Настройка ролей Microsoft Entra и управление ими

  • 7 мин

Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом майкрософт, которая помогает сотрудникам входить и получать доступ к ресурсам:

  • внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;
  • во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией.

Кто использует идентификатор Microsoft Entra?

Идентификатор Microsoft Entra предназначен для:

  • ИТ-администраторы — ит-администраторы могут использовать идентификатор Microsoft Entra для управления доступом к приложениям и ресурсам приложения на основе бизнес-требований. Например, можно использовать идентификатор Microsoft Entra, чтобы требовать многофакторную проверку подлинности при доступе к важным ресурсам организации. Кроме того, вы можете использовать идентификатор Microsoft Entra для автоматизации подготовки пользователей между существующими приложениями Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, идентификатор Microsoft Entra предоставляет мощные средства для автоматической защиты удостоверений пользователей и учетных данных и соответствия требованиям к управлению доступом.
  • Разработчики приложений . Разработчики приложений могут использовать идентификатор Microsoft Entra в качестве стандартных подходов для добавления единого входа в приложение, позволяя ему работать с предварительно существующими учетными данными пользователя. Идентификатор Microsoft Entra также предоставляет API- интерфейсы, которые помогают создавать персонализированные возможности приложений с помощью существующих данных организации.
  • Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online — в качестве подписчика вы уже используете идентификатор Microsoft Entra. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически является клиентом Microsoft Entra. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.

В идентификаторе Microsoft Entra, если одному из пользователей требуется разрешение на управление ресурсами Microsoft Entra, необходимо назначить им роль, предоставляющую необходимые им разрешения.

Если вы не знакомы с Azure, вы можете найти его немного сложно, чтобы понять все различные роли в Azure. В следующем разделе описаны следующие роли и приведены дополнительные сведения о ролях Azure и ролях Microsoft Entra:

  • Роли классического администратора подписки
  • Роли в Azure
  • Роли Microsoft Entra

Роли Microsoft Entra

Роли Microsoft Entra используются для управления ресурсами Microsoft Entra в каталоге. Наиболее распространенными являются такие действия, как создание или изменение пользователей. Но достаточно часто возникают и другие потребности: назначать административные роли другим пользователям, сбрасывать пароли, управлять лицензиями пользователей и управлять доменами. В следующей таблице описаны несколько более важных ролей Microsoft Entra.

Роль Microsoft Entra Разрешения Примечания
Глобальный администратор Управление доступом ко всем административным функциям в идентификаторе Microsoft Entra ID и службам, которые федеративны с идентификатором Microsoft Entra Пользователь, который регистрируется в клиенте Microsoft Entra, становится первым глобальным Администратор istrator.
Назначение ролей администратора другим пользователям
Сброс паролей для любого пользователя и других администраторов
Администратор пользователей Создание всех аспектов пользователей и групп и управление ими
Управление запросами в службу поддержки
Мониторинг работоспособности служб
Изменение паролей для пользователей, администраторов службы технической поддержки и других администраторов пользователей
администратора выставления счетов; Совершение покупок
Управление подписками
Управление запросами в службу поддержки
Мониторинг работоспособности службы

В портал Azure вы увидите список ролей Microsoft Entra на экране ролей и администраторов.

Screenshot of the Microsoft Entra roles on the Roles and administrators window in Microsoft Entra ID manage menu of the Azure portal.

Различия между ролями Azure и ролями Microsoft Entra

На высоком уровне разрешения управления ролями Azure для управления ресурсами Azure, а роли Microsoft Entra управляют разрешениями для управления ресурсами Microsoft Entra. Сравнение различий приводится в следующей таблице.

Роли Azure Роли Microsoft Entra
Управление доступом к ресурсам Azure Управление доступом к ресурсам Microsoft Entra
Поддержка пользовательских ролей Поддержка пользовательских ролей
Возможность указывать область действия на нескольких уровнях (группа управления, подписка, группа ресурсов, ресурс) Область находится на уровне клиента или может быть применена к единице Администратор istrative Unit
Сведения о роли можно получить на портале Azure, в Azure CLI, Azure PowerShell, в шаблонах Azure Resource Manager и API REST Доступ к сведениям о роли можно получить на портале администрирования Azure, Центр администрирования Microsoft 365, Microsoft Graph и PowerShell.

Перекрываются ли роли Azure и роли Microsoft Entra?

