Szerepköralapú hozzáférés-vezérlés áttekintése a Microsoft Entra ID-ben

Ez a cikk a Microsoft Entra szerepköralapú hozzáférés-vezérlésének megértését ismerteti. A Microsoft Entra-szerepkörök lehetővé teszik, hogy részletes engedélyeket adjon a rendszergazdáknak, betartva a minimális jogosultság elvét. A Microsoft Entra beépített és egyéni szerepkörei az Azure-erőforrások (Azure-szerepkörök) szerepköralapú hozzáférés-vezérlési rendszeréhez hasonló fogalmakon alapulnak. A két szerepköralapú hozzáférés-vezérlési rendszer közötti különbség a következő:

• A Microsoft Entra-szerepkörök a Microsoft Graph API használatával szabályozhatják a Microsoft Entra-erőforrásokhoz, például a felhasználókhoz, csoportokhoz és alkalmazásokhoz való hozzáférést
• Az Azure-szerepkörök az Azure-erőforrásokhoz, például virtuális gépekhez vagy tárolókhoz való hozzáférést szabályozzák az Azure Resource Management használatával

Mindkét rendszer hasonlóan használt szerepkördefiníciókat és szerepkör-hozzárendeléseket tartalmaz. A Microsoft Entra szerepkör-engedélyei azonban nem használhatók az Azure-beli egyéni szerepkörökben, és fordítva.

A Microsoft Entra szerepköralapú hozzáférés-vezérlésének ismertetése

A Microsoft Entra ID kétféle szerepkördefiníciót támogat:

• Beépített szerepkörök
• Egyéni szerepkörök

A beépített szerepkörök beépített szerepkörök, amelyek rögzített engedélykészlettel rendelkeznek. Ezek a szerepkör-definíciók nem módosíthatók. A Microsoft Entra ID számos beépített szerepkört támogat, és a lista egyre bővül. Az élek lekerekítéséhez és a kifinomult követelményeknek való megfeleléshez a Microsoft Entra ID az egyéni szerepköröket is támogatja. Az egyéni Microsoft Entra-szerepkörökkel történő engedélyezés kétlépcsős folyamat, amely magában foglalja egy egyéni szerepkör-definíció létrehozását, majd szerepkör-kijelöléssel történő hozzárendelését. Az egyéni szerepkör-definíció egy előre összeállított listáról kiválasztott engedélyek gyűjteménye. Ezek az engedélyek megegyeznek a beépített szerepkörökben használt engedélyekkel.

Az egyéni szerepkör-definíció létrehozását (vagy egy beépített szerepkör kiválasztását) követően szerepkör-hozzárendelés létrehozásával rendelheti azt hozzá egy felhasználóhoz. A szerepkör-hozzárendelés a szerepkör-definícióban megadott engedélyeket biztosítja a felhasználónak egy adott hatókörben. Ez a kétlépéses folyamat lehetővé teszi, hogy egyetlen szerepkör-definíciót többször is hozzárendelhessen különböző hatóköröket megadva. A hatókör határozza meg, hogy a szerepkörtag milyen Microsoft Entra-erőforrásokhoz fér hozzá. A leggyakoribb hatókör a szervezeti szintű hatókör. Az egyéni szerepkörnek adható szervezeti szintű hatókör, ebben az esetben a szerepkörtag a szervezet összes erőforrására vonatkozóan megkapja a szerepkör engedélyeit. Az egyéni szerepkörhöz objektumszintű hatókör is megadható. Objektumszintű hatókör lehet például egyetlen alkalmazás. Megteheti, hogy az egyik felhasználóhoz a szervezet összes alkalmazására vonatkozóan rendel hozzá egy szerepkört, egy másik felhasználóhoz viszont csak a Contoso Expense Reports alkalmazás hatókörével.

Hogyan határozza meg a Microsoft Entra ID, hogy egy felhasználó rendelkezik-e hozzáféréssel egy erőforráshoz

Az alábbiakban a Microsoft Entra ID által használt magas szintű lépéseket követjük annak megállapításához, hogy rendelkezik-e hozzáféréssel egy felügyeleti erőforráshoz. Ezekkel az információkkal elháríthatja a hozzáférési problémákat.

1. Egy felhasználó (vagy szolgáltatásnév) jogkivonatot szerez be a Microsoft Graph-végponthoz.
2. A felhasználó API-hívást kezdeményez a Microsoft Entra-azonosítóhoz a Microsoft Graphon keresztül a kibocsátott jogkivonat használatával.
3. A körülményektől függően a Microsoft Entra ID az alábbi műveletek egyikét hajtja végre:
   • Kiértékeli a felhasználó szerepkör-tagságait a felhasználó hozzáférési jogkivonatában található wids jogcím alapján.
   • Lekéri a felhasználóra vonatkozó összes szerepkör-hozzárendelést közvetlenül vagy csoporttagságon keresztül ahhoz az erőforráshoz, amelyen a műveletet végrehajtják.
4. A Microsoft Entra ID meghatározza, hogy az API-hívásban szereplő művelet szerepel-e az erőforráshoz tartozó szerepkörökben.
5. Ha a felhasználónak nincs szerepköre a művelettel a kért hatókörben, a hozzáférés nem lesz engedélyezve. Egyéb esetben hozzáférést biztosít.

Szerepkör-hozzárendelés

A szerepkör-hozzárendelés egy Microsoft Entra-erőforrás, amely egy szerepkördefiníciót csatol egy biztonsági taghoz egy adott hatókörben , hogy hozzáférést biztosítson a Microsoft Entra-erőforrásokhoz. A hozzáférés szerepkör-hozzárendelés létrehozásával biztosítható, és a szerepkör-hozzárendelés törlésével vonható vissza. A szerepkör-hozzárendelés lényege három elemből áll:

• Biztonsági tag – Az engedélyeket lekérő identitás. Ez lehet felhasználó, csoport vagy szolgáltatásnév.
• Szerepkördefiníció – Engedélyek gyűjteménye.
• Hatókör – Az engedélyek alkalmazhatóságának korlátozásának módja.

