Microsoft Entra ID 中的特权角色和权限(预览版)

  • 项目

重要

特权角色和权限的标签目前为预览版。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

Microsoft Entra ID 具有被标识为特权的角色和权限。 这些角色和权限可用于将目录资源的管理委托给其他用户、修改凭据、身份验证或授权策略,或访问受限数据。 如果未以安全且预期的方式使用特权角色分配,则可能会导致特权提升。 本文介绍特权角色和权限以及关于如何使用它们的最佳做法。

哪些角色和权限具有特权?

有关特权角色和权限的列表,请参阅 Microsoft Entra 内置角色。 还可以使用 Microsoft Entra 管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 来识别标识为特权的角色、权限和角色分配。

在 Microsoft Entra 管理中心,查找 PRIVILEGED 标签。

特权标签图标。

在“角色和管理员”页面上,特权角色在“特权”列中标识。 “分配”列列出了角色分配的数量。 还可以筛选特权角色。

Microsoft Entra 角色和管理员页面的屏幕截图,其中显示了“特权”和“分配”列。

查看特权角色的权限时,可以看到哪些权限具有特权。 如果以默认用户身份查看权限,则无法查看哪些权限具有特权。

Microsoft Entra 角色和管理员页面的屏幕截图,其中显示了角色的特权。

创建自定义角色时,可以看到哪些权限具有特权,自定义角色将被标记为特权角色。

“新自定义角色”页面的屏幕截图,其中显示了具有特权权限的自定义角色。

使用特权角色的最佳做法

下面是使用特权角色的一些最佳做法。

  • 应用最低特权原则
  • 使用 Privileged Identity Management 授予实时访问权限
  • 为所有管理员帐户启用多重身份验证
  • 配置重复访问评审,以随时间推移撤销不需要的权限
  • 将全局管理员的数量限制为少于 5
  • 将特权角色分配数限制为少于 10

有关详细信息,请参阅 Microsoft Entra 角色最佳做法

特权权限与受保护的操作

特权权限与受保护的操作是具有不同用途的安全相关功能。 带有特权标签的权限可帮助你识别如果未以安全且预期的方式使用,可能会导致特权提升的权限。 受保护的操作是已分配有条件访问策略(例如需要多重身份验证)以提高安全性的角色权限。 当用户执行受保护的操作时,将强制执行有条件访问要求。 受保护操作目前处于预览状态。 有关详细信息,请参阅 Microsoft Entra ID 中的受保护操作是什么?

功能 特权权限 受保护操作
识别应以安全方式使用的权限
需要额外的安全性才能执行操作

术语

若要了解 Microsoft Entra ID 中的特权角色和权限,了解以下一些术语会有所帮助。

术语 定义
action 安全主体可以对对象类型执行的活动。 有时称为操作。
权限 (permission) 一个定义,指定安全主体可以对对象类型执行的活动。 一个权限,包括一个或多个操作。
特权权限 在 Microsoft Entra ID 中,可用于将目录资源管理委派给其他用户、修改凭据、身份验证或授权策略或访问受限数据的权限。
特权角色 具有一个或多个特权的内置或自定义角色。
特权角色分配 使用特权角色的角色分配。
特权提升 当安全主体通过模拟另一个角色获得比最初为其分配的角色更多的权限时。
受保护操作 应用有条件访问权限可提高安全性。

如何了解角色权限

权限的架构不严格遵循 Microsoft Graph 的 REST 格式:

<namespace>/<entity>/<propertySet>/<action>

例如:

