Opis ról w usłudze Azure Active Directory

Istnieje około 60 Azure Active Directory (Azure AD) wbudowanych ról, które są rolami ze stałym zestawem uprawnień roli. Aby uzupełnić wbudowane role, Azure AD obsługuje również role niestandardowe. Użyj ról niestandardowych, aby wybrać żądane uprawnienia roli. Można na przykład utworzyć taki, aby zarządzać określonymi Azure AD zasobami, takimi jak aplikacje lub jednostki usługi.

W tym artykule wyjaśniono, czym są Azure AD role i jak można ich używać.

Czym różnią się role Azure AD od innych ról Microsoft 365

Istnieje wiele różnych usług w Microsoft 365, takich jak Azure AD i Intune. Niektóre z tych usług mają własne systemy kontroli dostępu opartej na rolach, w szczególności:

  • Azure Active Directory (Azure AD)
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • portal Microsoft 365 Defender
  • Portal zgodności
  • Zarządzanie kosztami i rozliczenia

Inne usługi, takie jak Teams, SharePoint i Managed Desktop, nie mają oddzielnych systemów kontroli dostępu opartej na rolach. Do uzyskiwania dostępu administracyjnego używają ról Azure AD. Platforma Azure ma własny system kontroli dostępu opartej na rolach dla zasobów platformy Azure, takich jak maszyny wirtualne, a ten system nie jest taki sam jak role Azure AD.

Azure RBAC versus Azure AD roles

W przypadku oddzielnych systemów kontroli dostępu opartej na rolach. Oznacza to, że istnieje inny magazyn danych, w którym są przechowywane definicje ról i przypisania ról. Podobnie istnieje inny punkt decyzyjny zasad, w którym odbywa się sprawdzanie dostępu. Aby uzyskać więcej informacji, zobacz Role dla usług Microsoft 365 w rolach administratora subskrypcji Azure AD i klasycznej subskrypcji, rolach platformy Azure i rolach Azure AD.

Dlaczego niektóre role Azure AD są przeznaczone dla innych usług

Microsoft 365 ma szereg opartych na rolach systemów kontroli dostępu, które zostały opracowane niezależnie w czasie, z których każdy ma własny portal usług. Aby ułatwić zarządzanie tożsamościami w Microsoft 365 z poziomu Azure Portal, dodaliśmy kilka wbudowanych ról specyficznych dla usługi, z których każda udziela dostępu administracyjnego do usługi Microsoft 365. Przykładem tego dodatku jest rola administratora Exchange w Azure AD. Ta rola jest równoważna grupie ról Zarządzanie organizacją w systemie kontroli dostępu opartej na rolach Exchange i może zarządzać wszystkimi aspektami Exchange. Podobnie dodaliśmy rolę administratora Intune, administratora Teams, administratora SharePoint itd. Role specyficzne dla usługi to jedna z kategorii Azure AD wbudowanych ról w poniższej sekcji.

Kategorie ról Azure AD

Azure AD role wbudowane różnią się w tym, gdzie można ich używać, co można podzielić na następujące trzy szerokie kategorie.

  • Azure AD ról: te role udzielają uprawnień do zarządzania zasobami tylko w ramach Azure AD. Na przykład administrator użytkowników, administrator aplikacji, administrator grup — wszystkie uprawnienia do zarządzania zasobami, które mieszkają w Azure AD.
  • Role specyficzne dla usługi: w przypadku głównych usług Microsoft 365 (innych niż Azure AD) utworzyliśmy role specyficzne dla usługi, które udzielają uprawnień do zarządzania wszystkimi funkcjami w usłudze. Na przykład role administratora Exchange, administratora Intune, administratora SharePoint i administratora Teams mogą zarządzać funkcjami za pomocą odpowiednich usług. Exchange administrator może zarządzać skrzynkami pocztowymi, Intune Administrator może zarządzać zasadami urządzeń, SharePoint Administrator może zarządzać zbiorami witryn, Teams Administrator może zarządzać jakościami wywołań itd.
  • Role między usługami: istnieją pewne role obejmujące usługi. Mamy dwie role globalne — Administrator globalny i Czytelnik globalny. Wszystkie usługi Microsoft 365 uznają te dwie role. Ponadto istnieją pewne role związane z zabezpieczeniami, takie jak Administrator zabezpieczeń i Czytelnik zabezpieczeń, które udzielają dostępu w wielu usługach zabezpieczeń w ramach Microsoft 365. Na przykład przy użyciu ról administratora zabezpieczeń w Azure AD można zarządzać portalem Microsoft 365 Defender, zaawansowaną ochroną przed zagrożeniami w usłudze Microsoft Defender i Microsoft Defender for Cloud Apps. Podobnie w roli Administrator zgodności można zarządzać ustawieniami związanymi ze zgodnością w portalu zgodności, Exchange itd.

The three categories of Azure AD built-in roles

Poniższa tabela jest oferowana jako pomoc w zrozumieniu tych kategorii ról. Kategorie są nazwane arbitralnie i nie są przeznaczone do oznaczania żadnych innych możliwości wykraczanych poza udokumentowane uprawnienia roli Azure AD.

Kategoria Rola
role specyficzne dla Azure AD Administrator aplikacji
Deweloper aplikacji
Administrator uwierzytelniania
Administrator zestawu kluczy IEF B2C
Administrator zasad IEF B2C
Administrator aplikacji w chmurze
Administrator urządzeń w chmurze
Administrator dostępu warunkowego
Administratorzy urządzeń
Czytelnicy katalogów
Konta synchronizacji katalogów
Autorzy katalogów
Administrator Flow użytkownika identyfikatora zewnętrznego
Administrator atrybutu Flow użytkownika identyfikatora zewnętrznego
Administrator zewnętrznego dostawcy tożsamości
Administrator grup
Osoba zapraszana gościa
Administrator pomocy technicznej
Administrator tożsamości hybrydowej
Administrator licencji
Pomoc techniczna dla partnerów w warstwie 1
Pomoc techniczna dla partnerów w warstwie 2
Administrator haseł
Administrator uwierzytelniania uprzywilejowanego
Administrator ról uprzywilejowanych
Czytelnik raportów
Administrator użytkowników
Role między usługami Administrator globalny
Administrator zgodności
Administrator danych zgodności
Czytelnik globalny
Administrator zabezpieczeń
Operator zabezpieczeń
Czytelnik zabezpieczeń
Administrator pomocy technicznej usługi
Role specyficzne dla usługi administrator Azure DevOps
Administrator usługi Azure Information Protection
Administrator rozliczeń
Administrator usługi CRM
Osoba zatwierdzająca dostęp do skrytki klienta
administrator Desktop Analytics
administrator usługi Exchange
administrator Szczegółowe informacje
lider biznesowy Szczegółowe informacje
Administrator usługi Intune
administrator Kaizala
Administrator usługi Lync
Czytelnik prywatności w Centrum wiadomości
Czytelnik Centrum wiadomości
Użytkownik nowoczesnego handlu
Administrator sieci
Administrator aplikacji Office
Administrator usługi Power BI
Power Platform Administrator
Administrator drukarki
Technik drukarek
Administrator wyszukiwania
Edytor wyszukiwania
administrator usługi SharePoint
administrator komunikacji Teams
inżynier pomocy technicznej Teams Communications
Specjalista pomocy technicznej ds. komunikacji Teams
Administrator urządzeń Teams
administrator Teams

Następne kroki