Konfigurace a správa rolí Microsoft Entra

  • 7 min

Microsoft Entra ID je cloudová služba microsoftu pro správu identit a přístupu, která pomáhá vašim zaměstnancům při přihlašování a přístupu k prostředkům:

  • Externí prostředky, jako je Microsoft 365, Azure Portal a tisíce dalších aplikací SaaS
  • Interní prostředky, jako jsou aplikace ve vaší podnikové síti a intranetu, spolu se všemi cloudovými aplikacemi vyvinutými vaší vlastní organizací.

Kdo používá ID Microsoft Entra?

Id Microsoft Entra je určeno pro:

  • Správci IT – jako správce IT můžete pomocí ID Microsoft Entra řídit přístup k vašim aplikacím a prostředkům vaší aplikace na základě vašich obchodních požadavků. Můžete například použít ID Microsoft Entra k vyžadování vícefaktorového ověřování při přístupu k důležitým prostředkům organizace. Kromě toho můžete pomocí Microsoft Entra ID automatizovat zřizování uživatelů mezi stávající službou Windows Server AD a cloudovými aplikacemi, včetně Microsoftu 365. Microsoft Entra ID poskytuje výkonné nástroje, které vám pomůžou automaticky chránit identity uživatelů a přihlašovací údaje a splnit požadavky na zásady správného řízení přístupu.
  • Vývojáři aplikací – Jako vývojář aplikací můžete jako vývojář aplikace použít Id Microsoft Entra jako přístup založený na standardech pro přidání jednotného přihlašování (SSO) do vaší aplikace, což mu umožní pracovat s předem existujícími přihlašovacími údaji uživatele. Microsoft Entra ID také poskytuje rozhraní API, která vám můžou pomoct vytvářet přizpůsobená prostředí aplikací pomocí existujících dat organizace.
  • Předplatitelé Microsoft 365, Office 365, Azure nebo Dynamics CRM Online – jako předplatitel už používáte Microsoft Entra ID. Každý tenant Microsoft 365, Office 365, Azure a Dynamics CRM Online je automaticky tenantEm Microsoft Entra. Okamžitě můžete začít spravovat přístup k integrovaným cloudovým aplikacím.

Pokud některý z vašich uživatelů potřebuje v Microsoft Entra ID oprávnění ke správě prostředků Microsoft Entra, musíte je přiřadit k roli, která jim poskytne potřebná oprávnění.

Pokud s Azure začínáte, může být trochu náročné pochopit všechny různé role v Azure. Následující část vysvětluje následující role a poskytuje další informace o rolích Azure a rolích Microsoft Entra:

  • Role klasického správce předplatného
  • Role Azure
  • Role Microsoft Entra

Role Microsoft Entra

Role Microsoft Entra se používají ke správě prostředků Microsoft Entra v adresáři. Nejběžnějšími akcemi, jako jsou vytváření nebo úpravy uživatelů. Potřeba přiřazovat role pro správu jiným uživatelům, resetovat hesla uživatelů, spravovat uživatelské licence a spravovat domény jsou ale běžné. Následující tabulka popisuje několik důležitějších rolí Microsoft Entra.

Role Microsoft Entra Oprávnění Poznámky
Globální správce Správa přístupu ke všem funkcím správy v MICROSOFT Entra ID a službám, které se federuje k Microsoft Entra ID Osoba, která se zaregistruje do tenanta Microsoft Entra, se stane prvním globálním správcem.
Přiřazení rolí správce dalším uživatelům
Resetování hesel uživatelů a všech ostatních správců
Správce uživatelů Vytváření a správa všech aspektů uživatelů a skupin
Správa lístků podpory
Monitorování stavu služby
Změna hesel pro uživatele, správce helpdesku a další správce uživatelů
Správce fakturace Nové nákupy
Správa předplatných
Správa lístků podpory
Monitorování stavu služby

Na webu Azure Portal můžete zobrazit seznam rolí Microsoft Entra na obrazovce Role a správci .

Snímek obrazovky s rolemi Microsoft Entra v okně Role a správci v nabídce Správa ID Microsoft Entra na webu Azure Portal

Rozdíly mezi rolemi Azure a rolemi Microsoft Entra

Na vysoké úrovni řídí role Azure oprávnění ke správě prostředků Azure, zatímco role Microsoft Entra řídí oprávnění ke správě prostředků Microsoft Entra. Následující tabulka obsahuje přehled některých rozdílů.

Role Azure Role Microsoft Entra
Správa přístupu k prostředkům Azure Správa přístupu k prostředkům Microsoft Entra
Podpora vlastních rolí Podpora vlastních rolí
Možnost zadání oboru na více úrovních (skupina pro správu, předplatné, skupina prostředků, prostředek) Rozsah je na úrovni tenanta nebo se dá použít na jednotku pro správu.
Dostupnost informací o roli na portálu Azure Portal, v Azure CLI, Azure PowerShellu, šablonách Azure Resource Manageru, rozhraní REST API Informace o rolích jsou přístupné na portálu pro správu Azure, Centrum pro správu Microsoftu 365, Microsoft Graphu a PowerShellu.

Překrývají se role Azure a role Microsoft Entra?

