Microsoft Entra ID のタスク別の最小特権ロール
この記事では、Microsoft Entra ID で最小特権ロールを割り当てることによりユーザーの管理者アクセス許可を制限するために必要な情報を取り上げます。 機能領域ごとのタスクと、各タスクを実行するために必要な最小特権ロールのほか、そのタスクを実行できる非グローバル管理者ロールも別途記載しています。
より小さなスコープでロールを割り当てるか、独自のカスタム ロールを作成することで、アクセス許可をさらに制限できます。 詳細については、「Microsoft Entra ロールを異なるスコープで割り当てる」または「Microsoft Entra ID でカスタム ロールを作成して割り当てる」を参照してください。
タスク | 最小特権ロール | その他のロール |
---|---|---|
アプリケーション プロキシ アプリを構成する | アプリケーション管理者 | |
コネクタ グループのプロパティを構成する | アプリケーション管理者 | |
アプリケーションの登録を作成する (すべてのユーザーについて権限が無効になっている場合) | アプリケーション開発者 | クラウド アプリケーション管理者 アプリケーション管理者 |
コネクタ グループを作成する | アプリケーション管理者 | |
コネクタ グループを削除する | アプリケーション管理者 | |
アプリケーション プロキシの無効化 | アプリケーション管理者 | |
コネクタ サービスをダウンロードする | アプリケーション管理者 | |
すべての構成を読み取る | アプリケーション管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
Azure AD B2C のディレクトリを作成する | ゲスト以外のすべてのユーザー | |
エンタープライズ アプリケーションを作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
B2C のポリシーの作成、読み取り、更新、削除を実行する | B2C IEF ポリシー管理者 | |
ID プロバイダーの作成、読み取り、更新、削除を実行する | 外部 ID プロバイダー管理者 | |
パスワード リセット ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
プロファイル編集ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
サインイン ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
サインアップ ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
ユーザー属性の作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー属性管理者 | |
ユーザーの作成、読み取り、更新、削除を実行する | ユーザー管理者 | |
B2B 外部コラボレーションの設定を構成する - ゲスト ユーザー アクセス | 特権ロール管理者 | |
B2B 外部コラボレーションの設定を構成する - ゲスト招待の設定 | ゲスト招待元 | 外部 ID ユーザー フロー管理者 |
B2B 外部コラボレーションの設定を構成する - 外部ユーザーの脱退設定 | 外部 ID プロバイダー管理者 | |
B2B 外部コラボレーションの設定を構成する - コラボレーションの制限 | 全体管理者 | |
すべての構成を読み取る | グローバル閲覧者 | |
B2C 監査ログを読み取る | グローバル閲覧者 |
注意
Azure AD B2C の全体管理者には、Microsoft Entra の全体管理者と同じアクセス許可はありません。 Azure AD B2C の全体管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。
タスク | 最小特権ロール | その他のロール |
---|---|---|
会社のブランドの構成 | 組織ブランド化管理者 | |
すべての構成を読み取る | ディレクトリ閲覧者 | 既定のユーザー ロール |
タスク | 最小特権ロール | その他のロール |
---|---|---|
パススルー認証 | ハイブリッド ID の管理者 | |
すべての構成を読み取る | グローバル閲覧者 | ハイブリッド ID の管理者 |
シームレス シングル サインオン | ハイブリッド ID の管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
オンプレミスのディレクトリ同期を管理する | ハイブリッド ID の管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
パススルー認証 | ハイブリッド ID の管理者 | |
すべての構成を読み取る | グローバル閲覧者 | ハイブリッド ID の管理者 |
シームレス シングル サインオン | ハイブリッド ID の管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
サービスを追加または削除する | 所有者 | |
同期エラーに対する修正プログラムを適用する | Contributor | 所有者 |
通知の構成 | Contributor | 所有者 |
設定の構成 | 所有者 | |
同期の通知を構成する | Contributor | 所有者 |
ADFS セキュリティ レポートを読み取る | セキュリティ閲覧者 | Contributor 所有者 |
すべての構成を読み取る | Reader | Contributor 所有者 |
同期エラーを読み取る | Reader | Contributor 所有者 |
同期サービスを読み取る | Reader | Contributor 所有者 |
メトリックとアラートを表示する | Reader | Contributor 所有者 |
メトリックとアラートを表示する | Reader | Contributor 所有者 |
同期サービスのメトリックとアラートを表示する | Reader | Contributor 所有者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
