Minst privilegierade roller efter uppgift i Microsoft Entra ID
I den här artikeln hittar du den information som behövs för att begränsa en användares administratörsbehörigheter genom att tilldela minst privilegierade roller i Microsoft Entra-ID. Du hittar uppgifter ordnade efter funktionsområde och den minst privilegierade roll som krävs för att utföra varje uppgift, tillsammans med ytterligare icke-globala administratörsroller som kan utföra uppgiften.
Du kan ytterligare begränsa behörigheter genom att tilldela roller i mindre omfång eller genom att skapa egna anpassade roller. Mer information finns i Tilldela Microsoft Entra-roller i olika omfång eller Skapa och tilldela en anpassad roll i Microsoft Entra-ID.
Programproxy
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Konfigurera programproxyapp | Programadministratör | |
| Konfigurera egenskaper för anslutningsgrupper | Programadministratör | |
| Skapa programregistrering när möjligheten är inaktiverad för alla användare | Programutvecklare | Molnprogramadministratör Programadministratör |
| Skapa anslutningsgrupp | Programadministratör | |
| Ta bort anslutningsgrupp | Programadministratör | |
| Inaktivera programproxy | Programadministratör | |
| Ladda ned anslutningstjänsten | Programadministratör | |
| Läsa alla konfigurationer | Programadministratör |
Externa identiteter/B2C
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Skapa Azure AD B2C-kataloger | Alla icke-gästanvändare | |
| Skapa företagsprogram | Molnprogramadministratör | Programadministratör |
| Skapa, läsa, uppdatera och ta bort B2C-principer | B2C IEF-principadministratör | |
| Skapa, läsa, uppdatera och ta bort identitetsprovidrar | Administratör för extern identitetsprovider | |
| Skapa, läsa, uppdatera och ta bort användarflöden för lösenordsåterställning | Administratör för externt ID-användarflöde | |
| Skapa, läsa, uppdatera och ta bort användarflöden för profilredigering | Administratör för externt ID-användarflöde | |
| Skapa, läsa, uppdatera och ta bort inloggningsanvändarflöden | Administratör för externt ID-användarflöde | |
| Skapa, läsa, uppdatera och ta bort användarflöde för registrering | Administratör för externt ID-användarflöde | |
| Skapa, läsa, uppdatera och ta bort användarattribut | Administratör för användarflödesattribut för externt ID | |
| Skapa, läsa, uppdatera och ta bort användare | Användaradministratör | |
| Konfigurera inställningar för externt B2B-samarbete | Global administratör för | |
| Läsa alla konfigurationer | Global läsare | |
| Läsa B2C-granskningsloggar | Global läsare |
Kommentar
Globala Administratörer i Azure AD B2C har inte samma behörigheter som globala Microsoft Entra-administratörer. Om du har globala administratörsbehörigheter för Azure AD B2C kontrollerar du att du befinner dig i en Azure AD B2C-katalog och inte i en Microsoft Entra-katalog.
Företagsanpassning
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Konfigurera varumärkesexponering | Organisationsanpassningsadministratör | |
| Läsa alla konfigurationer | Katalogläsare | Standardanvändarroll |
Anslut
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Autentisering med genomströmning | Hybrididentitetsadministratör | |
| Läsa alla konfigurationer | Global läsare | Hybrididentitetsadministratör |
| Smidig enkel inloggning | Hybrididentitetsadministratör |
Molnetablering
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Autentisering med genomströmning | Hybrididentitetsadministratör | |
| Läsa alla konfigurationer | Global läsare | Hybrididentitetsadministratör |
| Smidig enkel inloggning | Hybrididentitetsadministratör |
Connect Health
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Lägga till eller ta bort tjänster | Ägare | |
| Tillämpa korrigeringar på synkroniseringsfel | Deltagare | Ägare |
| Konfigurera meddelanden | Deltagare | Ägare |
| Konfigurera inställningar | Ägare | |
| Konfigurera synkroniseringsmeddelanden | Deltagare | Ägare |
| Läsa ADFS-säkerhetsrapporter | Säkerhetsläsare | Deltagare Ägare |
| Läsa alla konfigurationer | Läsare | Deltagare Ägare |
| Läs synkroniseringsfel | Läsare | Deltagare Ägare |
| Läsa synkroniseringstjänster | Läsare | Deltagare Ägare |
| Visa mått och aviseringar | Läsare | Deltagare Ägare |
| Visa mått och aviseringar | Läsare | Deltagare Ägare |
| Visa mått och aviseringar för synkroniseringstjänsten | Läsare | Deltagare Ägare |
Egna domännamn
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Hantera domäner | Domännamnsadministratör | |
| Läsa alla konfigurationer | Katalogläsare | Standardanvändarroll |
Domain Services
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Skapa Microsoft Entra Domain Services-instans | Programadministratör Gruppadministratör Domain Services-deltagare |
|
| Utföra alla Microsoft Entra Domain Services-uppgifter | Gruppen AAD DC-administratörer | |
| Läsa alla konfigurationer | Läsare för Azure-prenumeration som innehåller AD DS-tjänsten |
Enheter
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Ta bort enhet | Molnenhetsadministratör | Intune-administratör |
| Inaktivera enhet | Molnenhetsadministratör | Intune-administratör |
| Aktivera enhet | Molnenhetsadministratör | Intune-administratör |
| Läsa grundläggande konfiguration | Standardanvändarroll | |
| Läs BitLocker-nycklar | Molnenhetsadministratör | Supportadministratör Intune-administratör Säkerhetsadministratör Säkerhetsläsare |
Företagsprogram
Berättigandehantering
