分享方式:


Microsoft Entra ID 中的特殊權限角色和權限 (預覽)

重要

特殊權限角色和權限的標籤目前處於「預覽」狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。

Microsoft Entra ID 具有已識別為特殊權限的角色和權限。 這些角色和權限可用來將目錄資源的管理委派給其他使用者、修改認證、驗證或授權原則,或存取受限制的資料。 如果未以安全且預定的方式使用,特殊權限角色指派可能會導致權限提高。 本文說明如何使用的特殊權限角色和權限和最佳做法。

哪些角色和權限具有特殊權限?

如需特殊權限角色和權限的清單,請參閱 Microsoft Entra 內建角色。 您也可以使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 來識別已識別為特殊權限的角色、權限和角色指派。

在 Microsoft Entra 系統管理中心內,尋找 [特殊權限] 標籤。

特殊權限標籤圖示。

在 [角色和系統管理員] 頁面上,特殊權限角色會在 [特殊權限] 資料行中識別。 [指派] 資料行會列出角色指派的數目。 您也可以篩選特殊權限角色。

Microsoft Entra 角色和系統管理員頁面的螢幕擷取畫面,其中顯示 [特殊權限] 和 [指派] 資料行。

當您檢視特殊權限角色的權限時,您可以看到哪些權限具有特殊權限。 如果您以預設使用者身分檢視權限,則將無法查看哪些權限具有特殊權限。

Microsoft Entra 角色和系統管理員頁面的螢幕擷取畫面,其中顯示角色的特殊權限。

當您建立自訂角色時,您可以看到哪些權限具有特殊權限,且自訂角色會標示為具有特殊權限。

[新增自訂角色] 頁面的螢幕擷取畫面,其中顯示具有特殊權限的自訂角色。

使用特殊權限角色的最佳做法

以下是使用特殊權限角色的一些最佳做法。

  • 套用最低權限準則
  • 使用 Privileged Identity Management 授與 Just-In-Time 存取權
  • 針對您的所有管理員帳戶,開啟多重要素驗證
  • 設定週期性存取權審查,撤銷經過一段時間後已不需要的權限
  • 限制全域管理員的數目為小於 5
  • 將特殊權限角色指派的數目限制為小於 10

如需詳細資訊,請參閱 Microsoft Entra 角色的最佳做法

特殊權限與受保護的動作

特殊權限和受保護的動作是具有不同用途的安全性相關功能。 具有 [特殊權限] 標籤的權限可協助您識別權限,如果不以安全且預期的方式使用,可能會導致權限提升。 受保護的動作是已為新增安全性獲指派條件式存取原則的角色權限,例如要求多重要素驗證。 當使用者執行受保護的動作時,會強制執行條件式存取需求。 受保護的動作目前處於「預覽」狀態。 如需詳細資訊,請參閱什麼是 Microsoft Entra ID 中受保護的動作?

功能 特殊權限 受保護的動作
識別應以安全方式使用的權限
需要額外的安全性才能執行動作

詞彙

若要了解 Microsoft Entra ID 中的特殊權限角色和權限,了解下列一些術語將有所幫助。

詞彙 定義
action 安全性主體可以在物件類型上執行的活動。 有時候稱為作業。
permission 指定安全性主體可以在物件類型上執行之活動的定義。 權限包含一或多個動作。
特殊權限 在 Microsoft Entra ID 中,可用來將目錄資源的管理委派給其他使用者、修改認證、驗證或授權原則,或存取受限制的資料。
特殊權限角色 具有一或多個特殊權限的內建或自訂角色。
特殊權限角色指派 使用特殊權限角色的角色指派。
提高權限 當安全性主體透過模擬另一個角色所獲得的權限超過最初被指派的角色權限時。
受保護的動作 已套用條件式存取權限以獲得新增的安全性。

如何了解角色權限

權限的架構鬆散地遵循 Microsoft Graph 的 REST 格式:

<namespace>/<entity>/<propertySet>/<action>

例如:

microsoft.directory/applications/credentials/update

權限元素 描述
命名空間 公開工作並在前面加 microsoft 上的產品或服務。 例如,Microsoft Entra ID 中的所有工作都會使用 microsoft.directory 命名空間。
實體 服務在 Microsoft Graph 中公開的邏輯功能或元件。 例如,Microsoft Entra ID 會公開使用者和群組、OneNote 公開附注,Exchange 公開信箱和行事曆。 有一個特殊 allEntities 關鍵字可用於指定命名空間中的所有實體。 這通常用於授與存取權給整個產品的角色。
propertySet 將授與存取權之實體的特定屬性或層面。 例如,在 Microsoft Entra ID 中,microsoft.directory/applications/authentication/read 授與讀取應用程式物件之回復 URL、登出 URL 和隱含流程屬性的能力。
  • allProperties 指定實體的所有屬性,包括具有特殊權限的屬性。
  • standard 指定通用屬性,但不包括與動作相關 read 的特殊權限。 例如,microsoft.directory/user/standard/read 包括讀取標準屬性 (例如公用電話號碼和電子郵件地址) 的能力,而非用於多重要素驗證的私人次要電話號碼或電子郵件地址。
  • basic 指定通用屬性,但不包括與動作相關 update 的特殊權限。 您可以讀取的一組屬性可能會與您可以更新的內容不同。 這就是為什麼有 standardbasic 關鍵字的原因。
action 正在授與的作業,最常見的 (CRUD) 建立、讀取、更新或刪除。 有一個特殊 allTasks 關鍵字可指定上述所有功能 (建立、讀取、更新和刪除)。

比較驗證角色

下表比較驗證相關角色的功能。

角色 管理使用者的驗證方法 管理每個使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則 更新敏感性屬性 刪除和還原使用者
驗證管理員 適用於某些使用者 適用於某些使用者 No 適用於某些使用者 適用於某些使用者
特殊權限驗證管理員 適用於所有使用者 適用於所有使用者 適用於所有使用者 適用於所有使用者
驗證原則管理員 No .是 .是 .是 .是 No
使用者管理員 No 適用於某些使用者 適用於某些使用者

誰可以重設密碼

在下表中,資料行會列出可重設密碼以及使重新整理權杖失效的角色。 資料列會列出可重設其密碼的角色。 例如,密碼管理員可以重設目錄讀取者、來賓邀請者、密碼管理員,以及沒有系統管理員角色之使用者的密碼。 如果使用者獲派任何其他角色,密碼管理員就無法重設其密碼。

下表適用於在租用戶範圍指派的角色。 針對在管理單位範圍內指派的角色,則適用其他限制

密碼可以重設的角色 密碼管理員 服務台管理員 驗證管理員 使用者管理 特殊權限驗證管理員 全域管理員
驗證管理員      
目錄讀取者
全域管理員         ✅*
群組管理員      
來賓邀請者
服務台管理員    
訊息中心讀取者  
密碼管理員
特殊權限驗證管理員        
特殊權限角色管理員        
報告讀取者  
User
(沒有系統管理員)
User
(沒有系統管理員角色,但有可指派角色群組的成員或擁有者)
       
限定於受限管理管理單位之角色的使用者        
使用者管理      
使用者體驗成功主管  
使用狀況摘要報告閱讀程式  
所有其他內建和自定義角色

重要

合作夥伴第 2 層支援角色可以重設密碼,並使所有非系統管理員和系統管理員的重新整理權杖失效,(包括全域管理員)。 合作夥伴第 1 層支援角色可以重設密碼,並使非系統管理員的重新整理權杖失效。 不應該使用這些角色,因為它們已被取代。

重設密碼的功能包括能夠更新自助式密碼重設所需的下列敏感性屬性:

  • businessPhones
  • mobilePhone
  • otherMails

誰可以執行敏感性動作

某些系統管理員可以執行某些使用者的下列敏感性動作。 所有使用者都可以讀取敏感性屬性。

敏感性動作 敏感性屬性名稱
停用或啟用使用者 accountEnabled
更新公司電話 businessPhones
更新行動電話 mobilePhone
更新內部部署固定 ID onPremisesImmutableId
更新其他電子郵件 otherMails
更新密碼設定檔 passwordProfile
更新使用者主體名稱 userPrincipalName
刪除或還原使用者 不適用

在下表中,資料行會列出可以執行敏感性動作的角色。 資料列會列出可以執行敏感性動作的角色。

下表適用於在租用戶範圍指派的角色。 針對在管理單位範圍內指派的角色,則適用其他限制

可執行敏感性動作的角色 驗證管理員 使用者管理 特殊權限驗證管理員 全域管理員
驗證管理員  
目錄讀取者
全域管理員    
群組管理員  
來賓邀請者
服務台管理員  
訊息中心讀取者
密碼管理員
特殊權限驗證管理員    
特殊權限角色管理員    
報告讀取者
User
(沒有系統管理員)
User
(沒有系統管理員角色,但有可指派角色群組的成員或擁有者)
   
限定於受限管理管理單位之角色的使用者    
使用者管理  
使用者體驗成功主管
使用狀況摘要報告閱讀程式
所有其他內建和自定義角色

下一步