Olvasás angol nyelven

Megosztás a következőn keresztül:


Microsoft Entra-szerepkörök hozzárendelése

Ez a cikk bemutatja, hogyan rendelhet Microsoft Entra-szerepköröket felhasználókhoz és csoportokhoz a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával. Azt is ismerteti, hogyan rendelhet hozzá szerepköröket különböző hatókörökhöz, például bérlői, alkalmazásregisztrációs és felügyeleti egységek hatóköreihez.

Közvetlen és közvetett szerepkör-hozzárendeléseket is hozzárendelhet egy felhasználóhoz. Ha egy felhasználónak csoporttagság révén szerepkör van hozzárendelve, adja hozzá a felhasználót a csoporthoz, hogy megkapja a szerepkört. További információ: A Microsoft Entra-csoportok használata szerepkör-hozzárendelések kezeléséhez.

A Microsoft Entra ID-ban a szerepkörök általában a teljes bérlőre vonatkoznak. Microsoft Entra-szerepköröket azonban különböző erőforrásokhoz, például alkalmazásregisztrációkhoz vagy felügyeleti egységekhez is hozzárendelhet. Hozzárendelheti például a segélyszolgálati rendszergazdai szerepkört, hogy az csak egy adott felügyeleti egységre vonatkozjon, és ne a teljes bérlőre. A szerepkör-hozzárendelés által érintett erőforrásokat hatókörnek is nevezik. A beépített és egyéni szerepkörök esetében támogatott a szerepkör-hozzárendelés hatókörének korlátozása. További információkért a hatókörről tekintse meg a Microsoft Entra ID szerepköralapú hozzáférés-vezérlésének (RBAC) áttekintését .

Microsoft Entra-szerepkörök a PIM-ben

Ha Microsoft Entra ID P2-licenccel és Privileged Identity Management (PIM)rendelkezik, a szerepkörök hozzárendelésekor további képességeket is használhat, például egy felhasználót jogosulttá tesz egy szerepkör-hozzárendelésre, vagy meghatározhatja a szerepkör-hozzárendelés kezdési és befejezési idejét. A Microsoft Entra-szerepkörök PIM-ben való hozzárendeléséről az alábbi cikkekben olvashat:

Előfeltételek

  • Kiemelt szerepkör-rendszergazda
  • Microsoft Graph PowerShell modul használata a PowerShell környezetben
  • Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor

További információ: A PowerShell vagy a Graph Explorerhasználatának előfeltételei.

Szerepkörök hozzárendelése bérlői hatókörben

Ez a szakasz a szerepkörök bérlői hatókörben való hozzárendelését ismerteti.

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább kiemelt szerepkör-rendszergazdai.

  2. Keresse meg az identitás>szerepköröket & adminisztrátorokat>szerepköröket & adminisztrátorokat.

    Szerepkörök és rendszergazdák lap képernyőképe a Microsoft Entra Felügyeleti központban.

  3. Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne helyezzen el pipát a szerepkör mellett.

    Szerepkörök és rendszergazdák lap képernyőképe, amelyen egérrel a szerepkör neve látható.

  4. Válassza Hozzárendelések hozzáadása, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.

    Csak a szerepkörhöz hozzárendelhető csoportok jelennek meg. Ha egy csoport nem szerepel a listában, létre kell hoznia egy szerepkörhöz hozzárendelhető csoportot. További információ: Szerepkörhöz rendelhető csoport létrehozása a Microsoft Entra-azonosítóban.

    Ha a felhasználói élmény eltér az alábbi képernyőképen láthatótól, előfordulhat, hogy a Microsoft Entra P2-azonosítójával és PIM-jával rendelkezik. További információért tekintse meg a(z) Microsoft Entra szerepkörök hozzárendelése a Kiemelt Identitáskezelés területén.

    A kijelölt szerepkör Hozzárendelések hozzáadása paneljének képernyőképe.

  5. Válassza ki a lehetőséget, majd adja hozzá a-et a szerepkör hozzárendeléséhez.

Szerepkörök hozzárendelése alkalmazásregisztrációs hatókörrel

A beépített szerepkörök és az egyéni szerepkörök alapértelmezés szerint a bérlő hatókörében vannak hozzárendelve, hogy hozzáférési engedélyeket adjanak a szervezet összes alkalmazásregisztrációjához. Emellett egyéni szerepkörök és néhány releváns beépített szerepkör is hozzárendelhető (a Microsoft Entra-erőforrás típusától függően) egyetlen Microsoft Entra-erőforrás hatókörében. Ez lehetővé teszi, hogy a felhasználónak engedélyt adjon egy alkalmazás hitelesítő adatainak és alapvető tulajdonságainak frissítésére anélkül, hogy létre kellene hoznia egy második egyéni szerepkört.

Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket egy alkalmazásregisztrációs hatókörhöz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba, legalább alkalmazásfejlesztői.