ドメインの管理 | ドメイン名管理者 | |
すべての構成を読み取る | ディレクトリ閲覧者 | 既定のユーザー ロール |
タスク | 最小特権ロール | その他のロール |
---|---|---|
Microsoft Entra Domain Services のインスタンスを作成する | アプリケーション管理者 グループ管理者 ドメイン サービス共同作成者 |
|
すべての Microsoft Entra Domain Services のタスクを実行する | AAD DC 管理者グループ | |
すべての構成を読み取る | AD DS サービスを含む Azure サブスクリプションの閲覧者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
デバイスの削除 | クラウド デバイス管理者 | Intune 管理者 |
デバイスを無効にする | クラウド デバイス管理者 | Intune 管理者 |
デバイスを有効にする | クラウド デバイス管理者 | Intune 管理者 |
基本構成を読み取る | 既定のユーザー ロール | |
BitLocker キーを読み取る | クラウド デバイス管理者 | ヘルプデスク管理者 Intune 管理者 セキュリティ管理者 セキュリティ閲覧者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
委任された任意のアクセス許可に同意する | クラウド アプリケーション管理者 | アプリケーション管理者 |
アプリケーションのアクセス許可に同意する (Microsoft Graph を除く) | クラウド アプリケーション管理者 | アプリケーション管理者 |
Microsoft Graph へのアプリケーションのアクセス許可に同意する | 特権ロール管理者 | |
アプリケーションが自分のデータにアクセスすることに同意する | 既定のユーザー ロール | |
エンタープライズ アプリケーションを作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
アプリケーション プロキシを管理する | アプリケーション管理者 | |
グループまたはアプリのアクセス レビューを読み取る | セキュリティ閲覧者 | セキュリティ管理者 ユーザー管理者 |
すべての構成を読み取る | 既定のユーザー ロール | |
エンタープライズ アプリケーションの割り当てを更新する | エンタープライズ アプリケーション所有者 | クラウド アプリケーション管理者 アプリケーション管理者 ユーザー管理者 |
エンタープライズ アプリケーション所有者を更新する | エンタープライズ アプリケーション所有者 | クラウド アプリケーション管理者 アプリケーション管理者 |
エンタープライズ アプリケーションのプロパティを更新する | エンタープライズ アプリケーション所有者 | クラウド アプリケーション管理者 アプリケーション管理者 |
エンタープライズ アプリケーションのプロビジョニングを更新する | エンタープライズ アプリケーション所有者 | クラウド アプリケーション管理者 アプリケーション管理者 |
エンタープライズ アプリケーションのセルフ サービスを更新する | エンタープライズ アプリケーション所有者 | クラウド アプリケーション管理者 アプリケーション管理者 |
シングル サインオンのプロパティを更新する | エンタープライズ アプリケーション所有者 | クラウド アプリケーション管理者 アプリケーション管理者 |
カスタム認証拡張機能を作成して管理する | 認証拡張性の管理者 | アプリケーション管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
カタログにリソースを追加する | Identity Governance 管理者 | エンタイトルメント管理を使用すると、このタスクをカタログ所有者に委任できます |
カタログに SharePoint Online サイトを追加する | SharePoint 管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
ライセンスの割り当て | ユーザー管理者 | |
グループを作成する | グループ管理者 | ユーザー管理者 |
グループまたはアプリのアクセス レビューを作成、更新、削除する | ユーザー管理者 | |
グループの有効期限を管理する | ユーザー管理者 | |
グループ設定の管理 | グループ管理者 | ユーザー管理者 |
すべての構成を読み取る (非表示のメンバーシップを除く) | ディレクトリ閲覧者 | 既定のユーザー ロール |
非表示のメンバーシップを読み取る | グループ メンバー | グループ所有者 パスワード管理者 Exchange 管理者 SharePoint 管理者 Teams 管理者 ユーザー管理者 |
非表示のメンバーシップを含むグループのメンバーシップを読み取る | ヘルプデスク管理者 | ユーザー管理者 Teams 管理者 |
ライセンスを取り消す | ライセンス管理者 | ユーザー管理者 |
動的メンバーシップ グループを更新する | グループ所有者 | ユーザー管理者 |
グループ所有者を更新する | グループ所有者 | ユーザー管理者 |
グループのプロパティを更新する | グループ所有者 | ユーザー管理者 |
グループの削除 | グループ管理者 | ユーザー管理者 |
タスク | 最小特権ロール | 追加のロール |
---|---|---|
シナリオ監視シグナルを表示する | レポート閲覧者 | Security Reader セキュリティ オペレーター セキュリティ管理者 ヘルプデスク管理者 グローバル閲覧者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
監査ログを読み取る | レポート閲覧者 | アプリケーション管理者 クラウド アプリケーション管理者 クラウド デバイス管理者 グローバル セキュア アクセス 管理者 ハイブリッド ID の管理者 セキュリティ管理者 セキュリティ オペレーター Security Reader |
