Azure Active Directory 'de özel yönetici rolleri (Önizleme)Custom administrator roles in Azure Active Directory (preview)

Bu makalede, rol tabanlı erişim denetimi ve kaynak kapsamları ile Azure Active Directory (Azure AD) içinde Azure AD özel rollerinin nasıl anlaşılması açıklanmaktadır.This article describes how to understand Azure AD custom roles in Azure Active Directory (Azure AD) with roles-based access control and resource scopes. Özel Azure AD rolleri, yerleşik rollerintemel alınan izinlerini yüzeye koyarak kendi özel rollerinizi oluşturabilir ve düzenleyebilirsiniz.Custom Azure AD roles surface the underlying permissions of the built-in roles, so that you can create and organize your own custom roles. Bu yaklaşım, gerektiğinde yerleşik rollerden daha ayrıntılı bir şekilde erişim vermenize olanak tanır.This approach allows you to grant access in a more granular way than built-in roles, whenever they're needed. Azure AD özel rollerinin bu ilk sürümü, uygulama kayıtlarının yönetilmesi için izin atamak üzere bir rol oluşturma özelliğini içerir.This first release of Azure AD custom roles includes the ability to create a role to assign permissions for managing app registrations. Zamanla, kurumsal uygulamalar, kullanıcılar ve cihazlar gibi kuruluş kaynakları için ek izinler eklenecektir.Over time, additional permissions for organization resources like enterprise applications, users, and devices will be added.

Ayrıca, Azure AD özel rolleri, daha geleneksel kuruluş genelinde atamalara ek olarak, atamaları Kaynak temelinde destekler.Additionally, Azure AD custom roles support assignments on a per-resource basis, in addition to the more traditional organization-wide assignments. Bu yaklaşım, tüm kaynaklara (tüm uygulama kayıtları) erişim vermeden bazı kaynakları (örneğin, bir uygulama kaydı) yönetmek için erişim izni vermenizi sağlar.This approach gives you the ability to grant access to manage some resources (for example, one app registration) without giving access to all resources (all app registrations).

Azure AD rol tabanlı erişim denetimi, Azure AD 'nin genel önizleme özelliğidir ve ücretli Azure AD lisans planıyla birlikte kullanılabilir.Azure AD role-based access control is a public preview feature of Azure AD and is available with any paid Azure AD license plan. Önizlemeler hakkında daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Azure AD rol tabanlı erişim denetimini anlamaUnderstand Azure AD role-based access control

Özel Azure AD rolleri kullanarak izin verilmesi, özel bir rol tanımı oluşturmayı ve ardından rol ataması kullanarak atamayı kapsayan iki adımlı bir işlemdir.Granting permission using custom Azure AD roles is a two-step process that involves creating a custom role definition and then assigning it using a role assignment. Özel bir rol tanımı, önceden ayarlanmış bir listeden eklediğiniz izinlerin koleksiyonudur.A custom role definition is a collection of permissions that you add from a preset list. Bu izinler, yerleşik rollerde kullanılan izinlerdir.These permissions are the same permissions used in the built-in roles.

Rol tanımınızı oluşturduktan sonra bir rol ataması oluşturarak bunu bir kullanıcıya atayabilirsiniz.Once you’ve created your role definition, you can assign it to a user by creating a role assignment. Rol ataması, kullanıcıya belirtilen kapsamdaki bir rol tanımında izinleri verir.A role assignment grants the user the permissions in a role definition at a specified scope. Bu iki adımlı işlem, tek bir rol tanımı oluşturmanızı ve farklı kapsamlarda birçok kez atamanızı sağlar.This two-step process allows you to create a single role definition and assign it many times at different scopes. Kapsam, rol üyesinin erişimi olan Azure AD kaynakları kümesini tanımlar.A scope defines the set of Azure AD resources the role member has access to. En yaygın kapsam, kuruluş genelinde (kuruluş genelinde) kapsamındadır.The most common scope is organization-wide (org-wide) scope. Özel bir rol kuruluş genelinde bir kapsamda atanabilir, Yani rol üyesi kuruluştaki tüm kaynaklar üzerinde rol izinlerine sahiptir.A custom role can be assigned at org-wide scope, meaning the role member has the role permissions over all resources in the organization. Özel bir rol, bir nesne kapsamına da atanabilir.A custom role can also be assigned at an object scope. Bir nesne kapsamına bir örnek, tek bir uygulama olabilir.An example of an object scope would be a single application. Aynı rol, kuruluştaki tüm uygulamalarda bir kullanıcıya ve sonra yalnızca contoso gider raporları uygulamasının kapsamına sahip başka bir kullanıcıya atanabilir.The same role can be assigned to one user over all applications in the organization and then to another user with a scope of only the Contoso Expense Reports app.

