Globális rendszergazda | ✅ | ✅ | ||
| Csoportok Rendszergazda | ✅ | ✅ | ✅ | |
| Vendégmeghívó | ✅ | ✅ | ✅ | ✅ |
| Segélyszolgálati Rendszergazda | ✅ | ✅ | ✅ | |
| Üzenetközpont olvasója | ✅ | ✅ | ✅ | ✅ |
| Jelszó Rendszergazda | ✅ | ✅ | ✅ | ✅ |
| Privileged Auth Rendszergazda | ✅ | ✅ | ||
| Emelt szintű szerepkör Rendszergazda | ✅ | ✅ | ||
| Jelentésolvasó | ✅ | ✅ | ✅ | ✅ |
| User (nincs rendszergazdai szerepkör) |
✅ | ✅ | ✅ | ✅ |
| User (nincs rendszergazdai szerepkör, de egy szerepkörhöz hozzárendelhető csoport tagja vagy tulajdonosa) |
✅ | ✅ | ||
| Korlátozott felügyeleti felügyeleti egységre hatókörrel rendelkező felhasználó | ✅ | ✅ | ||
| Felhasználói Rendszergazda | ✅ | ✅ | ✅ | |
| Használati összefoglaló jelentések olvasója | ✅ | ✅ | ✅ | ✅ |
| Minden egyéni szerepkör | ✅ | ✅ |