Azure Active Directory (Azure AD) 內(nèi)置角色大約有 60 個(gè),它們是具有一組固定角色權(quán)限的角色。 為了補(bǔ)充內(nèi)置角色,Azure AD 還支持自定義角色。 請(qǐng)使用自定義角色來(lái)選擇你需要的角色權(quán)限。 例如,你可以創(chuàng)建一個(gè)自定義角色來(lái)管理特定 Azure AD 資源,例如應(yīng)用程序或服務(wù)主體。
本文介紹了 Azure AD 角色的定義及其使用方法。
Microsoft 365 中有許多不同的服務(wù),例如 Azure AD 和 Intune。 其中一些服務(wù)具有自己的基于角色的訪問控制系統(tǒng),尤其是以下服務(wù):
Azure AD
Exchange
Intune
Defender for Cloud
合規(guī)中心
Microsoft Defender for Cloud Apps
商業(yè)
Teams、SharePoint 和托管桌面等其他服務(wù)沒有單獨(dú)的基于角色的訪問控制系統(tǒng)。 它們使用 Azure AD 角色來(lái)實(shí)現(xiàn)其管理訪問。 Azure 對(duì)虛擬機(jī)等 Azure 資源使用其自己的基于角色的訪問控制系統(tǒng),此系統(tǒng)與 Azure AD 角色不同。
說到單獨(dú)的基于角色的訪問控制系統(tǒng), 就意味著存在另一個(gè)數(shù)據(jù)存儲(chǔ)區(qū),用于存儲(chǔ)角色定義和角色分配。 同樣,也有另一個(gè)策略決策點(diǎn),用于訪問檢查。 有關(guān)詳細(xì)信息,請(qǐng)參閱 Azure AD 中 Microsoft 365 服務(wù)的角色及經(jīng)典訂閱管理員角色、Azure 角色和 Azure AD 角色。
Microsoft 365 具有許多基于角色的訪問控制系統(tǒng),它們是在一段時(shí)間內(nèi)是獨(dú)立開發(fā)的,每個(gè)系統(tǒng)都有自己的服務(wù)門戶。 為了方便你在 Azure 門戶中管理適用于整個(gè) Microsoft 365 的標(biāo)識(shí),我們添加了一些特定于服務(wù)的內(nèi)置角色,其中每個(gè)角色都授予對(duì) Microsoft 365 服務(wù)的管理訪問權(quán)限。 添加的角色的一個(gè)示例是 Azure AD 中的 Exchange 管理員角色。 此角色與 Exchange 基于角色的訪問控制系統(tǒng)中的“組織管理”角色組相同,可以管理 Exchange 的所有方面。 同樣,我們添加了 Intune 管理員角色、Teams 管理員、SharePoint 管理員等。 特定于服務(wù)的角色是以下部分介紹的一類 Azure AD 內(nèi)置角色。
Azure AD 內(nèi)置角色的區(qū)別在于使用場(chǎng)景,可分為以下三大類別。
特定于 Azure AD 的角色:這些角色僅授予管理 Azure AD 中資源的權(quán)限。 例如,用戶管理員、應(yīng)用程序管理員、組管理員都授予管理 Azure AD 中資源的權(quán)限。
服務(wù)特定的角色:對(duì)于主要 Microsoft 365 服務(wù)(非 Azure AD),我們創(chuàng)建了特定于服務(wù)的角色,這些角色授予管理服務(wù)中所有功能的權(quán)限。 例如,Exchange 管理員、Intune 管理員、SharePoint 管理員和 Teams 管理員角色可以管理相應(yīng)服務(wù)的功能。 Exchange 管理員可以管理郵箱,Intune 管理員可以管理設(shè)備策略,SharePoint 管理員可以管理網(wǎng)站集,Teams 管理員可以管理通話質(zhì)量,等等。
跨服務(wù)角色:有些角色可以跨服務(wù)。 我們有兩個(gè)全局角色 - 全局管理員和全局讀者。 所有 Microsoft 365 服務(wù)都認(rèn)可這兩個(gè)角色。 此外還有一些與安全性相關(guān)的角色,例如安全管理員和安全讀者,這些角色在 Microsoft 365 中授予多個(gè)安全服務(wù)的訪問權(quán)限。 例如,在 Azure AD 中使用安全管理員角色,可以管理 Microsoft 365 Defender 門戶、Microsoft Defender 高級(jí)威脅防護(hù)和 Microsoft Defender for Cloud Apps。 同樣,在合規(guī)性管理員角色中,你可以在 Microsoft 365 合規(guī)中心、Exchange 等位置管理與合規(guī)性相關(guān)的設(shè)置。
提供下表是為了幫助你理解這些角色類別。 類別可任意命名,不一定要表示記錄的 Azure AD 角色權(quán)限之外的任何其他功能。