Dela via


Privilegierade roller och behörigheter i Microsoft Entra-ID (förhandsversion)

Viktigt!

Etiketten för privilegierade roller och behörigheter finns för närvarande i FÖRHANDSVERSION. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Microsoft Entra-ID har roller och behörigheter som identifieras som privilegierade. Dessa roller och behörigheter kan användas för att delegera hantering av katalogresurser till andra användare, ändra autentiseringsuppgifter, autentiserings- eller auktoriseringsprinciper eller få åtkomst till begränsade data. Privilegierade rolltilldelningar kan leda till utökade privilegier om de inte används på ett säkert och avsett sätt. Den här artikeln beskriver privilegierade roller och behörigheter och metodtips för hur du använder.

Vilka roller och behörigheter är privilegierade?

En lista över privilegierade roller och behörigheter finns i Inbyggda Microsoft Entra-roller. Du kan också använda administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API för att identifiera roller, behörigheter och rolltilldelningar som identifieras som privilegierade.

Leta efter etiketten PRIVILEGED i administrationscentret för Microsoft Entra.

Ikon för privilegierad etikett.

På sidan Roller och administratörer identifieras privilegierade roller i kolumnen Privilegierad . Kolumnen Tilldelningar visar antalet rolltilldelningar. Du kan också filtrera privilegierade roller.

Skärmbild av sidan Microsoft Entra-roller och administratörer som visar kolumnerna Privilegierade och Tilldelningar.

När du visar behörigheterna för en privilegierad roll kan du se vilka behörigheter som är privilegierade. Om du visar behörigheterna som standardanvändare kan du inte se vilka behörigheter som är privilegierade.

Skärmbild av sidan Microsoft Entra-roller och administratörer som visar privilegierade behörigheter för en roll.

När du skapar en anpassad roll kan du se vilka behörigheter som är privilegierade och den anpassade rollen kommer att märkas som privilegierad.

Skärmbild av sidan Ny anpassad roll som visar en anpassad roll med privilegierade behörigheter.

Metodtips för att använda privilegierade roller

Här följer några metodtips för att använda privilegierade roller.

  • Tillämpa principen om lägsta behörighet
  • Använd Privileged Identity Management för att bevilja just-in-time-åtkomst
  • Aktivera multifaktorautentisering för alla dina administratörskonton
  • Konfigurera återkommande åtkomstgranskningar för att återkalla onödiga behörigheter över tid
  • Begränsa antalet globala administratörer till mindre än 5
  • Begränsa antalet privilegierade rolltilldelningar till mindre än 10

Mer information finns i Metodtips för Microsoft Entra-roller.

Privilegierade behörigheter jämfört med skyddade åtgärder

Privilegierade behörigheter och skyddade åtgärder är säkerhetsrelaterade funktioner som har olika syften. Behörigheter som har etiketten PRIVILEGED hjälper dig att identifiera behörigheter som kan leda till utökade privilegier om de inte används på ett säkert och avsett sätt. Skyddade åtgärder är rollbehörigheter som har tilldelats principer för villkorlig åtkomst för extra säkerhet, till exempel att kräva multifaktorautentisering. Krav för villkorsstyrd åtkomst tillämpas när en användare utför den skyddade åtgärden. Skyddade åtgärder finns för närvarande i förhandsversion. Mer information finns i Vad är skyddade åtgärder i Microsoft Entra-ID?.

Kapacitet Privilegierad behörighet Skyddad åtgärd
Identifiera behörigheter som ska användas på ett säkert sätt
Kräv ytterligare säkerhet för att utföra en åtgärd

Terminologi

För att förstå privilegierade roller och behörigheter i Microsoft Entra-ID hjälper det till att känna till några av följande terminologi.

Period Definition
åtgärd En aktivitet som ett säkerhetsobjekt kan utföra på en objekttyp. Kallas ibland för en åtgärd.
tillåtelse En definition som anger vilken aktivitet ett säkerhetsobjekt kan utföra på en objekttyp. En behörighet innehåller en eller flera åtgärder.
privilegierad behörighet I Microsoft Entra-ID kan behörigheter som kan användas för att delegera hantering av katalogresurser till andra användare, ändra autentiseringsuppgifter, autentiserings- eller auktoriseringsprinciper eller komma åt begränsade data.
privilegierad roll En inbyggd eller anpassad roll som har en eller flera privilegierade behörigheter.
privilegierad rolltilldelning En rolltilldelning som använder en privilegierad roll.
utökade privilegier När ett säkerhetsobjekt får fler behörigheter än den tilldelade rollen som ursprungligen tillhandahålls genom att personifiera en annan roll.
skyddad åtgärd Behörigheter med villkorsstyrd åtkomst som tillämpas för extra säkerhet.

Förstå rollbehörigheter

Schemat för behörigheter följer löst REST-formatet för Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Till exempel:

