了解 Microsoft Entra 識別碼中的角色
Microsoft Entra 內建角色大約有 60 個,屬於具有固定角色權限的角色。 為了補充內建角色,Microsoft Entra ID 也支援自訂角色。 使用自定義角色來選取您想要的角色許可權。 例如,您可以建立一個來管理特定的 Microsoft Entra 資源,例如應用程式或服務主體。
本文說明什麼是 Microsoft Entra 角色,以及其使用方式。
Microsoft Entra 角色與其他 Microsoft 365 角色之間的差異
Microsoft 365 中有許多不同的服務,例如 Microsoft Entra ID 和 Intune。 其中有些服務有自己的角色型訪問控制系統,特別是:
- Microsoft Entra ID
- Microsoft Exchange
- Microsoft Intune
- Microsoft Defender for Cloud Apps
- Microsoft 365 Defender 入口網站概觀
- 合規性入口網站
- 成本管理 + 計費
Teams、SharePoint 和受控桌面等其他服務沒有個別的角色型訪問控制系統。 他們會使用 Microsoft Entra 角色進行系統管理存取。 Azure 有自己的 Azure 資源角色型存取控制系統,例如虛擬機,而且此系統與 Microsoft Entra 角色不同。
當我們說出個別的角色型訪問控制系統時。 這表示有不同的數據存放區,其中儲存角色定義和角色指派。 同樣地,有不同的原則決策點,存取檢查會發生。 如需詳細資訊,請參閱 Microsoft Entra ID 和 Azure 角色中 Microsoft 365 服務的角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。
為什麼某些 Microsoft Entra 角色適用於其他服務
Microsoft 365 有一些角色型訪問控制系統,可隨著時間獨立開發,每個系統都有自己的服務入口網站。 為了方便您從 Microsoft Entra 系統管理中心管理 Microsoft 365 之間的身分識別,我們新增了一些服務特定的內建角色,每個角色都會授與 Microsoft 365 服務的系統管理存取權。 新增的範例是 Microsoft Entra ID 中的 Exchange 管理員 istrator 角色。 此角色相當於 Exchange 角色型存取控制系統中的組織管理角色群組 ,而且可以管理 Exchange 的所有層面。 同樣地,我們新增了 Intune 管理員 istrator 角色、Teams 管理員 istrator、SharePoint 管理員 istrator 等等。 服務特定角色是下一節中 Microsoft Entra 內建角色的一個類別。
Microsoft Entra 角色的類別
Microsoft Entra 內建角色可以使用的位置不同,可分成下列三個廣泛的類別。
- Microsoft Entra ID 特定角色:這些角色只會授與管理 Microsoft Entra 內資源的權限。 例如,使用者管理員、應用程式管理員、群組管理員全都會授與管理 Microsoft Entra 識別碼中資源的權限。
- 服務特定的角色:對於主要 Microsoft 365 服務 (非 Azure AD),我們已建立可授與權限來管理服務內所有功能的服務特定角色。 例如,Exchange 管理員、Intune 管理員、SharePoint 管理員和 Teams 管理員角色都可以使用其各自的服務來管理功能。 Exchange 管理員 istrator 可以管理信箱、Intune 管理員 istrator 可以管理裝置原則、SharePoint 管理員 istrator 可以管理網站集合、Teams 管理員 istrator 可以管理通話品質等等。
- 跨服務角色:有一些角色可跨服務使用。 我們有兩個全域角色 - 全域管理員和全域讀取者。 所有 Microsoft 365 服務都會接受這兩個角色。 此外,還有一些安全性相關角色 (例如安全性系統管理員和安全性讀取者),會在 Microsoft 365 內授與多個安全性服務的存取權。 例如,在 Microsoft Entra ID 中使用安全性系統管理員角色,您可以管理 Microsoft 365 Defender 入口網站、Microsoft Defender 進階威脅防護和適用於雲端的 Microsoft Defender 應用程式。 同樣地,在合規性 管理員 istrator 角色中,您可以在合規性入口網站、Exchange 等中管理合規性相關設定。
提供下表以協助了解這些角色類別。 類別會任意命名,並不適合暗示除了記載的 Microsoft Entra 角色許可權之外的任何其他功能。
| 類別 | 角色 |
|---|---|
| Microsoft Entra ID 特定角色 | 應用程式系統管理員 應用程式開發人員 驗證系統管理員 B2C IEF 索引鍵集管理員 B2C IEF 原則管理員 雲端應用程式系統管理員 雲端裝置管理員 條件式存取系統管理員 裝置管理員 目錄讀取者 目錄同步處理帳戶 目錄寫入者 外部識別碼使用者流程管理員 外部識別碼使用者流程屬性管理員 外部識別提供者系統管理員 群組管理員 來賓邀請者 服務台系統管理員 混合式身分識別管理員 授權管理員 合作夥伴第 1 層支援 合作夥伴第 2 層支援 密碼管理員 特殊權限驗證管理員 特殊權限角色管理員 報告讀取者 使用者管理員 |
| 跨服務角色 | 全域管理員 合規性系統管理員 合規性資料管理員 全域讀取者 安全性系統管理員 安全性操作員 安全性讀取者 服務支援管理員 |
| 服務特定的角色 | Azure DevOps 系統管理員 Azure 資訊保護管理員 計費管理員 CRM 服務 管理員 istrator 客戶加密箱存取核准者 電腦分析系統管理員 Exchange 服務管理員 深入解析系統管理員 深入解析商務領導者 Intune 服務管理員 Kaizala 管理員 Lync 服務管理員 訊息中心隱私權讀取者 訊息中心讀取者 現代商務 管理員 網路系統管理員 Office 應用程式管理員 Power BI 服務管理員 Power Platform 系統管理員 印表機系統管理員 印表機技術人員 搜尋系統管理員 搜尋編輯者 SharePoint 服務管理員 Teams 通訊系統管理員 Microsoft Teams 通訊支援工程師 Teams 通訊支援專家 Teams 裝置系統管理員 Teams 系統管理員 |