Настройка ролей Microsoft Entra и управление ими

  • 7 мин

Идентификатор Microsoft Entra — это облачная служба управления удостоверениями и доступом майкрософт, которая помогает сотрудникам входить и получать доступ к ресурсам:

  • внешние ресурсы, такие как Microsoft 365, портал Azure и тысячи других приложений SaaS;
  • во внутренних ресурсах, таких как приложения в корпоративной сети и интрасети, а также в любых облачных приложениях, разработанных вашей организацией.

Кто использует идентификатор Microsoft Entra?

Идентификатор Microsoft Entra предназначен для:

  • ИТ-администраторы — ит-администраторы могут использовать идентификатор Microsoft Entra для управления доступом к приложениям и ресурсам приложения на основе бизнес-требований. Например, можно использовать идентификатор Microsoft Entra, чтобы требовать многофакторную проверку подлинности при доступе к важным ресурсам организации. Кроме того, вы можете использовать идентификатор Microsoft Entra для автоматизации подготовки пользователей между существующими приложениями Windows Server AD и облачными приложениями, включая Microsoft 365. Наконец, идентификатор Microsoft Entra предоставляет мощные средства для автоматической защиты удостоверений пользователей и учетных данных и соответствия требованиям к управлению доступом.
  • Разработчики приложений . Разработчики приложений могут использовать идентификатор Microsoft Entra в качестве стандартных подходов для добавления единого входа в приложение, позволяя ему работать с предварительно существующими учетными данными пользователя. Идентификатор Microsoft Entra также предоставляет API- интерфейсы, которые помогают создавать персонализированные возможности приложений с помощью существующих данных организации.
  • Подписчики Microsoft 365, Office 365, Azure или Dynamics CRM Online — в качестве подписчика вы уже используете идентификатор Microsoft Entra. Каждый клиент Microsoft 365, Office 365, Azure и Dynamics CRM Online автоматически является клиентом Microsoft Entra. Кроме того, вы можете сразу начать управлять доступом к интегрированным облачным приложениям.

В идентификаторе Microsoft Entra, если одному из пользователей требуется разрешение на управление ресурсами Microsoft Entra, необходимо назначить им роль, предоставляющую необходимые им разрешения.

Если вы не знакомы с Azure, вы можете найти его немного сложно, чтобы понять все различные роли в Azure. В следующем разделе описаны следующие роли и приведены дополнительные сведения о ролях Azure и ролях Microsoft Entra:

  • Роли классического администратора подписки
  • Роли в Azure
  • Роли Microsoft Entra

Роли Microsoft Entra

Роли Microsoft Entra используются для управления ресурсами Microsoft Entra в каталоге. Наиболее распространенными являются такие действия, как создание или изменение пользователей. Но достаточно часто возникают и другие потребности: назначать административные роли другим пользователям, сбрасывать пароли, управлять лицензиями пользователей и управлять доменами. В следующей таблице описаны несколько более важных ролей Microsoft Entra.

Роль Microsoft Entra Разрешения Примечания
Глобальный администратор Управление доступом ко всем административным функциям в идентификаторе Microsoft Entra ID и службам, которые федеративны с идентификатором Microsoft Entra Пользователь, который регистрируется в клиенте Microsoft Entra, становится первым глобальным администратором.
Назначение ролей администратора другим пользователям
Сброс паролей для любого пользователя и других администраторов
Администратор пользователей Создание всех аспектов пользователей и групп и управление ими
Управление запросами в службу поддержки
Мониторинг работоспособности служб
Изменение паролей для пользователей, администраторов службы технической поддержки и других администраторов пользователей
администратора выставления счетов; Совершение покупок
Управление подписками
Управление запросами в службу поддержки
Мониторинг работоспособности службы

В портал Azure вы увидите список ролей Microsoft Entra на экране ролей и администраторов.

Снимок экрана: роли Microsoft Entra в окне

Различия между ролями Azure и ролями Microsoft Entra

На высоком уровне разрешения управления ролями Azure для управления ресурсами Azure, а роли Microsoft Entra управляют разрешениями для управления ресурсами Microsoft Entra. Сравнение различий приводится в следующей таблице.

Роли Azure Роли Microsoft Entra
Управление доступом к ресурсам Azure Управление доступом к ресурсам Microsoft Entra
Поддержка пользовательских ролей Поддержка пользовательских ролей
Возможность указывать область действия на нескольких уровнях (группа управления, подписка, группа ресурсов, ресурс) Область находится на уровне клиента или может применяться к административной единице.
Сведения о роли можно получить на портале Azure, в Azure CLI, Azure PowerShell, в шаблонах Azure Resource Manager и API REST Доступ к сведениям о роли можно получить на портале администрирования Azure, Центр администрирования Microsoft 365, Microsoft Graph и PowerShell.

