Rollen met minimale bevoegdheden per taak in Microsoft Entra-id

In dit artikel vindt u de informatie die nodig is om de beheerdersmachtigingen van een gebruiker te beperken door de rollen met minimale bevoegdheden toe te wijzen in Microsoft Entra-id. U vindt taken die zijn ingedeeld op functiegebied en de minst bevoorrechte rol die is vereist om elke taak uit te voeren, samen met aanvullende niet-globale beheerdersrollen die de taak kunnen uitvoeren.

U kunt machtigingen verder beperken door rollen toe te wijzen aan kleinere bereiken of door uw eigen aangepaste rollen te maken. Zie Microsoft Entra-rollen toewijzen in verschillende bereiken of Een aangepaste rol maken en toewijzen in Microsoft Entra-id voor meer informatie.

Toepassingsproxy

Taak	Minst bevoorrechte rol	Aanvullende rollen
Toepassingsproxy-app configureren	Toepassingsbeheerder
Eigenschappen van connectorgroep configureren	Toepassingsbeheerder
Toepassingsregistratie maken wanneer de mogelijkheid voor alle gebruikers is uitgeschakeld	Toepassingsontwikkelaar	Cloudtoepassingsbeheerder Toepassingsbeheerder
Connectorgroep maken	Toepassingsbeheerder
Connectorgroep verwijderen	Toepassingsbeheerder
Toepassingsproxy uitschakelen	Toepassingsbeheerder
Connectorservice downloaden	Toepassingsbeheerder
Alle configuratie lezen	Toepassingsbeheerder

Externe identiteiten/B2C

Taak	Minst bevoorrechte rol	Aanvullende rollen
Azure AD B2C-directory's maken	Alle niet-gastgebruikers
Bedrijfstoepassingen maken	Cloudtoepassingsbeheerder	Toepassingsbeheerder
B2C-beleid maken, lezen, bijwerken en verwijderen	B2C IEF-beleidsbeheerder
Id-providers maken, lezen, bijwerken en verwijderen	Beheerder van externe id-provider
Gebruikersstromen voor wachtwoordherstel maken, lezen, bijwerken en verwijderen	Beheerder van externe id-gebruikersstroom
Gebruikersstromen voor het bewerken van profielen maken, lezen, bijwerken en verwijderen	Beheerder van externe id-gebruikersstroom
Gebruikersstromen voor aanmelden maken, lezen, bijwerken en verwijderen	Beheerder van externe id-gebruikersstroom
Gebruikersstroom voor registratie maken, lezen, bijwerken en verwijderen	Beheerder van externe id-gebruikersstroom
Gebruikerskenmerken maken, lezen, bijwerken en verwijderen	Kenmerkbeheerder voor externe id-gebruikersstroom
Gebruikers maken, lezen, bijwerken en verwijderen	Gebruikersbeheerder
B2B-instellingen voor externe samenwerking configureren - Toegang van gastgebruikers	Beheerder van bevoorrechte rol
B2B-instellingen voor externe samenwerking configureren - Instellingen voor gastnodiging	Gastnodiger	Beheerder van externe id-gebruikersstroom
B2B-instellingen voor externe samenwerking configureren - Instellingen voor extern gebruikersverlof	Beheerder van externe id-provider
B2B-instellingen voor externe samenwerking configureren - Samenwerkingsbeperkingen	Globale beheerder
Alle configuratie lezen	Globale lezer
B2C-auditlogboeken lezen	Globale lezer

Notitie

Globale beheerders van Azure AD B2C hebben niet dezelfde machtigingen als globale beheerders van Microsoft Entra. Als u azure AD B2C-bevoegdheden voor globale beheerders hebt, moet u ervoor zorgen dat u zich in een Azure AD B2C-directory bevindt en niet in een Microsoft Entra-directory.

