Peran dengan hak istimewa terendah berdasarkan tugas dalam Azure Active Directory
Dalam artikel ini, Anda dapat menemukan informasi yang diperlukan untuk membatasi izin admin pengguna dengan menetapkan peran istimewa paling rendah di Azure Active Directory (Microsoft Azure AD). Anda akan menemukan tugas admin yang diatur menurut area fitur dan peran istimewa terendah yang diperlukan untuk melakukan setiap tugas, bersama dengan peran Administrator non-Global tambahan yang dapat melakukan tugas tersebut.
Anda dapat membatasi izin lebih lanjut dengan menetapkan peran pada cakupan yang lebih kecil atau dengan membuat peran kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menetapkan peran Azure AD di cakupan yang berbeda atau Membuat dan menetapkan peran kustom.
Proksi aplikasi
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengonfigurasi aplikasi proksi aplikasi | Administrator Aplikasi | |
| Mengonfigurasi properti grup konektor | Administrator Aplikasi | |
| Membuat pendaftaran aplikasi ketika kemampuan dinonaktifkan untuk semua pengguna | Pengembang Aplikasi | Administrator AplikasiAdministrator Aplikasi Cloud |
| Membuat grup konektor | Administrator Aplikasi | |
| Menghapus grup konektor | Administrator Aplikasi | |
| Menonaktifkan proksi aplikasi | Administrator Aplikasi | |
| Mengunduh layanan konektor | Administrator Aplikasi | |
| Membaca semua konfigurasi | Administrator Aplikasi |
Azure Active Directory for External Identities/B2C
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membuat direktori Azure AD B2C | Semua pengguna non-tamu | |
| Membuat aplikasi B2C | Administrator Global | |
| Membuat aplikasi perusahaan | Administrator Aplikasi Cloud | Administrator Aplikasi |
| Membuat, membaca, memperbarui, dan menghapus kebijakan B2C | Admin Kebijakan IEF B2C | |
| Membuat, membaca, memperbarui, dan menghapus IdP | Admin IdP Eksternal | |
| Membuat, membaca, memperbarui, dan menghapus alur pengguna reset kata sandi | Admin Alur Pengguna ID Eksternal | |
| Membuat, membaca, memperbarui, dan menghapus alur pengguna pengeditan profil | Admin Alur Pengguna ID Eksternal | |
| Membuat, membaca, memperbarui, dan menghapus alur pengguna rincian masuk | Admin Alur Pengguna ID Eksternal | |
| Membuat, membaca, memperbarui, dan menghapus alur pengguna pendaftaran | Admin Alur Pengguna ID Eksternal | |
| Membuat, membaca, memperbarui, dan menghapus atribut pengguna | Admin Atribut Alur Pengguna ID Eksternal | |
| Membuat, membaca, memperbarui, dan menghapus pengguna | Administrator Pengguna | |
| Mengonfigurasi pengaturan kolaborasi eksternal B2B | Administrator Global | |
| Membaca semua konfigurasi | Pembaca Global | |
| Membaca log audit B2C | Pembaca Global |
Catatan
Administrator Global Azure AD B2C tidak memiliki izin yang sama dengan Administrator Global Azure AD. Jika Anda memiliki hak istimewa Administrator Global Azure AD B2C, pastikan Anda berada di direktori Azure AD B2C, bukan direktori Azure AD.
