Rollen met minimale bevoegdheden per taak in Microsoft Entra-id
In dit artikel vindt u de informatie die nodig is om de beheerdersmachtigingen van een gebruiker te beperken door de rollen met minimale bevoegdheden toe te wijzen in Microsoft Entra-id. U vindt taken die zijn ingedeeld op functiegebied en de minst bevoorrechte rol die is vereist om elke taak uit te voeren, samen met aanvullende niet-globale beheerdersrollen die de taak kunnen uitvoeren.
U kunt machtigingen verder beperken door rollen toe te wijzen aan kleinere bereiken of door uw eigen aangepaste rollen te maken. Zie Microsoft Entra-rollen toewijzen in verschillende bereiken of Een aangepaste rol maken en toewijzen in Microsoft Entra-id voor meer informatie.
Toepassingsproxy
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Toepassingsproxy-app configureren | Toepassingsbeheerder | |
Eigenschappen van connectorgroep configureren | Toepassingsbeheerder | |
Toepassingsregistratie maken wanneer de mogelijkheid voor alle gebruikers is uitgeschakeld | Toepassingsontwikkelaar | Cloudtoepassingsbeheerder Toepassingsbeheerder |
Connectorgroep maken | Toepassingsbeheerder | |
Connectorgroep verwijderen | Toepassingsbeheerder | |
Toepassingsproxy uitschakelen | Toepassingsbeheerder | |
Connectorservice downloaden | Toepassingsbeheerder | |
Alle configuratie lezen | Toepassingsbeheerder |
Externe identiteiten/B2C
Notitie
Globale beheerders van Azure AD B2C hebben niet dezelfde machtigingen als globale beheerders van Microsoft Entra. Als u azure AD B2C-bevoegdheden voor globale beheerders hebt, moet u ervoor zorgen dat u zich in een Azure AD B2C-directory bevindt en niet in een Microsoft Entra-directory.
Huisstijl van bedrijf
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Huisstijl van bedrijf configureren | Huisstijlbeheerder van organisatie | |
Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Verbinden
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Passthrough-verificatie | Hybride identiteitsbeheerder | |
Alle configuratie lezen | Globale lezer | Hybride identiteitsbeheerder |
Naadloze eenmalige aanmelding | Hybride identiteitsbeheerder |
Verbinding maken met synchronisatie
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
On-premises adreslijstsynchronisatie beheren | Hybride identiteitsbeheerder |
Cloudinrichting
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Passthrough-verificatie | Hybride identiteitsbeheerder | |
Alle configuratie lezen | Globale lezer | Hybride identiteitsbeheerder |
Naadloze eenmalige aanmelding | Hybride identiteitsbeheerder |
Verbinding maken met status
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Services toevoegen of verwijderen | Eigenaar | |
Fixes toepassen op synchronisatiefout | Donateur | Eigenaar |
Meldingen configureren | Donateur | Eigenaar |
Instellingen configureren | Eigenaar | |
Synchronisatiemeldingen configureren | Donateur | Eigenaar |
ADFS-beveiligingsrapporten lezen | Beveiligingslezer | Donateur Eigenaar |
Alle configuratie lezen | Lezer | Donateur Eigenaar |
Synchronisatiefouten lezen | Lezer | Donateur Eigenaar |
Synchronisatieservices lezen | Lezer | Donateur Eigenaar |
Metrische gegevens en waarschuwingen weergeven | Lezer | Donateur Eigenaar |
Metrische gegevens en waarschuwingen weergeven | Lezer | Donateur Eigenaar |
Metrische gegevens en waarschuwingen van de synchronisatieservice weergeven | Lezer | Donateur Eigenaar |
Aangepaste domeinnamen
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Domeinen beheren | Domeinnaambeheerder | |
Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Domain Services
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Microsoft Entra Domain Services-exemplaar maken | Toepassingsbeheerder Groepsbeheerder Domain Services-inzender |
|
Alle Microsoft Entra Domain Services-taken uitvoeren | AAD DC-beheerdersgroep | |
Alle configuratie lezen | Lezer in Azure-abonnement met AD DS-service |
Apparaten
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Apparaat verwijderen | Cloudapparaatbeheerder | Intune-beheerder |
Apparaat uitschakelen | Cloudapparaatbeheerder | Intune-beheerder |
Apparaat inschakelen | Cloudapparaatbeheerder | Intune-beheerder |
Basisconfiguratie lezen | Standaardgebruikersrol | |
BitLocker-sleutels lezen | Cloudapparaatbeheerder | Helpdeskbeheerder Intune-beheerder Beveiligingsbeheerder Beveiligingslezer |
Bedrijfstoepassingen
Rechtenbeheer
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Resources toevoegen aan een catalogus | Identiteitsbeheerbeheerder | Met rechtenbeheer kunt u deze taak delegeren aan de cataloguseigenaar |
SharePoint Online-sites toevoegen aan catalogus | SharePoint-beheerder |
Groepen
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Licentie toewijzen | Gebruikersbeheerder | |
Groep maken | Groepsbeheerder | Gebruikersbeheerder |
Toegangsbeoordeling van een groep of app maken, bijwerken of verwijderen | Gebruikersbeheerder | |
Verlooptijd van groepen beheren | Gebruikersbeheerder | |
Groepsinstellingen beheren | Groepsbeheerder | Gebruikersbeheerder |
Alle configuratie lezen (met uitzondering van verborgen lidmaatschap) | Adreslijstlezers | Standaardgebruikersrol |
Verborgen lidmaatschap lezen | Groepslid | Groepseigenaar Wachtwoordbeheerder Exchange-beheerder SharePoint-beheerder Teams-beheerder Gebruikersbeheerder |
Lidmaatschap van groepen lezen met verborgen lidmaatschap | Helpdeskbeheerder | Gebruikersbeheerder Teams-beheerder |
Licentie intrekken | Licentiebeheerder | Gebruikersbeheerder |
Dynamische lidmaatschapsgroepen bijwerken | Groepseigenaar | Gebruikersbeheerder |
Groepseigenaren bijwerken | Groepseigenaar | Gebruikersbeheerder |
Groepseigenschappen bijwerken | Groepseigenaar | Gebruikersbeheerder |
Groep verwijderen | Groepsbeheerder | Gebruikersbeheerder |
Licenties
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Licentie toewijzen | Licentiebeheerder | Gebruikersbeheerder |
Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Licentie intrekken | Licentiebeheerder | Gebruikersbeheerder |
Abonnement proberen of kopen | Factureringsbeheerder |
Microsoft Entra Health
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Scenariobewakingssignalen weergeven | Rapportlezer | Beveiligingslezer Beveiligingsoperator Beveiligingsbeheerder Helpdeskbeheerder Globale lezer |
Microsoft Entra ID Protection
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Waarschuwingsmeldingen configureren | Beveiligingsbeheerder | |
MFA-beleid configureren en in- of uitschakelen | Beveiligingsbeheerder | |
Beleid voor aanmeldingsrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
Beleid voor gebruikersrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
Wekelijkse samenvattingen configureren | Beveiligingsbeheerder | |
Alle risicodetecties negeren | Beveiligingsbeheerder | |
Beveiligingsprobleem oplossen of negeren | Beveiligingsbeheerder | |
Alle configuratie lezen | Beveiligingslezer | |
Alle risicodetecties lezen | Beveiligingslezer | |
Beveiligingsproblemen lezen | Beveiligingslezer |
Bewaking en status - Auditlogboeken
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Auditlogboeken lezen | Rapportlezer | Beveiligingslezer Beveiligingsbeheerder |
Bewaking en status - Aanmeldingslogboeken
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Aanmeldingslogboeken lezen | Rapportlezer | Beveiligingslezer Beveiligingsbeheerder Globale lezer |
Bewaking en status - Logboeken inrichten
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Aanmeldingslogboeken lezen | Rapportlezer | Beveiligingslezer Beveiligingsbeheerder Globale lezer Beveiligingsbeheerder Beveiligingsoperator Toepassingsbeheerder Cloudtoepassingsbeheerder |
Bewaking en status - Aanbevelingen
Meervoudige verificatie
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle bestaande app-wachtwoorden verwijderen die zijn gegenereerd door de geselecteerde gebruikers | Verificatiebeleidsbeheerder | Verificatiebeheerder |
MFA per gebruiker uitschakelen | Verificatiebeheerder | Beheerder van bevoegde verificatie |
MFA per gebruiker inschakelen | Verificatiebeheerder | Beheerder van bevoegde verificatie |
MFA-service-instellingen beheren | Verificatiebeleidsbeheerder | |
Vereisen dat geselecteerde gebruikers contactmethoden opnieuw opgeven | Verificatiebeheerder | |
Meervoudige verificatie herstellen op alle onthouden apparaten | Verificatiebeheerder |
MFA-server
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Gebruikers blokkeren/deblokkeren | Verificatiebeleidsbeheerder | |
Accountvergrendeling configureren | Verificatiebeleidsbeheerder | |
Regels voor opslaan in cache configureren | Verificatiebeleidsbeheerder | |
Fraudewaarschuwing configureren | Verificatiebeleidsbeheerder | |
Meldingen configureren | Verificatiebeleidsbeheerder | |
Eenmalige bypass configureren | Verificatiebeleidsbeheerder | |
Instellingen voor telefoongesprekken configureren | Verificatiebeleidsbeheerder | |
Providers configureren | Verificatiebeleidsbeheerder | |
Serverinstellingen configureren | Verificatiebeleidsbeheerder | |
Activiteitenrapport lezen | Globale lezer | |
Alle configuratie lezen | Globale lezer | |
Serverstatus lezen | Globale lezer |
Organisatierelaties
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Id-providers beheren | Beheerder van externe id-provider | |
Alle configuratie lezen | Globale lezer |
Wachtwoord opnieuw instellen
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Verificatiemethoden configureren | Verificatiebeleidsbeheerder | |
Aanpassing configureren | Verificatiebeleidsbeheerder | |
Melding configureren | Verificatiebeleidsbeheerder | |
On-premises integratie configureren | Verificatiebeleidsbeheerder | |
Eigenschappen voor wachtwoordherstel configureren | Gebruikersbeheerder | Verificatiebeleidsbeheerder |
Registratie configureren | Verificatiebeleidsbeheerder | |
Alle configuratie lezen | Beveiligingsbeheerder | Gebruikersbeheerder |
Machtigingenbeheer
Wat is Microsoft Entra-machtigingsbeheer
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Onboarding van tenants | Beheerder van machtigingenbeheer | |
Cloudomgevingen onboarden | Beheerder van machtigingenbeheer | |
Machtigingen toewijzen in Microsoft Entra-machtigingsbeheer | Beheerder van machtigingenbeheer | |
Proefabonnement starten en Microsoft Entra-machtigingsbeheer licenties kopen | Factureringsbeheerder |
Privileged Identity Management
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Gebruikers toewijzen aan rollen | Beheerder van bevoorrechte rol | |
Rolinstellingen configureren | Beheerder van bevoorrechte rol | |
Controleactiviteit weergeven | Beveiligingslezer | |
Rollidmaatschappen weergeven | Beveiligingslezer |
Rollen en beheerders
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Roltoewijzingen beheren | Beheerder van bevoorrechte rol | |
Toegangsbeoordeling lezen van een Microsoft Entra-rol | Beveiligingslezer | Beveiligingsbeheerder Beheerder van bevoorrechte rol |
Alle configuratie lezen | Standaardgebruikersrol |
Beveiliging - Verificatiemethoden
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Verificatiemethoden in- of uitschakelen | Verificatiebeleidsbeheerder | |
Afzonderlijke verificatiemethoden voor gebruikers weergeven, inrichten en beheren | Verificatiebeheerder | Beheerder van bevoegde verificatie |
Wachtwoordbeveiliging configureren | Beveiligingsbeheerder | |
Slimme vergrendeling configureren | Beveiligingsbeheerder | |
