Uprzywilejowane role i uprawnienia w usłudze Microsoft Entra ID (wersja zapoznawcza)
Ważne
Etykieta dla ról uprzywilejowanych i uprawnień jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.
Identyfikator Entra firmy Microsoft ma role i uprawnienia, które są identyfikowane jako uprzywilejowane. Te role i uprawnienia mogą służyć do delegowania zarządzania zasobami katalogu do innych użytkowników, modyfikowania poświadczeń, zasad uwierzytelniania lub autoryzacji lub uzyskiwania dostępu do ograniczonych danych. Przypisania ról uprzywilejowanych mogą prowadzić do podniesienia uprawnień, jeśli nie są używane w bezpieczny i zamierzony sposób. W tym artykule opisano uprzywilejowane role i uprawnienia oraz najlepsze rozwiązania dotyczące sposobu używania.
Które role i uprawnienia są uprzywilejowane?
Aby uzyskać listę ról i uprawnień uprzywilejowanych, zobacz Wbudowane role firmy Microsoft Entra. Możesz również użyć centrum administracyjnego microsoft Entra, programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph do identyfikowania ról, uprawnień i przypisań ról, które są identyfikowane jako uprzywilejowane.
W centrum administracyjnym firmy Microsoft Entra wyszukaj etykietę PRIVILEGED .
Na stronie Role i administratorzy role uprzywilejowane są identyfikowane w kolumnie Privileged. W kolumnie Przypisania jest wyświetlana liczba przypisań ról. Możesz również filtrować role uprzywilejowane.
Podczas wyświetlania uprawnień dla roli uprzywilejowanej można zobaczyć, które uprawnienia są uprzywilejowane. Jeśli wyświetlisz uprawnienia jako użytkownik domyślny, nie będzie można zobaczyć, które uprawnienia są uprzywilejowane.
Podczas tworzenia roli niestandardowej można zobaczyć, które uprawnienia są uprzywilejowane, a rola niestandardowa zostanie oznaczona jako uprzywilejowana.
Najlepsze rozwiązania dotyczące używania ról uprzywilejowanych
Poniżej przedstawiono kilka najlepszych rozwiązań dotyczących używania ról uprzywilejowanych.
- Stosowanie zasady najniższych uprawnień
- Udzielanie dostępu just in time za pomocą usługi Privileged Identity Management
- Włączanie uwierzytelniania wieloskładnikowego dla wszystkich kont administratorów
- Konfigurowanie cyklicznych przeglądów dostępu w celu odwołania niepotrzebnych uprawnień w czasie
- Ogranicz liczbę administratorów globalnych do mniejszej niż 5
- Ogranicz liczbę przypisań ról uprzywilejowanych do mniejszej niż 10
Aby uzyskać więcej informacji, zobacz Najlepsze praktyki dotyczące ról Microsoft Entra.
Uprawnienia uprzywilejowane a akcje chronione
Uprawnienia uprzywilejowane i akcje chronione to funkcje związane z zabezpieczeniami, które mają różne cele. Uprawnienia z etykietą PRIVILEGED ułatwiają identyfikowanie uprawnień, które mogą prowadzić do podniesienia uprawnień, jeśli nie są używane w bezpieczny i zamierzony sposób. Chronione działania to uprawnienia ról, którym przypisano zasady dostępu warunkowego w celu zwiększenia bezpieczeństwa, takie jak wymóg uwierzytelniania wieloskładnikowego. Wymagania dostępu warunkowego są wymuszane, gdy użytkownik wykonuje chronioną akcję. Akcje chronione są obecnie w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Co to są akcje chronione w usłudze Microsoft Entra ID?.
| Zdolność | Uprawnienie uprzywilejowane | Akcja chroniona |
|---|---|---|
| Identyfikowanie uprawnień, które powinny być używane w bezpieczny sposób | ✅ | |
| Wymaganie dodatkowych zabezpieczeń w celu wykonania akcji | ✅ |
Terminologia
Aby zrozumieć uprzywilejowane role i uprawnienia w identyfikatorze Entra firmy Microsoft, warto poznać niektóre z poniższych terminów.