Azure AD yerleşik ve özel rolleri, Azure rol tabanlı erişim denetiminebenzer kavramlar üzerinde çalışır.Azure AD built-in and custom roles operate on concepts similar to Azure role-based access control. Bu iki rol tabanlı erişim denetimi sistemi arasındaki fark , Azure RBAC 'Nin Azure Kaynak Yönetimi 'ni kullanarak sanal makineler veya depolama gibi Azure kaynaklarına erişimi denetlemesini ve Azure AD özel rollerinin Graph API kullanarak Azure AD kaynaklarına erişimini denetlerleridir.The difference between these two role-based access control systems is that Azure RBAC controls access to Azure resources such as virtual machines or storage using Azure Resource Management, and Azure AD custom roles control access to Azure AD resources using Graph API. Her iki sistem de rol tanımları ve rol atamaları kavramından faydalanır.Both systems leverage the concept of role definitions and role assignments.

Rol atamalarıRole assignments

Rol ataması, Azure AD kaynak erişimi sağlamak için belirli bir kapsamdaki bir kullanıcıya rol tanımı ekleyen nesnedir.A role assignment is the object that attaches a role definition to a user at a particular scope to grant Azure AD resource access. Erişim, rol ataması oluşturularak sağlanır ve rol ataması kaldırıldığında iptal edilir.Access is granted by creating a role assignment, and access is revoked by removing a role assignment. Bir rol ataması, temel tarafında üç öğeden oluşur:At its core, a role assignment consists of three elements:

  • Kullanıcı (Azure Active Directory bir kullanıcı profiline sahip olan kişi)User (an individual who has a user profile in Azure Active Directory)
  • Rol tanımıRole definition
  • Kaynak kapsamıResource scope

Azure portal, Azure AD PowerShell veya Graph API kullanarak rol atamaları oluşturabilirsiniz .You can create role assignments using the Azure portal, Azure AD PowerShell, or Graph API. Özel bir rol için atamaları da görüntüleyebilirsiniz.You can also view the assignments for a custom role.

Aşağıdaki diyagramda rol ataması örneği gösterilmektedir.The following diagram shows an example of a role assignment. Bu örnekte, Chris Green, contoso pencere öğesi Oluşturucu uygulama kaydı kapsamında uygulama kayıt yöneticisi özel rolü atandı.In this example, Chris Green has been assigned the App registration administrator custom role at the scope of the Contoso Widget Builder app registration. Atama, kemal 'e uygulama kayıt yöneticisi rolünün yalnızca bu belirli uygulama kaydı için izin verir.The assignment grants Chris the permissions of the App registration administrator role for only this specific app registration.

Rol ataması, izinlerin nasıl zorlanacağını ve üç bölümden oluşur

Güvenlik sorumlusuSecurity principal

Güvenlik sorumlusu, Azure AD kaynaklarına erişim atanacak kullanıcıyı temsil eder.A security principal represents the user that is to be assigned access to Azure AD resources. Kullanıcı , Azure Active Directory bir kullanıcı profiline sahip kişidir.A user is an individual who has a user profile in Azure Active Directory.

RolRole

Rol tanımı veya rol, izin koleksiyonudur.A role definition, or role, is a collection of permissions. Rol tanımı, oluşturma, okuma, güncelleştirme ve silme gibi Azure AD kaynaklarında gerçekleştirilebilecek işlemleri listeler.A role definition lists the operations that can be performed on Azure AD resources, such as create, read, update, and delete. Azure AD 'de iki tür rol vardır:There are two types of roles in Azure AD:

  • Microsoft tarafından oluşturulan ve değiştirilemeyen yerleşik roller.Built-in roles created by Microsoft that can't be changed.
  • Kuruluşunuz tarafından oluşturulan ve yönetilen özel roller.Custom roles created and managed by your organization.

KapsamScope

Kapsam, rol atamasının bir parçası olarak belirli bir Azure AD kaynağına izin verilen eylemlerin kısıtlamasıdır.A scope is the restriction of permitted actions to a particular Azure AD resource as part of a role assignment. Bir rol atadığınızda, yöneticinin belirli bir kaynağa erişimini sınırlayan bir kapsam belirtebilirsiniz.When you assign a role, you can specify a scope that limits the administrator's access to a specific resource. Örneğin, bir geliştiriciye özel bir rol vermek istiyorsanız, ancak yalnızca belirli bir uygulama kaydını yönetmek için, belirli uygulama kaydını rol atamasında kapsam olarak dahil edebilirsiniz.For example, if you want to grant a developer a custom role, but only to manage a specific application registration, you can include the specific application registration as a scope in the role assignment.

Not

Özel roller, dizin kapsamı ve kaynak kapsamlı olarak atanabilir.Custom roles can be assigned at directory scope and resource scoped. Bunlar henüz yönetim birimi kapsamında atanamaz.They cannot yet be assigned at Administrative Unit scope. Yerleşik roller dizin kapsamında, bazı durumlarda ise yönetim birimi kapsamında atanabilir.Built-in roles can can be assigned at directory scope, and in some cases, Administrative Unit scope. Henüz Azure AD kaynak kapsamında atanamazlar.They cannot yet be assigned at Azure AD resource scope.

Gerekli lisans planıRequired license plan

Bu özelliği kullanarak bir Azure AD Premium P1 lisansı gerektirir.Using this feature requires an Azure AD Premium P1 license. Gereksinimleriniz için doğru lisans bulmak için bkz: ücretsiz, temel ve Premium sürümler genel kullanıma sunulan özellikleri karşılaştırma.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Sonraki adımlarNext steps