Microsoft Entra ID のタスク別の最小特権ロール

この記事では、Microsoft Entra ID で最小特権ロールを割り当てることによりユーザーの管理者アクセス許可を制限するために必要な情報を取り上げます。 機能領域ごとのタスクと、各タスクを実行するために必要な最小特権ロールのほか、そのタスクを実行できる非グローバル管理者ロールも別途記載しています。

より小さなスコープでロールを割り当てるか、独自のカスタム ロールを作成することで、アクセス許可をさらに制限できます。 詳細については、「Microsoft Entra ロールを異なるスコープで割り当てる」または「Microsoft Entra ID でカスタム ロールを作成して割り当てる」を参照してください。

アプリケーション プロキシ

タスク 最小特権ロール その他のロール
アプリケーション プロキシ アプリを構成する アプリケーション管理者
コネクタ グループのプロパティを構成する アプリケーション管理者
アプリケーションの登録を作成する (すべてのユーザーについて権限が無効になっている場合) アプリケーション開発者 クラウド アプリケーション管理者
アプリケーション管理者
コネクタ グループを作成する アプリケーション管理者
コネクタ グループを削除する アプリケーション管理者
アプリケーション プロキシの無効化 アプリケーション管理者
コネクタ サービスをダウンロードする アプリケーション管理者
すべての構成を読み取る アプリケーション管理者

外部 ID または B2C

タスク 最小特権ロール その他のロール
Azure AD B2C のディレクトリを作成する ゲスト以外のすべてのユーザー
エンタープライズ アプリケーションを作成する クラウド アプリケーション管理者 アプリケーション管理者
B2C のポリシーの作成、読み取り、更新、削除を実行する B2C IEF ポリシー管理者
ID プロバイダーの作成、読み取り、更新、削除を実行する 外部 ID プロバイダー管理者
パスワード リセット ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
プロファイル編集ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
サインイン ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
サインアップ ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
ユーザー属性の作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー属性管理者
ユーザーの作成、読み取り、更新、削除を実行する ユーザー管理者
B2B 外部コラボレーションの設定を構成する - ゲスト ユーザー アクセス 特権ロール管理者
B2B 外部コラボレーションの設定を構成する - ゲスト招待の設定 ゲスト招待元 外部 ID ユーザー フロー管理者
B2B 外部コラボレーションの設定を構成する - 外部ユーザーの脱退設定 外部 ID プロバイダー管理者
B2B 外部コラボレーションの設定を構成する - コラボレーションの制限 全体管理者
すべての構成を読み取る グローバル閲覧者
B2C 監査ログを読み取る グローバル閲覧者

注意

Azure AD B2C の全体管理者には、Microsoft Entra の全体管理者と同じアクセス許可はありません。 Azure AD B2C の全体管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。

会社のブランド

タスク 最小特権ロール その他のロール
会社のブランドの構成 組織ブランド化管理者
すべての構成を読み取る ディレクトリ閲覧者 既定のユーザー ロール

のインスタンスに接続するときには、

タスク 最小特権ロール その他のロール
パススルー認証 ハイブリッド ID の管理者
すべての構成を読み取る グローバル閲覧者 ハイブリッド ID の管理者
シームレス シングル サインオン ハイブリッド ID の管理者

Connect 同期

タスク 最小特権ロール その他のロール
オンプレミスのディレクトリ同期を管理する ハイブリッド ID の管理者

クラウド プロビジョニング

タスク 最小特権ロール その他のロール
パススルー認証 ハイブリッド ID の管理者
すべての構成を読み取る グローバル閲覧者 ハイブリッド ID の管理者
シームレス シングル サインオン ハイブリッド ID の管理者

Connect Health

タスク 最小特権ロール その他のロール
サービスを追加または削除する 所有者
同期エラーに対する修正プログラムを適用する Contributor 所有者
通知の構成 Contributor 所有者
設定の構成 所有者
同期の通知を構成する Contributor 所有者
ADFS セキュリティ レポートを読み取る セキュリティ閲覧者 Contributor
所有者
すべての構成を読み取る Reader Contributor
所有者
同期エラーを読み取る Reader Contributor
所有者
同期サービスを読み取る Reader Contributor
所有者
メトリックとアラートを表示する Reader Contributor
所有者
メトリックとアラートを表示する Reader Contributor
所有者
同期サービスのメトリックとアラートを表示する Reader Contributor
所有者

