次の方法で共有


Microsoft Entra ID のタスク別の最小特権ロール

この記事では、Microsoft Entra ID のいくつかのタスクに使用する必要がある最小限の特権ロールについて説明します。 機能領域ごとのタスクと、各タスクを実行するために必要な最小特権ロールのほか、そのタスクを実行できる非グローバル管理者ロールも別途記載しています。

より小さなスコープでロールを割り当てるか、独自のカスタム ロールを作成することで、アクセス許可をさらに制限できます。 詳細については、「Microsoft Entra ロール 割り当てる」または「Microsoft Entra IDでカスタム ロールを作成する」を参照してください。

アプリケーション プロキシの最小特権ロール

Microsoft Entra アプリケーション プロキシでタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
アプリケーション プロキシ アプリを構成する アプリケーション管理者
コネクタ グループのプロパティを構成する アプリケーション管理者
アプリケーションの登録を作成する (すべてのユーザーについて権限が無効になっている場合) アプリケーション開発者 クラウド アプリケーション管理者
アプリケーション管理者
コネクタ グループを作成する アプリケーション管理者
コネクタ グループを削除する アプリケーション管理者
アプリケーション プロキシの無効化 アプリケーション管理者
コネクタ サービスをダウンロードする アプリケーション管理者
すべての構成を読み取る アプリケーション管理者

外部 ID/Azure AD B2C の最小特権ロール

Microsoft Entra External IDAzure Active Directory B2C でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
Azure AD B2C のディレクトリを作成する ゲスト以外のすべてのユーザー
エンタープライズ アプリケーションを作成する クラウド アプリケーション管理者 アプリケーション管理者
B2C のポリシーの作成、読み取り、更新、削除を実行する B2C IEF ポリシー管理者
ID プロバイダーの作成、読み取り、更新、削除を実行する 外部 ID プロバイダー管理者
パスワード リセット ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
プロファイル編集ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
サインイン ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
サインアップ ユーザー フローの作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー管理者
ユーザー属性の作成、読み取り、更新、削除を実行する 外部 ID ユーザー フロー属性管理者
ユーザーの作成、読み取り、更新、削除を実行する ユーザー管理者
B2B 外部コラボレーションの設定を構成する - ゲスト ユーザー アクセス 特権ロール管理者
B2B 外部コラボレーションの設定を構成する - ゲスト招待の設定 ゲスト招待元 外部 ID ユーザー フロー管理者
B2B 外部コラボレーションの設定を構成する - 外部ユーザーの脱退設定 外部 ID プロバイダー管理者
B2B 外部コラボレーションの設定を構成する - コラボレーションの制限 全体管理者
すべての構成を読み取る グローバル閲覧者
B2C 監査ログを読み取る グローバル閲覧者

Azure AD B2C の全体管理者には、Microsoft Entra の全体管理者と同じアクセス許可はありません。 Azure AD B2C の全体管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。

最小限の特権ロールをブランド化する会社

Microsoft Entra ID で 会社のブランド化 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
会社のブランドの構成 組織ブランド化管理者
すべての構成を読み取る ディレクトリ閲覧者 既定のユーザー ロール

最小特権ロールを接続する

Microsoft Entra Connect でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
パススルー認証 ハイブリッド ID の管理者
すべての構成を読み取る グローバル閲覧者 ハイブリッド ID の管理者
シームレス シングル サインオン ハイブリッド ID の管理者

Sync の最小特権ロールの接続

Microsoft Entra Connect Sync でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
オンプレミスのディレクトリ同期を管理する ハイブリッド ID の管理者

クラウド プロビジョニングの最小特権ロール

Microsoft Entra ID で ID プロビジョニング のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
パススルー認証 ハイブリッド ID の管理者
すべての構成を読み取る グローバル閲覧者 ハイブリッド ID の管理者
シームレス シングル サインオン ハイブリッド ID の管理者

