Konfigurera och hantera Microsoft Entra-roller

  • 7 minuter

Microsoft Entra-ID är Microsofts molnbaserade tjänst för identitets- och åtkomsthantering som hjälper medarbetarens inloggnings- och åtkomstresurser i:

  • Externa resurser, till exempel Microsoft 365, Azure Portal och tusentals andra SaaS-program.
  • Interna resurser, som appar i företagets nätverk och intranät, tillsammans med molnappar som utvecklats av din egen organisation.

Vem använder Microsoft Entra-ID?

Microsoft Entra-ID är avsett för:

  • IT-administratörer – Som IT-administratör kan du använda Microsoft Entra-ID för att styra åtkomsten till dina appar och dina appresurser baserat på dina affärskrav. Du kan till exempel använda Microsoft Entra-ID för att kräva multifaktorautentisering vid åtkomst till viktiga organisationsresurser. Dessutom kan du använda Microsoft Entra-ID för att automatisera användaretablering mellan din befintliga Windows Server AD och dina molnappar, inklusive Microsoft 365. Slutligen ger Microsoft Entra-ID dig kraftfulla verktyg för att automatiskt skydda användaridentiteter och autentiseringsuppgifter och för att uppfylla dina krav på åtkomststyrning.
  • Apputvecklare – Som apputvecklare kan du använda Microsoft Entra-ID som en standardbaserad metod för att lägga till enkel inloggning (SSO) i din app, så att den kan fungera med en användares befintliga autentiseringsuppgifter. Microsoft Entra ID innehåller också API:er som kan hjälpa dig att skapa anpassade appupplevelser med hjälp av befintliga organisationsdata.
  • Microsoft 365-, Office 365-, Azure- eller Dynamics CRM Online-prenumeranter – Som prenumerant använder du redan Microsoft Entra-ID. Varje Microsoft 365-, Office 365-, Azure- och Dynamics CRM Online-klientorganisation är automatiskt en Microsoft Entra-klientorganisation. Du börjar direkt att hantera åtkomsten till dina integrerade molnappar.

Om någon av dina användare behöver behörighet att hantera Microsoft Entra-resurser i Microsoft Entra-ID måste du tilldela dem till en roll som ger de behörigheter de behöver.

Om du är nybörjare på Azure kan det vara lite svårt att förstå alla olika roller i Azure. I följande avsnitt förklaras följande roller och ytterligare information om Azure-roller och Microsoft Entra-roller:

  • Administratörsroller för klassiska prenumerationer
  • Azure-roller
  • Microsoft Entra-roller

Microsoft Entra-roller

Microsoft Entra-roller används för att hantera Microsoft Entra-resurser i en katalog. Åtgärder som att skapa eller redigera användare är de vanligaste. Behovet av att tilldela administrativa roller till andra, återställa användarlösenord, hantera användarlicenser och hantera domäner är dock vanligt. I följande tabell beskrivs några av de viktigare Microsoft Entra-rollerna.

Microsoft Entra-roll Behörigheter Anteckningar
Global administratör Hantera åtkomst till alla administrativa funktioner i Microsoft Entra-ID och tjänster som federeras till Microsoft Entra-ID Den person som registrerar sig för Microsoft Entra-klientorganisationen blir den första globala administratören.
Tilldela administratörsroller till andra
Återställa lösenordet för valfri användare och alla andra administratörer
Användaradministratör Skapa och hantera alla aspekter av användare och grupper
Hantera supportbegäranden
Övervaka tjänstens hälsa
Ändra lösenord för användare, supportadministratörer och andra användaradministratörer
Faktureringsadministratör Genomför inköp
Hantera prenumerationer
Hantera supportbegäranden
Övervakar tjänstens hälsa

I Azure Portal kan du se listan över Microsoft Entra-roller på skärmen Roller och administratörer.

Skärmbild av Microsoft Entra-rollerna i fönstret Roller och administratörer i menyn Hantera Microsoft Entra-ID i Azure Portal.

Skillnader mellan Azure-roller och Microsoft Entra-roller

På hög nivå styr Azure-roller behörigheter för att hantera Azure-resurser, medan Microsoft Entra-roller styr behörigheter för att hantera Microsoft Entra-resurser. I följande tabell jämförs några av skillnaderna.

Azure-roller Microsoft Entra-roller
Hantera åtkomst till Azure-resurser Hantera åtkomst till Microsoft Entra-resurser
Stöder anpassade roller Stöder anpassade roller
Omfånget kan anges på flera nivåer (hanteringsgrupp, prenumeration, resursgrupp och resurs) Omfånget är på klientorganisationsnivå eller kan tillämpas på en administrativ enhet
Rollinformation kan nås i Azure-portalen, Azure CLI, Azure PowerShell, Azure Resource Manager-mallar samt REST API Rollinformation kan nås i Azure-administratörsportalen, Administrationscenter för Microsoft 365, Microsoft Graph och PowerShell

Överlappar Azure-roller och Microsoft Entra-roller?

