Peran dengan hak istimewa terendah berdasarkan tugas dalam Azure Active Directory

  • Artikel
  • 10 menit untuk membaca

Dalam artikel ini, Anda dapat menemukan informasi yang diperlukan untuk membatasi izin admin pengguna dengan menetapkan peran istimewa paling rendah di Azure Active Directory (Microsoft Azure AD). Anda akan menemukan tugas admin yang diatur menurut area fitur dan peran istimewa terendah yang diperlukan untuk melakukan setiap tugas, bersama dengan peran Administrator non-Global tambahan yang dapat melakukan tugas tersebut.

Anda dapat membatasi izin lebih lanjut dengan menetapkan peran pada cakupan yang lebih kecil atau dengan membuat peran kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menetapkan peran Azure AD di cakupan yang berbeda atau Membuat dan menetapkan peran kustom.

Proksi aplikasi

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi aplikasi proksi aplikasi Administrator Aplikasi
Mengonfigurasi properti grup konektor Administrator Aplikasi
Membuat pendaftaran aplikasi ketika kemampuan dinonaktifkan untuk semua pengguna Pengembang Aplikasi Administrator Aplikasi Cloud
Administrator Aplikasi
Membuat grup konektor Administrator Aplikasi
Menghapus grup konektor Administrator Aplikasi
Menonaktifkan proksi aplikasi Administrator Aplikasi
Mengunduh layanan konektor Administrator Aplikasi
Membaca semua konfigurasi Administrator Aplikasi

Azure Active Directory for External Identities/B2C

Tugas Peran istimewa paling rendah Peran tambahan
Membuat direktori Azure AD B2C Semua pengguna non-tamu
Membuat aplikasi B2C Administrator Global
Membuat aplikasi perusahaan Administrator Aplikasi Cloud Administrator Aplikasi
Membuat, membaca, memperbarui, dan menghapus kebijakan B2C Admin Kebijakan IEF B2C
Membuat, membaca, memperbarui, dan menghapus IdP Admin IdP Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna reset kata sandi Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna pengeditan profil Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna rincian masuk Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus alur pengguna pendaftaran Admin Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus atribut pengguna Admin Atribut Alur Pengguna ID Eksternal
Membuat, membaca, memperbarui, dan menghapus pengguna Administrator Pengguna
Mengonfigurasi pengaturan kolaborasi eksternal B2B Administrator Global
Membaca semua konfigurasi Pembaca Global
Membaca log audit B2C Pembaca Global

Catatan

Administrator Global Azure AD B2C tidak memiliki izin yang sama dengan Administrator Global Azure AD. Jika Anda memiliki hak istimewa Administrator Global Azure AD B2C, pastikan Anda berada di direktori Azure AD B2C, bukan direktori Azure AD.

Merek perusahaan

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi merek perusahaan Administrator Global
Membaca semua konfigurasi Pembaca Direktori Peran pengguna default

Properti perusahaan

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi properti perusahaan Administrator Global

Sambungkan

Tugas Peran istimewa paling rendah Peran tambahan
Autentikasi passthrough Administrator Global
Membaca semua konfigurasi Pembaca Global Administrator Global
Akses menyeluruh tanpa hambatan Administrator Global

Provisi Cloud

Tugas Peran istimewa paling rendah Peran tambahan
Autentikasi passthrough Admin Identitas Hibrid
Membaca semua konfigurasi Pembaca Global Admin Identitas Hibrid
Akses menyeluruh tanpa hambatan Admin Identitas Hibrid

Menyambungkan Kesehatan

Tugas Peran istimewa paling rendah Peran tambahan
Menambahkan atau menghapus layanan Pemilik
Menerapkan perbaikan untuk menyinkronkan kesalahan Kontributor Pemilik
Mengonfigurasi pemberitahuan Kontributor Pemilik
Konfigurasikan pengaturan Pemilik
Mengonfigurasi pemberitahuan sinkronisasi Kontributor Pemilik
Membaca laporan keamanan ADFS Pembaca Keamanan Kontributor
Pemilik
Membaca semua konfigurasi Pembaca Kontributor
Pemilik
Membaca kesalahan sinkronisasi Pembaca Kontributor
Pemilik
Membaca layanan sinkronisasi Pembaca Kontributor
Pemilik
Melihat metrik dan pemberitahuan Pembaca Kontributor
Pemilik
Melihat metrik dan pemberitahuan Pembaca Kontributor
Pemilik
Menampilkan metrik dan pemberitahuan layanan sinkronisasi Pembaca Kontributor
Pemilik

