Sdílet prostřednictvím

Přehled řízení přístupu na základě role v Microsoft Entra ID

  • Článek

Tento článek popisuje, jak porozumět řízení přístupu na základě role společnosti Microsoft Entra. Role Microsoft Entra umožňují udělit správcům podrobná oprávnění, abidovat zásadou nejnižších oprávnění. Integrované a vlastní role Microsoft Entra využívají podobné koncepty jako ty, které najdete v systému řízení přístupu na základě role pro prostředky Azure (role Azure). Rozdíl mezi těmito dvěma systémy řízení přístupu na základě role:

  • Role Microsoft Entra řídí přístup k prostředkům Microsoft Entra, jako jsou uživatelé, skupiny a aplikace pomocí rozhraní Microsoft Graph API.
  • Role Azure řídí přístup k prostředkům Azure, jako jsou virtuální počítače nebo úložiště, pomocí správy prostředků Azure

Oba systémy obsahují podobně používané definice rolí a přiřazení rolí. Oprávnění k rolím Microsoft Entra nelze použít pro vlastní role Azure a naopak.

Principy řízení přístupu na základě role v Microsoft Entra

ID Microsoft Entra podporuje dva typy definic rolí:

Vestavěné role jsou role z krabice, které mají pevně stanovenou sadu oprávnění. Tyto definice rolí nelze změnit. Existuje mnoho předdefinovaných rolí, které Podporuje Microsoft Entra ID a seznam roste. Pro doladění detailů a splnění sofistikovaných požadavků podporuje Microsoft Entra ID také vlastní role. Udělení oprávnění pomocí vlastních rolí Microsoft Entra je dvoustupňový proces, který zahrnuje vytvoření vlastní definice role a následné přiřazení pomocí přiřazení role. Definice vlastní role je kolekce oprávnění, která přidáte z přednastaveného seznamu. Tato oprávnění jsou stejná oprávnění použitá v předdefinovaných rolích.

Jakmile vytvoříte vlastní definici role (nebo použijete předdefinované role), můžete ji přiřadit uživateli vytvořením přiřazení role. Přiřazení role uživateli udělí oprávnění v definici role v zadaném oboru. Tento dvoustupňový proces umožňuje vytvořit definici jedné role a přiřadit ji mnohokrát v různých oborech. Obor definuje sadu prostředků Microsoft Entra, ke které má člen role přístup. Nejběžnějším oborem je rozsah celé organizace (rozsah organizace). Vlastní roli lze přiřadit na úrovni celé organizace, což znamená, že člen role má oprávnění k roli vztahující se na všechny prostředky v organizaci. Vlastní roli lze také přiřadit pro konkrétní objekt. Příkladem oboru objektu by byla jedna aplikace. Stejnou roli je možné přiřadit jednomu uživateli ve všech aplikacích v organizaci a pak jinému uživateli s rozsahem pouze aplikace Contoso Expense Reports.

Jak ID Microsoft Entra určuje, jestli má uživatel přístup k prostředku

Následují základní kroky, které Microsoft Entra ID používá k určení, jestli máte přístup k prostředku pro správu. Tyto informace použijte k řešení problémů s přístupem.

  1. Uživatel (nebo služba) získá token ke koncovému bodu Microsoft Graphu.
  2. Uživatel pomocí vydaného tokenu zavolá API rozhraní Microsoft Entra ID přes Microsoft Graph.
  3. V závislosti na okolnostech provede ID Microsoft Entra jednu z následujících akcí:
    • Vyhodnotí členství uživatele v rolích na základě tvrzení wids v uživatelském přístupovém tokenu.
    • Načte všechna přiřazení rolí, která se vztahují na uživatele přímo nebo prostřednictvím členství ve skupině, k prostředku, na kterém se akce provádí.
  4. ID Microsoft Entra určuje, jestli je akce ve volání rozhraní API zahrnutá do rolí, které má uživatel pro tento prostředek.
  5. Pokud uživatel nemá roli, která zahrnuje akci v požadovaném oboru, přístup se neudělí. V opačném případě je udělen přístup.

Přiřazení role

Přiřazení role je prostředek Microsoft Entra, který připojí definici role k objektu zabezpečení v určitém rozsahu k udělení přístupu k prostředkům Microsoft Entra. Přístup se uděluje vytvořením přiřazení role a přístup je odvolán odebráním přiřazení role. V jádru se přiřazení role skládá ze tří prvků:

  • Zabezpečovací principál – identita, která získá oprávnění. Může to být uživatel, skupina nebo entita služby.
  • Definice role – kolekce oprávnění.
  • Rozsah – způsob, jak omezit, kde jsou tato oprávnění použitelná.