По умолчанию роли Azure и роли Microsoft Entra не охватывают идентификатор Azure и Microsoft Entra. Однако если глобальный Администратор istrator повышает доступ, выбрав параметр управления доступом для ресурсов Azure в портал Azure, глобальный Администратор istrator будет предоставлен роль Администратор istrator доступа пользователей (роль Azure) для всех подписок для конкретного клиента. Роль администратора доступа пользователей позволяет предоставлять другим пользователям доступ к ресурсам Azure. Этот параметр может использоваться для восстановления доступа к подписке.

Несколько ролей Microsoft Entra охватывают идентификатор Microsoft Entra и Microsoft 365, такие как глобальный Администратор istrator и роли пользователя Администратор istrator. Например, если вы являетесь членом глобальной роли Администратор istrator, у вас есть возможности глобального администратора в идентификаторе Microsoft Entra и Microsoft 365, такие как внесение изменений в Microsoft Exchange и Microsoft SharePoint. Тем не менее по умолчанию у глобального администратора отсутствуют права доступа к ресурсам Azure.

Diagram of relationship of Azure roles to Microsoft Entra roles. Azure roles accessed in Azure tenant. Microsoft Entra roles also accessed from Microsoft Entra ID and Microsoft 365.

Назначение ролей

Существует несколько способов назначения ролей в идентификаторе Microsoft Entra. Важно выбрать тот вариант, который наилучшим образом соответствует вашим потребностям. Пользовательский интерфейс для каждого способа может быть немного разным, но в целом параметры конфигурации очень похожи. Ниже приведены методы назначения ролей.

  • Назначение роли пользователю или группе

    • Роли идентификатора и администрирование - Microsoft Entra ID - Выберите роль - + Добавить назначение

  • Добавление пользователя или группы к роли

    • Идентификатор записи Майкрософт — открытие пользователей (или групп) — выбор пользователя (или группы) — назначенные роли - и добавление назначения

  • Назначение роли для широкой области, такой как подписка, группа ресурсов или группа управления

    • Осуществляется через управление доступом (IAM) на каждом экране параметров

  • Назначение роли с помощью PowerShell или Microsoft Graph API

  • Назначение роли с помощью управления привилегированными пользователями (PIM)

Вы можете использовать оптимальный способ для своей конфигурации, но будьте осторожны, поскольку какие-либо встроенные ограничения отсутствуют. Вы можете случайно назначить административную роль группе, в которое есть пользователи без потребности в административном доступе. Чрезмерные полномочия могут привести к тому, что пользователь внесет в решение необдуманные изменения или даже откроет путь для злоумышленников. Правильное управление удостоверениями является ключевым.

Пример. Использование PIM для назначения роли

Распространенный способ назначения ролей Microsoft Entra пользователю — на странице назначенных ролей для пользователя. Вы также можете настроить право пользователя на своевременное повышение до роли, используя Управление привилегированными пользователями (PIM).

Примечание.

Если у вас есть план лицензии Microsoft Entra ID Premium P2 и уже используется PIM, все задачи управления ролями выполняются в интерфейсе управление привилегированными пользователями. В настоящее время эта функция ограничена одновременной назначением одной роли. Сейчас нельзя выбрать несколько ролей и назначить их пользователю одновременно.

Screenshot of Privileged Identity Manager for users assigned Global Admin and have a Premium P2 license.

Создание и назначение настраиваемой роли в идентификаторе Microsoft Entra

В этом разделе описывается создание новых пользовательских ролей в идентификаторе Microsoft Entra. Основные сведения о пользовательских ролях см. на этой странице. Роль можно назначать только в области действия уровня каталога или в области действия ресурса регистрации приложения.

Пользовательские роли можно создать на вкладке "Роли и администраторы" на странице обзора идентификатора Записи Майкрософт.

  1. Выберите роли и администраторы идентификатора - - Microsoft Entra.

    Screenshot of Create or edit custom roles from the Roles and administrators page.

  2. На вкладке Основы введите имя и описание роли и щелкните Далее.

    Screenshot of the basics tab. You provide a name and description for a custom role on the Basics tab.

  3. На вкладке Разрешения выберите разрешения, необходимые для управления основными свойствами и свойствами учетных данных для регистрации приложений.

  4. Сначала введите credentials в строке поиска и выберите разрешение microsoft.directory/applications/credentials/update.

    Screenshot of the Select the permissions for a custom role on the Permissions tab.

  5. Затем в строке поиска введите basic, выберите разрешение microsoft.directory/applications/basic/update и щелкните Далее.

  6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

Ваша пользовательская роль отобразится в списке доступных ролей для назначения.