Привилегированные роли и разрешения в идентификаторе Microsoft Entra (предварительная версия)
Внимание
Метка для привилегированных ролей и разрешений в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Идентификатор Microsoft Entra имеет роли и разрешения, которые определяются как привилегированные. Эти роли и разрешения можно использовать для делегирования управления ресурсами каталога другим пользователям, изменения учетных данных, политик проверки подлинности или авторизации или доступа к данным с ограниченным доступом. Назначения привилегированных ролей могут привести к повышению привилегий, если они не используются безопасным и предполагаемым образом. В этой статье описаны привилегированные роли и разрешения и рекомендации по использованию.
Какие роли и разрешения привилегированны?
Список привилегированных ролей и разрешений см. в статье о встроенных ролях Microsoft Entra. Вы также можете использовать центр администрирования Microsoft Entra, Microsoft Graph PowerShell или API Microsoft Graph для идентификации ролей, разрешений и назначений ролей, которые идентифицируются как привилегированные.
В Центре администрирования Microsoft Entra найдите метку PRIVILEGED .
На странице "Роли и администраторы" привилегированные роли определяются в столбце "Привилегированные". В столбце "Назначения" перечислены количество назначений ролей. Вы также можете фильтровать привилегированные роли.
При просмотре разрешений для привилегированной роли вы увидите, какие разрешения являются привилегированными. Если вы просматриваете разрешения как пользователя по умолчанию, вы не сможете увидеть, какие разрешения являются привилегированными.
При создании настраиваемой роли вы увидите, какие разрешения привилегированны, а пользовательская роль будет помечена как привилегированная.
Рекомендации по использованию привилегированных ролей
Ниже приведены некоторые рекомендации по использованию привилегированных ролей.
- Применение принципа наименьших привилегий
- Использование управления привилегированными пользователями для предоставления JIT-доступа
- Включение многофакторной проверки подлинности для всех учетных записей администратора
- Настройка повторяющихся проверок доступа для отмены ненужных разрешений с течением времени
- Ограничение числа глобальных Администратор istratorов меньше 5
- Ограничение числа назначений привилегированных ролей меньше 10
Дополнительные сведения см. в рекомендациях по ролям Microsoft Entra.
Привилегированные разрешения и защищенные действия
Привилегированные разрешения и защищенные действия — это возможности, связанные с безопасностью, которые имеют разные цели. Разрешения с меткой PRIVILEGED помогают определить разрешения, которые могут привести к повышению привилегий, если они не используются в безопасном и предполагаемом порядке. Защищенные действия — это разрешения ролей, назначенные политиками условного доступа для дополнительной безопасности, например требование многофакторной проверки подлинности. Требования условного доступа применяются, когда пользователь выполняет защищенное действие. Защищенные действия в настоящее время находятся в предварительной версии. Дополнительные сведения см. в статье "Что такое защищенные действия в идентификаторе Microsoft Entra ID?".
| Возможность | Привилегированное разрешение | Защищенное действие |
|---|---|---|
| Определение разрешений, которые следует использовать в безопасном режиме | ✅ | |
| Требовать дополнительную безопасность для выполнения действия | ✅ |
Терминология
Чтобы понять привилегированные роли и разрешения в идентификаторе Microsoft Entra ID, он помогает узнать некоторые из следующих терминов.
| Термин | Определение |
|---|---|
| действие | Действие субъекта безопасности может выполняться с типом объекта. Иногда называется операцией. |
| permission | Определение, указывающее действие, которое субъект безопасности может выполнять в типе объекта. Разрешение включает одно или несколько действий. |
| привилегированное разрешение | В идентификаторе Microsoft Entra разрешения, которые можно использовать для делегирования управления ресурсами каталога другим пользователям, изменения учетных данных, проверки подлинности или политик авторизации или доступа к данным с ограниченным доступом. |
| привилегированная роль | Встроенная или настраиваемая роль с одним или несколькими привилегированными разрешениями. |
| Назначение привилегированных ролей | Назначение роли, использующее привилегированную роль. |
| повышение привилегий | Когда субъект безопасности получает больше разрешений, чем назначенная им роль изначально предоставляется путем олицетворения другой роли. |
| защищенное действие | Разрешения с условным доступом, примененные для добавленной безопасности. |
Общие сведения о разрешениях ролей
Схема для разрешений не точно соответствует формату REST для Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Например:
microsoft.directory/applications/credentials/update
| Элемент разрешения | Description |
|---|---|
| пространство имен | Продукт или служба, которые предоставляют задачу и которым предшествует microsoft. Например, все задачи в идентификаторе Microsoft Entra используют microsoft.directory пространство имен. |
| Сущность | Логическая функция или компонент, предоставляемый службой в Microsoft Graph. Например, идентификатор Microsoft Entra предоставляет пользователей и группы, OneNote предоставляет заметки, а Exchange предоставляет почтовые ящики и календари. Для указания всех сущностей в пространстве имен существует специальное ключевое слово allEntities. Это часто используется в ролях, которые предоставляют доступ ко всему продукту. |
| propertySet | Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например, microsoft.directory/applications/authentication/read предоставляет возможность считывать URL-адрес ответа, URL-адрес выхода и неявное свойство потока в объекте приложения в идентификаторе Microsoft Entra.
|
| действие | Как правило, предоставляется разрешение на такие операции, как создание, чтение, обновление или удаление (CRUD). Для указания всех перечисленных выше возможностей (создание, чтение, обновление и удаление) существует специальное ключевое слово allTasks. |
Сравнение ролей проверки подлинности
В следующей таблице сравниваются возможности ролей, связанных с проверкой подлинности.
