Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Popisek pro privilegované role a oprávnění je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
ID Microsoft Entra má role a oprávnění, která jsou identifikována jako privilegovaná. Tyto role a oprávnění se dají použít k delegování správy prostředků adresáře jiným uživatelům, úpravě přihlašovacích údajů, zásadám ověřování nebo autorizaci nebo přístupu k datům s omezeným přístupem. Přiřazení privilegovaných rolí můžou vést ke zvýšení oprávnění, pokud se nepoužívá zabezpečeným a zamýšleným způsobem. Tento článek popisuje privilegované role a oprávnění a osvědčené postupy pro použití.
Které role a oprávnění jsou privilegované?
Seznam privilegovaných rolí a oprávnění najdete v tématu Předdefinované role Microsoft Entra. K identifikaci rolí, oprávnění a přiřazení rolí, které jsou identifikované jako privilegované, můžete použít také Centrum pro správu Microsoft Entra, Microsoft Graph PowerShell nebo rozhraní Microsoft Graph API.
V Centru pro správu Microsoft Entra vyhledejte popisek PRIVILEGED .
Na stránce Role a správci jsou privilegované role identifikovány ve sloupci Privilegované. Sloupec Přiřazení uvádí počet přiřazení rolí. Můžete také filtrovat privilegované role.
Při zobrazení oprávnění pro privilegovanou roli můžete zjistit, která oprávnění jsou privilegovaná. Pokud oprávnění zobrazíte jako výchozí uživatel, neuvidíte, která oprávnění jsou privilegovaná.
Když vytvoříte vlastní roli, uvidíte, která oprávnění jsou privilegovaná, a vlastní role se označí jako privilegovaná.
Osvědčené postupy pro používání privilegovaných rolí
Tady je několik osvědčených postupů pro používání privilegovaných rolí.
- Použití principu nejnižších oprávnění
- Použijte Privileged Identity Management k udělení přístupu v pravý čas
- Zapnutí vícefaktorového ověřování pro všechny účty správce
- Konfigurace opakovaných kontrol přístupu pro odvolání nepotřebných oprávnění v průběhu času
- Omezení počtu globálních správců na méně než 5
- Omezení počtu přiřazení privilegovaných rolí na méně než 10
Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.
Privilegovaná oprávnění versus chráněné akce
Privilegovaná oprávnění a chráněné akce jsou funkce související se zabezpečením, které mají různé účely. Oprávnění s popiskem PRIVILEGED pomáhají identifikovat oprávnění, která můžou vést ke zvýšení oprávnění, pokud nejsou používána zabezpečeným a zamýšleným způsobem. Chráněné akce jsou oprávnění rolí, která mají přiřazené zásady podmíněného přístupu pro přidání zabezpečení, například vyžadování vícefaktorového ověřování. Požadavky podmíněného přístupu se vynucují, když uživatel provede chráněnou akci. Chráněné akce jsou aktuálně ve verzi Preview. Další informace naleznete v tématu Co jsou chráněné akce v Microsoft Entra ID?.
| Schopnost | Privilegované oprávnění | Chráněná akce |
|---|---|---|
| Identifikace oprávnění, která by se měla používat zabezpečeným způsobem | ✅ | |
| Vyžadování dalšího zabezpečení k provedení akce | ✅ |
Terminologie
Pokud chcete porozumět privilegovaným rolím a oprávněním v MICROSOFT Entra ID, pomůže vám to znát některé z následujících terminologií.