Szerepkör-hozzárendeléseket hozhat létre, és listázhatja a szerepkör-hozzárendeléseket a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával. Az Azure CLI nem támogatott a Microsoft Entra szerepkör-hozzárendeléseihez.

Az alábbi ábrán egy példa látható szerepkör-hozzárendelésre. Ebben a példában Chris hozzárendelte az alkalmazásregisztrációs Rendszergazda istrator egyéni szerepkört a Contoso Widget Builder alkalmazásregisztrációjának hatókörébe. A hozzárendelés csak az adott alkalmazásregisztrációhoz adja meg Chrisnek az alkalmazásregisztrációs Rendszergazda istrator szerepkör engedélyeit.

Rendszerbiztonsági tag

A biztonsági tagok olyan felhasználót, csoportot vagy szolgáltatásnevet jelölnek, amely hozzáféréssel rendelkezik a Microsoft Entra-erőforrásokhoz. A felhasználó olyan személy, aki rendelkezik felhasználói profillal a Microsoft Entra-azonosítóban. A csoport egy új Microsoft 365-ös vagy biztonsági csoport, amely szerepkör-hozzárendelhető csoportként lett beállítva. A szolgáltatásnév egy olyan identitás, amely alkalmazásokkal, üzemeltetett szolgáltatásokkal és automatizált eszközökkel való használatra készült a Microsoft Entra-erőforrások eléréséhez.

Szerepkör-definíció

A szerepkördefiníciók vagy szerepkörök engedélyek gyűjteményei. A szerepkördefiníciók felsorolják a Microsoft Entra-erőforrásokon végrehajtható műveleteket, például létrehozást, olvasást, frissítést és törlést. A Microsoft Entra-azonosító kétféle szerepkört kínál:

• A Microsoft által létrehozott beépített szerepkörök nem módosíthatók.
• A szervezet által létrehozott és felügyelt egyéni szerepkörök.

Hatókör

A hatókörök lehetővé teszik az engedélyezett műveletek egy adott erőforráskészletre való korlátozását egy szerepkör-hozzárendelés részeként. Ha például egyéni szerepkört szeretne hozzárendelni egy fejlesztőhöz, de csak egy adott alkalmazásregisztráció kezeléséhez, az adott alkalmazásregisztrációt hatókörként is felveheti a szerepkör-hozzárendelésbe.

Szerepkör hozzárendelésekor a következő hatókörtípusok egyikét kell megadnia:

• Bérlő
• Rendszergazda istrative egység
• Microsoft Entra-erőforrás

Ha hatókörként egy Microsoft Entra-erőforrást ad meg, az a következők egyike lehet:

• Microsoft Entra-csoportok
• Vállalati alkalmazások
• Alkalmazásregisztrációk

Ha egy szerepkört egy tároló hatóköre ( például a bérlő vagy egy Rendszergazda istrative egység) rendel hozzá, engedélyeket ad az általuk tartalmazott objektumokhoz, de magát a tárolót nem. Éppen ellenkezőleg, ha egy szerepkört erőforrás-hatókörön keresztül rendelnek hozzá, az engedélyeket ad az erőforrásra, de nem terjed ki túl (különösen nem terjed ki a Microsoft Entra-csoport tagjaira).

További információ: Microsoft Entra-szerepkörök hozzárendelése különböző hatókörökben.

Szerepkör-hozzárendelési beállítások

A Microsoft Entra ID több lehetőséget is kínál a szerepkörök hozzárendelésére:

• A szerepköröket közvetlenül is hozzárendelheti a felhasználókhoz, ez az alapértelmezett módja a szerepkörök hozzárendelésének. A beépített és az egyéni Microsoft Entra-szerepkörök is hozzárendelhetők a felhasználókhoz a hozzáférési követelmények alapján. További információ: Microsoft Entra-szerepkörök hozzárendelése felhasználókhoz.
• A P1 Microsoft Entra-azonosítóval szerepkörhöz rendelhető csoportokat hozhat létre, és szerepköröket rendelhet hozzájuk. A szerepkörök személyek helyett csoporthoz való hozzárendelése lehetővé teszi a felhasználók egyszerű hozzáadását vagy eltávolítását egy szerepkörből, és konzisztens engedélyeket hoz létre a csoport minden tagjának. További információ: Microsoft Entra-szerepkörök hozzárendelése csoportokhoz.
• A P2 Microsoft Entra-azonosítóval a Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) használatával igény szerinti hozzáférést biztosíthat a szerepkörökhöz. Ez a funkció lehetővé teszi, hogy egy szerepkörhöz időkorlátos hozzáférést biztosítson azoknak a felhasználóknak, akiknek szüksége van rá, és nem biztosít állandó hozzáférést. Emellett részletes jelentéskészítési és naplózási képességeket is biztosít. További információ: Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben.

Licenckövetelmények

A beépített szerepkörök használata a Microsoft Entra-azonosítóban ingyenes. Az egyéni szerepkörök használatához minden egyéni szerepkör-hozzárendeléssel rendelkező felhasználóhoz Microsoft Entra ID P1 licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása című témakört.

Következő lépések

• A Microsoft Entra szerepköreinek ismertetése
• Microsoft Entra szerepkörök hozzárendelése a felhasználókhoz
• Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban
• Microsoft Entra szerepkörök hozzárendelése a felhasználókhoz
• Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban