Microsoft Entra-szerepkörök konfigurálása és kezelése
A Microsoft Entra ID a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása, amely segít az alkalmazott bejelentkezésében és az erőforrások elérésében:
- Külső erőforrások, például a Microsoft 365, az Azure Portal és több ezer más SaaS-alkalmazás.
- Belső erőforrások, például a vállalati hálózaton és az intraneten található alkalmazások, valamint a saját szervezete által fejlesztett felhőalkalmazások.
Ki használja a Microsoft Entra-azonosítót?
A Microsoft Entra ID a következő célokra szolgál:
- Informatikai rendszergazdák – Rendszergazdaként a Microsoft Entra-azonosítóval szabályozhatja az alkalmazásokhoz és az alkalmazáserőforrásokhoz való hozzáférést az üzleti követelmények alapján. A Microsoft Entra ID használatával például többtényezős hitelesítést igényelhet a fontos szervezeti erőforrások elérésekor. Emellett a Microsoft Entra ID használatával automatizálhatja a felhasználók kiépítését a meglévő Windows Server AD és a felhőalkalmazások, köztük a Microsoft 365 között. Végül a Microsoft Entra ID hatékony eszközöket biztosít a felhasználói identitások és hitelesítő adatok automatikus védelméhez, valamint a hozzáférés-szabályozási követelmények teljesítéséhez.
- Alkalmazásfejlesztők – Alkalmazásfejlesztőként a Microsoft Entra ID-t szabványalapú megközelítésként használhatja az egyszeri bejelentkezés (SSO) alkalmazáshoz való hozzáadásához, lehetővé téve, hogy a felhasználó meglévő hitelesítő adataival működjön. A Microsoft Entra ID olyan API-kat is biztosít, amelyek segítenek személyre szabott alkalmazásélmények létrehozásában a meglévő szervezeti adatok használatával.
- Microsoft 365, Office 365, Azure vagy Dynamics CRM Online-előfizetők – Előfizetőként már használja a Microsoft Entra-azonosítót. Minden Microsoft 365-, Office 365-, Azure- és Dynamics CRM Online-bérlő automatikusan Microsoft Entra-bérlő. Azonnal megkezdheti az integrált felhőalkalmazásokhoz való hozzáférés kezelését.
A Microsoft Entra-azonosítóban, ha az egyik felhasználónak engedélyre van szüksége a Microsoft Entra-erőforrások kezeléséhez, hozzá kell rendelnie őket egy olyan szerepkörhöz, amely biztosítja a szükséges engedélyeket.
Ha még nem ismeri az Azure-t, előfordulhat, hogy egy kicsit nehéz megérteni az Azure összes különböző szerepkörét. Az alábbi szakasz a következő szerepkörök ismertetését ismerteti, és további információkat nyújt az Azure-szerepkörökről és a Microsoft Entra-szerepkörökről:
- Classic subscription administrator roles
- Azure-szerepkörök
- Microsoft Entra-szerepkörök
Microsoft Entra-szerepkörök
A Microsoft Entra-szerepkörök a Microsoft Entra-erőforrások címtárban való kezelésére szolgálnak. A leggyakoribb műveletek, például a felhasználók létrehozása vagy szerkesztése. Gyakori azonban, hogy rendszergazdai szerepköröket kell hozzárendelni másokhoz, alaphelyzetbe kell állítani a felhasználói jelszavakat, kezelni kell a felhasználói licenceket és kezelni kell a tartományokat. Az alábbi táblázat néhány fontosabb Microsoft Entra-szerepkört ismertet.
