Rollen met minimale bevoegdheden per taak in Microsoft Entra ID
In dit artikel vindt u de informatie die nodig is om de beheerdersmachtigingen van een gebruiker te beperken door de rollen met minimale bevoegdheden toe te wijzen in Microsoft Entra-id. U vindt taken ingedeeld op functiegebied en de minst bevoegde rol die nodig is om elke taak uit te voeren, samen met aanvullende niet-globale beheerdersrollen die de taak kunnen uitvoeren.
U kunt machtigingen verder beperken door rollen toe te wijzen aan kleinere bereiken of door zelf aangepaste rollen te maken. Zie Microsoft Entra-rollen toewijzen in verschillende bereiken of Een aangepaste rol maken en toewijzen in Microsoft Entra-id voor meer informatie.
Toepassingsproxy
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Toepassingsproxy-app configureren | Toepassingsbeheerder | |
| Eigenschappen van een connectorgroep configureren | Toepassingsbeheerder | |
| Toepassingsregistratie maken wanneer de mogelijkheid is uitgeschakeld voor alle gebruikers | Toepassingsontwikkelaar | Beheerder van de cloudtoepassing Toepassingsbeheerder |
| Een connectorgroep maken | Toepassingsbeheerder | |
| Een connectorgroep verwijderen | Toepassingsbeheerder | |
| Toepassingsproxy uitschakelen | Toepassingsbeheerder | |
| Connectorservice downloaden | Toepassingsbeheerder | |
| Alle configuratie lezen | Toepassingsbeheerder |
Externe identiteiten/B2C
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Azure AD B2C-directory's maken | Alle niet-gastgebruikers | |
| Ondernemingstoepassingen maken | Beheerder van de cloudtoepassing | Toepassingsbeheerder |
| B2C-beleidsregels maken, lezen, bijwerken en verwijderen | B2C IEF-beleid Beheer istrator | |
| Identiteitsproviders maken, lezen, bijwerken en verwijderen | Externe id-provider Beheer istrator | |
| Gebruikersstromen voor wachtwoordherstel maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
| Gebruikersstromen voor het bewerken van profielen maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
| Gebruikersstromen voor aanmelden maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
| Gebruikersstromen voor registreren maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
| Gebruikerskenmerken maken, lezen, bijwerken en verwijderen | Kenmerk van externe id-gebruikersstroom Beheer istrator | |
| Gebruikers maken, lezen, bijwerken en verwijderen | Gebruikersbeheerder | |
| B2B-instellingen voor externe samenwerking configureren | Algemene beheerder | |
| Alle configuratie lezen | Globale lezer | |
| B2C-auditlogboeken lezen | Globale lezer |
Notitie
Azure AD B2C Global Beheer istrators hebben niet dezelfde machtigingen als Microsoft Entra Global Beheer istrators. Als u azure AD B2C Global Beheer istratorbevoegdheden hebt, moet u ervoor zorgen dat u zich in een Azure AD B2C-directory bevindt en niet een Microsoft Entra-directory.
Huisstijl van bedrijf
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Bedrijfshuisstijl configureren | Huisstijl van organisatie Beheer istrator | |
| Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Verbinden
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Passthrough-verificatie | Hybride identiteit Beheer istrator | |
| Alle configuratie lezen | Globale lezer | Hybride identiteit Beheer istrator |
| Naadloze eenmalige aanmelding | Hybride identiteit Beheer istrator |
Cloudinrichting
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Passthrough-verificatie | Hybride identiteit Beheer istrator | |
| Alle configuratie lezen | Globale lezer | Hybride identiteit Beheer istrator |
| Naadloze eenmalige aanmelding | Hybride identiteit Beheer istrator |
Connect Health
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Services toevoegen of verwijderen | Eigenaar | |
| Fixes toepassen op synchronisatiefouten | Inzender | Eigenaar |
| Meldingen configureren | Inzender | Eigenaar |
| Instellingen configureren | Eigenaar | |
| Synchronisatiemeldingen configureren | Inzender | Eigenaar |
| ADFS-beveiligingsrapporten lezen | Beveiligingslezer | Inzender Eigenaar |
| Alle configuratie lezen | Lezer | Inzender Eigenaar |
| Synchronisatiefouten lezen | Lezer | Inzender Eigenaar |
| Synchronisatieservices lezen | Lezer | Inzender Eigenaar |
| Metrische gegevens en waarschuwingen weergeven | Lezer | Inzender Eigenaar |
| Metrische gegevens en waarschuwingen weergeven | Lezer | Inzender Eigenaar |
| Metrische gegevens en waarschuwingen van de synchronisatieservice weergeven | Lezer | Inzender Eigenaar |
Aangepaste domeinnamen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Domeinen beheren | Beheerder van domeinnamen | |
| Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Domain Services
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Microsoft Entra Domain Services-exemplaar maken | Toepassingsbeheerder Groepen Beheer istrator Inzender voor Domain Services |
