Microsoft Entra ID 中的特殊權限角色和權限 (預覽)

文章
10/15/2024

重要

特殊權限角色和權限的標籤目前處於「預覽」狀態。請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。

Microsoft Entra ID 具有已識別為特殊權限的角色和權限。這些角色和權限可用來將目錄資源的管理委派給其他使用者、修改認證、驗證或授權原則，或存取受限制的資料。如果未以安全且預定的方式使用，特殊權限角色指派可能會導致權限提高。本文說明如何使用的特殊權限角色和權限和最佳做法。

哪些角色和權限具有特殊權限？

如需特殊權限角色和權限的清單，請參閱 Microsoft Entra 內建角色。您也可以使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 來識別已識別為特殊權限的角色、權限和角色指派。

在 Microsoft Entra 系統管理中心內，尋找 [特殊權限] 標籤。

特殊權限標籤圖示。

在 [角色和系統管理員] 頁面上，特殊權限角色會在 [特殊權限] 資料行中識別。 [指派] 資料行會列出角色指派的數目。您也可以篩選特殊權限角色。

當您檢視特殊權限角色的權限時，您可以看到哪些權限具有特殊權限。如果您以預設使用者身分檢視權限，則將無法查看哪些權限具有特殊權限。

當您建立自訂角色時，您可以看到哪些權限具有特殊權限，且自訂角色會標示為具有特殊權限。

在 Microsoft Graph PowerShell 中，檢查 IsPrivileged 屬性是否設定為 True。

若要列出特殊權限角色，請使用 Get-MgBetaRoleManagementDirectoryRoleDefinition 命令。

Get-MgBetaRoleManagementDirectoryRoleDefinition -Filter "isPrivileged eq true" | Format-List

AllowedPrincipalTypes   :
Description             : Can create and manage all aspects of app registrations and enterprise apps.
DisplayName             : Application Administrator
Id                      : 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Version                 : 1
AdditionalProperties    : {[assignmentMode, allowed], [categories, identity], [richDescription, Users in this role can
                          add, manage, and configureenterprise applications, app registrations and manage on-premises
                          like app proxy.], [inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$m
                          etadata#roleManagement/directory/roleDefinitions('9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3')/inhe
                          ritsPermissionsFrom]}


AllowedPrincipalTypes   :
Description             : Can reset passwords for non-administrators and Helpdesk Administrators.
DisplayName             : Helpdesk Administrator
Id                      : 729827e3-9c14-49f7-bb1b-9608f156bbb8
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : 729827e3-9c14-49f7-bb1b-9608f156bbb8
Version                 : 1
AdditionalProperties    : {[assignmentMode, allowed], [categories, identity], [richDescription, Users with this role
                          can change passwords, invalidate refresh tokens, manage service requests, and monitor
                          service health. Invalidating a refresh token forces the user to sign in again. Helpdesk
                          administrators can reset passwords and invalidate refresh tokens of other users who are
                          non-administrators or assigned the following roles only:
                          * Directory Readers
                          * Guest Inviter
                          * Helpdesk Administrator
                          * Message Center Reader
                          * Password Administrator
                          * Reports Reader], [inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$
                          metadata#roleManagement/directory/roleDefinitions('729827e3-9c14-49f7-bb1b-9608f156bbb8')/inh
                          eritsPermissionsFrom]}

...

若要列出特殊權限，請使用 Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction 命令。

Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction -UnifiedRbacResourceNamespaceId "microsoft.directory" -Filter "isPrivileged eq true" | Format-List

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update all properties (including privileged properties) on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-allProperties-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/allProperties/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update credentials on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-credentials-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/credentials/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

...

若要列出特殊權限角色指派，請使用 Get-MgBetaRoleManagementDirectoryRoleAssignment 命令。

Get-MgBetaRoleManagementDirectoryRoleAssignment -ExpandProperty "roleDefinition" -Filter "roleDefinition/isPrivileged eq true" | Format-List

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

...

在 Microsoft Graph API 中，檢查 isPrivileged 屬性是否設定為 true。

若要列出特殊權限角色，請使用 List roleDefinitions API。

GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions?$filter=isPrivileged eq true

回應

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "description": "Can manage secrets for federation and encryption in the Identity Experience Framework (IEF).",
            "displayName": "B2C IEF Keyset Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('aaf43236-0c0d-4d5f-883a-6955382ac081')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        },
        {
            "id": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "description": "Can configure identity providers for use in direct federation.",
            "displayName": "External Identity Provider Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/domains/federation/update",
                        "microsoft.directory/identityProviders/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('be2f45a1-457d-42af-a067-6ec1fa63bc45')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        }
    ]
}

若要列出特殊權限，請使用 List resourceActions API。

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions?$filter=isPrivileged eq true