Ve výchozím nastavení se role Azure a role Microsoft Entra nezabývají do Azure a Microsoft Entra ID. Pokud ale globální správce zvýší úroveň svého přístupu tak, že na webu Azure Portal zvolí přepínač Správa přístupu pro prostředky Azure, udělí globální správce roli Správce uživatelských přístupů (roli Azure) pro všechna předplatná pro konkrétního tenanta. Role správce uživatelských přístupů uživateli umožňuje udělit dalším uživatelům přístup k prostředkům Azure. Tento přepínač může být užitečný pro opakované získání přístupu k předplatnému.

Několik rolí Microsoft Entra zahrnuje Microsoft Entra ID a Microsoft 365, jako jsou role globálního správce a správce uživatelů. Pokud jste například členem role globálního správce, máte možnosti globálního správce v Microsoft Entra ID a Microsoftu 365, například provádění změn systému Microsoft Exchange a Microsoft SharePointu. Ve výchozím nastavení ale globální správce nemá přístup k prostředkům Azure.

Diagram vztahu rolí Azure s rolemi Microsoft Entra Role Azure, ke které se přistupuje v tenantovi Azure. K rolím Microsoft Entra se přistupuje také z ID Microsoft Entra a Microsoftu 365.

Přiřazení rolí

Existuje několik způsobů, jak přiřadit role v rámci ID Microsoft Entra. Musíte vybrat ten, který nejlépe vyhovuje vašim potřebám. Uživatelské rozhraní se pro každou metodu může mírně lišit, ale možnosti konfigurace jsou podobné. Mezi metody přiřazování rolí patří:

  • Přiřazení role uživateli nebo skupině

    • Microsoft Entra ID - Roles and administration - Select a role - + Add Assignment

  • Přiřazení uživatele nebo skupiny k roli

    • Microsoft Entra ID – Otevření uživatelů (nebo skupin) – Výběr uživatele (nebo skupiny) – Přiřazené role - + Přidat přiřazení

  • Přiřazení role k širokému rozsahu, jako je předplatné, skupina prostředků nebo skupina pro správu

    • Hotovo prostřednictvím řízení přístupu (IAM) na každé obrazovce nastavení

  • Přiřazení role pomocí PowerShellu nebo rozhraní Microsoft Graph API

  • Přiřazení role pomocí privileged Identity Management (PIM)

Nejlepší metodu pro potřeby konfigurace je možné použít, ale je potřeba dbát na to, protože neexistují žádná integrovaná omezení. Roli správce můžete omylem přiřadit skupině s uživateli, kteří nepotřebují přístup pro správu. Další oprávnění můžou vést k řešení upravenému uživatelem bez řádného vědomí, co dělá, nebo dokonce potenciální cesty pro útočníky. Klíčem je správné zásady správného řízení identit.

Příklad – přiřazení role pomocí PIM

Běžný způsob přiřazení rolí Microsoft Entra uživateli je na stránce Přiřazené role pro uživatele. Můžete také nakonfigurovat oprávněnost uživatele tak, aby byla v čase zvýšená na roli pomocí privileged Identity Management (PIM).

Poznámka:

Pokud máte licenční plán Microsoft Entra ID Premium P2 a už používáte PIM, všechny úlohy správy rolí se provádějí v prostředí Privileged Identity Management. Tato funkce je aktuálně omezená na přiřazení pouze jedné role najednou. Momentálně nemůžete vybrat více rolí a přiřadit je uživateli najednou.

Snímek obrazovky s Privileged Identity Managerem pro uživatele přiřazené globálním správcem a licencí Premium P2

Vytvoření a přiřazení vlastní role v MICROSOFT Entra ID

Tato část popisuje, jak vytvořit nové vlastní role v Microsoft Entra ID. Základní informace o vlastních rolích najdete v přehledu vlastních rolí. Roli je možné přiřadit buď v oboru na úrovni adresáře, nebo pouze v oboru prostředku registrace aplikace.

Vlastní role je možné vytvořit na kartě Role a správci na stránce přehledu ID Microsoft Entra.

  1. Vyberte Role ID Microsoft Entra - a správci - Nová vlastní role.

    Snímek obrazovky s možností Vytvořit nebo upravit vlastní role ze stránky Role a správci

  2. Na kartě Základy zadejte název a popis role a pak vyberte Další.

    Snímek obrazovky s kartou Základy Na kartě Základy zadáte název a popis vlastní role.

  3. Na kartě Oprávnění vyberte oprávnění potřebná ke správě základních vlastností a vlastností přihlašovacích údajů registrací aplikací.

  4. Nejprve na panelu hledání zadejte "credentials" (přihlašovací údaje) a vyberte microsoft.directory/applications/credentials/update oprávnění.

    Snímek obrazovky s výběrem oprávnění pro vlastní roli na kartě Oprávnění

  5. Potom na panelu hledání zadejte "basic", vyberte microsoft.directory/applications/basic/update oprávnění a pak vyberte Další.

  6. Na kartě Zkontrolovat a vytvořit zkontrolujte oprávnění a vyberte Vytvořit.

Vaše vlastní role se zobrazí v seznamu dostupných rolí, které chcete přiřadit.