Översikt över rollbaserad åtkomstkontroll i Microsoft Entra-ID

Den här artikeln beskriver hur du förstår rollbaserad åtkomstkontroll i Microsoft Entra. Med Microsoft Entra-roller kan du bevilja detaljerade behörigheter till dina administratörer, vilket följer principen om minsta behörighet. Inbyggda och anpassade roller i Microsoft Entra fungerar på begrepp som liknar dem du hittar i det rollbaserade åtkomstkontrollsystemet för Azure-resurser (Azure-roller). Den skillnaden mellan dessa två rollbaserade åtkomstkontrollsystem är:

  • Microsoft Entra-roller styr åtkomsten till Microsoft Entra-resurser, till exempel användare, grupper och program med hjälp av Microsoft Graph API
  • Azure-roller kontrollerar åtkomst till Azure-resurser såsom virtuella datorer eller lagring genom Azure Resource Management.

Båda systemen innehåller rolldefinitioner och rolltilldelningar som används på liknande sätt. Microsoft Entra-rollbehörigheter kan dock inte användas i anpassade Azure-roller och vice versa.

Förstå rollbaserad åtkomstkontroll i Microsoft Entra

Microsoft Entra ID har stöd för två typer av rolldefinitioner:

Inbyggda roller är färdiga roller med en fast uppsättning behörigheter. Dessa rolldefinitioner kan inte ändras. Det finns många inbyggda roller som Microsoft Entra ID stöder och listan växer. För att finslipa detaljerna och möta dina sofistikerade krav har Microsoft Entra ID även stöd för anpassade roller. Att bevilja behörighet med anpassade Microsoft Entra-roller är en tvåstegsprocess som innebär att skapa en anpassad rolldefinition och sedan tilldela den med hjälp av en rolltilldelning. En anpassad rolldefinition är en samling behörigheter som du lägger till från en förinställd lista. Dessa behörigheter är samma behörigheter som används i de inbyggda rollerna.

När du har skapat din anpassade rolldefinition (eller med hjälp av en inbyggd roll) kan du tilldela den till en användare genom att skapa en rolltilldelning. En rolltilldelning ger användaren behörigheterna i en rolldefinition i ett angivet omfång. Med den här tvåstegsprocessen kan du skapa en enskild rolldefinition och tilldela den många gånger i olika omfång. Ett omfång definierar uppsättningen Microsoft Entra-resurser som rollmedlemmen har åtkomst till. Det vanligaste omfånget är organisationsomfattande. En anpassad roll kan tilldelas i organisationsomfattande omfattning, vilket innebär att rollmedlemmen har rollbehörigheter för alla resurser i organisationen. En anpassad roll kan också tilldelas i ett objektomfång. Ett exempel på ett objektomfång skulle vara ett enda program. Samma roll kan ges till en användare över samtliga applikationer i organisationen och sedan till en annan användare med omfattningen endast för appen Contoso Utgiftsrapporter.

Så här avgör Microsoft Entra-ID om en användare har åtkomst till en resurs

Följande är de övergripande steg som Microsoft Entra-ID använder för att avgöra om du har åtkomst till en hanteringsresurs. Använd den här informationen för att felsöka åtkomstproblem.

  1. En användare (eller tjänstehuvudman) hämtar en token till Microsoft Graph-slutpunkten.
  2. Användaren gör ett API-anrop till Microsoft Entra-ID via Microsoft Graph med hjälp av den utfärdade token.
  3. Beroende på omständigheterna vidtar Microsoft Entra ID någon av följande åtgärder:
    • Utvärderar användarens rollmedlemskap baserat på wids-anspråket i användarens åtkomsttoken.
    • Hämtar alla rolltilldelningar som gäller för användaren, antingen direkt eller via gruppmedlemskap, till den resurs där åtgärden vidtas.
  4. Microsoft Entra-ID avgör om åtgärden i API-anropet ingår i de roller som användaren har för den här resursen.
  5. Om användaren inte har någon roll med åtgärden i det begärda omfånget beviljas inte åtkomst. Annars beviljas åtkomst.

Rolltilldelning

En rolltilldelning är en Microsoft Entra-resurs som kopplar en rolldefinition till en säkerhetsprincip inom ett visst omfång för att bevilja åtkomst till Microsoft Entra-resurser. Åtkomst beviljas genom att skapa en rolltilldelning och åtkomsten återkallas genom att en rolltilldelning tas bort. I grunden består en rolltilldelning av tre element:

  • Säkerhetsprincip – en identitet som får behörigheterna. Det kan vara en användare, grupp eller ett huvudnamn för tjänsten.
  • Rolldefinition – en samling behörigheter.
  • Omfång – Ett sätt att begränsa var dessa behörigheter är tillämpliga.

Du kan skapa rolltilldelningar och lista rolltilldelningar med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph PowerShelleller Microsoft Graph API. Azure CLI stöds inte för Microsoft Entra-rolltilldelningar.