Microsoft Entra szerepkör | Permissions | Megjegyzések |
---|---|---|
Global Administrator | A Microsoft Entra ID összes felügyeleti funkcióhoz és a Microsoft Entra-azonosítóhoz összevont szolgáltatásokhoz való hozzáférés kezelése | A Microsoft Entra-bérlőre regisztráló személy lesz az első globális Rendszergazda istrator. |
Rendszergazdai szerepköröket rendelhet másokhoz. | ||
Bármely felhasználó és az összes többi rendszergazda jelszavát visszaállíthatja. | ||
Felhasználói rendszergazda | A felhasználók és csoportok minden összetevőjét létrehozhatja és kezelheti. | |
Támogatási jegyek kezelése | ||
Monitorozhatja a szolgáltatás állapotát. | ||
Módosíthatja a felhasználók, az ügyfélszolgálati rendszergazdák és egyéb felhasználói rendszergazdák jelszavát. | ||
Billing Administrator | Vásárlásokat hajthat végre. | |
Előfizetések kezelése | ||
Támogatási jegyek kezelése | ||
Monitorozhatja a szolgáltatás állapotát. |
Az Azure Portalon megtekintheti a Microsoft Entra szerepköreinek listáját a Szerepkörök és rendszergazdák képernyőn.
Az Azure-szerepkörök és a Microsoft Entra-szerepkörök közötti különbségek
Magas szinten az Azure-szerepkörök szabályozzák az Azure-erőforrások kezeléséhez szükséges engedélyeket, a Microsoft Entra-szerepkörök pedig a Microsoft Entra-erőforrások kezeléséhez szükséges engedélyeket. A következő táblázat a fontosabb különbségeket ismerteti.
Azure-szerepkörök | Microsoft Entra-szerepkörök |
---|---|
Azure-erőforrásokhoz való hozzáférés kezelése | A Microsoft Entra-erőforrásokhoz való hozzáférés kezelése |
Támogatják az egyéni szerepköröket. | Támogatják az egyéni szerepköröket. |
A hatókör több szinten adható meg (kezelési csoport, előfizetés, erőforráscsoport, erőforrás). | A hatókör a bérlő szintjén van, vagy alkalmazható egy Rendszergazda istrative egységre |
A szerepkörre vonatkozó információk az Azure Portalon, az Azure CLI-ben, az Azure PowerShellben, az Azure Resource Manager-sablonokban vagy a REST API-n érhetők el. | A szerepköradatok az Azure Felügyeleti portálon, a Microsoft 365 Felügyeleti központ, a Microsoft Graphban és a PowerShellben érhetők el |
Átfedésben vannak az Azure-szerepkörök és a Microsoft Entra-szerepkörök?
Alapértelmezés szerint az Azure-szerepkörök és a Microsoft Entra-szerepkörök nem terjednek ki az Azure-ra és a Microsoft Entra-azonosítóra. Ha azonban egy globális Rendszergazda istrator az Azure Portalon az Azure-erőforrások hozzáférés-kezelésének kapcsolójának kiválasztásával emeli a hozzáférését, a globális Rendszergazda istrator megkapja a Felhasználói hozzáférés Rendszergazda istrator szerepkört (egy Azure-szerepkört) egy adott bérlő összes előfizetésén. The User Access Administrator role enables the user to grant other users access to Azure resources. This switch can be helpful to regain access to a subscription.
A Microsoft Entra számos szerepköre kiterjed a Microsoft Entra ID-re és a Microsoft 365-re, például a globális Rendszergazda istrator és a felhasználói Rendszergazda istrator szerepkörre. Ha például a Globális Rendszergazda istrator szerepkör tagja, globális rendszergazdai képességekkel rendelkezik a Microsoft Entra ID-ban és a Microsoft 365-ben, például módosíthatja a Microsoft Exchange-et és a Microsoft SharePointot. Alapértelmezés szerint azonban a globális rendszergazda nem rendelkezik hozzáféréssel az Azure-erőforrásokhoz.