カスタム ドメイン名

タスク 最小特権ロール その他のロール
ドメインの管理 ドメイン名管理者
すべての構成を読み取る ディレクトリ閲覧者 既定のユーザー ロール

ドメイン サービス

タスク 最小特権ロール その他のロール
Microsoft Entra Domain Services のインスタンスを作成する アプリケーション管理者
グループ管理者
ドメイン サービス共同作成者
すべての Microsoft Entra Domain Services のタスクを実行する AAD DC 管理者グループ
すべての構成を読み取る AD DS サービスを含む Azure サブスクリプションの閲覧者

デバイス

タスク 最小特権ロール その他のロール
デバイスの削除 クラウド デバイス管理者 Intune 管理者
デバイスを無効にする クラウド デバイス管理者 Intune 管理者
デバイスを有効にする クラウド デバイス管理者 Intune 管理者
基本構成を読み取る 既定のユーザー ロール
BitLocker キーを読み取る クラウド デバイス管理者 ヘルプデスク管理者
Intune 管理者
セキュリティ管理者
セキュリティ閲覧者

エンタープライズ アプリケーション

タスク 最小特権ロール その他のロール
委任された任意のアクセス許可に同意する クラウド アプリケーション管理者 アプリケーション管理者
アプリケーションのアクセス許可に同意する (Microsoft Graph を除く) クラウド アプリケーション管理者 アプリケーション管理者
Microsoft Graph へのアプリケーションのアクセス許可に同意する 特権ロール管理者
アプリケーションが自分のデータにアクセスすることに同意する 既定のユーザー ロール
エンタープライズ アプリケーションを作成する クラウド アプリケーション管理者 アプリケーション管理者
アプリケーション プロキシを管理する アプリケーション管理者
グループまたはアプリのアクセス レビューを読み取る セキュリティ閲覧者 セキュリティ管理者
ユーザー管理者
すべての構成を読み取る 既定のユーザー ロール
エンタープライズ アプリケーションの割り当てを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
ユーザー管理者
エンタープライズ アプリケーション所有者を更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
エンタープライズ アプリケーションのプロパティを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
エンタープライズ アプリケーションのプロビジョニングを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
エンタープライズ アプリケーションのセルフ サービスを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
シングル サインオンのプロパティを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
カスタム認証拡張機能を作成して管理する 認証拡張性の管理者 アプリケーション管理者

エンタイトルメント管理

タスク 最小特権ロール その他のロール
カタログにリソースを追加する Identity Governance 管理者 エンタイトルメント管理を使用すると、このタスクをカタログ所有者に委任できます
カタログに SharePoint Online サイトを追加する SharePoint 管理者

グループ

タスク 最小特権ロール その他のロール
ライセンスの割り当て ユーザー管理者
グループを作成する グループ管理者 ユーザー管理者
グループまたはアプリのアクセス レビューを作成、更新、削除する ユーザー管理者
グループの有効期限を管理する ユーザー管理者
グループ設定の管理 グループ管理者 ユーザー管理者
すべての構成を読み取る (非表示のメンバーシップを除く) ディレクトリ閲覧者 既定のユーザー ロール
非表示のメンバーシップを読み取る グループ メンバー グループ所有者
パスワード管理者
Exchange 管理者
SharePoint 管理者
Teams 管理者
ユーザー管理者
非表示のメンバーシップを含むグループのメンバーシップを読み取る ヘルプデスク管理者 ユーザー管理者
Teams 管理者
ライセンスを取り消す ライセンス管理者 ユーザー管理者
動的メンバーシップ グループを更新する グループ所有者 ユーザー管理者
グループ所有者を更新する グループ所有者 ユーザー管理者
グループのプロパティを更新する グループ所有者 ユーザー管理者
グループの削除 グループ管理者 ユーザー管理者

ライセンス

タスク 最小特権ロール その他のロール
ライセンスの割り当て ライセンス管理者 ユーザー管理者
すべての構成を読み取る ディレクトリ閲覧者 既定のユーザー ロール
ライセンスを取り消す ライセンス管理者 ユーザー管理者
サブスクリプションを試用または購入する 課金管理者

