Role o najniższych uprawnieniach według zadania w usłudze Microsoft Entra ID
W tym artykule można znaleźć informacje potrzebne do ograniczenia uprawnień administratora użytkownika, przypisując role o najmniejszych uprawnieniach uprzywilejowanych w identyfikatorze Entra firmy Microsoft. Zadania uporządkowane według obszaru funkcji i najmniej uprzywilejowanej roli wymaganej do wykonania każdego zadania oraz dodatkowe role nienależące do globalnego Administracja istratora, które mogą wykonywać zadanie.
Możesz dodatkowo ograniczyć uprawnienia, przypisując role w mniejszych zakresach lub tworząc własne role niestandardowe. Aby uzyskać więcej informacji, zobacz Przypisywanie ról usługi Microsoft Entra w różnych zakresach lub Tworzenie i przypisywanie roli niestandardowej w usłudze Microsoft Entra ID.
Serwer proxy aplikacji
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Konfigurowanie aplikacji serwera proxy aplikacji | Administrator aplikacji | |
| Konfigurowanie właściwości grupy łączników | Administrator aplikacji | |
| Tworzenie rejestracji aplikacji, gdy możliwość jest wyłączona dla wszystkich użytkowników | Deweloper aplikacji | Administrator aplikacji w chmurze Administrator aplikacji |
| Tworzenie grupy łączników | Administrator aplikacji | |
| Usuwanie grupy łączników | Administrator aplikacji | |
| Wyłączanie serwera proxy aplikacji | Administrator aplikacji | |
| Pobieranie usługi łącznika | Administrator aplikacji | |
| Odczytywanie całej konfiguracji | Administrator aplikacji |
Tożsamości zewnętrzne/B2C
Uwaga
Globalne Administracja istratory usługi Azure AD B2C nie mają tych samych uprawnień co administratorzy globalni Administracja istratorzy firmy Microsoft. Jeśli masz uprawnienia globalne Administracja istratora usługi Azure AD B2C, upewnij się, że jesteś w katalogu usługi Azure AD B2C, a nie w katalogu Microsoft Entra.
Oznaczenie marką firmy
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Konfigurowanie oznaczenia marką firmy | Administracja istrator znakowania organizacyjnego | |
| Odczytywanie całej konfiguracji | Czytelnicy katalogów | Domyślna rola użytkownika |
Połącz
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Uwierzytelnianie przekazywane | Administracja istrator tożsamości hybrydowej | |
| Odczytywanie całej konfiguracji | Czytelnik globalny | Administracja istrator tożsamości hybrydowej |
| Bezproblemowe logowanie jednokrotne | Administracja istrator tożsamości hybrydowej |
Połączenie Sync
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Zarządzanie synchronizacją katalogów lokalnych | Administracja istrator tożsamości hybrydowej |
Aprowizowanie w chmurze
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Uwierzytelnianie przekazywane | Administracja istrator tożsamości hybrydowej | |
| Odczytywanie całej konfiguracji | Czytelnik globalny | Administracja istrator tożsamości hybrydowej |
| Bezproblemowe logowanie jednokrotne | Administracja istrator tożsamości hybrydowej |
Connect Health
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Dodawanie lub usuwanie usług | Właściciel | |
| Stosowanie poprawek do błędu synchronizacji | Współautor | Właściciel |
| Konfigurowanie powiadomień | Współautor | Właściciel |
| Konfigurowanie ustawień | Właściciel | |
| Konfigurowanie powiadomień synchronizacji | Współautor | Właściciel |
| Odczytywanie raportów zabezpieczeń usług AD FS | Czytelnik zabezpieczeń | Współautor Właściciel |
| Odczytywanie całej konfiguracji | Czytelnik | Współautor Właściciel |
| Błędy synchronizacji odczytu | Czytelnik | Współautor Właściciel |
| Odczytywanie usług synchronizacji | Czytelnik | Współautor Właściciel |
| Wyświetlanie metryk i alertów | Czytelnik | Współautor Właściciel |
| Wyświetlanie metryk i alertów | Czytelnik | Współautor Właściciel |
| Wyświetlanie metryk i alertów usługi synchronizacji | Czytelnik | Współautor Właściciel |
Niestandardowe nazwy domen
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Zarządzanie domenami | Administracja istrator nazwy domeny | |
| Odczytywanie całej konfiguracji | Czytelnicy katalogów | Domyślna rola użytkownika |
Domain Services
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Tworzenie wystąpienia usług Microsoft Entra Domain Services | Administrator aplikacji Administracja istrator grup Współautor usług domenowych |
|
| Wykonywanie wszystkich zadań usługi Microsoft Entra Domain Services | Grupa Administracja istratorów kontrolera domeny usługi AAD | |
| Odczytywanie całej konfiguracji | Czytelnik w subskrypcji platformy Azure zawierającej usługę AD DS |
Urządzenia