|
| Alle Microsoft Entra Domain Services-taken uitvoeren | Groep AAD DC-beheerders | |
| Alle configuratie lezen | Lezer in Azure-abonnement met AD DS-service |
Apparaten
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Apparaat verwijderen | Cloudapparaatbeheerder | Intune-beheerder |
| Apparaat uitschakelen | Cloudapparaatbeheerder | Intune-beheerder |
| Apparaat inschakelen | Cloudapparaatbeheerder | Intune-beheerder |
| Basisconfiguratie lezen | Standaardgebruikersrol | |
| BitLocker-sleutels lezen | Cloudapparaatbeheerder | Helpdesk-Beheer istrator Intune-beheerder Beveiligingsbeheerder Beveiligingslezer |
Bedrijfstoepassingen
Rechtenbeheer
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Resources toevoegen aan een catalogus | Identity Governance-beheerder | Met rechtenbeheer kunt u deze taak delegeren aan de cataloguseigenaar |
| SharePoint Online-sites toevoegen aan catalogus | SharePoint-beheerder |
Groepen
Identiteitsbeveiliging
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Waarschuwingsmeldingen configureren | Beveiligingsbeheerder | |
| Beleid voor meervoudige verificatie configureren en in- of uitschakelen | Beveiligingsbeheerder | |
| Beleid voor aanmeldingsrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
| Beleid voor gebruikersrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
| Wekelijkse verzamelingen configureren | Beveiligingsbeheerder | |
| Alle risicodetecties sluiten | Beveiligingsbeheerder | |
| Beveiligingsprobleem oplossen of sluiten | Beveiligingsbeheerder | |
| Alle configuratie lezen | Beveiligingslezer | |
| Alle risicodetecties lezen | Beveiligingslezer | |
| Beveiligingsproblemen lezen | Beveiligingslezer |
Licenties
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Licentie toewijzen | Licentie-Beheer istrator | Gebruikersbeheerder |
| Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
| Licentie intrekken | Licentie-Beheer istrator | Gebruikersbeheerder |
| Abonnement uitproberen of kopen | Factureringsbeheerder |
Bewaking - Auditlogboeken
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Auditlogboeken lezen | Rapportlezer | Beveiligingslezer Beveiligingsbeheerder |
Bewaking - Aanmeldingen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Aanmeldingslogboeken lezen | Rapportlezer | Beveiligingslezer Beveiligingsbeheerder Globale lezer |
Meervoudige verificatie
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle bestaande app-wachtwoorden verwijderen die zijn gegenereerd door de geselecteerde gebruikers | Beheerder van verificatiebeleid | Verificatie-Beheer istrator |
| Meervoudige verificatie per gebruiker uitschakelen | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |
| MFA per gebruiker inschakelen | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |
| Service-instellingen voor meervoudige verificatie beheren | Beheerder van verificatiebeleid | |
| Bepaalde gebruikers moeten opnieuw contactmethoden opgeven | Verificatie-Beheer istrator | |
| Meervoudige verificatie herstellen op alle onthouden apparaten | Verificatie-Beheer istrator |
MFA-server
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Gebruikers blokkeren/deblokkeren | Beheerder van verificatiebeleid | |
| Accountvergrendeling configureren | Beheerder van verificatiebeleid | |
| Cacheregels configureren | Beheerder van verificatiebeleid | |
| Fraudewaarschuwing configureren | Beheerder van verificatiebeleid | |
| Meldingen configureren | Beheerder van verificatiebeleid | |
| Eenmalige toegang configureren | Beheerder van verificatiebeleid | |
| Instellingen voor telefoongesprekken configureren | Beheerder van verificatiebeleid | |
| Providers configureren | Beheerder van verificatiebeleid | |
| Serverinstellingen configureren | Beheerder van verificatiebeleid | |
| Activiteitenrapporten lezen | Globale lezer | |
| Alle configuratie lezen | Globale lezer | |
| Serverstatus lezen | Globale lezer |
Organisatierelaties
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Id-providers beheren | Externe id-provider Beheer istrator | |
| Instellingen beheren | Algemene beheerder | |
| Privacyverklaring en contactpersoon beheren | Algemene beheerder | |
| Alle configuratie lezen | Globale lezer |
Wachtwoord opnieuw instellen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Verificatiemethoden configureren | Beheerder van verificatiebeleid | |
| Aanpassing configureren | Beheerder van verificatiebeleid | |
| Melding configureren | Beheerder van verificatiebeleid | |
| On-premises integratie configureren | Beheerder van verificatiebeleid | |
| Eigenschappen voor wachtwoord opnieuw instellen configureren | Gebruikersbeheerder | Beheerder van verificatiebeleid |
| Registratie configureren | Beheerder van verificatiebeleid | |