Huisstijl van bedrijf

Taak	Minst bevoorrechte rol	Aanvullende rollen
Huisstijl van bedrijf configureren	Huisstijlbeheerder van organisatie
Alle configuratie lezen	Adreslijstlezers	Standaardgebruikersrol

Verbinden

Taak	Minst bevoorrechte rol	Aanvullende rollen
Passthrough-verificatie	Hybride identiteitsbeheerder
Alle configuratie lezen	Globale lezer	Hybride identiteitsbeheerder
Naadloze eenmalige aanmelding	Hybride identiteitsbeheerder

Verbinding maken met synchronisatie

Taak	Minst bevoorrechte rol	Aanvullende rollen
On-premises adreslijstsynchronisatie beheren	Hybride identiteitsbeheerder

Cloudinrichting

Taak	Minst bevoorrechte rol	Aanvullende rollen
Passthrough-verificatie	Hybride identiteitsbeheerder
Alle configuratie lezen	Globale lezer	Hybride identiteitsbeheerder
Naadloze eenmalige aanmelding	Hybride identiteitsbeheerder

Verbinding maken met status

Taak	Minst bevoorrechte rol	Aanvullende rollen
Services toevoegen of verwijderen	Eigenaar
Fixes toepassen op synchronisatiefout	Donateur	Eigenaar
Meldingen configureren	Donateur	Eigenaar
Instellingen configureren	Eigenaar
Synchronisatiemeldingen configureren	Donateur	Eigenaar
ADFS-beveiligingsrapporten lezen	Beveiligingslezer	Donateur Eigenaar
Alle configuratie lezen	Lezer	Donateur Eigenaar
Synchronisatiefouten lezen	Lezer	Donateur Eigenaar
Synchronisatieservices lezen	Lezer	Donateur Eigenaar
Metrische gegevens en waarschuwingen weergeven	Lezer	Donateur Eigenaar
Metrische gegevens en waarschuwingen weergeven	Lezer	Donateur Eigenaar
Metrische gegevens en waarschuwingen van de synchronisatieservice weergeven	Lezer	Donateur Eigenaar

Aangepaste domeinnamen

Taak	Minst bevoorrechte rol	Aanvullende rollen
Domeinen beheren	Domeinnaambeheerder
Alle configuratie lezen	Adreslijstlezers	Standaardgebruikersrol

Domain Services

Taak	Minst bevoorrechte rol	Aanvullende rollen
Microsoft Entra Domain Services-exemplaar maken	Toepassingsbeheerder Groepsbeheerder Domain Services-inzender
Alle Microsoft Entra Domain Services-taken uitvoeren	AAD DC-beheerdersgroep
Alle configuratie lezen	Lezer in Azure-abonnement met AD DS-service

Apparaten

Taak	Minst bevoorrechte rol	Aanvullende rollen
Apparaat verwijderen	Cloudapparaatbeheerder	Intune-beheerder
Apparaat uitschakelen	Cloudapparaatbeheerder	Intune-beheerder
Apparaat inschakelen	Cloudapparaatbeheerder	Intune-beheerder
Basisconfiguratie lezen	Standaardgebruikersrol
BitLocker-sleutels lezen	Cloudapparaatbeheerder	Helpdeskbeheerder Intune-beheerder Beveiligingsbeheerder Beveiligingslezer

Bedrijfstoepassingen

Taak	Minst bevoorrechte rol	Aanvullende rollen
Toestemming geven voor gedelegeerde machtigingen	Cloudtoepassingsbeheerder	Toepassingsbeheerder
Toestemming voor toepassingsmachtigingen, niet inclusief Microsoft Graph	Cloudtoepassingsbeheerder	Toepassingsbeheerder
Toestemming voor toepassingsmachtigingen voor Microsoft Graph	Beheerder van bevoorrechte rol
Toestemming geven aan toepassingen die toegang hebben tot eigen gegevens	Standaardgebruikersrol
Bedrijfstoepassing maken	Cloudtoepassingsbeheerder	Toepassingsbeheerder
Toepassingsproxy beheren	Toepassingsbeheerder
Toegangsbeoordeling lezen van een groep of app	Beveiligingslezer	Beveiligingsbeheerder Gebruikersbeheerder
Alle configuratie lezen	Standaardgebruikersrol
Ondernemingstoepassingstoewijzingen bijwerken	Eigenaar van bedrijfstoepassing	Cloudtoepassingsbeheerder Toepassingsbeheerder Gebruikersbeheerder
Eigenaren van bedrijfstoepassingen bijwerken	Eigenaar van bedrijfstoepassing	Cloudtoepassingsbeheerder Toepassingsbeheerder
Bedrijfstoepassingseigenschappen bijwerken	Eigenaar van bedrijfstoepassing	Cloudtoepassingsbeheerder Toepassingsbeheerder
Enterprise Application Provisioning bijwerken	Eigenaar van bedrijfstoepassing	Cloudtoepassingsbeheerder Toepassingsbeheerder
Selfservice voor bedrijfstoepassingen bijwerken	Eigenaar van bedrijfstoepassing	Cloudtoepassingsbeheerder Toepassingsbeheerder
Eigenschappen voor eenmalige aanmelding bijwerken	Eigenaar van bedrijfstoepassing	Cloudtoepassingsbeheerder Toepassingsbeheerder
Aangepaste verificatie-extensies maken en wijzigen	Verificatie-uitbreidbaarheidsbeheerder	Toepassingsbeheerder

