Ta przeglądarka nie jest już obsługiwana.
Przejdź na przeglądarkę Microsoft Edge, aby korzystać z najnowszych funkcji, aktualizacji zabezpieczeń i pomocy technicznej.
W tym artykule opisano sposób przypisywania ról firmy Microsoft Entra do użytkowników i grup przy użyciu centrum administracyjnego firmy Microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. Opisano również sposób przypisywania ról w różnych zakresach, takich jak dzierżawa, rejestracja aplikacji i zakresy jednostek administracyjnych.
Do użytkownika można przypisać zarówno role bezpośrednie, jak i pośrednie. Jeśli użytkownik ma przypisaną rolę przez członkostwo w grupie, dodaj użytkownika do grupy, aby dodać przypisanie roli. Aby uzyskać więcej informacji, zobacz Użyj grup Microsoft Entra do zarządzania przypisaniami ról.
W usłudze Microsoft Entra ID role są zwykle przypisywane do stosowania do całej dzierżawy. Można jednak przypisać również role Microsoft Entra dla różnych zasobów, takich jak rejestracje aplikacji lub jednostki administracyjne. Można na przykład przypisać rolę Administratora helpdesku, tak aby dotyczyła tylko określonej jednostki administracyjnej, a nie całego dzierżawcy. Zasoby, do których ma zastosowanie przypisanie roli, są również nazywane zakresem. Obsługiwane jest ograniczenie zakresu przypisania ról dla ról wbudowanych i niestandardowych. Aby uzyskać więcej informacji na temat zakresu, zobacz Omówienie kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Entra ID.
Jeśli masz licencję microsoft Entra ID P2 i Privileged Identity Management (PIM), masz dodatkowe możliwości podczas przypisywania ról, takich jak kwalifikowanie użytkownika do przypisania roli lub definiowanie czasu rozpoczęcia i zakończenia przypisania roli. Aby uzyskać informacje na temat przypisywania ról usługi Microsoft Entra w usłudze PIM, zobacz następujące artykuły:
| Metoda | Informacja |
|---|---|
| Centrum administracyjne firmy Microsoft Entra | Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management |
| Microsoft Graph PowerShell | Samouczek : Przypisywanie ról Microsoft Entra w usłudze Privileged Identity Management przy użyciu programu Microsoft Graph PowerShell |
| Microsoft Graph API |
Zarządzanie przypisaniami ról Microsoft Entra przy użyciu interfejsów API PIM Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management |
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące użycia PowerShell lub Graph Explorer.
W tej sekcji opisano sposób przypisywania ról na poziomie dzierżawy.
Zaloguj się do centrum administracji Microsoft Entra jako przynajmniej Administrator Ról uprzywilejowanych .
Przejdź do tożsamości>role & administratorzy>role & administratorzy.
Wybierz nazwę roli, aby otworzyć rolę. Nie dodawaj znacznika wyboru obok roli.
Wybierz Dodaj przypisania, a następnie wybierz użytkowników lub grupy, które chcesz przypisać do tej roli.
Wyświetlane są tylko grupy z możliwością przypisywania ról. Jeśli grupa nie znajduje się na liście, musisz utworzyć grupę z możliwością przypisania ról. Aby uzyskać więcej informacji, zobacz Utwórz grupę z przypisywanymi rolami w usłudze Microsoft Entra ID.
Jeśli Twoje doświadczenie różni się od przedstawionego na poniższym zrzucie ekranu, być może masz Microsoft Entra ID P2 i PIM. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra w usłudze Privileged Identity Management.
Wybierz pozycję Dodaj, aby przypisać rolę.
Wbudowane role i role niestandardowe są domyślnie przypisywane na poziomie dzierżawy, aby przyznać uprawnienia dostępu do wszystkich rejestracji aplikacji w organizacji. Ponadto role niestandardowe i niektóre odpowiednie role wbudowane (w zależności od typu zasobu Microsoft Entra) mogą być również przypisywane w zakresie pojedynczego zasobu firmy Microsoft Entra. Dzięki temu użytkownik może przyznać użytkownikowi uprawnienia do aktualizowania poświadczeń i podstawowych właściwości pojedynczej aplikacji bez konieczności tworzenia drugiej roli niestandardowej.
W tej sekcji opisano sposób przypisywania ról w zakresie rejestracji aplikacji.
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej deweloper aplikacji.
Przejdź do Identity>Applications>do sekcji Rejestracje aplikacji.