| Pojem | definice |
|---|---|
| akce | Aktivita, kterou může zabezpečovací subjekt provést na typu objektu. Někdy se označuje jako operace. |
| oprávnění | Definice, která určuje aktivitu, kterou může objekt zabezpečení provést u typu objektu. Oprávnění zahrnuje jednu nebo více akcí. |
| privilegované oprávnění | V Microsoft Entra ID, oprávnění, která lze použít k delegování správy adresářových prostředků jiným uživatelům, úpravě přihlašovacích údajů, zásad ověřování nebo autorizace nebo přístup k datům s omezeným přístupem. |
| privilegovaná role | Předdefinovaná nebo vlastní role, která má jedno nebo více privilegovaných oprávnění. |
| přiřazení privilegované role | Přiřazení role, které používá privilegovanou roli. |
| zvýšení oprávnění | Když objekt zabezpečení získá více oprávnění, než je jeho přiřazená role původně poskytnutá zosobněním jiné role. |
| chráněná akce | Oprávnění s podmíněným přístupem použitá pro přidané zabezpečení |
Jak pochopit oprávnění rolí
Schéma pro oprávnění volně se řídí formátem REST v Microsoft Graphu:
<namespace>/<entity>/<propertySet>/<action>
Příklad:
microsoft.directory/applications/credentials/update
| Prvok oprávnění | Popis |
|---|---|
| názvový prostor | Produkt nebo služba, která zpřístupňuje úlohu a je připojena před microsoft. Například všechny úkoly v MICROSOFT Entra ID používají microsoft.directory obor názvů. |
| entita | Logická funkce nebo komponenta vystavená službou v Microsoft Graphu Například Microsoft Entra ID zveřejňuje uživatele a skupiny, OneNote zveřejňuje poznámky a Exchange zveřejňuje poštovní schránky a kalendáře. Pro zadání všech entit v oboru názvů existuje speciální allEntities klíčové slovo. To se často používá v rolích, které udělují přístup k celému produktu. |
| propertySet | Konkrétní vlastnosti nebo aspekty entity, pro kterou se uděluje přístup. Například microsoft.directory/applications/authentication/read uděluje možnost číst adresu URL odpovědi, adresu URL pro odhlášení a vlastnost implicitního toku objektu aplikace v Microsoft Entra ID.
|
| akce | Operace udělovaná nejčastěji zahrnuje vytváření, čtení, aktualizaci nebo odstranění (CRUD). Pro zadání všech výše uvedených schopností (vytvoření, čtení, aktualizace a odstranění) existuje speciální allTasks klíčové slovo. |
Porovnání rolí ověřování
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
| Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
|---|---|---|---|---|---|---|---|
| Správce ověřování | Ano pro některé uživatele | Ne | Ne | Ne | Ne | Ano pro některé uživatele | Ano pro některé uživatele |
| Správce privilegovaného ověřování | Ano pro všechny uživatele | Ne | Ne | Ne | Ne | Ano pro všechny uživatele | Ano pro všechny uživatele |
| Správce zásad ověřování | Ne | Ano | Ano | Ano | Ano | Ne | Ne |
| Správce uživatelů | Ne | Ne | Ne | Ne | Ne | Ano pro některé uživatele | Ano pro některé uživatele |
Kdo může resetovat hesla
V následující tabulce jsou ve sloupcích uvedeny role, které můžou resetovat hesla a zneplatnit obnovovací tokeny. Řádky uvádějí role, pro které je možné resetovat heslo. Správce hesel může například resetovat heslo pro čtenáře adresářů, iniciátory zvaní hostů, správce hesel a uživatele bez role správce. Pokud má uživatel přiřazenou jinou roli, správce hesel nemůže resetovat heslo.
Následující tabulka je určená pro role přiřazené v oboru tenanta. Pro role přiřazené v oboru jednotky pro správu platí další omezení.
