設定和管理 Microsoft Entra 角色

7 分鐘

Microsoft Entra ID 是 Microsoft 的雲端式身分識別和存取管理服務，可協助員工登入及存取以下資源：

外部資源，例如 Microsoft 365、Azure 入口網站和其他數千個 SaaS 應用程式。
內部資源，例如公司網路和內部網路上的應用程式，以及您自己的組織所開發的任何雲端應用程式。

誰使用 Microsoft Entra 識別碼？

Microsoft Entra ID 適用於：

IT 系統管理員 - IT 系統管理員可以使用 Microsoft Entra ID，根據業務需求來控制應用程式和應用程式資源的存取權。例如，您可以使用 Microsoft Entra ID，來要求在存取組織的重要資源時必須進行多重要素驗證。此外，您也可以使用 Microsoft Entra ID，自動在現有 Windows Server AD 和雲端應用程式 (包括 Microsoft 365) 之間佈建使用者。最後，Microsoft Entra ID 可提供功能強大的工具，可自動協助保護使用者的身分識別和認證，以及符合存取治理需求。
應用程式開發人員 - 應用程式開發人員可以使用 Microsoft Entra ID 作為標準方法，將單一登入 (SSO) 新增至應用程式，讓它與使用者預先存在的認證搭配運作。 Microsoft Entra ID 也提供 API，來協助您使用現有組織資料建置個人化應用程式體驗。
Microsoft 365、Office 365、Azure 或 Dynamics CRM Online 訂閱者 - 訂閱者是已經在使用 Microsoft Entra ID 的使用者。每個 Microsoft 365、Office 365、Azure 和 Dynamics CRM Online 租用戶都會自動成為 Microsoft Entra 租用戶。您可以立即開始管理整合式雲端應用程式的存取權。

在 Microsoft Entra ID 中，如果其中一位使用者需要 Microsoft Entra 資源的管理權限，您必須將使用者指派給一個角色，由這個角色提供所需權限。

如果您不熟悉 Azure，您可能會發現要了解 Azure 中的所有不同角色有點挑戰。下一節將協助說明下列角色，並提供 Azure 角色和 Microsoft Entra 角色的其他資訊：

傳統訂用帳戶管理員角色
Azure 角色
Microsoft Entra 角色

Microsoft Entra 角色

Microsoft Entra 角色可用來管理目錄中的 Microsoft Entra 資源。建立或編輯使用者等動作是最常見的。不過，將系統管理角色指派給其他人、重設使用者密碼、管理使用者授權和管理網域的需求也很常見。下表描述了一些較重要的 Microsoft Entra 角色。

Microsoft Entra 角色	權限	注意事項
全域管理員	管理 Microsoft Entra ID 中所有系統管理功能的存取權，以及與 Microsoft Entra ID 同盟的服務	註冊 Microsoft Entra 租用戶的人員會成為第一個全域管理員。
	將管理員角色指派給其他人
	為任何使用者和所有其他管理員重設密碼
使用者管理員	建立和管理使用者及群組的所有層面
	管理支援票證
	監視服務健康情況
	為使用者、服務台管理員和其他使用者管理員變更密碼
計費管理員	進行購買
	管理訂閱
	管理支援票證
	監視服務健康情況

在 Azure 入口網站中，您可以在 [角色和管理員] 畫面看到 Microsoft Entra 角色清單。

Azure 入口網站 [Microsoft Entra ID 管理] 功能表中 [角色和系統管理員] 視窗上Microsoft Entra 角色的螢幕擷取畫面。

Azure 角色與 Microsoft Entra 角色之間的差異

概括而言，Azure 角色控制 Azure 資源的管理權限，而 Microsoft Entra 角色控制 Microsoft Entra 資源的管理權限。下表比較了兩者的幾項差異。

Azure 角色	Microsoft Entra 角色
管理 Azure 資源的存取權	管理 Microsoft Entra 資源的存取權
支援自訂角色	支援自訂角色
可以在多個層級指定範圍 (管理群組、訂閱、資源群組、資源)	範圍位於租用戶層級，或可套用至管理單位
可以在 Azure 入口網站、Azure CLI、Azure PowerShell、Azure Resource Manager 範本、REST API 中存取角色資訊	您可以在 Azure 系統管理入口網站、Microsoft 365 系統管理中心、Microsoft Graph 和 PowerShell 中存取角色資訊