Assign roles
A Szerepkörök hozzárendelése a Microsoft Entra-azonosítón belül többféleképpen is lehetséges. Ki kell választania azt, amelyik a legjobban megfelel az igényeinek. A felhasználói felület kissé eltérhet az egyes metódusok esetében, a konfigurációs beállítások azonban hasonlóak. A szerepkörök hozzárendelésének módszerei a következők:
Szerepkör hozzárendelése felhasználóhoz vagy csoporthoz
- Microsoft Entra ID - Szerepkörök és felügyelet - Szerepkör kiválasztása - + Hozzárendelés hozzáadása
Felhasználó vagy csoport hozzárendelése szerepkörhöz
- Microsoft Entra ID – Felhasználók (vagy csoportok) megnyitása – Felhasználó (vagy csoport) kiválasztása – Hozzárendelt szerepkörök - + Hozzárendelés hozzáadása
Szerepkör hozzárendelése széles hatókörhöz, például előfizetéshez, erőforráscsoporthoz vagy felügyeleti csoporthoz
- Kész a Hozzáférés-vezérlés (IAM) segítségével az egyes beállítások képernyőjén
Szerepkör hozzárendelése a PowerShell vagy a Microsoft Graph API használatával
Szerepkör hozzárendelése a Privileged Identity Management (PIM) használatával
A konfigurációs igényeknek leginkább megfelelő módszer használható, de ügyelni kell rá, mert nincsenek beépített korlátozások. Véletlenül rendszergazdai szerepkört rendelhet egy csoporthoz olyan felhasználókkal, akiknek nincs szükségük rendszergazdai hozzáférésre. A további engedélyek olyan megoldáshoz vezethetnek, amelyet a felhasználók anélkül módosíthatnak, hogy megfelelően tudnák, hogy mit csinálnak, vagy akár potenciális lehetőséget is jelenthetnek a támadók számára. A kulcs a megfelelő identitásszabályozás.
Példa – szerepkör hozzárendelése a PIM használatával
A Microsoft Entra-szerepkörök felhasználóhoz való hozzárendelésének gyakori módja a felhasználó Hozzárendelt szerepkörök lapján található. A felhasználói jogosultságot igény szerinti emelt szintű jogosultságként is konfigurálhatja egy szerepkörre a Privileged Identity Management (PIM) használatával.
Megjegyzés:
Ha Microsoft Entra ID Premium P2 licenccsomaggal rendelkezik, és már használja a PIM-et, az összes szerepkörkezelési feladat a Privileged Identity Management felületen lesz végrehajtva. Ez a funkció jelenleg arra korlátozódik, hogy egyszerre csak egy szerepkört rendeljen hozzá. Jelenleg nem jelölhet ki több szerepkört, és nem rendelheti hozzá egyszerre egy felhasználóhoz.
Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban
Ez a szakasz bemutatja, hogyan hozhat létre új egyéni szerepköröket a Microsoft Entra ID-ban. Az egyéni szerepkörök alapjaiért tekintse meg az egyéni szerepkörök áttekintését. A szerepkör a címtárszintű hatókörben vagy csak az alkalmazásregisztrációs erőforrás hatókörében rendelhető hozzá.
Egyéni szerepkörök hozhatók létre a Microsoft Entra ID áttekintési oldal Szerepkörök és rendszergazdák lapján.
Válassza a Microsoft Entra ID - Szerepkörök és rendszergazdák - új egyéni szerepkört.
Az Alapszintű beállítások lapon adja meg a szerepkör nevét és leírását, majd válassza a Tovább gombot.
Az Engedélyek lapon válassza ki az alkalmazásregisztrációk alapvető tulajdonságainak és hitelesítő adatainak kezeléséhez szükséges engedélyeket.
Először írja be a "hitelesítő adatokat" a keresősávba, és válassza ki az
microsoft.directory/applications/credentials/update
engedélyt.Ezután írja be az "alapszintű" kifejezést a keresősávba, válassza ki az
microsoft.directory/applications/basic/update
engedélyt, majd válassza a Tovább gombot.A Véleményezés + létrehozás lapon tekintse át az engedélyeket, és válassza a Létrehozás lehetőséget.
Az egyéni szerepkör megjelenik a hozzárendelni kívánt szerepkörök listájában.