Rechtenbeheer

Taak	Minst bevoorrechte rol	Aanvullende rollen
Resources toevoegen aan een catalogus	Identiteitsbeheerbeheerder	Met rechtenbeheer kunt u deze taak delegeren aan de cataloguseigenaar
SharePoint Online-sites toevoegen aan catalogus	SharePoint-beheerder

Groepen

Taak	Minst bevoorrechte rol	Aanvullende rollen
Licentie toewijzen	Gebruikersbeheerder
Groep maken	Groepsbeheerder	Gebruikersbeheerder
Toegangsbeoordeling van een groep of app maken, bijwerken of verwijderen	Gebruikersbeheerder
Verlooptijd van groepen beheren	Gebruikersbeheerder
Groepsinstellingen beheren	Groepsbeheerder	Gebruikersbeheerder
Alle configuratie lezen (met uitzondering van verborgen lidmaatschap)	Adreslijstlezers	Standaardgebruikersrol
Verborgen lidmaatschap lezen	Groepslid	Groepseigenaar Wachtwoordbeheerder Exchange-beheerder SharePoint-beheerder Teams-beheerder Gebruikersbeheerder
Lidmaatschap van groepen lezen met verborgen lidmaatschap	Helpdeskbeheerder	Gebruikersbeheerder Teams-beheerder
Licentie intrekken	Licentiebeheerder	Gebruikersbeheerder
Dynamische lidmaatschapsgroepen bijwerken	Groepseigenaar	Gebruikersbeheerder
Groepseigenaren bijwerken	Groepseigenaar	Gebruikersbeheerder
Groepseigenschappen bijwerken	Groepseigenaar	Gebruikersbeheerder
Groep verwijderen	Groepsbeheerder	Gebruikersbeheerder

Licenties

Taak	Minst bevoorrechte rol	Aanvullende rollen
Licentie toewijzen	Licentiebeheerder	Gebruikersbeheerder
Alle configuratie lezen	Adreslijstlezers	Standaardgebruikersrol
Licentie intrekken	Licentiebeheerder	Gebruikersbeheerder
Abonnement proberen of kopen	Factureringsbeheerder

Microsoft Entra Health

Taak	Minst bevoorrechte rol	Aanvullende rollen
Scenariobewakingssignalen weergeven	Rapportlezer	Beveiligingslezer Beveiligingsoperator Beveiligingsbeheerder Helpdeskbeheerder Globale lezer

Microsoft Entra ID Protection

Taak	Minst bevoorrechte rol	Aanvullende rollen
Waarschuwingsmeldingen configureren	Beveiligingsbeheerder
MFA-beleid configureren en in- of uitschakelen	Beveiligingsbeheerder
Beleid voor aanmeldingsrisico's configureren en in- of uitschakelen	Beveiligingsbeheerder
Beleid voor gebruikersrisico's configureren en in- of uitschakelen	Beveiligingsbeheerder
Wekelijkse samenvattingen configureren	Beveiligingsbeheerder
Alle risicodetecties negeren	Beveiligingsbeheerder
Beveiligingsprobleem oplossen of negeren	Beveiligingsbeheerder
Alle configuratie lezen	Beveiligingslezer
Alle risicodetecties lezen	Beveiligingslezer
Beveiligingsproblemen lezen	Beveiligingslezer

Bewaking en status - Auditlogboeken

Taak	Minst bevoorrechte rol	Aanvullende rollen
Auditlogboeken lezen	Rapportlezer	Beveiligingslezer Beveiligingsbeheerder

Bewaking en status - Aanmeldingslogboeken

Taak	Minst bevoorrechte rol	Aanvullende rollen
Aanmeldingslogboeken lezen	Rapportlezer	Beveiligingslezer Beveiligingsbeheerder Globale lezer

Bewaking en status - Logboeken inrichten

Taak	Minst bevoorrechte rol	Aanvullende rollen
Aanmeldingslogboeken lezen	Rapportlezer	Beveiligingslezer Beveiligingsbeheerder Globale lezer Beveiligingsbeheerder Beveiligingsoperator Toepassingsbeheerder Cloudtoepassingsbeheerder

Bewaking en status - Aanbevelingen

Taak	Minst bevoorrechte rol	Aanvullende rollen
Aanbevelingen lezen	Rapportlezer	Beveiligingslezer Globale lezer Helpdeskbeheerder Serviceondersteuningsbeheerder Gebruikersbeheerder
Aanbevelingen bijwerken	Verificatiebeleidsbeheerder	Toepassingsbeheerder Verificatiebeheerder Cloudtoepassingsbeheerder Beheerder voor voorwaardelijke toegang Exchange-beheerder Hybride identiteitsbeheerder Identiteitsbeheerbeheerder Beheerder van bevoorrechte rol Beveiligingsbeheerder Beveiligingsoperator SharePoint-beheerder

Meervoudige verificatie

Taak	Minst bevoorrechte rol	Aanvullende rollen
Alle bestaande app-wachtwoorden verwijderen die zijn gegenereerd door de geselecteerde gebruikers	Verificatiebeleidsbeheerder	Verificatiebeheerder
MFA per gebruiker uitschakelen	Verificatiebeheerder	Beheerder van bevoegde verificatie
MFA per gebruiker inschakelen	Verificatiebeheerder	Beheerder van bevoegde verificatie
MFA-service-instellingen beheren	Verificatiebeleidsbeheerder
Vereisen dat geselecteerde gebruikers contactmethoden opnieuw opgeven	Verificatiebeheerder
Meervoudige verificatie herstellen op alle onthouden apparaten	Verificatiebeheerder

MFA-server

Taak	Minst bevoorrechte rol	Aanvullende rollen
Gebruikers blokkeren/deblokkeren	Verificatiebeleidsbeheerder
Accountvergrendeling configureren	Verificatiebeleidsbeheerder
Regels voor opslaan in cache configureren	Verificatiebeleidsbeheerder
Fraudewaarschuwing configureren	Verificatiebeleidsbeheerder
Meldingen configureren	Verificatiebeleidsbeheerder
Eenmalige bypass configureren	Verificatiebeleidsbeheerder
Instellingen voor telefoongesprekken configureren	Verificatiebeleidsbeheerder
Providers configureren	Verificatiebeleidsbeheerder
Serverinstellingen configureren	Verificatiebeleidsbeheerder
Activiteitenrapport lezen	Globale lezer
Alle configuratie lezen	Globale lezer
Serverstatus lezen	Globale lezer

Organisatierelaties

Taak	Minst bevoorrechte rol	Aanvullende rollen
Id-providers beheren	Beheerder van externe id-provider
Alle configuratie lezen	Globale lezer

Wachtwoord opnieuw instellen

Taak	Minst bevoorrechte rol	Aanvullende rollen
Verificatiemethoden configureren	Verificatiebeleidsbeheerder
Aanpassing configureren	Verificatiebeleidsbeheerder
Melding configureren	Verificatiebeleidsbeheerder
On-premises integratie configureren	Verificatiebeleidsbeheerder
Eigenschappen voor wachtwoordherstel configureren	Gebruikersbeheerder	Verificatiebeleidsbeheerder
Registratie configureren	Verificatiebeleidsbeheerder
Alle configuratie lezen	Beveiligingsbeheerder	Gebruikersbeheerder