| Termin | Definicja |
|---|---|
| akcja | Działanie, które podmiot zabezpieczeń może wykonać na typie obiektu. Czasami określane jako operacja. |
| pozwolenie | Definicja określająca działanie, które podmiot zabezpieczeń może wykonywać na typie obiektu. Uprawnienie obejmuje co najmniej jedną akcję. |
| uprawnienie uprzywilejowane | W Microsoft Entra ID dostępne są uprawnienia, które można wykorzystać do delegowania zarządzania zasobami katalogu innym użytkownikom, modyfikowania poświadczeń, zasad uwierzytelniania lub autoryzacji, oraz uzyskiwania dostępu do danych objętych ograniczeniami. |
| rola uprzywilejowana | Wbudowana lub niestandardowa rola, która ma co najmniej jedno uprawnienie uprzywilejowane. |
| przypisanie ról uprzywilejowanych | Przypisanie roli wykorzystujące rolę uprzywilejowaną. |
| eskalacja uprawnień | Gdy podmiot zabezpieczeń uzyskuje więcej uprawnień niż przypisana mu rola początkowo, podszywając się pod inną rolę. |
| akcja chroniona | Uprawnienia z dostępem warunkowym zastosowane do dodanych zabezpieczeń. |
Jak zrozumieć uprawnienia roli
Schemat uprawnień luźno jest zgodny z formatem REST programu Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Na przykład:
microsoft.directory/applications/credentials/update
| Element uprawnienia | opis |
|---|---|
| przestrzeń nazw | Produkt lub usługa, która uwidacznia zadanie i jest poprzedzana elementem microsoft. Na przykład wszystkie zadania w Microsoft Entra ID używają przestrzeni nazw microsoft.directory. |
| podmiot | Funkcja logiczna lub składnik uwidoczniony przez usługę w programie Microsoft Graph. Na przykład identyfikator Entra firmy Microsoft uwidacznia użytkowników i grupy, program OneNote uwidacznia notatki, a program Exchange uwidacznia skrzynki pocztowe i kalendarze. Istnieje specjalne allEntities słowo kluczowe służące do określania wszystkich jednostek w przestrzeni nazw. Jest to często używane w rolach, które udzielają dostępu do całego produktu. |
| zestaw właściwości | Określone właściwości lub aspekty jednostki, dla której jest udzielany dostęp. Na przykład microsoft.directory/applications/authentication/read daje możliwość odczytywania adresu URL odpowiedzi, adresu URL wylogowywania i niejawnej właściwości przepływu w obiekcie aplikacji w identyfikatorze Entra firmy Microsoft.
|
| akcja | Operacje zazwyczaj przyznawane to tworzenie, odczytywanie, aktualizowanie lub usuwanie (CRUD). Istnieje specjalne allTasks słowo kluczowe służące do określania wszystkich powyższych możliwości (tworzenie, odczytywanie, aktualizowanie i usuwanie). |
Porównanie ról uwierzytelniania
W poniższej tabeli porównaliśmy możliwości ról związanych z uwierzytelnianiem.
| Rola | Zarządzanie metodami uwierzytelniania użytkownika | Zarządzanie uwierzytelnianiem wieloskładnikowym dla poszczególnych użytkowników | Zarządzanie ustawieniami uwierzytelniania wieloskładnikowego | Zarządzanie zasadami metody uwierzytelniania | Zarządzanie zasadami ochrony hasłem | Aktualizowanie właściwości poufnych | Usuwanie i przywracanie użytkowników |
|---|---|---|---|---|---|---|---|
| Administrator uwierzytelniania | Tak dla niektórych użytkowników | Nie. | Nie. | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
| Administrator uwierzytelniania uprzywilejowanego | Tak dla wszystkich użytkowników | Nie. | Nie. | Nie. | Nie. | Tak dla wszystkich użytkowników | Tak dla wszystkich użytkowników |
| Administrator zasad uwierzytelniania | Nie. | Tak | Tak | Tak | Tak | Nie. | Nie. |
| Administrator użytkowników | Nie. | Nie. | Nie. | Nie. | Nie. | Tak dla niektórych użytkowników | Tak dla niektórych użytkowników |
Kto może resetować hasła
W poniższej tabeli kolumny zawierają listę ról, które mogą resetować hasła i unieważniać tokeny odświeżania. Wiersze zawierają listę ról, dla których można zresetować hasło. Na przykład administrator haseł może zresetować hasło dla Czytelników katalogu, Zapraszającego gości, Administratora haseł i użytkowników bez roli administratora. Jeśli użytkownik ma przypisaną inną rolę, administrator haseł nie może zresetować swojego hasła.
