Share via


Ruoli con privilegi minimi per attività in Microsoft Entra ID

In questo articolo è possibile trovare le informazioni necessarie per limitare le autorizzazioni di amministratore di un utente assegnando ruoli con privilegi minimi in Microsoft Entra ID. Sono disponibili attività organizzate in base all'area delle funzionalità e al ruolo con privilegi minimi necessari per eseguire ogni attività, insieme a ruoli aggiuntivi non globali Amministrazione istrator che possono eseguire l'attività.

È possibile limitare ulteriormente le autorizzazioni assegnando ruoli a ambiti più piccoli o creando ruoli personalizzati. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra in ambiti diversi o Creare e assegnare un ruolo personalizzato in Microsoft Entra ID.

Proxy dell'applicazione

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare l'app del proxy dell'applicazione Amministratore applicazione
Configurare le proprietà del gruppo connettore Amministratore applicazione
Creare una registrazione dell'applicazione quando la capacità è disabilitata per tutti gli utenti Sviluppatore di applicazioni Amministratore di applicazioni cloud
Amministratore applicazione
Creare gruppo di connettori Amministratore applicazione
Eliminare gruppo di connettori Amministratore applicazione
Disabilitare il proxy di applicazione Amministratore applicazione
Scaricare servizio connettore Amministratore applicazione
Leggere tutta la configurazione Amministratore applicazione

Identità esterne/B2C

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare directory di Azure AD B2C Tutti gli utenti non guest
Creare applicazioni aziendali Amministratore di applicazioni cloud Amministratore applicazione
Creare, leggere, aggiornare ed eliminare criteri B2C Amministratore dei criteri IEF B2C
Creare, leggere, aggiornare ed eliminare provider di identità Amministratore dei provider di identità esterni
Creare, leggere, aggiornare ed eliminare flussi utente con ripristino delle password Flusso utente CON ID esterno Amministrazione istrator
Creare, leggere, aggiornare ed eliminare flussi utente con modifica dei profili Flusso utente CON ID esterno Amministrazione istrator
Creare, leggere, aggiornare ed eliminare flussi utente con accesso Flusso utente CON ID esterno Amministrazione istrator
Creare, leggere, aggiornare ed eliminare flussi utente con iscrizione Flusso utente CON ID esterno Amministrazione istrator
Creare, leggere, aggiornare ed eliminare attributi utente Attributo flusso utente ID esterno Amministrazione istrator
Creare, leggere, aggiornare ed eliminare utenti Amministratore utenti
Configurare le impostazioni di collaborazione esterna B2B - Accesso utente guest Amministratore dei ruoli con privilegi
Configurare le impostazioni di collaborazione esterna B2B - Impostazioni dell'invito guest Mittente dell'invito guest Flusso utente CON ID esterno Amministrazione istrator
Configurare le impostazioni di collaborazione esterna B2B - Impostazioni di uscita dall'utente esterno Amministratore dei provider di identità esterni
Configurare le impostazioni di collaborazione esterna B2B - Restrizioni di collaborazione Amministratore globale
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali
Leggere i log di controllo B2C Ruolo con autorizzazioni di lettura globali

Nota

Azure AD B2C Global Amministrazione istrators non hanno le stesse autorizzazioni di Microsoft Entra Global Amministrazione istrators. Se si dispone dei privilegi di Azure AD B2C Global Amministrazione istrator, assicurarsi di entrare in una directory di Azure AD B2C e non in una directory di Microsoft Entra.

Informazioni personalizzate distintive dell'azienda

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare la personalizzazione aziendale Personalizzazione dell'organizzazione Amministrazione istrator
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura nella directory Ruolo utente predefinito

Connessione

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Autenticazione passthrough Amministratore delle identità ibride
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali Amministratore delle identità ibride
Accesso Single Sign-on facile Amministratore delle identità ibride

Azure AD Connect

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire la sincronizzazione della directory locale Amministratore delle identità ibride

Cloud Provisioning

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Autenticazione passthrough Amministratore delle identità ibride
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali Amministratore delle identità ibride
Accesso Single Sign-on facile Amministratore delle identità ibride

Connect Health

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Aggiungere o eliminare servizi Proprietario
Applicare le correzioni agli errori di sincronizzazione Collaboratore Proprietario
Configurare le notifiche Collaboratore Proprietario
Configurare le impostazioni Proprietario
Configurare le notifiche di sincronizzazione Collaboratore Proprietario
Leggere report sulla sicurezza del file system distribuito di Azure (ADFS) Ruolo con autorizzazioni di lettura per la sicurezza Collaboratore
Proprietario
Leggere tutta la configurazione Lettore Collaboratore
Proprietario
Leggere errori di sincronizzazione Lettore Collaboratore
Proprietario
Leggere servizi di sincronizzazione Lettore Collaboratore
Proprietario
Visualizzare metriche e avvisi Lettore Collaboratore
Proprietario
Visualizzare metriche e avvisi Lettore Collaboratore
Proprietario
Visualizzare le metriche del servizio di sincronizzazione e gli avvisi Lettore Collaboratore
Proprietario

