共用方式為


Microsoft Entra 識別碼中的角色型存取控制概觀

本文說明如何瞭解 Microsoft Entra 角色型存取控制。 Microsoft Entra 角色可讓您授與細微權限給系統管理員,並遵守最低權限原則。 Microsoft Entra 內建和自訂角色的運作概念與 Azure 資源的角色型存取控制系統 (Azure 角色) 類似。 這兩個以角色為基礎的存取控制系統之間的差異 是:

  • Microsoft Entra 角色會使用 Microsoft Graph API,控制使用者、群組和應用程式等 Microsoft Entra 資源的存取權
  • Azure 角色可使用 Azure 資源管理來控制 Azure 資源 (例如虛擬機器或儲存體) 的存取權

這兩個系統都包含類似角色定義和角色指派的概念。 不過,Microsoft Entra 角色權限無法在 Azure 自訂角色中使用,反之亦然。

瞭解 Microsoft Entra 角色型存取控制

Microsoft Entra ID 支援兩種類型的角色定義:

內建角色是具有固定權限集的現成角色。 這些角色定義無法修改。 Microsoft Entra ID 支援許多內建角色,而且清單正在增加。 為了讓結果更好並滿足您複雜的需求,Microsoft Entra ID 也支援自訂角色。 使用自訂 Microsoft Entra 角色授與權限是包含兩個步驟的程序,其中牽涉到建立自訂角色定義,然後使用角色指派來指派定義。 自訂角色定義是您從預設清單新增的權限集合。 這些權限是內建角色所使用的相同權限。

建立自訂角色定義 (或使用內建角色) 後,您可以藉由建立角色指派將其指派給使用者。 角色指派會為使用者授與角色定義中的權限 (限於指定範圍)。 兩個步驟的程序可讓您建立單一角色定義,並分為多次指派於不同範圍。 範圍會定義角色成員可存取的一組 Microsoft Entra 資源。 最常見的範圍是整個組織 (全組織) 範圍。 自訂角色可指派於全組織範圍,這表示角色成員具有全組織中所有資源的角色權限。 自訂角色也可指派於物件範圍。 舉例來說,單一應用程式即為物件範圍。 同一個角色可先後指派給範圍涵蓋組織中所有應用程式的一個使用者,以及另一個範圍僅限於 Contoso Expense Reports 應用程式的使用者。

Microsoft Entra ID 如何判斷使用者是否可以存取資源

以下是 Microsoft Entra ID 用來判斷您是否具有管理資源的存取權的高階步驟。 使用這項資訊來針對存取問題進行疑難排解。

  1. 使用者 (或服務主體) 會取得 Microsoft Graph 端點的權杖。
  2. 使用者會使用發行的權杖,透過 Microsoft Graph 對 Microsoft Entra ID 進行 API 呼叫。
  3. 視情況而定,Microsoft Entra ID 會採取下列其中一個動作:
    • 根據使用者存取權杖中的 wids 宣告,評估使用者的角色成員資格。
    • 擷取適用於使用者的所有角色指派,(直接或透過群組成員資格) 擷取要執行動作的資源。
  4. Microsoft Entra ID 會判斷 API 呼叫中的動作是否包含在使用者針對此資源所具備的角色中。
  5. 如果使用者在要求的範圍內沒有具動作的角色,則不會授與存取權。 否則,會授與存取。

角色指派

角色指派是一項 Microsoft Entra 資源,會將角色定義附加至特定範圍安全性主體,以授與存取 Microsoft Entra 資源之權利。 存取權可藉由建立角色指派來授與,並可藉由移除角色指派來撤銷。 角色指派的核心由三個元素組成:

  • 安全性主體 - 取得權限的身分識別。 它可以是使用者、群組或服務主體。
  • 角色定義 - 權限集合。
  • 範圍 - 限制這些權限適用位置的方法。

您可以使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API,建立角色指派列出角色指派。 Microsoft Entra 角色指派不支援 Azure CLI。

下圖顯示角色指派的範例。 在此範例中,Chris 已獲指派 Contoso Widget Builder 應用程式註冊範圍的應用程式註冊系統管理員自訂角色。 指派會授與 Chris 只有此特定應用程式註冊之應用程式註冊系統管理員角色的權限。

角色指派是權限的具體執行方式,分成三個部分。

安全性主體

安全性主體代表獲指派 Microsoft Entra 資源存取權的使用者、群組或服務主體。 使用者是在 Microsoft Entra ID 中具有使用者設定檔的個人。 群組是新的 Microsoft 365 或安全性群組,已設定為角色指派群組。 服務主體是為了與應用程式、裝載的服務及自動化工具搭配使用來存取 Microsoft Entra 資源而建立的身分識別。

角色定義

角色定義,或角色,是一種權限集合。 角色定義會列出可在 Microsoft Entra 資源上執行的作業,例如建立、讀取、更新和刪除。 Microsoft Entra ID 中有兩種類型的角色:

  • Microsoft 所建立的內建角色無法變更。
  • 由組織建立和管理的自訂角色。

範圍

範圍是將允許的動作限制在特定資源集,做為角色指派的一部分的方法。 例如,如果您想將自訂角色指派給開發人員,但只是為了要管理特定應用程式註冊,則您可以將特定應用程式註冊納入角色指派的範圍。

當您指派角色時,您可以指定下列其中一種範圍類型:

如果您將 Microsoft Entra 資源指定為範圍,它可以是下列其中一項:

  • Microsoft Entra 群組
  • 企業應用程式
  • 應用程式註冊

當角色指派給容器範圍,例如租用戶或管理單位時,它會授與它們所包含的物件權限,但不會授與容器本身的權限。 相反地,當角色在資源範圍上指派時,它會授與資源本身的權限,但不會延伸至資源之外 (特別是,它不會延伸至 Microsoft Entra 群組的成員)。

如需詳細資訊,請參閱在不同範圍指派 Microsoft Entra 角色

角色指派選項

Microsoft Entra ID 提供多個指派角色的選項:

  • 您可以直接將角色指派給使用者,這是指派角色的預設方式。 內建和自訂 Microsoft Entra 角色都可以根據存取需求指派給使用者。 如需詳細資訊,請參閱 將 Microsoft Entra 角色指派給使用者
  • 使用 Microsoft Entra ID P1,您可以建立可指派角色的群組,並將角色指派給這些群組。 將角色指派給群組,而非個人,可讓您輕鬆地從角色新增或移除使用者,並為群組的所有成員建立一致的權限。 如需詳細資訊,請參閱 將 Microsoft Entra 角色指派給群組
  • 有了 Microsoft Entra ID P2,您可以使用 Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) 提供角色 Just-In-Time 存取權。 這項功能可讓您向需要角色的使用者授與有限時間存取權,而非授與永久存取權。 它也提供詳細的報告和稽核功能。 如需詳細資訊,請參閱 在 Privileged Identity Management 中指派 Microsoft Entra 角色

授權需求

在 Microsoft Entra ID 中使用內建角色為免費功能。 針對具有自訂角色指派的每個使用者,使用自訂角色需要 Microsoft Entra ID P1 授權。 若要尋找適用於您需求的授權,請參閱比較免費和進階版基本的可用功能

下一步