Merek perusahaan
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengonfigurasi merek perusahaan | Administrator Global | |
| Membaca semua konfigurasi | Pembaca Direktori | Peran pengguna default |
Properti perusahaan
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengonfigurasi properti perusahaan | Administrator Global |
Sambungkan
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Autentikasi passthrough | Administrator Global | |
| Membaca semua konfigurasi | Pembaca Global | Administrator Global |
| Akses menyeluruh tanpa hambatan | Administrator Global |
Provisi Cloud
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Autentikasi passthrough | Admin Identitas Hibrid | |
| Membaca semua konfigurasi | Pembaca Global | Admin Identitas Hibrid |
| Akses menyeluruh tanpa hambatan | Admin Identitas Hibrid |
Menyambungkan Kesehatan
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menambahkan atau menghapus layanan | Pemilik | |
| Menerapkan perbaikan untuk menyinkronkan kesalahan | Kontributor | Pemilik |
| Mengonfigurasi pemberitahuan | Kontributor | Pemilik |
| Konfigurasikan pengaturan | Pemilik | |
| Mengonfigurasi pemberitahuan sinkronisasi | Kontributor | Pemilik |
| Membaca laporan keamanan ADFS | Pembaca Keamanan | KontributorPemilik |
| Membaca semua konfigurasi | Pembaca | KontributorPemilik |
| Membaca kesalahan sinkronisasi | Pembaca | KontributorPemilik |
| Membaca layanan sinkronisasi | Pembaca | KontributorPemilik |
| Melihat metrik dan pemberitahuan | Pembaca | KontributorPemilik |
| Melihat metrik dan pemberitahuan | Pembaca | KontributorPemilik |
| Menampilkan metrik dan pemberitahuan layanan sinkronisasi | Pembaca | KontributorPemilik |
Nama domain kustom
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengelola domain | Admin Nama Domain | |
| Membaca semua konfigurasi | Pembaca Direktori | Peran pengguna default |
Layanan Domain
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membuat instans Azure AD Domain Services | Kontributor Layanan DomainAdministrator Grup AdministratorAplikasi | |
| Melakukan semua tugas Azure AD Domain Services | Grup administrator AAD DC | |
| Membaca semua konfigurasi | Pembaca pada langganan Azure yang berisi layanan AD DS |
Perangkat
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menonaktifkan perangkat | Admin Perangkat Cloud | |
| Mengaktifkan perangkat | Admin Perangkat Cloud | |
| Membaca konfigurasi dasar | Peran pengguna default | |
| Membaca kunci BitLocker | Pembaca Keamanan | Administrator KeamananAdministrator Kata Sandi |
Aplikasi Perusahaan
Pengelolaan pemberian hak
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menambahkan sumber daya ke katalog | Administrator Tata Kelola Identitas | Dengan pengelolaan pemberian hak, Anda dapat mendelegasikan tugas ini kepada pemilik katalog |
| Menambahkan situs SharePoint Online ke katalog | Admin SharePoint |
Grup
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menetapkan lisensi | Administrator Pengguna | |
| Membuat grup | Admin Grup | Administrator Pengguna |
| Membuat, memperbarui, atau menghapus tinjauan akses grup atau aplikasi | Administrator Pengguna | |
| Mengelola kedaluwarsa grup | Administrator Pengguna | |
| Mengelola pengaturan grup | Admin Grup | Administrator Pengguna |
| Membaca semua konfigurasi (kecuali keanggotaan tersembunyi) | Pembaca Direktori | Peran pengguna default |
| Membaca keanggotaan tersembunyi | Anggota grup | Administrator Kata SandiPemilik GrupAdministrator Exchange AdministratorSharePointAdministrator Teams AdministratorPengguna |
| Membaca keanggotaan grup dengan keanggotaan tersembunyi | Admin Helpdesk | Administrator PenggunaAdministrator Teams |
| Mencabut lisensi | Admin Lisensi | Administrator Pengguna |
| Memperbarui anggota grup | Pemilik grup | Administrator Pengguna |
| Memperbarui pemilik grup | Pemilik grup | Administrator Pengguna |
| Memperbarui properti grup | Pemilik grup | Administrator Pengguna |
