Wyjaśnienie pojęcia ról w usłudze identyfikatora Microsoft Entra

Istnieje około 60 wbudowanych ról usługi Microsoft Entra, które są rolami o stałym zestawie uprawnień roli. Aby uzupełnić wbudowane role, usługa identyfikatora Microsoft Entra obsługuje również role niestandardowe. Użyj ról niestandardowych, aby wybrać żądane uprawnienia roli. Można na przykład utworzyć jeden do zarządzania konkretnymi zasobami firmy Microsoft Entra, takimi jak aplikacje lub jednostki usługi.

W tym artykule wyjaśniono, czym są role entra firmy Microsoft i jak można ich używać.

Czym różnią się role usługi Microsoft Entra od innych ról platformy Microsoft 365

Istnieje wiele różnych usług na platformie Microsoft 365, takich jak Microsoft Entra ID i Intune. Niektóre z tych usług mają własne systemy kontroli dostępu opartej na rolach, w szczególności:

• Microsoft Entra ID
• Microsoft Exchange
• Microsoft Intune
• Microsoft Defender for Cloud Apps
• Portal Microsoft 365 Defender
• Portal zgodności
• Zarządzanie kosztami i rozliczenia

Inne usługi, takie jak Teams, SharePoint i Managed Desktop, nie mają oddzielnych systemów kontroli dostępu opartej na rolach. Do uzyskiwania dostępu administracyjnego używają ról firmy Microsoft Entra. Platforma Azure ma własny system kontroli dostępu opartej na rolach dla zasobów platformy Azure, takich jak maszyny wirtualne, a ten system nie jest taki sam jak role firmy Microsoft Entra.

W przypadku oddzielnych systemów kontroli dostępu opartej na rolach oznacza to, że istnieje inny magazyn danych, w którym są przechowywane definicje ról i przypisania ról. Podobnie istnieje inny punkt decyzyjny zasad, w którym odbywa się sprawdzanie dostępu. Aby uzyskać więcej informacji, zobacz Role między rolami usługi firmy Microsoft i platformą Azure, rolami firmy Microsoft Entra i klasycznymi rolami administratora subskrypcji.

Dlaczego niektóre role firmy Microsoft Entra są przeznaczone dla innych usług

Platforma Microsoft 365 ma wiele systemów kontroli dostępu opartej na rolach, które są opracowywane niezależnie w czasie, z których każdy ma własny portal usług. Aby ułatwić zarządzanie tożsamościami na platformie Microsoft 365 z poziomu centrum administracyjnego firmy Microsoft Entra, dodaliśmy kilka wbudowanych ról specyficznych dla usługi, z których każda udziela dostępu administracyjnego do usługi Microsoft 365. Przykładem tego dodatku jest rola administratora programu Exchange w identyfikatorze Entra firmy Microsoft. Ta rola jest równoważna grupie ról Zarządzanie organizacją w systemie kontroli dostępu opartej na rolach programu Exchange i może zarządzać wszystkimi aspektami programu Exchange. Podobnie dodaliśmy rolę administratora usługi Intune, administratora usługi Teams, administratora programu SharePoint itd. Role specyficzne dla usługi to jedna z kategorii wbudowanych ról firmy Microsoft w poniższej sekcji.

Kategorie ról firmy Microsoft Entra

Wbudowane role firmy Microsoft Entra różnią się w zależności od tego, gdzie można ich używać, które należą do następujących trzech szerokich kategorii.

