Role o najniższych uprawnieniach według zadań w usłudze Azure Active Directory

W tym artykule znajdziesz informacje potrzebne do ograniczenia uprawnień administratora użytkownika, przypisując role o najniższych uprawnieniach uprzywilejowanych w usłudze Azure Active Directory (Azure AD). Zadania uporządkowane według obszaru funkcji i najmniej uprzywilejowanej roli wymaganej do wykonania każdego zadania oraz dodatkowe role administratora niezwiązanego z rolą administratora globalnego, które mogą wykonać zadanie.

Możesz dodatkowo ograniczyć uprawnienia, przypisując role w mniejszych zakresach lub tworząc własne role niestandardowe. Aby uzyskać więcej informacji, zobacz Przypisywanie ról Azure AD w różnych zakresach lub Tworzenie i przypisywanie roli niestandardowej.

Serwer proxy aplikacji

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Konfigurowanie aplikacji serwera proxy aplikacji Administrator aplikacji
Konfigurowanie właściwości grupy łączników Administrator aplikacji
Tworzenie rejestracji aplikacji, gdy możliwość jest wyłączona dla wszystkich użytkowników Deweloper aplikacji Administrator aplikacji w chmurze
Tworzenie grupy łączników Administrator aplikacji
Usuwanie grupy łączników Administrator aplikacji
Wyłączanie serwera proxy aplikacji Administrator aplikacji
Pobieranie usługi łącznika Administrator aplikacji
Odczytywanie całej konfiguracji Administrator aplikacji

Tożsamości zewnętrzne/B2C

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Tworzenie katalogów Azure AD B2C Wszyscy użytkownicy niebędący gośćmi
Tworzenie aplikacji B2C Administrator globalny
Tworzenie aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze Administrator aplikacji
Tworzenie, odczytywanie, aktualizowanie i usuwanie zasad B2C Administrator zasad IEF B2C
Tworzenie, odczytywanie, aktualizowanie i usuwanie dostawców tożsamości Administrator zewnętrznego dostawcy tożsamości
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływów użytkownika resetowania haseł Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływów użytkownika do edycji profilu Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływów użytkowników logowania Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływu użytkownika rejestracji Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie atrybutów użytkownika Administrator atrybutu przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie użytkowników Administrator użytkowników
Konfigurowanie ustawień współpracy zewnętrznej B2B Administrator globalny
Odczytywanie całej konfiguracji Czytelnik globalny
Odczytywanie dzienników inspekcji B2C Czytelnik globalny

Uwaga

Azure AD administratorzy globalni B2C nie mają tych samych uprawnień co administratorzy globalni Azure AD. Jeśli masz uprawnienia administratora globalnego usługi B2C Azure AD, upewnij się, że jesteś w katalogu Azure AD B2C, a nie w katalogu Azure AD.

Znakowanie firmowe

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Konfigurowanie oznaczenia marką firmy Administrator globalny
Odczytywanie całej konfiguracji Czytelnicy katalogów Domyślna rola użytkownika

Właściwości firmy

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Konfigurowanie właściwości firmy Administrator globalny

Połącz

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Uwierzytelnianie przekazywane Administrator globalny
Odczytywanie całej konfiguracji Czytelnik globalny Administrator globalny
Bezproblemowe logowanie jednokrotne Administrator globalny

Aprowizowanie w chmurze

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Uwierzytelnianie przekazywane Administrator tożsamości hybrydowej
Odczytywanie całej konfiguracji Czytelnik globalny Administrator tożsamości hybrydowej
Bezproblemowe logowanie jednokrotne Administrator tożsamości hybrydowej

Connect Health

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Dodawanie lub usuwanie usług Właściciel
Stosowanie poprawek do błędu synchronizacji Współautor Właściciel
Konfigurowanie powiadomień Współautor Właściciel
Konfigurowanie ustawień Właściciel
Konfigurowanie powiadomień synchronizacji Współautor Właściciel
Odczytywanie raportów zabezpieczeń usług ADFS Czytelnik zabezpieczeń Właściciel współautora
Odczytywanie całej konfiguracji Czytelnik Właściciel współautora
Błędy synchronizacji odczytu Czytelnik Właściciel współautora
Usługi synchronizacji odczytu Czytelnik Właściciel współautora
Wyświetlanie metryk i alertów Czytelnik Właściciel współautora
Wyświetlanie metryk i alertów Czytelnik Właściciel współautora
Wyświetlanie metryk i alertów usługi synchronizacji Czytelnik Właściciel współautora

Niestandardowe nazwy domen

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Zarządzanie domenami Administrator nazwy domeny
Odczytywanie całej konfiguracji Czytelnicy katalogów Domyślna rola użytkownika

