Применение управления доступом на основе ролей
Встроенные определения ролей определяются для нескольких категорий служб, задач и пользователей. Вы можете назначать встроенные роли в разных областях для поддержки различных сценариев, а также создавать настраиваемые роли на основе базовых определений.
Идентификатор Microsoft Entra также предоставляет встроенные роли для управления ресурсами в идентификаторе Microsoft Entra, включая пользователей, группы и домены. Идентификатор Microsoft Entra предоставляет роли администратора, которые можно реализовать для вашей организации, такие как глобальный администратор, администратор приложений и разработчик приложений.
На следующей схеме показано, как применять роли администратора Microsoft Entra и роли Azure в организации.
Роли администратора Microsoft Entra используются для управления ресурсами в идентификаторе Microsoft Entra, таких как пользователи, группы и домены. Эти роли определяются для клиента Microsoft Entra на корневом уровне конфигурации.
Роли Azure RBAC обеспечивают более детализированное управление доступом к ресурсам Azure. Эти роли определяются для запрашивающей стороны или ресурса и могут применяться на нескольких уровнях: корень, группы управления, подписки, группы ресурсов или ресурсы.