• Role specyficzne dla identyfikatora firmy Microsoft: te role udzielają uprawnień do zarządzania zasobami tylko w firmie Microsoft. Na przykład administrator użytkowników, administrator aplikacji, administrator grup — wszystkie uprawnienia do zarządzania zasobami, które mieszkają w usłudze Microsoft Entra ID.
• Role specyficzne dla usługi w identyfikatorze Entra firmy Microsoft: usługi firmy Microsoft takie jak platforma Microsoft 365 definiujące role w identyfikatorze Entra firmy Microsoft na potrzeby uprawnień specyficznych dla usługi w celu zarządzania wszystkimi funkcjami w usłudze. Na przykład role administratora programu Exchange, administratora usługi Intune, administratora programu SharePoint i administratora usługi Teams mogą zarządzać funkcjami za pomocą odpowiednich usług. Administrator programu Exchange może zarządzać skrzynkami pocztowymi, administrator usługi Intune może zarządzać zasadami urządzeń, administrator programu SharePoint może zarządzać zbiorami witryn, administrator usługi Teams może zarządzać cechami wywołań itd.
• Role między usługami w identyfikatorze Entra firmy Microsoft: istnieją pewne role obejmujące usługi. Mamy dwie role globalne — administrator globalny i czytelnik globalny. Wszystkie usługi platformy Microsoft 365 uznają te dwie role. Ponadto istnieją pewne role związane z zabezpieczeniami, takie jak Administrator zabezpieczeń i Czytelnik zabezpieczeń, które udzielają dostępu w wielu usługach zabezpieczeń w ramach platformy Microsoft 365. Na przykład przy użyciu ról administratora zabezpieczeń w usłudze Microsoft Entra ID można zarządzać portalem usługi Microsoft 365 Defender, zaawansowaną ochroną przed zagrożeniami w usłudze Microsoft Defender i aplikacjami Microsoft Defender dla Chmury. Podobnie w roli Administrator zgodności można zarządzać ustawieniami związanymi ze zgodnością w portalu zgodności, programie Exchange itd.

Poniższa tabela jest oferowana jako pomoc w zrozumieniu tych kategorii ról. Kategorie są nazwane arbitralnie i nie są przeznaczone do oznaczania żadnych innych możliwości poza udokumentowanymi uprawnieniami roli firmy Microsoft Entra.

Kategoria	Rola
Role specyficzne dla identyfikatora firmy Microsoft	Administrator aplikacji Deweloper aplikacji Administrator uwierzytelniania administrator zestawu kluczy IEF B2C administrator zasad IEF B2C Administrator aplikacji w chmurze Administrator urządzeń w chmurze Administrator dostępu warunkowego Administratorzy urządzeń Czytelnicy katalogów Konta synchronizacji katalogów Autorzy katalogów Administrator przepływu użytkownika identyfikatora zewnętrznego Administrator atrybutu przepływu użytkownika identyfikatora zewnętrznego Administrator zewnętrznego dostawcy tożsamości Administrator grup Osoba zapraszana gościa Administrator pomocy technicznej Administrator tożsamości hybrydowej Administrator licencji Pomoc techniczna dla partnerów w warstwie 1 Pomoc techniczna dla partnerów w warstwie 2 Administrator haseł Administrator uwierzytelniania uprzywilejowanego Administrator ról uprzywilejowanych Czytelnik raportów Administrator użytkowników
Role specyficzne dla usługi w identyfikatorze Entra firmy Microsoft	Azure DevOps Administrator Azure Information Protection Administrator Administrator rozliczeń Administrator usługi CRM Osoba zatwierdzająca dostęp do skrytki klienta Desktop Analytics Administrator Administrator usługi exchange Administrator szczegółowych informacji Lider biznesowy szczegółowych informacji Administrator usługi Intune Kaizala Administrator Administrator usługi lync Czytelnik prywatności Centrum wiadomości Czytelnik Centrum wiadomości Administrator nowoczesnego handlu Administrator sieci Administrator aplikacji pakietu Office Administrator usługi Power BI Power Platform Administrator Administrator drukarki Technik drukarki Administrator wyszukiwania Edytor wyszukiwania Administrator usługi programu SharePoint Administrator komunikacji usługi Teams Inżynier pomocy technicznej aplikacji Teams Communications Specjalista ds. pomocy technicznej ds. komunikacji w usłudze Teams Administrator urządzeń usługi Teams Teams Administrator
Role między usługami w identyfikatorze Entra firmy Microsoft	Administrator zgodności Administrator danych zgodności Czytelnik globalny Administrator globalny Administrator zabezpieczeń Operator zabezpieczeń Czytelnik zabezpieczeń Administrator pomocy technicznej usługi

Następne kroki

• Omówienie kontroli dostępu opartej na rolach firmy Microsoft
• Tworzenie roli niestandardowej w usłudze Microsoft Entra ID
• Wyświetlanie listy przypisań ról