分析 Microsoft Entra 角色权限
什么是权限? 权限在字典中的定义是“对执行特定操作的许可或授权”。 在 Microsoft Entra ID 中,对于每个你可以执行的操作,你都有权限。 权限的范围可以从查看设置到更改设置。 然后是授予添加或删除用户等的权限。 在用户或组级别,有两个可以分配权限的主要位置。 但是,它们都在最后一点上传递给用户。 在处理用户时,你有一个成员用户和一个来宾用户。 来宾用户的默认权限比成员的权限略少。
用户的默认权限示例
| 成员用户 | 来宾用户 |
|---|---|
| 枚举用户及其联系人的列表 | 读取自己的属性 |
| 邀请来宾用户 | 邀请来宾用户 |
| 可以创建安全和 Microsoft 365 组 | 可以按名称搜索非隐藏组 |
| 注册新的应用程序 | 读取已注册的应用程序和企业应用程序的属性 |
注意
这只是一小部分示例,是为了显示差异。 如有需要,请参阅默认用户权限的完整列表
控制权限 - 添加和限制
| 用户设置 | 角色和管理员 |
|---|---|
|
|
可使用“Microsoft Entra ID - 管理”菜单内的“用户设置”来限制或控制默认用户的默认权限。 或者,可以使用“角色和管理员”将新权限添加到用户和组。 始终使用最低特权的概念,并确保用户仅具有所需的权限。 在“用户设置”中,可以限制用户的以下操作:
- 注册应用程序
- 访问 Azure 门户
- 阻止 LinkedIn 连接
- 管理外部协作的设置
通过将角色添加到指定的用户帐户或组,可以向成员用户、来宾用户和服务主体添加权限。 添加角色可授予执行特定活动的权限。 操作受到限制,允许最小特权规则。
了解可用权限
如果可能,你只想授予用户所需的最低权限。 因此,当你分配角色时,一定要知道授予的所有权限。 可以在每个角色的说明中查看权限列表。 若要打开它,请启动 Microsoft Entra ID,然后打开“角色和管理员”屏幕。 接下来选择一个角色,然后从省略号 (...) 菜单中打开其说明页。 根据所选的角色,你将看到大量或少量的权限。 两组权限:
- 角色权限
- 来宾和服务主体基本读取权限