Nejméně privilegované role podle úlohy v Microsoft Entra ID

Tento článek popisuje nejméně privilegovanou roli, kterou byste měli použít pro několik úloh v MICROSOFT Entra ID. Najdete úkoly uspořádané podle oblasti funkcí a nejnižší privilegované role potřebné k provedení jednotlivých úloh spolu s dalšími rolemi globálního správce, které můžou úlohu provést.

Oprávnění můžete dále omezit přiřazením rolí v menších oborech nebo vytvořením vlastních rolí. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra nebo Vytvoření vlastní role vMicrosoft Entra ID .

Proxy aplikací s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v proxy aplikací Microsoft Entra.

Task Role s nejnižšími oprávněními Další role
Konfigurace aplikace proxy aplikací Správce aplikace
Konfigurace vlastností skupiny konektorů Správce aplikace
Vytvoření registrace aplikace, pokud je možnost zakázána pro všechny uživatele Vývojář aplikace Správce cloudové aplikace
Správce aplikace
Vytvoření skupiny konektorů Správce aplikace
Odstranění skupiny konektorů Správce aplikace
Zákaz proxy aplikací Správce aplikace
Stažení služby konektoru Správce aplikace
Čtení veškeré konfigurace Správce aplikace

Externí identity / Nejméně privilegované role Azure AD B2C

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v externím ID Microsoft Entra a Azure Active Directory B2C.

Task Role s nejnižšími oprávněními Další role
Vytváření adresářů Azure AD B2C Všichni uživatelé bez typu host
Vytváření podnikových aplikací Správce cloudové aplikace Správce aplikace
Vytvoření, čtení, aktualizace a odstranění zásad B2C Správce zásad B2C IEF
Vytvoření, čtení, aktualizace a odstranění zprostředkovatelů identity Externí správce zprostředkovatele identity
Vytváření, čtení, aktualizace a odstraňování toků uživatelů resetování hesel Správce toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování toků uživatelů pro úpravy profilu Správce toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování toků uživatelů přihlašování Správce toku externího ID uživatele
Vytvoření, čtení, aktualizace a odstranění toku uživatele registrace Správce toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování atributů uživatele Správce atributů toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování uživatelů Uživatelský administrátor
Konfigurace nastavení externí spolupráce B2B – Přístup uživatelů typu host Správce privilegovaných rolí
Konfigurace nastavení externí spolupráce B2B – nastavení pozvání hosta Pozvaný host Správce toku externího ID uživatele
Konfigurace nastavení externí spolupráce B2B – Nastavení opuštění externího uživatele Externí správce zprostředkovatele identity
Konfigurace nastavení externí spolupráce B2B – omezení spolupráce Globální správce
Čtení veškeré konfigurace Globální čtenář
Čtení protokolů auditu B2C Globální čtenář

Note

Globální správci Azure AD B2C nemají stejná oprávnění jako globální správci Microsoft Entra. Pokud máte oprávnění globálního správce Azure AD B2C, ujistěte se, že jste v adresáři Azure AD B2C, a ne v adresáři Microsoft Entra.

Firemní branding s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úkolů pro firemní branding v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Konfigurace brandingu společnosti Správce brandingu organizace
Čtení veškeré konfigurace Čtenáři adresářů Výchozí role uživatele

Připojení nejméně privilegovaných rolí

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v Microsoft Entra Connect.

Task Role s nejnižšími oprávněními Další role
Předávací ověřování Správce hybridní identity
Čtení veškeré konfigurace Globální čtenář Správce hybridní identity
Transparentní jednotné přihlašování Správce hybridní identity

Připojení nejméně privilegovaných rolí synchronizace

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v Microsoft Entra Connect Sync.

Task Role s nejnižšími oprávněními Další role
Správa synchronizace místních adresářů Správce hybridní identity

Nejméně privilegované role zřizování cloudu

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro zřizování identit v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Předávací ověřování Správce hybridní identity
Čtení veškeré konfigurace Globální čtenář Správce hybridní identity
Transparentní jednotné přihlašování Správce hybridní identity

Připojení nejméně privilegovaných rolí služby Health

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v Microsoft Entra Connect Health.

