Наименее привилегированные роли по задачам в идентификаторе Microsoft Entra

В этой статье вы можете найти сведения, необходимые для ограничения разрешений администратора пользователя, назначив наименее привилегированные роли в идентификаторе Microsoft Entra ID. Вы найдете задачи, упорядоченные по области функций и наименее привилегированной роли, необходимой для выполнения каждой задачи, а также дополнительные роли, не являющиеся глобальными администраторами, которые могут выполнять задачу.

Вы можете дополнительно ограничить разрешения, назначив роли в небольших областях или создав собственные пользовательские роли. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в разных областях или создание и назначение настраиваемой роли в идентификаторе Microsoft Entra.

Прокси приложения

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка приложения-прокси приложения	Администратор приложений
Настройка свойств группы соединителей	Администратор приложений
Создание регистрации приложения при отключении возможности для всех пользователей	Разработчик приложений	Администратор облачных приложений Администратор приложений
Создание группы соединителей	Администратор приложений
Удаление группы соединителей	Администратор приложений
Отключение прокси приложения	Администратор приложений
Скачивание службы соединителя	Администратор приложений
Чтение всей конфигурации	Администратор приложений

Внешние удостоверения/B2C

Задача	Наименее привилегированная роль	Дополнительные роли
Создание каталогов Azure AD B2C	Все пользователи, не являющиеся гостевыми
Создание корпоративных приложений	Администратор облачных приложений	Администратор приложений
Создание, чтение, обновление и удаление политик B2C	Администратор политики IEF B2C
Создание, чтение, обновление и удаление поставщиков удостоверений	Администратор внешнего поставщика удостоверений
Создание, чтение, обновление и удаление потоков пользователей сброса пароля	Администратор потока внешних идентификаторов
Создание, чтение, обновление и удаление потоков пользователей для редактирования профиля	Администратор потока внешних идентификаторов
Создание, чтение, обновление и удаление потоков пользователей входа	Администратор потока внешних идентификаторов
Создание, чтение, обновление и удаление пользовательского потока регистрации	Администратор потока внешних идентификаторов
Создание, чтение, обновление и удаление атрибутов пользователя	Администратор атрибута внешнего потока идентификатора
Создание, чтение, обновление и удаление пользователей	Администратор пользователей
Настройка параметров внешней совместной работы B2B — гостевой доступ пользователей	Администратор привилегированных ролей
Настройка параметров внешней совместной работы B2B — параметры приглашения гостей	Приглашенный гостей	Администратор потока внешних идентификаторов
Настройка параметров внешней совместной работы B2B — параметры выхода внешнего пользователя	Администратор внешнего поставщика удостоверений
Настройка параметров внешней совместной работы B2B — ограничения для совместной работы	Глобальный администратор
Чтение всей конфигурации	Глобальный читатель
Чтение журналов аудита B2C	Глобальный читатель

Заметка

Глобальные администраторы Azure AD B2C не имеют одинаковых разрешений, что и глобальные администраторы Microsoft Entra. Если у вас есть права глобального администратора Azure AD B2C, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra.

Фирменная символика компании

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка фирменной символики компании	Администратор фирменной символики организации
Чтение всей конфигурации	Читатели каталогов	Роль пользователя по умолчанию

Соединять

Задача	Наименее привилегированная роль	Дополнительные роли
Сквозная проверка подлинности	Администратор гибридных удостоверений
Чтение всей конфигурации	Глобальный читатель	Администратор гибридных удостоверений
Простой единый вход	Администратор гибридных удостоверений

Подключение синхронизации

Задача	Наименее привилегированная роль	Дополнительные роли
Управление синхронизацией локальных каталогов	Администратор гибридных удостоверений

Подготовка облака

Задача	Наименее привилегированная роль	Дополнительные роли
Сквозная проверка подлинности	Администратор гибридных удостоверений
Чтение всей конфигурации	Глобальный читатель	Администратор гибридных удостоверений
Простой единый вход	Администратор гибридных удостоверений

Подключение работоспособности

Задача	Наименее привилегированная роль	Дополнительные роли
Добавление или удаление служб	Владелец
Применение исправлений для синхронизации ошибок	Сотрудник	Владелец
Настройка уведомлений	Сотрудник	Владелец
Настройка параметров	Владелец
Настройка уведомлений синхронизации	Сотрудник	Владелец
Чтение отчетов безопасности ADFS	Средство чтения безопасности	Сотрудник Владелец
Чтение всей конфигурации	Читатель	Сотрудник Владелец
Чтение ошибок синхронизации	Читатель	Сотрудник Владелец
Чтение служб синхронизации	Читатель	Сотрудник Владелец
Просмотр метрик и оповещений	Читатель	Сотрудник Владелец
Просмотр метрик и оповещений	Читатель	Сотрудник Владелец
Просмотр метрик и оповещений службы синхронизации	Читатель	Сотрудник Владелец

Имена пользовательских доменов

Задача	Наименее привилегированная роль	Дополнительные роли
Управление доменами	Администратор доменного имени
Чтение всей конфигурации	Читатели каталогов	Роль пользователя по умолчанию

Доменные службы

Задача	Наименее привилегированная роль	Дополнительные роли
Создание экземпляра доменных служб Microsoft Entra	Администратор приложений Администратор групп Участник доменных служб
Выполнение всех задач доменных служб Microsoft Entra	Группа администраторов контроллера домена AAD
Чтение всей конфигурации	Читатель в подписке Azure, содержащей службу AD DS

Приборы

Задача	Наименее привилегированная роль	Дополнительные роли
Удаление устройства	Администратор облачных устройств	Администратор Intune
Отключение устройства	Администратор облачных устройств	Администратор Intune
Включение устройства	Администратор облачных устройств	Администратор Intune
Чтение базовой конфигурации	Роль пользователя по умолчанию
Чтение ключей BitLocker	Администратор облачных устройств	Администратор службы технической поддержки Администратор Intune Администратор безопасности Средство чтения безопасности

Корпоративные приложения

Задача	Наименее привилегированная роль	Дополнительные роли
Согласие на любые делегированные разрешения	Администратор облачных приложений	Администратор приложений
Согласие на разрешения приложения, не включая Microsoft Graph	Администратор облачных приложений	Администратор приложений
Согласие на разрешение приложения на Microsoft Graph	Администратор привилегированных ролей
Согласие на доступ к приложениям с собственными данными	Роль пользователя по умолчанию
Создание корпоративного приложения	Администратор облачных приложений	Администратор приложений
Управление прокси приложениями	Администратор приложений
Проверка доступа на чтение группы или приложения	Средство чтения безопасности	Администратор безопасности Администратор пользователей
Чтение всей конфигурации	Роль пользователя по умолчанию
Обновление назначений корпоративных приложений	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений Администратор пользователей
Обновление владельцев корпоративных приложений	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление свойств корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление подготовки корпоративных приложений	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление самообслуживания корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление свойств единого входа	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Создание и изменение пользовательских расширений проверки подлинности	Администратор расширения проверки подлинности	Администратор приложений

Управление правами

Задача	Наименее привилегированная роль	Дополнительные роли
Добавление ресурсов в каталог	Администратор управления удостоверениями	С помощью управления правами вы можете делегировать эту задачу владельцу каталога.
Добавление сайтов SharePoint Online в каталог	Администратор SharePoint

Группы

Задача	Наименее привилегированная роль	Дополнительные роли
Назначение лицензии	Администратор пользователей
Создание группы	Администратор групп	Администратор пользователей
Создание, обновление или удаление проверки доступа группы или приложения	Администратор пользователей
Управление истечением срока действия группы	Администратор пользователей
Управление параметрами группы	Администратор групп	Администратор пользователей
Чтение всей конфигурации (кроме скрытого членства)	Читатели каталогов	Роль пользователя по умолчанию
Чтение скрытого членства	Член группы	Владелец группы Администратор паролей Администратор Exchange Администратор SharePoint Администратор Teams Администратор пользователей
Чтение членства в группах с скрытым членством	Администратор службы технической поддержки	Администратор пользователей Администратор Teams
Отзыв лицензии	Администратор лицензии	Администратор пользователей
Обновление динамических групп членства	Владелец группы	Администратор пользователей
Обновление владельцев групп	Владелец группы	Администратор пользователей
Обновление свойств группы	Владелец группы	Администратор пользователей
Удаление группы	Администратор групп	Администратор пользователей

