Privilegierade roller och behörigheter i Microsoft Entra-ID (förhandsversion)
Viktigt!
Etiketten för privilegierade roller och behörigheter finns för närvarande i FÖRHANDSVERSION. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.
Microsoft Entra-ID har roller och behörigheter som identifieras som privilegierade. Dessa roller och behörigheter kan användas för att delegera hantering av katalogresurser till andra användare, ändra autentiseringsuppgifter, autentiserings- eller auktoriseringsprinciper eller få åtkomst till begränsade data. Privilegierade rolltilldelningar kan leda till utökade privilegier om de inte används på ett säkert och avsett sätt. Den här artikeln beskriver privilegierade roller och behörigheter och metodtips för hur du använder.
Vilka roller och behörigheter är privilegierade?
En lista över privilegierade roller och behörigheter finns i Inbyggda Microsoft Entra-roller. Du kan också använda administrationscentret för Microsoft Entra, Microsoft Graph PowerShell eller Microsoft Graph API för att identifiera roller, behörigheter och rolltilldelningar som identifieras som privilegierade.
Leta efter etiketten PRIVILEGED i administrationscentret för Microsoft Entra.
På sidan Roller och administratörer identifieras privilegierade roller i kolumnen Privilegierad . Kolumnen Tilldelningar visar antalet rolltilldelningar. Du kan också filtrera privilegierade roller.
När du visar behörigheterna för en privilegierad roll kan du se vilka behörigheter som är privilegierade. Om du visar behörigheterna som standardanvändare kan du inte se vilka behörigheter som är privilegierade.
När du skapar en anpassad roll kan du se vilka behörigheter som är privilegierade och den anpassade rollen kommer att märkas som privilegierad.
Metodtips för att använda privilegierade roller
Här följer några metodtips för att använda privilegierade roller.
- Tillämpa principen om lägsta behörighet
- Använd Privileged Identity Management för att bevilja just-in-time-åtkomst
- Aktivera multifaktorautentisering för alla dina administratörskonton
- Konfigurera återkommande åtkomstgranskningar för att återkalla onödiga behörigheter över tid
- Begränsa antalet globala administratörer till mindre än 5
- Begränsa antalet privilegierade rolltilldelningar till mindre än 10
Mer information finns i Metodtips för Microsoft Entra-roller.
Privilegierade behörigheter jämfört med skyddade åtgärder
Privilegierade behörigheter och skyddade åtgärder är säkerhetsrelaterade funktioner som har olika syften. Behörigheter som har etiketten PRIVILEGED hjälper dig att identifiera behörigheter som kan leda till utökade privilegier om de inte används på ett säkert och avsett sätt. Skyddade åtgärder är rollbehörigheter som har tilldelats principer för villkorlig åtkomst för extra säkerhet, till exempel att kräva multifaktorautentisering. Krav för villkorsstyrd åtkomst tillämpas när en användare utför den skyddade åtgärden. Skyddade åtgärder finns för närvarande i förhandsversion. Mer information finns i Vad är skyddade åtgärder i Microsoft Entra-ID?.
| Kapacitet | Privilegierad behörighet | Skyddad åtgärd |
|---|---|---|
| Identifiera behörigheter som ska användas på ett säkert sätt | ✅ | |
| Kräv ytterligare säkerhet för att utföra en åtgärd | ✅ |
Terminologi
För att förstå privilegierade roller och behörigheter i Microsoft Entra-ID hjälper det till att känna till några av följande terminologi.
| Period | Definition |
|---|---|
| åtgärd | En aktivitet som ett säkerhetsobjekt kan utföra på en objekttyp. Kallas ibland för en åtgärd. |
| tillåtelse | En definition som anger vilken aktivitet ett säkerhetsobjekt kan utföra på en objekttyp. En behörighet innehåller en eller flera åtgärder. |
| privilegierad behörighet | I Microsoft Entra-ID kan behörigheter som kan användas för att delegera hantering av katalogresurser till andra användare, ändra autentiseringsuppgifter, autentiserings- eller auktoriseringsprinciper eller komma åt begränsade data. |
| privilegierad roll | En inbyggd eller anpassad roll som har en eller flera privilegierade behörigheter. |
| privilegierad rolltilldelning | En rolltilldelning som använder en privilegierad roll. |
| utökade privilegier | När ett säkerhetsobjekt får fler behörigheter än den tilldelade rollen som ursprungligen tillhandahålls genom att personifiera en annan roll. |
| skyddad åtgärd | Behörigheter med villkorsstyrd åtkomst som tillämpas för extra säkerhet. |
Förstå rollbehörigheter
Schemat för behörigheter följer löst REST-formatet för Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Till exempel:
microsoft.directory/applications/credentials/update
| Behörighetselement | beskrivning |
|---|---|
| namnområde | Produkt eller tjänst som exponerar uppgiften och förbereds med microsoft. Till exempel använder microsoft.directory alla uppgifter i Microsoft Entra-ID namnområdet. |
| entity | Logisk funktion eller komponent som exponeras av tjänsten i Microsoft Graph. Microsoft Entra-ID exponerar till exempel användare och grupper, OneNote exponerar anteckningar och Exchange exponerar postlådor och kalendrar. Det finns ett särskilt allEntities nyckelord för att ange alla entiteter i ett namnområde. Detta används ofta i roller som ger åtkomst till en hel produkt. |
| propertySet | Specifika egenskaper eller aspekter av entiteten för vilken åtkomst beviljas. Ger till exempel microsoft.directory/applications/authentication/read möjlighet att läsa svars-URL, utloggnings-URL och implicit flödesegenskap för programobjektet i Microsoft Entra-ID.
|
| åtgärd | Åtgärd som beviljas, oftast skapa, läsa, uppdatera eller ta bort (CRUD). Det finns ett särskilt allTasks nyckelord för att ange alla ovanstående funktioner (skapa, läsa, uppdatera och ta bort). |
Jämföra autentiseringsroller
I följande tabell jämförs funktionerna i autentiseringsrelaterade roller.
| Roll | Hantera användarens autentiseringsmetoder | Hantera MFA per användare | Hantera MFA-inställningar | Hantera policyn för autentiseringsmetod | Hantera policyn för lösenordsskydd | Uppdatera känsliga egenskaper | Ta bort och återställa användare |
|---|---|---|---|---|---|---|---|
| Autentiseringsadministratör | Ja för vissa användare | Ja för vissa användare | Ja | Nej | Nej | Ja för vissa användare | Ja för vissa användare |
| Administratör för privilegierad autentisering | Ja för alla användare | Ja för alla användare | Nej | Nej | Nej | Ja för alla användare | Ja för alla användare |
| Administratör för autentiseringsprincip | Nej | Ja | Ja | Ja | Ja | Nej | Nej |
| Användaradministratör | Nej | Nej | Nej | Nej | Nej | Ja för vissa användare | Ja för vissa användare |
Vem kan återställa lösenord
I följande tabell visar kolumnerna de roller som kan återställa lösenord och ogiltigförklara uppdateringstoken. Raderna visar de roller för vilka deras lösenord kan återställas. En lösenordsadministratör kan till exempel återställa lösenordet för katalogläsare, gästinbjudare, lösenordsadministratör och användare utan administratörsroll. Om en användare tilldelas någon annan roll kan lösenordsadministratören inte återställa sitt lösenord.
Följande tabell gäller för roller som tilldelats i omfånget för en klientorganisation. För roller som tilldelats inom en administrativ enhets omfång gäller ytterligare begränsningar.
| Roll som lösenordet kan återställas | Lösenordsadministratör | Supportavdelningsadministratör | Autentiseringsadministratör | Användaradministratör | Administratör för privilegierad autentisering | Global administratör |
|---|---|---|---|---|---|---|
| Autentiseringsadministratör | ✅ | ✅ | ✅ | |||
| Katalogläsare | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Global administratör | ✅ | ✅* | ||||
| Gruppadministratör | ✅ | ✅ | ✅ | |||
| Gäst inbjudare | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Supportavdelningsadministratör | ✅ | ✅ | ✅ | ✅ | ||
| Meddelandecenterläsare | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Lösenordsadministratör | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| Administratör för privilegierad autentisering | ✅ | ✅ | ||||
| Privilegierad rolladministratör | ✅ | ✅ | ||||
| Rapportläsare | ✅ | ✅ | ✅ | ✅ | ✅ | |
| User (ingen administratörsroll) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| User (ingen administratörsroll, men medlem eller ägare av en rolltilldelningsbar grupp) |
✅ | ✅ | ||||
| Användare med en roll som är begränsad till en administrativ enhet för begränsad hantering | ✅ | ✅ | ||||
| Användaradministratör | ✅ | ✅ | ✅ | |||
| Hanteraren för användarupplevelse | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Läsare av användningssammanfattningsrapporter | ✅ | ✅ | ✅ | ✅ | ✅ | |
| Alla andra inbyggda och anpassade roller | ✅ | ✅ |
Viktigt!
Partnernivå 2-supportrollen kan återställa lösenord och ogiltigförklara uppdateringstoken för alla icke-administratörer och administratörer (inklusive globala administratörer). Partnernivå1-supportrollen kan återställa lösenord och ogiltigförklara uppdateringstoken för endast icke-administratörer. Dessa roller bör inte användas eftersom de är inaktuella.
Möjligheten att återställa ett lösenord inkluderar möjligheten att uppdatera följande känsliga egenskaper som krävs för lösenordsåterställning med självbetjäning:
- businessPhones
- mobilePhone
- otherMails
Vem kan utföra känsliga åtgärder
Vissa administratörer kan utföra följande känsliga åtgärder för vissa användare. Alla användare kan läsa de känsliga egenskaperna.
| Känslig åtgärd | Namn på känslig egenskap |
|---|---|
| Inaktivera eller aktivera användare | accountEnabled |
| Uppdatera företagstelefon | businessPhones |
| Uppdatera mobiltelefonen | mobilePhone |
| Uppdatera lokalt oföränderligt ID | onPremisesImmutableId |
| Uppdatera andra e-postmeddelanden | otherMails |
| Uppdatera lösenordsprofil | passwordProfile |
| Uppdatera användarens huvudnamn | userPrincipalName |
| Ta bort eller återställa användare | Inte tillämpligt |
I följande tabell visar kolumnerna de roller som kan utföra känsliga åtgärder. Raderna visar de roller som den känsliga åtgärden kan utföras för.
Följande tabell gäller för roller som tilldelats i omfånget för en klientorganisation. För roller som tilldelats inom en administrativ enhets omfång gäller ytterligare begränsningar.
| Roll som känslig åtgärd kan utföras på | Autentiseringsadministratör | Användaradministratör | Administratör för privilegierad autentisering | Global administratör |
|---|---|---|---|---|
| Autentiseringsadministratör | ✅ | ✅ | ✅ | |
| Katalogläsare | ✅ | ✅ | ✅ | ✅ |
| Global administratör | ✅ | ✅ | ||
| Gruppadministratör | ✅ | ✅ | ✅ | |
| Gäst inbjudare | ✅ | ✅ | ✅ | ✅ |
| Supportavdelningsadministratör | ✅ | ✅ | ✅ | |
| Meddelandecenterläsare | ✅ | ✅ | ✅ | ✅ |
| Lösenordsadministratör | ✅ | ✅ | ✅ | ✅ |
| Administratör för privilegierad autentisering | ✅ | ✅ | ||
| Privilegierad rolladministratör | ✅ | ✅ | ||
| Rapportläsare | ✅ | ✅ | ✅ | ✅ |
| User (ingen administratörsroll) |
✅ | ✅ | ✅ | ✅ |
| User (ingen administratörsroll, men medlem eller ägare av en rolltilldelningsbar grupp) |
✅ | ✅ | ||
| Användare med en roll som är begränsad till en administrativ enhet för begränsad hantering | ✅ | ✅ | ||
| Användaradministratör | ✅ | ✅ | ✅ | |
| Hanteraren för användarupplevelse | ✅ | ✅ | ✅ | ✅ |
| Läsare av användningssammanfattningsrapporter | ✅ | ✅ | ✅ | ✅ |
| Alla andra inbyggda och anpassade roller | ✅ | ✅ |