Microsoft Entra 識別碼中的角色型訪問控制概觀

本文說明如何瞭解Microsoft Entra 角色型訪問控制。 Microsoft Entra 角色可讓您將細微的許可權授與系統管理員，並遵守最低許可權原則。 Microsoft Entra 內建和自定義角色的運作概念與您在 azure 資源的角色型訪問控制系統（Azure 角色）類似的概念。 這兩個角色型訪問控制系統 之間的 差異如下：

• Microsoft Entra 角色會使用 Microsoft Graph API 來控制對 Microsoft Entra 資源的存取，例如使用者、群組和應用程式
• Azure 角色會使用 Azure 資源管理來控制對 Azure 資源的存取，例如虛擬機或記憶體

這兩個系統都包含同樣使用的角色定義和角色指派。 不過，Microsoft Entra 角色許可權不能用於 Azure 自定義角色，反之亦然。

瞭解 Microsoft Entra 角色型訪問控制

Microsoft Entra ID 支援兩種類型的角色定義：

• 內建角色
• 自定義角色

預設角色是具有固定許可權集的內建角色。 無法修改這些角色定義。 Microsoft Entra ID 支援的許多內建角色 ，而且清單正在增加。 若要完善邊緣並符合精緻需求，Microsoft Entra ID 也支援 自定義角色。 使用自訂 Microsoft Entra 角色授予許可權包含兩個步驟：建立自訂角色定義，然後使用角色指派來分配它。 自訂角色定義是從預設清單新增的許可權集合。 這些許可權與內建角色中使用的許可權相同。

建立自定義角色定義（或使用內建角色）之後，您可以藉由建立角色指派將它指派給使用者。 角色指派會將指定範圍的角色定義中的許可權授與使用者。 此雙步驟程式可讓您建立單一角色定義，並在不同的範圍中多次指派它。 範圍定義角色成員可存取的一組 Microsoft Entra 資源。 最常見的範圍是全組織範圍（組織範圍）。 自定義角色可以在全組織範圍內指派，這表示角色成員具有組織中所有資源的角色許可權。 您也可以在物件範圍指派自定義角色。 物件範圍的範例是單一應用程式。 相同的角色可以指派給組織中所有應用程式的一個使用者，然後指派給另一個只有 Contoso Expense Reports 應用程式範圍的使用者。

Microsoft Entra 識別碼如何判斷使用者是否具有資源的存取權

以下是Microsoft Entra ID 用來判斷您是否具有管理資源的存取權的高階步驟。 使用這項資訊來針對存取問題進行疑難解答。

1. 使用者（或服務主體）會取得 Microsoft Graph 端點位址的令牌。
2. 使用者會使用發行的令牌，透過 Microsoft Graph 呼叫 Microsoft Entra ID。
3. 視情況而定，Microsoft Entra ID 會採取下列其中一個動作：
   • 根據使用者存取令牌中的 wids 聲明 來評估使用者的角色成員資格。
   • 擷取所有針對使用者的角色指派，包括直接的指派或透過群組成員資格的指派，以套用到正在執行動作的資源。
4. Microsoft Entra ID 會判斷 API 呼叫中的動作是否包含在使用者為此資源所具備的角色中。
5. 如果使用者在所需範圍內沒有具有該動作權限的角色，則不會授予存取權限。 否則允許存取。

角色指派

角色指派是一種Microsoft Entra 資源，會將 角色 定義附加至特定 範圍 安全性主體，以授與Microsoft Entra 資源的存取權。 存取權是藉由建立角色指派來授與，而存取權則是藉由移除角色指派來撤銷。 角色指派的核心包含三個元素：

• 安全性主體 - 獲取權限的身份識別。 它可以是使用者、群組或服務主體。
• 角色定義 - 許可權集合。
• 範圍 - 限制這些許可權適用位置的方法。

您可以使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell或 Microsoft Graph API，建立角色 指派 並 列出角色指派。 Microsoft Entra 角色指派不支援 Azure CLI。

下圖顯示角色指派的範例。 在此範例中，Chris 已獲指派 Contoso Widget Builder 應用程式註冊範圍的應用程式註冊系統管理員自定義角色。 此指派將授予 Chris 針對此特定應用程式註冊的應用程式註冊系統管理員角色許可權。

安全主體

安全性主體是指將存取權指派給 Microsoft Entra 資源的使用者、群組或服務主體。 使用者是擁有 Microsoft Entra ID 使用者檔案的個人。 群組是新的 Microsoft 365 或安全組，已設定為 角色指派群組。 服務主體是用來與應用程式、託管服務和自動化工具搭配使用的身分識別，以存取Microsoft Entra 資源。

角色定義

角色定義或角色是權限集合。 角色定義會列出可在Microsoft Entra 資源上執行的作業，例如建立、讀取、更新和刪除。 Microsoft Entra ID 中有兩種類型的角色：

• 由 Microsoft 建立且無法更改的內建角色。
• 由組織建立和管理的自定義角色。

範圍

範圍是將允許的動作限制在特定資源集做為角色指派的一部分的方法。 例如，如果您想要將自定義角色指派給開發人員，但只能管理特定應用程式註冊，您可以將特定應用程式註冊納入角色指派的範圍。

當您指派角色時，您可以指定下列其中一種範圍類型：

• 房客
• 管理單位
• Microsoft Entra 資源

如果您將Microsoft Entra 資源指定為範圍，它可以是下列其中一項：

• Microsoft Entra 群組
• 企業應用程式
• 應用程式註冊

當角色被指派到容器範圍時，例如租戶或管理單位，它會授予對它們所包含的物件的許可權，但不會對容器本身授予許可權。 相反地，當角色在資源範圍內被指派時，它會授予對資源本身的許可權，但不會延伸到其他範圍（特別是，不會延伸到 Microsoft Entra 群組的成員）。

如需詳細資訊，請參閱 在不同範圍中指派 Microsoft Entra 角色。

角色指派選項

Microsoft Entra ID 提供多個指派角色的選項：

• 您可以直接將角色指派給使用者，這是指派角色的預設方式。 內建和自定義Microsoft Entra 角色都可以根據存取需求指派給使用者。 如需詳細資訊，請參閱 將 Microsoft Entra 角色指派給使用者。
• 透過Microsoft Entra ID P1，您可以建立可指派角色的群組，並將角色指派給這些群組。 將角色指派給群組，而不是個人，可讓您輕鬆地從角色新增或移除使用者，併為群組的所有成員建立一致的許可權。 如需詳細資訊，請參閱 將 Microsoft Entra 角色指派給群組。
• 透過 Microsoft Entra ID P2，您可以使用 Microsoft Entra 特權身份管理（Microsoft Entra PIM）來提供及時存取角色的權限。 此功能可讓您將角色的時限性存取權授予需要的使用者，而非提供永久存取權。 它也提供詳細的報告和稽核功能。 如需詳細資訊，請參閱 在 Privileged Identity Management中指派 Microsoft Entra 角色。

授權需求

在 Microsoft Entra ID 中使用內建角色是免費的。 對於每個被指派自訂角色的使用者，使用自訂角色需要 Microsoft Entra ID P1 授權。 若要尋找您需求的正確授權，請參閱 比較免費版和進階版的一般可用功能。

後續步驟

• 瞭解 Microsoft Entra 角色
• 將 Microsoft Entra 角色指派給使用者
• 在 Microsoft Entra ID 中建立並指派自訂角色