Dela via

Översikt över rollbaserad åtkomstkontroll i Microsoft Entra-ID

  • Artikel

Den här artikeln beskriver hur du förstår rollbaserad åtkomstkontroll i Microsoft Entra. Med Microsoft Entra-roller kan du bevilja detaljerade behörigheter till dina administratörer, vilket följer principen om minsta behörighet. Inbyggda och anpassade roller i Microsoft Entra fungerar på begrepp som liknar dem du hittar i det rollbaserade åtkomstkontrollsystemet för Azure-resurser (Azure-roller). Den skillnaden mellan dessa två rollbaserade åtkomstkontrollsystem är:

  • Microsoft Entra-roller styr åtkomsten till Microsoft Entra-resurser, till exempel användare, grupper och program med hjälp av Microsoft Graph API
  • Azure-roller kontrollerar åtkomst till Azure-resurser såsom virtuella datorer eller lagring genom Azure Resource Management.

Båda systemen innehåller rolldefinitioner och rolltilldelningar som används på liknande sätt. Microsoft Entra-rollbehörigheter kan dock inte användas i anpassade Azure-roller och vice versa.

Förstå rollbaserad åtkomstkontroll i Microsoft Entra

Microsoft Entra ID har stöd för två typer av rolldefinitioner:

Standardroller är fördefinierade roller som har en fast uppsättning behörigheter. Dessa rolldefinitioner kan inte ändras. Det finns många inbyggda roller som Microsoft Entra ID stöder och listan växer. För att finslipa detaljerna och möta dina sofistikerade krav har Microsoft Entra ID även stöd för anpassade roller. Att bevilja behörighet med anpassade Microsoft Entra-roller är en tvåstegsprocess som innebär att skapa en anpassad rolldefinition och sedan tilldela den med hjälp av en rolltilldelning. En anpassad rolldefinition är en samling behörigheter som du lägger till från en förinställd lista. Dessa behörigheter är samma behörigheter som används i de inbyggda rollerna.

När du har skapat din anpassade rolldefinition (eller med hjälp av en inbyggd roll) kan du tilldela den till en användare genom att skapa en rolltilldelning. En rolltilldelning ger användaren behörigheterna i en rolldefinition i ett angivet omfång. Med den här tvåstegsprocessen kan du skapa en enskild rolldefinition och tilldela den många gånger i olika omfång. Ett omfång definierar uppsättningen Microsoft Entra-resurser som rollmedlemmen har åtkomst till. Det vanligaste omfånget är organisationsomfattande. En anpassad roll kan tilldelas i organisationsomfattande omfattning, vilket innebär att rollmedlemmen har rollbehörigheter för alla resurser i organisationen. En anpassad roll kan också tilldelas i ett objektomfång. Ett exempel på ett objektomfång skulle vara ett enda program. Samma roll kan ges till en användare över samtliga applikationer i organisationen och sedan till en annan användare med omfattningen endast för appen Contoso Utgiftsrapporter.

Så här avgör Microsoft Entra-ID om en användare har åtkomst till en resurs

Följande är de övergripande steg som Microsoft Entra-ID använder för att avgöra om du har åtkomst till en hanteringsresurs. Använd den här informationen för att felsöka åtkomstproblem.

  1. En användare (eller tjänstens huvudnamn) hämtar en token till Microsoft Graph-slutpunkten.
  2. Användaren gör ett API-anrop till Microsoft Entra-ID via Microsoft Graph med hjälp av den utfärdade token.
  3. Beroende på omständigheterna vidtar Microsoft Entra ID någon av följande åtgärder:
    • Utvärderar användarens rollmedlemskap baserat på wids-anspråket i användarens åtkomsttoken.
    • Hämtar alla rolltilldelningar som gäller för användaren, antingen direkt eller via gruppmedlemskap, till den resurs där åtgärden vidtas.
  4. Microsoft Entra-ID avgör om åtgärden i API-anropet ingår i de roller som användaren har för den här resursen.
  5. Om användaren inte har någon roll med åtgärden i det begärda omfånget beviljas inte åtkomst. Annars beviljas åtkomst.

Rolltilldelning

En rolltilldelning är en Microsoft Entra-resurs som kopplar en rolldefinition till en säkerhetsprincip inom ett visst omfång för att bevilja åtkomst till Microsoft Entra-resurser. Åtkomst beviljas genom att skapa en rolltilldelning och åtkomsten återkallas genom att en rolltilldelning tas bort. I grunden består en rolltilldelning av tre element:

  • Säkerhetsprincip – en identitet som får behörigheterna. Det kan vara en användare, grupp eller ett huvudnamn för tjänsten.
  • Rolldefinition – en samling behörigheter.
  • Omfång – Ett sätt att begränsa var dessa behörigheter är tillämpliga.

