Előző

Következő

Microsoft Entra-szerepkörök konfigurálása és kezelése

Befejeződött

A Microsoft Entra ID a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása, amely segít az alkalmazott bejelentkezésében és az erőforrások elérésében:

• Külső erőforrások, például a Microsoft 365, az Azure Portal és több ezer más SaaS-alkalmazás.
• Belső erőforrások, például a vállalati hálózaton és az intraneten található alkalmazások, valamint a saját szervezete által fejlesztett felhőalkalmazások.

Ki használja a Microsoft Entra-azonosítót?

A Microsoft Entra ID a következő célokra szolgál:

• Informatikai rendszergazdák – Rendszergazdaként a Microsoft Entra-azonosítóval szabályozhatja az alkalmazásokhoz és az alkalmazáserőforrásokhoz való hozzáférést az üzleti követelmények alapján. A Microsoft Entra ID használatával például többtényezős hitelesítést igényelhet a fontos szervezeti erőforrások elérésekor. Emellett a Microsoft Entra ID használatával automatizálhatja a felhasználók kiépítését a meglévő Windows Server AD és a felhőalkalmazások, köztük a Microsoft 365 között. Végül a Microsoft Entra ID hatékony eszközöket biztosít a felhasználói identitások és hitelesítő adatok automatikus védelméhez, valamint a hozzáférés-szabályozási követelmények teljesítéséhez.
• Alkalmazásfejlesztők – Alkalmazásfejlesztőként a Microsoft Entra ID-t szabványalapú megközelítésként használhatja az egyszeri bejelentkezés (SSO) alkalmazáshoz való hozzáadásához, lehetővé téve, hogy a felhasználó meglévő hitelesítő adataival működjön. A Microsoft Entra ID olyan API-kat is biztosít, amelyek segítenek személyre szabott alkalmazásélmények létrehozásában a meglévő szervezeti adatok használatával.
• Microsoft 365, Office 365, Azure vagy Dynamics CRM Online-előfizetők – Előfizetőként már használja a Microsoft Entra-azonosítót. Minden Microsoft 365-, Office 365-, Azure- és Dynamics CRM Online-bérlő automatikusan Microsoft Entra-bérlő. Azonnal megkezdheti az integrált felhőalkalmazásokhoz való hozzáférés kezelését.

A Microsoft Entra-azonosítóban, ha az egyik felhasználónak engedélyre van szüksége a Microsoft Entra-erőforrások kezeléséhez, hozzá kell rendelnie őket egy olyan szerepkörhöz, amely biztosítja a szükséges engedélyeket.

Ha még nem ismeri az Azure-t, előfordulhat, hogy egy kicsit nehéz megérteni az Azure összes különböző szerepkörét. Az alábbi szakasz a következő szerepkörök ismertetését ismerteti, és további információkat nyújt az Azure-szerepkörökről és a Microsoft Entra-szerepkörökről:

• Classic subscription administrator roles
• Azure-szerepkörök
• Microsoft Entra-szerepkörök

Microsoft Entra-szerepkörök

A Microsoft Entra-szerepkörök a Microsoft Entra-erőforrások címtárban való kezelésére szolgálnak. A leggyakoribb műveletek, például a felhasználók létrehozása vagy szerkesztése. Gyakori azonban, hogy rendszergazdai szerepköröket kell hozzárendelni másokhoz, alaphelyzetbe kell állítani a felhasználói jelszavakat, kezelni kell a felhasználói licenceket és kezelni kell a tartományokat. Az alábbi táblázat néhány fontosabb Microsoft Entra-szerepkört ismertet.