Nomi di dominio personalizzati

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire domini Domain Name Amministrazione istrator
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura nella directory Ruolo utente predefinito

Servizi di dominio

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare un'istanza di Servizi di dominio Microsoft Entra Amministratore applicazione
Amministratore di gruppi
Collaboratore servizi di dominio
Eseguire tutte le attività di Microsoft Entra Domain Services Gruppo di Amministrazione istrator di AAD DC
Leggere tutta la configurazione Lettore nella sottoscrizione di Azure che contiene il servizio Active Directory Domain Services

Dispositivi

Applicazioni aziendali

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Fornire il consenso per eventuali autorizzazioni delegate Amministratore di applicazioni cloud Amministratore applicazione
Consenso alle autorizzazioni dell'applicazione che non includono Microsoft Graph Amministratore di applicazioni cloud Amministratore applicazione
Consenso alle autorizzazioni dell'applicazione per Microsoft Graph Amministratore dei ruoli con privilegi
Fornire il consenso alle applicazioni che accedono ai propri dati Ruolo utente predefinito
Creare applicazioni aziendali Amministratore di applicazioni cloud Amministratore applicazione
Gestire proxy di applicazione Amministratore applicazione
Leggere la verifica di accesso di un gruppo o di un'applicazione Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Amministratore utenti
Leggere tutta la configurazione Ruolo utente predefinito
Aggiornare le assegnazioni di applicazioni aziendali Proprietario dell'applicazione aziendale Amministratore di applicazioni cloud
Amministratore applicazione
Amministratore utenti
Aggiornare i proprietari di applicazioni aziendali Proprietario dell'applicazione aziendale Amministratore di applicazioni cloud
Amministratore applicazione
Aggiornare le proprietà di applicazioni aziendali Proprietario dell'applicazione aziendale Amministratore di applicazioni cloud
Amministratore applicazione
Aggiornare il provisioning di applicazioni aziendali Proprietario dell'applicazione aziendale Amministratore di applicazioni cloud
Amministratore applicazione
Aggiornare il self-service di applicazioni aziendali Proprietario dell'applicazione aziendale Amministratore di applicazioni cloud
Amministratore applicazione
Aggiornare le proprietà del servizio Single Sign-On Proprietario dell'applicazione aziendale Amministratore di applicazioni cloud
Amministratore applicazione
Creare e modificare estensioni di autenticazione personalizzate Estendibilità dell'autenticazione Amministrazione istrator Amministratore applicazione

Gestione dei diritti

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Aggiungi risorse al catalogo Identity Governance Amministrazione istrator Con la gestione entitlement, è possibile delegare questa attività al proprietario del catalogo
Aggiungere siti di SharePoint Online al catalogo Amministratore di SharePoint

Gruppi

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Assegnare una licenza Amministratore utenti
Crea gruppo Amministratore di gruppi Amministratore utenti
Creare, aggiornare o cancellare la verifica di accesso di un gruppo o di un'applicazione Amministratore utenti
Gestire la scadenza dei gruppi Amministratore utenti
Gestire le impostazioni dei gruppi Amministratore di gruppi Amministratore utenti
Leggere tutta la configurazione (eccetto l'appartenenza nascosta) Ruolo con autorizzazioni di lettura nella directory Ruolo utente predefinito
Leggere le appartenenze nascoste Membro di un gruppo Proprietario del gruppo
Amministratore password
Amministratore di Exchange
Amministratore di SharePoint
Teams Amministrazione istrator
Amministratore utenti
Leggere l'appartenenza dei gruppi con appartenenza nascosta Amministratore supporto tecnico Amministratore utenti
Teams Amministrazione istrator
Revocare la licenza Amministratore licenze Amministratore utenti
Aggiornare l'appartenenza al gruppo Proprietario del gruppo Amministratore utenti
Aggiornare i proprietari dei gruppi Proprietario del gruppo Amministratore utenti
Aggiornare proprietà del gruppo Proprietario del gruppo Amministratore utenti
Eliminare un gruppo Amministratore di gruppi Amministratore utenti

Identity Protection

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare notifiche di avviso Amministratore della sicurezza
Configurare e abilitare o disabilitare i criteri di autenticazione a più fattori Amministratore della sicurezza
Configurare e abilitare o disabilitare i criteri di rischio di accesso Amministratore della sicurezza
Configurare e abilitare o disabilitare i criteri di rischio utente Amministratore della sicurezza
Configurare digest settimanale Amministratore della sicurezza
Ignorare tutti i rilevamenti dei rischi Amministratore della sicurezza
Correggere o ignorare una vulnerabilità Amministratore della sicurezza
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza
Leggere tutti i rilevamenti dei rischi Ruolo con autorizzazioni di lettura per la sicurezza
Leggere le vulnerabilità Ruolo con autorizzazioni di lettura per la sicurezza