Nama domain kustom

Tugas Peran istimewa paling rendah Peran tambahan
Mengelola domain Admin Nama Domain
Membaca semua konfigurasi Pembaca Direktori Peran pengguna default

Layanan Domain

Tugas Peran istimewa paling rendah Peran tambahan
Membuat instans Azure AD Domain Services Administrator Aplikasi
Admin Grup
Kontributor Layanan Domain
Melakukan semua tugas Azure AD Domain Services Grup administrator AAD DC
Membaca semua konfigurasi Pembaca pada langganan Azure yang berisi layanan AD DS

Perangkat

Tugas Peran istimewa paling rendah Peran tambahan
Menghapus perangkat Admin Perangkat Cloud Admin Intune
Menonaktifkan perangkat Admin Perangkat Cloud Admin Intune
Mengaktifkan perangkat Admin Perangkat Cloud Admin Intune
Membaca konfigurasi dasar Peran pengguna default
Membaca kunci BitLocker Admin Perangkat Cloud Admin Bantuan Teknis
Admin Intune
Administrator Keamanan
Pembaca Keamanan

Aplikasi Perusahaan

Tugas Peran istimewa paling rendah Peran tambahan
Persetujuan untuk setiap izin yang didelegasikan Administrator Aplikasi Cloud Administrator Aplikasi
Persetujuan izin aplikasi tidak termasuk Microsoft Graph Administrator Aplikasi Cloud Administrator Aplikasi
Persetujuan izin aplikasi untuk Microsoft Graph Administrator Peran Privileged
Persetujuan untuk aplikasi yang mengakses data sendiri Peran pengguna default
Membuat aplikasi perusahaan Administrator Aplikasi Cloud Administrator Aplikasi
Mengelola Proksi Aplikasi Administrator Aplikasi
Mengelola pengaturan pengguna Administrator Global
Membaca tinjauan akses grup atau aplikasi Pembaca Keamanan Administrator Keamanan
Administrator Pengguna
Membaca semua konfigurasi Peran pengguna default
Memperbarui penugasan aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Administrator Pengguna
Memperbarui pemilik aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui properti aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui provisi aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui layanan mandiri aplikasi perusahaan Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi
Memperbarui properti akses menyeluruh Pemilik aplikasi perusahaan Administrator Aplikasi Cloud
Administrator Aplikasi

Pengelolaan pemberian hak

Tugas Peran istimewa paling rendah Peran tambahan
Menambahkan sumber daya ke katalog Administrator Tata Kelola Identitas Dengan pengelolaan pemberian hak, Anda dapat mendelegasikan tugas ini kepada pemilik katalog
Menambahkan situs SharePoint Online ke katalog Admin SharePoint

Grup

Tugas Peran istimewa paling rendah Peran tambahan
Menetapkan lisensi Administrator Pengguna
Membuat grup Admin Grup Administrator Pengguna
Membuat, memperbarui, atau menghapus tinjauan akses grup atau aplikasi Administrator Pengguna
Mengelola kedaluwarsa grup Administrator Pengguna
Mengelola pengaturan grup Admin Grup Administrator Pengguna
Membaca semua konfigurasi (kecuali keanggotaan tersembunyi) Pembaca Direktori Peran pengguna default
Membaca keanggotaan tersembunyi Anggota grup Pemilik grup
Admin Kata Sandi
Admin Exchange
Admin SharePoint
Admin Teams
Administrator Pengguna
Membaca keanggotaan grup dengan keanggotaan tersembunyi Admin Helpdesk Administrator Pengguna
Admin Teams
Mencabut lisensi Admin Lisensi Administrator Pengguna
Memperbarui anggota grup Pemilik grup Administrator Pengguna
Memperbarui pemilik grup Pemilik grup Administrator Pengguna
Memperbarui properti grup Pemilik grup Administrator Pengguna
Menghapus grup Admin Grup Administrator Pengguna

Perlindungan Identitas

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi pemberitahuan peringatan Administrator Keamanan
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan MFA Administrator Keamanan
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko proses masuk Administrator Keamanan
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko pengguna Administrator Keamanan
Mengonfigurasi hash mingguan Administrator Keamanan
Mematikan semua deteksi risiko Administrator Keamanan
Memperbaiki atau mematikan kerentanan Administrator Keamanan
Membaca semua konfigurasi Pembaca Keamanan
Membaca semua deteksi risiko Pembaca Keamanan
Membaca kerentanan Pembaca Keamanan

Lisensi

Tugas Peran istimewa paling rendah Peran tambahan
Menetapkan lisensi Admin Lisensi Administrator Pengguna
Membaca semua konfigurasi Pembaca Direktori Peran pengguna default
Mencabut lisensi Admin Lisensi Administrator Pengguna
Mencoba atau membeli langganan Admin Penagihan