Poniższa tabela zawiera role przypisane w obrębie dzierżawy. W przypadku ról przypisanych w zakresie jednostki administracyjnej obowiązują dalsze ograniczenia.
| Rola, dla której można zresetować hasło | Administrator hasła | Administrator pomocy technicznej | Administrator uwierzytelniania | Administrator użytkownika | Administrator uwierzytelniania uprzywilejowanego | Administrator globalny |
|---|---|---|---|---|---|---|
| Administrator uwierzytelniania | ✅ | ✅ | ✅ | |||
| Czytelnicy katalogów | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Administrator Główny | ✅ | ✅* | ||||
| Administrator grup | ✅ | ✅ | ✅ | |||
| Osoba zapraszająca | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Administrator pomocy technicznej | ✅ | ✅ | ✅ | ✅ | ||
| Czytelnik wiadomości Centrum | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Administrator hasła | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Administrator uwierzytelniania uprzywilejowanego | ✅ | ✅ | ||||
| Administrator ról uprzywilejowanych | ✅ | ✅ | ||||
| Czytelnik raportów | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Użytkownik (brak roli administratora) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Użytkownik (brak roli administratora, ale członek lub właściciel grupy z możliwością przypisania roli) |
✅ | ✅ | ||||
| Użytkownik z rolą w zakresie ograniczonej jednostki administracyjnej zarządzania | ✅ | ✅ | ||||
| Administrator użytkownika | ✅ | ✅ | ✅ | |||
| Menedżer sukcesu środowiska użytkownika | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Czytelnik raportów podsumowania użycia | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Wszystkie inne wbudowane i niestandardowe role | ✅ | ✅ |
Ważne
Rola wsparcia Partnera Tier2 może resetować hasła i unieważniać tokeny odświeżania dla wszystkich osób niebędących administratorami oraz administratorów (w tym administratorów globalnych). Rola wsparcia dla Partnera Tier1 może resetować hasła i unieważniać tokeny odświeżania tylko dla użytkowników niebędących administratorami. Te role nie powinny być używane, ponieważ są przestarzałe.
Możliwość zresetowania hasła obejmuje możliwość aktualizowania następujących poufnych właściwości wymaganych do samoobsługowego resetowania hasła:
- telefony biznesowe
- telefon komórkowy
- otherMails
Kto może wykonywać poufne akcje
Niektórzy administratorzy mogą wykonywać następujące poufne akcje dla niektórych użytkowników. Wszyscy użytkownicy mogą odczytywać poufne właściwości.
| Akcja delikatna | Nazwa właściwości poufnej |
|---|---|
| Wyłączanie lub włączanie użytkowników | accountEnabled |
| Aktualizowanie telefonu służbowego | businessPhones |
| Aktualizowanie telefonu komórkowego | mobilePhone |
| Aktualizowanie lokalnego niezmiennego identyfikatora | onPremisesImmutableId |
| Aktualizowanie innych wiadomości e-mail | otherMails |
| Aktualizowanie profilu hasła | passwordProfile |
| Aktualizowanie głównej nazwy użytkownika | userPrincipalName |
| Usuwanie lub przywracanie użytkowników | Nie dotyczy |
W poniższej tabeli kolumny zawierają listę ról, które mogą wykonywać poufne akcje. Wiersze zawierają listę ról, dla których można wykonać akcję wrażliwą.
Poniższa tabela zawiera role przypisane w zakresie dzierżawy. W przypadku ról przypisanych w zakresie jednostki administracyjnej obowiązują dalsze ograniczenia.
| Rola, na której można wykonać wrażliwe działanie | Administrator uwierzytelniania | Administrator użytkownika | Administrator autoryzacji uprzywilejowanej | Administrator globalny |
|---|---|---|---|---|
| Administrator uwierzytelniania | ✅ | ✅ | ✅ | |
| Czytelnicy katalogów | ✅ | ✅ | ✅ | ✅ |
| Administrator globalny | ✅ | ✅ | ||
| Administrator grupy | ✅ | ✅ | ✅ | |
| Osoba zapraszająca gości | ✅ | ✅ | ✅ | ✅ |
| Administrator pomocy technicznej | ✅ | ✅ | ✅ | |
| Czytelnik Centrum Wiadomości | ✅ | ✅ | ✅ | ✅ |
| Administrator hasła | ✅ | ✅ | ✅ | ✅ |
| Administrator dostępu uprzywilejowanego | ✅ | ✅ | ||
| Administrator ról uprzywilejowanych | ✅ | ✅ | ||
| Czytelnik raportów | ✅ | ✅ | ✅ | ✅ |
| Użytkownik (brak roli administratora) |
✅ | ✅ | ✅ | ✅ |
| Użytkownik (brak roli administratora, ale członek lub właściciel grupy z możliwością przypisania roli) |
✅ | ✅ | ||
| Użytkownik z rolą przypisaną do jednostki administracyjnej o ograniczonym zarządzaniu | ✅ | ✅ | ||
| Administrator użytkownika | ✅ | ✅ | ✅ | |
| Menedżer sukcesu środowiska użytkownika | ✅ | ✅ | ✅ | ✅ |
| Przeglądarka raportów podsumowania użycia | ✅ | ✅ | ✅ | ✅ |
| Wszystkie inne wbudowane i niestandardowe role | ✅ | ✅ |