Szerepköralapú hozzáférés-vezérlés áttekintése a Microsoft Entra-azonosítóban

Ez a cikk a Microsoft Entra szerepköralapú hozzáférés-vezérlésének megértését ismerteti. A Microsoft Entra-szerepkörök lehetővé teszik, hogy részletes engedélyeket adjon a rendszergazdáknak, betartva a minimális jogosultság elvét. A Microsoft Entra beépített és egyéni szerepkörei az Azure-erőforrásokhoz (Azure-szerepkörök) szerepköralapú hozzáférés-vezérlési rendszeréhez hasonló fogalmakon alapulnak . A két szerepköralapú hozzáférés-vezérlési rendszer közötti különbség a következő:

• A Microsoft Entra-szerepkörök a Microsoft Graph API használatával szabályozhatják a Microsoft Entra-erőforrásokhoz, például a felhasználókhoz, csoportokhoz és alkalmazásokhoz való hozzáférést
• Az Azure-szerepkörök az Azure-erőforrásokhoz, például virtuális gépekhez vagy tárolókhoz való hozzáférést szabályozzák az Azure Resource Management használatával

Mindkét rendszer hasonlóan használt szerepkördefiníciókat és szerepkör-hozzárendeléseket tartalmaz. A Microsoft Entra szerepkör-engedélyei azonban nem használhatók az Azure-beli egyéni szerepkörökben, és fordítva.

A Microsoft Entra szerepköralapú hozzáférés-vezérlésének ismertetése

A Microsoft Entra ID kétféle szerepkördefiníciót támogat:

• beépített szerepkörök
• egyéni szerepkörök

A beépített szerepkörök olyan szerepkörök, amelyek rögzített engedélykészlettel rendelkeznek. Ezek a szerepkör-definíciók nem módosíthatók. A Microsoft Entra ID által támogatott számos beépített szerepkör , és a lista egyre nő. Az élek lekerekítéséhez és a kifinomult követelményeknek való megfeleléshez a Microsoft Entra ID egyéni szerepköröket is támogat. Az engedélyek egyéni Microsoft Entra-szerepkörökkel való megadása kétlépéses folyamat, amely magában foglalja egy egyéni szerepkördefiníció létrehozását, majd szerepkör-hozzárendeléssel történő hozzárendelését. Az egyéni szerepkördefiníciók olyan engedélyek gyűjteményei, amelyeket egy előre beállított listából adhat hozzá. Ezek az engedélyek megegyeznek a beépített szerepkörökben használt engedélyekkel.

Miután létrehozta az egyéni szerepkördefiníciót (vagy egy beépített szerepkört használ), hozzárendelheti egy felhasználóhoz egy szerepkör-hozzárendelés létrehozásával. A szerepkör-hozzárendelések adott hatókörben biztosítják a felhasználónak a szerepkördefiníció engedélyeit. Ez a kétlépéses folyamat lehetővé teszi egyetlen szerepkördefiníció létrehozását és többszöri hozzárendelését különböző hatókörökben. A hatókör határozza meg azokat a Microsoft Entra-erőforrásokat, amelyekhez a szerepkör tagjának hozzáférése van. A leggyakoribb hatókör a szervezeti szintű (szervezeti szintű) hatókör. Az egyéni szerepkörök szervezeti hatókörben rendelhetők hozzá, ami azt jelenti, hogy a szerepkör-tag rendelkezik a szervezet összes erőforrásához tartozó szerepkör-engedélyekkel. Egy egyéni szerepkör objektumhatókörben is hozzárendelhető. Az objektum hatókörére példa lehet egyetlen alkalmazás. Ugyanez a szerepkör hozzárendelhető egy felhasználóhoz a szervezet összes alkalmazása során, majd egy másik felhasználóhoz, aki csak a Contoso Költségjelentések alkalmazás hatókörével rendelkezik.

Hogyan határozza meg a Microsoft Entra ID, hogy egy felhasználó rendelkezik-e hozzáféréssel egy erőforráshoz

Az alábbiakban a Microsoft Entra ID által használt magas szintű lépéseket követjük annak megállapításához, hogy rendelkezik-e hozzáféréssel egy felügyeleti erőforráshoz. Ezekkel az információkkal elháríthatja a hozzáférési problémákat.

1. Egy felhasználó (vagy szolgáltatási főnév) jogkivonatot szerez be a Microsoft Graph végpontjához.
2. A felhasználó API-hívást kezdeményez a Microsoft Entra-azonosítóhoz a Microsoft Graphon keresztül a kibocsátott jogkivonat használatával.
3. A körülményektől függően a Microsoft Entra ID az alábbi műveletek egyikét hajtja végre:
   • Kiértékeli a felhasználó szerepkör-tagságait a felhasználó hozzáférési jogkivonatában található wids jogcím alapján.
   • Lekéri a felhasználóra vonatkozó összes szerepkör-hozzárendelést közvetlenül vagy csoporttagságon keresztül ahhoz az erőforráshoz, amelyen a műveletet végrehajtják.
4. A Microsoft Entra ID meghatározza, hogy az API-hívásban szereplő művelet szerepel-e az erőforráshoz tartozó szerepkörökben.
5. Ha a felhasználónak nincs szerepköre a művelettel a kért hatókörben, a hozzáférés nem lesz engedélyezve. Ellenkező esetben a hozzáférés meg van adva.

Szerepkör-hozzárendelés

A szerepkör-hozzárendelés egy olyan Microsoft Entra-erőforrás, amely egy szerepkördefiníciót csatol egy biztonsági alapelvhez egy adott hatókörben, hogy hozzáférést biztosítson a Microsoft Entra-erőforrásokhoz. A hozzáférés szerepkör-hozzárendelés létrehozásával adható meg, a hozzáférés pedig egy szerepkör-hozzárendelés eltávolításával lesz visszavonva. A szerepkör-hozzárendelés lényege három elemből áll:

• Biztonsági alany – Az engedélyeket kapó identitás. Ez lehet felhasználó, csoport vagy szolgáltatásnév.
• A szerepkör meghatározása - Engedélyek gyűjteménye.
• Hatókör – Az engedélyek alkalmazhatóságának korlátozásának módja.

Szerepkör-hozzárendeléseket hozhat létre, és listázhatja a szerepkör-hozzárendeléseket a Microsoft Entra felügyeleti központ, a Microsoft Graph PowerShellvagy a Microsoft Graph API használatával. Az Azure CLI nem támogatja a Microsoft Entra szerepkörök hozzárendelését.

Az alábbi ábrán egy példa látható egy szerepkör-hozzárendelésre. Ebben a példában Chris egyéni alkalmazásregisztrációs rendszergazdai szerepkörrel rendelkezik a Contoso Widget Builder alkalmazásregisztrációjának hatókörében. A hozzárendelés csak ehhez az alkalmazásregisztrációhoz adja meg Chrisnek az alkalmazásregisztrációs rendszergazdai szerepkör engedélyeit.

Biztonsági tag

A biztonsági szereplő egy felhasználót, csoportot vagy szolgáltatás objektumot képvisel, amely hozzáféréssel rendelkezik a Microsoft Entra-erőforrásokhoz. A felhasználó olyan személy, aki rendelkezik felhasználói profillal a Microsoft Entra-azonosítóban. A csoport egy új Microsoft 365-ös vagy biztonsági csoport, amely szerepkörhöz hozzárendelhető csoportként lett beállítva. A szolgáltatási főazonosító egy olyan identitás, amelyet alkalmazások, üzemeltetett szolgáltatások és automatizált eszközök Microsoft Entra erőforrásokhoz való hozzáférésére hoztak létre.