Pemantauan - Log audit

Tugas Peran istimewa paling rendah Peran tambahan
Membaca log audit Pembaca Laporan Pembaca Keamanan
Administrator Keamanan

Pemantauan - Rincian masuk

Tugas Peran istimewa paling rendah Peran tambahan
Membaca log rincian masuk Pembaca Laporan Pembaca Keamanan
Administrator Keamanan
Pembaca Global

Autentikasi multifaktor

Tugas Peran istimewa paling rendah Peran tambahan
Menghapus semua kata sandi aplikasi yang ada yang dibuat oleh pengguna terpilih Administrator Global
Menonaktifkan MFA per pengguna Admin Autentikasi (melalui PowerShell) Administrator Autentikasi Istimewa (melalui PowerShell)
Aktifkan MFA per pengguna Admin Autentikasi (melalui PowerShell) Administrator Autentikasi Istimewa (melalui PowerShell)
Mengelola pengaturan layanan MFA Admin Kebijakan Autentikasi
Mengharuskan pengguna terpilih untuk menyediakan metode kontak sekali lagi Administrator Autentikasi
Memulihkan autentikasi multifaktor di seluruh perangkat yang diingat Administrator Autentikasi

Server MFA

Tugas Peran istimewa paling rendah Peran tambahan
Memblokir/Membuka blokir pengguna Admin Kebijakan Autentikasi
Mengonfigurasi penguncian akun Admin Kebijakan Autentikasi
Mengonfigurasi aturan penembolokan Admin Kebijakan Autentikasi
Mengonfigurasi pemberitahuan penipuan Admin Kebijakan Autentikasi
Mengonfigurasi pemberitahuan Admin Kebijakan Autentikasi
Mengonfigurasi lewatan satu kali Admin Kebijakan Autentikasi
Mengonfigurasi pengaturan panggilan telepon Admin Kebijakan Autentikasi
Mengonfigurasi penyedia Admin Kebijakan Autentikasi
Mengonfigurasi pengaturan server Admin Kebijakan Autentikasi
Membaca laporan aktivitas Pembaca Global
Membaca semua konfigurasi Pembaca Global
Membaca status server Pembaca Global

Hubungan organisasi

Tugas Peran istimewa paling rendah Peran tambahan
Mengelola IdP Admin IdP Eksternal
Kelola pengaturan Administrator Global
Mengelola ketentuan penggunaan Administrator Global
Membaca semua konfigurasi Pembaca Global

Mereset kata sandi

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi metode autentikasi Administrator Global
Mengonfigurasi kustomisasi Administrator Global
Mengonfigurasi pemberitahuan Administrator Global
Mengonfigurasi integrasi lokal Administrator Global
Mengonfigurasi properti reset kata sandi Administrator Pengguna Administrator Global
Konfigurasi pendaftaran Administrator Global
Membaca semua konfigurasi Administrator Keamanan Administrator Pengguna

Manajemen identitas istimewa

Tugas Peran istimewa paling rendah Peran tambahan
Menetapkan pengguna ke peran Administrator Peran Privileged
Mengonfigurasi pengaturan peran Administrator Peran Privileged
Melihat aktivitas audit Pembaca Keamanan
Melihat keanggotaan peran Pembaca Keamanan

Peran dan admin

Tugas Peran istimewa paling rendah Peran tambahan
Mengelola penetapan peran Administrator Peran Privileged
Membaca tinjauan akses peran Azure Active Directory Pembaca Keamanan Administrator Keamanan
Administrator Peran Privileged
Membaca semua konfigurasi Peran pengguna default

Keamanan - Metode autentikasi

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi metode autentikasi Administrator Global
Mengonfigurasi perlindungan kata sandi Administrator Keamanan
Mengonfigurasi penguncian cerdas Administrator Keamanan
Membaca semua konfigurasi Pembaca Global