  2. Navigáljon a következőhöz: Identitás>alkalmazások>alkalmazásregisztrációk.

  3. Válasszon ki egy alkalmazást. A keresőmezővel megkeresheti a kívánt alkalmazást.

    Előfordulhat, hogy a bérlői alkalmazásregisztrációk teljes listájának megtekintéséhez Minden alkalmazás lehetőséget kell választania.

    Alkalmazásregisztrációk képernyőképe a Microsoft Entra-azonosítóban.

  4. A bal oldali navigációs menüben válassza szerepkörök és rendszergazdák az alkalmazásregisztráción keresztül hozzárendelhető összes szerepkör listájának megtekintéséhez.

    Az alkalmazásregisztráció szerepköreinek képernyőképe a Microsoft Entra-azonosítóban.

  5. Válassza ki a kívánt szerepkört.

    Tipp.

    Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. Csak az alkalmazásregisztrációk kezeléséhez kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be.

  6. Válassza Hozzárendelések hozzáadása lehetőséget, majd jelölje ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.

    Képernyőkép: Szerepkör-hozzárendelés hozzáadása hatókörrel az alkalmazásregisztrációhoz a Microsoft Entra ID-ban.

  7. Válassza a opciót, majd adja hozzá a-et, hogy hozzárendelje a megfelelő szerepkört az alkalmazásregisztráció hatóköréhez.

Szerepkörök hozzárendelése adminisztratív egység hatókörben

A Microsoft Entra ID-ban részletesebb felügyeleti vezérléshez rendelhet hozzá egy Microsoft Entra-szerepkört, amely hatókörrel rendelkezik egy vagy több felügyeleti egységre. Ha egy Microsoft Entra-szerepkör egy felügyeleti egység hatókörébe van rendelve, a szerepkör-engedélyek csak akkor érvényesek, ha a felügyeleti egység tagjait kezelik, és nem vonatkoznak a bérlői szintű beállításokra vagy konfigurációkra.

A felügyeleti egység hatókörében a Csoportok rendszergazdai szerepkörrel rendelkező rendszergazdák például kezelhetik a felügyeleti egység tagjait, de a bérlő más csoportjait nem kezelhetik. Nem tudják kezelni a csoportokhoz kapcsolódó bérlőszintű beállításokat is, például a lejárati vagy a csoportelnevezési szabályzatokat.

Ez a szakasz a Microsoft Entra-szerepkörök felügyeleti egység hatókörrel való hozzárendelését ismerteti.

Előfeltételek

  • Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
  • A Microsoft Entra ID ingyenes licencei a felügyeleti egység tagjai számára
  • Kiváltságos szerepkör-rendszergazda
  • Microsoft Graph PowerShell-modul a PowerShell használatakor
  • Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor

További információ: A PowerShell vagy a Graph Explorerhasználatának előfeltételei.

A felügyeleti egység hatókörével hozzárendelhető szerepkörök

A következő Microsoft Entra-szerepkörök hozzárendelhetők egy felügyeleti egység hatóköréhez. Emellett minden egyéni szerepkör hozzárendelhető felügyeleti egység hatókörével, amennyiben az egyéni szerepkör engedélyei legalább egy, a felhasználókra, csoportokra vagy eszközökre vonatkozó engedélyt tartalmaznak.

Szerep Leírás
Hitelesítési rendszergazda Hozzáféréssel rendelkezik a hitelesítési módszer információinak megtekintéséhez, beállításához és alaphelyzetbe állításához a hozzárendelt felügyeleti egységben lévő nem rendszergazdai felhasználók számára.
Felhőeszköz rendszergazda Korlátozott hozzáférés az eszközök kezeléséhez a Microsoft Entra-azonosítóban.
Csoportok rendszergazdája A csoportok minden aspektusát csak a hozzárendelt felügyeleti egységben kezelheti.
ügyfélszolgálati rendszergazdai Csak a hozzárendelt felügyeleti egységben állíthatják vissza a nem rendszergazdák jelszavait.
Licencadminisztrátor Csak a felügyeleti egységen belül rendelhet hozzá, távolíthat el és frissíthet licenchozzárendeléseket.
Jelszó-adminisztrátor A nem rendszergazdai jelszavakat csak a hozzárendelt felügyeleti egységen belül állíthatja vissza.
Nyomtató-adminisztrátor Kezelheti a nyomtatókat és a nyomtató-összekötőket. További információ: Nyomtatók kezelésének delegálása az Univerzális Nyomtatásban.
Kiemelt hitelesítési rendszergazda Bármely felhasználó (rendszergazda vagy nem rendszergazda) számára hozzáférhet a hitelesítési módszer adatainak megtekintéséhez, beállításához és alaphelyzetbe állításához.
SharePoint-rendszergazdai Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. A Microsoft 365-csoportokkal egy felügyeleti egységben társított SharePoint-webhelyek esetén a Webhely tulajdonságai (webhelynév, URL-cím és külső megosztási szabályzat) is frissíthetők a Microsoft 365 Felügyeleti központ használatával. A SharePoint Felügyeleti központ és a SharePoint API-k nem használhatók webhelyek kezelésére.
Teams-rendszergazdai Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. Csak a hozzárendelt felügyeleti egység csoportjaival társított csoportok esetében kezelhet csapattagokat a Microsoft 365 Felügyeleti központban. A Teams felügyeleti központ nem használható.
Teams-eszközök rendszergazdája Képes felügyeleti feladatokat végezni a Teams-tanúsítvánnyal rendelkező eszközökön.
Felhasználói Rendszergazda Kezelheti a felhasználók és csoportok összes aspektusát, beleértve a korlátozott rendszergazdák jelszavainak alaphelyzetbe állítását csak a hozzárendelt felügyeleti egységen belül. A felhasználók profilképei jelenleg nem kezelhetők.
egyéni szerepkör <> A felhasználókra, csoportokra vagy eszközökre vonatkozó műveleteket az egyéni szerepkör definíciójának megfelelően hajthatja végre.