Microsoft Entra szerepkör	Permissions	Megjegyzések
Global Administrator	A Microsoft Entra ID összes felügyeleti funkcióhoz és a Microsoft Entra-azonosítóhoz összevont szolgáltatásokhoz való hozzáférés kezelése	A Microsoft Entra-bérlőre regisztráló személy lesz az első globális Rendszergazda istrator.
	Rendszergazdai szerepköröket rendelhet másokhoz.
	Bármely felhasználó és az összes többi rendszergazda jelszavát visszaállíthatja.
Felhasználói rendszergazda	A felhasználók és csoportok minden összetevőjét létrehozhatja és kezelheti.
	Támogatási jegyek kezelése
	Monitorozhatja a szolgáltatás állapotát.
	Módosíthatja a felhasználók, az ügyfélszolgálati rendszergazdák és egyéb felhasználói rendszergazdák jelszavát.
Billing Administrator	Vásárlásokat hajthat végre.
	Előfizetések kezelése
	Támogatási jegyek kezelése
	Monitorozhatja a szolgáltatás állapotát.

Az Azure Portalon megtekintheti a Microsoft Entra szerepköreinek listáját a Szerepkörök és rendszergazdák képernyőn.

Az Azure-szerepkörök és a Microsoft Entra-szerepkörök közötti különbségek

Magas szinten az Azure-szerepkörök szabályozzák az Azure-erőforrások kezeléséhez szükséges engedélyeket, a Microsoft Entra-szerepkörök pedig a Microsoft Entra-erőforrások kezeléséhez szükséges engedélyeket. A következő táblázat a fontosabb különbségeket ismerteti.

Azure-szerepkörök	Microsoft Entra-szerepkörök
Azure-erőforrásokhoz való hozzáférés kezelése	A Microsoft Entra-erőforrásokhoz való hozzáférés kezelése
Támogatják az egyéni szerepköröket.	Támogatják az egyéni szerepköröket.
A hatókör több szinten adható meg (kezelési csoport, előfizetés, erőforráscsoport, erőforrás).	A hatókör a bérlő szintjén van, vagy alkalmazható egy Rendszergazda istrative egységre
A szerepkörre vonatkozó információk az Azure Portalon, az Azure CLI-ben, az Azure PowerShellben, az Azure Resource Manager-sablonokban vagy a REST API-n érhetők el.	A szerepköradatok az Azure Felügyeleti portálon, a Microsoft 365 Felügyeleti központ, a Microsoft Graphban és a PowerShellben érhetők el

Átfedésben vannak az Azure-szerepkörök és a Microsoft Entra-szerepkörök?

Alapértelmezés szerint az Azure-szerepkörök és a Microsoft Entra-szerepkörök nem terjednek ki az Azure-ra és a Microsoft Entra-azonosítóra. Ha azonban egy globális Rendszergazda istrator az Azure Portalon az Azure-erőforrások hozzáférés-kezelésének kapcsolójának kiválasztásával emeli a hozzáférését, a globális Rendszergazda istrator megkapja a Felhasználói hozzáférés Rendszergazda istrator szerepkört (egy Azure-szerepkört) egy adott bérlő összes előfizetésén. The User Access Administrator role enables the user to grant other users access to Azure resources. This switch can be helpful to regain access to a subscription.

A Microsoft Entra számos szerepköre kiterjed a Microsoft Entra ID-re és a Microsoft 365-re, például a globális Rendszergazda istrator és a felhasználói Rendszergazda istrator szerepkörre. Ha például a Globális Rendszergazda istrator szerepkör tagja, globális rendszergazdai képességekkel rendelkezik a Microsoft Entra ID-ban és a Microsoft 365-ben, például módosíthatja a Microsoft Exchange-et és a Microsoft SharePointot. Alapértelmezés szerint azonban a globális rendszergazda nem rendelkezik hozzáféréssel az Azure-erőforrásokhoz.