正常性の最小特権ロールを接続する

Microsoft Entra Connect Health でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
サービスを追加または削除する 所有者
同期エラーに対する修正プログラムを適用する 投稿者 所有者
通知の構成 投稿者 所有者
設定の構成 所有者
同期の通知を構成する 投稿者 所有者
ADFS セキュリティ レポートを読み取る セキュリティ閲覧者 投稿者
所有者
すべての構成を読み取る リーダー 投稿者
所有者
同期エラーを読み取る リーダー 投稿者
所有者
同期サービスを読み取る リーダー 投稿者
所有者
メトリックとアラートを表示する リーダー 投稿者
所有者
メトリックとアラートを表示する リーダー 投稿者
所有者
同期サービスのメトリックとアラートを表示する リーダー 投稿者
所有者

カスタム ドメイン名の最小特権ロール

Microsoft Entra ID で カスタム ドメイン名 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ドメインの管理 ドメイン名管理者
すべての構成を読み取る ディレクトリ閲覧者 既定のユーザー ロール

Domain Services の最小特権ロール

Microsoft Entra Domain Services でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
Microsoft Entra Domain Services のインスタンスを作成する アプリケーション管理者
グループ管理者
ドメイン サービス共同作成者
すべての Microsoft Entra Domain Services のタスクを実行する AAD DC 管理者グループ
すべての構成を読み取る AD DS サービスを含む Azure サブスクリプションの閲覧者

デバイスの最小特権ロール

Microsoft Entra ID で デバイス ID のタスクを実行するときに使用する必要がある最小特権ロールを次に示します。

タスク 最小特権ロール その他のロール
デバイスの削除 クラウド デバイス管理者 Intune 管理者
デバイスを無効にする クラウド デバイス管理者 Intune 管理者
デバイスを有効にする クラウド デバイス管理者 Intune 管理者
基本構成を読み取る 既定のユーザー ロール
BitLocker キーを読み取る クラウド デバイス管理者 ヘルプデスク管理者
Intune 管理者
セキュリティ管理者
セキュリティ閲覧者
IoT デバイスのプロビジョニングと管理 IoT デバイス管理者 する クラウド デバイス管理者
IoT デバイス テンプレートの管理 IoT デバイス管理者 する クラウド デバイス管理者

エンタープライズ アプリケーションの最小特権ロール

Microsoft Entra ID で アプリケーション管理 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
委任された任意のアクセス許可に同意する クラウド アプリケーション管理者 アプリケーション管理者
アプリケーションのアクセス許可に同意する (Microsoft Graph を除く) クラウド アプリケーション管理者 アプリケーション管理者
Microsoft Graph へのアプリケーションのアクセス許可に同意する 特権ロール管理者
アプリケーションが自分のデータにアクセスすることに同意する 既定のユーザー ロール
エンタープライズ アプリケーションを作成する クラウド アプリケーション管理者 アプリケーション管理者
アプリケーション プロキシを管理する アプリケーション管理者
グループまたはアプリのアクセス レビューを読み取る セキュリティ閲覧者 セキュリティ管理者
ユーザー管理者
すべての構成を読み取る 既定のユーザー ロール
エンタープライズ アプリケーションの割り当てを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
ユーザー管理者
エンタープライズ アプリケーション所有者を更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
エンタープライズ アプリケーションのプロパティを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
エンタープライズ アプリケーションのプロビジョニングを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
エンタープライズ アプリケーションのセルフ サービスを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
シングル サインオンのプロパティを更新する エンタープライズ アプリケーション所有者 クラウド アプリケーション管理者
アプリケーション管理者
カスタム認証拡張機能を作成して管理する 認証拡張性の管理者 アプリケーション管理者

エンタイトルメント管理の最小特権ロール

Microsoft Entra ID ガバナンスで エンタイトルメント管理 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
エンタイトルメント管理のタスク ID ガバナンス管理者の。 エンタイトルメント管理システム内のこれより低い特権のロールについては、「 エンタイトルメント管理での委任とロール」を参照してください。