Machtigingenbeheer

Wat is Microsoft Entra-machtigingsbeheer

Taak	Minst bevoorrechte rol	Aanvullende rollen
Onboarding van tenants	Beheerder van machtigingenbeheer
Cloudomgevingen onboarden	Beheerder van machtigingenbeheer
Machtigingen toewijzen in Microsoft Entra-machtigingsbeheer	Beheerder van machtigingenbeheer
Proefabonnement starten en Microsoft Entra-machtigingsbeheer licenties kopen	Factureringsbeheerder

Privileged Identity Management

Taak	Minst bevoorrechte rol	Aanvullende rollen
Gebruikers toewijzen aan rollen	Beheerder van bevoorrechte rol
Rolinstellingen configureren	Beheerder van bevoorrechte rol
Controleactiviteit weergeven	Beveiligingslezer
Rollidmaatschappen weergeven	Beveiligingslezer

Rollen en beheerders

Taak	Minst bevoorrechte rol	Aanvullende rollen
Roltoewijzingen beheren	Beheerder van bevoorrechte rol
Toegangsbeoordeling lezen van een Microsoft Entra-rol	Beveiligingslezer	Beveiligingsbeheerder Beheerder van bevoorrechte rol
Alle configuratie lezen	Standaardgebruikersrol

Beveiliging - Verificatiemethoden

Taak	Minst bevoorrechte rol	Aanvullende rollen
Verificatiemethoden in- of uitschakelen	Verificatiebeleidsbeheerder
Afzonderlijke verificatiemethoden voor gebruikers weergeven, inrichten en beheren	Verificatiebeheerder	Beheerder van bevoegde verificatie
Wachtwoordbeveiliging configureren	Beveiligingsbeheerder
Slimme vergrendeling configureren	Beveiligingsbeheerder
Alle configuratie lezen	Globale lezer

Beveiliging - Voorwaardelijke toegang

Taak	Minst bevoorrechte rol	Aanvullende rollen
Vertrouwde IP-adressen van MFA configureren	Beheerder voor voorwaardelijke toegang
Aangepaste besturingselementen maken	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Benoemde locaties maken	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Beleid maken	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Gebruiksvoorwaarden maken	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
VPN-connectiviteitscertificaat maken	Cloudtoepassingsbeheerder	Toepassingsbeheerder
Klassiek beleid verwijderen	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Gebruiksvoorwaarden verwijderen	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
VPN-connectiviteitscertificaat verwijderen	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Klassiek beleid uitschakelen	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Aangepaste besturingselementen beheren	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Benoemde locaties beheren	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Gebruiksvoorwaarden beheren	Beheerder voor voorwaardelijke toegang	Beveiligingsbeheerder
Alle configuratie lezen	Standaardgebruikersrol
Benoemde locaties lezen	Standaardgebruikersrol

Beveiliging - Identiteitsbeveiligingsscore

Taak	Minst bevoorrechte rol	Aanvullende rollen
Alle configuratie lezen	Beveiligingslezer	Beveiligingsbeheerder
Beveiligingsscore lezen	Beveiligingslezer	Beveiligingsbeheerder
Gebeurtenisstatus bijwerken	Beveiligingsbeheerder

Beveiliging - Riskante aanmeldingen

Taak	Minst bevoorrechte rol	Aanvullende rollen
Alle configuratie lezen	Beveiligingslezer
Riskante aanmeldingen lezen	Beveiligingslezer

Beveiliging : gebruikers met een vlag voor risico

Taak	Minst bevoorrechte rol	Aanvullende rollen
Alle gebeurtenissen sluiten	Beveiligingsbeheerder
Alle configuratie lezen	Beveiligingslezer
Lees gebruikers met een vlag voor risico	Beveiligingslezer

