Peran istimewa paling rendah berdasarkan tugas di Microsoft Entra ID

  • Artikel

Dalam artikel ini, Anda dapat menemukan informasi yang diperlukan untuk membatasi izin administrator pengguna dengan menetapkan peran dengan hak istimewa paling sedikit di ID Microsoft Entra. Anda akan menemukan tugas admin yang diatur menurut area fitur dan peran istimewa terendah yang diperlukan untuk melakukan setiap tugas, bersama dengan peran Administrator non-Global tambahan yang dapat melakukan tugas tersebut.

Anda dapat membatasi izin lebih lanjut dengan menetapkan peran pada cakupan yang lebih kecil atau dengan membuat peran kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra di cakupan yang berbeda atau Membuat dan menetapkan peran kustom di ID Microsoft Entra.

Proksi aplikasi

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi aplikasi proksi aplikasi Administrator Aplikasi
Mengonfigurasi properti grup konektor Administrator Aplikasi
Membuat pendaftaran aplikasi ketika kemampuan dinonaktifkan untuk semua pengguna Pengembang Aplikasi Administrator Aplikasi Cloud
Administrator Aplikasi
Membuat grup konektor Administrator Aplikasi
Menghapus grup konektor Administrator Aplikasi
Menonaktifkan proksi aplikasi Administrator Aplikasi
Mengunduh layanan konektor Administrator Aplikasi
Membaca semua konfigurasi Administrator Aplikasi

Azure Active Directory for External Identities/B2C

Tugas Peran istimewa paling rendah Peran tambahan
Membuat direktori Azure AD B2C Semua pengguna non-tamu
Membuat aplikasi perusahaan Administrator Aplikasi Cloud Administrator Aplikasi
Membuat, membaca, memperbarui, dan menghapus kebijakan B2C Admin Kebijakan IEF B2C
Membuat, membaca, memperbarui, dan menghapus IdP Admin IdP Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna reset kata sandi Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna pengeditan profil Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna rincian masuk Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna pendaftaran Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus atribut pengguna Admin Atribut Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus pengguna Admin Pengguna
Mengonfigurasi pengaturan kolaborasi eksternal B2B Administrator Global
Membaca semua konfigurasi Pembaca Global
Membaca log audit B2C Pembaca Global

Catatan

Administrator Global Azure AD B2C tidak memiliki izin yang sama dengan Administrator Global Microsoft Entra. Jika Anda memiliki hak istimewa Administrator Global Azure AD B2C, pastikan Anda berada di direktori Azure AD B2C dan bukan direktori Microsoft Entra.

Merek perusahaan

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi merek perusahaan Administrator Branding Organisasi
Membaca semua konfigurasi Pembaca Direktori Peran pengguna default

Sambungkan

Tugas Peran istimewa paling rendah Peran tambahan
Autentikasi pass-through Admin Identitas Hibrid
Membaca semua konfigurasi Pembaca Global Admin Identitas Hibrid
Akses menyeluruh tanpa hambatan Admin Identitas Hibrid

Provisi Cloud

Tugas Peran istimewa paling rendah Peran tambahan
Autentikasi pass-through Admin Identitas Hibrid
Membaca semua konfigurasi Pembaca Global Admin Identitas Hibrid
Akses menyeluruh tanpa hambatan Admin Identitas Hibrid

Menyambungkan Kesehatan

Tugas Peran istimewa paling rendah Peran tambahan
Menambahkan atau menghapus layanan Pemilik
Menerapkan perbaikan untuk menyinkronkan kesalahan Kontributor Pemilik
Mengonfigurasi pemberitahuan Kontributor Pemilik
Mengonfigurasi pengaturan Pemilik
Mengonfigurasi pemberitahuan sinkronisasi Kontributor Pemilik
Membaca laporan keamanan ADFS Pembaca Keamanan Kontributor
Pemilik
Membaca semua konfigurasi Pembaca Kontributor
Pemilik
Membaca kesalahan sinkronisasi Pembaca Kontributor
Pemilik
Membaca layanan sinkronisasi Pembaca Kontributor
Pemilik
Melihat metrik dan pemberitahuan Pembaca Kontributor
Pemilik
Melihat metrik dan pemberitahuan Pembaca Kontributor
Pemilik
Menampilkan metrik dan pemberitahuan layanan sinkronisasi Pembaca Kontributor
Pemilik

Nama domain kustom

Tugas Peran istimewa paling rendah Peran tambahan
Mengelola domain Admin Nama Domain
Membaca semua konfigurasi Pembaca Direktori Peran pengguna default