最小特権ロールをグループ化する

Microsoft Entra ID で グループ のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ライセンスの割り当て ユーザー管理者
グループを作成する グループ管理者 ユーザー管理者
グループまたはアプリのアクセス レビューを作成、更新、削除する ユーザー管理者
グループの有効期限を管理する ユーザー管理者
グループ設定の管理 グループ管理者 ユーザー管理者
すべての構成を読み取る (非表示のメンバーシップを除く) ディレクトリ閲覧者 既定のユーザー ロール
非表示のメンバーシップを読み取る グループ メンバー グループ所有者
パスワード管理者
Exchange 管理者
SharePoint 管理者
Teams 管理者
ユーザー管理者
非表示のメンバーシップを含むグループのメンバーシップを読み取る ヘルプデスク管理者 ユーザー管理者
Teams 管理者
ライセンスを取り消す ライセンス管理者 ユーザー管理者
動的メンバーシップ グループを更新する グループ所有者 ユーザー管理者
グループ所有者を更新する グループ所有者 ユーザー管理者
グループのプロパティを更新する グループ所有者 ユーザー管理者
グループの削除 グループ管理者 ユーザー管理者

最小限の特権ロールのライセンス

Microsoft Entra ライセンスのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ライセンスの割り当て ライセンス管理者 ユーザー管理者
すべての構成を読み取る ディレクトリ閲覧者 既定のユーザー ロール
ライセンスを取り消す ライセンス管理者 ユーザー管理者
サブスクリプションを試用または購入する 課金管理者

ライフサイクル ワークフローの最小特権ロール

Microsoft Entra ID Governance で ライフサイクル ワークフロー のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ワークフローを作成する ライフサイクル ワークフロー管理者
ワークフローにカスタム拡張機能を追加する ライフサイクル ワークフロー管理者。 また、ロジック アプリの共同作成者 か、Azure Resource Manager ロール 所有者 する必要があります。

Microsoft Entra Health の最小特権ロール

Microsoft Entra Health 監視でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
シナリオ監視シグナルとアラート構成を表示する レポート閲覧者 セキュリティ閲覧者
セキュリティ オペレーター
セキュリティ管理者
ヘルプデスク管理者
グローバル閲覧者
アラートとアラートの電子メール構成を更新する ヘルプデスク管理者

Microsoft Entra ID Protection の最小特権ロール

Microsoft Entra ID Protection でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
アラート通知を構成する セキュリティ管理者
MFA ポリシーを構成し、有効または無効にする セキュリティ管理者
サインイン リスク ポリシーを構成し、有効または無効にする セキュリティ管理者
ユーザー リスク ポリシーを構成し、有効または無効にする セキュリティ管理者
週刊ダイジェストを構成する セキュリティ管理者
すべてのリスク検出を無視する セキュリティ オペレーター
脆弱性を修正または無視する セキュリティ管理者
すべての構成を読み取る セキュリティ閲覧者
すべてのリスク検出を読み取る セキュリティ閲覧者
脆弱性を読み取る セキュリティ閲覧者

監視と正常性 - 監査ログとサインイン ログの最小特権ロール

Microsoft Entra 監視で監査ログとサインイン ログのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

監視と正常性 - 最小特権ロールのログのプロビジョニング

Microsoft Entra プロビジョニング ログのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

監視と正常性 - 推奨事項の最小特権ロール

Microsoft Entra ID の推奨事項のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

監視と正常性 - サインイン診断ツール

サインイン診断ツールの実行時に使用する必要がある最小限の特権ロールを次に示します。

多要素認証の最小特権ロール

Microsoft Entra 認証でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
選択したユーザーによって生成されたすべての既存のアプリケーション パスワードを削除する 認証ポリシー管理者 認証管理者
ユーザーごとの MFA を無効にする 認証管理者 特権認証管理者
ユーザーごとの MFA の有効化 認証管理者 特権認証管理者
MFA サービスの設定を管理する 認証ポリシー管理者
選択したユーザーについて連絡方法の再指定を必須にする 認証管理者
記憶されているすべてのデバイスで多要素認証を復元する 認証管理者

