Анализ разрешений роли Microsoft Entra

  • 3 мин

Что такое разрешение? В словаре "разрешение" имеет следующее определение: согласие или авторизация для выполнения определенного действия. В идентификаторе Microsoft Entra у вас есть разрешения для каждой операции, которую вы можете выполнить. Это может быть разрешение на просмотр параметров которая дает возможность изменять параметры. Также вам могут быть предоставлены разрешения на добавление или удаление пользователей, и многое другое. Есть два основных места, где можно назначить разрешение на уровне пользователя или группы. Но в конечном счете все разрешения применяются к конкретному пользователю. Что касается пользователей, это могут быть полноценные участники или гостевые пользователи. По умолчанию для гостевого пользователя предоставляется немного меньше разрешений, чем для участника.

Пример разрешений по умолчанию для пользователей

Пользователи-члены Гостевые пользователи
Получение списка всех пользователей и контактов Чтение собственных свойств
Приглашение гостевых пользователей Приглашение гостевых пользователей
Возможность создавать функции безопасности и группы Microsoft 365 Возможность выполнять поиск не скрытых групп по имени
Регистрация новых приложений Чтение свойств зарегистрированных и корпоративных приложений

Примечание.

Это лишь небольшое подмножество, которое демонстрирует различия. Полный список разрешений пользователя по умолчанию см. здесь

Управление разрешениями — добавление и ограничение

Параметры пользователя Роли и администраторы
Снимок экрана: параметры пользователя идентификатора Microsoft Entra, где разрешения могут быть ограничены. Снимок экрана: экран

Параметры пользователя можно использовать внутри идентификатора Microsoft Entra ID. Управление меню для ограничения или управления разрешениями по умолчанию для пользователей по умолчанию. Вы также можете использовать интерфейс "Роли и администраторы" для добавления новых разрешений пользователям и группам. Всегда используйте концепцию минимально необходимых привилегий, чтобы пользователи имели только строго необходимые им права. В разделе "Параметры пользователя" можно ограничить для пользователя возможности выполнять следующие действия:

  • Регистрация приложений
  • Доступ к порталу Azure
  • блокировка подключений LinkedIn;
  • управление параметрами внешней совместной работы.

Добавляя роли в определенную учетную запись пользователя или группу, вы можете предоставлять новые разрешения пользователям-участникам, гостевым пользователям и субъектам-службам. Добавление ролей предоставляет разрешения на выполнение определенных действий. Каждое из этих действий ограничено, что позволяет применять правило минимально необходимых привилегий.

Изучение доступных разрешений

Снимок экрана: средство чтения определений атрибута с разрешениями, которые предоставляет встроенная роль.

По возможности следует предоставлять только минимальный набор разрешений, необходимых пользователю. Поэтому вам важно знать, какие разрешения предоставляются при назначении конкретной роли. Список разрешений можно просмотреть в описании каждой роли. Чтобы открыть, запустите идентификатор Microsoft Entra, а затем откройте экран "Роли и администраторы ". Выберите здесь роль и откройте для нее страницу описания, используя меню с многоточием (...). В зависимости от выбранной роли вы увидите большой или маленький список разрешений. Два набора разрешений:

  • Разрешения роли
  • Основные разрешения на чтение для гостевого пользователя и субъекта-службы