Layanan Domain

Tugas Peran istimewa paling rendah Peran tambahan
Membuat instans Microsoft Entra Domain Services Administrator Aplikasi
Admin Grup
Kontributor Layanan Domain
Melakukan semua tugas Microsoft Entra Domain Services Grup administrator AAD DC
Membaca semua konfigurasi Pembaca pada langganan Azure yang berisi layanan AD DS

Perangkat

Tugas Peran istimewa paling rendah Peran tambahan
Menghapus perangkat Admin Perangkat Cloud Admin Intune
Menonaktifkan perangkat Admin Perangkat Cloud Admin Intune
Mengaktifkan perangkat Admin Perangkat Cloud Admin Intune
Membaca konfigurasi dasar Peran pengguna default
Membaca kunci BitLocker Admin Perangkat Cloud Admin Bantuan Teknis
Admin Intune
Administrator Keamanan
Pembaca Keamanan

Aplikasi Perusahaan

Tugas Peran istimewa paling rendah Peran tambahan
Persetujuan untuk setiap izin yang didelegasikan Administrator Aplikasi Cloud Administrator Aplikasi
Persetujuan izin aplikasi tidak termasuk Microsoft Graph Administrator Aplikasi Cloud Administrator Aplikasi
Persetujuan izin aplikasi untuk Microsoft Graph Administrator Peran Privileged
Persetujuan untuk aplikasi yang mengakses data sendiri Peran pengguna default
Membuat aplikasi perusahaan Administrator Aplikasi Cloud Administrator Aplikasi
Mengelola Proksi Aplikasi Administrator Aplikasi
Mengelola pengaturan pengguna Administrator Global
Membaca tinjauan akses grup atau aplikasi Pembaca Keamanan Administrator Keamanan
Admin Pengguna
Membaca semua konfigurasi Peran pengguna default
Memperbarui penugasan aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Admin Pengguna
Memperbarui pemilik aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui properti aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui provisi aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui layanan mandiri aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui properti akses menyeluruh Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Membuat dan mengubah ekstensi autentikasi kustom Administrator Ekstensibilitas Autentikasi Administrator Aplikasi

Pengelolaan pemberian hak

Tugas Peran istimewa paling rendah Peran tambahan
Menambahkan sumber daya ke katalog Administrator Tata Kelola Identitas Dengan pengelolaan pemberian hak, Anda dapat mendelegasikan tugas ini kepada pemilik katalog
Menambahkan situs SharePoint Online ke katalog Administrator SharePoint

Grup

Tugas Peran istimewa paling rendah Peran tambahan
Menetapkan lisensi Admin Pengguna
Membuat grup Admin Grup Admin Pengguna
Membuat, memperbarui, atau menghapus tinjauan akses grup atau aplikasi Admin Pengguna
Mengelola kedaluwarsa grup Admin Pengguna
Mengelola pengaturan grup Admin Grup Admin Pengguna
Membaca semua konfigurasi (kecuali keanggotaan tersembunyi) Pembaca Direktori Peran pengguna default
Membaca keanggotaan tersembunyi Anggota grup Pemilik grup
Admin Kata Sandi
Admin Exchange
Administrator SharePoint
Administrator Teams
Admin Pengguna
Membaca keanggotaan grup dengan keanggotaan tersembunyi Admin Bantuan Teknis Admin Pengguna
Administrator Teams
Mencabut lisensi Admin Lisensi Admin Pengguna
Memperbarui anggota grup Pemilik grup Admin Pengguna
Memperbarui pemilik grup Pemilik grup Admin Pengguna
Memperbarui properti grup Pemilik grup Admin Pengguna
Menghapus grup Admin Grup Admin Pengguna

Perlindungan Identitas

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi pemberitahuan peringatan Administrator Keamanan
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan MFA Administrator Keamanan
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko proses masuk Administrator Keamanan
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko pengguna Administrator Keamanan
Mengonfigurasi hash mingguan Administrator Keamanan
Mematikan semua deteksi risiko Administrator Keamanan
Memperbaiki atau mematikan kerentanan Administrator Keamanan
Membaca semua konfigurasi Pembaca Keamanan
Membaca semua deteksi risiko Pembaca Keamanan
Membaca kerentanan Pembaca Keamanan

Lisensi

Tugas Peran istimewa paling rendah Peran tambahan
Menetapkan lisensi Admin Lisensi Admin Pengguna
Membaca semua konfigurasi Pembaca Direktori Peran pengguna default
Mencabut lisensi Admin Lisensi Admin Pengguna
Mencoba atau membeli langganan Admin Penagihan

Pemantauan - Log audit

Tugas Peran istimewa paling rendah Peran tambahan
Membaca log audit Pembaca Laporan Pembaca Keamanan
Administrator Keamanan