MFA サーバーの最小特権ロール

MFA Server でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ユーザーのブロック/ブロック解除 認証ポリシー管理者
アカウント ロックアウトを構成する 認証ポリシー管理者
キャッシュ規則を構成する 認証ポリシー管理者
不正アクセスのアラートを構成する 認証ポリシー管理者
通知の構成 認証ポリシー管理者
ワンタイム バイパスを構成する 認証ポリシー管理者
電話の設定を構成する 認証ポリシー管理者
プロバイダーを構成する 認証ポリシー管理者
サーバー設定の構成 認証ポリシー管理者
アクティビティ レポートを読み取る グローバル閲覧者
すべての構成を読み取る グローバル閲覧者
サーバーの状態を読み取る グローバル閲覧者

組織のリレーションシップの最小特権ロール

Microsoft Entra External ID で 外部コラボレーション設定 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ID プロバイダーを管理する 外部 ID プロバイダー管理者
すべての構成を読み取る グローバル閲覧者

パスワード リセットの最小特権ロール

Microsoft Entra ID で パスワード リセット のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
認証方法を構成する 認証ポリシー管理者
カスタマイズを構成する 認証ポリシー管理者
通知を構成する 認証ポリシー管理者
オンプレミスの統合を構成する 認証ポリシー管理者
パスワードのリセット プロパティを構成する ユーザー管理者 認証ポリシー管理者
登録を構成する 認証ポリシー管理者
すべての構成を読み取る セキュリティ管理者 ユーザー管理者

Privileged Identity Management の最小特権ロール

Microsoft Entra ID ガバナンスで Microsoft Entra Privileged Identity Management のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ユーザーをロールに割り当てる 特権ロール管理者
ロール設定を構成する 特権ロール管理者
監査アクティビティを表示する セキュリティ閲覧者
ロールのメンバーシップを表示する セキュリティ閲覧者

ロールと管理者の最小特権ロール

Microsoft Entra ID でロールと管理者のタスクを実行するときに使用する必要がある最小限 の特権ロールを 次に示します。

タスク 最小特権ロール その他のロール
ロールの割り当てを管理する 特権ロール管理者
Microsoft Entra ロールのアクセス レビューを読み取る セキュリティ閲覧者 セキュリティ管理者
特権ロール管理者
すべての構成を読み取る 既定のユーザー ロール

セキュリティ - 認証方法の最小特権ロール

Microsoft Entra ID で 認証方法 のタスクを実行するときに使用する必要がある最小特権ロールを次に示します。

タスク 最小特権ロール その他のロール
認証方法を有効または無効にする 認証ポリシー管理者
個々のユーザー認証方法の表示、代理プロビジョニング、および管理を行う 認証管理者 特権認証管理者
パスワード保護を構成する セキュリティ管理者
スマート ロックアウトを構成する セキュリティ管理者
すべての構成を読み取る グローバル閲覧者

セキュリティ - 条件付きアクセスの最小特権ロール

Microsoft Entra ID で 条件付きアクセス のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
MFA の信頼できる IP アドレスを構成する 条件付きアクセス管理者
カスタム コントロールを作成する 条件付きアクセス管理者 セキュリティ管理者
ネームド ロケーションを作成する 条件付きアクセス管理者 セキュリティ管理者
ポリシーの作成 条件付きアクセス管理者 セキュリティ管理者
利用規約を作成する 条件付きアクセス管理者 セキュリティ管理者
VPN 接続の証明書を作成する クラウド アプリケーション管理者 アプリケーション管理者
クラシック ポリシーを削除する 条件付きアクセス管理者 セキュリティ管理者
利用規約を削除する 条件付きアクセス管理者 セキュリティ管理者
VPN 接続の証明書を削除する 条件付きアクセス管理者 セキュリティ管理者
クラシック ポリシーを無効にする 条件付きアクセス管理者 セキュリティ管理者
カスタム コントロールを管理する 条件付きアクセス管理者 セキュリティ管理者
ネームド ロケーションを管理する 条件付きアクセス管理者 セキュリティ管理者
利用規約を管理する 条件付きアクセス管理者 セキュリティ管理者
すべての構成を読み取る セキュリティ閲覧者
ネームド ロケーションを読み取る セキュリティ閲覧者
使用条件の読み取り セキュリティ閲覧者 グローバル閲覧者
サインインしているユーザーが同意した使用条件を確認する 既定のユーザー ロール

