Översikt över rollbaserad åtkomstkontroll i Microsoft Entra ID

Den här artikeln beskriver hur du förstår rollbaserad åtkomstkontroll i Microsoft Entra. Med Microsoft Entra-roller kan du bevilja detaljerade behörigheter till dina administratörer, vilket följer principen om minsta behörighet. Inbyggda och anpassade roller i Microsoft Entra fungerar på begrepp som liknar dem du hittar i det rollbaserade åtkomstkontrollsystemet för Azure-resurser (Azure-roller). Skillnaden mellan dessa två rollbaserade åtkomstkontrollsystem är:

  • Microsoft Entra-roller styr åtkomsten till Microsoft Entra-resurser, till exempel användare, grupper och program med hjälp av Microsoft Graph API
  • Azure-roller styr åtkomsten till Azure-resurser, till exempel virtuella datorer eller lagring med Hjälp av Azure Resource Management

Båda systemen innehåller rolldefinitioner och rolltilldelningar som används på liknande sätt. Microsoft Entra-rollbehörigheter kan dock inte användas i anpassade Azure-roller och vice versa.

Förstå rollbaserad åtkomstkontroll i Microsoft Entra

Microsoft Entra ID har stöd för två typer av rolldefinitioner:

Inbyggda roller är färdiga roller som har en fast uppsättning behörigheter. Dessa rolldefinitioner kan inte ändras. Det finns många inbyggda roller som Microsoft Entra ID stöder och listan växer. För att avrunda kanterna och uppfylla dina avancerade krav har Microsoft Entra ID även stöd för anpassade roller. Att bevilja behörighet med anpassade Microsoft Entra-roller är en tvåstegsprocess där du skapar en anpassad rolldefinition och sedan tilldelar den med en rolltilldelning. En anpassad rolldefinition är en samling behörigheter som du lägger till från en förinställd lista. De här behörigheterna är samma behörigheter som används i de inbyggda rollerna.

När du har skapat din anpassade rolldefinition (eller använder en inbyggd roll) kan du tilldela den till en användare genom att skapa en rolltilldelning. En rolltilldelning ger användaren behörigheterna i en rolldefinition i ett angivet omfång. Med den här tvåstegsprocessen kan du skapa en enskild rolldefinition och tilldela den många gånger i olika omfång. Ett omfång definierar den uppsättning Microsoft Entra-resurser som rollmedlemmen har åtkomst till. Det vanligaste omfånget är organisationsomfattande (org-wide) omfång. En anpassad roll kan tilldelas i organisationsomfattande omfattning, vilket innebär att rollmedlemmen har rollbehörigheter för alla resurser i organisationen. En anpassad roll kan även tilldelas i ett objektomfång. Ett exempel på ett objektomfång är ett enda program. Samma roll kan tilldelas till en användare över alla program i organisationen och sedan till en annan användare med enbart omfånget Contosos utgiftsrapporter.

Så här avgör Microsoft Entra-ID om en användare har åtkomst till en resurs

Följande är de övergripande steg som Microsoft Entra-ID använder för att avgöra om du har åtkomst till en hanteringsresurs. Använd den här informationen för att felsöka åtkomstproblem.

  1. En användare (eller tjänstens huvudnamn) hämtar en token till Microsoft Graph-slutpunkten.
  2. Användaren gör ett API-anrop till Microsoft Entra-ID via Microsoft Graph med hjälp av den utfärdade token.
  3. Beroende på omständigheterna vidtar Microsoft Entra ID någon av följande åtgärder:
    • Utvärderar användarens rollmedlemskap baserat på wids-anspråket i användarens åtkomsttoken.
    • Hämtar alla rolltilldelningar som gäller för användaren, antingen direkt eller via gruppmedlemskap, till den resurs där åtgärden vidtas.
  4. Microsoft Entra-ID avgör om åtgärden i API-anropet ingår i de roller som användaren har för den här resursen.
  5. Om användaren inte har någon roll med åtgärden i det begärda omfånget beviljas inte åtkomst. Annars beviljas åtkomst.

Rolltilldelning

En rolltilldelning är en Microsoft Entra-resurs som kopplar en rolldefinition till ett säkerhetsobjekt i ett visst omfång för att bevilja åtkomst till Microsoft Entra-resurser. Åtkomst beviljas genom att en rolltilldelning skapas, och åtkomst återkallas genom att en rolltilldelning tas bort. I grunden består en rolltilldelning av tre element:

  • Säkerhetsobjekt – en identitet som hämtar behörigheterna. Det kan vara en användare, grupp eller ett huvudnamn för tjänsten.
  • Rolldefinition – en samling behörigheter.
  • Omfång – Ett sätt att begränsa var dessa behörigheter är tillämpliga.