Bizonyos szerepkör-engedélyek csak a nemminisztrátor felhasználókra vonatkoznak, ha egy felügyeleti egység hatókörével vannak hozzárendelve. Más szóval a rendszergazdai egység hatóköre Ügyfélszolgálati rendszergazdák csak akkor állíthatja vissza a rendszergazdai egység felhasználóinak jelszavát, ha ezek a felhasználók nem rendelkeznek rendszergazdai szerepkörrel. Az engedélyek alábbi listája korlátozott, ha egy művelet célja egy másik rendszergazda:

  • Felhasználói hitelesítési módszerek olvasása és módosítása, illetve a felhasználói jelszavak alaphelyzetbe állítása
  • Bizalmas felhasználói tulajdonságok, például telefonszámok, másodlagos e-mail-címek vagy nyílt engedélyezési (OAuth) titkos kulcsok módosítása
  • Felhasználói fiókok törlése vagy visszaállítása

Felügyeleti egység hatókör szerint hozzárendelhető biztonsági főszereplők

A következő biztonsági tagok rendelhetők hozzá egy felügyeleti egység hatókörével rendelkező szerepkörhöz:

  • Felhasználók
  • Microsoft Entra szerepkörhöz hozzárendelhető csoportok
  • Szolgáltatásnevek

Szolgáltatásüzemeltetők és vendégfelhasználók

A szolgáltatási fiókok és a vendégfelhasználók csak akkor használhatnak adminisztratív egységre kiterjedő hatókörű szerepkör-hozzárendelést, ha az objektumok olvasására vonatkozó megfelelő engedélyeket is kapnak. Ennek az az oka, hogy a szolgáltatásnevek és a vendégfelhasználók alapértelmezés szerint nem kapnak címtár-olvasási engedélyeket, amelyek rendszergazdai műveletek végrehajtásához szükségesek. Ha engedélyezni szeretné, hogy egy szolgáltatási név vagy vendég felhasználó egy felügyeleti egységre kiterjedő hatókörrel rendelkező szerepkör-hozzárendelést használjon, a Címtárolvasók szerepkört (vagy egy másik, olvasási engedélyeket tartalmazó szerepkört) kell hozzárendelnie bérlői szinten.

A címtár olvasási engedélyeinek hozzárendelése jelenleg nem lehetséges egy felügyeleti egységhez. További információ a felhasználók alapértelmezett engedélyeiről: alapértelmezett felhasználói engedélyek.

Szerepkörök hozzárendelése adminisztratív egység hatókörben

Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket a felügyeleti egység hatókörében.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba úgy, hogy legalább jogosult szerepkör-rendszergazdalegyen.

  2. Tallózás az Identitás>szerepkörök & rendszergazdák>Felügyeleti egységek.

  3. Válasszon egy felügyeleti egységet.

    Microsoft Entra ID felügyeleti egységeinek képernyőképe.

  4. A bal oldali navigációs menüben válassza Szerepkörök és rendszergazdák lehetőséget a felügyeleti egységen keresztül hozzárendelhető összes szerepkör listájának megtekintéséhez.

    A Szerepkörök és rendszergazdák menü képernyőképe a Microsoft Entra ID felügyeleti egységei alatt.

  5. Válassza ki a kívánt szerepkört.

    Tipp.

    Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. A felügyeleti egységben támogatott objektumokhoz kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be. A felügyeleti egységben támogatott objektumok listájának megtekintéséhez tekintse meg Microsoft Entra IDfelügyeleti egységeit.

  6. Válassza Hozzárendelések hozzáadása lehetőséget, majd jelölje ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.

  7. Válassza a , majd adja hozzá a elemet a felügyeleti egység hatókörébe tartozó szerepkör hozzárendeléséhez.

Következő lépések