Assign roles

A Szerepkörök hozzárendelése a Microsoft Entra-azonosítón belül többféleképpen is lehetséges. Ki kell választania azt, amelyik a legjobban megfelel az igényeinek. A felhasználói felület kissé eltérhet az egyes metódusok esetében, a konfigurációs beállítások azonban hasonlóak. A szerepkörök hozzárendelésének módszerei a következők:

• Szerepkör hozzárendelése felhasználóhoz vagy csoporthoz

  • Microsoft Entra ID - Szerepkörök és felügyelet - Szerepkör kiválasztása - + Hozzárendelés hozzáadása

• Felhasználó vagy csoport hozzárendelése szerepkörhöz

  • Microsoft Entra ID – Felhasználók (vagy csoportok) megnyitása – Felhasználó (vagy csoport) kiválasztása – Hozzárendelt szerepkörök - + Hozzárendelés hozzáadása

• Szerepkör hozzárendelése széles hatókörhöz, például előfizetéshez, erőforráscsoporthoz vagy felügyeleti csoporthoz

  • Kész a Hozzáférés-vezérlés (IAM) segítségével az egyes beállítások képernyőjén

• Szerepkör hozzárendelése a PowerShell vagy a Microsoft Graph API használatával

• Szerepkör hozzárendelése a Privileged Identity Management (PIM) használatával

A konfigurációs igényeknek leginkább megfelelő módszer használható, de ügyelni kell rá, mert nincsenek beépített korlátozások. Véletlenül rendszergazdai szerepkört rendelhet egy csoporthoz olyan felhasználókkal, akiknek nincs szükségük rendszergazdai hozzáférésre. A további engedélyek olyan megoldáshoz vezethetnek, amelyet a felhasználók anélkül módosíthatnak, hogy megfelelően tudnák, hogy mit csinálnak, vagy akár potenciális lehetőséget is jelenthetnek a támadók számára. A kulcs a megfelelő identitásszabályozás.

Példa – szerepkör hozzárendelése a PIM használatával

A Microsoft Entra-szerepkörök felhasználóhoz való hozzárendelésének gyakori módja a felhasználó Hozzárendelt szerepkörök lapján található. A felhasználói jogosultságot igény szerinti emelt szintű jogosultságként is konfigurálhatja egy szerepkörre a Privileged Identity Management (PIM) használatával.

Megjegyzés:

Ha Microsoft Entra ID Premium P2 licenccsomaggal rendelkezik, és már használja a PIM-et, az összes szerepkörkezelési feladat a Privileged Identity Management felületen lesz végrehajtva. Ez a funkció jelenleg arra korlátozódik, hogy egyszerre csak egy szerepkört rendeljen hozzá. Jelenleg nem jelölhet ki több szerepkört, és nem rendelheti hozzá egyszerre egy felhasználóhoz.

Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban

Ez a szakasz bemutatja, hogyan hozhat létre új egyéni szerepköröket a Microsoft Entra ID-ban. Az egyéni szerepkörök alapjaiért tekintse meg az egyéni szerepkörök áttekintését. A szerepkör a címtárszintű hatókörben vagy csak az alkalmazásregisztrációs erőforrás hatókörében rendelhető hozzá.

Egyéni szerepkörök hozhatók létre a Microsoft Entra ID áttekintési oldal Szerepkörök és rendszergazdák lapján.

1. Válassza a Microsoft Entra ID - Szerepkörök és rendszergazdák - új egyéni szerepkört.

   

2. Az Alapszintű beállítások lapon adja meg a szerepkör nevét és leírását, majd válassza a Tovább gombot.

   

3. Az Engedélyek lapon válassza ki az alkalmazásregisztrációk alapvető tulajdonságainak és hitelesítő adatainak kezeléséhez szükséges engedélyeket.

4. Először írja be a "hitelesítő adatokat" a keresősávba, és válassza ki az microsoft.directory/applications/credentials/update engedélyt.

   

5. Ezután írja be az "alapszintű" kifejezést a keresősávba, válassza ki az microsoft.directory/applications/basic/update engedélyt, majd válassza a Tovább gombot.

6. A Véleményezés + létrehozás lapon tekintse át az engedélyeket, és válassza a Létrehozás lehetőséget.

Az egyéni szerepkör megjelenik a hozzárendelni kívánt szerepkörök listájában.

Folytatás