| Должность | Управление методами проверки подлинности пользователя | Управление MFA для каждого пользователя | Управление параметрами MFA | Управление политикой выбора метода проверки подлинности | Управление политикой защиты паролем | Обновление конфиденциальных свойств | Удаление и восстановление пользователей |
|---|---|---|---|---|---|---|---|
| Администратор проверки подлинности | Да для некоторых пользователей | Да для некоторых пользователей | Нет | No | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
| Привилегированный администратор проверки подлинности | Да для всех пользователей | Да для всех пользователей | Нет | No | Нет | Да для всех пользователей | Да для всех пользователей |
| Политика проверки подлинности Администратор istrator | Нет | No | Да | Да | Да | No | Нет |
| Администратор пользователей | Нет | No | No | No | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Кто может сбрасывать пароли
В следующей таблице столбцы перечислены роли, которые могут сбрасывать пароли и недействительными маркерами обновления. Строки содержат роли, для которых можно сбросить пароль. Например, пароль Администратор istrator может сбросить пароль для читателей каталогов, гостевого приглашения, пароля Администратор istrator и пользователей без роли администратора. Если пользователю назначена любая другая роль, пароль Администратор istrator не может сбросить пароль.
Следующая таблица предназначена для ролей, назначенных в области клиента. Для ролей, назначенных в области административной единицы, применяются дополнительные ограничения.
| Роль, для которой можно сбросить пароль | Администратор паролей | Администратор службы поддержки | Администратор проверки подлинности | Администратор пользователей | Привилегированный администратор проверки подлинности | глобальный администратор. |
|---|---|---|---|---|---|---|
| Администратор проверки подлинности | ✅ | ✅ | ✅ | |||
| Читатели каталогов | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| глобальный администратор. | ✅ | ✅* | ||||
| Администратор групп | ✅ | ✅ | ✅ | |||
| Приглашающий гостей | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Администратор службы поддержки | ✅ | ✅ | ✅ | ✅ | ||
| Читатель центра сообщений | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Администратор паролей | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Привилегированный администратор проверки подлинности | ✅ | ✅ | ||||
| Администратор привилегированными ролями | ✅ | ✅ | ||||
| Читатель отчетов | ✅ | ✅ | ✅ | ✅ | ✅ | |
| User (без роли администратора) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| User (нет роли администратора, но члена или владельца группы, назначаемой ролью) |
✅ | ✅ | ||||
| Пользователь с ролью, область в административной единице ограниченного управления | ✅ | ✅ | ||||
| Администратор пользователей | ✅ | ✅ | ✅ | |||
| Средство чтения сводки об использовании | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Все пользовательские роли | ✅ | ✅ |
Внимание
Роль поддержки уровня 2 партнеров может сбрасывать пароли и недопустимые маркеры обновления для всех неадминистраторов и администраторов (включая глобальные Администратор istrators). Роль поддержки уровня 1 партнера может сбрасывать пароли и отменять маркеры обновления только для неадминистраторов. Эти роли не следует использовать, так как они устарели.
Возможность сброса пароля включает возможность обновления следующих конфиденциальных свойств, необходимых для самостоятельного сброса пароля:
- businessPhones
- mobilePhone
- otherMails
Кто может выполнять конфиденциальные действия
Некоторые администраторы могут выполнять следующие конфиденциальные действия для некоторых пользователей. Все пользователи могут считывать конфиденциальные свойства.
| Конфиденциальное действие | Имя конфиденциального свойства |
|---|---|
| Отключение или включение пользователей | accountEnabled |
| Обновление бизнес-телефона | businessPhones |
| Обновление мобильного телефона | mobilePhone |
| Обновление локального неизменяемого идентификатора | onPremisesImmutableId |
| Обновление других сообщений электронной почты | otherMails |
| Обновление профиля пароля | passwordProfile |
| Обновление имени субъекта-пользователя | userPrincipalName |
| Удаление или восстановление пользователей | Нет данных |
В следующей таблице столбцы перечисляют роли, которые могут выполнять конфиденциальные действия. Строки перечисляют роли, для которых можно выполнить конфиденциальное действие.
Следующая таблица предназначена для ролей, назначенных в области клиента. Для ролей, назначенных в области административной единицы, применяются дополнительные ограничения.
| Роль, на которую можно выполнить конфиденциальное действие | Администратор проверки подлинности | Администратор пользователей | Привилегированный администратор проверки подлинности | глобальный администратор. |
|---|---|---|---|---|
| Администратор проверки подлинности | ✅ | ✅ | ✅ | |
| Читатели каталогов | ✅ | ✅ | ✅ | ✅ |
| глобальный администратор. | ✅ | ✅ | ||
| Администратор групп | ✅ | ✅ | ✅ | |
| Приглашающий гостей | ✅ | ✅ | ✅ | ✅ |
| Администратор службы поддержки | ✅ | ✅ | ✅ | |
| Читатель центра сообщений | ✅ | ✅ | ✅ | ✅ |
| Администратор паролей | ✅ | ✅ | ✅ | ✅ |
| Привилегированный администратор проверки подлинности | ✅ | ✅ | ||
| Администратор привилегированными ролями | ✅ | ✅ | ||
| Читатель отчетов | ✅ | ✅ | ✅ | ✅ |
| User (без роли администратора) |
✅ | ✅ | ✅ | ✅ |
| User (нет роли администратора, но члена или владельца группы, назначаемой ролью) |
✅ | ✅ | ||
| Пользователь с ролью, область в административной единице ограниченного управления | ✅ | ✅ | ||
| Администратор пользователей | ✅ | ✅ | ✅ | |
| Средство чтения сводки об использовании | ✅ | ✅ | ✅ | ✅ |
| Все пользовательские роли | ✅ | ✅ |