Microsoft Entra Health

Microsoft Entra ID 保護

タスク 最小特権ロール その他のロール
アラート通知を構成する セキュリティ管理者
MFA ポリシーを構成し、有効または無効にする セキュリティ管理者
サインイン リスク ポリシーを構成し、有効または無効にする セキュリティ管理者
ユーザー リスク ポリシーを構成し、有効または無効にする セキュリティ管理者
週刊ダイジェストを構成する セキュリティ管理者
すべてのリスク検出を無視する セキュリティ管理者
脆弱性を修正または無視する セキュリティ管理者
すべての構成を読み取る セキュリティ閲覧者
すべてのリスク検出を読み取る セキュリティ閲覧者
脆弱性を読み取る Security Reader

監視と正常性 - 監査およびサインイン ログ

監視と正常性 - プロビジョニング ログ

監視と正常性 - 推奨事項

多要素認証

タスク 最小特権ロール その他のロール
選択したユーザーによって生成されたすべての既存のアプリケーション パスワードを削除する 認証ポリシー管理者 認証管理者
ユーザーごとの MFA を無効にする 認証管理者 特権認証管理者
ユーザーごとの MFA の有効化 認証管理者 特権認証管理者
MFA サービスの設定を管理する 認証ポリシー管理者
選択したユーザーについて連絡方法の再指定を必須にする 認証管理者
記憶されているすべてのデバイスで多要素認証を復元する 認証管理者

MFA サーバー

タスク 最小特権ロール その他のロール
ユーザーのブロック/ブロック解除 認証ポリシー管理者
アカウント ロックアウトを構成する 認証ポリシー管理者
キャッシュ規則を構成する 認証ポリシー管理者
不正アクセスのアラートを構成する 認証ポリシー管理者
通知の構成 認証ポリシー管理者
ワンタイム バイパスを構成する 認証ポリシー管理者
電話の設定を構成する 認証ポリシー管理者
プロバイダーを構成する 認証ポリシー管理者
サーバー設定の構成 認証ポリシー管理者
アクティビティ レポートを読み取る グローバル閲覧者
すべての構成を読み取る グローバル閲覧者
サーバーの状態を読み取る グローバル閲覧者

組織の関係

タスク 最小特権ロール その他のロール
ID プロバイダーを管理する 外部 ID プロバイダー管理者
すべての構成を読み取る グローバル閲覧者

パスワードのリセット

タスク 最小特権ロール その他のロール
認証方法を構成する 認証ポリシー管理者
カスタマイズを構成する 認証ポリシー管理者
通知を構成する 認証ポリシー管理者
オンプレミスの統合を構成する 認証ポリシー管理者
パスワードのリセット プロパティを構成する ユーザー管理者 認証ポリシー管理者
登録を構成する 認証ポリシー管理者
すべての構成を読み取る セキュリティ管理者 ユーザー管理者

アクセス許可の管理

Microsoft Entra Permissions Management とは

タスク 最小特権ロール その他のロール
テナントのオンボード Permissions Management の管理者
クラウド環境のオンボード Permissions Management の管理者
Microsoft Entra Permissions Management でアクセス許可を割り当てる Permissions Management の管理者
試用版を開始し、Microsoft Entra Permissions Management ライセンスを購入する 課金管理者

Privileged Identity Management

タスク 最小特権ロール その他のロール
ユーザーをロールに割り当てる 特権ロール管理者
ロール設定を構成する 特権ロール管理者
監査アクティビティを表示する セキュリティ閲覧者
ロールのメンバーシップを表示する セキュリティ閲覧者

ロールと管理者

タスク 最小特権ロール その他のロール
ロールの割り当てを管理する 特権ロール管理者
Microsoft Entra ロールのアクセス レビューを読み取る セキュリティ閲覧者 セキュリティ管理者
特権ロール管理者
すべての構成を読み取る 既定のユーザー ロール

セキュリティ - 認証方法

タスク 最小特権ロール その他のロール
認証方法を有効または無効にする 認証ポリシー管理者
個々のユーザー認証方法の表示、代理プロビジョニング、および管理を行う 認証管理者 特権認証管理者
パスワード保護を構成する セキュリティ管理者
スマート ロックアウトを構成する セキュリティ管理者
すべての構成を読み取る グローバル閲覧者