Domain Services

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Tworzenie wystąpienia usług Azure AD Domain Services Współautor usług domenowychadministratorów grup aplikacji
Wykonywanie wszystkich zadań Azure AD Domain Services Grupa Administratorzy kontrolera domeny usługi AAD
Odczytywanie całej konfiguracji Czytelnik w subskrypcji platformy Azure zawierającej usługę AD DS

Urządzenia

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Wyłączanie urządzenia Administrator urządzeń w chmurze
Włączanie urządzenia Administrator urządzeń w chmurze
Odczytywanie podstawowej konfiguracji Domyślna rola użytkownika
Odczytywanie kluczy funkcji BitLocker Czytelnik zabezpieczeń Administrator zabezpieczeńadministratora haseł

Aplikacje dla przedsiębiorstw

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Zgoda na wszystkie delegowane uprawnienia Administrator aplikacji w chmurze Administrator aplikacji
Zgoda na uprawnienia aplikacji, w tym Microsoft Graph Administrator aplikacji w chmurze Administrator aplikacji
Zgoda na uprawnienia aplikacji do Microsoft Graph Administrator ról uprzywilejowanych
Zgoda na dostęp do własnych danych przez aplikacje Domyślna rola użytkownika
Tworzenie aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze Administrator aplikacji
Zarządzanie serwer proxy aplikacji Administrator aplikacji
Zarządzanie ustawieniami użytkownika Administrator globalny
Przegląd dostępu do odczytu grupy lub aplikacji Czytelnik zabezpieczeń Administrator użytkownikówadministratora zabezpieczeń
Odczytywanie całej konfiguracji Domyślna rola użytkownika
Aktualizowanie przypisań aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administratoraplikacji w chmurzeAdministrator użytkowników
Aktualizowanie właścicieli aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurzeAdministrator aplikacji
Aktualizowanie właściwości aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurzeAdministrator aplikacji
Aktualizowanie aprowizacji aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurzeAdministrator aplikacji
Aktualizowanie samoobsługowej aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurzeAdministrator aplikacji
Aktualizowanie właściwości logowania jednokrotnego Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurzeAdministrator aplikacji

Zarządzanie upoważnieniami

Zadanie Rola z najmniejszymi uprawnieniami Dodatkowe role
Dodawanie zasobów do wykazu Administrator ładu tożsamości Za pomocą zarządzania upoważnieniami możesz delegować to zadanie do właściciela wykazu
Dodawanie witryn usługi SharePoint Online do wykazu SharePoint Administrator

Grupy

Zadanie Rola z najmniejszymi uprawnieniami Dodatkowe role
Przypisywanie licencji Administrator użytkowników
Tworzenie grupy: Administrator grup Administrator użytkowników
Tworzenie, aktualizowanie lub usuwanie przeglądu dostępu grupy lub aplikacji Administrator użytkowników
Zarządzanie wygaśnięciem grupy Administrator użytkowników
Zarządzenie ustawieniami grup Administrator grup Administrator użytkowników
Odczytaj całą konfigurację (z wyjątkiem ukrytego członkostwa) Czytelnicy katalogów Domyślna rola użytkownika
Odczytywanie ukrytego członkostwa Członek grupy Administrator hasełwłaściciela grupyAdministrator programu SharePoint Administratoradministratora aplikacji SharePoint Administrator użytkowników aplikacji Teams
Odczytywanie członkostwa w grupach z ukrytym członkostwem Administrator pomocy technicznej Administrator zespołów administratorówużytkowników
Odwoływanie licencji Administrator licencji Administrator użytkowników
Aktualizowanie członkostwa w grupie Właściciel grupy Administrator użytkowników
Aktualizowanie właścicieli grup Właściciel grupy Administrator użytkowników
Aktualizowanie właściwości grupy Właściciel grupy Administrator użytkowników
Usuwanie grupy Administrator grup Administrator użytkowników

Identity Protection

Zadanie Rola z najmniejszymi uprawnieniami Dodatkowe role
Konfigurowanie powiadomień o alertach Administrator zabezpieczeń
Konfigurowanie i włączanie lub wyłączanie zasad uwierzytelniania wieloskładnikowego Administrator zabezpieczeń
Konfigurowanie i włączanie lub wyłączanie zasad ryzyka związanego z logowaniem Administrator zabezpieczeń
Konfigurowanie i włączanie lub wyłączanie zasad ryzyka użytkownika Administrator zabezpieczeń
Konfigurowanie cotygodniowych skrótów Administrator zabezpieczeń
Odrzucanie wszystkich wykryć ryzyka Administrator zabezpieczeń
Naprawianie lub odrzucanie luki w zabezpieczeniach Administrator zabezpieczeń
Odczytaj całą konfigurację Czytelnik zabezpieczeń
Odczytywanie wszystkich wykryć ryzyka Czytelnik zabezpieczeń
Odczytywanie luk w zabezpieczeniach Czytelnik zabezpieczeń