microsoft.directory/applications/credentials/update

权限元素 说明
命名空间 公开任务的产品或服务,前面附加了 microsoft。 例如,Microsoft Entra ID 中的所有任务都使用 microsoft.directory 命名空间。
实体 服务在 Microsoft Graph 中公开的逻辑功能或组件。 例如,Microsoft Entra ID 公开“用户”和“组”,OneNote 公开“笔记”,Exchange 公开“邮箱”和“日历”。 有一个特殊的 allEntities 关键字用于指定命名空间中的所有实体。 此关键字通常在授予对整个产品的访问权限的角色中使用。
propertySet 要为其授予访问权限的实体的特定属性或方面。 例如,microsoft.directory/applications/authentication/read 授予读取 Microsoft Entra ID 中应用程序对象上的回复 URL、注销 URL 和隐式流属性的能力。
  • allProperties 指定实体的所有属性(包括特权属性)。
  • standard 指定通用属性,但排除与 read 操作相关的特权属性。 例如,microsoft.directory/user/standard/read 包括读取标准属性(例如,公用电话号码和电子邮件地址,但不包括用于多重身份验证的私人备用电话号码或电子邮件地址)。
  • basic 指定通用属性,但排除与 update 操作相关的特权属性。 你可以读取的属性集可能不同于你可以更新的属性集。 这正是我们提供 standardbasic 关键字来反映这一点的原因。
action 被授予的操作,最常见的是创建、读取、更新或删除 (CRUD)。 有一个特殊的 allTasks 关键字用于指定所有上述功能(创建、读取、更新和删除)。

比较身份验证角色

下表比较了与身份验证相关的角色的功能。

角色 管理用户的身份验证方法 管理每用户 MFA 管理 MFA 设置 管理身份验证方法策略 管理密码保护策略 更新敏感属性 删除和还原用户
身份验证管理员 对于某些用户为“是” 对于某些用户为“是” No 对于某些用户为“是” 对于某些用户为“是”
特权身份验证管理员 对于所有用户为“是” 对于所有用户为“是” No 对于所有用户为“是” 对于所有用户为“是”
身份验证策略管理员 No
用户管理员 No No No 对于某些用户为“是” 对于某些用户为“是”

谁可以重置密码

在下表中,各列列出了可以重置密码以及使刷新令牌无效的角色。 这些行列出了可以为其重置密码的角色。 例如,密码管理员可以为目录读取者、来宾邀请者、密码管理员以及不具有管理员角色的用户重置密码。 如果为用户分配了任何其他角色,则密码管理员无法为其重置密码。

下表适用于在租户范围内分配的角色。 对于在管理单元范围内分配的角色,进一步的限制适用

可以重置密码的角色 密码管理员 支持管理员 身份验证管理员 用户管理员 特权身份验证管理员 全局管理员
身份验证管理员      
目录读者
全局管理员         ✅*
组管理员      
来宾邀请者
服务台管理员    
消息中心读取者  
密码管理员
特权身份验证管理员        
特权角色管理员        
报告读者  
用户
(无管理员角色)
用户
(无管理员角色,但具有可分配角色的组的成员或所有者角色)		        
角色范围为受限管理管理单元的用户        
用户管理员      
使用情况摘要报告阅读器  
所有自定义角色

重要

合作伙伴 Tier2 支持角色可为所有非管理员和管理员(包括全局管理员)重置密码,并使刷新令牌失效。 合作伙伴 Tier1 支持角色只能为非管理员重置密码,并使刷新令牌失效。 不应使用这些角色,因为它们已弃用。

密码重置功能包括更新自助式密码重置所需的以下敏感属性:

  • businessPhones
  • mobilePhone
  • otherMails

谁可以执行敏感操作

某些管理员可以为某些用户执行以下敏感操作。 所有用户都可以读取敏感属性。

敏感操作 敏感属性名称
禁用或启用用户 accountEnabled
更新业务电话 businessPhones
更新移动电话 mobilePhone
更新本地不可变 ID onPremisesImmutableId
更新其他电子邮件 otherMails
更新密码配置文件 passwordProfile
更新用户主体名称 userPrincipalName
删除或还原用户 不适用

在下表中,各列列出了可以执行敏感操作的角色。 该行列出了可以对其执行敏感操作的角色。

下表适用于在租户范围内分配的角色。 对于在管理单元范围内分配的角色,进一步的限制适用

可以对其执行敏感操作的角色 身份验证管理员 用户管理员 特权身份验证管理员 全局管理员
身份验证管理员  
目录读者
全局管理员    
组管理员  
来宾邀请者
服务台管理员  
消息中心读取者
密码管理员
特权身份验证管理员    
特权角色管理员    
报告读者
用户
(无管理员角色)
用户
(无管理员角色,但具有可分配角色的组的成员或所有者角色)		    
角色范围为受限管理管理单元的用户    
用户管理员  
使用情况摘要报告阅读器
所有自定义角色

后续步骤