Tijdelijke toegangspas

Taak	Minst bevoorrechte rol	Aanvullende rollen
Een tijdelijke toegangspas maken, verwijderen of weergeven voor beheerders of leden (behalve zichzelf)	Beheerder van bevoegde verificatie
Een tijdelijke toegangspas maken, verwijderen of weergeven voor leden (met uitzondering van zichzelf)	Verificatiebeheerder
Bekijk de details van een tijdelijke toegangspas voor een gebruiker (zonder de code zelf te lezen)	Globale lezer
Het beleid voor de verificatiemethode voor tijdelijke toegangspas configureren of bijwerken	Verificatiebeleidsbeheerder

Huurder

Taak	Minst bevoorrechte rol	Aanvullende rollen
Microsoft Entra-id of Azure AD B2C-tenant maken	Maker van tenant
Eigenschappen van Microsoft Entra-tenant bijwerken	Factureringsbeheerder
Privacyverklaring en contactpersoon beheren	Factureringsbeheerder

Gebruikers

Taak	Minst bevoorrechte rol	Aanvullende rollen
Gebruiker toevoegen aan directoryrol	Beheerder van bevoorrechte rol
Gebruiker toevoegen aan groep	Gebruikersbeheerder
Licentie toewijzen	Licentiebeheerder	Gebruikersbeheerder
Gastgebruiker maken	Gastnodiger	Gebruikersbeheerder
Uitnodiging voor gastgebruiker opnieuw instellen	Helpdeskbeheerder	Gebruikersbeheerder
Gebruiker maken	Gebruikersbeheerder
Gebruikers verwijderen	Gebruikersbeheerder
Vernieuwingstokens van beperkte beheerders ongeldig maken	Gebruikersbeheerder
Vernieuwingstokens van niet-beheerders ongeldig maken	Helpdeskbeheerder	Gebruikersbeheerder
Vernieuwingstokens van bevoegde beheerders ongeldig maken	Beheerder van bevoegde verificatie
Basisconfiguratie lezen	Standaardgebruikersrol
Wachtwoord opnieuw instellen voor beperkte beheerders	Gebruikersbeheerder
Wachtwoord van niet-beheerders opnieuw instellen	Wachtwoordbeheerder	Gebruikersbeheerder
Wachtwoord van bevoegde beheerders opnieuw instellen	Beheerder van bevoegde verificatie
Licentie intrekken	Licentiebeheerder	Gebruikersbeheerder
Alle eigenschappen bijwerken behalve User Principal Name	Gebruikersbeheerder
On-premises synchronisatie ingeschakelde eigenschap bijwerken	Hybride identiteitsbeheerder
User Principal Name voor beperkte beheerders bijwerken	Gebruikersbeheerder
Eigenschap User Principal Name bijwerken voor bevoegde beheerders	Beheerder van bevoegde verificatie
Gebruikersinstellingen bijwerken - Standaardmachtigingen voor gebruikersrollen	Beheerder van bevoorrechte rol
Gebruikersinstellingen bijwerken - Toegang voor gastgebruikers	Beheerder van bevoorrechte rol
Gebruikersinstellingen bijwerken - Beheercentrum	Globale beheerder
Gebruikersinstellingen bijwerken - LinkedIn-accountverbindingen	Globale beheerder
Gebruikersinstellingen bijwerken - Gebruiker aangemeld houden weergeven	Globale beheerder
Verificatiemethoden bijwerken	Verificatiebeheerder	Beheerder van bevoegde verificatie

Steunen

Taak	Minst bevoorrechte rol	Aanvullende rollen
Ondersteuningsticket indienen	Serviceondersteuningsbeheerder	Toepassingsbeheerder Azure Information Protection-beheerder Factureringsbeheerder Cloudtoepassingsbeheerder Nalevingsbeheerder Dynamics 365 Administrator Desktop Analytics-beheerder Exchange-beheerder Intune-beheerder Wachtwoordbeheerder Infrastructuurbeheerder Beheerder van bevoegde verificatie SharePoint-beheerder Skype voor Bedrijven administrator Teams-beheerder Teams-communicatiebeheerder Gebruikersbeheerder

Volgende stappen

• Microsoft Entra-rollen toewijzen aan gebruikers
• Microsoft Entra-rollen toewijzen in verschillende bereiken
• Een aangepaste rol maken en toewijzen in Microsoft Entra-id
• Ingebouwde Microsoft Entra-rollen