Перекрываются ли роли Azure и роли Microsoft Entra?

По умолчанию роли Azure и роли Microsoft Entra не охватывают идентификатор Azure и Microsoft Entra. Однако если глобальный администратор повышает доступ, выбрав параметр управления доступом для ресурсов Azure в портал Azure, глобальный администратор будет предоставлен роль администратора доступа пользователей (роль Azure) для всех подписок для конкретного клиента. Роль администратора доступа пользователей позволяет предоставлять другим пользователям доступ к ресурсам Azure. Этот параметр может использоваться для восстановления доступа к подписке.

Несколько ролей Microsoft Entra охватывают идентификатор Microsoft Entra и Microsoft 365, такие как роли глобального администратора и администратора пользователей. Например, если вы являетесь членом роли глобального администратора, у вас есть возможности глобального администратора в идентификаторе Microsoft Entra и Microsoft 365, такие как внесение изменений в Microsoft Exchange и Microsoft SharePoint. Тем не менее по умолчанию у глобального администратора отсутствуют права доступа к ресурсам Azure.

Схема связи ролей Azure с ролями Microsoft Entra. Роли Azure, доступные в клиенте Azure. Роли Microsoft Entra также доступны из идентификатора Microsoft Entra и Microsoft 365.

Назначение ролей

Существует несколько способов назначения ролей в идентификаторе Microsoft Entra. Важно выбрать тот вариант, который наилучшим образом соответствует вашим потребностям. Пользовательский интерфейс для каждого способа может быть немного разным, но в целом параметры конфигурации очень похожи. Ниже приведены методы назначения ролей.

  • Назначение роли пользователю или группе

    • Роли идентификатора и администрирование - Microsoft Entra ID - Выберите роль - + Добавить назначение

  • Добавление пользователя или группы к роли

    • Идентификатор записи Майкрософт — открытие пользователей (или групп) — выбор пользователя (или группы) — назначенные роли - и добавление назначения

  • Назначение роли для широкой области, такой как подписка, группа ресурсов или группа управления

    • Осуществляется через управление доступом (IAM) на каждом экране параметров

  • Назначение роли с помощью PowerShell или Microsoft Graph API

  • Назначение роли с помощью управления привилегированными пользователями (PIM)

Вы можете использовать оптимальный способ для своей конфигурации, но будьте осторожны, поскольку какие-либо встроенные ограничения отсутствуют. Вы можете случайно назначить административную роль группе, в которое есть пользователи без потребности в административном доступе. Чрезмерные полномочия могут привести к тому, что пользователь внесет в решение необдуманные изменения или даже откроет путь для злоумышленников. Правильное управление удостоверениями является ключевым.

Пример. Использование PIM для назначения роли

Распространенный способ назначения ролей Microsoft Entra пользователю — на странице назначенных ролей для пользователя. Вы также можете настроить право пользователя на своевременное повышение до роли, используя Управление привилегированными пользователями (PIM).

Примечание.

Если у вас есть план лицензии Microsoft Entra ID Premium P2 и уже используется PIM, все задачи управления ролями выполняются в интерфейсе управление привилегированными пользователями. В настоящее время эта функция ограничена одновременной назначением одной роли. Сейчас нельзя выбрать несколько ролей и назначить их пользователю одновременно.

Снимок экрана: Privileged Identity Manager для пользователей, которым назначена роль глобального администратора и лицензия

Создание и назначение настраиваемой роли в идентификаторе Microsoft Entra

В этом разделе описывается создание новых пользовательских ролей в идентификаторе Microsoft Entra. Основные сведения о пользовательских ролях см. на этой странице. Роль можно назначать только в области действия уровня каталога или в области действия ресурса регистрации приложения.

Пользовательские роли можно создать на вкладке "Роли и администраторы" на странице обзора идентификатора Записи Майкрософт.

  1. Выберите роли и администраторы идентификатора - - Microsoft Entra.

    Снимок экрана: создание или изменение ролей на странице

  2. На вкладке Основы введите имя и описание роли и щелкните Далее.

    Снимок экрана: вкладка

  3. На вкладке Разрешения выберите разрешения, необходимые для управления основными свойствами и свойствами учетных данных для регистрации приложений.

  4. Сначала введите credentials в строке поиска и выберите разрешение microsoft.directory/applications/credentials/update.

    Снимок экрана: Выбор разрешений для настраиваемой роли на вкладке

  5. Затем в строке поиска введите basic, выберите разрешение microsoft.directory/applications/basic/update и щелкните Далее.

  6. На вкладке Просмотр и создание проверьте разрешения и нажмите кнопку Создать.

Ваша пользовательская роль отобразится в списке доступных ролей для назначения.