Task Role s nejnižšími oprávněními Další role
Přidání nebo odstranění služeb Owner
Použití oprav chyby synchronizace Contributor Owner
Konfigurace oznámení Contributor Owner
Konfigurace nastavení Owner
Konfigurace oznámení synchronizace Contributor Owner
Čtení sestav zabezpečení ADFS Čtenář bezpečnostních nastavení Contributor
Owner
Čtení veškeré konfigurace Reader Contributor
Owner
Chyby čtení synchronizace Reader Contributor
Owner
Synchronizační služby pro čtení Reader Contributor
Owner
Zobrazení metrik a upozornění Reader Contributor
Owner
Zobrazení metrik a upozornění Reader Contributor
Owner
Zobrazení metrik a upozornění synchronizační služby Reader Contributor
Owner

Vlastní názvy domén s nejnižšími oprávněními

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro vlastních názvů domén v MICROSOFT Entra ID.

Task Role s nejnižšími oprávněními Další role
Správa domén Správce názvu domény
Čtení veškeré konfigurace Čtenáři adresářů Výchozí role uživatele

Nejméně privilegované role služby Domain Services

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v služby Microsoft Entra Domain Services.

Task Role s nejnižšími oprávněními Další role
Vytvoření instance služby Microsoft Entra Domain Services Správce aplikace
Správce skupin
Přispěvatel služby Domain Services
Provádění všech úloh služby Microsoft Entra Domain Services Skupina AAD DC Administrators
Čtení veškeré konfigurace Čtenář v předplatném Azure obsahujícím službu AD DS

Nejméně privilegované role zařízení

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro identity zařízení v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Odstranit zařízení Správce cloudových zařízení Správce Intune
Zakázání zařízení Správce cloudových zařízení Správce Intune
Povolení zařízení Správce cloudových zařízení Správce Intune
Čtení základní konfigurace Výchozí role uživatele
Čtení klíčů Nástroje BitLocker Správce cloudových zařízení Správce helpdesku
Správce Intune
Správce zabezpečení
Čtenář bezpečnostních nastavení
Zřizování a správa zařízení IoT správce zařízení IoT Správce cloudových zařízení
Správa šablon zařízení IoT správce zařízení IoT Správce cloudových zařízení

Podnikové aplikace s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro správu aplikací v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Souhlas s delegovanými oprávněními Správce cloudové aplikace Správce aplikace
Souhlas s oprávněními aplikace, která nezahrnuje Microsoft Graph Správce cloudové aplikace Správce aplikace
Souhlas s oprávněními aplikace k Microsoft Graphu Správce privilegovaných rolí
Souhlas s aplikacemi, které přistupují k vlastním datům Výchozí role uživatele
Vytvoření podnikové aplikace Správce cloudové aplikace Správce aplikace
Správa proxy aplikací Správce aplikace
Kontrola přístupu pro čtení skupiny nebo aplikace Čtenář bezpečnostních nastavení Správce zabezpečení
Uživatelský administrátor
Čtení veškeré konfigurace Výchozí role uživatele
Aktualizace přiřazení podnikových aplikací Vlastník podnikové aplikace Správce cloudové aplikace
Správce aplikace
Uživatelský administrátor
Aktualizace vlastníků podnikových aplikací Vlastník podnikové aplikace Správce cloudové aplikace
Správce aplikace
Aktualizace vlastností podnikové aplikace Vlastník podnikové aplikace Správce cloudové aplikace
Správce aplikace
Aktualizace zřizování podnikových aplikací Vlastník podnikové aplikace Správce cloudové aplikace
Správce aplikace
Aktualizace samoobslužné služby podnikových aplikací Vlastník podnikové aplikace Správce cloudové aplikace
Správce aplikace
Aktualizace vlastností jednotného přihlašování Vlastník podnikové aplikace Správce cloudové aplikace
Správce aplikace
Vytvoření a úprava vlastních rozšíření ověřování Správce rozšiřitelnosti ověřování Správce aplikace

Note

V praxi souhlas s oprávněními aplikace Microsoft Graph obvykle vyžaduje roli globálního správce. Správce privilegovaných rolí nemusí být dostatečný v závislosti na zásadách souhlasu tenanta, oborech oprávnění nebo požadavcích na ochranu graphu.