Wybierz aplikację. Aby znaleźć żądaną aplikację, możesz użyć pola wyszukiwania.
Możesz musieć wybrać pozycję Wszystkie aplikacje, aby zobaczyć pełną listę rejestracji aplikacji w Twojej dzierżawie.
Wybierz pozycję Role i administratorzy z menu nawigacji po lewej stronie, aby wyświetlić listę wszystkich ról dostępnych do przypisania w ramach rejestracji aplikacji.
Wybierz żądaną rolę.
Porada
Nie zobaczysz tutaj całej listy wbudowanych ani niestandardowych ról Microsoft Entra. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane tylko z zarządzaniem rejestracjami aplikacji.
Wybierz Dodaj przypisania, a następnie wybierz użytkowników lub grupy, do których chcesz przypisać tę rolę.
Wybierz pozycję Dodaj, aby przypisać rolę w zakresie rejestracji aplikacji.
W usłudze Microsoft Entra ID, aby uzyskać bardziej szczegółową kontrolę administracyjną, możesz przypisać rolę Entra firmy Microsoft z zakresem ograniczonym do co najmniej jednej jednostek administracyjnych. Gdy rola Microsoft Entra jest przypisana w ramach zakresu jednostki administracyjnej, uprawnienia roli mają zastosowanie wyłącznie w zarządzaniu członkami tej jednostki i nie dotyczą ustawień ani konfiguracji obejmujących całą dzierżawę.
Na przykład administrator, który ma przypisaną rolę Administrator grup w zakresie jednostki administracyjnej, może zarządzać grupami należącymi do jednostki administracyjnej, ale nie może zarządzać innymi grupami w dzierżawie. Nie mogą również zarządzać ustawieniami na poziomie dzierżawy związanymi z grupami, takimi jak zasady wygasania lub nazewnictwa grup.
W tej sekcji opisano sposób przypisywania ról Microsoft Entra z zakresem jednostki administracyjnej.
Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące użycia PowerShell lub Graph Explorer.
Role Microsoft Entra, które można przypisać z zakresem jednostki administracyjnej, to: Ponadto dowolną rolę niestandardową można przypisać jako zakres jednostki administracyjnej, jeżeli uprawnienia roli niestandardowej obejmują co najmniej jedno uprawnienie istotne dla użytkowników, grup lub urządzeń.
| Rola | Opis |
|---|---|
| Administrator uwierzytelniania | Ma dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla każdego użytkownika niebędącego administratorem tylko w przypisanej jednostce administracyjnej. |
| Administrator urządzeń w chmurze | Ograniczony dostęp do zarządzania urządzeniami w usłudze Microsoft Entra ID. |
| Administrator grup | Może zarządzać wszystkimi aspektami grup tylko w przypisanej jednostce administracyjnej. |
| administratora pomocy technicznej |
Może resetować hasła tylko dla osób, które nie są administratorami, w przypisanej jednostce administracyjnej. |
| administratora licencji |
Może przypisywać, usuwać i aktualizować przypisania licencji tylko w jednostce administracyjnej. |
| administrator haseł | Może resetować hasła dla osób niebędących administratorami tylko w ramach przypisanej jednostki administracyjnej. |
| administrator drukarki | Może zarządzać drukarkami i łącznikami drukarek. Aby uzyskać więcej informacji, zobacz Delegowanie administracji drukarek w usłudze Universal Print. |
| Administrator uwierzytelniania uprzywilejowanego | Może uzyskać dostęp do wyświetlania, ustawiania i resetowania informacji o metodzie uwierzytelniania dla dowolnego użytkownika (administratora lub innego niż administrator). |
| administratora programu SharePoint | Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. W przypadku witryn programu SharePoint skojarzonych z grupami platformy Microsoft 365 w jednostce administracyjnej można również aktualizować właściwości witryny (nazwa witryny, adres URL i zasady udostępniania zewnętrznego) przy użyciu centrum administracyjnego platformy Microsoft 365. Do zarządzania witrynami nie można użyć centrum administracyjnego programu SharePoint ani interfejsów API programu SharePoint. |
| administratora usługi |
Może zarządzać grupami platformy Microsoft 365 tylko w przypisanej jednostce administracyjnej. Może zarządzać członkami zespołu w centrum administracyjnym platformy Microsoft 365 dla zespołów skojarzonych z grupami tylko w przypisanej jednostce administracyjnej. Nie można użyć centrum administracyjnego usługi Teams. |
| Administrator Urządzeń Teams | Może wykonywać zadania związane z zarządzaniem na certyfikowanych urządzeniach usługi Teams. |
| administrator użytkowników | Może zarządzać wszystkimi aspektami użytkowników i grup, w tym resetowaniem haseł dla ograniczonych administratorów tylko w ramach przypisanej jednostki administracyjnej. Obecnie nie można zarządzać zdjęciami profilowymi użytkowników. |
| <niestandardowa rola> | Może wykonywać akcje, które mają zastosowanie do użytkowników, grup lub urządzeń, zgodnie z definicją roli niestandardowej. |
Niektóre uprawnienia roli mają zastosowanie tylko do użytkowników niebędących administratorami w przypadku przypisania do zakresu jednostki administracyjnej. Innymi słowy, jednostka administracyjna o zakresie administratorów pomocy technicznej może resetować hasła dla użytkowników w jednostce administracyjnej tylko wtedy, gdy ci użytkownicy nie mają ról administratora. Poniższa lista uprawnień jest ograniczona, gdy elementem docelowym akcji jest inny administrator:
Następujące podmioty zabezpieczeń można przypisać do roli z zakresem jednostki administracyjnej:
Jednostki usługi i użytkownicy-goście nie będą mogli używać przypisania roli w zakresie do jednostki administracyjnej, chyba że przypisano im również odpowiednie uprawnienia do odczytywania obiektów. Dzieje się tak, ponieważ jednostki usługi i użytkownicy-goście domyślnie nie otrzymują uprawnień do odczytu katalogu, które są wymagane do wykonywania akcji administracyjnych. Aby umożliwić podmiotowi usługi lub użytkownikowi zewnętrznemu korzystanie z przypisania roli ograniczonego do jednostki administracyjnej, należy przypisać rolę Czytelnicy Katalogów (lub inną rolę, która zawiera uprawnienia do odczytu) na poziomie dzierżawy.
Obecnie nie można przypisać uprawnień do odczytu katalogu w zakresie do jednostki administracyjnej. Aby uzyskać więcej informacji na temat domyślnych uprawnień dla użytkowników, zobacz domyślnych uprawnień użytkownika.
W tej sekcji opisano sposób przypisywania ról w zakresie jednostki administracyjnej.
Zaloguj się do centrum administracji Microsoft Entra jako przynajmniej Administrator Ról uprzywilejowanych .
Przejdź do Role>tożsamości & administratorów>.
Wybierz jednostkę administracyjną.
Wybierz opcję Role i administratorzy z menu nawigacyjnego po lewej stronie, aby zobaczyć listę wszystkich dostępnych ról do przypisania w jednostce administracyjnej.
Wybierz żądaną rolę.
Porada
Nie zobaczysz tutaj całej listy wbudowanych ani niestandardowych ról Microsoft Entra. Jest to oczekiwane. Przedstawiamy role, które mają uprawnienia związane z obiektami obsługiwanymi w jednostce administracyjnej. Aby wyświetlić listę obiektów obsługiwanych w ramach jednostki administracyjnej, zobacz Jednostki administracyjne w usłudze Microsoft Entra ID.
Wybierz Dodaj przypisania, a następnie wybierz użytkowników lub grupy, do których chcesz przypisać tę rolę.
Wybierz pozycję Dodaj, aby przypisać rolę o określonym zakresie w jednostce administracyjnej.
Szkolenie
Moduł
Discover how to manage scoped administration and delegation with Microsoft Intune and Intune for Education.
Certyfikacja
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Demonstrate the features of Microsoft Entra ID to modernize identity solutions, implement hybrid solutions, and implement identity governance.
Dokumentacja
Wyświetlanie listy przypisań ról w usłudze Microsoft Entra - Microsoft Entra ID
Dowiedz się, jak wyświetlić listę przypisań ról Microsoft Entra, korzystając z centrum administracyjnego Microsoft Entra, Microsoft Graph PowerShell lub Microsoft Graph API.
Omówienie kontroli dostępu opartej na rolach (RBAC) w Microsoft Entra - Microsoft Entra ID
Dowiedz się, jak zrozumieć części przypisania roli i ograniczonego zakresu w usłudze Microsoft Entra ID.
Omówienie pojęć związanych z rolami firmy Microsoft Entra - Microsoft Entra ID
Dowiedz się, jak zrozumieć wbudowane i niestandardowe role firmy Microsoft z zakresem zasobów w usłudze Microsoft Entra ID.