Общие сведения о ролях в Microsoft Entra ID
В Microsoft Entra существует около 60 встроенных ролей с фиксированным набором разрешений. В дополнение к таким встроенным ролям Microsoft Entra ID поддерживает настраиваемые роли. Используйте настраиваемые роли, чтобы самостоятельно указать для них нужные разрешения. Например, можно создать один для управления определенными ресурсами Microsoft Entra, такими как приложения или субъекты-службы.
В этой статье объясняется, какие роли Microsoft Entra являются ролями и как их можно использовать.
Как роли Microsoft Entra отличаются от других ролей Microsoft 365
Существует множество различных служб в Microsoft 365, таких как идентификатор Microsoft Entra и Intune. Некоторые из этих служб имеют собственные системы управления доступом на основе ролей, а именно:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender для облачных приложений
- Портал Microsoft 365 Defender
- Портал соответствия требований
- Управление затратами и выставление счетов
Другие службы, например Teams, SharePoint и управляемые компьютеры, не используют отдельных систем для управления доступом на основе ролей. Они используют роли Microsoft Entra для их административного доступа. Azure имеет собственную систему управления доступом на основе ролей для ресурсов Azure, таких как виртуальные машины, и эта система не совпадает с ролями Microsoft Entra.
Когда мы говорим, что система управления доступом на основе ролей является отдельной, имеется в виду отдельное хранилище данных, в котором хранятся определения и назначения этих ролей. Кроме того, существует и другая точка принятия решения в политиках, в которой выполняются проверки доступа. Дополнительные сведения см. в разделе "Роли для служб Microsoft 365" в ролей Microsoft Entra ID и Azure, ролей Microsoft Entra и классических ролей администратора подписки.
Почему некоторые роли Microsoft Entra предназначены для других служб
Microsoft 365 использует несколько систем управления доступом на основе ролей, которые были созданы независимо друг от друга и которые имеют собственные порталы. Чтобы упростить управление удостоверениями в Microsoft 365 из Центра администрирования Microsoft Entra, мы добавили некоторые встроенные роли для конкретной службы, каждая из которых предоставляет административный доступ к службе Microsoft 365. Примером этого дополнения является роль Администратор istrator Exchange в идентификаторе Microsoft Entra ID. Эта роль эквивалентна группе ролей "Управление организацией" в системе управления доступом на основе ролей для Exchange и позволяет управлять всеми аспектами Exchange. Мы также добавили роли администратора для Intune, Teams, SharePoint и т. д. Роли, относящиеся к службе, — это одна из категорий встроенных ролей Microsoft Entra в следующем разделе.
Категории ролей Microsoft Entra
Встроенные роли Microsoft Entra различаются в том месте, где их можно использовать, которые делятся на следующие три широкие категории.
- Роли идентификатора Microsoft Entra: эти роли предоставляют разрешения для управления ресурсами только в Microsoft Entra. Например, user Администратор istrator, Application Администратор istrator, Groups Администратор istrator все разрешения предоставляют разрешения на управление ресурсами, которые живут в идентификаторе Microsoft Entra.
- Роли, относящиеся к службе. Для основных служб Microsoft 365 (не Azure AD) у нас есть встроенные роли, предоставляющие разрешения на управление всеми функциями в службе. Например, роли администратора Exchange, администратора Intune, администратора SharePoint и администратора Teams позволяют управлять функциями соответствующих служб. Администраторы Exchange могут управлять почтовыми ящиками, администраторы Intune могут управлять политиками устройств, администраторы SharePoint могут управлять семействами веб-сайтов, администраторы Teams могут управлять свойствами вызовов и т. д.
- Перекрестные роли: существуют некоторые роли, охватывающие службы. Две роли являются глобальными — это глобальный администратор и глобальный читатель. Они поддерживаются всеми службами Microsoft 365. Кроме того, существует несколько связанных с безопасностью ролей, таких как администратор безопасности и читатель безопасности, которые предоставляют доступ к нескольким службам безопасности в Microsoft 365. Например, с помощью ролей Администратор istrator в идентификаторе Microsoft Entra можно управлять порталом Microsoft 365 Defender, расширенной защитой от угроз в Microsoft Defender и приложениями Microsoft Defender для облака. Также роль администратора соответствия позволяет управлять параметрами, связанными с соответствием, на портале соответствия, в Exchange и т. д.
Следующая таблица поможет вам разобраться в перечисленных категориях ролей. Категории называются произвольным образом и не предназначены для обозначения других возможностей за пределами документированных разрешений роли Microsoft Entra.
| Категория | Role |
|---|---|
| Роли, относящиеся к идентификаторам Microsoft Entra | Администратор приложений Разработчик приложения Администратор проверки подлинности Администратор набора ключей IEF B2C Администратор политики IEF B2C Администратор облачных приложений Администратор облачных устройств Администратор условного доступа Администраторы устройств Читатели каталогов Учетные записи синхронизации службы каталогов Редакторы каталогов Администратор потоков пользователей с внешним идентификатором Администратор атрибутов потоков пользователей с внешним идентификатором Администратор внешних поставщиков удостоверений Администратор групп Приглашающий гостей Администратор службы технической поддержки Администратор гибридных удостоверений Администратор лицензий Поддержка партнеров уровня 1 Поддержка партнеров уровня 2 Администратор паролей Привилегированный администратор проверки подлинности Администратор привилегированных ролей Читатель отчетов Администратор пользователей |
| Роли для нескольких служб | Глобальный администратор Администратор соответствия требованиям Администратор данных соответствия Глобальный читатель Администратор безопасности Оператор безопасности Читатель сведений о безопасности Администратор службы поддержки |
| Роли для конкретных служб | Администратор Azure DevOps Администратор Azure Information Protection администратора выставления счетов; Администратор службы CRM Лицо, утверждающее доступ к защищенному хранилищу Администратор Аналитики компьютеров Администратор службы Exchange Администратор Insights Бизнес-руководитель Insights Администратор службы Intune Администратор Kaizala Администратор службы Lync Читатель конфиденциальности данных Центра сообщений Читатель центра сообщений Администратор современной коммерческой платформы Network Administrator Администратор приложений Office Администратор служб Power BI Администратор Power Platform Администратор принтеров Технический специалист по принтерам Администратор поиска Редактор поиска Администратор службы SharePoint Администратор связи Teams Инженер службы поддержки связи Teams Специалист службы поддержки связи Teams Администраторы устройств Teams Администратор Teams |