Обзор управления доступом на основе ролей в идентификаторе Microsoft Entra

В этой статье описывается, как понять, как управлять доступом на основе ролей в Microsoft Entra. Роли Microsoft Entra позволяют предоставлять подробные разрешения администраторам, соблюдая принцип наименьших привилегий. Встроенные и настраиваемые роли Microsoft Entra работают с понятиями, аналогичными тем, которые вы найдете в системе управления доступом на основе ролей для ресурсов Azure (роли Azure). Разница между этими двумя системами управления доступом на основе ролей:

• Роли Microsoft Entra управляют доступом к ресурсам Microsoft Entra, таким как пользователи, группы и приложения с помощью API Microsoft Graph
• Роли Azure управляют доступом к ресурсам Azure, таким как виртуальные машины или хранилище с помощью управления ресурсами Azure

Обе системы содержат аналогичные определения ролей и назначения ролей. Однако разрешения роли Microsoft Entra нельзя использовать в пользовательских ролях Azure и наоборот.

Общие сведения об управлении доступом на основе ролей Microsoft Entra

Идентификатор Microsoft Entra поддерживает два типа определений ролей:

• встроенные роли
• пользовательские роли

Встроенные роли – это роли из коробки с фиксированным набором разрешений. Эти определения ролей нельзя изменить. Существует множество встроенных ролей , поддерживаемых идентификатором Microsoft Entra ID, и список растет. Чтобы округить края и удовлетворить сложные требования, идентификатор Microsoft Entra также поддерживает пользовательские роли. Предоставление разрешения с помощью пользовательских ролей Microsoft Entra — это двухэтапный процесс, который включает создание определения пользовательской роли и назначение его с помощью назначения ролей. Определение настраиваемой роли — это коллекция разрешений, добавляемых из предустановленного списка. Эти разрешения являются одинаковыми разрешениями, используемыми в встроенных ролях.

Создав определение настраиваемой роли (или используя встроенную роль), ее можно назначить пользователю, создав назначение роли. Назначение роли предоставляет пользователю разрешения в определении роли в указанной области. Этот двухэтапный процесс позволяет создать одно определение роли и назначить его много раз в разных областях. Область определяет набор ресурсов Microsoft Entra, к к который имеет доступ член роли. Наиболее распространенной областью является область на уровне организации. Индивидуальная роль может быть назначена в масштабе всей организации, что означает, что участник роли имеет полномочия роли над всеми ресурсами в организации. Пользовательская роль также может быть назначена в области объекта. Примером области объекта будет одно приложение. Одна и та же роль может быть назначена одному пользователю во всех приложениях в организации, а затем другому пользователю с областью действия только приложения Contoso Expense Reports.

Как идентификатор Microsoft Entra id определяет, имеет ли пользователь доступ к ресурсу

Ниже приведены высокоуровневые шаги, которые идентификатор Microsoft Entra использует для определения наличия доступа к ресурсу управления. Используйте эти сведения для устранения неполадок с доступом.

1. Пользователь (или объект службы) получает токен для конечной точки Microsoft Graph.
2. Пользователь делает вызов к API Microsoft Entra ID с помощью Microsoft Graph, используя выданный токен.
3. В зависимости от обстоятельств идентификатор Microsoft Entra id принимает одно из следующих действий:
   • Оценивает членство пользователя в роли на основе утверждения wids в токене доступа пользователя.
   • Извлекает все назначения ролей, которые применяются к пользователю напрямую или через членство в группах, для ресурса, для которого выполняется действие.
4. Идентификатор Microsoft Entra ID проверяет, входит ли действие, указанное в вызове API, в роли, которые пользователь имеет для этого ресурса.
5. Если у пользователя нет роли с действием в запрошенной области, доступ не предоставляется. В противном случае доступ разрешается.

Назначение ролей

Назначение ролей в Microsoft Entra — это ресурс, который привязывает определение роли к определённому субъекту безопасности в рамках конкретной области для предоставления доступа к ресурсам Microsoft Entra. Доступ предоставляется путем создания назначения роли и отмены доступа путем удаления назначения роли. В основном назначение роли состоит из трех элементов:

• Субъект безопасности — это личность, которая получает разрешения. Это может быть пользователь, группа или субъект-служба.
• Определение роли — коллекция разрешений.
• Область — способ ограничить применение этих разрешений.