Лицензии

Задача	Наименее привилегированная роль	Дополнительные роли
Назначение лицензии	Администратор лицензии	Администратор пользователей
Чтение всей конфигурации	Читатели каталогов	Роль пользователя по умолчанию
Отзыв лицензии	Администратор лицензии	Администратор пользователей
Попробуйте или купить подписку	Администратор выставления счетов

Microsoft Entra Health

Задача	Наименее привилегированная роль	Дополнительные роли
Просмотр сигналов мониторинга сценария	Средство чтения отчетов	Средство чтения безопасности Оператор безопасности Администратор безопасности Администратор службы технической поддержки Глобальный читатель

Защита идентификации Microsoft Entra

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка уведомлений оповещений	Администратор безопасности
Настройка и включение и отключение политики MFA	Администратор безопасности
Настройка и включение или отключение политики риска входа	Администратор безопасности
Настройка и включение или отключение политики риска пользователей	Администратор безопасности
Настройка еженедельных дайджестов	Администратор безопасности
Отключение всех обнаружения рисков	Администратор безопасности
Исправление или отклонение уязвимости	Администратор безопасности
Чтение всей конфигурации	Средство чтения безопасности
Чтение всех обнаружения рисков	Средство чтения безопасности
Чтение уязвимостей	Средство чтения безопасности

Мониторинг и работоспособности — журналы аудита

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение журналов аудита	Средство чтения отчетов	Средство чтения безопасности Администратор безопасности

Мониторинг и работоспособности — журналы входа

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение журналов входа	Средство чтения отчетов	Средство чтения безопасности Администратор безопасности Глобальный читатель

Мониторинг и работоспособности — журналы подготовки

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение журналов входа	Средство чтения отчетов	Средство чтения безопасности Администратор безопасности Глобальный читатель Администратор безопасности Оператор безопасности Администратор приложений Администратор облачных приложений

Мониторинг и работоспособности — рекомендации

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение рекомендаций	Средство чтения отчетов	Средство чтения безопасности Глобальный читатель Администратор службы технической поддержки Администратор службы поддержки Администратор пользователей
Обновление рекомендаций	Администратор политики проверки подлинности	Администратор приложений Администратор проверки подлинности Администратор облачных приложений Администратор условного доступа Администратор Exchange Администратор гибридных удостоверений Администратор управления удостоверениями Администратор привилегированных ролей Администратор безопасности Оператор безопасности Администратор SharePoint

Многофакторная проверка подлинности

Задача	Наименее привилегированная роль	Дополнительные роли
Удаление всех существующих паролей приложений, созданных выбранными пользователями	Администратор политики проверки подлинности	Администратор проверки подлинности
Отключение MFA для каждого пользователя	Администратор проверки подлинности	Администратор привилегированной проверки подлинности
Включение MFA для каждого пользователя	Администратор проверки подлинности	Администратор привилегированной проверки подлинности
Управление параметрами службы MFA	Администратор политики проверки подлинности
Требовать повторного предоставления методов контакта выбранным пользователям	Администратор проверки подлинности
Восстановление многофакторной проверки подлинности на всех запоминаемых устройствах	Администратор проверки подлинности

Сервер MFA

Задача	Наименее привилегированная роль	Дополнительные роли
Блокировка и разблокировка пользователей	Администратор политики проверки подлинности
Настройка блокировки учетной записи	Администратор политики проверки подлинности
Настройка правил кэширования	Администратор политики проверки подлинности
Настройка оповещения о мошенничестве	Администратор политики проверки подлинности
Настройка уведомлений	Администратор политики проверки подлинности
Настройка однократного обхода	Администратор политики проверки подлинности
Настройка параметров телефонного звонка	Администратор политики проверки подлинности
Настройка поставщиков	Администратор политики проверки подлинности
Настройка параметров сервера	Администратор политики проверки подлинности
Чтение отчета о действиях	Глобальный читатель
Чтение всей конфигурации	Глобальный читатель
Чтение состояния сервера	Глобальный читатель

