Översikt över rollbaserad åtkomstkontroll i Azure Active Directory
Den här artikeln beskriver hur du förstår rollbaserad åtkomstkontroll i Azure Active Directory (Azure AD). Azure AD roller kan du bevilja detaljerade behörigheter till dina administratörer och följa principen om lägsta behörighet. Azure AD inbyggda och anpassade roller fungerar på begrepp som liknar de du hittar i det rollbaserade åtkomstkontrollsystemet för Azure-resurser (Azure-roller). Skillnaden mellan dessa två rollbaserade åtkomstkontrollsystem är:
- Azure AD roller styr åtkomsten till Azure AD resurser som användare, grupper och program som använder Microsoft Graph API
- Azure-roller styr åtkomsten till Azure-resurser, till exempel virtuella datorer eller lagring med Hjälp av Azure Resource Management
Båda systemen innehåller lika använda rolldefinitioner och rolltilldelningar. Men Azure AD rollbehörigheter kan inte användas i anpassade Azure-roller och vice versa.
Förstå Azure AD rollbaserad åtkomstkontroll
Azure AD stöder två typer av rolldefinitioner:
Inbyggda roller är färdiga roller som har en fast uppsättning behörigheter. Dessa rolldefinitioner kan inte ändras. Det finns många inbyggda roller som Azure AD stöder och listan växer. För att avrunda kanterna och uppfylla dina avancerade krav har Azure AD även stöd för anpassade roller. Att bevilja behörighet med anpassade Azure AD-roller är en tvåstegsprocess där du skapar en anpassad rolldefinition och sedan tilldelar den med en rolltilldelning. En anpassad rolldefinition är en samling behörigheter som du lägger till från en förinställd lista. De här behörigheterna är samma behörigheter som används i de inbyggda rollerna.
När du har skapat din anpassade rolldefinition (eller använder en inbyggd roll) kan du tilldela den till en användare genom att skapa en rolltilldelning. En rolltilldelning ger användaren behörigheterna i en rolldefinition i ett angivet omfång. Med den här tvåstegsprocessen kan du skapa en enskild rolldefinition och tilldela den många gånger i olika omfång. Ett omfång definierar den uppsättning Azure AD-resurser som rollmedlemmen har åtkomst till. Det vanligaste omfånget är organisationsomfattande (org-wide) omfång. En anpassad roll kan tilldelas i organisationsomfattande omfattning, vilket innebär att rollmedlemmen har rollbehörigheter för alla resurser i organisationen. En anpassad roll kan även tilldelas i ett objektomfång. Ett exempel på ett objektomfång är ett enda program. Samma roll kan tilldelas till en användare över alla program i organisationen och sedan till en annan användare med enbart omfånget Contosos utgiftsrapporter.
Hur Azure AD avgör om en användare har åtkomst till en resurs
Följande är de övergripande steg som Azure AD använder för att avgöra om du har åtkomst till en hanteringsresurs. Använd den här informationen för att felsöka åtkomstproblem.
- En användare (eller tjänstens huvudnamn) hämtar en token till Microsoft Graph-slutpunkten.
- Användaren gör ett API-anrop till Azure Active Directory (Azure AD) via Microsoft Graph med hjälp av den utfärdade token.
- Beroende på omständigheterna vidtar Azure AD någon av följande åtgärder:
- Utvärderar användarens rollmedlemskap baserat på wids-anspråket i användarens åtkomsttoken.
- Hämtar alla rolltilldelningar som gäller för användaren, antingen direkt eller via gruppmedlemskap, till den resurs där åtgärden vidtas.
- Azure AD avgör om åtgärden i API-anropet ingår i de roller som användaren har för den här resursen.
- Om användaren inte har någon roll med åtgärden i det begärda omfånget beviljas inte åtkomst. Annars beviljas åtkomst.
Rolltilldelning
En rolltilldelning är en Azure AD resurs som kopplar en rolldefinition till ett säkerhetsobjekt i ett visst omfång för att ge åtkomst till Azure AD resurser. Åtkomst beviljas genom att en rolltilldelning skapas, och åtkomst återkallas genom att en rolltilldelning tas bort. I grunden består en rolltilldelning av tre element:
- Säkerhetsobjekt – en identitet som hämtar behörigheterna. Det kan vara en användare, grupp eller ett huvudnamn för tjänsten.
- Rolldefinition – En samling behörigheter.
- Omfång – Ett sätt att begränsa var dessa behörigheter är tillämpliga.
Du kan skapa rolltilldelningar och lista rolltilldelningarna med hjälp av Azure Portal, Azure AD PowerShell eller Microsoft Graph API. Azure CLI stöds inte för Azure AD rolltilldelningar.
Följande diagram visar ett exempel på en rolltilldelning. I det här exemplet har Chris tilldelats den anpassade rollen appregistreringsadministratör i omfånget för contoso Widget Builder-appregistreringen. Tilldelningen ger Chris behörigheter för rollen Appregistreringsadministratör för endast den här specifika appregistreringen.
Säkerhetsobjekt
Ett säkerhetsobjekt representerar en användare, grupp eller tjänstens huvudnamn som har tilldelats åtkomst till Azure AD resurser. En användare är en person som har en användarprofil i Azure Active Directory. En grupp är en ny Microsoft 365- eller säkerhetsgrupp som har angetts som en rolltilldelningsbar grupp. Ett huvudnamn för tjänsten är en identitet som skapats för användning med program, värdbaserade tjänster och automatiserade verktyg för att komma åt Azure AD resurser.
Rolldefinition
En rolldefinition, eller roll, är en samling behörigheter. En rolldefinition visar de åtgärder som kan utföras på Azure AD resurser, till exempel skapa, läsa, uppdatera och ta bort. Det finns två typer av roller i Azure AD:
- Inbyggda roller som skapats av Microsoft och som inte kan ändras.
- Anpassade roller som skapats och hanteras av din organisation.
Omfång
Ett omfång är ett sätt att begränsa tillåtna åtgärder till en viss uppsättning resurser som en del av en rolltilldelning. Om du till exempel vill tilldela en anpassad roll till en utvecklare, men bara för att hantera en specifik programregistrering, kan du inkludera den specifika programregistreringen som ett omfång i rolltilldelningen.
När du tilldelar en roll anger du någon av följande typer av omfång:
- Klientorganisation
- Administrativ enhet
- Azure AD resurs
Om du anger en Azure AD resurs som omfång kan det vara något av följande:
- Azure AD-grupper
- Företagsprogram
- Programregistreringar
Mer information finns i Tilldela Azure AD roller i olika omfång.
Alternativ för rolltilldelning
Azure AD innehåller flera alternativ för att tilldela roller:
- Du kan tilldela roller direkt till användare, vilket är standardsättet för att tilldela roller. Både inbyggda och anpassade Azure AD roller kan tilldelas till användare baserat på åtkomstkrav. Mer information finns i Tilldela Azure AD roller till användare.
- Med Azure AD Premium P1 kan du skapa rolltilldelningsbara grupper och tilldela roller till dessa grupper. Genom att tilldela roller till en grupp i stället för enskilda användare kan du enkelt lägga till eller ta bort användare från en roll och skapa konsekventa behörigheter för alla medlemmar i gruppen. Mer information finns i Tilldela Azure AD roller till grupper.
- Med Azure AD Premium P2 kan du använda Azure AD Privileged Identity Management (Azure AD PIM) för att ge just-in-time-åtkomst till roller. Med den här funktionen kan du bevilja tidsbegränsad åtkomst till en roll till användare som behöver den, i stället för att bevilja permanent åtkomst. Den innehåller även detaljerade funktioner för rapportering och granskning. Mer information finns i Tilldela Azure AD roller i Privileged Identity Management.
Licenskrav
Det är kostnadsfritt att använda inbyggda roller i Azure AD. Användning av anpassade roller kräver en Azure AD Premium P1 licens för varje användare med en anpassad rolltilldelning. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i kostnadsfria och Premium-utgåvor.