Dela via


Förstå roller i Microsoft Entra ID

Det finns cirka 60 inbyggda Microsoft Entra-roller, som är roller med en fast uppsättning rollbehörigheter. För att komplettera de inbyggda rollerna har Microsoft Entra även stöd för anpassade roller. Använd anpassade roller för att välja de rollbehörigheter som du vill använda. Du kan till exempel skapa en för att hantera vissa Microsoft Entra-resurser, till exempel program eller tjänstens huvudnamn.

Den här artikeln förklarar vad Microsoft Entra-roller är och hur de kan användas.

Hur Microsoft Entra-roller skiljer sig från andra Microsoft 365-roller

Det finns många olika tjänster i Microsoft 365, till exempel Microsoft Entra ID och Intune. Vissa av dessa tjänster har egna rollbaserade åtkomstkontrollsystem, särskilt:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 365 Defender-portalen
  • Efterlevnadsportal
  • Cost Management + Billing

Andra tjänster som Teams, SharePoint och Managed Desktop har inte separata rollbaserade åtkomstkontrollsystem. De använder Microsoft Entra-roller för sin administrativa åtkomst. Azure har ett eget rollbaserat åtkomstkontrollsystem för Azure-resurser som virtuella datorer, och det här systemet är inte detsamma som Microsoft Entra-roller.

Azure RBAC jämfört med Microsoft Entra-roller

När vi säger ett separat rollbaserat åtkomstkontrollsystem innebär det att det finns ett annat datalager där rolldefinitioner och rolltilldelningar lagras. På samma sätt finns det en annan principbeslutspunkt där åtkomstkontroller sker. Mer information finns i Roller för Microsoft-tjänster- och Azure-roller, Microsoft Entra-roller och klassiska administratörsroller för prenumerationer.

Varför vissa Microsoft Entra-roller är till för andra tjänster

Microsoft 365 har ett antal rollbaserade åtkomstkontrollsystem som utvecklats oberoende över tid, var och en med sin egen tjänstportal. För att göra det bekvämt för dig att hantera identiteter i Microsoft 365 från administrationscentret för Microsoft Entra har vi lagt till några tjänstspecifika inbyggda roller, som var och en ger administrativ åtkomst till en Microsoft 365-tjänst. Ett exempel på det här tillägget är Rollen Exchange-administratör i Microsoft Entra-ID. Den här rollen motsvarar rollgruppen Organisationshantering i det rollbaserade åtkomstkontrollsystemet Exchange och kan hantera alla aspekter av Exchange. På samma sätt lade vi till Rollen Intune-administratör, Teams-administratör, SharePoint-administratör och så vidare. Tjänstspecifika roller är en kategori av inbyggda Microsoft Entra-roller i följande avsnitt.

Kategorier av Microsoft Entra-roller

Inbyggda Microsoft Entra-roller skiljer sig åt i var de kan användas, vilket ingår i följande tre breda kategorier.

  • Microsoft Entra-ID-specifika roller: Dessa roller ger behörighet att hantera resurser endast i Microsoft Entra. Till exempel Användaradministratör, Programadministratör, Gruppadministratör beviljar alla behörigheter för att hantera resurser som finns i Microsoft Entra-ID.
  • Tjänstspecifika roller i Microsoft Entra-ID: Microsoft-tjänster till exempel Microsoft 365 som definierar roller i Microsoft Entra-ID för tjänstspecifika privilegier för att hantera alla funktioner i tjänsten. Till exempel kan Exchange-administratörs-, Intune-, SharePoint-administratörs- och Teams-administratörsroller hantera funktioner med sina respektive tjänster. Exchange-administratör kan hantera postlådor, Intune-administratör kan hantera enhetsprinciper, SharePoint-administratör kan hantera webbplatssamlingar, Teams-administratör kan hantera samtalskvaliteter och så vidare.
  • Roller mellan tjänster i Microsoft Entra-ID: Det finns vissa roller som omfattar tjänster. Vi har två globala roller – Global administratör och global läsare. Alla Microsoft 365-tjänster respekterar dessa två roller. Det finns även vissa säkerhetsrelaterade roller som säkerhetsadministratör och säkerhetsläsare som ger åtkomst till flera säkerhetstjänster i Microsoft 365. Om du till exempel använder säkerhetsadministratörsroller i Microsoft Entra-ID kan du hantera Microsoft 365 Defender-portalen, Microsoft Defender Advanced Threat Protection och Microsoft Defender för molnet Apps. På samma sätt kan du i rollen Efterlevnadsadministratör hantera efterlevnadsrelaterade inställningar i Efterlevnadsportalen, Exchange och så vidare.

De tre kategorierna av inbyggda Microsoft Entra-roller

Följande tabell erbjuds som ett stöd för att förstå dessa rollkategorier. Kategorierna namnges godtyckligt och är inte avsedda att innebära andra funktioner utöver de dokumenterade Microsoft Entra-rollbehörigheterna.

Kategori Roll
Microsoft Entra ID-specifika roller Programadministratör
Programutvecklare
Autentiseringsadministratör
B2C IEF Keyset Administrator
B2C IEF Policy Administrator
Molnappadministratör
Molnenhetsadministratör
Administratör för villkorsstyrd åtkomst
Enhetsadministratörer
Katalogläsare
Katalogsynkroniseringskonton
Katalogförfattare
Administratör för externt ID-användarflöde
Administratör för användarflödesattribut för externt ID
Administratör för extern identitetsprovider
Gruppadministratör
Gäst inbjudare
Supportadministratör
Hybrididentitetsadministratör
Licensadministratör
Stöd för partnernivå 1
Support för partnernivå 2
Lösenordsadministratör
Administratör av privilegierad autentisering
Administratör för privilegierad roll
Rapportläsare
Användaradministratör
Tjänstspecifika roller i Microsoft Entra-ID Azure DevOps-administratör
Azure Information Protection-administratör
Faktureringsadministratör
CRM-tjänstadministratör
Customer Lockbox Access-godkännare
Administratör för Skrivbordsanalys
Exchange-tjänstadministratör
Insights-administratör
Insights Business Leader
Administratör för Intune-tjänsten
Kaizala-administratör
Lync-tjänstadministratör
Sekretessläsare för Meddelandecenter
Meddelandecenterläsare
Modern handelsadministratör
Nätverksadministratör
Administratör för Office-appar
Power BI-tjänstadministratör
Power Platform-administratör
Skrivaradministratör
Skrivartekniker
Sökadministratör
Sökredigeraren
SharePoint-tjänstadministratör
Teams kommunikationsadministratör
Supporttekniker för Teams-kommunikation
Supportspecialist för Teams-kommunikation
Administratör för Teams-enheter
Teams-administratör
Roller mellan tjänster i Microsoft Entra-ID Efterlevnadsadministratör
Administratör för efterlevnadsdata
Global läsare
Säkerhetsadministratör
Säkerhetsoperator
Säkerhetsläsare
Tjänstsupportadministratör

Nästa steg