Связи организации

Задача	Наименее привилегированная роль	Дополнительные роли
Управление поставщиками удостоверений	Администратор внешнего поставщика удостоверений
Чтение всей конфигурации	Глобальный читатель

Сброс пароля

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка методов проверки подлинности	Администратор политики проверки подлинности
Настройка настройки	Администратор политики проверки подлинности
Настройка уведомления	Администратор политики проверки подлинности
Настройка локальной интеграции	Администратор политики проверки подлинности
Настройка свойств сброса пароля	Администратор пользователей	Администратор политики проверки подлинности
Настройка регистрации	Администратор политики проверки подлинности
Чтение всей конфигурации	Администратор безопасности	Администратор пользователей

Управление разрешениями

Что такое Управление разрешениями Microsoft Entra

Задача	Наименее привилегированная роль	Дополнительные роли
Подключение клиента	Администратор управления разрешениями
Подключение облачных сред	Администратор управления разрешениями
Назначение разрешений в Управление разрешениями Microsoft Entra	Администратор управления разрешениями
Запуск пробной версии и покупка лицензий Управление разрешениями Microsoft Entra	Администратор выставления счетов

Управление привилегированными удостоверениями

Задача	Наименее привилегированная роль	Дополнительные роли
Назначение пользователей ролям	Администратор привилегированных ролей
Настройка параметров роли	Администратор привилегированных ролей
Просмотр действия аудита	Средство чтения безопасности
Просмотр членства в роли	Средство чтения безопасности

Роли и администраторы

Задача	Наименее привилегированная роль	Дополнительные роли
Управление назначениями ролей	Администратор привилегированных ролей
Проверка доступа на чтение роли Microsoft Entra	Средство чтения безопасности	Администратор безопасности Администратор привилегированных ролей
Чтение всей конфигурации	Роль пользователя по умолчанию

Безопасность — методы проверки подлинности

Задача	Наименее привилегированная роль	Дополнительные роли
Включение или отключение методов проверки подлинности	Администратор политики проверки подлинности
Просмотр, подготовка от имени и управление отдельными методами проверки подлинности пользователей	Администратор проверки подлинности	Администратор привилегированной проверки подлинности
Настройка защиты паролей	Администратор безопасности
Настройка интеллектуальной блокировки	Администратор безопасности
Чтение всей конфигурации	Глобальный читатель

Безопасность — условный доступ

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка доверенных IP-адресов MFA	Администратор условного доступа
Создание пользовательских элементов управления	Администратор условного доступа	Администратор безопасности
Создание именованных расположений	Администратор условного доступа	Администратор безопасности
Создание политик	Администратор условного доступа	Администратор безопасности
Создание условий использования	Администратор условного доступа	Администратор безопасности
Создание сертификата vpn-подключения	Администратор облачных приложений	Администратор приложений
Удаление классической политики	Администратор условного доступа	Администратор безопасности
Удаление условий использования	Администратор условного доступа	Администратор безопасности
Удаление сертификата vpn-подключения	Администратор условного доступа	Администратор безопасности
Отключение классической политики	Администратор условного доступа	Администратор безопасности
Управление пользовательскими элементами управления	Администратор условного доступа	Администратор безопасности
Управление именованных расположений	Администратор условного доступа	Администратор безопасности
Управление условиями использования	Администратор условного доступа	Администратор безопасности
Чтение всей конфигурации	Роль пользователя по умолчанию
Чтение именованных расположений	Роль пользователя по умолчанию

Безопасность — оценка безопасности удостоверений

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение всей конфигурации	Средство чтения безопасности	Администратор безопасности
Чтение оценки безопасности	Средство чтения безопасности	Администратор безопасности
Обновление состояния события	Администратор безопасности

Безопасность — рискованные входы

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение всей конфигурации	Средство чтения безопасности
Чтение рискованных входов	Средство чтения безопасности