Licencje

Zadanie Rola z najmniejszymi uprawnieniami Dodatkowe role
Przypisywanie licencji Administrator licencji Administrator użytkowników
Odczytaj całą konfigurację Czytelnicy katalogów Domyślna rola użytkownika
Odwoływanie licencji Administrator licencji Administrator użytkowników
Wypróbuj lub kup subskrypcję Administrator rozliczeń

Monitorowanie — dzienniki inspekcji

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Odczytywanie dzienników inspekcji Czytelnik raportów Administrator zabezpieczeń czytelnika zabezpieczeń

Monitorowanie — logowania

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Odczytywanie dzienników logowania Czytelnik raportów Czytelnik zabezpieczeń administrator zabezpieczeń— czytelnik globalny

Uwierzytelnianie wieloskładnikowe

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Usuń wszystkie istniejące hasła aplikacji wygenerowane przez wybranych użytkowników Administrator globalny
Wyłączanie uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników Administrator uwierzytelniania (za pośrednictwem programu PowerShell) Administrator uwierzytelniania uprzywilejowanego (za pośrednictwem programu PowerShell)
Włączanie uwierzytelnianie wieloskładnikowego dla poszczególnych użytkowników Administrator uwierzytelniania (za pośrednictwem programu PowerShell) Administrator uwierzytelniania uprzywilejowanego (za pośrednictwem programu PowerShell)
Zarządzanie ustawieniami usługi MFA Administrator zasad uwierzytelniania
Wymagaj ponownego podania metod kontaktu przez wybranych użytkowników Administrator uwierzytelniania
Przywracanie uwierzytelniania wieloskładnikowego na wszystkich zapamiętowanych urządzeniach Administrator uwierzytelniania

Serwer MFA

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Blokowanie/odblokowywanie użytkowników Administrator zasad uwierzytelniania
Konfigurowanie blokady konta Administrator zasad uwierzytelniania
Konfigurowanie reguł buforowania Administrator zasad uwierzytelniania
Konfigurowanie alertu o oszustwie Administrator zasad uwierzytelniania
Konfigurowanie powiadomień Administrator zasad uwierzytelniania
Konfigurowanie jednorazowego obejścia Administrator zasad uwierzytelniania
Konfigurowanie ustawień połączeń telefonicznych Administrator zasad uwierzytelniania
Konfigurowanie dostawców Administrator zasad uwierzytelniania
Konfigurowanie ustawień serwera Administrator zasad uwierzytelniania
Odczyt raportu aktywności Czytelnik globalny
Odczytywanie całej konfiguracji Czytelnik globalny
Stan serwera odczytu Czytelnik globalny

Relacje w organizacji

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Zarządzanie dostawcami tożsamości Administrator zewnętrznego dostawcy tożsamości
Zarządzanie ustawieniami Administrator globalny
Zarządzanie warunkami użytkowania Administrator globalny
Odczytywanie całej konfiguracji Czytelnik globalny

Resetowanie hasła

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Konfigurowanie metod uwierzytelniania Administrator globalny
Konfigurowanie dostosowywania Administrator globalny
Konfigurowanie powiadomienia Administrator globalny
Konfigurowanie integracji lokalnej Administrator globalny
Konfigurowanie właściwości resetowania hasła Administrator użytkowników Administrator globalny
Konfigurowanie rejestracji Administrator globalny
Odczytywanie całej konfiguracji Administrator zabezpieczeń Administrator użytkowników

Privileged Identity Management

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Przypisywanie użytkowników do ról Administrator ról uprzywilejowanych
Konfigurowanie ustawień roli Administrator ról uprzywilejowanych
Wyświetlanie działania inspekcji Czytelnik zabezpieczeń
Wyświetlanie członkostw w rolach Czytelnik zabezpieczeń

Role i administratorzy

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Zarządzanie przypisaniami ról Administrator ról uprzywilejowanych
Przegląd dostępu do odczytu roli Azure AD Czytelnik zabezpieczeń Administrator ról uprzywilejowanychadministratora zabezpieczeń
Odczytywanie całej konfiguracji Domyślna rola użytkownika

Zabezpieczenia — metody uwierzytelniania

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Konfigurowanie metod uwierzytelniania Administrator globalny
Konfigurowanie ochrony haseł Administrator zabezpieczeń
Konfigurowanie inteligentnej blokady Administrator zabezpieczeń
Odczytywanie całej konfiguracji Czytelnik globalny

