Analizowanie uprawnień roli entra firmy Microsoft

  • 3 min

Co to jest uprawnienie? Definicja słownika uprawnień to zgoda lub autoryzacja do wykonania określonej akcji. W usłudze Microsoft Entra ID masz uprawnienia do każdej operacji, którą możesz wykonać. Uprawnienia mogą być różne od wyświetlania ustawień, aby można było zmienić ustawienie. Następnie przejdź do udzielania uprawnień do dodawania lub usuwania użytkowników i nie tylko. Istnieją dwa główne miejsca, w których można przypisać uprawnienia na poziomie użytkownika lub grupy. Wszystkie te elementy są jednak przekazywane do użytkownika w ostatnim momencie. W przypadku pracy z użytkownikami masz zarówno użytkownika-członka, jak i użytkownika-gościa. Domyślne uprawnienia dla użytkownika-gościa są nieco mniejsze niż członek.

Przykład domyślnych uprawnień dla użytkowników

Użytkownicy będący członkami Użytkownicy-goście
Wyliczanie listy użytkowników i ich kontaktów Odczytywanie własnych właściwości
Zapraszanie użytkowników-gości Zapraszanie użytkowników-gości
Może tworzyć zabezpieczenia i Grupy Microsoft 365 Może wyszukiwać nieukryte grupy według nazwy
Rejestrowanie nowych aplikacji Odczytywanie właściwości zarejestrowanych aplikacji i aplikacji dla przedsiębiorstw

Uwaga

Jest to tylko mały podzbiór, aby pokazać różnice. Jeśli chcesz uzyskać pełną listę domyślnych uprawnień użytkownika

Kontrolowanie uprawnień — dodawanie i ograniczanie

Ustawienia użytkownika Role i administratorzy
Zrzut ekranu przedstawiający ustawienia użytkownika identyfikatora entra firmy Microsoft, gdzie uprawnienia można ograniczyć. Zrzut ekranu przedstawiający ekran Role i administratorzy w witrynie Microsoft Entra ID. Lista ról, które można zastosować.

Ustawienia użytkownika w menu Microsoft Entra ID — Zarządzaj można użyć, aby ograniczyć lub kontrolować domyślne uprawnienia domyślnych użytkowników. Możesz też użyć ról i administratorów, aby dodać nowe uprawnienia do użytkowników i grup. Zawsze używaj koncepcji najniższych uprawnień i upewnij się, że użytkownicy mają tylko potrzebne prawa. W obszarze Ustawienia użytkownika można ograniczyć możliwość:

  • Rejestrowanie aplikacji
  • Uzyskiwanie dostępu do witryny Azure Portal
  • Blokuj połączenia usługi LinkedIn
  • Zarządzanie ustawieniami współpracy zewnętrznej

Dodając role do danego konta użytkownika lub grupy, możesz dodać uprawnienia do użytkowników członkowskich, użytkowników-gości i jednostek usługi. Dodawanie ról daje uprawnienia do wykonywania określonych działań. Akcje są ograniczone, co umożliwia regułę najniższych uprawnień.

Eksplorowanie dostępnych uprawnień

Zrzut ekranu czytnika definicji atrybutu. Zobaczysz, które uprawnienia przyznaje wbudowana rola.

Jeśli to możliwe, chcesz przyznać tylko minimalne uprawnienia wymagane przez użytkownika. Dlatego pamiętaj, aby wiedzieć, jakie uprawnienia są przyznawane podczas przypisywania roli. Listę uprawnień można wyświetlić w opisie każdej roli. Aby otworzyć, uruchom program Microsoft Entra ID, a następnie otwórz ekran Role i administratorzy . Następnie wybierz rolę i otwórz stronę opisu z menu wielokropka (...) . W zależności od wybranej roli zobaczysz dużą lub małą liczbę uprawnień. Dwa zestawy uprawnień:

  • Uprawnienia roli
  • Podstawowe uprawnienia do odczytu gościa i jednostki usługi