Sdílet prostřednictvím


Privilegované role a oprávnění v Microsoft Entra ID (Preview)

Důležité

Popisek pro privilegované role a oprávnění je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

ID Microsoft Entra má role a oprávnění, která jsou identifikována jako privilegovaná. Tyto role a oprávnění se dají použít k delegování správy prostředků adresáře jiným uživatelům, úpravě přihlašovacích údajů, zásadám ověřování nebo autorizaci nebo přístupu k datům s omezeným přístupem. Přiřazení privilegovaných rolí můžou vést ke zvýšení oprávnění, pokud se nepoužívá zabezpečeným a zamýšleným způsobem. Tento článek popisuje privilegované role a oprávnění a osvědčené postupy pro použití.

Které role a oprávnění jsou privilegované?

Seznam privilegovaných rolí a oprávnění najdete v tématu Předdefinované role Microsoft Entra. K identifikaci rolí, oprávnění a přiřazení rolí, které jsou identifikované jako privilegované, můžete použít také Centrum pro správu Microsoft Entra, Microsoft Graph PowerShell nebo rozhraní Microsoft Graph API.

V Centru pro správu Microsoft Entra vyhledejte popisek PRIVILEGED .

Ikona privilegovaného popisku

Na stránce Role a správci jsou privilegované role identifikovány ve sloupci Privilegované. Sloupec Přiřazení uvádí počet přiřazení rolí. Můžete také filtrovat privilegované role.

Snímek obrazovky se stránkou Rolí a správců Microsoft Entra, která zobrazuje sloupce Privilegované a přiřazení

Při zobrazení oprávnění pro privilegovanou roli můžete zjistit, která oprávnění jsou privilegovaná. Pokud oprávnění zobrazíte jako výchozí uživatel, neuvidíte, která oprávnění jsou privilegovaná.

Snímek obrazovky se stránkou Rolí a správců Microsoft Entra, která zobrazuje privilegovaná oprávnění pro roli

Když vytvoříte vlastní roli, uvidíte, která oprávnění jsou privilegovaná, a vlastní role se označí jako privilegovaná.

Snímek obrazovky se stránkou Nová vlastní role, která zobrazuje vlastní roli s privilegovanými oprávněními

Osvědčené postupy pro používání privilegovaných rolí

Tady je několik osvědčených postupů pro používání privilegovaných rolí.

  • Použití principu nejnižších oprávnění
  • Použití Privileged Identity Management k udělení přístupu za běhu
  • Zapnutí vícefaktorového ověřování pro všechny účty správce
  • Konfigurace opakovaných kontrol přístupu pro odvolání nepotřebných oprávnění v průběhu času
  • Omezení počtu globálních správců na méně než 5
  • Omezení počtu přiřazení privilegovaných rolí na méně než 10

Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.

Privilegovaná oprávnění versus chráněné akce

Privilegovaná oprávnění a chráněné akce jsou funkce související se zabezpečením, které mají různé účely. Oprávnění s popiskem PRIVILEGED pomáhají identifikovat oprávnění, která můžou vést ke zvýšení oprávnění, pokud nejsou používána zabezpečeným a zamýšleným způsobem. Chráněné akce jsou oprávnění rolí, která mají přiřazené zásady podmíněného přístupu pro přidání zabezpečení, například vyžadování vícefaktorového ověřování. Požadavky podmíněného přístupu se vynucují, když uživatel provede chráněnou akci. Chráněné akce jsou aktuálně ve verzi Preview. Další informace naleznete v tématu Co jsou chráněné akce v Microsoft Entra ID?.

Schopnost Privilegované oprávnění Chráněná akce
Identifikace oprávnění, která by se měla používat zabezpečeným způsobem
Vyžadování dalšího zabezpečení k provedení akce

Terminologie

Pokud chcete porozumět privilegovaným rolím a oprávněním v MICROSOFT Entra ID, pomůže vám to znát některé z následujících terminologií.

Pojem definice
action Aktivita, kterou může objekt zabezpečení provést u typu objektu. Někdy se označuje jako operace.
povolení Definice, která určuje aktivitu, kterou může objekt zabezpečení provést u typu objektu. Oprávnění zahrnuje jednu nebo více akcí.
privilegované oprávnění V Microsoft Entra ID, oprávnění, která lze použít k delegování správy adresářových prostředků jiným uživatelům, úpravě přihlašovacích údajů, zásad ověřování nebo autorizace nebo přístup k datům s omezeným přístupem.
privilegovaná role Předdefinovaná nebo vlastní role, která má jedno nebo více privilegovaných oprávnění.
přiřazení privilegované role Přiřazení role, které používá privilegovanou roli.
zvýšení oprávnění Když objekt zabezpečení získá více oprávnění, než je jeho přiřazená role původně poskytnutá zosobněním jiné role.
chráněná akce Oprávnění s podmíněným přístupem použitá pro přidané zabezpečení

Principy oprávnění rolí

Schéma pro oprávnění volně se řídí formátem REST v Microsoft Graphu:

<namespace>/<entity>/<propertySet>/<action>

Příklad:

microsoft.directory/applications/credentials/update

Element Permission Popis
namespace Produkt nebo služba, která zpřístupňuje úlohu a je předem oddělena microsoft. Například všechny úkoly v MICROSOFT Entra ID používají microsoft.directory obor názvů.
entity Logická funkce nebo komponenta vystavená službou v Microsoft Graphu Například Microsoft Entra ID zveřejňuje uživatele a skupiny, OneNote zveřejňuje poznámky a Exchange zveřejňuje poštovní schránky a kalendáře. Pro zadání všech entit v oboru názvů existuje speciální allEntities klíčové slovo. To se často používá v rolích, které uděluje přístup k celému produktu.
propertySet Konkrétní vlastnosti nebo aspekty entity, pro kterou se uděluje přístup. microsoft.directory/applications/authentication/read Například uděluje možnost číst adresu URL odpovědi, odhlásit adresu URL a implicitní vlastnost toku objektu aplikace v Microsoft Entra ID.
  • allProperties určuje všechny vlastnosti entity, včetně privilegovaných vlastností.
  • standard určuje společné vlastnosti, ale vyloučí privilegované vlastnosti související s read akcí. Zahrnuje například možnost číst standardní vlastnosti, microsoft.directory/user/standard/read jako je veřejné telefonní číslo a e-mailová adresa, ale ne soukromé sekundární telefonní číslo nebo e-mailová adresa používaná pro vícefaktorové ověřování.
  • basic určuje společné vlastnosti, ale vyloučí privilegované vlastnosti související s update akcí. Sada vlastností, které můžete číst, se může lišit od toho, co můžete aktualizovat. To je důvod, proč standard basic to mají odrážet klíčová slova.
action Je udělena operace, která se obvykle vytváří, čte, aktualizuje nebo odstraňuje (CRUD). Pro zadání všech výše uvedených schopností (vytvoření, čtení, aktualizace a odstranění) existuje speciální allTasks klíčové slovo.

Porovnání rolí ověřování

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role Správa metod ověřování uživatele Správa MFA pro jednotlivé uživatele Správa nastavení MFA Správa zásad metod ověřování Správa zásad ochrany heslem Aktualizace citlivých vlastností Odstraňování a obnovování uživatelů
Správce ověřování Ano pro některé uživatele Ano pro některé uživatele Yes No No Ano pro některé uživatele Ano pro některé uživatele
Správce privilegovaného ověřování Ano pro všechny uživatele Ano pro všechny uživatele No No No Ano pro všechny uživatele Ano pro všechny uživatele
Správce zásad ověřování No Ano Ano Ano Ano No No
Správce uživatelů No No No No No Ano pro některé uživatele Ano pro některé uživatele

Kdo může resetovat hesla

V následující tabulce jsou ve sloupcích uvedeny role, které můžou resetovat hesla a zneplatnit obnovovací tokeny. Řádky uvádějí role, pro které je možné resetovat heslo. Správce hesel může například resetovat heslo pro čtenáře adresářů, zvaní hostů, správce hesel a uživatele bez role správce. Pokud má uživatel přiřazenou jinou roli, správce hesel nemůže resetovat heslo.

Následující tabulka je určená pro role přiřazené v oboru tenanta. Pro role přiřazené v oboru jednotky pro správu platí další omezení.

Role, kterou je možné resetovat heslo Správce hesel Správce Helpdesk Správce ověřování Správce uživatelů Privileged Auth Admin Globální správce
Správce ověřování      
Čtenáři adresářů
Globální správce         ✅*
Správce skupin      
Pozvaný host
Správce Helpdesk    
Čtečka centra zpráv  
Správce hesel
Privileged Auth Admin        
Správce privilegovaných rolí        
Čtenář sestav  
Uživatelská
(žádná role správce)
Uživatelská
(žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení role)
       
Uživatel s rolí vymezenou na jednotku správy s omezeným přístupem        
Správce uživatelů      
Správce úspěchu uživatelského prostředí  
Čtenář souhrnných sestav využití  
Všechny ostatní předdefinované a vlastní role

Důležité

Role Podpora partnerské vrstvy2 může resetovat hesla a zneplatnit obnovovací tokeny pro všechny správce a správce (včetně globálních správců). Role Podpora partnerské vrstvy 1 může resetovat hesla a zneplatnit obnovovací tokeny pouze pro jiné správce. Tyto role by se neměly používat, protože jsou zastaralé.

Možnost resetování hesla zahrnuje možnost aktualizovat následující citlivé vlastnosti vyžadované pro samoobslužné resetování hesla:

  • businessPhones
  • mobilePhone
  • ostatní e-maily

Kdo může provádět citlivé akce

Někteří správci můžou některým uživatelům provádět následující citlivé akce. Všichni uživatelé mohou číst citlivé vlastnosti.

Citlivá akce Název citlivé vlastnosti
Zakázání nebo povolení uživatelů accountEnabled
Aktualizace telefonu do zaměstnání businessPhones
Aktualizace mobilního telefonu mobilePhone
Aktualizace místního neměnného ID onPremisesImmutableId
Aktualizace dalších e-mailů otherMails
Aktualizace profilu hesla passwordProfile
Aktualizace hlavního názvu uživatele userPrincipalName
Odstranění nebo obnovení uživatelů Nelze použít

V následující tabulce jsou ve sloupcích uvedeny role, které můžou provádět citlivé akce. Řádky uvádějí role, pro které lze citlivou akci provést.

Následující tabulka je určená pro role přiřazené v oboru tenanta. Pro role přiřazené v oboru jednotky pro správu platí další omezení.

Roli, na které lze citlivou akci provést Správce ověřování Správce uživatelů Privileged Auth Admin Globální správce
Správce ověřování  
Čtenáři adresářů
Globální správce    
Správce skupin  
Pozvaný host
Správce Helpdesk  
Čtečka centra zpráv
Správce hesel
Privileged Auth Admin    
Správce privilegovaných rolí    
Čtenář sestav
Uživatelská
(žádná role správce)
Uživatelská
(žádná role správce, ale člen nebo vlastník skupiny s možností přiřazení role)
   
Uživatel s rolí vymezenou na jednotku správy s omezeným přístupem    
Správce uživatelů  
Správce úspěchu uživatelského prostředí
Čtenář souhrnných sestav využití
Všechny ostatní předdefinované a vlastní role

Další kroky