Zabezpieczenia — dostęp warunkowy

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Konfigurowanie zaufanych adresów IP usługi MFA Administrator dostępu warunkowego
Tworzenie kontrolek niestandardowych Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie nazwanych lokalizacji Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie zasad Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie warunków użytkowania Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie certyfikatu łączności sieci VPN Administrator globalny  
Usuwanie zasad klasycznych Administrator dostępu warunkowego Administrator zabezpieczeń
Usuwanie warunków użytkowania Administrator dostępu warunkowego Administrator zabezpieczeń
Usuwanie certyfikatu łączności sieci VPN Administrator dostępu warunkowego Administrator zabezpieczeń
Wyłączanie zasad klasycznych Administrator dostępu warunkowego Administrator zabezpieczeń
Zarządzanie kontrolkami niestandardowymi Administrator dostępu warunkowego Administrator zabezpieczeń
Zarządzanie nazwami lokalizacjami Administrator dostępu warunkowego Administrator zabezpieczeń
Zarządzanie warunkami użytkowania Administrator dostępu warunkowego Administrator zabezpieczeń
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń Administrator zabezpieczeń
Odczytywanie nazwanych lokalizacji Czytelnik zabezpieczeń Administrator zabezpieczeń administratora dostępu warunkowego

Zabezpieczenia — wskaźnik zabezpieczeń tożsamości

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń Administrator zabezpieczeń
Odczyt oceny zabezpieczeń Czytelnik zabezpieczeń Administrator zabezpieczeń
Aktualizowanie stanu zdarzenia Administrator zabezpieczeń

Zabezpieczenia — ryzykowne logowania

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń
Odczytywanie ryzykownych logań Czytelnik zabezpieczeń

Zabezpieczenia — użytkownicy oflagowani w związku z ryzykiem

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Odrzucanie wszystkich zdarzeń. Administrator zabezpieczeń
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń
Odczytywanie użytkowników oflagowanych w związku z ryzykiem Czytelnik zabezpieczeń

Tymczasowy dostęp — dostęp próbny

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Tworzenie, usuwanie lub wyświetlanie tymczasowego dostępu dla dowolnego użytkownika (z wyjątkiem samych siebie) i może skonfigurować zasady metody uwierzytelniania i zarządzać nimi Administrator globalny
Tworzenie, usuwanie lub wyświetlanie tymczasowego dostępu dla administratorów lub członków (z wyjątkiem samych siebie) Administrator uwierzytelniania uprzywilejowanego
Tworzenie, usuwanie lub wyświetlanie tymczasowego dostępu dla członków (z wyjątkiem samych siebie) Administrator uwierzytelniania
Wyświetlanie szczegółów tymczasowego dostępu dostępu dla użytkownika (bez odczytywania samego kodu) Czytelnik globalny
Konfigurowanie lub aktualizowanie zasad metody uwierzytelniania dostępu tymczasowego dostępu przekazywanego Administrator zasad uwierzytelniania

Tworzenie dzierżawy

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Tworzenie dzierżawy usługi Azure AD lub Azure AD B2C Twórca dzierżawy Administrator globalny

Użytkownicy

Zadanie Rola o najniższych uprawnieniach Dodatkowe role
Dodawanie użytkownika do roli katalogu Administrator ról uprzywilejowanych
Dodawanie użytkownika do grupy Administrator użytkowników
Przypisywanie licencji Administrator licencji Administrator użytkowników
Tworzenie użytkownika-gościa Osoba zapraszana gościa Administrator użytkowników
Resetowanie zaproszenia użytkownika-gościa Administrator użytkowników Administrator globalny
Tworzenie użytkownika Administrator użytkowników
Usuwanie użytkowników Administrator użytkowników
Unieważnianie tokenów odświeżania ograniczonych administratorów Administrator użytkowników
Unieważnianie tokenów odświeżania innych niż administratorzy Administrator haseł Administrator użytkowników
Unieważnianie tokenów odświeżania uprzywilejowanych administratorów Administrator uwierzytelniania uprzywilejowanego
Odczytywanie podstawowej konfiguracji Domyślna rola użytkownika
Resetowanie hasła dla ograniczonych administratorów Administrator użytkowników
Resetowanie hasła osób niebędących administratorami Administrator haseł Administrator użytkowników
Resetowanie hasła uprzywilejowanych administratorów Administrator uwierzytelniania uprzywilejowanego
Odwoływanie licencji Administrator licencji Administrator użytkowników
Aktualizowanie wszystkich właściwości z wyjątkiem głównej nazwy użytkownika Administrator użytkowników
Aktualizowanie głównej nazwy użytkownika dla ograniczonych administratorów Administrator użytkowników
Aktualizowanie właściwości Głównej nazwy użytkownika dla administratorów uprzywilejowanych Administrator globalny
Aktualizowanie ustawień użytkownika Administrator globalny
Aktualizowanie metod uwierzytelniania Administrator uwierzytelniania Administrator globalnyadministratora uwierzytelniania uprzywilejowanego

Pomoc techniczna

Następne kroki