Безопасность — пользователи, помеченные как риск

Задача	Наименее привилегированная роль	Дополнительные роли
Закрытие всех событий	Администратор безопасности
Чтение всей конфигурации	Средство чтения безопасности
Чтение пользователей, помеченных для риска	Средство чтения безопасности

Временный проход доступа

Задача	Наименее привилегированная роль	Дополнительные роли
Создание, удаление или просмотр временного доступа для администраторов или членов (за исключением самих себя)	Администратор привилегированной проверки подлинности
Создание, удаление или просмотр временного прохода доступа для участников (за исключением самих себя)	Администратор проверки подлинности
Просмотр сведений о временном передаче доступа для пользователя (без чтения самого кода)	Глобальный читатель
Настройка или обновление политики метода проверки подлинности для временного доступа	Администратор политики проверки подлинности

Съёмщик

Задача	Наименее привилегированная роль	Дополнительные роли
Создание идентификатора Microsoft Entra или клиента Azure AD B2C	Создатель клиента
Обновление свойств клиента Microsoft Entra	Администратор выставления счетов
Управление заявлением о конфиденциальности и контактом	Администратор выставления счетов

Пользователей

Задача	Наименее привилегированная роль	Дополнительные роли
Добавление пользователя в роль каталога	Администратор привилегированных ролей
Добавление пользователя в группу	Администратор пользователей
Назначение лицензии	Администратор лицензии	Администратор пользователей
Создание гостевого пользователя	Приглашенный гостей	Администратор пользователей
Сброс приглашения гостевого пользователя	Администратор службы технической поддержки	Администратор пользователей
Создание пользователя	Администратор пользователей
Удаление пользователей	Администратор пользователей
Недопустимое обновление маркеров ограниченных администраторов	Администратор пользователей
Недопустимое обновление маркеров неадминистраторов	Администратор службы технической поддержки	Администратор пользователей
Недопустимое обновление маркеров привилегированных администраторов	Администратор привилегированной проверки подлинности
Чтение базовой конфигурации	Роль пользователя по умолчанию
Сброс пароля для ограниченных администраторов	Администратор пользователей
Сброс пароля неадминистраторов	Администратор паролей	Администратор пользователей
Сброс пароля привилегированных администраторов	Администратор привилегированной проверки подлинности
Отзыв лицензии	Администратор лицензии	Администратор пользователей
Обновление всех свойств, кроме имени участника-пользователя	Администратор пользователей
Обновление свойства с поддержкой локальной синхронизации	Администратор гибридных удостоверений
Обновление имени субъекта-пользователя для ограниченных администраторов	Администратор пользователей
Обновление свойства имени субъекта-пользователя для привилегированных администраторов	Администратор привилегированной проверки подлинности
Обновление параметров пользователя — разрешения роли пользователя по умолчанию	Администратор привилегированных ролей
Обновление параметров пользователя — гостевой доступ пользователей	Администратор привилегированных ролей
Обновление параметров пользователя — центр администрирования	Глобальный администратор
Обновление параметров пользователя — подключения учетной записи LinkedIn	Глобальный администратор
Обновление параметров пользователя. Отображение входа пользователя в систему	Глобальный администратор
Обновление методов проверки подлинности	Администратор проверки подлинности	Администратор привилегированной проверки подлинности

Поддержка

Задача	Наименее привилегированная роль	Дополнительные роли
Отправка запроса в службу поддержки	Администратор службы поддержки	Администратор приложений Администратор Azure Information Protection Администратор выставления счетов Администратор облачных приложений Администратор соответствия требованиям Администратор Dynamics 365 Администратор Аналитика компьютеров Администратор Exchange Администратор Intune Администратор паролей Администратор Структуры Администратор привилегированной проверки подлинности Администратор SharePoint Администратор Skype для бизнеса Администратор Teams Администратор обмена данными Teams Администратор пользователей

Дальнейшие действия

• Назначение ролей Microsoft Entra пользователям
• Назначение ролей Microsoft Entra в разных областях
• Создание и назначение настраиваемой роли в идентификаторе Microsoft Entra
• Встроенные роли Microsoft Entra