Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk bemutatja, hogyan rendelhet Microsoft Entra-szerepköröket felhasználókhoz és csoportokhoz a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShell vagy a Microsoft Graph API használatával. Azt is ismerteti, hogyan rendelhet hozzá szerepköröket különböző hatókörökhöz, például bérlői, alkalmazásregisztrációs és felügyeleti egységek hatóköreihez.
Közvetlen és közvetett szerepkör-hozzárendeléseket is hozzárendelhet egy felhasználóhoz. Ha egy felhasználónak csoporttagság révén szerepkör van hozzárendelve, adja hozzá a felhasználót a csoporthoz, hogy megkapja a szerepkört. További információ: Szerepkör-hozzárendelések kezelése Microsoft Entra-csoportok használatával.
A Microsoft Entra ID-ban a szerepkörök általában a teljes bérlőre vonatkoznak. Microsoft Entra-szerepköröket azonban különböző erőforrásokhoz, például alkalmazásregisztrációkhoz vagy felügyeleti egységekhez is hozzárendelhet. Hozzárendelheti például a segélyszolgálati rendszergazdai szerepkört, hogy az csak egy adott felügyeleti egységre vonatkozjon, és ne a teljes bérlőre. A szerepkör-hozzárendelés által érintett erőforrásokat hatókörnek is nevezik. A beépített és egyéni szerepkörök esetében támogatott a szerepkör-hozzárendelés hatókörének korlátozása. További információkért a hatókörről tekintse meg a Microsoft Entra ID szerepköralapú hozzáférés-vezérlésének (RBAC) áttekintését .
Microsoft Entra-szerepkörök a PIM-ben
Ha Rendelkezik Microsoft Entra ID P2-licenccel és Privileged Identity Management (PIM) szolgáltatással, a szerepkörök hozzárendelésekor további képességeket is igénybe vehet, például egy felhasználó jogosulttá válik egy szerepkör-hozzárendelésre, vagy meghatározhatja a szerepkör-hozzárendelés kezdési és befejezési idejét. A Microsoft Entra-szerepkörök PIM-ben való hozzárendeléséről az alábbi cikkekben olvashat:
| Módszer | Információ |
|---|---|
| Microsoft Entra felügyeleti központ | Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben |
| Microsoft Graph PowerShell | Oktatóanyag: Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben a Microsoft Graph PowerShell használatával |
| Microsoft Graph API |
Microsoft Entra-szerepkör-hozzárendelések kezelése PIM API-k használatával Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben |
Előfeltételek
- Kiemelt szerepkör-rendszergazda
- Microsoft Graph PowerShell-modul a PowerShell használatakor
- Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
Szerepkörök hozzárendelése bérlői hatókörben
Ez a szakasz a szerepkörök bérlői hatókörben való hozzárendelését ismerteti.
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
Keresse fel az Entra ID>Szerepkörök és rendszergazdák.
Válassza ki a szerepkör nevét a szerepkör megnyitásához. Ne helyezzen el pipát a szerepkör mellett.
Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a szerepkörhöz hozzárendelni kívánt felhasználókat, csoportokat vagy ügynökidentitásokat.
Csak a szerepkörhöz hozzárendelhető csoportok jelennek meg. Ha egy csoport nem szerepel a listában, létre kell hoznia egy szerepkörhöz hozzárendelhető csoportot. További információ: Szerepkörhöz rendelhető csoport létrehozása a Microsoft Entra-azonosítóban.
Az ügynökidentitásokhoz hozzárendelhető szerepkörök listáját az Engedélyezés a Microsoft Entra-ügynökazonosítóban című témakörben találja.
Ha a felhasználói élmény eltér az alábbi képernyőképen láthatótól, előfordulhat, hogy a Microsoft Entra P2-azonosítójával és PIM-jával rendelkezik. További információ: Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben.
Válassza a Hozzáadás lehetőséget a szerepkör hozzárendeléséhez.
Szerepkörök hozzárendelése alkalmazásregisztrációs hatókörrel
A beépített szerepkörök és az egyéni szerepkörök alapértelmezés szerint a bérlő hatókörében vannak hozzárendelve, hogy hozzáférési engedélyeket adjanak a szervezet összes alkalmazásregisztrációjához. Emellett egyéni szerepkörök és néhány releváns beépített szerepkör is hozzárendelhető (a Microsoft Entra-erőforrás típusától függően) egyetlen Microsoft Entra-erőforrás hatókörében. Ez lehetővé teszi, hogy a felhasználónak engedélyt adjon egy alkalmazás hitelesítő adatainak és alapvető tulajdonságainak frissítésére anélkül, hogy létre kellene hoznia egy második egyéni szerepkört.
Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket egy alkalmazásregisztrációs hatókörhöz.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább alkalmazásfejlesztőként.
Keresse meg az Entra-azonosítós>alkalmazásregisztrációkat.
Válasszon ki egy alkalmazást. A keresőmezővel megkeresheti a kívánt alkalmazást.
