Privilegované role a oprávnění v Microsoft Entra ID (Preview)
Důležité
Popisek pro privilegované role a oprávnění je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
ID Microsoft Entra má role a oprávnění, která jsou identifikována jako privilegovaná. Tyto role a oprávnění se dají použít k delegování správy prostředků adresáře jiným uživatelům, úpravě přihlašovacích údajů, zásadám ověřování nebo autorizaci nebo přístupu k datům s omezeným přístupem. Přiřazení privilegovaných rolí můžou vést ke zvýšení oprávnění, pokud se nepoužívá zabezpečeným a zamýšleným způsobem. Tento článek popisuje privilegované role a oprávnění a osvědčené postupy pro použití.
Které role a oprávnění jsou privilegované?
Seznam privilegovaných rolí a oprávnění najdete v tématu Předdefinované role Microsoft Entra. K identifikaci rolí, oprávnění a přiřazení rolí, které jsou identifikované jako privilegované, můžete použít také Centrum pro správu Microsoft Entra, Microsoft Graph PowerShell nebo rozhraní Microsoft Graph API.
V Centru pro správu Microsoft Entra vyhledejte popisek PRIVILEGED .
Na stránce Role a správci jsou privilegované role identifikovány ve sloupci Privilegované. Sloupec Přiřazení uvádí počet přiřazení rolí. Můžete také filtrovat privilegované role.
Při zobrazení oprávnění pro privilegovanou roli můžete zjistit, která oprávnění jsou privilegovaná. Pokud oprávnění zobrazíte jako výchozí uživatel, neuvidíte, která oprávnění jsou privilegovaná.
Když vytvoříte vlastní roli, uvidíte, která oprávnění jsou privilegovaná, a vlastní role se označí jako privilegovaná.
Osvědčené postupy pro používání privilegovaných rolí
Tady je několik osvědčených postupů pro používání privilegovaných rolí.
- Použití principu nejnižších oprávnění
- Použití Privileged Identity Management k udělení přístupu za běhu
- Zapnutí vícefaktorového ověřování pro všechny účty správce
- Konfigurace opakovaných kontrol přístupu pro odvolání nepotřebných oprávnění v průběhu času
- Omezení počtu globálních správců na méně než 5
- Omezení počtu přiřazení privilegovaných rolí na méně než 10
Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.
Privilegovaná oprávnění versus chráněné akce
Privilegovaná oprávnění a chráněné akce jsou funkce související se zabezpečením, které mají různé účely. Oprávnění s popiskem PRIVILEGED pomáhají identifikovat oprávnění, která můžou vést ke zvýšení oprávnění, pokud nejsou používána zabezpečeným a zamýšleným způsobem. Chráněné akce jsou oprávnění rolí, která mají přiřazené zásady podmíněného přístupu pro přidání zabezpečení, například vyžadování vícefaktorového ověřování. Požadavky podmíněného přístupu se vynucují, když uživatel provede chráněnou akci. Chráněné akce jsou aktuálně ve verzi Preview. Další informace naleznete v tématu Co jsou chráněné akce v Microsoft Entra ID?.
| Schopnost | Privilegované oprávnění | Chráněná akce |
|---|---|---|
| Identifikace oprávnění, která by se měla používat zabezpečeným způsobem | ✅ | |
| Vyžadování dalšího zabezpečení k provedení akce | ✅ |
Terminologie
Pokud chcete porozumět privilegovaným rolím a oprávněním v MICROSOFT Entra ID, pomůže vám to znát některé z následujících terminologií.
| Pojem | definice |
|---|---|
| action | Aktivita, kterou může objekt zabezpečení provést u typu objektu. Někdy se označuje jako operace. |
| povolení | Definice, která určuje aktivitu, kterou může objekt zabezpečení provést u typu objektu. Oprávnění zahrnuje jednu nebo více akcí. |
| privilegované oprávnění | V Microsoft Entra ID, oprávnění, která lze použít k delegování správy adresářových prostředků jiným uživatelům, úpravě přihlašovacích údajů, zásad ověřování nebo autorizace nebo přístup k datům s omezeným přístupem. |
| privilegovaná role | Předdefinovaná nebo vlastní role, která má jedno nebo více privilegovaných oprávnění. |
| přiřazení privilegované role | Přiřazení role, které používá privilegovanou roli. |
| zvýšení oprávnění | Když objekt zabezpečení získá více oprávnění, než je jeho přiřazená role původně poskytnutá zosobněním jiné role. |
| chráněná akce | Oprávnění s podmíněným přístupem použitá pro přidané zabezpečení |
Principy oprávnění rolí
Schéma pro oprávnění volně se řídí formátem REST v Microsoft Graphu:
<namespace>/<entity>/<propertySet>/<action>
Příklad:
microsoft.directory/applications/credentials/update
| Element Permission | Popis |
|---|---|
| namespace | Produkt nebo služba, která zpřístupňuje úlohu a je předem oddělena microsoft. Například všechny úkoly v MICROSOFT Entra ID používají microsoft.directory obor názvů. |
| entity | Logická funkce nebo komponenta vystavená službou v Microsoft Graphu Například Microsoft Entra ID zveřejňuje uživatele a skupiny, OneNote zveřejňuje poznámky a Exchange zveřejňuje poštovní schránky a kalendáře. Pro zadání všech entit v oboru názvů existuje speciální allEntities klíčové slovo. To se často používá v rolích, které uděluje přístup k celému produktu. |
| propertySet | Konkrétní vlastnosti nebo aspekty entity, pro kterou se uděluje přístup. microsoft.directory/applications/authentication/read Například uděluje možnost číst adresu URL odpovědi, odhlásit adresu URL a implicitní vlastnost toku objektu aplikace v Microsoft Entra ID.
|
| action | Je udělena operace, která se obvykle vytváří, čte, aktualizuje nebo odstraňuje (CRUD). Pro zadání všech výše uvedených schopností (vytvoření, čtení, aktualizace a odstranění) existuje speciální allTasks klíčové slovo. |
Porovnání rolí ověřování
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
| Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
|---|---|---|---|---|---|---|---|
| Správce ověřování | Ano pro některé uživatele | Ano pro některé uživatele | Yes | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
| Správce privilegovaného ověřování | Ano pro všechny uživatele | Ano pro všechny uživatele | No | No | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
| Správce zásad ověřování | No | Ano | Ano | Ano | Ano | No | No |
| Správce uživatelů | No | No | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Kdo může resetovat hesla
V následující tabulce jsou ve sloupcích uvedeny role, které můžou resetovat hesla a zneplatnit obnovovací tokeny. Řádky uvádějí role, pro které je možné resetovat heslo. Správce hesel může například resetovat heslo pro čtenáře adresářů, zvaní hostů, správce hesel a uživatele bez role správce. Pokud má uživatel přiřazenou jinou roli, správce hesel nemůže resetovat heslo.
Následující tabulka je určená pro role přiřazené v oboru tenanta. Pro role přiřazené v oboru jednotky pro správu platí další omezení.
| Role, kterou je možné resetovat heslo | Správce hesel | Správce Helpdesk | Správce ověřování | Správce uživatelů | Privileged Auth Admin | Globální správce |
|---|---|---|---|---|---|---|
| Správce ověřování | ✅ | ✅ | ✅ | |||
| Čtenáři adresářů | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Globální správce | ✅ | ✅* | ||||
| Správce skupin | ✅ | ✅ | ✅ | |||
| Pozvaný host | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Správce Helpdesk | ✅ | ✅ | ✅ | ✅ | ||
| Čtečka centra zpráv | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Správce hesel | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Privileged Auth Admin | ✅ | ✅ | ||||
| Správce privilegovaných rolí | ✅ | ✅ | ||||
| Čtenář sestav | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Uživatelská (žádná role správce) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Uživatelská (žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení role) |
✅ | ✅ | ||||
| Uživatel s rolí vymezenou na jednotku správy s omezeným přístupem | ✅ | ✅ | ||||
| Správce uživatelů | ✅ | ✅ | ✅ | |||
| Správce úspěchu uživatelského prostředí | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Čtenář souhrnných sestav využití | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Všechny ostatní předdefinované a vlastní role | ✅ | ✅ |
Důležité
Role Podpora partnerské vrstvy2 může resetovat hesla a zneplatnit obnovovací tokeny pro všechny správce a správce (včetně globálních správců). Role Podpora partnerské vrstvy 1 může resetovat hesla a zneplatnit obnovovací tokeny pouze pro jiné správce. Tyto role by se neměly používat, protože jsou zastaralé.
Možnost resetování hesla zahrnuje možnost aktualizovat následující citlivé vlastnosti vyžadované pro samoobslužné resetování hesla:
- businessPhones
- mobilePhone
- ostatní e-maily
Kdo může provádět citlivé akce
Někteří správci můžou některým uživatelům provádět následující citlivé akce. Všichni uživatelé mohou číst citlivé vlastnosti.
| Citlivá akce | Název citlivé vlastnosti |
|---|---|
| Zakázání nebo povolení uživatelů | accountEnabled |
| Aktualizace telefonu do zaměstnání | businessPhones |
| Aktualizace mobilního telefonu | mobilePhone |
| Aktualizace místního neměnného ID | onPremisesImmutableId |
| Aktualizace dalších e-mailů | otherMails |
| Aktualizace profilu hesla | passwordProfile |
| Aktualizace hlavního názvu uživatele | userPrincipalName |
| Odstranění nebo obnovení uživatelů | Nelze použít |
V následující tabulce jsou ve sloupcích uvedeny role, které můžou provádět citlivé akce. Řádky uvádějí role, pro které lze citlivou akci provést.
Následující tabulka je určená pro role přiřazené v oboru tenanta. Pro role přiřazené v oboru jednotky pro správu platí další omezení.
| Roli, na které lze citlivou akci provést | Správce ověřování | Správce uživatelů | Privileged Auth Admin | Globální správce |
|---|---|---|---|---|
| Správce ověřování | ✅ | ✅ | ✅ | |
| Čtenáři adresářů | ✅ | ✅ | ✅ | ✅ |
| Globální správce | ✅ | ✅ | ||
| Správce skupin | ✅ | ✅ | ✅ | |
| Pozvaný host | ✅ | ✅ | ✅ | ✅ |
| Správce Helpdesk | ✅ | ✅ | ✅ | |
| Čtečka centra zpráv | ✅ | ✅ | ✅ | ✅ |
| Správce hesel | ✅ | ✅ | ✅ | ✅ |
| Privileged Auth Admin | ✅ | ✅ | ||
| Správce privilegovaných rolí | ✅ | ✅ | ||
| Čtenář sestav | ✅ | ✅ | ✅ | ✅ |
| Uživatelská (žádná role správce) |
✅ | ✅ | ✅ | ✅ |
| Uživatelská (žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení role) |
✅ | ✅ | ||
| Uživatel s rolí vymezenou na jednotku správy s omezeným přístupem | ✅ | ✅ | ||
| Správce uživatelů | ✅ | ✅ | ✅ | |
| Správce úspěchu uživatelského prostředí | ✅ | ✅ | ✅ | ✅ |
| Čtenář souhrnných sestav využití | ✅ | ✅ | ✅ | ✅ |
| Všechny ostatní předdefinované a vlastní role | ✅ | ✅ |