Omówienie kontroli dostępu opartej na rolach w usłudze Microsoft Entra ID

W tym artykule opisano sposób zrozumienia kontroli dostępu opartej na rolach firmy Microsoft. Role firmy Microsoft Entra umożliwiają przyznawanie administratorom szczegółowych uprawnień, przestrzegając zasady najniższych uprawnień. Wbudowane i niestandardowe role firmy Microsoft działają na pojęciach podobnych do tych, które można znaleźć w systemie kontroli dostępu opartej na rolach dla zasobów platformy Azure (role platformy Azure). Różnica między tymi dwoma systemami kontroli dostępu opartej na rolach jest:

• Role firmy Microsoft Entra kontrolują dostęp do zasobów firmy Microsoft Entra, takich jak użytkownicy, grupy i aplikacje przy użyciu interfejsu API programu Microsoft Graph
• Role platformy Azure kontrolują dostęp do zasobów platformy Azure, takich jak maszyny wirtualne lub magazyn przy użyciu usługi Azure Resource Management

Oba systemy zawierają podobnie używane definicje ról i przypisania ról. Jednak uprawnienia roli Entra firmy Microsoft nie mogą być używane w rolach niestandardowych platformy Azure i na odwrót.

Omówienie kontroli dostępu opartej na rolach firmy Microsoft

Identyfikator Entra firmy Microsoft obsługuje dwa typy definicji ról:

• Role wbudowane
• Role niestandardowe

Wbudowane role to gotowe role, które mają stały zestaw uprawnień. Nie można modyfikować tych definicji ról. Istnieje wiele wbudowanych ról , które obsługuje identyfikator Entra firmy Microsoft, a lista rośnie. Aby zaokrąglić krawędzie i spełnić zaawansowane wymagania, identyfikator Entra firmy Microsoft obsługuje również role niestandardowe. Udzielanie uprawnień przy użyciu ról niestandardowych usługi Microsoft Entra jest procesem dwuetapowym obejmującym utworzenie niestandardowej definicji roli, a następnie przypisanie jej przy użyciu przypisania roli. Definicja roli niestandardowej to kolekcja uprawnień dodawanych z listy ustawień wstępnych. Są to te same uprawnienia, które są używane w rolach wbudowanych.

Po utworzeniu definicji roli niestandardowej (lub w razie używania roli wbudowanej) możesz przypisać ją do użytkownika, tworząc przypisanie roli. Przypisanie roli powoduje udzielenie użytkownikowi uprawnień z definicji roli w określonym zakresie. Ten dwuetapowy proces umożliwia utworzenie pojedynczej definicji roli i przypisanie jej wiele razy w różnych zakresach. Zakres definiuje zestaw zasobów usługi Microsoft Entra, do których członek roli ma dostęp. Najczęstszym zakresem jest zakres obejmujący całą organizację (w całej organizacji). Rolę niestandardową można przypisać w zakresie obejmującym całą organizację, co oznacza, że członek roli ma uprawnienia roli do wszystkich zasobów w organizacji. Rolę niestandardową można również przypisać w zakresie obiektu. Przykładem zakresu obiektu jest pojedyncza aplikacja. Tę samą rolę można przypisać do jednego użytkownika we wszystkich aplikacjach w organizacji, a następnie do innego użytkownika z zakresem tylko dla aplikacji Contoso Expense Reports.

Jak identyfikator Entra firmy Microsoft określa, czy użytkownik ma dostęp do zasobu

Poniżej przedstawiono ogólne kroki używane przez usługę Microsoft Entra ID w celu określenia, czy masz dostęp do zasobu zarządzania. Skorzystaj z tych informacji, aby rozwiązać problemy z dostępem.

1. Użytkownik (lub jednostka usługi) uzyskuje token do punktu końcowego programu Microsoft Graph.
2. Użytkownik wykonuje wywołanie interfejsu API do identyfikatora Entra firmy Microsoft za pośrednictwem programu Microsoft Graph przy użyciu wystawionego tokenu.
3. W zależności od okoliczności identyfikator Entra firmy Microsoft wykonuje jedną z następujących czynności:
   • Ocenia członkostwo użytkownika w rolach na podstawie oświadczenia wids w tokenie dostępu użytkownika.
   • Pobiera wszystkie przypisania ról, które mają zastosowanie do użytkownika, bezpośrednio lub za pośrednictwem członkostwa w grupie, do zasobu, na którym jest wykonywana akcja.
4. Identyfikator Entra firmy Microsoft określa, czy akcja wywołania interfejsu API jest uwzględniona w rolach, które użytkownik ma dla tego zasobu.
5. Jeśli użytkownik nie ma roli z akcją w żądanym zakresie, dostęp nie zostanie udzielony. Jeśli nie, dostęp jest udzielany.

Przypisanie roli

Przypisanie roli to zasób firmy Microsoft Entra, który dołącza definicję roli do podmiotu zabezpieczeń w określonym zakresie w celu udzielenia dostępu do zasobów firmy Microsoft Entra. Udzielenie dostępu polega na utworzeniu przypisania roli, a odwołanie dostępu — na usunięciu przypisania roli. W jej rdzeniu przypisanie roli składa się z trzech elementów:

• Podmiot zabezpieczeń — tożsamość, która pobiera uprawnienia. Może to być użytkownik, grupa lub jednostka usługi.
• Definicja roli — kolekcja uprawnień.
• Zakres — sposób ograniczenia, w którym te uprawnienia mają zastosowanie.