Správa nároků s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro správu nároků v zásadách správného řízení Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Úlohy ve správě nároků správce zásad správného řízení identit . Pro role s nižšími oprávněními v rámci systému Správa nároků najdete v tématu: Delegování a role vsprávy nároků .

Skupiny s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro skupiny v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Přiřazení licence Uživatelský administrátor
Vytvoření skupiny Správce skupin Uživatelský administrátor
Vytvoření, aktualizace nebo odstranění kontroly přístupu skupiny nebo aplikace Uživatelský administrátor
Správa vypršení platnosti skupiny Uživatelský administrátor
Správa nastavení skupin Správce skupin Uživatelský administrátor
Čtení všech konfigurací (s výjimkou skrytého členství) Čtenáři adresářů Výchozí role uživatele
Čtení skrytého členství Člen skupiny Vlastník skupiny
Správce hesel
Správce Exchange
Správce SharePointu
Správce Teams
Uživatelský administrátor
Čtení členství ve skupinách se skrytým členstvím Správce helpdesku Uživatelský administrátor
Správce Teams
Odvolání licence Správce licencí Uživatelský administrátor
Aktualizace dynamických skupin členství Vlastník skupiny Uživatelský administrátor
Aktualizace vlastníků skupin Vlastník skupiny Uživatelský administrátor
Aktualizace vlastností skupiny Vlastník skupiny Uživatelský administrátor
Odstranit skupinu Správce skupin Uživatelský administrátor

Licence s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro licencování Microsoft Entra.

Task Role s nejnižšími oprávněními Další role
Přiřazení licence Správce licencí Uživatelský administrátor
Čtení veškeré konfigurace Čtenáři adresářů Výchozí role uživatele
Odvolání licence Správce licencí Uživatelský administrátor
Vyzkoušení nebo zakoupení předplatného Správce fakturace

Pracovní postupy životního cyklu s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro pracovní postupy životního cyklu v zásadách správného řízení MICROSOFT Entra ID.

Task Role s nejnižšími oprávněními Další role
Vytvoření pracovního postupu správce pracovních postupů životního cyklu
Přidání vlastního rozšíření do pracovního postupu správce pracovních postupů životního cyklu . Musíte mít také přispěvatele aplikace logiky nebo roli vlastníka Azure Resource Manageru.

Microsoft Entra Health – nejméně privilegované role

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v monitorování služby Microsoft Entra Health.

Task Role s nejnižšími oprávněními Další role
Zobrazení scénářů monitorování signálů a konfigurací výstrah Čtenář sestav Čtenář bezpečnostních nastavení
Operátor zabezpečení
Správce zabezpečení
Správce helpdesku
Globální čtenář
Aktualizace upozornění a konfigurace e-mailů s upozorněními Správce helpdesku

Nejméně privilegované role Microsoft Entra ID Protection

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v Microsoft Entra ID Protection.

Task Role s nejnižšími oprávněními Další role
Konfigurace oznámení výstrah Správce zabezpečení
Konfigurace a povolení nebo zakázání zásad vícefaktorového ověřování Správce zabezpečení
Konfigurace a povolení nebo zakázání zásad rizik přihlašování Správce zabezpečení
Konfigurace a povolení nebo zakázání zásad rizik uživatelů Správce zabezpečení
Konfigurace týdenních přehledů Správce zabezpečení
Zavření všech detekcí rizik Operátor zabezpečení
Oprava nebo zavření chyby zabezpečení Správce zabezpečení
Čtení veškeré konfigurace Čtenář bezpečnostních nastavení
Čtení všech detekcí rizik Čtenář bezpečnostních nastavení
Ohrožení zabezpečení čtení Čtenář bezpečnostních nastavení

Monitorování a stav – Audit a přihlášení protokolují nejméně privilegované role

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro protokoly auditu a přihlašování v monitorování Microsoft Entra.

Task Role s nejnižšími oprávněními Další role
Čtení protokolů auditu a přihlašování Čtenář sestav Správce aplikace
Správce cloudové aplikace
Správce cloudových zařízení
Globální správce zabezpečeného přístupu
Správce hybridní identity
Správce zabezpečení
Operátor zabezpečení
Čtenář bezpečnostních nastavení

Monitorování a stav – Zřizování protokolů s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro protokoly zřizování Microsoft Entra.

