Přehled řízení přístupu na základě role v Microsoft Entra ID

  • Článek

Tento článek popisuje, jak porozumět řízení přístupu na základě role společnosti Microsoft Entra. Role Microsoft Entra umožňují udělit správcům podrobná oprávnění, abidovat zásadou nejnižších oprávnění. Integrované a vlastní role Microsoft Entra pracují s koncepty podobnými konceptům, které najdete v systému řízení přístupu na základě role pro prostředky Azure (role Azure). Rozdíl mezi těmito dvěma systémy řízení přístupu na základě role je:

  • Role Microsoft Entra řídí přístup k prostředkům Microsoft Entra, jako jsou uživatelé, skupiny a aplikace pomocí rozhraní Microsoft Graph API.
  • Role Azure řídí přístup k prostředkům Azure, jako jsou virtuální počítače nebo úložiště, pomocí správy prostředků Azure

Oba systémy obsahují podobně používané definice rolí a přiřazení rolí. Oprávnění role Microsoft Entra se ale nedají použít ve vlastních rolích Azure a naopak.

Principy řízení přístupu na základě role v Microsoft Entra

ID Microsoft Entra podporuje dva typy definic rolí:

Předdefinované role jsou předdefinované role, které mají pevnou sadu oprávnění. Tyto definice role nelze změnit. Existuje mnoho předdefinovaných rolí , které Microsoft Entra ID podporuje, a seznam roste. Aby bylo možné hrany zaokrouhlit a splnit sofistikované požadavky, podporuje ID Microsoft Entra také vlastní role. Udělování oprávnění s využitím vlastních rolí Microsoft Entra je dvoustupňový proces, který zahrnuje vytvoření definice vlastní role a její přiřazení s využitím přiřazení role. Definice vlastní role je kolekce oprávnění, která přidáte z přednastaveného seznamu. Jedná se o stejná oprávnění, která se používají v předdefinovaných rolích.

Po vytvoření definice vlastní role (nebo s využitím předdefinované role) ji můžete přiřadit uživateli vytvořením přiřazení role. Přiřazením role se uživateli udělí oprávnění uvedená v definici role v zadaném oboru. Tento dvoustupňový proces umožňuje vytvořit jednu definici role a přiřadit ji vícekrát v různých oborech. Obor definuje sadu prostředků Microsoft Entra, ke kterým má člen dané role přístup. Nejběžnějším oborem je celá organizace. Vlastní roli je možné přiřadit v oboru celé organizace, což znamená, že člen dané role bude mít oprávnění role ke všem prostředkům v rámci organizace. Vlastní roli je také možné přiřadit v oboru objektu. Příkladem oboru objektu je jedna aplikace. Stejnou roli je možné přiřadit jednomu uživateli pro všechny aplikace v rámci organizace a pak jinému uživateli s oborem vymezeným pouze na aplikaci Contoso Expense Reports.

Jak ID Microsoft Entra určuje, jestli má uživatel přístup k prostředku

Následují základní kroky, které Microsoft Entra ID používá k určení, jestli máte přístup k prostředku pro správu. Tyto informace použijte k řešení problémů s přístupem.

  1. Uživatel (nebo instanční objekt) získá token ke koncovému bodu Microsoft Graphu.
  2. Uživatel pomocí vydaného tokenu zavolá rozhraní API k ID Microsoft Entra prostřednictvím Microsoft Graphu.
  3. V závislosti na okolnostech provede ID Microsoft Entra jednu z následujících akcí:
    • Vyhodnotí členství v rolích uživatele na základě deklarace identity wids v přístupovém tokenu uživatele.
    • Načte všechna přiřazení rolí, která se vztahují na uživatele přímo nebo prostřednictvím členství ve skupině, k prostředku, na kterém se akce provádí.
  4. ID Microsoft Entra určuje, jestli je akce ve volání rozhraní API zahrnutá do rolí, které má uživatel pro tento prostředek.
  5. Pokud uživatel nemá roli s akcí v požadovaném oboru, přístup se neudělí. Pokud ne, přístup je udělen.

