Microsoft Entra-szerepkörök hozzárendelése
Ez a cikk bemutatja, hogyan rendelhet Microsoft Entra-szerepköröket felhasználókhoz és csoportokhoz a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával. Azt is ismerteti, hogyan rendelhet hozzá szerepköröket különböző hatókörökhöz, például bérlői, alkalmazásregisztrációs és felügyeleti egységek hatóköreihez.
Közvetlen és közvetett szerepkör-hozzárendeléseket is hozzárendelhet egy felhasználóhoz. Ha egy felhasználónak csoporttagság révén szerepkör van hozzárendelve, adja hozzá a felhasználót a csoporthoz, hogy megkapja a szerepkört. További információ: A Microsoft Entra-csoportok használata szerepkör-hozzárendelések kezeléséhez.
A Microsoft Entra ID-ban a szerepkörök általában a teljes bérlőre vonatkoznak. Microsoft Entra-szerepköröket azonban különböző erőforrásokhoz, például alkalmazásregisztrációkhoz vagy felügyeleti egységekhez is hozzárendelhet. Hozzárendelheti például a segélyszolgálati rendszergazdai szerepkört, hogy az csak egy adott felügyeleti egységre vonatkozjon, és ne a teljes bérlőre. A szerepkör-hozzárendelés által érintett erőforrásokat hatókörnek is nevezik. A beépített és egyéni szerepkörök esetében támogatott a szerepkör-hozzárendelés hatókörének korlátozása. További információkért a hatókörről tekintse meg a Microsoft Entra ID szerepköralapú hozzáférés-vezérlésének (RBAC) áttekintését .
Ha Microsoft Entra ID P2-licenccel és Privileged Identity Management (PIM)rendelkezik, a szerepkörök hozzárendelésekor további képességeket is használhat, például egy felhasználót jogosulttá tesz egy szerepkör-hozzárendelésre, vagy meghatározhatja a szerepkör-hozzárendelés kezdési és befejezési idejét. A Microsoft Entra-szerepkörök PIM-ben való hozzárendeléséről az alábbi cikkekben olvashat:
Módszer | Információ |
---|---|
Microsoft Entra Felügyeleti központ | Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben |
Microsoft Graph PowerShell | Oktatóanyag: Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben a Microsoft Graph PowerShell segítségével |
Microsoft Graph API |
Microsoft Entra-szerepkör-hozzárendelések kezelése PIM API-k használatával Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben |
- Kiemelt szerepkör-rendszergazda
- Microsoft Graph PowerShell modul használata a PowerShell környezetben
- Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor
További információ: A PowerShell vagy a Graph Explorerhasználatának előfeltételei.
Ez a szakasz a szerepkörök bérlői hatókörben való hozzárendelését ismerteti.
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább kiemelt szerepkör-rendszergazdai.
Keresse meg az identitás>szerepköröket & adminisztrátorokat>szerepköröket & adminisztrátorokat.
Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne helyezzen el pipát a szerepkör mellett.
Válassza Hozzárendelések hozzáadása, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.
Csak a szerepkörhöz hozzárendelhető csoportok jelennek meg. Ha egy csoport nem szerepel a listában, létre kell hoznia egy szerepkörhöz hozzárendelhető csoportot. További információ: Szerepkörhöz rendelhető csoport létrehozása a Microsoft Entra-azonosítóban.
Ha a felhasználói élmény eltér az alábbi képernyőképen láthatótól, előfordulhat, hogy a Microsoft Entra P2-azonosítójával és PIM-jával rendelkezik. További információért tekintse meg a(z) Microsoft Entra szerepkörök hozzárendelése a Kiemelt Identitáskezelés területén.
Válassza ki a lehetőséget, majd adja hozzá a-et a szerepkör hozzárendeléséhez.
A beépített szerepkörök és az egyéni szerepkörök alapértelmezés szerint a bérlő hatókörében vannak hozzárendelve, hogy hozzáférési engedélyeket adjanak a szervezet összes alkalmazásregisztrációjához. Emellett egyéni szerepkörök és néhány releváns beépített szerepkör is hozzárendelhető (a Microsoft Entra-erőforrás típusától függően) egyetlen Microsoft Entra-erőforrás hatókörében. Ez lehetővé teszi, hogy a felhasználónak engedélyt adjon egy alkalmazás hitelesítő adatainak és alapvető tulajdonságainak frissítésére anélkül, hogy létre kellene hoznia egy második egyéni szerepkört.
Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket egy alkalmazásregisztrációs hatókörhöz.
Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább alkalmazásfejlesztői.
Navigáljon a következőhöz: Identitás>alkalmazások>alkalmazásregisztrációk.
Válasszon ki egy alkalmazást. A keresőmezővel megkeresheti a kívánt alkalmazást.
Előfordulhat, hogy a bérlői alkalmazásregisztrációk teljes listájának megtekintéséhez Minden alkalmazás lehetőséget kell választania.
A bal oldali navigációs menüben válassza szerepkörök és rendszergazdák az alkalmazásregisztráción keresztül hozzárendelhető összes szerepkör listájának megtekintéséhez.
Válassza ki a kívánt szerepkört.
Tipp.
Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. Csak az alkalmazásregisztrációk kezeléséhez kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be.
Válassza Hozzárendelések hozzáadása lehetőséget, majd jelölje ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.
Válassza a opciót, majd adja hozzá a-et, hogy hozzárendelje a megfelelő szerepkört az alkalmazásregisztráció hatóköréhez.
A Microsoft Entra ID-ban részletesebb felügyeleti vezérléshez rendelhet hozzá egy Microsoft Entra-szerepkört, amely hatókörrel rendelkezik egy vagy több felügyeleti egységre. Ha egy Microsoft Entra-szerepkör egy felügyeleti egység hatókörébe van rendelve, a szerepkör-engedélyek csak akkor érvényesek, ha a felügyeleti egység tagjait kezelik, és nem vonatkoznak a bérlői szintű beállításokra vagy konfigurációkra.
A felügyeleti egység hatókörében a Csoportok rendszergazdai szerepkörrel rendelkező rendszergazdák például kezelhetik a felügyeleti egység tagjait, de a bérlő más csoportjait nem kezelhetik. Nem tudják kezelni a csoportokhoz kapcsolódó bérlőszintű beállításokat is, például a lejárati vagy a csoportelnevezési szabályzatokat.
Ez a szakasz a Microsoft Entra-szerepkörök felügyeleti egység hatókörrel való hozzárendelését ismerteti.
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
- A Microsoft Entra ID ingyenes licencei a felügyeleti egység tagjai számára
- Kiváltságos szerepkör-rendszergazda
- Microsoft Graph PowerShell-modul a PowerShell használatakor
- Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor
További információ: A PowerShell vagy a Graph Explorerhasználatának előfeltételei.
A következő Microsoft Entra-szerepkörök hozzárendelhetők egy felügyeleti egység hatóköréhez. Emellett minden egyéni szerepkör hozzárendelhető felügyeleti egység hatókörével, amennyiben az egyéni szerepkör engedélyei legalább egy, a felhasználókra, csoportokra vagy eszközökre vonatkozó engedélyt tartalmaznak.
Szerep | Leírás |
---|---|
Hitelesítési rendszergazda | Hozzáféréssel rendelkezik a hitelesítési módszer információinak megtekintéséhez, beállításához és alaphelyzetbe állításához a hozzárendelt felügyeleti egységben lévő nem rendszergazdai felhasználók számára. |
Felhőeszköz rendszergazda | Korlátozott hozzáférés az eszközök kezeléséhez a Microsoft Entra-azonosítóban. |
Csoportok rendszergazdája | A csoportok minden aspektusát csak a hozzárendelt felügyeleti egységben kezelheti. |
ügyfélszolgálati rendszergazdai | Csak a hozzárendelt felügyeleti egységben állíthatják vissza a nem rendszergazdák jelszavait. |
Licencadminisztrátor | Csak a felügyeleti egységen belül rendelhet hozzá, távolíthat el és frissíthet licenchozzárendeléseket. |
Jelszó-adminisztrátor | A nem rendszergazdai jelszavakat csak a hozzárendelt felügyeleti egységen belül állíthatja vissza. |
Nyomtató-adminisztrátor | Kezelheti a nyomtatókat és a nyomtató-összekötőket. További információ: Nyomtatók kezelésének delegálása az Univerzális Nyomtatásban. |
Kiemelt hitelesítési rendszergazda | Bármely felhasználó (rendszergazda vagy nem rendszergazda) számára hozzáférhet a hitelesítési módszer adatainak megtekintéséhez, beállításához és alaphelyzetbe állításához. |