| Menghapus grup | Admin Grup | Administrator Pengguna |
Perlindungan Identitas
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengonfigurasi pemberitahuan peringatan | Administrator Keamanan | |
| Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan MFA | Administrator Keamanan | |
| Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko proses masuk | Administrator Keamanan | |
| Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko pengguna | Administrator Keamanan | |
| Mengonfigurasi hash mingguan | Administrator Keamanan | |
| Mematikan semua deteksi risiko | Administrator Keamanan | |
| Memperbaiki atau mematikan kerentanan | Administrator Keamanan | |
| Membaca semua konfigurasi | Pembaca Keamanan | |
| Membaca semua deteksi risiko | Pembaca Keamanan | |
| Membaca kerentanan | Pembaca Keamanan |
Lisensi
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menetapkan lisensi | Admin Lisensi | Administrator Pengguna |
| Membaca semua konfigurasi | Pembaca Direktori | Peran pengguna default |
| Mencabut lisensi | Admin Lisensi | Administrator Pengguna |
| Mencoba atau membeli langganan | Admin Penagihan |
Pemantauan - Log audit
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membaca log audit | Pembaca Laporan | Administrator KeamananPembaca Keamanan |
Pemantauan - Rincian masuk
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membaca log rincian masuk | Pembaca Laporan | Pembaca GlobalAdministrator KeamananPembaca Keamanan |
Autentikasi multifaktor
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menghapus semua kata sandi aplikasi yang ada yang dibuat oleh pengguna terpilih | Administrator Global | |
| Menonaktifkan MFA per pengguna | Admin Autentikasi (melalui PowerShell) | Administrator Autentikasi Istimewa (melalui PowerShell) |
| Aktifkan MFA per pengguna | Admin Autentikasi (melalui PowerShell) | Administrator Autentikasi Istimewa (melalui PowerShell) |
| Mengelola pengaturan layanan MFA | Admin Kebijakan Autentikasi | |
| Mengharuskan pengguna terpilih untuk menyediakan metode kontak sekali lagi | Administrator Autentikasi | |
| Memulihkan autentikasi multifaktor di seluruh perangkat yang diingat | Administrator Autentikasi |
Server MFA
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Memblokir/Membuka blokir pengguna | Admin Kebijakan Autentikasi | |
| Mengonfigurasi penguncian akun | Admin Kebijakan Autentikasi | |
| Mengonfigurasi aturan penembolokan | Admin Kebijakan Autentikasi | |
| Mengonfigurasi pemberitahuan penipuan | Admin Kebijakan Autentikasi | |
| Mengonfigurasi pemberitahuan | Admin Kebijakan Autentikasi | |
| Mengonfigurasi lewatan satu kali | Admin Kebijakan Autentikasi | |
| Mengonfigurasi pengaturan panggilan telepon | Admin Kebijakan Autentikasi | |
| Mengonfigurasi penyedia | Admin Kebijakan Autentikasi | |
| Mengonfigurasi pengaturan server | Admin Kebijakan Autentikasi | |
| Membaca laporan aktivitas | Pembaca Global | |
| Membaca semua konfigurasi | Pembaca Global | |
| Membaca status server | Pembaca Global |
Hubungan organisasi
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengelola IdP | Admin IdP Eksternal | |
| Kelola pengaturan | Administrator Global | |
| Mengelola ketentuan penggunaan | Administrator Global | |
| Membaca semua konfigurasi | Pembaca Global |
Mereset kata sandi
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengonfigurasi metode autentikasi | Administrator Global | |
| Mengonfigurasi kustomisasi | Administrator Global | |
| Mengonfigurasi pemberitahuan | Administrator Global | |
| Mengonfigurasi integrasi lokal | Administrator Global | |
| Mengonfigurasi properti reset kata sandi | Administrator Pengguna | Administrator Global |
| Konfigurasi pendaftaran | Administrator Global | |
| Membaca semua konfigurasi | Administrator Keamanan | Administrator Pengguna |
Manajemen identitas istimewa
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menetapkan pengguna ke peran | Administrator Peran Privileged | |