タスク | 最小特権ロール | その他のロール |
---|---|---|
サインイン ログを読み取る | レポート閲覧者 | アプリケーション管理者 クラウド アプリケーション管理者 クラウド デバイス管理者 ハイブリッド ID の管理者 セキュリティ管理者 セキュリティ オペレーター Security Reader |
タスク | 最小特権ロール | その他のロール |
---|---|---|
ID プロバイダーを管理する | 外部 ID プロバイダー管理者 | |
すべての構成を読み取る | グローバル閲覧者 |
Microsoft Entra Permissions Management とは
タスク | 最小特権ロール | その他のロール |
---|---|---|
テナントのオンボード | Permissions Management の管理者 | |
クラウド環境のオンボード | Permissions Management の管理者 | |
Microsoft Entra Permissions Management でアクセス許可を割り当てる | Permissions Management の管理者 | |
試用版を開始し、Microsoft Entra Permissions Management ライセンスを購入する | 課金管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
ロールの割り当てを管理する | 特権ロール管理者 | |
Microsoft Entra ロールのアクセス レビューを読み取る | セキュリティ閲覧者 | セキュリティ管理者 特権ロール管理者 |
すべての構成を読み取る | 既定のユーザー ロール |
タスク | 最小特権ロール | その他のロール |
---|---|---|
MFA の信頼できる IP アドレスを構成する | 条件付きアクセス管理者 | |
カスタム コントロールを作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
ネームド ロケーションを作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
ポリシーの作成 | 条件付きアクセス管理者 | セキュリティ管理者 |
利用規約を作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
VPN 接続の証明書を作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
クラシック ポリシーを削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
利用規約を削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
VPN 接続の証明書を削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
クラシック ポリシーを無効にする | 条件付きアクセス管理者 | セキュリティ管理者 |
カスタム コントロールを管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
ネームド ロケーションを管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
利用規約を管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
すべての構成を読み取る | 既定のユーザー ロール | |
ネームド ロケーションを読み取る | 既定のユーザー ロール |
タスク | 最小特権ロール | その他のロール |
---|---|---|
Microsoft Entra ID または Azure AD B2C テナントを作成する | テナント作成者 | |
Microsoft Entra テナントのプロパティを更新する | 課金管理者 | |
プライバシーに関する声明と連絡先を管理する | 課金管理者 |
タスク | 最小特権ロール | その他のロール |
---|---|---|
ディレクトリ ロールにユーザーを追加する | 特権ロール管理者 | |
ユーザーをグループに追加する | ユーザー管理者 | |
ライセンスの割り当て | ライセンス管理者 | ユーザー管理者 |
ゲスト ユーザーを作成する | ゲスト招待元 | ユーザー管理者 |
ゲスト ユーザーの招待をリセットする | ヘルプデスク管理者 | ユーザー管理者 |
ユーザーの作成 | ユーザー管理者 | |
ユーザーを削除する | ユーザー管理者 | |
制限付き管理者の更新トークンを無効にする | ユーザー管理者 | |
非管理者の更新トークンを無効にする | ヘルプデスク管理者 | ユーザー管理者 |
特権管理者の更新トークンを無効にする | 特権認証管理者 | |
基本構成を読み取る | 既定のユーザー ロール | |
制限付き管理者のパスワードをリセットする | ユーザー管理者 | |
非管理者のパスワードをリセットする | パスワード管理者 | ユーザー管理者 |
特権管理者のパスワードをリセットする | 特権認証管理者 | |
ライセンスを取り消す | ライセンス管理者 | ユーザー管理者 |
ユーザー プリンシパル名を除くすべてのプロパティを更新する | ユーザー管理者 | |
オンプレミスの同期が有効なプロパティを更新する | ハイブリッド ID の管理者 | |
制限付き管理者のユーザー プリンシパル名を更新する | ユーザー管理者 | |
特権管理者のユーザー プリンシパル名プロパティを更新する | 特権認証管理者 | |
ユーザー設定の更新 - 既定のユーザー ロールのアクセス許可 | 特権ロール管理者 | |
ユーザー設定を更新する - ゲスト ユーザー アクセス | 特権ロール管理者 | |
ユーザー設定を更新する - 管理センター | 全体管理者 | |
ユーザー設定を更新する - LinkedIn アカウント接続 | 全体管理者 | |
ユーザー設定を更新する - [サインインしたままにする] を表示する | 全体管理者 | |
認証方法を更新する | 認証管理者 | 特権認証管理者 |