セキュリティ - 条件付きアクセス

タスク 最小特権ロール その他のロール
MFA の信頼できる IP アドレスを構成する 条件付きアクセス管理者
カスタム コントロールを作成する 条件付きアクセス管理者 セキュリティ管理者
ネームド ロケーションを作成する 条件付きアクセス管理者 セキュリティ管理者
ポリシーの作成 条件付きアクセス管理者 セキュリティ管理者
利用規約を作成する 条件付きアクセス管理者 セキュリティ管理者
VPN 接続の証明書を作成する クラウド アプリケーション管理者 アプリケーション管理者
クラシック ポリシーを削除する 条件付きアクセス管理者 セキュリティ管理者
利用規約を削除する 条件付きアクセス管理者 セキュリティ管理者
VPN 接続の証明書を削除する 条件付きアクセス管理者 セキュリティ管理者
クラシック ポリシーを無効にする 条件付きアクセス管理者 セキュリティ管理者
カスタム コントロールを管理する 条件付きアクセス管理者 セキュリティ管理者
ネームド ロケーションを管理する 条件付きアクセス管理者 セキュリティ管理者
利用規約を管理する 条件付きアクセス管理者 セキュリティ管理者
すべての構成を読み取る 既定のユーザー ロール
ネームド ロケーションを読み取る 既定のユーザー ロール

セキュリティ - ID セキュリティ スコア

タスク 最小特権ロール その他のロール
すべての構成を読み取る セキュリティ閲覧者 セキュリティ管理者
セキュリティ スコアを読み取る セキュリティ閲覧者 セキュリティ管理者
イベントの状態を更新する セキュリティ管理者

セキュリティ - 危険なサインイン

タスク 最小特権ロール その他のロール
すべての構成を読み取る セキュリティ閲覧者
危険なサインインを読み取る セキュリティ閲覧者

セキュリティ - リスクのフラグ付きユーザー

タスク 最小特権ロール その他のロール
すべてのイベントを閉じる セキュリティ管理者
すべての構成を読み取る セキュリティ閲覧者
リスクのフラグ付きユーザーを読み取る セキュリティ閲覧者

一時アクセス パス

タスク 最小特権ロール その他のロール
管理者またはメンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する 特権認証管理者
メンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する 認証管理者
ユーザーの一時アクセス パスの詳細を表示する (コード自体は表示しない) グローバル閲覧者
一時アクセス パスの認証方法ポリシーを構成または更新する 認証ポリシー管理者

テナント

タスク 最小特権ロール その他のロール
Microsoft Entra ID または Azure AD B2C テナントを作成する テナント作成者
Microsoft Entra テナントのプロパティを更新する 課金管理者
プライバシーに関する声明と連絡先を管理する 課金管理者

Users

タスク 最小特権ロール その他のロール
ディレクトリ ロールにユーザーを追加する 特権ロール管理者
ユーザーをグループに追加する ユーザー管理者
ライセンスの割り当て ライセンス管理者 ユーザー管理者
ゲスト ユーザーを作成する ゲスト招待元 ユーザー管理者
ゲスト ユーザーの招待をリセットする ヘルプデスク管理者 ユーザー管理者
ユーザーの作成 ユーザー管理者
ユーザーを削除する ユーザー管理者
制限付き管理者の更新トークンを無効にする ユーザー管理者
非管理者の更新トークンを無効にする ヘルプデスク管理者 ユーザー管理者
特権管理者の更新トークンを無効にする 特権認証管理者
基本構成を読み取る 既定のユーザー ロール
制限付き管理者のパスワードをリセットする ユーザー管理者
非管理者のパスワードをリセットする パスワード管理者 ユーザー管理者
特権管理者のパスワードをリセットする 特権認証管理者
ライセンスを取り消す ライセンス管理者 ユーザー管理者
ユーザー プリンシパル名を除くすべてのプロパティを更新する ユーザー管理者
オンプレミスの同期が有効なプロパティを更新する ハイブリッド ID の管理者
制限付き管理者のユーザー プリンシパル名を更新する ユーザー管理者
特権管理者のユーザー プリンシパル名プロパティを更新する 特権認証管理者
ユーザー設定の更新 - 既定のユーザー ロールのアクセス許可 特権ロール管理者
ユーザー設定を更新する - ゲスト ユーザー アクセス 特権ロール管理者
ユーザー設定を更新する - 管理センター 全体管理者
ユーザー設定を更新する - LinkedIn アカウント接続 全体管理者
ユーザー設定を更新する - [サインインしたままにする] を表示する 全体管理者
認証方法を更新する 認証管理者 特権認証管理者

サポート

次のステップ