了解 Microsoft Entra ID 中的角色

大约有 60 个 Microsoft Entra 内置角色,这些角色具有一组固定角色权限。 为了补充内置角色,Microsoft Entra ID 还支持自定义角色。 请使用自定义角色来选择你需要的角色权限。 例如,你可以创建一个自定义角色来管理特定 Microsoft Entra 资源,例如应用程序或服务主体。

本文介绍了 Microsoft Entra 角色的定义及其使用方法。

Microsoft Entra 角色与其他 Microsoft 365 角色的区别

Microsoft 365 中有许多不同的服务,例如 Microsoft Entra ID 和 Intune。 其中一些服务具有自己的基于角色的访问控制系统,尤其是以下服务:

  • Microsoft Entra ID
  • Microsoft Exchange
  • Microsoft Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft 365 Defender 门户
  • 合规性门户
  • 成本管理 + 计费

Teams、SharePoint 和托管桌面等其他服务没有单独的基于角色的访问控制系统。 他们使用 Microsoft Entra 角色进行管理访问。 Azure 对虚拟机等 Azure 资源使用其自己的基于角色的访问控制系统,此系统与 Microsoft Entra 角色不同。

Azure RBAC 角色与 Microsoft Entra 角色比较

说到单独的基于角色的访问控制系统,就意味着存在另一个数据存储区,用于存储角色定义和角色分配。 同样,也有另一个策略决策点,用于访问检查。 有关详细信息,请参阅跨 Microsoft 服务的角色Azure 角色、Microsoft Entra 角色和经典订阅管理员角色

为什么某些 Microsoft Entra 角色适用于其他服务

Microsoft 365 具有许多基于角色的访问控制系统,它们是在一段时间内是独立开发的,每个系统都有自己的服务门户。 为了方便你在 Microsoft Entra 管理中心管理适用于整个 Microsoft 365 的标识,我们添加了一些特定于服务的内置角色,其中每个角色都授予对 Microsoft 365 服务的管理访问权限。 添加的角色的一个示例是 Microsoft Entra ID 中的 Exchange 管理员角色。 此角色与 Exchange 基于角色的访问控制系统中的“组织管理”角色组相同,可以管理 Exchange 的所有方面。 同样,我们添加了 Intune 管理员角色、Teams 管理员、SharePoint 管理员等。 特定于服务的角色是以下部分介绍的一类 Microsoft Entra 内置角色。

Microsoft Entra 角色的类别

Microsoft Entra 内置角色的区别在于使用场景,可分为以下三大类别。

  • 特定于 Microsoft Entra ID 的角色:这些角色仅授予管理 Microsoft Entra 内部资源所需的权限。 例如,用户管理员、应用程序管理员、组管理员都授予管理 Microsoft Entra ID 中资源所需的权限。
  • Microsoft Entra ID 中的特定于服务的角色:Microsoft 服务,例如 Microsoft 365,用于定义特定于服务的特权的 Microsoft Entra ID 中的角色,以管理服务中的所有功能。 例如,Exchange 管理员、Intune 管理员、SharePoint 管理员和 Teams 管理员角色可以管理相应服务的功能。 Exchange 管理员可以管理邮箱,Intune 管理员可以管理设备策略,SharePoint 管理员可以管理网站集,Teams 管理员可以管理通话质量,等等。
  • Microsoft Entra ID 中的跨服务角色:存在一些跨服务的角色。 我们有两个全局角色 - 全局管理员和全局读者。 所有 Microsoft 365 服务都认可这两个角色。 此外还有一些与安全性相关的角色,例如安全管理员和安全读者,这些角色在 Microsoft 365 中授予多个安全服务的访问权限。 例如,在 Microsoft Entra ID 中使用安全管理员角色,可以管理 Microsoft 365 Defender 门户、Microsoft Defender 高级威胁防护和 Microsoft Defender for Cloud Apps。 同样,在合规性管理员角色中,你可以在合规性门户、Exchange 等位置管理与合规性相关的设置。

Microsoft Entra 内置角色的三个类别

提供下表是为了帮助你理解这些角色类别。 类别可任意命名,不一定要表示记录的 Microsoft Entra 角色权限之外的任何其他功能。

Category 角色
特定于 Microsoft Entra ID 的角色 应用程序管理员
应用程序开发人员
身份验证管理员
B2C IEF 密钥集管理员
B2C IEF 策略管理员
云应用管理员
云设备管理员
条件访问管理员
设备管理员
目录读者
目录同步帐户
目录编写人员
外部 ID 用户流管理员
外部 ID 用户流属性管理员
外部标识提供者管理员
组管理员
来宾邀请者
支持管理员
混合标识管理员
许可证管理员
合作伙伴一线支持人员
合作伙伴二线支持人员
密码管理员
特权身份验证管理员
特权角色管理员
报告读者
用户管理员
Microsoft Entra ID 中的特定于服务的角色 Azure DevOps 管理员
Azure 信息保护管理员
计费管理员
CRM 服务管理员
客户密码箱访问审批者
桌面分析管理员
Exchange 服务管理员
Insights 管理员
Insights 业务主管
Intune 服务管理员
Kaizala 管理员
Lync 服务管理员
消息中心隐私读取者
消息中心读取者
现代商务管理员
网络管理员
Office 应用管理员
Power BI 服务管理员
Power Platform 管理员
打印机管理员
打印机技术人员
搜索管理员
搜索编辑员
SharePoint 服务管理员
Teams 通信管理员
Teams 通信支持工程师
Teams 通信支持专家
Teams 设备管理员
Teams 管理员
Microsoft Entra ID 中的跨服务角色 合规性管理员
符合性数据管理员
全局读取者
安全管理员
安全操作员
安全读取者
服务支持管理员

后续步骤