Förstå roller i Microsoft Entra ID
Det finns cirka 60 inbyggda Microsoft Entra-roller, som är roller med en fast uppsättning rollbehörigheter. För att komplettera de inbyggda rollerna har Microsoft Entra även stöd för anpassade roller. Använd anpassade roller för att välja de rollbehörigheter som du vill använda. Du kan till exempel skapa en för att hantera vissa Microsoft Entra-resurser, till exempel program eller tjänstens huvudnamn.
Den här artikeln förklarar vad Microsoft Entra-roller är och hur de kan användas.
Hur Microsoft Entra-roller skiljer sig från andra Microsoft 365-roller
Det finns många olika tjänster i Microsoft 365, till exempel Microsoft Entra ID och Intune. Vissa av dessa tjänster har egna rollbaserade åtkomstkontrollsystem, särskilt:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Microsoft 365 Defender-portalen
- Efterlevnadsportal
- Cost Management + Billing
Andra tjänster som Teams, SharePoint och Managed Desktop har inte separata rollbaserade åtkomstkontrollsystem. De använder Microsoft Entra-roller för sin administrativa åtkomst. Azure har ett eget rollbaserat åtkomstkontrollsystem för Azure-resurser som virtuella datorer, och det här systemet är inte detsamma som Microsoft Entra-roller.
När vi säger ett separat rollbaserat åtkomstkontrollsystem innebär det att det finns ett annat datalager där rolldefinitioner och rolltilldelningar lagras. På samma sätt finns det en annan principbeslutspunkt där åtkomstkontroller sker. Mer information finns i Roller för Microsoft-tjänster- och Azure-roller, Microsoft Entra-roller och klassiska administratörsroller för prenumerationer.
Varför vissa Microsoft Entra-roller är till för andra tjänster
Microsoft 365 har ett antal rollbaserade åtkomstkontrollsystem som utvecklats oberoende över tid, var och en med sin egen tjänstportal. För att göra det bekvämt för dig att hantera identiteter i Microsoft 365 från administrationscentret för Microsoft Entra har vi lagt till några tjänstspecifika inbyggda roller, som var och en ger administrativ åtkomst till en Microsoft 365-tjänst. Ett exempel på det här tillägget är Rollen Exchange-administratör i Microsoft Entra-ID. Den här rollen motsvarar rollgruppen Organisationshantering i det rollbaserade åtkomstkontrollsystemet Exchange och kan hantera alla aspekter av Exchange. På samma sätt lade vi till Rollen Intune-administratör, Teams-administratör, SharePoint-administratör och så vidare. Tjänstspecifika roller är en kategori av inbyggda Microsoft Entra-roller i följande avsnitt.
Kategorier av Microsoft Entra-roller
Inbyggda Microsoft Entra-roller skiljer sig åt i var de kan användas, vilket ingår i följande tre breda kategorier.
- Microsoft Entra-ID-specifika roller: Dessa roller ger behörighet att hantera resurser endast i Microsoft Entra. Till exempel Användaradministratör, Programadministratör, Gruppadministratör beviljar alla behörigheter för att hantera resurser som finns i Microsoft Entra-ID.
- Tjänstspecifika roller i Microsoft Entra-ID: Microsoft-tjänster till exempel Microsoft 365 som definierar roller i Microsoft Entra-ID för tjänstspecifika privilegier för att hantera alla funktioner i tjänsten. Till exempel kan Exchange-administratörs-, Intune-, SharePoint-administratörs- och Teams-administratörsroller hantera funktioner med sina respektive tjänster. Exchange-administratör kan hantera postlådor, Intune-administratör kan hantera enhetsprinciper, SharePoint-administratör kan hantera webbplatssamlingar, Teams-administratör kan hantera samtalskvaliteter och så vidare.
- Roller mellan tjänster i Microsoft Entra-ID: Det finns vissa roller som omfattar tjänster. Vi har två globala roller – Global administratör och global läsare. Alla Microsoft 365-tjänster respekterar dessa två roller. Det finns även vissa säkerhetsrelaterade roller som säkerhetsadministratör och säkerhetsläsare som ger åtkomst till flera säkerhetstjänster i Microsoft 365. Om du till exempel använder säkerhetsadministratörsroller i Microsoft Entra-ID kan du hantera Microsoft 365 Defender-portalen, Microsoft Defender Advanced Threat Protection och Microsoft Defender för molnet Apps. På samma sätt kan du i rollen Efterlevnadsadministratör hantera efterlevnadsrelaterade inställningar i Efterlevnadsportalen, Exchange och så vidare.
Följande tabell erbjuds som ett stöd för att förstå dessa rollkategorier. Kategorierna namnges godtyckligt och är inte avsedda att innebära andra funktioner utöver de dokumenterade Microsoft Entra-rollbehörigheterna.
Kategori | Roll |
---|---|
Microsoft Entra ID-specifika roller | Programadministratör Programutvecklare Autentiseringsadministratör B2C IEF Keyset Administrator B2C IEF Policy Administrator Molnappadministratör Molnenhetsadministratör Administratör för villkorsstyrd åtkomst Enhetsadministratörer Katalogläsare Katalogsynkroniseringskonton Katalogförfattare Administratör för externt ID-användarflöde Administratör för användarflödesattribut för externt ID Administratör för extern identitetsprovider Gruppadministratör Gäst inbjudare Supportadministratör Hybrididentitetsadministratör Licensadministratör Stöd för partnernivå 1 Support för partnernivå 2 Lösenordsadministratör Administratör av privilegierad autentisering Administratör för privilegierad roll Rapportläsare Användaradministratör |
Tjänstspecifika roller i Microsoft Entra-ID | Azure DevOps-administratör Azure Information Protection-administratör Faktureringsadministratör CRM-tjänstadministratör Customer Lockbox Access-godkännare Administratör för Skrivbordsanalys Exchange-tjänstadministratör Insights-administratör Insights Business Leader Administratör för Intune-tjänsten Kaizala-administratör Lync-tjänstadministratör Sekretessläsare för Meddelandecenter Meddelandecenterläsare Modern handelsadministratör Nätverksadministratör Administratör för Office-appar Power BI-tjänstadministratör Power Platform-administratör Skrivaradministratör Skrivartekniker Sökadministratör Sökredigeraren SharePoint-tjänstadministratör Teams kommunikationsadministratör Supporttekniker för Teams-kommunikation Supportspecialist för Teams-kommunikation Administratör för Teams-enheter Teams-administratör |
Roller mellan tjänster i Microsoft Entra-ID | Efterlevnadsadministratör Administratör för efterlevnadsdata Global läsare Säkerhetsadministratör Säkerhetsoperator Säkerhetsläsare Tjänstsupportadministratör |