microsoft.directory/applications/credentials/update

Behörighetselement beskrivning
namnområde Produkt eller tjänst som exponerar uppgiften och förbereds med microsoft. Till exempel använder microsoft.directory alla uppgifter i Microsoft Entra-ID namnområdet.
entity Logisk funktion eller komponent som exponeras av tjänsten i Microsoft Graph. Microsoft Entra-ID exponerar till exempel användare och grupper, OneNote exponerar anteckningar och Exchange exponerar postlådor och kalendrar. Det finns ett särskilt allEntities nyckelord för att ange alla entiteter i ett namnområde. Detta används ofta i roller som ger åtkomst till en hel produkt.
propertySet Specifika egenskaper eller aspekter av entiteten för vilken åtkomst beviljas. Ger till exempel microsoft.directory/applications/authentication/read möjlighet att läsa svars-URL, utloggnings-URL och implicit flödesegenskap för programobjektet i Microsoft Entra-ID.
  • allProperties anger alla egenskaper för entiteten, inklusive privilegierade egenskaper.
  • standard anger vanliga egenskaper, men exkluderar privilegierade som är relaterade till read åtgärder. Omfattar till exempel microsoft.directory/user/standard/read möjligheten att läsa standardegenskaper som offentligt telefonnummer och e-postadress, men inte det privata sekundära telefonnumret eller e-postadressen som används för multifaktorautentisering.
  • basic anger vanliga egenskaper, men exkluderar privilegierade som är relaterade till åtgärden update . Den uppsättning egenskaper som du kan läsa kan skilja sig från vad du kan uppdatera. Det är därför det finns standard och basic nyckelord som återspeglar det.
åtgärd Åtgärd som beviljas, oftast skapa, läsa, uppdatera eller ta bort (CRUD). Det finns ett särskilt allTasks nyckelord för att ange alla ovanstående funktioner (skapa, läsa, uppdatera och ta bort).

Jämföra autentiseringsroller

I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.

Roll Hantera användarens autentiseringsmetoder Hantera MFA per användare Hantera MFA-inställningar Hantera policyn för autentiseringsmetod Hantera policyn för lösenordsskydd Uppdatera känsliga egenskaper Ta bort och återställa användare
Autentiseringsadministratör Ja för vissa användare Ja för vissa användare Ja Nej Nej Ja för vissa användare Ja för vissa användare
Administratör för privilegierad autentisering Ja för alla användare Ja för alla användare Nej Nej Nej Ja för alla användare Ja för alla användare
Administratör för autentiseringsprincip Nej Ja Ja Ja Ja Nej Nej
Användaradministratör Nej Nej Nej Nej Nej Ja för vissa användare Ja för vissa användare

Vem kan återställa lösenord

I följande tabell visar kolumnerna de roller som kan återställa lösenord och ogiltigförklara uppdateringstoken. Raderna visar de roller för vilka deras lösenord kan återställas. En lösenordsadministratör kan till exempel återställa lösenordet för katalogläsare, gästinbjudare, lösenordsadministratör och användare utan administratörsroll. Om en användare tilldelas någon annan roll kan lösenordsadministratören inte återställa sitt lösenord.

Följande tabell gäller för roller som tilldelats i omfånget för en klientorganisation. För roller som tilldelats inom en administrativ enhets omfång gäller ytterligare begränsningar.

Roll som lösenordet kan återställas Lösenordsadministratör Supportavdelningsadministratör Autentiseringsadministratör Användaradministratör Administratör för privilegierad autentisering Global administratör
Autentiseringsadministratör      
Katalogläsare
Global administratör         ✅*
Gruppadministratör      
Gäst inbjudare
Supportavdelningsadministratör    
Meddelandecenterläsare  
Lösenordsadministratör
Administratör för privilegierad autentisering        
Privilegierad rolladministratör        
Rapportläsare  
User
(ingen administratörsroll)
User
(ingen administratörsroll, men medlem eller ägare av en rolltilldelningsbar grupp)
       
Användare med en roll som är begränsad till en administrativ enhet för begränsad hantering        
Användaradministratör      
Hanteraren för användarupplevelse  
Läsare av användningssammanfattningsrapporter  
Alla andra inbyggda och anpassade roller

Viktigt!

Partnernivå 2-supportrollen kan återställa lösenord och ogiltigförklara uppdateringstoken för alla icke-administratörer och administratörer (inklusive globala administratörer). Partnernivå1-supportrollen kan återställa lösenord och ogiltigförklara uppdateringstoken för endast icke-administratörer. Dessa roller bör inte användas eftersom de är inaktuella.

Möjligheten att återställa ett lösenord inkluderar möjligheten att uppdatera följande känsliga egenskaper som krävs för lösenordsåterställning med självbetjäning:

  • businessPhones
  • mobilePhone
  • otherMails

Vem kan utföra känsliga åtgärder

Vissa administratörer kan utföra följande känsliga åtgärder för vissa användare. Alla användare kan läsa de känsliga egenskaperna.

Känslig åtgärd Namn på känslig egenskap
Inaktivera eller aktivera användare accountEnabled
Uppdatera företagstelefon businessPhones
Uppdatera mobiltelefonen mobilePhone
Uppdatera lokalt oföränderligt ID onPremisesImmutableId
Uppdatera andra e-postmeddelanden otherMails
Uppdatera lösenordsprofil passwordProfile
Uppdatera användarens huvudnamn userPrincipalName
Ta bort eller återställa användare Inte tillämpligt

I följande tabell visar kolumnerna de roller som kan utföra känsliga åtgärder. Raderna visar de roller som den känsliga åtgärden kan utföras för.

Följande tabell gäller för roller som tilldelats i omfånget för en klientorganisation. För roller som tilldelats inom en administrativ enhets omfång gäller ytterligare begränsningar.

Roll som känslig åtgärd kan utföras på Autentiseringsadministratör Användaradministratör Administratör för privilegierad autentisering Global administratör
Autentiseringsadministratör  
Katalogläsare
Global administratör    
Gruppadministratör  
Gäst inbjudare
Supportavdelningsadministratör  
Meddelandecenterläsare
Lösenordsadministratör
Administratör för privilegierad autentisering    
Privilegierad rolladministratör    
Rapportläsare
User
(ingen administratörsroll)
User
(ingen administratörsroll, men medlem eller ägare av en rolltilldelningsbar grupp)
   
Användare med en roll som är begränsad till en administrativ enhet för begränsad hantering    
Användaradministratör  
Hanteraren för användarupplevelse
Läsare av användningssammanfattningsrapporter
Alla andra inbyggda och anpassade roller

Nästa steg