Общие сведения о ролях в Microsoft Entra ID
В Microsoft Entra существует около 60 встроенных ролей с фиксированным набором разрешений. В дополнение к таким встроенным ролям Microsoft Entra ID поддерживает настраиваемые роли. Используйте настраиваемые роли, чтобы самостоятельно указать для них нужные разрешения. Например, можно создать один для управления определенными ресурсами Microsoft Entra, такими как приложения или субъекты-службы.
В этой статье объясняется, какие роли Microsoft Entra являются ролями и как их можно использовать.
Существует множество различных служб в Microsoft 365, таких как идентификатор Microsoft Entra и Intune. Некоторые из этих служб имеют собственные системы управления доступом на основе ролей, а именно:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender для облачных приложений
- Портал Microsoft 365 Defender
- Портал соответствия требований
- Управление затратами и выставление счетов
Другие службы, например Teams, SharePoint и управляемые компьютеры, не используют отдельных систем для управления доступом на основе ролей. Они используют роли Microsoft Entra для их административного доступа. Azure имеет собственную систему управления доступом на основе ролей для ресурсов Azure, таких как виртуальные машины, и эта система не совпадает с ролями Microsoft Entra.
Когда мы говорим отдельную систему управления доступом на основе ролей, это означает, что существует другое хранилище данных, в котором хранятся определения ролей и назначения ролей. Кроме того, существует и другая точка принятия решения в политиках, в которой выполняются проверки доступа. Дополнительные сведения см. в разделе "Роли" между ролями службы Майкрософт и Azure, ролями Microsoft Entra и ролями администратора классической подписки.
Microsoft 365 использует несколько систем управления доступом на основе ролей, которые были созданы независимо друг от друга и которые имеют собственные порталы. Чтобы упростить управление удостоверениями в Microsoft 365 из Центра администрирования Microsoft Entra, мы добавили некоторые встроенные роли для конкретной службы, каждая из которых предоставляет административный доступ к службе Microsoft 365. Примером этого дополнения является роль администратора Exchange в идентификаторе Microsoft Entra. Эта роль эквивалентна группе ролей "Управление организацией" в системе управления доступом на основе ролей для Exchange и позволяет управлять всеми аспектами Exchange. Мы также добавили роли администратора для Intune, Teams, SharePoint и т. д. Роли, относящиеся к службе, — это одна из категорий встроенных ролей Microsoft Entra в следующем разделе.
Встроенные роли Microsoft Entra различаются в том месте, где их можно использовать, которые делятся на следующие три широкие категории.
- Роли идентификатора Microsoft Entra: эти роли предоставляют разрешения для управления ресурсами только в Microsoft Entra. Например, администратор пользователей, администратор приложений, администратор групп предоставляют все разрешения на управление ресурсами, которые живут в идентификаторе Microsoft Entra.
- Роли, относящиеся к службе, в идентификаторе Microsoft Entra: службы Майкрософт, такие как Microsoft 365, определяющие роли в идентификаторе Microsoft Entra для привилегий конкретной службы для управления всеми функциями в службе. Например, роли администратора Exchange, администратора Intune, администратора SharePoint и администратора Teams позволяют управлять функциями соответствующих служб. Администраторы Exchange могут управлять почтовыми ящиками, администраторы Intune могут управлять политиками устройств, администраторы SharePoint могут управлять семействами веб-сайтов, администраторы Teams могут управлять свойствами вызовов и т. д.
- Перекрестные роли в идентификаторе Microsoft Entra: существуют некоторые роли, охватывающие службы. Две роли являются глобальными — это глобальный администратор и глобальный читатель. Они поддерживаются всеми службами Microsoft 365. Кроме того, существует несколько связанных с безопасностью ролей, таких как администратор безопасности и читатель безопасности, которые предоставляют доступ к нескольким службам безопасности в Microsoft 365. Например, с помощью ролей администратора безопасности в идентификаторе Microsoft Entra можно управлять порталом Microsoft 365 Defender, расширенной защитой от угроз в Microsoft Defender и приложениями Microsoft Defender для облака. Также роль администратора соответствия позволяет управлять параметрами, связанными с соответствием, на портале соответствия, в Exchange и т. д.
Следующая таблица поможет вам разобраться в перечисленных категориях ролей. Категории называются произвольным образом и не предназначены для обозначения других возможностей за пределами документированных разрешений роли Microsoft Entra.
Категория | Роль |
---|---|
Роли, относящиеся к идентификаторам Microsoft Entra | Администратор приложений Разработчик приложения Администратор проверки подлинности Администратор набора ключей IEF B2C Администратор политики IEF B2C Администратор облачных приложений Администратор облачных устройств Администратор условного доступа Администраторы устройств Читатели каталогов Учетные записи синхронизации службы каталогов Редакторы каталогов Администратор потоков пользователей с внешним идентификатором Администратор атрибутов потоков пользователей с внешним идентификатором Администратор внешних поставщиков удостоверений Администратор групп Приглашающий гостей Администратор службы технической поддержки Администратор гибридных удостоверений Администратор лицензий Поддержка партнеров уровня 1 Поддержка партнеров уровня 2 Администратор паролей Привилегированный администратор проверки подлинности Администратор привилегированных ролей Читатель отчетов Администратор пользователей |
Роли, относящиеся к службе, в идентификаторе Microsoft Entra | Администратор Azure DevOps Администратор Azure Information Protection администратора выставления счетов; Администратор службы CRM Лицо, утверждающее доступ к защищенному хранилищу Администратор Аналитики компьютеров Администратор службы Exchange Администратор Insights Бизнес-руководитель Insights Администратор службы Intune Администратор Kaizala Администратор службы Lync Читатель конфиденциальности данных Центра сообщений Читатель центра сообщений Администратор современной коммерческой платформы Network Administrator Администратор приложений Office Администратор служб Power BI Администратор Power Platform Администратор принтеров Технический специалист по принтерам Администратор поиска Редактор поиска Администратор службы SharePoint Администратор связи Teams Инженер службы поддержки связи Teams Специалист службы поддержки связи Teams Администраторы устройств Teams Администратор Teams |
Межслужбовые роли в идентификаторе Microsoft Entra | Администратор соответствия требованиям Администратор данных соответствия Глобальный читатель Администратор безопасности Оператор безопасности Читатель сведений о безопасности Администратор службы поддержки |