| Mengonfigurasi pengaturan peran | Administrator Peran Privileged | |
| Melihat aktivitas audit | Pembaca Keamanan | |
| Melihat keanggotaan peran | Pembaca Keamanan |
Peran dan admin
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengelola penetapan peran | Administrator Peran Privileged | |
| Membaca tinjauan akses peran Azure Active Directory | Pembaca Keamanan | Administrator KeamananAdministrator Peran Istimewa |
| Membaca semua konfigurasi | Peran pengguna default |
Keamanan - Metode autentikasi
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mengonfigurasi metode autentikasi | Administrator Global | |
| Mengonfigurasi perlindungan kata sandi | Administrator Keamanan | |
| Mengonfigurasi penguncian cerdas | Administrator Keamanan | |
| Membaca semua konfigurasi | Pembaca Global |
Keamanan - Akses Bersyarat
Keamanan - Skor keamanan identitas
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membaca semua konfigurasi | Pembaca Keamanan | Administrator Keamanan |
| Membaca skor keamanan | Pembaca Keamanan | Administrator Keamanan |
| Memperbarui status peristiwa | Administrator Keamanan |
Keamanan - Proses masuk riskan
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membaca semua konfigurasi | Pembaca Keamanan | |
| Membaca proses masuk riskan | Pembaca Keamanan |
Keamanan - Pengguna yang ditandai karena berisiko
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Mematikan semua peristiwa | Administrator Keamanan | |
| Membaca semua konfigurasi | Pembaca Keamanan | |
| Membaca pengguna ditandai karena berisiko | Pembaca Keamanan |
Kode Akses Sementara
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membuat, menghapus, atau melihat Kode Akses Sementara untuk setiap pengguna (kecuali diri mereka sendiri) dan dapat mengonfigurasi dan mengelola kebijakan metode autentikasi | Administrator Global | |
| Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) | Admin Autentikasi Istimewa | |
| Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) | Administrator Autentikasi | |
| Tampilkan detail Kode Akses Sementara untuk pengguna (tanpa membaca kode itu sendiri) | Pembaca Global | |
| Mengonfigurasi atau memperbarui kebijakan metode autentikasi Kode Akses Sementara | Admin Kebijakan Autentikasi |
Pembuatan Penyewa
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Membuat Penyewa Azure AD atau Azure AD B2C | Pembuat Penyewa | Administrator Global |
Pengguna
| Tugas | Peran istimewa paling rendah | Peran tambahan |
|---|---|---|
| Menambahkan pengguna ke peran direktori | Administrator Peran Privileged | |
| Menambahkan pengguna ke grup | Administrator Pengguna | |
| Menetapkan lisensi | Admin Lisensi | Administrator Pengguna |
| Membuat pengguna tamu | Pengundang Tamu | Administrator Pengguna |
| Atur ulang undangan pengguna tamu | Administrator Pengguna | Administrator Global |
| Membuat pengguna | Administrator Pengguna | |
| Menghapus pengguna | Administrator Pengguna | |
| Membatalkan validasi token refresh dari admin terbatas | Administrator Pengguna | |
| Membatalkan validasi token refresh non-admin | Admin Kata Sandi | Administrator Pengguna |
| Membatalkan validasi token refresh dari admin istimewa | Admin Autentikasi Istimewa | |
| Membaca konfigurasi dasar | Peran pengguna default | |
| Mereset kata sandi untuk admin terbatas | Administrator Pengguna | |
| Mereset kata sandi non-admin | Admin Kata Sandi | Administrator Pengguna |
| Mereset kata sandi admin istimewa | Admin Autentikasi Istimewa | |
| Mencabut lisensi | Admin Lisensi | Administrator Pengguna |
| Memperbarui semua properti kecuali Nama Prinsipal Pengguna | Administrator Pengguna | |
| Memperbarui Nama Prinsipal Pengguna untuk admin terbatas | Administrator Pengguna | |
| Memperbarui Nama Prinsipal Pengguna pada admin istimewa | Administrator Global | |
| Memperbarui pengaturan pengguna | Administrator Global | |
| Memperbarui Metode autentikasi | Admin Autentikasi | Administrator GlobalAdministrator Autentikasi Istimewa |