Pemantauan - Rincian masuk

Tugas Peran istimewa paling rendah Peran tambahan
Membaca log rincian masuk Pembaca Laporan Pembaca Keamanan
Administrator Keamanan
Pembaca Global

Autentikasi multifaktor

Tugas Peran istimewa paling rendah Peran tambahan
Menghapus semua kata sandi aplikasi yang ada yang dibuat oleh pengguna terpilih Admin Kebijakan Autentikasi Admin Autentikasi
Menonaktifkan MFA per pengguna Admin Autentikasi Admin Autentikasi Istimewa
Mengaktifkan MFA per pengguna Admin Autentikasi Admin Autentikasi Istimewa
Mengelola pengaturan layanan MFA Admin Kebijakan Autentikasi
Mengharuskan pengguna terpilih untuk menyediakan metode kontak sekali lagi Admin Autentikasi
Memulihkan autentikasi multifaktor pada semua perangkat yang diingat Admin Autentikasi

Server MFA

Tugas Peran istimewa paling rendah Peran tambahan
Blokir/Buka Blokir Pengguna Admin Kebijakan Autentikasi
Mengonfigurasi penguncian akun Admin Kebijakan Autentikasi
Mengonfigurasi aturan penembolokan Admin Kebijakan Autentikasi
Mengonfigurasi pemberitahuan penipuan Admin Kebijakan Autentikasi
Mengonfigurasi pemberitahuan Admin Kebijakan Autentikasi
Mengonfigurasi lewatan satu kali Admin Kebijakan Autentikasi
Mengonfigurasi pengaturan panggilan telepon Admin Kebijakan Autentikasi
Mengonfigurasi penyedia Admin Kebijakan Autentikasi
Mengonfigurasi pengaturan server Admin Kebijakan Autentikasi
Membaca laporan aktivitas Pembaca Global
Membaca semua konfigurasi Pembaca Global
Membaca status server Pembaca Global

Hubungan organisasi

Tugas Peran istimewa paling rendah Peran tambahan
Mengelola IdP Admin IdP Eksternal
Kelola pengaturan Administrator Global
Mengelola pernyataan privasi dan kontak Administrator Global
Membaca semua konfigurasi Pembaca Global

Reset kata sandi

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi metode autentikasi Admin Kebijakan Autentikasi
Mengonfigurasi kustomisasi Admin Kebijakan Autentikasi
Mengonfigurasi pemberitahuan Admin Kebijakan Autentikasi
Mengonfigurasi integrasi lokal Admin Kebijakan Autentikasi
Mengonfigurasi properti reset kata sandi Admin Pengguna Admin Kebijakan Autentikasi
Konfigurasi pendaftaran Admin Kebijakan Autentikasi
Membaca semua konfigurasi Administrator Keamanan Admin Pengguna

Manajemen identitas istimewa

Tugas Peran istimewa paling rendah Peran tambahan
Menetapkan pengguna ke peran Administrator Peran Privileged
Mengonfigurasi pengaturan peran Administrator Peran Privileged
Melihat aktivitas audit Pembaca Keamanan
Melihat keanggotaan peran Pembaca Keamanan

Peran dan administrator

Tugas Peran istimewa paling rendah Peran tambahan
Mengelola penetapan peran Administrator Peran Privileged
Membaca tinjauan akses peran Microsoft Entra Pembaca Keamanan Administrator Keamanan
Administrator Peran Privileged
Membaca semua konfigurasi Peran pengguna default

Keamanan - Metode autentikasi

Tugas Peran istimewa paling rendah Peran tambahan
Mengaktifkan atau menonaktifkan metode autentikasi Admin Kebijakan Autentikasi
Melihat, menyediakan atas nama, dan mengelola metode autentikasi pengguna individual Admin Autentikasi Admin Autentikasi Istimewa
Mengonfigurasi perlindungan kata sandi Administrator Keamanan
Mengonfigurasi penguncian cerdas Administrator Keamanan
Membaca semua konfigurasi Pembaca Global