Előfordulhat, hogy az összes alkalmazást ki kell választania a bérlői alkalmazásregisztrációk teljes listájának megtekintéséhez.
A bal oldali navigációs menüben válassza a Szerepkörök és rendszergazdák lehetőséget az alkalmazásregisztráción keresztül hozzárendelni kívánt szerepkörök listájának megtekintéséhez.
Válassza ki a kívánt szerepkört.
Borravaló
Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. Csak az alkalmazásregisztrációk kezeléséhez kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be.
Válassza a Hozzárendelések hozzáadása lehetőséget, majd jelölje ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.
Válassza a Hozzáadás lehetőséget az alkalmazásregisztráció hatókörébe tartozó szerepkör hozzárendeléséhez.
Szerepkörök hozzárendelése adminisztratív egység hatókörben
A Microsoft Entra ID-ban a részletesebb felügyeleti vezérlés érdekében hozzárendelhet egy Microsoft Entra-szerepkört egy vagy több felügyeleti egységre korlátozott hatókörrel. Ha egy Microsoft Entra-szerepkör egy felügyeleti egység hatókörébe van rendelve, a szerepkör-engedélyek csak akkor érvényesek, ha a felügyeleti egység tagjait kezelik, és nem vonatkoznak a bérlői szintű beállításokra vagy konfigurációkra.
A felügyeleti egység hatókörében a Csoportok rendszergazdai szerepkörrel rendelkező rendszergazdák például kezelhetik a felügyeleti egység tagjait, de a bérlő más csoportjait nem kezelhetik. Nem tudják kezelni a csoportokhoz kapcsolódó bérlőszintű beállításokat is, például a lejárati vagy a csoportelnevezési szabályzatokat.
Ez a szakasz a Microsoft Entra-szerepkörök felügyeleti egység hatókörrel való hozzárendelését ismerteti.
Előfeltételek
- Microsoft Entra ID P1 vagy P2 licenc minden felügyeleti egység rendszergazdájához
- A Microsoft Entra ID ingyenes licencei a felügyeleti egység tagjai számára
- Kiemelt szerepkör-rendszergazda
- Microsoft Graph PowerShell-modul a PowerShell használatakor
- Rendszergazdai hozzájárulás a Microsoft Graph API-hoz készült Graph Explorer használatakor
További információ: A PowerShell vagy a Graph Explorer használatának előfeltételei.
A felügyeleti egység hatókörével hozzárendelhető szerepkörök
A következő Microsoft Entra-szerepkörök hozzárendelhetők egy felügyeleti egység hatóköréhez. Emellett bármely egyéni szerepkör hozzárendelhető felügyeleti egység hatókörével, amennyiben az egyéni szerepkör engedélyei legalább egy, a felhasználókra, csoportokra vagy eszközökre vonatkozó engedélyt tartalmaznak.
| Szerep | Leírás |
|---|---|
| Hitelesítési rendszergazda | Hozzáféréssel rendelkezik a hitelesítési módszer információinak megtekintéséhez, beállításához és alaphelyzetbe állításához a hozzárendelt felügyeleti egységben lévő nem rendszergazdai felhasználók számára. |
| Attribútum-hozzárendelési rendszergazda | Az egyéni biztonsági attribútum-hozzárendeléseket (bármely attribútumkészletből) csak a felügyeleti egységen belüli felhasználók vagy szolgáltatásnevek számára olvashatja és frissítheti. |
| Attribútum-hozzárendelés-értelmező | Az egyéni biztonsági attribútumok (bármely attribútumkészletből) csak a felügyeleti egységen belüli felhasználók vagy szolgáltatásnevek számára olvashatók. |
| Felhőeszköz-rendszergazda | Korlátozott hozzáférés az eszközök kezeléséhez a Microsoft Entra-azonosítóban. |
| Csoportok rendszergazdája | A csoportok minden aspektusát csak a hozzárendelt felügyeleti egységben kezelheti. |
| Ügyfélszolgálati rendszergazda | Csak a hozzárendelt felügyeleti egységben állíthatják vissza a nem rendszergazdák jelszavait. |
| Licencadminisztrátor | Csak a felügyeleti egységen belül rendelhet hozzá, távolíthat el és frissíthet licenchozzárendeléseket. |
| Jelszóadminisztrátor | A nem rendszergazdai jelszavakat csak a hozzárendelt felügyeleti egységen belül állíthatja vissza. |
| Nyomtatóadminisztrátor | Kezelheti a nyomtatókat és a nyomtató-összekötőket. További információ: Nyomtatók delegálása az Univerzális nyomtatásban. |
| Különleges jogosultságú autentikációs rendszergazda | Bármely felhasználó (rendszergazda vagy nem rendszergazda) számára hozzáférhet a hitelesítési módszer adatainak megtekintéséhez, beállításához és alaphelyzetbe állításához. |