Följande diagram visar ett exempel på en rolltilldelning. I det här exemplet har Chris tilldelats den anpassade rollen appregistreringsadministratör i omfånget för Contoso Widget Builder-appregistreringen. Tilldelningen ger Chris behörigheter för rollen Appregistreringsadministratör för endast den här specifika appregistreringen.

Diagram över en rolltilldelning som består av tre delar.

Säkerhetsprincip

Ett säkerhetsobjekt representerar en användare, grupp eller tjänstens huvudnamn som har tilldelats åtkomst till Microsoft Entra-resurser. En användare är en person som har en användarprofil i Microsoft Entra-ID. En grupp är antingen en ny Microsoft 365-grupp eller en säkerhetsgrupp som har angetts som en rolltilldelbar grupp. En tjänstprincipal är en identitet skapad för användning med applikationer, värdtjänster och automatiserade verktyg för att få åtkomst till Microsoft Entra-resurser.

Rollbeskrivning

En rolldefinition, eller roll, är en samling behörigheter. En rolldefinition visar de åtgärder som kan utföras på Microsoft Entra-resurser, till exempel skapa, läsa, uppdatera och ta bort. Det finns två typer av roller i Microsoft Entra-ID:

  • Inbyggda roller som skapats av Microsoft och som inte kan ändras.
  • Anpassade roller som skapats och hanteras av din organisation.

Omfattning

Ett omfång är ett sätt att begränsa tillåtna åtgärder till en viss uppsättning resurser som en del av en rolltilldelning. Om du till exempel vill tilldela en anpassad roll till en utvecklare, men bara för att hantera en specifik programregistrering, kan du inkludera den specifika programregistreringen som ett omfång i rolltilldelningen.

När du tilldelar en roll anger du någon av följande typer av omfång:

Om du anger en Microsoft Entra-resurs som omfång kan det vara något av följande:

  • Microsoft Entra-Grupper
  • Företagsprogram
  • Applikationsregistreringar

När en roll tilldelas över ett containeromfång, såsom hyresgästen eller en administrativ enhet, ger den behörighet för de objekt som de innehåller men inte på själva behållaren. Tvärtom, när en roll tilldelas över ett resursomfång beviljar den behörigheter för själva resursen, men den sträcker sig inte längre än (i synnerhet utökas den inte till medlemmarna i en Microsoft Entra-grupp).

Mer information finns i Tilldela Microsoft Entra-roller.

Alternativ för rolltilldelning

Microsoft Entra ID innehåller flera alternativ för att tilldela roller:

  • Du kan tilldela roller direkt till användare, vilket är standardsättet för att tilldela roller. Både inbyggda och anpassade Microsoft Entra-roller kan tilldelas till användare baserat på åtkomstkrav. Mer information finns i Tilldela Microsoft Entra-roller.
  • Med Microsoft Entra ID P1 kan du skapa rolltilldelningsbara grupper och tilldela roller till dessa grupper. Genom att tilldela roller till en grupp i stället för enskilda användare kan du enkelt lägga till eller ta bort användare från en roll och skapa konsekventa behörigheter för alla medlemmar i gruppen. Mer information finns i Tilldela Microsoft Entra-roller.
  • Med Microsoft Entra ID P2 kan du använda Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) för att ge just-in-time-åtkomst till roller. Med den här funktionen kan du bevilja tidsbegränsad åtkomst till en roll till användare som behöver den, i stället för att bevilja permanent åtkomst. Den innehåller även detaljerade funktioner för rapportering och granskning. Mer information finns i Tilldela Microsoft Entra-roller i Privileged Identity Management.

Förstå vem som har åtkomst till vad

Att lista rolltilldelningar är en del av svaret på den bredare frågan: "vem har åtkomst till vad i min organisation?" Microsoft Entra ID innehåller flera verktyg som när de används tillsammans ger dig insyn i åtkomsten i klientorganisationen.