Licenze

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Assegnare una licenza Amministratore licenze Amministratore utenti
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura nella directory Ruolo utente predefinito
Revocare la licenza Amministratore licenze Amministratore utenti
Provare o acquistare la sottoscrizione Amministratore fatturazione

Monitoraggio - log di controllo

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Leggere i log di controllo Lettore di report Ruolo con autorizzazioni di lettura per la sicurezza
Amministratore della sicurezza

Monitoraggio - accessi

Autenticazione a più fattori

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Eliminare tutte le password dell'app esistenti generate dagli utenti selezionati Criteri di autenticazione Amministrazione istrator Amministratore dell'autenticazione
Disabilitare l'autenticazione a più fattori per utente Amministratore dell'autenticazione Amministratore autenticazione con privilegi
Abilitare l'autenticazione a più fattori per utente Amministratore dell'autenticazione Amministratore autenticazione con privilegi
Gestire le impostazioni del servizio di autenticazione a più fattori Criteri di autenticazione Amministrazione istrator
Richiedere agli utenti selezionati di fornire di nuovo i metodi di contatto Amministratore dell'autenticazione
Ripristinare l'autenticazione a più fattori in tutti i dispositivi memorizzati Amministratore dell'autenticazione

Server MFA

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Blocca/Sblocca utenti Criteri di autenticazione Amministrazione istrator
Configurare blocco degli account Criteri di autenticazione Amministrazione istrator
Configurare regole di memorizzazione nella cache Criteri di autenticazione Amministrazione istrator
Configurare gli avvisi di illecito Criteri di autenticazione Amministrazione istrator
Configurare le notifiche Criteri di autenticazione Amministrazione istrator
Configurare un bypass monouso Criteri di autenticazione Amministrazione istrator
Configurare impostazioni telefonata Criteri di autenticazione Amministrazione istrator
Configurare provider Criteri di autenticazione Amministrazione istrator
Configurare le impostazioni del server Criteri di autenticazione Amministrazione istrator
Leggere il report attività Ruolo con autorizzazioni di lettura globali
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali
Leggere lo stato del server Ruolo con autorizzazioni di lettura globali

Relazioni aziendali

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire i provider di identità Amministratore dei provider di identità esterni
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali

Reimpostazione della password

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare i metodi di autenticazione Criteri di autenticazione Amministrazione istrator
Configurare personalizzazione Criteri di autenticazione Amministrazione istrator
Configurare notifica Criteri di autenticazione Amministrazione istrator
Configurare integrazione locale Criteri di autenticazione Amministrazione istrator
Configurare le proprietà di reimpostazione della password Amministratore utenti Criteri di autenticazione Amministrazione istrator
Configurare registrazione Criteri di autenticazione Amministrazione istrator
Leggere tutta la configurazione Amministratore della sicurezza Amministratore utenti

Gestione delle autorizzazioni

Che cos'è Gestione delle autorizzazioni di Microsoft Entra

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Onboarding del tenant Gestione delle autorizzazioni Amministrazione istrator
Eseguire l'onboarding degli ambienti cloud Gestione delle autorizzazioni Amministrazione istrator
Assegnare autorizzazioni in Gestione delle autorizzazioni di Microsoft Entra Gestione delle autorizzazioni Amministrazione istrator
Avviare la versione di valutazione e acquistare licenze Gestione delle autorizzazioni di Microsoft Entra Amministratore fatturazione

Privileged Identity Management

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Assegnare utenti ai ruoli Amministratore dei ruoli con privilegi
Configurare le impostazioni dei ruoli Amministratore dei ruoli con privilegi
Visualizzare l'attività di controllo Ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare i membri dei ruoli Ruolo con autorizzazioni di lettura per la sicurezza

Ruoli e amministratori

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire le assegnazioni di ruoli Amministratore dei ruoli con privilegi
Verifica dell'accesso in lettura di un ruolo Microsoft Entra Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Amministratore dei ruoli con privilegi
Leggere tutta la configurazione Ruolo utente predefinito

Sicurezza - metodi di autenticazione

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Abilitare o disabilitare i metodi di autenticazione Criteri di autenticazione Amministrazione istrator
Visualizzare, effettuare il provisioning per conto di e gestire i singoli metodi di autenticazione utente Amministratore dell'autenticazione Amministratore autenticazione con privilegi
Configurare la protezione password Amministratore della sicurezza
Configurare il blocco intelligente Amministratore della sicurezza
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali

Sicurezza - Accesso condizionale

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare indirizzi IP attendibili MFA Amministratore accesso condizionale
Creare controlli personalizzati Amministratore accesso condizionale Amministratore della sicurezza
Creare posizioni specifiche Amministratore accesso condizionale Amministratore della sicurezza
Creare i criteri Amministratore accesso condizionale Amministratore della sicurezza
Creare condizioni per l'utilizzo Amministratore accesso condizionale Amministratore della sicurezza
Creare il certificato di connettività VPN Amministratore di applicazioni cloud Amministratore applicazione
Eliminare un criterio classico Amministratore accesso condizionale Amministratore della sicurezza
Eliminare le condizioni per l'utilizzo Amministratore accesso condizionale Amministratore della sicurezza
Eliminare il certificato di connettività VPN Amministratore accesso condizionale Amministratore della sicurezza
Disabilitare i criteri classici Amministratore accesso condizionale Amministratore della sicurezza
Gestire controlli personalizzati Amministratore accesso condizionale Amministratore della sicurezza
Gestire posizioni specifiche Amministratore accesso condizionale Amministratore della sicurezza
Gestire le condizioni per l'utilizzo Amministratore accesso condizionale Amministratore della sicurezza
Leggere tutta la configurazione Ruolo utente predefinito
Leggere posizioni specifiche Ruolo utente predefinito

Sicurezza - punteggio di sicurezza delle identità

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Leggere punteggio di sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Aggiornare stato dell'evento Amministratore della sicurezza

Sicurezza - accessi a rischio

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza
Leggere gli accessi a rischio Ruolo con autorizzazioni di lettura per la sicurezza

Sicurezza - utenti contrassegnati per il rischio

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
eliminare tutti gli eventi Amministratore della sicurezza
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza
Leggere utenti contrassegnati per il rischio Ruolo con autorizzazioni di lettura per la sicurezza

Pass di accesso temporaneo

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare, eliminare o visualizzare un pass di accesso temporaneo per amministratori o membri (ad eccezione di se stessi) Amministratore autenticazione con privilegi
Creare, eliminare o visualizzare un pass di accesso temporaneo per i membri (ad eccezione di se stessi) Amministratore dell'autenticazione
Visualizzare i dettagli di un pass di accesso temporaneo per un utente (senza leggere il codice stesso) Ruolo con autorizzazioni di lettura globali
Configurare o aggiornare i criteri del metodo di autenticazione pass di accesso temporaneo Criteri di autenticazione Amministrazione istrator

Tenant

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare l'ID Microsoft Entra o il tenant di Azure AD B2C Autore tenant
Aggiornare le proprietà del tenant di Microsoft Entra Amministratore fatturazione
Gestire l'informativa sulla privacy e il contatto Amministratore fatturazione

Utenti

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Aggiungere utenti al ruolo della directory Amministratore dei ruoli con privilegi
Aggiungere utenti al gruppo Amministratore utenti
Assegnare una licenza Amministratore licenze Amministratore utenti
Creare utente guest Mittente dell'invito guest Amministratore utenti
Reimpostare l'invito dell'utente guest Amministratore supporto tecnico Amministratore utenti
Creare un utente Amministratore utenti
Eliminare utenti Amministratore utenti
Invalidare i token di aggiornamento di amministratori limitati Amministratore utenti
Invalidare i token di aggiornamento di utenti non amministratori Amministratore supporto tecnico Amministratore utenti
Invalidare i token di aggiornamento degli amministratori con privilegi Amministratore autenticazione con privilegi
Leggere configurazione di base Ruolo utente predefinito
Reimpostare la password per amministratori limitati Amministratore utenti
Reimpostare la password degli utenti non amministratori Amministratore password Amministratore utenti
Reimpostare la password degli amministratori con privilegi Amministratore autenticazione con privilegi
Revocare la licenza Amministratore licenze Amministratore utenti
Aggiornare tutte le proprietà, ad eccezione del nome dell'entità utente Amministratore utenti
Aggiornare la proprietà abilitata per la sincronizzazione locale Amministratore delle identità ibride
Aggiornare il nome dell'entità utente per amministratori limitati Amministratore utenti
Aggiornare la proprietà Nome entità utente in amministratori con privilegi Amministratore autenticazione con privilegi
Aggiornare le impostazioni utente - Autorizzazioni predefinite per i ruoli utente Amministratore dei ruoli con privilegi
Aggiornare le impostazioni utente - Accesso utente guest Amministratore dei ruoli con privilegi
Aggiornare le impostazioni utente - centro di Amministrazione istration Amministratore globale
Aggiornare le impostazioni utente - Connessioni dell'account LinkedIn Amministratore globale
Aggiornare le impostazioni utente - Mostra mantieni l'accesso dell'utente Amministratore globale
Aggiornare i metodi di autenticazione Amministratore dell'autenticazione Amministratore autenticazione con privilegi

Supporto tecnico

Passaggi successivi