检查 Microsoft Entra ID 中的 RBAC 和用户角色

  • 3 分钟

Microsoft Entra ID具有 SaaS作模型,缺乏通过组策略设置对计算机对象和管理功能的支持。 因此,Microsoft Entra ID中的委派模型比 AD DS 中的同一模型要简单得多。 所有三个层中都有多个内置角色,包括全局管理员、计费管理员、服务管理员、用户管理员和密码管理员。 每个角色为其对象提供不同级别的目录范围权限。 默认情况下,托管Microsoft Entra实例的订阅的服务管理员是其全局管理员,对其目录实例中的所有对象具有完全权限。

使用委派模型,可以将Microsoft Entra租户中注册的应用程序的权限授予其用户和组,并管理委托组。 这些功能的具体细节取决于Microsoft Entra层。 例如,在 Microsoft Entra ID Free 中,可以将应用程序分配给单个用户。 使用“Microsoft Entra基本”层,还可以根据组成员身份创建此类分配。 高级层通过提供委派和自助服务组管理来进一步扩展此功能,从而允许用户创建和管理自己的组,并在其他人创建的组中请求成员身份。

Microsoft Entra用户可以使用基于 Web 的门户(称为 我的应用)在 访问https://myapps.microsoft.comMicrosoft Entra应用程序。 此门户会自动向用户显示他们拥有权限的所有应用程序。 使用此方法的另一个好处是支持 SSO。 从其界面启动单个应用程序时,一旦用户登录到门户,身份验证就会自动进行。

Azure 委派模型和基于角色的访问控制

委派模型适用于Azure 门户中可用的图形界面。 Azure 门户提供了一种更灵活、更精确的方式来通过实施 RBAC 来限制 Azure 资源的管理。 此机制依赖于三个内置角色:所有者、参与者和读取者。 其中每个角色对通过Azure 门户(网站或 SQL 数据库等资源)公开的 Azure 资源执行一组特定的作。 可以通过将用户、组或服务主体等Microsoft Entra对象与Azure 门户中显示的角色和资源相关联来授予预期访问权限。

Microsoft Entra ID不包括 OU 类,这意味着无法将其对象排列在本地 AD DS 部署中经常使用的自定义容器层次结构中。 这不是一个明显的缺点,因为 AD DS 中的 OU 主要用于组策略范围和委派。 相反,可以通过根据对象的属性值或组成员身份组织对象来实现等效排列。

Microsoft Entra ID中的用户角色

可以通过Microsoft Entra ID使用三种类型的帐户:

  • 租户管理员或共同管理员在默认 Azure 目录或任何自定义 Azure 目录中创建的组织帐户, user@domain1.onmicrosoft.com例如 。
  • 引用在其他Microsoft Entra实例中创建的组织帐户的帐户,user@domain2.onmicrosoft.com例如 。
  • 引用Microsoft帐户的帐户,例如 user@outlook.com。

使用租户管理员帐户注册新的试用版或付费订阅。 此帐户可以是Microsoft帐户或现有组织帐户。 为了避免混合使用身份验证方法,建议使用组织帐户来管理Microsoft Entra租户。

只有Microsoft Entra实例的全局管理员才能管理Microsoft Entra ID。 如果你是租户管理员,或者租户管理员已将组织帐户配置为共同管理员,则只能登录到Azure 门户。 请注意,租户管理员和共同管理员可以使用 Azure 门户来管理Microsoft Entra ID,因为默认情况下,这些帐户在与订阅关联的 Active Directory 实例中自动被授予全局管理员角色。

在 Microsoft Entra ID 中,可以配置具有以下角色的用户:

  • 全局管理员。 此角色有权访问所有管理功能和设置。 注册 Azure 订阅时,你将成为全局管理员。 只有此角色才能将管理角色分配给其他帐户。

  • 受限管理员。 为用户选择“受限管理员”角色时,可以选择以下一个或多个管理角色, (列表可能因使用Microsoft Entra ID) 的应用程序而异:

    • 密码管理员
    • 服务管理员
    • 计费管理员
    • Exchange 管理员
    • Skype for Business管理员
    • 用户管理员
    • SharePoint 管理员
    • 合规性管理员
    • 安全读者
    • 安全管理员
    • 特权角色管理员
    • Intune 服务管理员
    • 来宾邀请者
    • 条件访问管理

  • 用户。 这是不提供任何管理权限的默认角色。

这些角色适用于管理工具,例如 Microsoft 365 和 Intune 门户,或者适用于 Windows PowerShell cmdlet 的 Azure AD 模块。 使用 Privileged Identity Management 时,还可以配置安全读取者和安全管理员角色。