Wyjaśnienie pojęcia ról w usłudze identyfikatora Microsoft Entra
Istnieje około 60 wbudowanych ról usługi Microsoft Entra, które są rolami o stałym zestawie uprawnień roli. Aby uzupełnić wbudowane role, usługa identyfikatora Microsoft Entra obsługuje również role niestandardowe. Użyj ról niestandardowych, aby wybrać żądane uprawnienia roli. Można na przykład utworzyć jeden do zarządzania konkretnymi zasobami firmy Microsoft Entra, takimi jak aplikacje lub jednostki usługi.
W tym artykule wyjaśniono, czym są role entra firmy Microsoft i jak można ich używać.
Czym różnią się role usługi Microsoft Entra od innych ról platformy Microsoft 365
Istnieje wiele różnych usług na platformie Microsoft 365, takich jak Microsoft Entra ID i Intune. Niektóre z tych usług mają własne systemy kontroli dostępu opartej na rolach, w szczególności:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Portal Microsoft 365 Defender
- Portal zgodności
- Zarządzanie kosztami i rozliczenia
Inne usługi, takie jak Teams, SharePoint i Managed Desktop, nie mają oddzielnych systemów kontroli dostępu opartej na rolach. Do uzyskiwania dostępu administracyjnego używają ról firmy Microsoft Entra. Platforma Azure ma własny system kontroli dostępu opartej na rolach dla zasobów platformy Azure, takich jak maszyny wirtualne, a ten system nie jest taki sam jak role firmy Microsoft Entra.
Gdy mówimy, że oddzielny system kontroli dostępu oparty na rolach. oznacza to, że istnieje inny magazyn danych, w którym są przechowywane definicje ról i przypisania ról. Podobnie istnieje inny punkt decyzyjny zasad, w którym odbywa się sprawdzanie dostępu. Aby uzyskać więcej informacji, zobacz Role dla usług Platformy Microsoft 365 w temacie Microsoft Entra ID i Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Dlaczego niektóre role firmy Microsoft Entra są przeznaczone dla innych usług
Platforma Microsoft 365 ma wiele systemów kontroli dostępu opartej na rolach, które są opracowywane niezależnie w czasie, z których każdy ma własny portal usług. Aby ułatwić zarządzanie tożsamościami na platformie Microsoft 365 z poziomu centrum administracyjnego firmy Microsoft Entra, dodaliśmy kilka wbudowanych ról specyficznych dla usługi, z których każda udziela dostępu administracyjnego do usługi Microsoft 365. Przykładem tego dodatku jest rola Administracja istratora programu Exchange w identyfikatorze Entra firmy Microsoft. Ta rola jest równoważna grupie ról Zarządzanie organizacją w systemie kontroli dostępu opartej na rolach programu Exchange i może zarządzać wszystkimi aspektami programu Exchange. Podobnie dodaliśmy rolę Administracja istratora usługi Intune, Administracja istratora usługi Teams, Administracja istratora programu SharePoint itd. Role specyficzne dla usługi to jedna z kategorii wbudowanych ról firmy Microsoft w poniższej sekcji.
Kategorie ról firmy Microsoft Entra
Wbudowane role firmy Microsoft Entra różnią się w zależności od tego, gdzie można ich używać, które należą do następujących trzech szerokich kategorii.
- Role specyficzne dla identyfikatora firmy Microsoft: te role udzielają uprawnień do zarządzania zasobami tylko w firmie Microsoft. Na przykład user Administracja istrator, Application Administracja istrator, Groups Administracja istrator all grant permissions to manage resources that live in Microsoft Entra ID (Grupy Administracja istrator wszystkie uprawnienia do zarządzania zasobami mieszkającymi w usłudze Microsoft Entra ID).
