Sdílet prostřednictvím


Vysvětlení rolí v Microsoft Entra ID

Existuje přibližně 60 předdefinovaných rolí Microsoft Entra, což jsou role s pevně danou sadou oprávnění rolí. Microsoft Entra ID podporuje také vlastní role, které doplňují předdefinované role. Pomocí vlastních rolí vyberte požadovaná oprávnění role. Můžete například vytvořit jeden pro správu konkrétních prostředků Microsoft Entra, jako jsou aplikace nebo instanční objekty.

Tento článek vysvětluje, co jsou role Microsoft Entra a jak je lze použít.

Jak se role Microsoft Entra liší od ostatních rolí Microsoftu 365

Microsoft 365 má mnoho různých služeb, jako je NAPŘÍKLAD MICROSOFT Entra ID a Intune. Některé z těchto služeb mají své vlastní systémy řízení přístupu na základě role, konkrétně:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Portál Microsoft 365 Defender
  • Portál dodržování předpisů
  • Správa nákladů + fakturace

Jiné služby, jako jsou Teams, SharePoint a Managed Desktop, nemají samostatné systémy řízení přístupu na základě role. Pro přístup pro správu používají role Microsoft Entra. Azure má svůj vlastní systém řízení přístupu na základě role pro prostředky Azure, jako jsou virtuální počítače, a tento systém není stejný jako role Microsoft Entra.

Role Azure RBAC a Microsoft Entra

Když říkáme samostatný systém řízení přístupu na základě role, znamená to, že existuje jiné úložiště dat, ve kterém se ukládají definice rolí a přiřazení rolí. Podobně existuje jiný bod rozhodování o zásadách, kde se provádějí kontroly přístupu. Další informace najdete v tématu Role napříč služby Microsoft a rolemi Azure, rolemi Microsoft Entra a klasickými rolemi správce předplatného.

Proč jsou některé role Microsoft Entra pro jiné služby

Microsoft 365 má řadu systémů řízení přístupu na základě role, které se v průběhu času vyvinuly nezávisle, a to každý s vlastním portálem služeb. Abychom vám mohli usnadnit správu identit v Rámci Microsoftu 365 z Centra pro správu Microsoft Entra, přidali jsme některé předdefinované role specifické pro službu, z nichž každá uděluje přístup pro správu ke službě Microsoft 365. Příkladem tohoto přidání je role Správce serveru Exchange v MICROSOFT Entra ID. Tato role je ekvivalentní skupině rolí Správa organizace v systému řízení přístupu na základě role exchange a může spravovat všechny aspekty Exchange. Podobně jsme přidali roli správce Intune, správce Teams, správce SharePointu atd. Role specifické pro službu jsou jednou z kategorií předdefinovaných rolí Microsoft Entra v následující části.

Kategorie rolí Microsoft Entra

Předdefinované role Microsoft Entra se liší v tom, kde se dají použít, které spadají do následujících tří obecných kategorií.

  • Role specifické pro ID microsoftu Entra: Tyto role udělují oprávnění ke správě prostředků pouze v rámci Microsoft Entra. Například Správce uživatelů, Správce aplikací, Správce skupin uděluje oprávnění ke správě prostředků, které žijí v Microsoft Entra ID.
  • Role specifické pro službu v MICROSOFT Entra ID: služby Microsoft, jako je Microsoft 365, které definují role v Microsoft Entra ID pro oprávnění specifická pro služby pro správu všech funkcí v rámci služby. Například role Správce Exchange, Správce Intune, Správce SharePointu a Správce Teams můžou spravovat funkce s příslušnými službami. Správce Exchange může spravovat poštovní schránky, správce Intune může spravovat zásady zařízení, správce SharePointu může spravovat kolekce webů, Správce Teams může spravovat vlastnosti hovorů atd.
  • Role mezi službami v Microsoft Entra ID: Existují některé role, které zahrnují služby. Máme dvě globální role – globální správce a globální čtenář. Všechny služby Microsoftu 365 dodržují tyto dvě role. Existují také některé role související se zabezpečením, jako je správce zabezpečení a čtenář zabezpečení, které udělují přístup napříč více službami zabezpečení v Rámci Microsoftu 365. Například pomocí rolí správce zabezpečení v Microsoft Entra ID můžete spravovat portál Microsoft 365 Defender, Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender a Microsoft Defender for Cloud Apps. Podobně v roli Správce dodržování předpisů můžete spravovat nastavení související s dodržováním předpisů na portálu dodržování předpisů, Exchange atd.

Tři kategorie předdefinovaných rolí Microsoft Entra

Následující tabulka je nabízena jako pomůcka k pochopení těchto kategorií rolí. Kategorie se pojmenují libovolně a nemají za cíl znamenat žádné další funkce nad rámec zdokumentovaných oprávnění role Microsoft Entra.

Kategorie Role
Role specifické pro ID Microsoft Entra Správce aplikace
Vývojář aplikace
Správce ověřování
Správce sady klíčů IEF B2C
Správce zásad IEF B2C
Správce cloudové aplikace
Správce cloudových zařízení
Správce podmíněného přístupu
Správci zařízení
Čtenáři adresářů
Účty synchronizace adresářů
Zapisovače adresářů
Správce toku externího ID uživatele
Správce atributů toku externího ID uživatele
Externí správce zprostředkovatele identity
Správce skupin
Pozvaný host
Správce helpdesku
Správce hybridní identity
Správce licencí
Podpora partnerské vrstvy 1
Podpora partnerské vrstvy 2
Správce hesel
Správce privilegovaného ověřování
Správce privilegovaných rolí
Čtenář sestav
Správce uživatelů
Role specifické pro službu v MICROSOFT Entra ID Správce Azure DevOps
Správce služby Azure Information Protection
Správce fakturace
Správce služeb CRM
Schvalovatel přístupu Customer Lockboxu
Správce Desktop Analytics
Správce služby Exchange
Správce přehledů
Přehledy obchodního vedoucího programu
Správce služby Intune
Správce Kaizala
Správce služeb Lyncu
Čtečka ochrany osobních údajů v Centru zpráv
Čtečka centra zpráv
Správce moderního obchodování
Správce sítě
Správce aplikací Office
Správce služby Power BI
Správce Power Platform
Správce tiskárny
Technik tiskárny
Správce vyhledávání
Editor vyhledávání
Správce služby SharePoint
Správce komunikace Teams
Technik podpory komunikace v Teams
Specialista na podporu komunikace v Teams
Správce zařízení Teams
Správce Teams
Role mezi službami v MICROSOFT Entra ID Správce dodržování předpisů
Správce dat dodržování předpisů
Globální čtenář
Správce zabezpečení
Operátor zabezpečení
Čtenář zabezpečení
Správce podpory služeb

Další kroky