Du kan skapa rolltilldelningar och lista rolltilldelningarna med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API. Azure CLI stöds inte för Microsoft Entra-rolltilldelningar.

Följande diagram visar ett exempel på en rolltilldelning. I det här exemplet har Chris tilldelats den anpassade rollen appregistreringsadministratör i omfånget för Contoso Widget Builder-appregistreringen. Tilldelningen ger Chris behörigheter för rollen Appregistreringsadministratör för endast den här specifika appregistreringen.

Rolltilldelning är hur behörigheter framtvingas och har tre delar.

Säkerhetsobjekt

Ett säkerhetsobjekt representerar en användare, grupp eller tjänstens huvudnamn som har tilldelats åtkomst till Microsoft Entra-resurser. En användare är en person som har en användarprofil i Microsoft Entra-ID. En grupp är en ny Microsoft 365- eller säkerhetsgrupp som har angetts som en rolltilldelningsbar grupp. Ett huvudnamn för tjänsten är en identitet som skapats för användning med program, värdbaserade tjänster och automatiserade verktyg för åtkomst till Microsoft Entra-resurser.

Rolldefinition

En rolldefinition, eller roll, är en samling behörigheter. En rolldefinition visar de åtgärder som kan utföras på Microsoft Entra-resurser, till exempel skapa, läsa, uppdatera och ta bort. Det finns två typer av roller i Microsoft Entra-ID:

  • Inbyggda roller som skapats av Microsoft och som inte kan ändras.
  • Anpassade roller som skapats och hanteras av din organisation.

Omfattning

Ett omfång är ett sätt att begränsa tillåtna åtgärder till en viss uppsättning resurser som en del av en rolltilldelning. Om du till exempel vill tilldela en anpassad roll till en utvecklare, men bara för att hantera en specifik programregistrering, kan du inkludera den specifika programregistreringen som ett omfång i rolltilldelningen.

När du tilldelar en roll anger du någon av följande typer av omfång:

Om du anger en Microsoft Entra-resurs som omfång kan det vara något av följande:

  • Microsoft Entra-grupper
  • Företagsprogram
  • Programregistreringar

När en roll tilldelas över ett containeromfång, till exempel klientorganisationen eller en administrativ enhet, ger den behörighet för de objekt som de innehåller men inte på själva containern. Tvärtom, när en roll tilldelas över ett resursomfång beviljar den behörigheter för själva resursen, men den sträcker sig inte längre än (i synnerhet utökas den inte till medlemmarna i en Microsoft Entra-grupp).

Mer information finns i Tilldela Microsoft Entra-roller i olika omfång.

Alternativ för rolltilldelning

Microsoft Entra ID innehåller flera alternativ för att tilldela roller:

  • Du kan tilldela roller direkt till användare, vilket är standardsättet för att tilldela roller. Både inbyggda och anpassade Microsoft Entra-roller kan tilldelas till användare baserat på åtkomstkrav. Mer information finns i Tilldela Microsoft Entra-roller till användare.
  • Med Microsoft Entra ID P1 kan du skapa rolltilldelningsbara grupper och tilldela roller till dessa grupper. Genom att tilldela roller till en grupp i stället för enskilda användare kan du enkelt lägga till eller ta bort användare från en roll och skapa konsekventa behörigheter för alla medlemmar i gruppen. Mer information finns i Tilldela Microsoft Entra-roller till grupper.
  • Med Microsoft Entra ID P2 kan du använda Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) för att ge just-in-time-åtkomst till roller. Med den här funktionen kan du bevilja tidsbegränsad åtkomst till en roll till användare som behöver den, i stället för att bevilja permanent åtkomst. Den innehåller även detaljerade funktioner för rapportering och granskning. Mer information finns i Tilldela Microsoft Entra-roller i Privileged Identity Management.

Licenskrav

Det är kostnadsfritt att använda inbyggda roller i Microsoft Entra-ID. Om du använder anpassade roller krävs en Microsoft Entra ID P1-licens för varje användare med en anpassad rolltilldelning. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria versionerna och Premium-utgåvorna.

Nästa steg