  • Rolltilldelningar. Använd procedurerna i Lista Microsoft Entra rolltilldelningar för att lista vem som har Microsoft Entra roller i klient-, program- eller administrationsenhetsomfånget. Du kan ladda ned rolltilldelningar som en CSV för offlineanalys eller fråga dem programmatiskt med List unifiedRoleAssignments Microsoft Graph API.
  • Approlltilldelningar och medgivandebidrag. Använd Tilldela användare och grupper till ett program för att se vilka användare och grupper som kan komma åt ett visst företagsprogram. Använd Granska behörigheter som beviljats program för att granska både de delegerade behörigheterna och programbehörigheterna som användare eller administratörer har beviljat.
  • Anpassade säkerhetsattribut. Använd anpassade säkerhetsattribut för att tagga användare och tjänstens huvudnamn med affärsspecifika attribut som du definierar för din klientorganisation. Du kan sedan filtrera och fråga katalogen efter attribut för att skapa en vy med affärsattribut för åtkomst som kompletterar rollbaserade frågor.
  • Åtkomstgranskningar. Använd åtkomstgranskningar för att regelbundet kontrollera att användarna fortfarande behöver sina aktuella gruppmedlemskap och tilldelningar till företagsprogram. Använd Privileged Identity Management (PIM) åtkomstgranskningar för att granska användare och tjänsthuvudnamn som tilldelats Microsoft Entra eller Azure resursroller. Granskare godkänner eller nekar fortsatt åtkomst för varje användare. Åtkomstgranskningar kräver Microsoft Entra ID Governance eller Microsoft Entra-sviten. Vissa funktioner fungerar med Microsoft Entra ID P2. Mer information finns i Licenskrav. Att granska tjänsthuvudnamn via PIM kräver dessutom Microsoft Entra Workload ID Premium.
  • Berättigandehantering. Använd berättigandehantering för att se vilka användare som har beviljats åtkomst via åtkomstpaket. Åtkomstpaket ordnas i kataloger, som är containrar med relaterade resurser och åtkomstpaket som du kan använda för att delegera och styra åtkomst. Berättigandehantering kräver Microsoft Entra ID Governance eller Microsoft Entra-sviten. Vissa funktioner fungerar med Microsoft Entra ID P2. Mer information finns i Licenskrav.
  • Inloggnings- och granskningsloggar. Använd inloggningsloggar för att se vem som aktivt har åtkomst till resurser och under vilka villkor. Använd granskningsloggar för att spåra ändringar i rolltilldelningar, gruppmedlemskap och andra katalogobjekt över tid. Granskningsloggar registrerar konfigurationsändringar, medan inloggningsloggar registrerar inloggningshändelser – tillsammans hjälper de dig att skilja mellan beviljad åtkomst och utövad åtkomst. Mer detaljerad spårning av Microsoft Graph API-anrop finns i Microsoft Graph aktivitetsloggar.

Tip

För stora tenantmiljöer kan du strömma loggar till en Log Analytics-arbetsyta så att du kan köra frågor mot och analysera åtkomstmönster för tusentals användare och roller.

Styra åtkomsten för arbetsbelastningsidentiteter

En fullständig strategi för auktorisering i stor skala måste omfatta arbetsbelastningsidentiteter – program, tjänstens huvudnamn och hanterade identiteter – inte bara användare. Microsoft Entra har stöd för flera metoder för att upprätta datoridentiteter, som var och en passar för ett annat scenario:

  • Appregistrering. Registrera ett programobjekt för att skapa ett tjänsthuvudnamn som autentiserar med en klienthemlighet, certifikat eller federerade autentiseringsuppgifter. Används för traditionella program och plattformsintegreringar.
  • Hanterade identiteter. Använd systemtilldelade eller användartilldelade hanterade identiteter för arbetsbelastningar som körs i Azure. Azure hanterar autentiseringsuppgifterna åt dig, så inga hemligheter lagras i kod eller konfiguration.
  • Federering av arbetslastsidentiteter. Konfigurera förtroende mellan Microsoft Entra och en extern identitetsprovider så att arbetsbelastningar utanför Azure – eller arbetsbelastningar i Azure som autentiseras som appregistreringar – kan komma åt Microsoft Entra skyddade resurser utan att lagra hemligheter.
  • Flexibla federerade identitetsuppgifter (förhandsversion). Utöka det hemlighetslösa mönstret för appregistreringar till scenarier som kräver jokertecken eller anspråksbaserad matchning mot token som utfärdats av GitHub, GitLab eller Terraform Cloud.

Styr dessa identiteter i stor skala med samma skiktade kontroller som du tillämpar på användare:

  • Använd Villkorsstyrd åtkomst för arbetsbelastningsidentiteter för att begränsa var och när ett tjänsthuvudnamn kan autentiseras. Den här funktionen kräver Premium-licenser för arbetsbelastningsidentiteter och gäller endast tjänsthuvudnamn för enskilda klientorganisationer som är registrerade i din klientorganisation – hanterade identiteter och SaaS-appar med flera klientorganisationer eller från tredje part omfattas inte.
  • Kör åtkomstgranskningar av grupper och program för att bekräfta att användare som tilldelats dessa resurser fortfarande behöver deras åtkomst och använda PIM-åtkomstgranskningar för att granska tjänsthuvudnamn som tilldelats Microsoft Entra och Azure resursroller. Granskningar av grupper och program kräver Microsoft Entra ID Governance eller Microsoft Entra-sviten (vissa funktioner är tillgängliga med Microsoft Entra ID P2); Mer information finns i License. Granskning av tjänsthuvudnamn kräver dessutom Microsoft Entra Workload ID Premium.
  • Tagga tjänsthuvudnamnen för dina registrerade applikationer med anpassade säkerhetsattribut så att du kan skapa ett filtrerbart inventarium och styra Azure ABAC-beslut med affärsattribut.
  • Aktivera egenskapslås för appinstanser på appar med flera klienter för att förhindra obehörig ändring av känsliga egenskaper på tjänstens huvudnamn när appen har etablerats i en annan klientorganisation.

Licenskrav

Det är kostnadsfritt att använda inbyggda roller i Microsoft Entra-ID. Om du använder anpassade roller krävs en Microsoft Entra ID P1-licens för varje användare med en anpassad rolltilldelning. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria och Premium-utgåvorna.

Nästa steg

  • Last updated on