Przypisania ról można tworzyć i wyświetlać listę przypisań ról przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. Interfejs wiersza polecenia platformy Azure nie jest obsługiwany w przypadku przypisań ról firmy Microsoft Entra.

Na poniższym diagramie przedstawiono przykład przypisania roli. W tym przykładzie Chris został przypisany do roli niestandardowej rejestracja aplikacji Administracja istrator w zakresie rejestracji aplikacji Contoso Widget Builder. Przypisanie przyznaje Chrisowi uprawnienia roli rejestracji aplikacji Administracja istrator tylko dla tej konkretnej rejestracji aplikacji.

Podmiot zabezpieczeń

Podmiot zabezpieczeń reprezentuje użytkownika, grupę lub jednostkę usługi, która ma przypisany dostęp do zasobów firmy Microsoft Entra. Użytkownik to osoba, która ma profil użytkownika w usłudze Microsoft Entra ID. Grupa to nowa grupa platformy Microsoft 365 lub grupy zabezpieczeń, która została ustawiona jako grupa z możliwością przypisywania ról. Jednostka usługi to tożsamość utworzona do użycia z aplikacjami, hostowanymi usługami i zautomatyzowanymi narzędziami w celu uzyskania dostępu do zasobów firmy Microsoft Entra.

Definicja roli

Definicja roli lub rola to kolekcja uprawnień. Definicja roli zawiera listę operacji, które można wykonać w zasobach firmy Microsoft Entra, takich jak tworzenie, odczytywanie, aktualizowanie i usuwanie. Istnieją dwa typy ról w identyfikatorze Entra firmy Microsoft:

• Wbudowane role utworzone przez firmę Microsoft, których nie można zmienić.
• Role niestandardowe utworzone i zarządzane przez organizację.

Scope

Zakres to sposób ograniczenia dozwolonych akcji do określonego zestawu zasobów w ramach przypisania roli. Jeśli na przykład chcesz przypisać rolę niestandardową do dewelopera, ale tylko w celu zarządzania określoną rejestracją aplikacji, możesz uwzględnić określoną rejestrację aplikacji jako zakres w przypisaniu roli.

Podczas przypisywania roli należy określić jeden z następujących typów zakresu:

• Dzierżawa
• jednostka Administracja istracyjna
• Zasób Firmy Microsoft Entra

Jeśli określisz zasób Microsoft Entra jako zakres, może to być jeden z następujących elementów:

• Grupy Microsoft Entra
• Aplikacje dla przedsiębiorstw
• Rejestracje aplikacji

Gdy rola jest przypisywana przez zakres kontenera, taki jak Dzierżawa lub jednostka Administracja istracyjna, przyznaje uprawnienia do obiektów, które zawierają, ale nie na samym kontenerze. Wręcz przeciwnie, gdy rola jest przypisywana w zakresie zasobów, przyznaje uprawnienia do samego zasobu, ale nie wykracza poza (w szczególności nie rozciąga się ona na członków grupy Microsoft Entra).

Aby uzyskać więcej informacji, zobacz Przypisywanie ról firmy Microsoft w różnych zakresach.

Opcje przypisania roli

Identyfikator entra firmy Microsoft udostępnia wiele opcji przypisywania ról:

• Role można przypisywać bezpośrednio użytkownikom, co jest domyślnym sposobem przypisywania ról. Zarówno wbudowane, jak i niestandardowe role entra firmy Microsoft można przypisać do użytkowników na podstawie wymagań dostępu. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra do użytkowników.
• Za pomocą identyfikatora P1 firmy Microsoft można tworzyć grupy z możliwością przypisywania ról i przypisywać role do tych grup. Przypisywanie ról do grupy zamiast osób umożliwia łatwe dodawanie lub usuwanie użytkowników z roli i tworzenie spójnych uprawnień dla wszystkich członków grupy. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra do grup.
• Dzięki usłudze Microsoft Entra ID P2 możesz użyć usługi Microsoft Entra Privileged Identity Management (Microsoft Entra PIM), aby zapewnić dostęp just in time do ról. Ta funkcja umożliwia udzielanie ograniczonemu czasowi dostępu do roli użytkownikom, którzy tego potrzebują, zamiast udzielać stałego dostępu. Udostępnia również szczegółowe funkcje raportowania i inspekcji. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management.

Wymagania dotyczące licencji

Korzystanie z wbudowanych ról w usłudze Microsoft Entra ID jest bezpłatne. Używanie ról niestandardowych wymaga licencji Microsoft Entra ID P1 dla każdego użytkownika z przypisaniem roli niestandardowej. Aby znaleźć odpowiednią licencję na wymagania, zobacz Porównanie ogólnie dostępnych funkcji wersji Bezpłatna i Premium.

Następne kroki

• Informacje o rolach firmy Microsoft Entra
• Przypisz role usługi Microsoft Entra do użytkowników.
• Tworzenie i przypisywanie roli niestandardowej w identyfikatorze Entra firmy Microsoft