Вы можете создавать назначения ролей и перечислять назначения ролей с помощью Центра администрирования Microsoft Entra, Microsoft Graph PowerShellили API Microsoft Graph. Azure CLI не поддерживается для назначений ролей Microsoft Entra.

На следующей схеме показан пример назначения роли. В этом примере Крису была назначена пользовательская роль администратора регистрации приложений в рамках регистрации приложения Contoso Widget Builder. Назначение предоставляет Крису разрешения администратора регистрации приложений только для конкретной регистрации приложения.

Субъект безопасности

Субъект безопасности представляет пользователя, группу или субъект-службу, которому назначен доступ к ресурсам Microsoft Entra. Пользователь — это пользователь, имеющий профиль пользователя в идентификаторе Microsoft Entra. Группа — это новая группа Microsoft 365 или группа безопасности, заданная как группа, назначаемая ролью,. Учетная запись службы — это идентификация, созданная для использования с приложениями, размещёнными службами и автоматизированными инструментами для доступа к ресурсам Microsoft Entra.

Определение роли

Определение роли или роль — это коллекция разрешений. Определение роли содержит список операций, которые могут выполняться в ресурсах Microsoft Entra, таких как создание, чтение, обновление и удаление. Существует два типа ролей в идентификаторе Microsoft Entra:

• Встроенные роли, созданные корпорацией Майкрософт, которые нельзя изменить.
• Пользовательские роли, созданные и управляемые вашей организацией.

Размах

Область — это способ ограничить разрешенные действия определенным набором ресурсов в рамках назначения роли. Например, если вы хотите назначить пользовательскую роль разработчику, но только для управления определенной регистрацией приложений, можно включить конкретную регистрацию приложения в качестве области назначения роли.

При назначении роли укажите один из следующих типов области:

• Съёмщик
• Административная единица
• Ресурс Microsoft Entra

Если в качестве области указать ресурс Microsoft Entra, это может быть одно из следующих вариантов:

• Группы Microsoft Entra
• Корпоративные приложения
• Регистрация приложений

Когда роль назначается в области контейнера, например арендатора или административной единицы, она предоставляет разрешения на объекты, которые эти контейнеры содержат, но не над самим контейнером. Наоборот, если роль назначается по области ресурсов, она предоставляет разрешения для самого ресурса, но она не распространяется за рамки (в частности, она не распространяется на членов группы Microsoft Entra).

Дополнительные сведения см. в разделе Назначение ролей Microsoft Entra.

Параметры назначения ролей

Идентификатор Microsoft Entra id предоставляет несколько вариантов назначения ролей:

• Роли можно назначать пользователям напрямую, что является способом назначения ролей по умолчанию. Встроенные и пользовательские роли Microsoft Entra можно назначать пользователям на основе требований к доступу. Дополнительные сведения см. в разделе Назначение ролей Microsoft Entra.
• С помощью идентификатора Microsoft Entra ID P1 можно создавать группы с возможностью назначения ролей и назначать роли этим группам. Назначение ролей группе вместо отдельных лиц позволяет легко добавлять или удалять пользователей из роли и создавать согласованные разрешения для всех членов группы. Дополнительные сведения см. в разделе Назначение ролей Microsoft Entra.
• Имея Microsoft Entra ID P2, вы можете использовать Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) для предоставления доступа к ролям по мере необходимости. Эта функция позволяет предоставлять ограниченный по времени доступ к роли пользователям, которым это требуется, а не предоставлять постоянный доступ. Он также предоставляет подробные возможности создания отчетов и аудита. Дополнительные сведения см. в статье Назначение ролей Microsoft Entra в Управлении доступом с привилегиями.

Требования к лицензии

Использование встроенных ролей в идентификаторе Microsoft Entra является бесплатным. Использование пользовательских ролей требует лицензии Microsoft Entra ID P1 для каждого пользователя с пользовательским назначением ролей. Чтобы найти нужную лицензию для ваших требований, см. Сравнение общедоступных функций выпусков Free и Premium.

Дальнейшие действия

• Общие сведения о ролях Microsoft Entra
• Назначить роли Microsoft Entra
• форум Microsoft Entra