RBAC trong Microsoft Entra ID: Vai trò và phân quyền chi tiết

Bởi /

Giới thiệu

Trong môi trường điện toán đám mây, việc quản trị và phân quyền người dùng là một trong những yếu tố then chốt đảm bảo an toàn và hiệu quả vận hành hệ thống. RBAC trong Microsoft Entra ID (Role-Based Access Control) là cơ chế giúp quản trị viên phân quyền theo vai trò, thay vì gán quyền thủ công cho từng tài khoản riêng lẻ.

Bài viết này sẽ giúp bạn hiểu rõ mô hình phân quyền RBAC trong Entra ID, các loại vai trò được tích hợp, cũng như so sánh với Azure RBAC và Active Directory Domain Services (AD DS).

1. RBAC trong Microsoft Entra ID là gì?

RBAC (Role-Based Access Control) là mô hình phân quyền dựa trên vai trò, cho phép quản trị viên gán quyền cho người dùng thông qua các vai trò định sẵn thay vì cấu hình thủ công.

Trong Microsoft Entra ID, RBAC được thiết kế để đơn giản hơn so với AD DS truyền thống. Entra ID không hỗ trợ OU (Organizational Unit) hay Group Policy, mà thay vào đó sử dụng vai trò, nhóm và chính sách điều kiện (Conditional Access) để kiểm soát truy cập.

2. Các vai trò người dùng trong Microsoft Entra ID

2.1. Global Administrator

  • Vai trò cao nhất trong Entra ID.
  • Có toàn quyền cấu hình, quản trị và phân quyền.
  • Khi tạo tenant mới, tài khoản đăng ký sẽ mặc định được gán quyền Global Admin.

2.2. Limited Administrators (Quản trị viên giới hạn)

Các vai trò chuyên biệt, mỗi vai trò phụ trách một phạm vi quản trị riêng. Ví dụ:

  • User Administrator – Quản lý người dùng, nhóm.
  • Password Administrator – Đặt lại mật khẩu.
  • Billing Administrator – Quản lý thanh toán.
  • Exchange/SharePoint/Intune Administrator – Quản lý dịch vụ tương ứng.
  • Security & Compliance Administrator – Quản lý bảo mật, tuân thủ.
  • Conditional Access Administrator – Cấu hình chính sách truy cập có điều kiện.
  • Privileged Role Administrator – Quản lý quyền đặc quyền.

2.3. Người dùng thông thường (User)

  • Mặc định khi tạo tài khoản mới.
  • Không có quyền quản trị.
  • Chỉ được truy cập vào dịch vụ và ứng dụng được cấp phép.

3. Các loại tài khoản trong Entra ID

Microsoft Entra ID hỗ trợ 3 loại tài khoản:

  1. Tài khoản tổ chức – Được tạo trực tiếp trong tenant.
  2. Tài khoản tổ chức bên ngoài – Được mời từ tenant khác.
  3. Tài khoản Microsoft cá nhân – Outlook, Hotmail…

👉 Lời khuyên: Quản trị viên nên sử dụng tài khoản tổ chức, tránh dùng tài khoản cá nhân để quản lý tenant.

4. Phân quyền ứng dụng theo phiên bản Entra ID

Phiên bảnKhả năng phân quyền
FreeGán quyền cho người dùng và nhóm tĩnh
P1Hỗ trợ nhóm động (Dynamic Groups) dựa trên thuộc tính người dùng
P2Tích hợp Privileged Identity Management (PIM), quản lý quyền tạm thời và nâng cao

5. Truy cập của người dùng

  • Người dùng có thể truy cập ứng dụng tại: https://myapps.microsoft.com
  • Hỗ trợ Single Sign-On (SSO) để đăng nhập một lần, dùng cho nhiều dịch vụ.

6. Azure RBAC so với Entra ID RBAC

Trong Azure, RBAC áp dụng cho tài nguyên hạ tầng đám mây:

  • Owner – Toàn quyền, bao gồm gán quyền.
  • Contributor – Toàn quyền thao tác, nhưng không gán quyền.
  • Reader – Chỉ được xem.

👉 Khác biệt chính:

  • Entra ID RBAC → Quản trị danh tính và truy cập.
  • Azure RBAC → Quản trị tài nguyên đám mây.

7. So sánh Entra ID với AD DS

  • Không có OU, thay bằng groups và dynamic groups.
  • Không có Group Policy, nhưng có Conditional AccessCompliance Policies.

FAQ – Câu hỏi thường gặp

Kết luận

RBAC trong Microsoft Entra ID mang đến một mô hình phân quyền linh hoạt, dễ quản lý và phù hợp cho các tổ chức hiện đại. Quản trị viên có thể sử dụng Global Admin, Limited Admin và Conditional Access để đảm bảo hệ thống an toàn, tuân thủ và hiệu quả.

📌 Nếu bạn đang quản trị hệ thống, hãy thử áp dụng RBAC trong Entra ID để tối ưu bảo mật và giảm thiểu rủi ro vận hành.

Lên đầu trang