セキュリティ - ID セキュリティ スコアの最小特権ロール

Microsoft Entra ID で ID セキュリティ スコア のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
すべての構成を読み取る セキュリティ閲覧者 セキュリティ管理者
セキュリティ スコアを読み取る セキュリティ閲覧者 セキュリティ管理者
イベントの状態を更新する セキュリティ管理者

セキュリティ - 危険なサインインの最小特権ロール

Microsoft Entra ID Protection で 危険なサインイン のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
すべての構成を読み取る セキュリティ閲覧者
危険なサインインを読み取る セキュリティ閲覧者

セキュリティ - リスクが最も低い特権ロールのフラグが設定されたユーザー

Microsoft Entra ID Protection で リスクのフラグが設定されたユーザー に対してタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
すべてのイベントを閉じる セキュリティ管理者
すべての構成を読み取る セキュリティ閲覧者
リスクのフラグ付きユーザーを読み取る セキュリティ閲覧者

一時アクセス パスの最小特権ロール

Microsoft Entra ID で 一時アクセス パス のタスクを実行する場合に使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
管理者またはメンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する 特権認証管理者
メンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する 認証管理者
ユーザーの一時アクセス パスの詳細を表示する (コード自体は表示しない) グローバル閲覧者
一時アクセス パスの認証方法ポリシーを構成または更新する 認証ポリシー管理者

テナントの最小特権ロール

Microsoft Entra テナントでタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
Microsoft Entra ID または Azure AD B2C テナントを作成する テナント作成者
Microsoft Entra テナントのプロパティを更新する 課金管理者
プライバシーに関する声明と連絡先を管理する 課金管理者

ユーザーの最小特権ロール

Microsoft Entra ID で ユーザー のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

タスク 最小特権ロール その他のロール
ディレクトリ ロールにユーザーを追加する 特権ロール管理者
ユーザーをグループに追加する ユーザー管理者
ライセンスの割り当て ライセンス管理者 ユーザー管理者
ゲスト ユーザーを作成する ゲスト招待元 ユーザー管理者
ゲスト ユーザーの招待をリセットする ヘルプデスク管理者 ユーザー管理者
ユーザーの作成 ユーザー管理者
ユーザーを削除する ユーザー管理者
制限付き管理者の更新トークンを無効にする ユーザー管理者
非管理者の更新トークンを無効にする ヘルプデスク管理者 ユーザー管理者
特権管理者の更新トークンを無効にする 特権認証管理者
基本構成を読み取る 既定のユーザー ロール
制限付き管理者のパスワードをリセットする ユーザー管理者
非管理者のパスワードをリセットする パスワード管理者 ユーザー管理者
特権管理者のパスワードをリセットする 特権認証管理者
ライセンスを取り消す ライセンス管理者 ユーザー管理者
ユーザー プリンシパル名を除くすべてのプロパティを更新する ユーザー管理者
オンプレミスの同期が有効なプロパティを更新する ハイブリッド ID の管理者
プロフィール写真とユーザー設定を更新する ユーザー管理者 する
制限付き管理者のユーザー プリンシパル名を更新する ユーザー管理者
特権管理者のユーザー プリンシパル名プロパティを更新する 特権認証管理者
ユーザー設定の更新 - 既定のユーザー ロールのアクセス許可 特権ロール管理者
ユーザー設定を更新する - ゲスト ユーザー アクセス 特権ロール管理者
ユーザー設定を更新する - 管理センター 全体管理者
ユーザー設定を更新する - LinkedIn アカウント接続 全体管理者
ユーザー設定を更新する - [サインインしたままにする] を表示する 全体管理者
認証方法を更新する 認証管理者 特権認証管理者

最小限の特権ロールをサポートする

Microsoft Entra ID で サポート するタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

次のステップ