回應

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/resourceNamespaces('microsoft.directory')/resourceActions",
    "value": [
        {
            "actionVerb": "PATCH",
            "description": "Update application credentials",
            "id": "microsoft.directory-applications-credentials-update-patch",
            "isPrivileged": true,
            "name": "microsoft.directory/applications/credentials/update",
            "resourceScopeId": null
        },
        {
            "actionVerb": null,
            "description": "Manage all aspects of authorization policy",
            "id": "microsoft.directory-authorizationPolicy-allProperties-allTasks",
            "isPrivileged": true,
            "name": "microsoft.directory/authorizationPolicy/allProperties/allTasks",
            "resourceScopeId": null
        }
    ]
}

若要列出特殊權限角色指派，請使用 List unifiedRoleAssignments API。

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments?$expand=roleDefinition&$filter=roleDefinition/isPrivileged eq true

回應

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments(roleDefinition())",
    "value": [
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
            "roleDefinition": {
                "id": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "description": "Can manage Conditional Access capabilities.",
                "displayName": "Conditional Access Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/namedLocations/create",
                            "microsoft.directory/namedLocations/delete",
                            "microsoft.directory/namedLocations/standard/read",
                            "microsoft.directory/namedLocations/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/create",
                            "microsoft.directory/conditionalAccessPolicies/delete",
                            "microsoft.directory/conditionalAccessPolicies/standard/read",
                            "microsoft.directory/conditionalAccessPolicies/owners/read",
                            "microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read",
                            "microsoft.directory/conditionalAccessPolicies/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/owners/update",
                            "microsoft.directory/conditionalAccessPolicies/tenantDefault/update"
                        ],
                        "condition": null
                    }
                ]
            }
        },
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
            "roleDefinition": {
                "id": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "description": "Can access to view, set and reset authentication method information for any non-admin user.",
                "displayName": "Authentication Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/users/authenticationMethods/create",
                            "microsoft.directory/users/authenticationMethods/delete",
                            "microsoft.directory/users/authenticationMethods/standard/restrictedRead",
                            "microsoft.directory/users/authenticationMethods/basic/update",
                            "microsoft.directory/deletedItems.users/restore",
                            "microsoft.directory/users/delete",
                            "microsoft.directory/users/disable",
                            "microsoft.directory/users/enable",
                            "microsoft.directory/users/invalidateAllRefreshTokens",
                            "microsoft.directory/users/restore",
                            "microsoft.directory/users/basic/update",
                            "microsoft.directory/users/manager/update",
                            "microsoft.directory/users/password/update",
                            "microsoft.directory/users/userPrincipalName/update",
                            "microsoft.azure.serviceHealth/allEntities/allTasks",
                            "microsoft.azure.supportTickets/allEntities/allTasks",
                            "microsoft.office365.serviceHealth/allEntities/allTasks",
                            "microsoft.office365.supportTickets/allEntities/allTasks",
                            "microsoft.office365.webPortal/allEntities/standard/read"
                        ],
                        "condition": null
                    }
                ]
            }
        }
    ]
}

使用特殊權限角色的最佳做法

以下是使用特殊權限角色的一些最佳做法。

套用最低權限準則
使用 Privileged Identity Management 授與 Just-In-Time 存取權
針對您的所有管理員帳戶，開啟多重要素驗證
設定週期性存取權審查，撤銷經過一段時間後已不需要的權限
限制全域管理員的數目為小於 5
將特殊權限角色指派的數目限制為小於 10

如需詳細資訊，請參閱 Microsoft Entra 角色的最佳做法。

特殊權限與受保護的動作

特殊權限和受保護的動作是具有不同用途的安全性相關功能。具有 [特殊權限] 標籤的權限可協助您識別權限，如果不以安全且預期的方式使用，可能會導致權限提升。受保護的動作是已為新增安全性獲指派條件式存取原則的角色權限，例如要求多重要素驗證。當使用者執行受保護的動作時，會強制執行條件式存取需求。受保護的動作目前處於「預覽」狀態。如需詳細資訊，請參閱什麼是 Microsoft Entra ID 中受保護的動作？。

功能	特殊權限	受保護的動作
識別應以安全方式使用的權限	✅
需要額外的安全性才能執行動作		✅

詞彙

若要了解 Microsoft Entra ID 中的特殊權限角色和權限，了解下列一些術語將有所幫助。

詞彙	定義
action	安全性主體可以在物件類型上執行的活動。有時候稱為作業。
permission	指定安全性主體可以在物件類型上執行之活動的定義。權限包含一或多個動作。
特殊權限	在 Microsoft Entra ID 中，可用來將目錄資源的管理委派給其他使用者、修改認證、驗證或授權原則，或存取受限制的資料。
特殊權限角色	具有一或多個特殊權限的內建或自訂角色。
特殊權限角色指派	使用特殊權限角色的角色指派。
提高權限	當安全性主體透過模擬另一個角色所獲得的權限超過最初被指派的角色權限時。
受保護的動作	已套用條件式存取權限以獲得新增的安全性。

