Microsoft Entra-rollen en op rollen gebaseerd toegangsbeheer (RBAC) beschrijven

  • 7 minuten

Microsoft Entra-rollen beheren machtigingen voor het beheren van Microsoft Entra-resources. U kunt bijvoorbeeld gebruikersaccounts maken of factureringsgegevens weergeven. Microsoft Entra ID ondersteunt ingebouwde en aangepaste rollen.

Toegang beheren met behulp van rollen wordt op rollen gebaseerd toegangsbeheer (RBAC) genoemd. Ingebouwde en aangepaste rollen van Microsoft Entra zijn een vorm van RBAC waarin Microsoft Entra-rollen de toegang tot Microsoft Entra-resources beheren. Dit wordt Microsoft Entra RBAC genoemd.

Ingebouwde rollen

Microsoft Entra-id bevat veel ingebouwde rollen, die rollen zijn met een vaste set machtigingen. Enkele van de meest voorkomende ingebouwde rollen zijn:

  • Globale beheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Microsoft Entra. De persoon die zich registreert voor de Microsoft Entra-tenant wordt automatisch een globale beheerder.
  • Gebruikersbeheerder: gebruikers met deze rol kunnen alle aspecten van gebruikers en groepen maken en beheren. Deze rol omvat ook de mogelijkheid om ondersteuningstickets te beheren en de servicestatus te bewaken.
  • Factureringsbeheerder: gebruikers met deze rol doen aankopen, abonnementen en ondersteuningstickets beheren en de servicestatus bewaken.

Alle ingebouwde rollen zijn vooraf geconfigureerde bundels machtigingen die zijn ontworpen voor specifieke taken. De vaste set machtigingen die zijn opgenomen in de ingebouwde rollen, kan niet worden gewijzigd.

Aangepaste rollen

Hoewel er veel ingebouwde beheerdersrollen zijn in Microsoft Entra, bieden aangepaste rollen flexibiliteit bij het verlenen van toegang. Een aangepaste roldefinitie is een verzameling machtigingen die u kiest in een vooraf ingestelde lijst. De lijst met machtigingen waaruit u kunt kiezen, zijn dezelfde machtigingen die worden gebruikt door de ingebouwde rollen. Het verschil is dat u kunt kiezen welke machtigingen u wilt opnemen in een aangepaste rol.

Het verlenen van machtigingen met aangepaste Microsoft Entra-rollen is een proces in twee stappen. De eerste stap omvat het maken van een aangepaste roldefinitie, bestaande uit een verzameling machtigingen die u toevoegt vanuit een vooraf ingestelde lijst. Nadat u uw aangepaste roldefinitie hebt gemaakt, is de tweede stap het toewijzen van die rol aan gebruikers of groepen door een roltoewijzing te maken.

Een roltoewijzing verleent de gebruiker de machtigingen in een roldefinitie, op een opgegeven bereik. Met een bereik wordt de set Microsoft Entra-resources gedefinieerd waartoe het rollid toegang heeft. Een aangepaste rol kan worden toegewezen aan het hele bereik van de organisatie, wat betekent dat het rollid de rolmachtigingen heeft voor alle resources. Een aangepaste rol kan ook worden toegewezen voor een objectbereik. Een voorbeeld van een objectbereik is één toepassing. Dezelfde rol kan aan de ene gebruiker worden toegewezen voor alle toepassingen in de organisatie, en vervolgens aan een andere gebruiker met een bereik van alleen de Contoso Expense Reports-app.

Voor aangepaste rollen is een Licentie voor Microsoft Entra ID P1 of P2 vereist.

Alleen de toegang verlenen die gebruikers nodig hebben

Het is een best practice en veiliger om gebruikers de minste bevoegdheid te geven om hun werk te doen. Dit betekent dat als iemand voornamelijk gebruikers beheert, u de rol van gebruikerbeheerder en niet globale beheerder moet toewijzen. Door minimale bevoegdheden toe te wijzen, beperkt u de schade die kan worden uitgevoerd met een gecompromitteerd account.