Alle configuratie lezen | Globale lezer |
Beveiliging - Voorwaardelijke toegang
Beveiliging - Identiteitsbeveiligingsscore
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle configuratie lezen | Beveiligingslezer | Beveiligingsbeheerder |
Beveiligingsscore lezen | Beveiligingslezer | Beveiligingsbeheerder |
Gebeurtenisstatus bijwerken | Beveiligingsbeheerder |
Beveiliging - Riskante aanmeldingen
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle configuratie lezen | Beveiligingslezer | |
Riskante aanmeldingen lezen | Beveiligingslezer |
Beveiliging : gebruikers met een vlag voor risico
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle gebeurtenissen sluiten | Beveiligingsbeheerder | |
Alle configuratie lezen | Beveiligingslezer | |
Lees gebruikers met een vlag voor risico | Beveiligingslezer |
Tijdelijke toegangspas
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Een tijdelijke toegangspas maken, verwijderen of weergeven voor beheerders of leden (behalve zichzelf) | Beheerder van bevoegde verificatie | |
Een tijdelijke toegangspas maken, verwijderen of weergeven voor leden (met uitzondering van zichzelf) | Verificatiebeheerder | |
Bekijk de details van een tijdelijke toegangspas voor een gebruiker (zonder de code zelf te lezen) | Globale lezer | |
Het beleid voor de verificatiemethode voor tijdelijke toegangspas configureren of bijwerken | Verificatiebeleidsbeheerder |
Huurder
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Microsoft Entra-id of Azure AD B2C-tenant maken | Maker van tenant | |
Eigenschappen van Microsoft Entra-tenant bijwerken | Factureringsbeheerder | |
Privacyverklaring en contactpersoon beheren | Factureringsbeheerder |
Gebruikers
Taak | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Gebruiker toevoegen aan directoryrol | Beheerder van bevoorrechte rol | |
Gebruiker toevoegen aan groep | Gebruikersbeheerder | |
Licentie toewijzen | Licentiebeheerder | Gebruikersbeheerder |
Gastgebruiker maken | Gastnodiger | Gebruikersbeheerder |
Uitnodiging voor gastgebruiker opnieuw instellen | Helpdeskbeheerder | Gebruikersbeheerder |
Gebruiker maken | Gebruikersbeheerder | |
Gebruikers verwijderen | Gebruikersbeheerder | |
Vernieuwingstokens van beperkte beheerders ongeldig maken | Gebruikersbeheerder | |
Vernieuwingstokens van niet-beheerders ongeldig maken | Helpdeskbeheerder | Gebruikersbeheerder |
Vernieuwingstokens van bevoegde beheerders ongeldig maken | Beheerder van bevoegde verificatie | |
Basisconfiguratie lezen | Standaardgebruikersrol | |
Wachtwoord opnieuw instellen voor beperkte beheerders | Gebruikersbeheerder | |
Wachtwoord van niet-beheerders opnieuw instellen | Wachtwoordbeheerder | Gebruikersbeheerder |
Wachtwoord van bevoegde beheerders opnieuw instellen | Beheerder van bevoegde verificatie | |
Licentie intrekken | Licentiebeheerder | Gebruikersbeheerder |
Alle eigenschappen bijwerken behalve User Principal Name | Gebruikersbeheerder | |
On-premises synchronisatie ingeschakelde eigenschap bijwerken | Hybride identiteitsbeheerder | |
User Principal Name voor beperkte beheerders bijwerken | Gebruikersbeheerder | |
Eigenschap User Principal Name bijwerken voor bevoegde beheerders | Beheerder van bevoegde verificatie | |
Gebruikersinstellingen bijwerken - Standaardmachtigingen voor gebruikersrollen | Beheerder van bevoorrechte rol | |
Gebruikersinstellingen bijwerken - Toegang voor gastgebruikers | Beheerder van bevoorrechte rol | |
Gebruikersinstellingen bijwerken - Beheercentrum | Globale beheerder | |
Gebruikersinstellingen bijwerken - LinkedIn-accountverbindingen | Globale beheerder | |
Gebruikersinstellingen bijwerken - Gebruiker aangemeld houden weergeven | Globale beheerder | |
Verificatiemethoden bijwerken | Verificatiebeheerder | Beheerder van bevoegde verificatie |