SharePoint-rendszergazdai | Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. A Microsoft 365-csoportokkal egy felügyeleti egységben társított SharePoint-webhelyek esetén a Webhely tulajdonságai (webhelynév, URL-cím és külső megosztási szabályzat) is frissíthetők a Microsoft 365 Felügyeleti központ használatával. A SharePoint Felügyeleti központ és a SharePoint API-k nem használhatók webhelyek kezelésére. |
Teams-rendszergazdai | Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. Csak a hozzárendelt felügyeleti egység csoportjaival társított csoportok esetében kezelhet csapattagokat a Microsoft 365 Felügyeleti központban. A Teams felügyeleti központ nem használható. |
Teams-eszközök rendszergazdája | Képes felügyeleti feladatokat végezni a Teams-tanúsítvánnyal rendelkező eszközökön. |
Felhasználói Rendszergazda | Kezelheti a felhasználók és csoportok összes aspektusát, beleértve a korlátozott rendszergazdák jelszavainak alaphelyzetbe állítását csak a hozzárendelt felügyeleti egységen belül. A felhasználók profilképei jelenleg nem kezelhetők. |
egyéni szerepkör <> | A felhasználókra, csoportokra vagy eszközökre vonatkozó műveleteket az egyéni szerepkör definíciójának megfelelően hajthatja végre. |
Bizonyos szerepkör-engedélyek csak a nemminisztrátor felhasználókra vonatkoznak, ha egy felügyeleti egység hatókörével vannak hozzárendelve. Más szóval a rendszergazdai egység hatóköre Ügyfélszolgálati rendszergazdák csak akkor állíthatja vissza a rendszergazdai egység felhasználóinak jelszavát, ha ezek a felhasználók nem rendelkeznek rendszergazdai szerepkörrel. Az engedélyek alábbi listája korlátozott, ha egy művelet célja egy másik rendszergazda:
- Felhasználói hitelesítési módszerek olvasása és módosítása, illetve a felhasználói jelszavak alaphelyzetbe állítása
- Bizalmas felhasználói tulajdonságok, például telefonszámok, másodlagos e-mail-címek vagy nyílt engedélyezési (OAuth) titkos kulcsok módosítása
- Felhasználói fiókok törlése vagy visszaállítása
A következő biztonsági tagok rendelhetők hozzá egy felügyeleti egység hatókörével rendelkező szerepkörhöz:
- Felhasználók
- Microsoft Entra szerepkörhöz hozzárendelhető csoportok
- Szolgáltatásnevek
A szolgáltatási fiókok és a vendégfelhasználók csak akkor használhatnak adminisztratív egységre kiterjedő hatókörű szerepkör-hozzárendelést, ha az objektumok olvasására vonatkozó megfelelő engedélyeket is kapnak. Ennek az az oka, hogy a szolgáltatásnevek és a vendégfelhasználók alapértelmezés szerint nem kapnak címtár-olvasási engedélyeket, amelyek rendszergazdai műveletek végrehajtásához szükségesek. Ha engedélyezni szeretné, hogy egy szolgáltatási név vagy vendég felhasználó egy felügyeleti egységre kiterjedő hatókörrel rendelkező szerepkör-hozzárendelést használjon, a Címtárolvasók szerepkört (vagy egy másik, olvasási engedélyeket tartalmazó szerepkört) kell hozzárendelnie bérlői szinten.
A címtár olvasási engedélyeinek hozzárendelése jelenleg nem lehetséges egy felügyeleti egységhez. További információ a felhasználók alapértelmezett engedélyeiről: alapértelmezett felhasználói engedélyek.
Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket a felügyeleti egység hatókörében.
Jelentkezzen be a Microsoft Entra felügyeleti központba úgy, hogy legalább jogosult szerepkör-rendszergazdalegyen.
Tallózás az Identitás>szerepkörök & rendszergazdák>Felügyeleti egységek.
Válasszon egy felügyeleti egységet.
A bal oldali navigációs menüben válassza Szerepkörök és rendszergazdák lehetőséget a felügyeleti egységen keresztül hozzárendelhető összes szerepkör listájának megtekintéséhez.
Válassza ki a kívánt szerepkört.
Tipp.
Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. A felügyeleti egységben támogatott objektumokhoz kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be. A felügyeleti egységben támogatott objektumok listájának megtekintéséhez tekintse meg Microsoft Entra IDfelügyeleti egységeit.
Válassza Hozzárendelések hozzáadása lehetőséget, majd jelölje ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.
Válassza a , majd adja hozzá a elemet a felügyeleti egység hatókörébe tartozó szerepkör hozzárendeléséhez.