共用方式為


了解 Microsoft Entra 識別碼中的角色

Microsoft Entra 內建角色大約有 60 個,屬於具有固定角色權限的角色。 為了補充內建角色,Microsoft Entra ID 也支援自訂角色。 使用自訂角色來選取您想要的角色權限。 例如,您可以建立一個角色來管理特定的 Microsoft Entra 資源,例如應用程式或服務主體。

本文說明什麼是 Microsoft Entra 角色,以及其使用方式。

Microsoft Entra 角色與其他 Microsoft 365 角色有何不同

Microsoft 365 中有許多不同的服務,例如 Microsoft Entra ID 和 Intune。 其中一些服務有自己的角色型存取控制系統,特別是:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 365 Defender 入口網站概觀
  • 合規性入口網站
  • 成本管理 + 計費

其他服務 (例如 Teams、SharePoint 和受控桌面) 不會有個別的角色型存取控制系統。 這些服務會使用 Microsoft Entra 角色來進行系統管理存取。 Azure 有自己的角色型存取控制系統,適用於 Azure 資源 (例如虛擬機器),而此系統與 Microsoft Entra 角色不同。

Azure RBAC 與 Microsoft Entra 角色

當我們說到個別的角色型存取控制系統時,表示會在不同的資料存放區儲存角色定義與角色指派。 同樣地,存取檢查的原則決策點也不同。 如需詳細資訊,請參閱 Microsoft 服務的角色Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色 (部分機器翻譯)。

為何某些 Microsoft Entra 角色適用於其他服務

Microsoft 365 有許多以角色型存取控制系統,可為著時間獨立開發,每個系統都有自己的服務入口網站。 為了方便您從 Microsoft Entra 系統管理中心管理跨 Microsoft 365 的身分識別,我們新增了一些服務特定的內建角色,而每個角色都會授與 Microsoft 365 服務的系統管理存取權。 這項新增內容的範例是 Microsoft Entra ID 中的 Exchange 管理員角色。 此角色等同於 Exchange 角色型存取控制系統中的 組織管理角色群組,而且可以管理 Exchange 的所有層面。 同樣地,我們也新增了 Intune 管理員角色、Teams 管理員、SharePoint 管理員等等。 伺服器特定角色是下一節中 Microsoft Entra 內建角色的一個類別。

Microsoft Entra 角色的類別

Microsoft Entra 內建角色可以使用的位置不同,可分成下列三個廣泛的類別。

  • Microsoft Entra ID 特定角色:這些角色只會授與管理 Microsoft Entra 內資源的權限。 例如,使用者管理員、應用程式管理員、群組管理員全都會授與管理 Microsoft Entra 識別碼中資源的權限。
  • Microsoft Entra ID 中的服務特定角色:像是 Microsoft 365 等的 Microsoft 服務會在 Microsoft Entra 中定義角色,提供服務特定的權限來管理服務內的所有功能。 例如,Exchange 管理員、Intune 管理員、SharePoint 管理員和 Teams 管理員角色都可以使用其各自的服務來管理功能。 Exchange 管理員可以管理信箱,Intune 管理員可以管理裝置原則,SharePoint 管理員可以管理網站集合,Teams 管理員可以管理通話品質等等。
  • Microsoft Entra ID 中的跨服務角色:有一些可跨服務使用的角色。 我們有兩個全域角色 - 全域管理員和全域讀取者。 所有 Microsoft 365 服務都會接受這兩個角色。 此外,還有一些安全性相關角色 (例如安全性系統管理員和安全性讀取者),會在 Microsoft 365 內授與多個安全性服務的存取權。 例如,在 Microsoft Entra ID 中使用安全性系統管理員角色,您可以管理 Microsoft 365 Defender 入口網站、Microsoft Defender 進階威脅防護和適用於雲端的 Microsoft Defender 應用程式。 同樣地,在相容性管理員角色中,您可以在合規性入口網站、Exchange 等中管理合規性相關設定。

Microsoft Entra 內建角色的三種類別

提供下表以協助了解這些角色類別。 這些類別採任意命名,並非用來表示記載的 Microsoft Entra 角色權限 (部分機器翻譯) 以外的其他任何功能。

類別 角色
Microsoft Entra ID 特定角色 應用程式系統管理員
應用程式開發人員
驗證系統管理員
B2C IEF 索引鍵集管理員
B2C IEF 原則管理員
雲端應用程式系統管理員
雲端裝置管理員
條件式存取系統管理員
裝置管理員
目錄讀取者
目錄同步處理帳戶
目錄寫入者
外部識別碼使用者流程管理員
外部識別碼使用者流程屬性管理員
外部識別提供者系統管理員
群組管理員
來賓邀請者
服務台系統管理員
混合式身分識別管理員
授權管理員
合作夥伴第 1 層支援
合作夥伴第 2 層支援
密碼管理員
特殊權限驗證管理員
特殊權限角色管理員
報告讀取者
使用者管理員
Microsoft Entra ID 中的服務特定角色 Azure DevOps 系統管理員
Azure 資訊保護管理員
計費管理員
CRM 服務管理員
客戶加密箱存取核准者
電腦分析系統管理員
Exchange 服務管理員
深入解析系統管理員
深入解析商務領導者
Intune 服務管理員
Kaizala 管理員
Lync 服務管理員
訊息中心隱私權讀取者
訊息中心讀取者
Modern Commerce 管理員
網路系統管理員
Office 應用程式管理員
Power BI 服務管理員
Power Platform 系統管理員
印表機系統管理員
印表機技術人員
搜尋系統管理員
搜尋編輯者
SharePoint 服務管理員
Teams 通訊系統管理員
Microsoft Teams 通訊支援工程師
Teams 通訊支援專家
Teams 裝置系統管理員
Teams 系統管理員
Microsoft Entra ID 中的跨服務角色 合規性系統管理員
合規性資料管理員
全域讀取者
安全性系統管理員
安全性操作員
安全性讀取者
服務支援管理員

下一步