Přiřazení role

Přiřazení role je prostředek Microsoft Entra, který připojí definici role k objektuzabezpečení v určitém oboru pro udělení přístupu k prostředkům Microsoft Entra. Přístup se uděluje vytvořením přiřazení role a odvolává se odebráním přiřazení role. V jádru se přiřazení role skládá ze tří prvků:

  • Objekt zabezpečení – identita, která získá oprávnění. Může to být uživatel, skupina nebo instanční objekt.
  • Definice role – kolekce oprávnění.
  • Rozsah – způsob, jak omezit, kde jsou tato oprávnění použitelná.

Přiřazení rolí a výpis přiřazení rolí můžete vytvořit pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API. Azure CLI není podporováno pro přiřazení rolí Microsoft Entra.

Následující diagram znázorňuje příklad přiřazení role. V tomto příkladu má Chris přiřazenou vlastní roli Registrace aplikace Správa istrator v oboru registrace aplikace Contoso Widget Builder. Přiřazení uděluje Chrisi oprávnění k registraci aplikace Správa istrator role pouze pro tuto konkrétní registraci aplikace.

Přiřazení role je způsob vynucení oprávnění a má tři části.

Objekt zabezpečení

Objekt zabezpečení představuje uživatele, skupinu nebo instanční objekt, který má přiřazený přístup k prostředkům Microsoft Entra. Uživatel je jednotlivec, který má profil uživatele v Microsoft Entra ID. Skupina je nová skupina Microsoftu 365 nebo skupiny zabezpečení, která byla nastavena jako skupina s možností přiřazení role. Instanční objekt je identita vytvořená pro použití s aplikacemi, hostovanými službami a automatizovanými nástroji pro přístup k prostředkům Microsoft Entra.

Definice role

Definice role nebo role je kolekce oprávnění. Definice role obsahuje seznam operací, které lze provádět s prostředky Microsoft Entra, jako jsou například vytvoření, čtení, aktualizace a odstranění. V ID Microsoft Entra existují dva typy rolí:

  • Předdefinované role vytvořené Microsoftem, které nelze změnit.
  • Vlastní role vytvořené a spravované vaší organizací

Obor

Obor je způsob, jak omezit povolené akce na konkrétní sadu prostředků v rámci přiřazení role. Pokud například chcete přiřadit vlastní roli vývojáři, ale jenom ke správě konkrétní registrace aplikace, můžete do přiřazení role zahrnout konkrétní registraci aplikace jako obor.

Při přiřazování role zadáte jeden z následujících typů oboru:

Pokud jako rozsah zadáte prostředek Microsoft Entra, může to být jedna z následujících možností:

  • Skupiny Microsoft Entra
  • Podnikové aplikace
  • Registrace aplikací

Pokud je role přiřazena přes obor kontejneru, jako je tenant nebo Správa istrativní jednotka, uděluje oprávnění k objektům, které obsahují, ale ne v samotném kontejneru. Naopak, pokud je role přiřazena nad rozsahem prostředků, uděluje oprávnění nad samotným prostředkem, ale nevztahuje se mimo rámec (zejména se nevztahuje na členy skupiny Microsoft Entra).

Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v různých oborech.

Možnosti přiřazení role

ID Microsoft Entra poskytuje několik možností pro přiřazování rolí:

  • Role můžete přiřadit přímo uživatelům, což je výchozí způsob přiřazování rolí. Předdefinované i vlastní role Microsoft Entra je možné přiřadit uživatelům na základě požadavků na přístup. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra uživatelům.
  • S Microsoft Entra ID P1 můžete vytvořit skupiny, které lze přiřadit role a přiřadit role těmto skupinám. Přiřazení rolí skupině místo jednotlivců umožňuje snadné přidání nebo odebrání uživatelů z role a vytvoření konzistentních oprávnění pro všechny členy skupiny. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra ke skupinám.
  • S Microsoft Entra ID P2 můžete použít Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) k zajištění přístupu k rolím za běhu. Tato funkce umožňuje udělit časově omezený přístup k roli uživatelům, kteří ji vyžadují, a nikoli udělit trvalý přístup. Poskytuje také podrobné možnosti vytváření sestav a auditování. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v Privileged Identity Management.

Požadavky na licenci

Použití předdefinovaných rolí v Microsoft Entra ID je zdarma. Použití vlastních rolí vyžaduje licenci Microsoft Entra ID P1 pro každého uživatele s vlastním přiřazením role. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si téma Porovnání obecně dostupných funkcí edice Free a Premium.

Další kroky