Du kan skapa rolltilldelningar och lista rolltilldelningar med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph PowerShelleller Microsoft Graph API. Azure CLI stöds inte för Microsoft Entra-rolltilldelningar.

Följande diagram visar ett exempel på en rolltilldelning. I det här exemplet har Chris tilldelats den anpassade rollen appregistreringsadministratör i omfånget för Contoso Widget Builder-appregistreringen. Tilldelningen ger Chris behörigheter för rollen Appregistreringsadministratör för endast den här specifika appregistreringen.

Rolltilldelning är hur behörigheter framtvingas och har tre delar.

Säkerhetsentitet

Ett säkerhetsobjekt representerar en användare, grupp eller tjänstens huvudnamn som har tilldelats åtkomst till Microsoft Entra-resurser. En användare är en person som har en användarprofil i Microsoft Entra-ID. En grupp är antingen en ny Microsoft 365-grupp eller en säkerhetsgrupp som har angetts som en rolltilldelbar grupp. En tjänstprincipal är en identitet skapad för användning med applikationer, värdtjänster och automatiserade verktyg för att få åtkomst till Microsoft Entra-resurser.

Rolldefinition

En rolldefinition, eller roll, är en samling behörigheter. En rolldefinition visar de åtgärder som kan utföras på Microsoft Entra-resurser, till exempel skapa, läsa, uppdatera och ta bort. Det finns två typer av roller i Microsoft Entra-ID:

  • Inbyggda roller som skapats av Microsoft och som inte kan ändras.
  • Anpassade roller som skapats och hanteras av din organisation.

Omfattning

Ett omfång är ett sätt att begränsa tillåtna åtgärder till en viss uppsättning resurser som en del av en rolltilldelning. Om du till exempel vill tilldela en anpassad roll till en utvecklare, men bara för att hantera en specifik programregistrering, kan du inkludera den specifika programregistreringen som ett omfång i rolltilldelningen.

När du tilldelar en roll anger du någon av följande typer av omfång:

Om du anger en Microsoft Entra-resurs som omfång kan det vara något av följande:

  • Microsoft Entra-grupper
  • Företagsprogram
  • Applikationsregistreringar

När en roll tilldelas över ett containeromfång, såsom hyresgästen eller en administrativ enhet, ger den behörighet för de objekt som de innehåller men inte på själva behållaren. Tvärtom, när en roll tilldelas över ett resursomfång beviljar den behörigheter för själva resursen, men den sträcker sig inte längre än (i synnerhet utökas den inte till medlemmarna i en Microsoft Entra-grupp).

Mer information finns i Tilldela Microsoft Entra-roller i olika omfång.

Alternativ för rolltilldelning

Microsoft Entra ID innehåller flera alternativ för att tilldela roller:

  • Du kan tilldela roller direkt till användare, vilket är standardsättet för att tilldela roller. Både inbyggda och anpassade Microsoft Entra-roller kan tilldelas till användare baserat på åtkomstkrav. Mer information finns i Tilldela Microsoft Entra-roller till användare.
  • Med Microsoft Entra ID P1 kan du skapa rolltilldelningsbara grupper och tilldela roller till dessa grupper. Genom att tilldela roller till en grupp i stället för enskilda användare kan du enkelt lägga till eller ta bort användare från en roll och skapa konsekventa behörigheter för alla medlemmar i gruppen. Mer information finns i Tilldela Microsoft Entra-roller till grupper.
  • Med Microsoft Entra ID P2 kan du använda Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) för att ge just-in-time-åtkomst till roller. Med den här funktionen kan du bevilja tidsbegränsad åtkomst till en roll till användare som behöver den, i stället för att bevilja permanent åtkomst. Den innehåller även detaljerade funktioner för rapportering och granskning. Mer information finns i Tilldela Microsoft Entra-roller i Privileged Identity Management.

Licenskrav

Det är kostnadsfritt att använda inbyggda roller i Microsoft Entra-ID. Om du använder anpassade roller krävs en Microsoft Entra ID P1-licens för varje användare med en anpassad rolltilldelning. Information om hur du hittar rätt licens för dina krav finns i Jämföra allmänt tillgängliga funktioner i de kostnadsfria och Premium-utgåvorna.

Nästa steg