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Usuwanie urządzenia | Administracja istrator urządzeń w chmurze | Administracja istrator usługi Intune |
| Wyłączanie urządzenia | Administracja istrator urządzeń w chmurze | Administracja istrator usługi Intune |
| Włączanie urządzenia | Administracja istrator urządzeń w chmurze | Administracja istrator usługi Intune |
| Przeczytaj podstawową konfigurację | Domyślna rola użytkownika | |
| Odczytywanie kluczy funkcji BitLocker | Administracja istrator urządzeń w chmurze | Pomoc techniczna Administracja istrator Administracja istrator usługi Intune Administrator zabezpieczeń Czytelnik zabezpieczeń |
Aplikacje dla przedsiębiorstw
Zarządzanie upoważnieniami
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Dodawanie zasobów do wykazu | Zarządzanie tożsamościami Administracja istrator | Zarządzanie upoważnieniami umożliwia delegowanie tego zadania do właściciela wykazu |
| Dodawanie witryn usługi SharePoint Online do katalogu | Administracja istrator programu SharePoint |
Grupy
Identity Protection
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Konfigurowanie powiadomień o alertach | Administrator zabezpieczeń | |
| Konfigurowanie i włączanie lub wyłączanie zasad uwierzytelniania wieloskładnikowego | Administrator zabezpieczeń | |
| Konfigurowanie i włączanie i wyłączanie zasad ryzyka związanego z logowaniem | Administrator zabezpieczeń | |
| Konfigurowanie i włączanie i wyłączanie zasad ryzyka związanego z użytkownikiem | Administrator zabezpieczeń | |
| Konfigurowanie tygodniowych skrótów | Administrator zabezpieczeń | |
| Odrzucanie wszystkich wykryć ryzyka | Administrator zabezpieczeń | |
| Naprawianie lub odrzucanie luki w zabezpieczeniach | Administrator zabezpieczeń | |
| Odczytywanie całej konfiguracji | Czytelnik zabezpieczeń | |
| Odczytywanie wszystkich wykryć ryzyka | Czytelnik zabezpieczeń | |
| Odczytywanie luk w zabezpieczeniach | Czytelnik zabezpieczeń |
Licencje
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Przypisywanie licencji | Administracja istrator licencji | Administrator użytkowników |
| Odczytywanie całej konfiguracji | Czytelnicy katalogów | Domyślna rola użytkownika |
| Odwoływanie licencji | Administracja istrator licencji | Administrator użytkowników |
| Wypróbuj lub kup subskrypcję | Administrator rozliczeń |
Monitorowanie — dzienniki inspekcji
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Odczytywanie dzienników inspekcji | Czytelnik raportów | Czytelnik zabezpieczeń Administrator zabezpieczeń |
Monitorowanie — logowania
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Odczytywanie dzienników logowania | Czytelnik raportów | Czytelnik zabezpieczeń Administrator zabezpieczeń Czytelnik globalny |
Uwierzytelnianie wieloskładnikowe
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Usuwanie wszystkich istniejących haseł aplikacji wygenerowanych przez wybranych użytkowników | Administracja istrator zasad uwierzytelniania | Administracja istrator uwierzytelniania |
| Wyłączanie uwierzytelniania wieloskładnikowego dla użytkownika | Administracja istrator uwierzytelniania | Administracja istrator uwierzytelniania uprzywilejowanego |
| Włączanie uwierzytelniania wieloskładnikowego dla użytkownika | Administracja istrator uwierzytelniania | Administracja istrator uwierzytelniania uprzywilejowanego |
| Zarządzanie ustawieniami usługi MFA | Administracja istrator zasad uwierzytelniania | |
| Wymaganie od wybranych użytkowników ponownego podania metod kontaktu | Administracja istrator uwierzytelniania | |
| Przywracanie uwierzytelniania wieloskładnikowego na wszystkich zapamiętanych urządzeniach | Administracja istrator uwierzytelniania |
Serwer MFA
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Zablokuj/odblokuj użytkowników | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie blokady konta | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie reguł buforowania | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie alertu o oszustwie | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie powiadomień | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie jednorazowego obejścia | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie ustawień połączeń telefonicznych | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie dostawców | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie ustawień serwera | Administracja istrator zasad uwierzytelniania | |
| Odczyt raportu aktywności | Czytelnik globalny | |
| Odczytywanie całej konfiguracji | Czytelnik globalny | |
| Odczyt stanu serwera | Czytelnik globalny |
Relacje w organizacji