| SharePoint-rendszergazda | Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. A Microsoft 365-csoportokkal egy felügyeleti egységben társított SharePoint-webhelyek esetén a Webhely tulajdonságai (webhelynév, URL-cím és külső megosztási szabályzat) is frissíthetők a Microsoft 365 Felügyeleti központ használatával. A SharePoint Felügyeleti központ és a SharePoint API-k nem használhatók webhelyek kezelésére. |
| Teams-rendszergazda | Csak a hozzárendelt felügyeleti egységben kezelheti a Microsoft 365-csoportokat. Csak a hozzárendelt felügyeleti egység csoportjaival társított csoportok esetében kezelhet csapattagokat a Microsoft 365 Felügyeleti központban. A Teams felügyeleti központ nem használható. |
| Teams-eszközök rendszergazdája | Képes felügyeleti feladatokat végezni a Teams-tanúsítvánnyal rendelkező eszközökön. |
| Felhasználói rendszergazda | Kezelheti a felhasználók és csoportok összes aspektusát, beleértve a korlátozott rendszergazdák jelszavainak alaphelyzetbe állítását csak a hozzárendelt felügyeleti egységen belül. A felhasználók profilképei jelenleg nem kezelhetők. |
| <Egyéni szerepkör> | A felhasználókra, csoportokra vagy eszközökre vonatkozó műveleteket az egyéni szerepkör definíciójának megfelelően hajthatja végre. |
Bizonyos szerepkör-engedélyek csak a nemminisztrátor felhasználókra vonatkoznak, ha egy felügyeleti egység hatókörével vannak hozzárendelve. Más szóval a felügyeleti egység hatókörébe tartozó ügyfélszolgálati rendszergazdák csak akkor állíthatják vissza a rendszergazdai egység felhasználóinak jelszavát, ha ezek a felhasználók nem rendelkeznek rendszergazdai szerepkörrel. Az engedélyek alábbi listája korlátozott, ha egy művelet célja egy másik rendszergazda:
- Felhasználói hitelesítési módszerek olvasása és módosítása, illetve a felhasználói jelszavak alaphelyzetbe állítása
- Bizalmas felhasználói tulajdonságok, például telefonszámok, másodlagos e-mail-címek vagy nyílt engedélyezési (OAuth) titkos kulcsok módosítása
- Felhasználói fiókok törlése vagy visszaállítása
Felügyeleti egység hatókör szerint hozzárendelhető biztonsági főszereplők
A következő biztonsági tagok rendelhetők hozzá egy felügyeleti egység hatókörével rendelkező szerepkörhöz:
- Felhasználók
- Microsoft Entra szerepkörhöz hozzárendelhető csoportok
- Szolgáltatásnevek
Szolgáltatásüzemeltetők és vendégfelhasználók
A szolgáltatási fiókok és a vendégfelhasználók csak akkor használhatnak adminisztratív egységre kiterjedő hatókörű szerepkör-hozzárendelést, ha az objektumok olvasására vonatkozó megfelelő engedélyeket is kapnak. Ennek az az oka, hogy a szolgáltatásnevek és a vendégfelhasználók alapértelmezés szerint nem kapnak címtár-olvasási engedélyeket, amelyek rendszergazdai műveletek végrehajtásához szükségesek. Ahhoz, hogy egy szolgáltatásnév vagy vendégfelhasználó egy felügyeleti egységre hatókörrel rendelkező szerepkör-hozzárendelést használhasson, hozzá kell rendelnie a Címtárolvasó szerepkört (vagy egy másik, olvasási engedélyeket tartalmazó szerepkört) egy bérlői hatókörhöz.
Jelenleg nem lehetséges, hogy egy címtár olvasási engedélyeit egy felügyeleti egységhez rendeljék. A felhasználók alapértelmezett engedélyeiről további információt az alapértelmezett felhasználói engedélyek című témakörben talál.
Szerepkörök hozzárendelése adminisztratív egység hatókörben
Ez a szakasz azt ismerteti, hogyan rendelhet hozzá szerepköröket a felügyeleti egység hatókörében.
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
Keresse meg az Entra-azonosító>szerepkörök és rendszergazdák>.
Válasszon egy felügyeleti egységet.
A bal oldali navigációs menüben válassza a Szerepkörök és rendszergazdák lehetőséget a felügyeleti egységen keresztül hozzárendelhető összes szerepkör listájának megtekintéséhez.
Válassza ki a kívánt szerepkört.
Borravaló
Itt nem jelenik meg a Microsoft Entra beépített vagy egyéni szerepköreinek teljes listája. Ez várható. A felügyeleti egységben támogatott objektumokhoz kapcsolódó engedélyekkel rendelkező szerepköröket mutatjuk be. A felügyeleti egységben támogatott objektumok listájának megtekintéséhez tekintse meg a Microsoft Entra ID felügyeleti egységeit.
Válassza a Hozzárendelések hozzáadása lehetőséget, majd jelölje ki a szerepkörhöz hozzárendelni kívánt felhasználókat vagy csoportokat.
Válassza a Hozzáadás lehetőséget a felügyeleti egység hatókörébe tartozó szerepkör hozzárendeléséhez.