Szerepkör definíció

A szerepkördefiníció, vagy szerepkör, engedélyek gyűjteménye. A szerepkördefiníciók felsorolják a Microsoft Entra-erőforrásokon végrehajtható műveleteket, például létrehozást, olvasást, frissítést és törlést. A Microsoft Entra-azonosító kétféle szerepkört kínál:

• A Microsoft által létrehozott beépített szerepkörök nem módosíthatók.
• A szervezet által létrehozott és felügyelt egyéni szerepkörök.

Hatókör

A hatókörök lehetővé teszik az engedélyezett műveletek egy adott erőforráskészletre való korlátozását egy szerepkör-hozzárendelés részeként. Ha például egyéni szerepkört szeretne hozzárendelni egy fejlesztőhöz, de csak egy adott alkalmazásregisztráció kezeléséhez, az adott alkalmazásregisztrációt hatókörként is felveheti a szerepkör-hozzárendelésbe.

Szerepkör hozzárendelésekor a következő hatókörtípusok egyikét kell megadnia:

• Bérlő
• felügyeleti egység
• Microsoft Entra-erőforrás

Ha hatókörként egy Microsoft Entra-erőforrást ad meg, az a következők egyike lehet:

• Microsoft Entra-csoportok
• Vállalati alkalmazások
• Alkalmazásregisztrációk

Ha egy szerepkör egy tároló hatókörében, például a Bérlő vagy egy felügyeleti egység, van hozzárendelve, engedélyeket ad az általuk tárolt objektumokra, de nem magára a tárolóra. Éppen ellenkezőleg, ha egy szerepkört erőforrás-hatókörön keresztül rendelnek hozzá, az engedélyeket ad az erőforrásra, de nem terjed ki túl (különösen nem terjed ki a Microsoft Entra-csoport tagjaira).

További információ: Microsoft Entra-szerepkörök hozzárendelése.

Szerepkör hozzárendelési beállítások

A Microsoft Entra ID több lehetőséget is kínál a szerepkörök hozzárendelésére:

• A szerepköröket közvetlenül is hozzárendelheti a felhasználókhoz, ez az alapértelmezett módja a szerepkörök hozzárendelésének. A beépített és az egyéni Microsoft Entra-szerepkörök is hozzárendelhetők a felhasználókhoz a hozzáférési követelmények alapján. További információ: Microsoft Entra-szerepkörök hozzárendelése.
• A P1 Microsoft Entra-azonosítóval szerepkörhöz rendelhető csoportokat hozhat létre, és szerepköröket rendelhet hozzájuk. A szerepkörök személyek helyett csoporthoz való hozzárendelése lehetővé teszi a felhasználók egyszerű hozzáadását vagy eltávolítását egy szerepkörből, és konzisztens engedélyeket hoz létre a csoport minden tagjának. További információ: Microsoft Entra-szerepkörök hozzárendelése.
• A P2 Microsoft Entra-azonosítóval a Microsoft Entra Privileged Identity Management (Microsoft Entra PIM) használatával igény szerinti hozzáférést biztosíthat a szerepkörökhöz. Ez a funkció lehetővé teszi, hogy egy szerepkörhöz időkorlátos hozzáférést biztosítson azoknak a felhasználóknak, akiknek szüksége van rá, és nem biztosít állandó hozzáférést. Emellett részletes jelentéskészítési és naplózási képességeket is biztosít. További információért lásd a Microsoft Entra-szerepkörök hozzárendelése a Privileged Identity Managementben.

Licenckövetelmények

A beépített szerepkörök használata a Microsoft Entra-azonosítóban ingyenes. Az egyéni szerepkörök használatához minden egyéni szerepkör-hozzárendeléssel rendelkező felhasználóhoz Microsoft Entra ID P1 licenc szükséges. A követelményeknek megfelelő licenc megtalálásához tekintse meg Az ingyenes és prémium kiadások általánosan elérhető funkcióinak összehasonlítása.

Következő lépések

• Microsoft Entra szerepkörök ismertetése
• Microsoft Entra-szerepkörök hozzárendelése
• Microsoft Entra fórum