| Alle configuratie lezen | Beveiligingsbeheerder | Gebruikersbeheerder |
Privileged Identity Management
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Gebruikers toewijzen aan rollen | Beheerder voor bevoorrechte rollen | |
| Rolinstellingen configureren | Beheerder voor bevoorrechte rollen | |
| Controle-activiteit weergeven | Beveiligingslezer | |
| Rollidmaatschappen weergeven | Beveiligingslezer |
Rollen en beheerders
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Roltoewijzingen beheren | Beheerder voor bevoorrechte rollen | |
| Toegangsbeoordeling lezen van een Microsoft Entra-rol | Beveiligingslezer | Beveiligingsbeheerder Beheerder voor bevoorrechte rollen |
| Alle configuratie lezen | Standaardgebruikersrol |
Beveiliging - Verificatiemethoden
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Verificatiemethoden in- of uitschakelen | Beheerder van verificatiebeleid | |
| Afzonderlijke verificatiemethoden voor gebruikers weergeven, inrichten en beheren | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |
| Wachtwoordbeveiliging configureren | Beveiligingsbeheerder | |
| Slimme vergrendeling configureren | Beveiligingsbeheerder | |
| Alle configuratie lezen | Globale lezer |
Beveiliging - Voorwaardelijke toegang
Beveiliging - Identiteitsbeveiligingsscore
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle configuratie lezen | Beveiligingslezer | Beveiligingsbeheerder |
| Beveiligingsscore lezen | Beveiligingslezer | Beveiligingsbeheerder |
| Gebeurtenisstatus bijwerken | Beveiligingsbeheerder |
Beveiliging - Riskante aanmeldingen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle configuratie lezen | Beveiligingslezer | |
| Riskante aanmeldingen lezen | Beveiligingslezer |
Beveiliging - Gebruikers voor wie wordt aangegeven dat ze risico lopen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle gebeurtenissen sluiten | Beveiligingsbeheerder | |
| Alle configuratie lezen | Beveiligingslezer | |
| Gebruikers voor wie wordt aangegeven dat ze risico lopen, lezen | Beveiligingslezer |
Tijdelijke toegangspas
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Een tijdelijke toegangspas maken, verwijderen of weergeven voor beheerders of leden (behalve zichzelf) | Bevoegde verificatie Beheer istrator | |
| Een tijdelijke toegangspas maken, verwijderen of weergeven voor leden (behalve zichzelf) | Verificatie-Beheer istrator | |
| De details van een tijdelijke toegangspas voor een gebruiker weergeven (zonder de code zelf te lezen) | Globale lezer | |
| Het beleid voor de verificatiemethode van de tijdelijke toegangspas configureren of bijwerken | Beheerder van verificatiebeleid |
Tenant
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Microsoft Entra-id of Azure AD B2C-tenant maken | Maker van tenant | |
| Eigenschappen van Microsoft Entra-tenant bijwerken | Factureringsbeheerder |
Gebruikers
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Gebruiker toevoegen aan directory-rol | Beheerder voor bevoorrechte rollen | |
| Gebruiker toevoegen aan groep | Gebruikersbeheerder | |
| Licentie toewijzen | Licentie-Beheer istrator | Gebruikersbeheerder |
| Gastgebruiker maken | Gastnodiger | Gebruikersbeheerder |
| Uitnodiging voor gastgebruiker opnieuw instellen | Helpdesk-Beheer istrator | Gebruikersbeheerder |
| Gebruiker maken | Gebruikersbeheerder | |
| Gebruikers verwijderen | Gebruikersbeheerder | |
| Vernieuwingstokens van beperkte beheerders ongeldig maken | Gebruikersbeheerder | |
| Vernieuwingstokens van niet-beheerders ongeldig maken | Helpdesk-Beheer istrator | Gebruikersbeheerder |
| Vernieuwingstokens van bevoegde beheerders ongeldig maken | Bevoegde verificatie Beheer istrator | |
| Basisconfiguratie lezen | Standaardgebruikersrol | |
| Wachtwoord opnieuw instellen voor beperkte beheerders | Gebruikersbeheerder | |
| Wachtwoord van niet-beheerders opnieuw instellen | Wachtwoord Beheer istrator | Gebruikersbeheerder |
| Wachtwoord van bevoegde beheerders opnieuw instellen | Bevoegde verificatie Beheer istrator | |
| Licentie intrekken | Licentie-Beheer istrator | Gebruikersbeheerder |
| Alle eigenschappen bijwerken, met uitzondering van User Principal Name | Gebruikersbeheerder | |
| On-premises synchronisatie ingeschakelde eigenschap bijwerken | Hybride identiteit Beheer istrator | |
| User Principal Name bijwerken voor beperkte beheerders | Gebruikersbeheerder | |
| Eigenschap van User Principal Name bijwerken voor bevoegde beheerders | Bevoegde verificatie Beheer istrator | |
| Gebruikersinstellingen bijwerken - Standaardmachtigingen voor gebruikersrollen | Beheerder voor bevoorrechte rollen | |
| Gebruikersinstellingen bijwerken - Toegang voor gastgebruikers | Beheerder voor bevoorrechte rollen | |
| Verificatiemethoden bijwerken | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |