Vysvětlení rolí v Microsoft Entra ID

Existuje přibližně 60 předdefinovaných rolí Microsoft Entra, což jsou role s pevně danou sadou oprávnění rolí. Microsoft Entra ID podporuje také vlastní role, které doplňují předdefinované role. Pomocí vlastních rolí vyberte požadovaná oprávnění role. Můžete například vytvořit jeden pro správu konkrétních prostředků Microsoft Entra, jako jsou aplikace nebo instanční objekty.

Tento článek vysvětluje, co jsou role Microsoft Entra a jak je lze použít.

Jak se role Microsoft Entra liší od ostatních rolí Microsoftu 365

Microsoft 365 má mnoho různých služeb, jako je NAPŘÍKLAD MICROSOFT Entra ID a Intune. Některé z těchto služeb mají své vlastní systémy řízení přístupu na základě role, konkrétně:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Portál Microsoft 365 Defender
  • Portál dodržování předpisů
  • Správa nákladů + fakturace

Jiné služby, jako jsou Teams, SharePoint a Managed Desktop, nemají samostatné systémy řízení přístupu na základě role. Pro přístup pro správu používají role Microsoft Entra. Azure má svůj vlastní systém řízení přístupu na základě role pro prostředky Azure, jako jsou virtuální počítače, a tento systém není stejný jako role Microsoft Entra.

Azure RBAC versus Microsoft Entra roles

Když řekneme samostatný systém řízení přístupu na základě role. Znamená to, že existuje jiné úložiště dat, ve kterém se ukládají definice rolí a přiřazení rolí. Podobně existuje jiný bod rozhodování o zásadách, kde se provádějí kontroly přístupu. Další informace najdete v tématu Role pro služby Microsoft 365 v microsoft Entra ID a rolích Azure, rolích Microsoft Entra a klasických rolích správce předplatného.

Proč jsou některé role Microsoft Entra pro jiné služby

Microsoft 365 má řadu systémů řízení přístupu na základě role, které se v průběhu času vyvinuly nezávisle, a to každý s vlastním portálem služeb. Abychom vám mohli usnadnit správu identit v Rámci Microsoftu 365 z Centra pro správu Microsoft Entra, přidali jsme některé předdefinované role specifické pro službu, z nichž každá uděluje přístup pro správu ke službě Microsoft 365. Příkladem tohoto přidání je role Exchange Správa istrator v Microsoft Entra ID. Tato role je ekvivalentní skupině rolí Správa organizace v systému řízení přístupu na základě role exchange a může spravovat všechny aspekty Exchange. Podobně jsme přidali roli Správa istrator Intune, Teams Správa istrator, SharePoint Správa istrator atd. Role specifické pro službu jsou jednou z kategorií předdefinovaných rolí Microsoft Entra v následující části.

Kategorie rolí Microsoft Entra

Předdefinované role Microsoft Entra se liší v tom, kde se dají použít, které spadají do následujících tří obecných kategorií.

  • Role specifické pro ID microsoftu Entra: Tyto role udělují oprávnění ke správě prostředků pouze v rámci Microsoft Entra. Například User Správa istrator, Application Správa istrator, Groups Správa istrator all grant permissions to manage resources that live in Microsoft Entra ID.
  • Role specifické pro službu: Pro hlavní služby Microsoftu 365 (mimo Azure AD) jsme vytvořili role specifické pro službu, které udělovaly oprávnění ke správě všech funkcí v rámci služby. Role Exchange Správa istrator, Intune Správa istrator, SharePoint Správa istrator a Teams Správa istrator můžou spravovat funkce s příslušnými službami. Exchange Správa istrator může spravovat poštovní schránky, Intune Správa istrator může spravovat zásady zařízení, SharePoint Správa istrator může spravovat kolekce webů, Teams Správa istrator může spravovat vlastnosti volání atd.
  • Role mezi službami: Existují některé role, které zahrnují služby. Máme dvě globální role – globální Správa istrator a globální čtenář. Všechny služby Microsoftu 365 dodržují tyto dvě role. Existují také některé role související se zabezpečením, jako je Security Správa istrator a Security Reader, které udělují přístup napříč několika službami zabezpečení v Rámci Microsoftu 365. Například pomocí rolí security Správa istrator v Microsoft Entra ID můžete spravovat portál Microsoft 365 Defender, Rozšířenou ochranu před internetovými útoky v programu Microsoft Defender a Microsoft Defender for Cloud Apps. Podobně v roli Dodržování předpisů Správa istrator můžete spravovat nastavení související s dodržováním předpisů na portálu dodržování předpisů, Exchange atd.

The three categories of Microsoft Entra built-in roles

Následující tabulka je nabízena jako pomůcka k pochopení těchto kategorií rolí. Kategorie se pojmenují libovolně a nemají za cíl znamenat žádné další funkce nad rámec zdokumentovaných oprávnění role Microsoft Entra.

Kategorie Role
Role specifické pro ID Microsoft Entra Správce aplikace
Vývojář aplikace
Správce ověřování
Správce sady klíčů IEF B2C
Správce zásad IEF B2C
Správce cloudové aplikace
Správa istrator cloudového zařízení
Podmíněný přístup Správa istrator
Správa istrátory zařízení
Čtenáři adresářů
Účty synchronizace adresářů
Zapisovače adresářů
Tok uživatele externího ID Správa istrator
Atribut toku externího ID uživatele Správa istrator
Externí zprostředkovatel identity Správa istrator
Skupiny Správa istrator
Pozvaný host
Helpdesk Správa istrator
Hybridní identita Správa istrator
Licenční Správa istrator
Podpora partnerské vrstvy 1
Podpora partnerské vrstvy 2
Heslo Správa istrator
Správce privilegovaného ověřování
Správce privilegovaných rolí
Čtenář sestav
Správce uživatelů
Role mezi službami Globální správce
Správa istrator dodržování předpisů
Data dodržování předpisů Správa istrator
Globální čtenář
Správce zabezpečení
Operátor zabezpečení
Čtenář zabezpečení
Podpora služeb Správa istrator
Role specifické pro službu Azure DevOps Správa istrator
Azure Information Protection Správa istrator
Správce fakturace
Crm Service Správa istrator
Schvalovatel přístupu Customer Lockboxu
Desktop Analytics Správa istrator
Správa istrator služby Exchange
Přehledy Správa istrator
Přehledy business leader
Správce služby Intune
Kaizala Správa istrator
Služba Lyncu Správa istrator
Čtečka ochrany osobních údajů v Centru zpráv
Čtečka centra zpráv
Moderní obchod Správa istrator
Síťový Správa istrator
Office Apps Správa istrator
Správa istrator služby Power BI
Power Platform Správa istrator
Správa istrator tiskárny
Technik tiskárny
Hledat Správa istrator
Editor vyhledávání
Správa istrator služby SharePoint
Teams Communications Správa istrator
Technik podpory komunikace v Teams
Specialista na podporu komunikace v Teams
Zařízení Teams Správa istrator
Teams Správa istrator

Další kroky