Keamanan - Akses Bersyarat

Tugas Peran istimewa paling rendah Peran tambahan
Mengonfigurasi alamat IP tepercaya MFA Admin Akses Bersyarat
Membuat kontrol kustom Admin Akses Bersyarat Administrator Keamanan
Membuat lokasi bernama Admin Akses Bersyarat Administrator Keamanan
Membuat kebijakan Admin Akses Bersyarat Administrator Keamanan
Membuat ketentuan penggunaan Admin Akses Bersyarat Administrator Keamanan
Membuat sertifikat konektivitas VPN Administrator Global  
Menghapus kebijakan klasik Admin Akses Bersyarat Administrator Keamanan
Menghapus ketentuan penggunaan Admin Akses Bersyarat Administrator Keamanan
Menghapus sertifikat konektivitas VPN Admin Akses Bersyarat Administrator Keamanan
Nonaktifkan kebijakan klasik Admin Akses Bersyarat Administrator Keamanan
Mengelola kontrol kustom Admin Akses Bersyarat Administrator Keamanan
Mengelola lokasi bernama Admin Akses Bersyarat Administrator Keamanan
Mengelola ketentuan penggunaan Admin Akses Bersyarat Administrator Keamanan
Membaca semua konfigurasi Pembaca Keamanan Administrator Keamanan
Membaca lokasi bernama Pembaca Keamanan Admin Akses Bersyarat
Administrator Keamanan

Keamanan - Skor keamanan identitas

Tugas Peran istimewa paling rendah Peran tambahan
Membaca semua konfigurasi Pembaca Keamanan Administrator Keamanan
Membaca skor keamanan Pembaca Keamanan Administrator Keamanan
Memperbarui status peristiwa Administrator Keamanan

Keamanan - Proses masuk riskan

Tugas Peran istimewa paling rendah Peran tambahan
Membaca semua konfigurasi Pembaca Keamanan
Membaca proses masuk riskan Pembaca Keamanan

Keamanan - Pengguna yang ditandai karena berisiko

Tugas Peran istimewa paling rendah Peran tambahan
Mematikan semua peristiwa Administrator Keamanan
Membaca semua konfigurasi Pembaca Keamanan
Membaca pengguna ditandai karena berisiko Pembaca Keamanan

Kode Akses Sementara

Tugas Peran istimewa paling rendah Peran tambahan
Membuat, menghapus, atau melihat Kode Akses Sementara untuk setiap pengguna (kecuali diri mereka sendiri) dan dapat mengonfigurasi dan mengelola kebijakan metode autentikasi Administrator Global
Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) Admin Autentikasi Istimewa
Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) Administrator Autentikasi
Tampilkan detail Kode Akses Sementara untuk pengguna (tanpa membaca kode itu sendiri) Pembaca Global
Mengonfigurasi atau memperbarui kebijakan metode autentikasi Kode Akses Sementara Admin Kebijakan Autentikasi

Pembuatan Penyewa

Tugas Peran istimewa paling rendah Peran tambahan
Membuat Penyewa Azure AD atau Azure AD B2C Pembuat Penyewa Administrator Global

Pengguna

Tugas Peran istimewa paling rendah Peran tambahan
Menambahkan pengguna ke peran direktori Administrator Peran Privileged
Menambahkan pengguna ke grup Administrator Pengguna
Menetapkan lisensi Admin Lisensi Administrator Pengguna
Membuat pengguna tamu Pengundang Tamu Administrator Pengguna
Atur ulang undangan pengguna tamu Administrator Pengguna Administrator Global
Membuat pengguna Administrator Pengguna
Menghapus pengguna Administrator Pengguna
Membatalkan validasi token refresh dari admin terbatas Administrator Pengguna
Membatalkan validasi token refresh non-admin Admin Kata Sandi Administrator Pengguna
Membatalkan validasi token refresh dari admin istimewa Admin Autentikasi Istimewa
Membaca konfigurasi dasar Peran pengguna default
Mereset kata sandi untuk admin terbatas Administrator Pengguna
Mereset kata sandi non-admin Admin Kata Sandi Administrator Pengguna
Mereset kata sandi admin istimewa Admin Autentikasi Istimewa
Mencabut lisensi Admin Lisensi Administrator Pengguna
Memperbarui semua properti kecuali Nama Prinsipal Pengguna Administrator Pengguna
Memperbarui Nama Prinsipal Pengguna untuk admin terbatas Administrator Pengguna
Memperbarui Nama Prinsipal Pengguna pada admin istimewa Administrator Global
Memperbarui pengaturan pengguna Administrator Global
Memperbarui Metode autentikasi Admin Autentikasi Administrator Autentikasi dengan Hak Istimewa
Administrator Global

Dukungan

Tugas Peran istimewa paling rendah Peran tambahan
Mengirim tiket dukungan Admin Dukungan Layanan Administrator Aplikasi
Admin Perlindungan Informasi Azure
Admin Penagihan
Administrator Aplikasi Cloud
Admin Kepatuhan
Admin Dynamics 365
Admin Analitik Desktop
Admin Exchange
Admin Intune
Admin Kata Sandi
Admin Power BI
Admin Autentikasi Istimewa
Admin SharePoint
Admin Skype for Business
Admin Teams
Admin Komunikasi Teams
Administrator Pengguna

Langkah berikutnya