| Role, pro kterou lze heslo resetovat | Správce hesel | Správce Helpdesk | Administrátor autentizace | Správce uživatelů | Privilegovaný správce autentizace | Globální správce |
|---|---|---|---|---|---|---|
| Administrátor autentizace | ✅ | ✅ | ✅ | |||
| Čtenáři adresářů | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Globální správce | ✅ | ✅* | ||||
| Správce skupin | ✅ | ✅ | ✅ | |||
| Hostitel hostů | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Správce Helpdesk | ✅ | ✅ | ✅ | ✅ | ||
| Čtečka centra zpráv | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Správce hesel | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Privilegovaný správce autentizace | ✅ | ✅ | ||||
| Správce privilegovaných rolí | ✅ | ✅ | ||||
| Prohlížeč sestav | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Uživatel (žádná role správce) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Uživatel (žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení role) |
✅ | ✅ | ||||
| Uživatel s rolí vymezenou na jednotku správy s omezeným přístupem | ✅ | ✅ | ||||
| Správce uživatelů | ✅ | ✅ | ✅ | |||
| Správce úspěchu uživatelského prostředí | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Čtení souhrnných zpráv o využití | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Všechny ostatní předdefinované a vlastní role | ✅ | ✅ |
Důležité
Podpora partnerů Tier2 může resetovat hesla a zneplatnit tokeny k obnovení pro všechny nesprávce a správce (včetně globálních správců). Role Partner Tier1 Support může resetovat hesla a zneplatnit obnovovací tokeny pouze pro neadministrátory. Tyto role by se neměly používat, protože jsou zastaralé.
Možnost resetování hesla zahrnuje možnost aktualizovat následující citlivé vlastnosti vyžadované pro samoobslužné resetování hesla:
- podnikové telefony
- mobilní telefon
- ostatní e-maily
Kdo může provádět citlivé akce
Někteří správci můžou některým uživatelům provádět následující citlivé akce. Všichni uživatelé mohou číst citlivé vlastnosti.
| Citlivá akce | Název citlivé vlastnosti |
|---|---|
| Zakázání nebo povolení uživatelů | accountEnabled |
| Aktualizace telefonu do zaměstnání | businessPhones |
| Aktualizace mobilního telefonu | mobilePhone |
| Aktualizace místního neměnného identifikátoru | onPremisesImmutableId |
| Aktualizace dalších e-mailů | otherMails |
| Aktualizace profilu hesla | passwordProfile |
| Aktualizace hlavního názvu uživatele | userPrincipalName |
| Odstranění nebo obnovení uživatelů | Nelze použít |
V následující tabulce jsou ve sloupcích uvedeny role, které můžou provádět citlivé akce. Řádky uvádějí role, pro které lze citlivou akci provést.
Následující tabulka je určená pro role přiřazené v oboru tenanta. Pro role přiřazené v oboru jednotky pro správu platí další omezení.
| Roli, na které lze citlivou akci provést | Administrátor autentizace | Správce uživatelů | Privilegovaný správce autentizace | Globální správce |
|---|---|---|---|---|
| Administrátor autentizace | ✅ | ✅ | ✅ | |
| Čtenáři adresářů | ✅ | ✅ | ✅ | ✅ |
| Globální správce | ✅ | ✅ | ||
| Správce skupin | ✅ | ✅ | ✅ | |
| Hostitel hostů | ✅ | ✅ | ✅ | ✅ |
| Správce Helpdesk | ✅ | ✅ | ✅ | |
| Čtečka centra zpráv | ✅ | ✅ | ✅ | ✅ |
| Správce hesel | ✅ | ✅ | ✅ | ✅ |
| Privilegovaný správce autentizace | ✅ | ✅ | ||
| Správce privilegovaných rolí | ✅ | ✅ | ||
| Prohlížeč sestav | ✅ | ✅ | ✅ | ✅ |
| Uživatel (žádná role správce) |
✅ | ✅ | ✅ | ✅ |
| Uživatel (žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení role) |
✅ | ✅ | ||
| Uživatel s rolí vymezenou na jednotku správy s omezeným přístupem | ✅ | ✅ | ||
| Správce uživatelů | ✅ | ✅ | ✅ | |
| Správce úspěchu uživatelského prostředí | ✅ | ✅ | ✅ | ✅ |
| Čtení souhrnných zpráv o využití | ✅ | ✅ | ✅ | ✅ |
| Všechny ostatní předdefinované a vlastní role | ✅ | ✅ |