Keamanan - Akses Bersyarat

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi alamat IP tepercaya MFA Admin Akses Bersyarat
Membuat kontrol kustom Admin Akses Bersyarat Administrator Keamanan
Membuat lokasi bernama Admin Akses Bersyarat Administrator Keamanan
Membuat kebijakan Admin Akses Bersyarat Administrator Keamanan
Membuat ketentuan penggunaan Admin Akses Bersyarat Administrator Keamanan
Membuat sertifikat konektivitas VPN Administrator Aplikasi Cloud Administrator Aplikasi
Menghapus kebijakan klasik Admin Akses Bersyarat Administrator Keamanan
Menghapus ketentuan penggunaan Admin Akses Bersyarat Administrator Keamanan
Menghapus sertifikat konektivitas VPN Admin Akses Bersyarat Administrator Keamanan
Nonaktifkan kebijakan klasik Admin Akses Bersyarat Administrator Keamanan
Mengelola kontrol kustom Admin Akses Bersyarat Administrator Keamanan
Mengelola lokasi bernama Admin Akses Bersyarat Administrator Keamanan
Mengelola ketentuan penggunaan Admin Akses Bersyarat Administrator Keamanan
Membaca semua konfigurasi Peran pengguna default
Membaca lokasi bernama Peran pengguna default

Keamanan - Skor keamanan identitas

Tugas Peran istimewa paling rendah Peran tambahan
Membaca semua konfigurasi Pembaca Keamanan Administrator Keamanan
Membaca skor keamanan Pembaca Keamanan Administrator Keamanan
Memperbarui status peristiwa Administrator Keamanan

Keamanan - Proses masuk riskan

Tugas Peran istimewa paling rendah Peran tambahan
Membaca semua konfigurasi Pembaca Keamanan
Membaca proses masuk riskan Pembaca Keamanan

Keamanan - Pengguna yang ditandai karena berisiko

Tugas Peran istimewa paling rendah Peran tambahan
Mematikan semua peristiwa Administrator Keamanan
Membaca semua konfigurasi Pembaca Keamanan
Membaca pengguna ditandai karena berisiko Pembaca Keamanan

Kode Akses Sementara

Tugas Peran istimewa paling rendah Peran tambahan
Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) Admin Autentikasi Istimewa
Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) Admin Autentikasi
Tampilkan detail Kode Akses Sementara untuk pengguna (tanpa membaca kode itu sendiri) Pembaca Global
Mengonfigurasi atau memperbarui kebijakan metode autentikasi Kode Akses Sementara Admin Kebijakan Autentikasi

Penyewa

Tugas Peran istimewa paling rendah Peran tambahan
Membuat ID Microsoft Entra atau Penyewa Azure AD B2C Pembuat Penyewa
Memperbarui properti penyewa Microsoft Entra Admin Penagihan

Pengguna

Tugas Peran istimewa paling rendah Peran tambahan
Menambahkan pengguna ke peran direktori Administrator Peran Privileged
Menambahkan pengguna ke grup Admin Pengguna
Menetapkan lisensi Admin Lisensi Admin Pengguna
Membuat pengguna tamu Pengundang Tamu Admin Pengguna
Atur ulang undangan pengguna tamu Admin Bantuan Teknis Admin Pengguna
Buat pengguna Admin Pengguna
Menghapus pengguna Admin Pengguna
Membatalkan validasi token refresh dari admin terbatas Admin Pengguna
Membatalkan validasi token refresh non-admin Admin Bantuan Teknis Admin Pengguna
Membatalkan validasi token refresh dari admin istimewa Admin Autentikasi Istimewa
Membaca konfigurasi dasar Peran pengguna default
Mereset kata sandi untuk admin terbatas Admin Pengguna
Mereset kata sandi non-admin Admin Kata Sandi Admin Pengguna
Mereset kata sandi admin istimewa Admin Autentikasi Istimewa
Mencabut lisensi Admin Lisensi Admin Pengguna
Memperbarui semua properti kecuali Nama Prinsipal Pengguna Admin Pengguna
Memperbarui properti yang diaktifkan sinkronisasi lokal Admin Identitas Hibrid
Memperbarui Nama Prinsipal Pengguna untuk admin terbatas Admin Pengguna
Memperbarui Nama Prinsipal Pengguna pada admin istimewa Admin Autentikasi Istimewa
Memperbarui pengaturan pengguna - Izin peran pengguna default Administrator Peran Privileged
Memperbarui pengaturan pengguna - Akses pengguna tamu Administrator Peran Privileged
Memperbarui Metode autentikasi Admin Autentikasi Admin Autentikasi Istimewa

Dukungan

Tugas Peran istimewa paling rendah Peran tambahan
Mengirim tiket dukungan Admin Dukungan Layanan Administrator Aplikasi
Admin Perlindungan Informasi Azure
Admin Penagihan
Administrator Aplikasi Cloud
Admin Kepatuhan
Admin Dynamics 365
Admin Analitik Desktop
Admin Exchange
Admin Intune
Admin Kata Sandi
Fabric Administrator
Admin Autentikasi Istimewa
Administrator SharePoint
Admin Skype for Business
Administrator Teams
Admin Komunikasi Teams
Admin Pengguna

Langkah berikutnya