Přiřazení rolí můžete vytvořit a zobrazit seznam přiřazení rolí pomocí Centra pro správu Microsoft Entra, Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API. Azure CLI není podporováno pro přiřazení rolí Microsoft Entra.

Následující diagram znázorňuje příklad přiřazení role. V tomto příkladu má Chris přiřazenou vlastní roli Správce registrace aplikací v oboru registrace aplikace Contoso Widget Builder. Přiřazení uděluje Chrisi oprávnění role Správce registrace aplikací pouze pro tuto konkrétní registraci aplikace.

přiřazení role je způsob vynucení oprávnění a má tři části.

Bezpečnostní subjekt

Objekt zabezpečení představuje uživatele, skupinu nebo instanční objekt, který má přiřazený přístup k prostředkům Microsoft Entra. Uživatel je jednotlivec, který má profil uživatele v Microsoft Entra ID. Skupina je nová skupina Microsoftu 365 nebo skupiny zabezpečení, která byla nastavena jako skupině s možností přiřazení rolí. Instanční objekt je identita vytvořená pro použití s aplikacemi, hostovanými službami a automatizovanými nástroji pro přístup k prostředkům Microsoft Entra.

Definice role

Definice role nebo role je soubor oprávnění. Definice role obsahuje seznam operací, které lze provádět s prostředky Microsoft Entra, jako jsou například vytvoření, čtení, aktualizace a odstranění. V ID Microsoft Entra existují dva typy rolí:

  • Předdefinované role vytvořené Microsoftem, které nelze změnit.
  • Vlastní role vytvořené a spravované vaší organizací

Rozsah

Obor je způsob, jak omezit povolené akce na konkrétní sadu prostředků v rámci přiřazení role. Pokud například chcete přiřadit vlastní roli vývojáři, ale jenom ke správě konkrétní registrace aplikace, můžete do přiřazení role zahrnout konkrétní registraci aplikace jako obor.

Při přiřazování role zadáte jeden z následujících typů oboru:

Pokud jako rozsah zadáte prostředek Microsoft Entra, může to být jedna z následujících možností:

  • Skupiny Microsoft Entra
  • Podnikové aplikace
  • Registrace aplikací

Pokud je role přiřazena v rámci oboru kontejneru, jako je například tenant nebo spravovaná jednotka, uděluje oprávnění k objektům, které obsahují, ale nikoliv ke kontejneru samotnému. Naopak, pokud je role přiřazena nad rozsahem prostředků, uděluje oprávnění nad samotným prostředkem, ale nevztahuje se mimo rámec (zejména se nevztahuje na členy skupiny Microsoft Entra).

Další informace naleznete v tématu Přiřazení rolí Microsoft Entra.

Možnosti přiřazení role

ID Microsoft Entra poskytuje několik možností pro přiřazování rolí:

  • Role můžete přiřadit přímo uživatelům, což je výchozí způsob přiřazování rolí. Předdefinované i vlastní role Microsoft Entra je možné přiřadit uživatelům na základě požadavků na přístup. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra.
  • S Microsoft Entra ID P1 můžete vytvořit skupiny, které lze přiřadit role a přiřadit role těmto skupinám. Přiřazení rolí skupině místo jednotlivců umožňuje snadné přidání nebo odebrání uživatelů z role a vytvoření konzistentních oprávnění pro všechny členy skupiny. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra.
  • S Microsoft Entra ID P2 můžete použít Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) k zajištění přístupu k rolím v režimu just-in-time. Tato funkce umožňuje udělit časově omezený přístup k roli uživatelům, kteří ji vyžadují, a nikoli udělit trvalý přístup. Poskytuje také podrobné možnosti vytváření sestav a provádění auditu. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v Privileged Identity Management.

Licenční požadavky

Použití předdefinovaných rolí v Microsoft Entra ID je zdarma. Použití vlastních rolí vyžaduje licenci Microsoft Entra ID P1 pro každého uživatele s vlastním přiřazením role. Pokud chcete najít správnou licenci pro vaše požadavky, přečtěte si Porovnání obecně dostupných funkcí edicí Free a Premium.

Další kroky