Task Role s nejnižšími oprávněními Další role
Čtení protokolů zřizování Čtenář sestav Vlastník podnikové aplikace
Správce aplikace
Správce cloudové aplikace
Správce cloudových zařízení
Správce hybridní identity
Správce zabezpečení
Operátor zabezpečení
Čtenář bezpečnostních nastavení

Monitorování a stav – Doporučení s nejméně privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro doporučení microsoft Entra identity.

Task Role s nejnižšími oprávněními Další role
Čtení doporučení Čtenář sestav Čtenář bezpečnostních nastavení
Globální čtenář
Správce helpdesku
Správce podpory služeb
Uživatelský administrátor
Aktualizace doporučení Správce zásad ověřování Správce aplikace
správce autentizace
Správce cloudové aplikace
Správce podmíněného přístupu
Správce Exchange
Správce hybridní identity
Správce zásad správného řízení identit
Správce privilegovaných rolí
Správce zabezpečení
Operátor zabezpečení
Správce SharePointu
Akce zlepšování bezpečnostních skóre pro čtení identity Správce podpory služeb Správce zabezpečení
Správce Exchange
Aktualizace akce zlepšení skóre zabezpečení identity Správce SharePointu Správce helpdesku
Uživatelský administrátor
Čtenář bezpečnostních nastavení
Operátor zabezpečení
Globální čtenář

Monitorování a stav – Diagnostický nástroj pro přihlášení

Tady jsou nejméně privilegované role, které byste měli použít při spuštění diagnostického nástroje pro přihlašování.

Task Nejméně privilegované role Další role
Použití diagnostiky přihlašování z Diagnostika a řešení problémů Správce fakturace Správce aplikace
Správce cloudové aplikace
Správce cloudových zařízení
Správce podmíněného přístupu
Schvalovatel přístupu Customer LockBoxu
Správce skupin
Správce licencí
Globální čtenář
Správce helpdesku
Správce privilegovaných rolí
Správce zabezpečení
Uživatelský administrátor
Použití diagnostiky přihlašování z protokolů přihlášení čtenáře sestav i správce fakturace Globální správce zabezpečeného přístupu
Správce hybridní identity
Správce zabezpečení
Operátor zabezpečení
Čtenář bezpečnostních nastavení

Vícefaktorové ověřování s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v ověřování Microsoft Entra.

Task Role s nejnižšími oprávněními Další role
Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli Správce zásad ověřování správce autentizace
Zakázání vícefaktorového ověřování pro jednotlivé uživatele správce autentizace Správce privilegovaného ověřování
Povolení vícefaktorového ověřování pro jednotlivé uživatele správce autentizace Správce privilegovaného ověřování
Správa nastavení služby MFA Správce zásad ověřování
Vyžadovat, aby vybraní uživatelé znovu zadali způsoby kontaktování správce autentizace
Obnovení vícefaktorového ověřování na všech zapamatových zařízeních správce autentizace

Nejméně privilegované role MFA Serveru

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v MFA Server.

Task Role s nejnižšími oprávněními Další role
Blokování nebo odblokování uživatelů Správce zásad ověřování
Konfigurace uzamčení účtu Správce zásad ověřování
Konfigurace pravidel ukládání do mezipaměti Správce zásad ověřování
Konfigurace upozornění na podvod Správce zásad ověřování
Konfigurace oznámení Správce zásad ověřování
Konfigurace jednorázového obejití Správce zásad ověřování
Konfigurace nastavení telefonního hovoru Správce zásad ověřování
Konfigurace poskytovatelů Správce zásad ověřování
Konfigurace nastavení serveru Správce zásad ověřování
Čtení sestavy aktivit Globální čtenář
Čtení veškeré konfigurace Globální čtenář
Čtení stavu serveru Globální čtenář

Organizační vztahy s nejméně privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro nastavení externí spolupráce v externím ID Microsoft Entra.