Categorieën van Microsoft Entra-rollen

Microsoft Entra ID is een beschikbare service als u zich abonneert op een zakelijke aanbieding van Microsoft Online, zoals Microsoft 365 en Azure.

Beschikbare Microsoft 365-services omvatten Microsoft Entra ID, Exchange, SharePoint, Microsoft Defender, Teams, Intune en nog veel meer.

In de loop van de tijd hebben sommige Microsoft 365-services, zoals Exchange en Intune, hun eigen op rollen gebaseerde toegangsbeheersystemen (RBAC) ontwikkeld, net zoals de Microsoft Entra-service Microsoft Entra-rollen heeft om de toegang tot Microsoft Entra-resources te beheren. Andere services zoals Teams en SharePoint hebben geen afzonderlijke op rollen gebaseerde toegangsbeheersystemen, ze gebruiken Microsoft Entra-rollen voor hun beheerderstoegang.

Om het beheer van identiteiten in Microsoft 365-services handig te maken, heeft Microsoft Entra ID een aantal servicespecifieke, ingebouwde rollen toegevoegd, die elk beheerderstoegang verlenen tot een Microsoft 365-service. Dit betekent dat ingebouwde Microsoft Entra-rollen verschillen in waar ze kunnen worden gebruikt. Er zijn drie algemene categorieën.

  • Specifieke Rollen van Microsoft Entra: deze rollen verlenen machtigingen voor het beheren van resources binnen Microsoft Entra. Bijvoorbeeld: gebruikerbeheerder, toepassingsbeheerder, groepsbeheerder verleent allemaal machtigingen voor het beheren van resources die zich in Microsoft Entra-id bevinden.

  • Servicespecifieke rollen: Voor belangrijke Microsoft 365-services bevat Microsoft Entra-id ingebouwde, servicespecifieke rollen die machtigingen verlenen voor het beheren van functies binnen de service. Microsoft Entra ID bevat bijvoorbeeld ingebouwde rollen voor Exchange-beheerder, Intune-beheerder, SharePoint-beheerder en Teams-beheerdersrollen die functies met hun respectieve services kunnen beheren.

  • Rollen voor meerdere services: Er zijn enkele rollen binnen Microsoft Entra-id die services omvatten. Microsoft Entra ID heeft bijvoorbeeld beveiligingsgerelateerde rollen, zoals Beveiligingsbeheerder, die toegang verlenen tot meerdere beveiligingsservices binnen Microsoft 365. Op dezelfde manier verleent de rol Compliancebeheerder toegang tot het beheren van instellingen voor naleving in het Microsoft 365-compliancecentrum, Exchange, enzovoort.

Diagram van Microsoft Entra-rolcategorieën.

Verschil tussen Microsoft Entra RBAC en Azure RBAC

Zoals hierboven beschreven, zijn ingebouwde en aangepaste rollen van Microsoft Entra een vorm van RBAC waarin ze de toegang tot Microsoft Entra-resources beheren. Dit wordt Microsoft Entra RBAC genoemd. Op dezelfde manier dat Microsoft Entra-rollen de toegang tot Microsoft Entra-resources kunnen beheren, zodat Ook Azure-rollen de toegang tot Azure-resources kunnen beheren. Dit wordt Azure RBAC genoemd. Hoewel het concept van RBAC van toepassing is op zowel Microsoft Entra RBAC als Azure RBAC, zijn ze anders.

  • Microsoft Entra RBAC - Microsoft Entra-rollen beheren de toegang tot Microsoft Entra-resources, zoals gebruikers, groepen en toepassingen.
  • Azure RBAC: Azure-rollen beheren de toegang tot Azure-resources, zoals virtuele machines of opslag met behulp van Azure Resource Management.

Er zijn verschillende gegevensarchieven waarin roldefinities en roltoewijzingen worden opgeslagen. Op dezelfde manier zijn er verschillende beleidsbeslissingspunten waar toegangscontroles plaatsvinden.