Azure 角色和 Microsoft Entra 角色是否重疊？

根據預設，Azure 角色和 Microsoft Entra 角色不會跨越 Azure 和 Microsoft Entra ID。不過，如果全域管理員在 Azure 入口網站中選取 [Azure 資源的存取管理] 開關來提升角色存取權，全域管理員就會在特定租用戶的所有訂閱獲得使用者存取管理員角色 (一種 Azure 角色)。使用者存取管理員角色可讓使用者授權其他使用者存取根 Azure 資源的權限。這個參數有助於重新取得訂用帳戶的存取權。

數個 Microsoft Entra 角色跨越 Microsoft Entra ID 和 Microsoft 365，例如全域管理員和使用者管理員角色。例如，如果您是全域管理員角色的成員，您就具有 Microsoft Entra ID 和 Microsoft 365 的全域管理員功能，例如對 Microsoft Exchange 和 Microsoft SharePoint 進行變更。不過，根據預設，全域管理員無法存取 Azure 資源。

Azure 角色與 Microsoft Entra 角色的關聯性圖表。在 Azure 租用戶中存取的 Azure 角色。Microsoft Entra 角色也會從 Microsoft Entra ID 和 Microsoft 365 存取。

指派角色

有多種方法可以用來在 Microsoft Entra ID 內指派角色。您必須挑選最符合自己需求的方法。每個方法的使用者介面可能稍有不同，但設定選項類似。指派角色的方法包括：

將角色指派給使用者或群組
- Microsoft Entra ID - [角色和系統管理員] - [選取角色] - [+ 新增指派]
將使用者或群組指派至角色
- Microsoft Entra ID - 開啟 [使用者] (或 [群組]) - 選取某個使用者 (或群組) - [指派的角色] - [+ 新增指派]
將角色指派至廣泛的範圍，例如訂用帳戶、資源群組或管理群組
- 透過每個設定畫面的 [存取控制 (IAM)] 來完成
使用 PowerShell 或 Microsoft Graph API 來指派角色
使用 Privileged Identity Management (PIM) 來指派角色

您可以使用設定所需的最佳方法，但必須小心，因為沒有內建的限制。有些群組包含不需要系統管理存取權的使用者，而您可能會不小心將系統管理角色指派給該群組。額外的權限可能會導致不了解情況的使用者修改解決方案，或甚至成為攻擊者的可能途徑。適當的身分識別治理是關鍵所在。

範例 - 使用 PIM 來指派角色

若要將 Microsoft Entra 角色指派給使用者，常見方式是透過使用者的 [指派的角色] 頁面。您也可以使用 Privileged Identity Management (PIM)，設定使用者資格以即時提升為角色。

注意

如果您有 Microsoft Entra ID Premium P2 授權方案，並已使用 PIM，即可在 Privileged Identity Management 體驗中執行所有角色管理工作。這項功能目前一次只能指派一個角色。目前，您無法選取多個角色並將其一次指派給使用者。

指派為系統管理員並擁有 Premium P2S 授權的使用者 Privileged Identity Manager 螢幕擷取畫面。

在 Microsoft Entra ID 中建立和指派自訂角色

本節描述如何在 Microsoft Entra ID 中建立新的自訂角色。如需自訂角色的基本知識，請參閱自訂角色概觀。僅能在目錄層級範圍或應用程式註冊資源範圍指派角色。

可以在 Microsoft Entra ID 概觀頁面上的 [角色和管理員] 索引標籤中建立自訂角色。

選取 Microsoft Entra ID - 角色和系統管理員 - 新增自訂角色。
在 [基本資訊] 索引標籤上提供角色的名稱和描述，然後選取 [下一步]。
在 [權限] 索引標籤上選取應用程式註冊的基本屬性和認證屬性所需的權限。
首先，在搜尋列中輸入「認證」，然後選取 microsoft.directory/applications/credentials/update 權限。
接下來，在搜尋列中輸入「基本」，選取 [權限]microsoft.directory/applications/basic/update 權限，然後選取 [下一步]。
在 [檢閱 + 建立] 索引標籤上檢閱權限，然後選取 [建立]。

您的自訂角色將顯示在要指派的可用角色清單中。