Task Role s nejnižšími oprávněními Další role
Správa zprostředkovatelů identity Externí správce zprostředkovatele identity
Čtení veškeré konfigurace Globální čtenář

Resetování hesla s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro resetování hesla v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Konfigurace metod ověřování Správce zásad ověřování
Konfigurace přizpůsobení Správce zásad ověřování
Konfigurace oznámení Správce zásad ověřování
Konfigurace místní integrace Správce zásad ověřování
Konfigurace vlastností resetování hesla Uživatelský administrátor Správce zásad ověřování
Konfigurace registrace Správce zásad ověřování
Čtení veškeré konfigurace Správce zabezpečení Uživatelský administrátor

Privileged Identity Management – nejméně privilegované role

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro Microsoft Entra Privileged Identity Management v zásadách správného řízení Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Přiřazení uživatelů k rolím Správce privilegovaných rolí
Konfigurace nastavení role Správce privilegovaných rolí
Zobrazení aktivit auditu Čtenář bezpečnostních nastavení
Zobrazení členství v rolích Čtenář bezpečnostních nastavení

Role a správci s nejnižšími oprávněními

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro role a správce v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Správa přiřazení rolí Správce privilegovaných rolí
Kontrola přístupu pro čtení role Microsoft Entra Čtenář bezpečnostních nastavení Správce zabezpečení
Správce privilegovaných rolí
Čtení veškeré konfigurace Výchozí role uživatele

Zabezpečení – metody ověřování s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro metody ověřování v MICROSOFT Entra ID.

Task Role s nejnižšími oprávněními Další role
Povolení nebo zakázání metod ověřování Správce zásad ověřování
Zobrazení, zřizování jménem a správa metod ověřování jednotlivých uživatelů správce autentizace Správce privilegovaného ověřování
Konfigurace ochrany heslem Správce zabezpečení
Konfigurace inteligentního uzamčení Správce zabezpečení
Čtení veškeré konfigurace Globální čtenář

Zabezpečení – nejméně privilegované role podmíněného přístupu

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro podmíněného přístupu v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Konfigurace důvěryhodných IP adres vícefaktorového ověřování Správce podmíněného přístupu
Vytvoření vlastních ovládacích prvků Správce podmíněného přístupu Správce zabezpečení
Vytvoření pojmenovaných umístění Správce podmíněného přístupu Správce zabezpečení
Vytvoření zásad Správce podmíněného přístupu Správce zabezpečení
Vytvoření podmínek použití Správce podmíněného přístupu Správce zabezpečení
Vytvoření certifikátu připojení VPN Správce cloudové aplikace Správce aplikace
Odstranění klasických zásad Správce podmíněného přístupu Správce zabezpečení
Obnovení obnovitelně odstraněných zásad Správce podmíněného přístupu Správce zabezpečení
Odstranění podmínek použití Správce podmíněného přístupu Správce zabezpečení
Odstranění certifikátu připojení VPN Správce podmíněného přístupu Správce zabezpečení
Zakázání klasických zásad Správce podmíněného přístupu Správce zabezpečení
Správa vlastních ovládacích prvků Správce podmíněného přístupu Správce zabezpečení
Správa pojmenovaných umístění Správce podmíněného přístupu Správce zabezpečení
Správa podmínek použití Správce podmíněného přístupu Správce zabezpečení
Čtení veškeré konfigurace Čtenář bezpečnostních nastavení
Čtení pojmenovaných umístění Čtenář bezpečnostních nastavení
Přečtěte si podmínky použití Čtenář bezpečnostních nastavení Globální čtenář
Přečtěte si, které podmínky použití přijal přihlášený uživatel. Výchozí role uživatele

Zabezpečení – Skóre zabezpečení identity s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro skóre zabezpečení identity v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Čtení veškeré konfigurace Čtenář bezpečnostních nastavení Správce zabezpečení
Přečíst skóre zabezpečení Čtenář bezpečnostních nastavení Správce zabezpečení
Aktualizace stavu události Správce zabezpečení

Zabezpečení – Rizikové přihlašování s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro rizikových přihlášení v Microsoft Entra ID Protection.

Task Role s nejnižšími oprávněními Další role
Čtení veškeré konfigurace Čtenář bezpečnostních nastavení
Čtení rizikových přihlášení Čtenář bezpečnostních nastavení

Zabezpečení – Uživatelé označení příznakem pro role s nejnižšími oprávněními rizika

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro uživatele označené příznakem rizika v Microsoft Entra ID Protection.