Som standard omfattar inte Azure-roller och Microsoft Entra-roller Azure- och Microsoft Entra-ID. Men om en global administratör höjer sin åtkomst genom att välja växlingen Åtkomsthantering för Azure-resurser i Azure Portal beviljas den globala administratören rollen Administratör för användaråtkomst (en Azure-roll) för alla prenumerationer för en viss klientorganisation. Med rollen Administratör för användaråtkomst kan användaren bevilja åtkomst till Azure-resurser för andra användare. Den här växeln kan vara användbar för att få åtkomst till en prenumeration.

Flera Microsoft Entra-roller omfattar Microsoft Entra-ID och Microsoft 365, till exempel rollerna Global administratör och Användaradministratör. Om du till exempel är medlem i rollen Global administratör har du globala administratörsfunktioner i Microsoft Entra-ID och Microsoft 365, till exempel att göra ändringar i Microsoft Exchange och Microsoft SharePoint. Som standard har den globala administratören dock inte åtkomst till Azure-resurser.

Diagram över relationen mellan Azure-roller och Microsoft Entra-roller. Azure-roller som används i Azure-klientorganisationen. Microsoft Entra-roller som också nås från Microsoft Entra ID och Microsoft 365.

Tilldela roller

Det finns flera sätt att tilldela roller i Microsoft Entra-ID. Du måste välja den som bäst uppfyller dina behov. Användargränssnittet kan vara något annorlunda för varje metod, men konfigurationsalternativen är liknande. Metoder för att tilldela roller är:

  • Tilldela en roll till en användare eller grupp

    • Microsoft Entra-ID-roller och -administration - Välj en roll - + Lägg till tilldelning -

  • Tilldela en användare eller grupp till en roll

    • Microsoft Entra-ID – Öppna användare (eller grupper) – Välj en användare (eller grupp) – Tilldelade roller - + Lägg till tilldelning

  • Tilldela en roll till ett brett omfång, till exempel en prenumeration, resursgrupp eller hanteringsgrupp

    • Klar via åtkomstkontrollen (IAM) på varje inställningsskärm

  • Tilldela en roll med Hjälp av PowerShell eller Microsoft Graph API

  • Tilldela en roll med privileged Identity Management (PIM)

Den bästa metoden för dina konfigurationsbehov kan användas, men du måste vara försiktig eftersom det inte finns några inbyggda begränsningar. Du kan av misstag tilldela en administrativ roll till en grupp med användare som inte behöver administrativ åtkomst. Extra behörigheter kan leda till en lösning som ändras av en användare utan tillräcklig kunskap om vad de gör, eller till och med en möjlig väg för angripare. Rätt identitetsstyrning är nyckeln.

Exempel – använda PIM för att tilldela en roll

Ett vanligt sätt att tilldela Microsoft Entra-roller till en användare är på sidan Tilldelade roller för en användare. Du kan också konfigurera användarens berättigande till att utökas just-in-time till en roll med hjälp av Privileged Identity Management (PIM).

Kommentar

Om du har en Licensplan för Microsoft Entra ID Premium P2 och redan använder PIM utförs alla rollhanteringsuppgifter i funktionen Privileged Identity Management. Den här funktionen är för närvarande begränsad till att endast tilldela en roll i taget. Du kan för närvarande inte välja flera roller och tilldela dem till en användare samtidigt.

Skärmbild av Privileged Identity Manager för användare som tilldelats global administratör och har en Premium P2-licens.

Skapa och tilldela en anpassad roll i Microsoft Entra-ID

I det här avsnittet beskrivs hur du skapar nya anpassade roller i Microsoft Entra-ID. Grunderna för anpassade roller finns i översikten över anpassade roller. Rollen kan tilldelas antingen i katalognivåomfånget eller endast i ett resursomfång för appregistrering.

Anpassade roller kan skapas på fliken Roller och administratörer på översiktssidan för Microsoft Entra-ID.

  1. Välj Roller och administratörer - för Microsoft Entra-ID - Ny anpassad roll.

    Skärmbild av Skapa eller redigera anpassade roller från sidan Roller och administratörer.

  2. På fliken Grundläggande anger du ett namn och en beskrivning för rollen och väljer sedan Nästa.

    Skärmbild av fliken Grundläggande. Du anger ett namn och en beskrivning för en anpassad roll på fliken Grundläggande.

  3. På fliken Behörigheter väljer du de behörigheter som krävs för att hantera grundläggande egenskaper och egenskaper för autentiseringsuppgifter för appregistreringar.

  4. Ange först "autentiseringsuppgifter" i sökfältet och välj behörigheten microsoft.directory/applications/credentials/update .

    Skärmbild av Välj behörigheter för en anpassad roll på fliken Behörigheter.

  5. Ange sedan "basic" i sökfältet, välj behörigheten microsoft.directory/applications/basic/update och välj sedan Nästa.

  6. På fliken Granska + skapa granskar du behörigheterna och väljer Skapa.

Din anpassade roll visas i listan över tillgängliga roller som ska tilldelas.