如何了解角色權限

權限的架構鬆散地遵循 Microsoft Graph 的 REST 格式：

<namespace>/<entity>/<propertySet>/<action>

例如：

microsoft.directory/applications/credentials/update

權限元素	描述
命名空間	公開工作並在前面加 `microsoft` 上的產品或服務。例如，Microsoft Entra ID 中的所有工作都會使用 `microsoft.directory` 命名空間。
實體	服務在 Microsoft Graph 中公開的邏輯功能或元件。例如，Microsoft Entra ID 會公開使用者和群組、OneNote 公開附注，Exchange 公開信箱和行事曆。有一個特殊 `allEntities` 關鍵字可用於指定命名空間中的所有實體。這通常用於授與存取權給整個產品的角色。
propertySet	將授與存取權之實體的特定屬性或層面。例如，在 Microsoft Entra ID 中，`microsoft.directory/applications/authentication/read` 授與讀取應用程式物件之回復 URL、登出 URL 和隱含流程屬性的能力。 `allProperties` 指定實體的所有屬性，包括具有特殊權限的屬性。 `standard` 指定通用屬性，但不包括與動作相關 `read` 的特殊權限。例如，`microsoft.directory/user/standard/read` 包括讀取標準屬性 (例如公用電話號碼和電子郵件地址) 的能力，而非用於多重要素驗證的私人次要電話號碼或電子郵件地址。 `basic` 指定通用屬性，但不包括與動作相關 `update` 的特殊權限。您可以讀取的一組屬性可能會與您可以更新的內容不同。這就是為什麼有 `standard` 和 `basic` 關鍵字的原因。
action	正在授與的作業，最常見的 (CRUD) 建立、讀取、更新或刪除。有一個特殊 `allTasks` 關鍵字可指定上述所有功能 (建立、讀取、更新和刪除)。

比較驗證角色

下表比較驗證相關角色的功能。

角色	管理使用者的驗證方法	管理每個使用者的 MFA	管理 MFA 設定	管理驗證方法原則	管理密碼保護原則	更新敏感性屬性	刪除和還原使用者
驗證管理員	適用於某些使用者	適用於某些使用者	是	無	No	適用於某些使用者	適用於某些使用者
特殊權限驗證管理員	適用於所有使用者	適用於所有使用者	否	無	否	適用於所有使用者	適用於所有使用者
驗證原則管理員	No	.是	.是	.是	.是	無	No
使用者管理員	否	無	無	無	No	適用於某些使用者	適用於某些使用者

誰可以重設密碼

在下表中，資料行會列出可重設密碼以及使重新整理權杖失效的角色。資料列會列出可重設其密碼的角色。例如，密碼管理員可以重設目錄讀取者、來賓邀請者、密碼管理員，以及沒有系統管理員角色之使用者的密碼。如果使用者獲派任何其他角色，密碼管理員就無法重設其密碼。

下表適用於在租用戶範圍指派的角色。針對在管理單位範圍內指派的角色，則適用其他限制。

密碼可以重設的角色	密碼管理員	服務台管理員	驗證管理員	使用者管理	特殊權限驗證管理員	全域管理員
驗證管理員			✅		✅	✅
目錄讀取者	✅	✅	✅	✅	✅	✅
全域管理員					✅	✅*
群組管理員				✅	✅	✅
來賓邀請者	✅	✅	✅	✅	✅	✅
服務台管理員		✅		✅	✅	✅
訊息中心讀取者		✅	✅	✅	✅	✅
密碼管理員	✅	✅	✅	✅	✅	✅
特殊權限驗證管理員					✅	✅
特殊權限角色管理員					✅	✅
報告讀取者		✅	✅	✅	✅	✅
User (沒有系統管理員)	✅	✅	✅	✅	✅	✅
User (沒有系統管理員角色，但有可指派角色群組的成員或擁有者)					✅	✅
限定於受限管理管理單位之角色的使用者					✅	✅
使用者管理				✅	✅	✅
使用者體驗成功主管		✅	✅	✅	✅	✅
使用狀況摘要報告閱讀程式		✅	✅	✅	✅	✅
所有其他內建和自定義角色					✅	✅

重要

合作夥伴第 2 層支援角色可以重設密碼，並使所有非系統管理員和系統管理員的重新整理權杖失效，(包括全域管理員)。合作夥伴第 1 層支援角色可以重設密碼，並使非系統管理員的重新整理權杖失效。不應該使用這些角色，因為它們已被取代。

重設密碼的功能包括能夠更新自助式密碼重設所需的下列敏感性屬性：

businessPhones
mobilePhone
otherMails

誰可以執行敏感性動作

某些系統管理員可以執行某些使用者的下列敏感性動作。所有使用者都可以讀取敏感性屬性。

敏感性動作	敏感性屬性名稱
停用或啟用使用者	`accountEnabled`
更新公司電話	`businessPhones`
更新行動電話	`mobilePhone`
更新內部部署固定 ID	`onPremisesImmutableId`
更新其他電子郵件	`otherMails`
更新密碼設定檔	`passwordProfile`
更新使用者主體名稱	`userPrincipalName`
刪除或還原使用者	不適用

在下表中，資料行會列出可以執行敏感性動作的角色。資料列會列出可以執行敏感性動作的角色。