Task Role s nejnižšími oprávněními Další role
Zavřít všechny události Správce zabezpečení
Čtení veškeré konfigurace Čtenář bezpečnostních nastavení
Čtení uživatelů označených příznakem rizika Čtenář bezpečnostních nastavení

Dočasné přístupové role s nejnižšími oprávněními

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro dočasného přístupového passu v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro správce nebo členy (kromě sebe) Správce privilegovaného ověřování
Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro členy (kromě sebe) správce autentizace
Zobrazení podrobností o dočasném přístupovém passu pro uživatele (bez čtení samotného kódu) Globální čtenář
Konfigurace nebo aktualizace zásad metody ověřování dočasného přístupu Správce zásad ověřování

Tenanti s nejnižšími privilegovanými rolemi

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh v tenantů Microsoft Entra.

Task Role s nejnižšími oprávněními Další role
Vytvoření ID Microsoft Entra nebo tenanta Azure AD B2C Tvůrce tenanta
Aktualizace vlastností tenanta Microsoft Entra Správce fakturace
Správa prohlášení o zásadách ochrany osobních údajů a kontaktování Správce fakturace

Uživatelé s nejnižšími oprávněními

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro uživatele v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Přidání uživatele do role adresáře Správce privilegovaných rolí
Přidání uživatele do skupiny Uživatelský administrátor
Přiřazení licence Správce licencí Uživatelský administrátor
Vytvoření uživatele typu host Pozvaný host Uživatelský administrátor
Resetování pozvání uživatele typu host Správce helpdesku Uživatelský administrátor
Vytvoření uživatele Uživatelský administrátor
Odstranit uživatele Uživatelský administrátor
Zneplatnění obnovovacích tokenů omezených správců Uživatelský administrátor
Zneplatnění obnovovacích tokenů jiných správců Správce helpdesku Uživatelský administrátor
Zneplatnění obnovovacích tokenů privilegovaných správců Správce privilegovaného ověřování
Čtení základní konfigurace Výchozí role uživatele
Resetování hesla pro omezené správce Uživatelský administrátor
Resetování hesla uživatelů, kteří nejsou správci Správce hesel Uživatelský administrátor
Resetování hesla privilegovaných správců Správce privilegovaného ověřování
Odvolání licence Správce licencí Uživatelský administrátor
Aktualizace všech vlastností kromě hlavního názvu uživatele Uživatelský administrátor
Aktualizace vlastnosti s povolenou místní synchronizací Správce hybridní identity
Aktualizace nastavení profilových fotek a lidí Správce osob
Aktualizace hlavního názvu uživatele pro omezené správce Uživatelský administrátor
Aktualizace vlastnosti hlavního názvu uživatele u privilegovaných správců Správce privilegovaného ověřování
Aktualizace uživatelských nastavení – výchozí oprávnění role uživatele Správce privilegovaných rolí
Aktualizace uživatelských nastavení – Přístup uživatele typu host Správce privilegovaných rolí
Aktualizace uživatelských nastavení – Centrum pro správu Globální správce
Aktualizace uživatelských nastavení – připojení k účtu LinkedIn Globální správce
Aktualizace uživatelských nastavení – Zobrazení zachování přihlášeného uživatele Globální správce
Aktualizace metod ověřování správce autentizace Správce privilegovaného ověřování

Podpora nejméně privilegovaných rolí

Tady jsou nejméně privilegované role, které byste měli použít při provádění úloh pro podporu v Microsoft Entra ID.

Task Role s nejnižšími oprávněními Další role
Odeslat lístek podpory Správce podpory služeb Správce aplikace
Správce služby Azure Information Protection
Správce fakturace
Správce cloudové aplikace
Správce dodržování předpisů
Správce Dynamics 365
Správce Desktop Analytics
Správce Exchange
Správce helpdesku
Správce Intune
Správce hesel
Správce prostředků infrastruktury
Správce privilegovaného ověřování
Správce SharePointu
správce Skype pro firmy
Správce Teams
Správce komunikace Teams
Uživatelský administrátor

Další kroky

  • Last updated on