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Zarządzanie dostawcami tożsamości | Dostawca tożsamości zewnętrznej Administracja istrator | |
| Odczytywanie całej konfiguracji | Czytelnik globalny |
Resetowanie hasła
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Konfigurowanie metod uwierzytelniania | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie dostosowywania | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie powiadomienia | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie integracji lokalnej | Administracja istrator zasad uwierzytelniania | |
| Konfigurowanie właściwości resetowania hasła | Administrator użytkowników | Administracja istrator zasad uwierzytelniania |
| Konfigurowanie rejestracji | Administracja istrator zasad uwierzytelniania | |
| Odczytywanie całej konfiguracji | Administrator zabezpieczeń | Administrator użytkowników |
Zarządzanie uprawnieniami
Co Zarządzanie uprawnieniami Microsoft Entra
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Dołączanie dzierżawy | Administracja istrator zarządzania uprawnieniami | |
| Dołączanie środowisk w chmurze | Administracja istrator zarządzania uprawnieniami | |
| Przypisywanie uprawnień w Zarządzanie uprawnieniami Microsoft Entra | Administracja istrator zarządzania uprawnieniami | |
| Rozpocznij wersję próbną i kup licencje Zarządzanie uprawnieniami Microsoft Entra | Administrator rozliczeń |
Privileged identity management
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Przypisywanie użytkowników do ról | Administrator ról uprzywilejowanych | |
| Konfigurowanie ustawień roli | Administrator ról uprzywilejowanych | |
| Wyświetlanie działania inspekcji | Czytelnik zabezpieczeń | |
| Wyświetlanie członkostwa w rolach | Czytelnik zabezpieczeń |
Role i administratorzy
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Zarządzanie przypisaniami ról | Administrator ról uprzywilejowanych | |
| Przegląd dostępu do odczytu roli Entra firmy Microsoft | Czytelnik zabezpieczeń | Administrator zabezpieczeń Administrator ról uprzywilejowanych |
| Odczytywanie całej konfiguracji | Domyślna rola użytkownika |
Zabezpieczenia — metody uwierzytelniania
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Włączanie lub wyłączanie metod uwierzytelniania | Administracja istrator zasad uwierzytelniania | |
| Wyświetlanie, aprowizuj w imieniu użytkownika i zarządzaj poszczególnymi metodami uwierzytelniania użytkowników | Administracja istrator uwierzytelniania | Administracja istrator uwierzytelniania uprzywilejowanego |
| Konfigurowanie ochrony haseł | Administrator zabezpieczeń | |
| Konfigurowanie inteligentnej blokady | Administrator zabezpieczeń | |
| Odczytywanie całej konfiguracji | Czytelnik globalny |
Zabezpieczenia — dostęp warunkowy
Zabezpieczenia — wskaźnik zabezpieczeń tożsamości
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Odczytywanie całej konfiguracji | Czytelnik zabezpieczeń | Administrator zabezpieczeń |
| Odczyt oceny zabezpieczeń | Czytelnik zabezpieczeń | Administrator zabezpieczeń |
| Aktualizowanie stanu zdarzenia | Administrator zabezpieczeń |
Zabezpieczenia — ryzykowne logowania
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Odczytywanie całej konfiguracji | Czytelnik zabezpieczeń | |
| Odczytywanie ryzykownych logów | Czytelnik zabezpieczeń |
Zabezpieczenia — użytkownicy oflagowani w związku z ryzykiem
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Odrzucanie wszystkich zdarzeń. | Administrator zabezpieczeń | |
| Odczytywanie całej konfiguracji | Czytelnik zabezpieczeń | |
| Odczytywanie użytkowników oflagowanych pod kątem ryzyka | Czytelnik zabezpieczeń |
Dostęp tymczasowy — dostęp próbny
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Tworzenie, usuwanie lub wyświetlanie tymczasowego dostępu dla administratorów lub członków (z wyjątkiem siebie) | Administracja istrator uwierzytelniania uprzywilejowanego | |
| Tworzenie, usuwanie lub wyświetlanie tymczasowego dostępu dla członków (z wyjątkiem siebie) | Administracja istrator uwierzytelniania | |
| Wyświetlanie szczegółów dostępu tymczasowego dla użytkownika (bez odczytywania samego kodu) | Czytelnik globalny | |
| Konfigurowanie lub aktualizowanie zasad metody uwierzytelniania dostępu tymczasowego dostępu przekazywanego | Administracja istrator zasad uwierzytelniania |
Dzierżawa
| Zadanie | Najmniej uprzywilejowana rola | Role dodatkowe |
|---|---|---|
| Tworzenie identyfikatora entra firmy Microsoft lub dzierżawy usługi Azure AD B2C | Twórca dzierżawy | |
| Aktualizowanie właściwości dzierżawy firmy Microsoft Entra | Administrator rozliczeń | |
| Zarządzanie zasadami zachowania poufności informacji i kontaktami | Administrator rozliczeń |