- Role specyficzne dla usługi: w przypadku głównych usług Platformy Microsoft 365 (spoza usługi Azure AD) utworzyliśmy role specyficzne dla usługi, które udzielają uprawnień do zarządzania wszystkimi funkcjami w usłudze. Na przykład usługa Exchange Administracja istrator, usługa Intune Administracja istrator, Administracja istrator programu SharePoint i role usługi Teams Administracja istrator mogą zarządzać funkcjami za pomocą odpowiednich usług. Program Exchange Administracja istrator może zarządzać skrzynkami pocztowymi, usługa Intune Administracja istrator może zarządzać zasadami urządzeń, Administracja istrator programu SharePoint może zarządzać zbiorami witryn, usługa Teams Administracja istrator może zarządzać cechami wywołań itd.
- Role między usługami: istnieją pewne role obejmujące usługi. Mamy dwie role globalne — globalny Administracja istrator i czytelnik globalny. Wszystkie usługi platformy Microsoft 365 uznają te dwie role. Ponadto istnieją pewne role związane z zabezpieczeniami, takie jak Security Administracja istrator i Czytelnik zabezpieczeń, które udzielają dostępu w wielu usługach zabezpieczeń w ramach platformy Microsoft 365. Na przykład przy użyciu ról Administracja istratora zabezpieczeń w usłudze Microsoft Entra ID można zarządzać portalem usługi Microsoft 365 Defender, zaawansowaną ochroną przed zagrożeniami w usłudze Microsoft Defender i aplikacjami Microsoft Defender dla Chmury. Podobnie w roli Administracja istrator zgodności można zarządzać ustawieniami związanymi ze zgodnością w portalu zgodności, programie Exchange itd.
Poniższa tabela jest oferowana jako pomoc w zrozumieniu tych kategorii ról. Kategorie są nazwane arbitralnie i nie są przeznaczone do oznaczania żadnych innych możliwości poza udokumentowanymi uprawnieniami roli firmy Microsoft Entra.
Kategoria | Rola |
---|---|
Role specyficzne dla identyfikatora firmy Microsoft | Administrator aplikacji Deweloper aplikacji Administrator uwierzytelniania administrator zestawu kluczy IEF B2C administrator zasad IEF B2C Administrator aplikacji w chmurze Administracja istrator urządzeń w chmurze Administracja istrator dostępu warunkowego Administracja istratory urządzeń Czytelnicy katalogów Konta synchronizacji katalogów Autorzy katalogów Przepływ użytkownika identyfikatora zewnętrznego Administracja istrator Atrybut przepływu użytkownika identyfikatora zewnętrznego Administracja istrator Dostawca tożsamości zewnętrznej Administracja istrator Administracja istrator grup Osoba zapraszana gościa Pomoc techniczna Administracja istrator Administracja istrator tożsamości hybrydowej Administracja istrator licencji Pomoc techniczna dla partnerów w warstwie 1 Pomoc techniczna dla partnerów w warstwie 2 Administracja istrator haseł Administrator uwierzytelniania uprzywilejowanego Administrator ról uprzywilejowanych Czytelnik raportów Administrator użytkowników |
Role między usługami | Globalny administrator usługi Administracja istrator zgodności Administracja istrator danych zgodności Czytelnik globalny Administrator zabezpieczeń Operator zabezpieczeń Czytelnik zabezpieczeń Administracja istrator pomocy technicznej usługi |
Role specyficzne dla usługi | Usługa Azure DevOps Administracja istrator Administracja istrator usługi Azure Information Protection Administrator rozliczeń Administracja istrator usługi CRM Osoba zatwierdzająca dostęp do skrytki klienta Administracja istrator usługi Desktop Analytics Administracja istrator usługi Exchange Szczegółowe informacje Administracja istrator lider biznesowy Szczegółowe informacje Administrator usługi Intune Kaizala Administracja istrator Administracja istrator usługi Lync Czytelnik prywatności Centrum wiadomości Czytelnik Centrum wiadomości Modern Commerce Administracja istrator Administracja istrator sieci Administracja istrator aplikacji pakietu Office Administracja istrator usługi Power BI Administracja istrator platformy Power Platform Administracja istrator drukarki Technik drukarki Administracja istrator wyszukiwania Edytor wyszukiwania Administracja istrator usługi sharePoint Administracja istrator komunikacji usługi Teams Inżynier pomocy technicznej aplikacji Teams Communications Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams Usługa Teams Devices Administracja istrator Administracja istrator usługi Teams |