Förstå roller i Azure Active Directory
Det finns cirka 60 Azure Active Directory inbyggda roller (Azure AD), som är roller med en fast uppsättning rollbehörigheter. För att komplettera de inbyggda rollerna stöder Azure AD även anpassade roller. Använd anpassade roller för att välja de rollbehörigheter som du vill ha. Du kan till exempel skapa en för att hantera specifika Azure AD-resurser, till exempel program eller tjänstens huvudnamn.
Den här artikeln förklarar vad Azure AD-roller är och hur de kan användas.
Hur Azure AD-roller skiljer sig från andra Microsoft 365 roller
Det finns många olika tjänster i Microsoft 365, till exempel Azure AD och Intune. Vissa av dessa tjänster har sina egna rollbaserade åtkomstkontrollsystem, särskilt:
- Azure AD
- Exchange
- Intune
- Defender for Cloud
- Efterlevnadscenter
- Microsoft Defender för Cloud Apps
- Detaljhandel
Andra tjänster som Teams, SharePoint och Managed Desktop har inte separata rollbaserade åtkomstkontrollsystem. De använder Azure AD-roller för sin administrativa åtkomst. Azure har ett eget rollbaserat åtkomstkontrollsystem för Azure-resurser, till exempel virtuella datorer, och det här systemet är inte detsamma som Azure AD-roller.
När vi säger separat rollbaserat åtkomstkontrollsystem. Det innebär att det finns ett annat datalager där rolldefinitioner och rolltilldelningar lagras. På samma sätt finns det en annan principbeslutspunkt där åtkomstkontroller sker. Mer information finns i Roles for Microsoft 365 services in Azure AD and Classic subscription administrator roles, Azure roles, and Azure AD roles ( Roller för azure-tjänster i Azure AD och klassiska prenumerationsadministratörsroller, Azure-roller och Azure AD-roller).
Varför vissa Azure AD-roller är för andra tjänster
Microsoft 365 har ett antal rollbaserade åtkomstkontrollsystem som utvecklats oberoende över tid, var och en med sin egen tjänstportal. För att göra det praktiskt för dig att hantera identiteter över Microsoft 365 från Azure Portal har vi lagt till vissa tjänstspecifika inbyggda roller som var och en ger administrativ åtkomst till en Microsoft 365-tjänst. Ett exempel på det här tillägget är Exchange administratörsrollen i Azure AD. Den här rollen motsvarar rollgruppen Organisationshantering i Exchange system för rollbaserad åtkomstkontroll och kan hantera alla aspekter av Exchange. På samma sätt har vi lagt till rollen Intune-administratör, Teams administratör, SharePoint administratör och så vidare. Tjänstspecifika roller är en kategori av inbyggda Azure AD-roller i följande avsnitt.
Kategorier av Azure AD-roller
De inbyggda rollerna i Azure AD skiljer sig åt i hur de kan användas, vilket indelar i följande tre breda kategorier.
- Azure AD-specifika roller: Dessa roller beviljar endast behörighet att hantera resurser i Azure AD. Till exempel beviljar användaradministratör, programadministratör och gruppadministratör behörighet att hantera resurser som finns i Azure AD.
- Tjänstspecifika roller: För större Microsoft 365 tjänster (inte Azure AD) har vi skapat tjänstspecifika roller som beviljar behörigheter för att hantera alla funktioner i tjänsten. Till exempel Exchange rollen Administratör, Intune-administratör, SharePoint administratör och Teams administratör hantera funktioner med sina respektive tjänster. Exchange administratör kan hantera postlådor kan Intune-administratören hantera enhetsprinciper, SharePoint-administratör kan hantera webbplatssamlingar, Teams administratör kan hantera samtalsegenskaper och så vidare.
- Roller mellan tjänster: Det finns vissa roller som sträcker sig över tjänster. Vi har två globala roller – global administratör och global läsare. Alla Microsoft 365 tjänster respekterar dessa två roller. Det finns också vissa säkerhetsrelaterade roller som Säkerhetsadministratör och Säkerhetsläsare som beviljar åtkomst över flera säkerhetstjänster inom Microsoft 365. Med hjälp av säkerhetsadministratörsroller i Azure AD kan du till exempel hantera Microsoft 365 Defender portal, Microsoft Defender Avancerat skydd och Microsoft Defender för Molnappar. På samma sätt kan du i rollen Efterlevnadsadministratör hantera efterlevnadsrelaterade inställningar i Microsoft 365 Compliance Center, Exchange och så vidare.
Följande tabell visas som ett stöd för att förstå dessa rollkategorier. Kategorierna namnges godtyckligt och är inte avsedda att innebära andra funktioner utöver de dokumenterade Rollbehörigheterna för Azure AD.
| Kategori | Roll |
|---|---|
| Azure AD-specifika roller | Programadministratör Programutvecklare Autentiseringsadministratör B2C IEF-administratör för nyckeluppsättning B2C IEF-principadministratör Molnprogramadministratör Molnenhetsadministratör Administratör för villkorsstyrd åtkomst Enhetsadministratörer Katalogläsare Katalogsynkroniseringskonton Katalogskrivare Extern ID-Flow administratör Extern ID-användare Flow attributadministratör Administratör för extern identitetsprovider Gruppadministratör Gäst inbjudare Supportadministratör Hybrididentitetsadministratör Licensadministratör Support för partnernivå 1 Partnersupport på nivå 2 Lösenordsadministratör Privilegierad autentiseringsadministratör Privilegierad rolladministratör Rapportläsare Användaradministratör |
| Roller mellan tjänster | Global administratör Efterlevnadsadministratör Efterlevnadsdataadministratör Global läsare Säkerhetsadministratör Säkerhetsoperatör Säkerhetsläsare Tjänstsupportadministratör |
| Tjänstspecifika roller | Azure DevOps-administratör Azure Information Protection administratör Faktureringsadministratör CRM-tjänstadministratör Customer LockBox-godkännare för åtkomst Desktop Analytics administratör Exchange tjänstadministratör Insights administratör Insights affärsledare Intune Service-administratör Kaizala administratör Lync-tjänstadministratör Meddelandecenter Sekretessläsare Meddelandecenter Läsare Modern commerce-användare Nätverksadministratör Office Appadministratör Power BI-tjänstadministratör Power Platform administratör Skrivaradministratör Skrivartekniker Sökadministratör Sökredigeraren SharePoint tjänstadministratör Teams Communications Administrator Teams Communications Support Engineer Teams Communications Support Specialist Teams administratör för enheter Teams administratör |