Beskriva Microsoft Entra-roller och rollbaserad åtkomstkontroll (RBAC)
Microsoft Entra-roller styr behörigheter för att hantera Microsoft Entra-resurser. Till exempel att tillåta att användarkonton skapas eller faktureringsinformation visas. Microsoft Entra ID stöder inbyggda och anpassade roller.
Hantering av åtkomst med hjälp av roller kallas rollbaserad åtkomstkontroll (RBAC). Inbyggda och anpassade Roller i Microsoft Entra är en form av RBAC eftersom Microsoft Entra-roller styr åtkomsten till Microsoft Entra-resurser. Detta kallas Microsoft Entra RBAC.
Inbyggda roller
Microsoft Entra-ID innehåller många inbyggda roller, som är roller med en fast uppsättning behörigheter. Några av de vanligaste inbyggda rollerna är:
- Global administratör: användare med den här rollen har åtkomst till alla administrativa funktioner i Microsoft Entra. Den person som registrerar sig för Microsoft Entra-klientorganisationen blir automatiskt global administratör.
- Användaradministratör: Användare med den här rollen kan skapa och hantera alla aspekter av användare och grupper. Den här rollen omfattar även möjligheten att hantera supportärenden och övervaka tjänstens hälsa.
- Faktureringsadministratör: användare med den här rollen gör inköp, hanterar prenumerationer och supportärenden och övervakar tjänstens hälsa.
Alla inbyggda roller är förkonfigurerade paket med behörigheter som är utformade för specifika uppgifter. Den fasta uppsättningen behörigheter som ingår i de inbyggda rollerna kan inte ändras.
Anpassade roller
Även om det finns många inbyggda administratörsroller i Microsoft Entra ger anpassade roller flexibilitet när du beviljar åtkomst. En anpassad rolldefinition är en samling behörigheter som du väljer från en förinställd lista. Listan över behörigheter att välja mellan är samma behörigheter som används av de inbyggda rollerna. Skillnaden är att du får välja vilka behörigheter du vill inkludera i en anpassad roll.
Att bevilja behörighet med anpassade Microsoft Entra-roller är en tvåstegsprocess. Det första steget handlar om att skapa en anpassad rolldefinition som består av en samling behörigheter som du lägger till från en förinställd lista. När du har skapat din anpassade rolldefinition är det andra steget att tilldela rollen till användare eller grupper genom att skapa en rolltilldelning.
En rolltilldelning ger användaren behörigheterna i en rolldefinition i ett angivet omfång. Ett omfång definierar den uppsättning Microsoft Entra-resurser som rollmedlemmen har åtkomst till. En anpassad roll kan tilldelas i hela organisationen, vilket innebär att rollmedlemmen har rollbehörigheter för alla resurser. En anpassad roll kan även tilldelas i ett objektomfång. Ett exempel på ett objektomfång är ett enda program. Samma roll kan tilldelas till en användare över alla program i organisationen och sedan till en annan användare med enbart omfånget Contosos utgiftsrapporter.
Anpassade roller kräver en Microsoft Entra ID P1- eller P2-licens.
Bevilja endast den åtkomst som användarna behöver
Det är bästa praxis och säkrare att ge användarna minst behörighet för att få sitt arbete gjort. Det innebär att om någon mestadels hanterar användare bör du tilldela användaradministratörsrollen och inte global administratör. Genom att tilldela minsta möjliga behörighet begränsar du den skada som kan göras med ett komprometterat konto.
Kategorier av Microsoft Entra-roller
Microsoft Entra-ID är en tillgänglig tjänst om du prenumererar på något Microsoft Online-affärserbjudande, till exempel Microsoft 365 och Azure.
Tillgängliga Microsoft 365-tjänster inkluderar Microsoft Entra ID, Exchange, SharePoint, Microsoft Defender, Teams, Intune och många fler.
Med tiden har vissa Microsoft 365-tjänster, till exempel Exchange och Intune, utvecklat egna rollbaserade åtkomstkontrollsystem (RBAC), precis som Microsoft Entra-tjänsten har Microsoft Entra-roller för att styra åtkomsten till Microsoft Entra-resurser. Andra tjänster som Teams och SharePoint har inte separata rollbaserade åtkomstkontrollsystem, de använder Microsoft Entra-roller för sin administrativa åtkomst.
För att göra det bekvämt att hantera identiteter mellan Microsoft 365-tjänster har Microsoft Entra-ID lagt till vissa tjänstspecifika, inbyggda roller, som var och en ger administrativ åtkomst till en Microsoft 365-tjänst. Det innebär att inbyggda Microsoft Entra-roller skiljer sig åt i var de kan användas. Det finns tre breda kategorier.
Microsoft Entra-specifika roller: Dessa roller ger behörighet att hantera resurser endast inom Microsoft Entra. Till exempel Användaradministratör, Programadministratör, Gruppadministratör beviljar alla behörigheter för att hantera resurser som finns i Microsoft Entra-ID.
Tjänstspecifika roller: För större Microsoft 365-tjänster innehåller Microsoft Entra-ID inbyggda, tjänstspecifika roller som ger behörighet att hantera funktioner i tjänsten. Microsoft Entra-ID innehåller till exempel inbyggda roller för exchangeadministratörs-, Intune-, SharePoint-administratörs- och Teams-administratörsroller som kan hantera funktioner med respektive tjänster.
Roller mellan tjänster: Det finns vissa roller i Microsoft Entra-ID:t som omfattar tjänster. Microsoft Entra-ID har till exempel säkerhetsrelaterade roller, till exempel säkerhetsadministratör, som ger åtkomst till flera säkerhetstjänster i Microsoft 365. På samma sätt ger rollen Efterlevnadsadministratör åtkomst för att hantera efterlevnadsrelaterade inställningar i Microsoft 365 Efterlevnadscenter, Exchange och så vidare.
Skillnad mellan Microsoft Entra RBAC och Azure RBAC
Som beskrivs ovan är inbyggda Och anpassade roller i Microsoft Entra en form av RBAC eftersom de styr åtkomsten till Microsoft Entra-resurser. Detta kallas Microsoft Entra RBAC. På samma sätt som Microsoft Entra-roller kan styra åtkomsten till Microsoft Entra-resurser, så kan även Azure-roller styra åtkomsten till Azure-resurser. Detta kallas Azure RBAC. Även om begreppet RBAC gäller för både Microsoft Entra RBAC och Azure RBAC, är det de styr olika.
- Microsoft Entra RBAC – Microsoft Entra-roller styr åtkomsten till Microsoft Entra-resurser som användare, grupper och program.
- Azure RBAC – Azure-roller styr åtkomsten till Azure-resurser, till exempel virtuella datorer eller lagring med hjälp av Azure Resource Management.
Det finns olika datalager där rolldefinitioner och rolltilldelningar lagras. På samma sätt finns det olika principbeslutspunkter där åtkomstkontroller sker.