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Lägga till resurser i en katalog | Administratör för identitetsstyrning | Med berättigandehantering kan du delegera den här uppgiften till katalogägaren |
| Lägga till SharePoint Online-webbplatser i katalogen | SharePoint-administratör |
Grupper
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Tilldela licens | Användaradministratör | |
| Skapa grupp | Gruppadministratör | Användaradministratör |
| Skapa, uppdatera eller ta bort åtkomstgranskning av en grupp eller en app | Användaradministratör | |
| Hantera gruppens förfallodatum | Användaradministratör | |
| Hantera gruppinställningar | Gruppadministratör | Användaradministratör |
| Läs all konfiguration (förutom dolt medlemskap) | Katalogläsare | Standardanvändarroll |
| Läs dolt medlemskap | Gruppmedlem | Gruppägare Lösenordsadministratör Exchange-administratör SharePoint-administratör Teams-administratör Användaradministratör |
| Läsa medlemskap i grupper med dolt medlemskap | Supportadministratör | Användaradministratör Teams-administratör |
| Återkalla licens | Licensadministratör | Användaradministratör |
| Uppdatera gruppmedlemskap | Gruppägare | Användaradministratör |
| Uppdatera gruppägare | Gruppägare | Användaradministratör |
| Uppdatera gruppegenskaper | Gruppägare | Användaradministratör |
| Ta bort grupp | Gruppadministratör | Användaradministratör |
Identity Protection
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Konfigurera aviseringsmeddelanden | Säkerhetsadministratör | |
| Konfigurera och aktivera eller inaktivera MFA-princip | Säkerhetsadministratör | |
| Konfigurera och aktivera eller inaktivera inloggningsriskprincip | Säkerhetsadministratör | |
| Konfigurera och aktivera eller inaktivera användarriskprincip | Säkerhetsadministratör | |
| Konfigurera veckosammandrag | Säkerhetsadministratör | |
| Stäng alla riskidentifieringar | Säkerhetsadministratör | |
| Åtgärda eller stänga säkerhetsrisker | Säkerhetsadministratör | |
| Läsa alla konfigurationer | Säkerhetsläsare | |
| Läs alla riskidentifieringar | Säkerhetsläsare | |
| Läs säkerhetsrisker | Säkerhetsläsare |
Licenser
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Tilldela licens | Licensadministratör | Användaradministratör |
| Läsa alla konfigurationer | Katalogläsare | Standardanvändarroll |
| Återkalla licens | Licensadministratör | Användaradministratör |
| Prova eller köp prenumeration | Faktureringsadministratör |
Övervakning – Granskningsloggar
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Läsa granskningsloggar | Rapportläsare | Säkerhetsläsare Säkerhetsadministratör |
Övervakning – inloggningar
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Läs inloggningsloggar | Rapportläsare | Säkerhetsläsare Säkerhetsadministratör Global läsare |
Multifaktorautentisering
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Ta bort alla befintliga applösenord som de valda användarna har skapat | Administratör för autentiseringsprincip | Autentiseringsadministratör |
| Inaktivera MFA per användare | Autentiseringsadministratör | Administratör för privilegierad autentisering |
| Aktivera MFA per användare | Autentiseringsadministratör | Administratör för privilegierad autentisering |
| Hantera MFA-tjänstinställningar | Administratör för autentiseringsprincip | |
| Kräv att valda användare ska uppge kontaktmetoder igen | Autentiseringsadministratör | |
| Återställa multifaktorautentisering på alla ihågkomna enheter | Autentiseringsadministratör |
MFA-server
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Blockera/avblockera användare | Administratör för autentiseringsprincip | |
| Konfigurera kontoutelåsning | Administratör för autentiseringsprincip | |
| Konfigurera cachelagringsregler | Administratör för autentiseringsprincip | |
| Konfigurera bedrägeriavisering | Administratör för autentiseringsprincip | |
| Konfigurera meddelanden | Administratör för autentiseringsprincip | |
| Konfigurera engångs-förbikoppling | Administratör för autentiseringsprincip | |
| Konfigurera inställningar för telefonsamtal | Administratör för autentiseringsprincip | |
| Konfigurera providers | Administratör för autentiseringsprincip | |
| Konfigurera serverinställningar | Administratör för autentiseringsprincip | |
| Rapport för läsaktivitet | Global läsare | |
| Läsa alla konfigurationer | Global läsare | |
| Läs serverstatus | Global läsare |
Organisationsrelationer
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Hantera identitetsprovidrar | Administratör för extern identitetsprovider | |
| Läsa alla konfigurationer | Global läsare |
Återställning av lösenord
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Konfigurera autentiseringsmetoder | Administratör för autentiseringsprincip | |
| Konfigurera anpassning | Administratör för autentiseringsprincip | |
| Konfigurera meddelande | Administratör för autentiseringsprincip | |
| Konfigurera lokal integrering | Administratör för autentiseringsprincip | |
| Konfigurera egenskaper för lösenordsåterställning | Användaradministratör | Administratör för autentiseringsprincip |
| Konfigurera registrering | Administratör för autentiseringsprincip | |
| Läsa alla konfigurationer | Säkerhetsadministratör | Användaradministratör |
Privileged Identity Management
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Tilldela användare till roller | Administratör för privilegierad roll | |
| Konfigurera rollinställningar | Administratör för privilegierad roll | |
| Visa granskningsaktivitet | Säkerhetsläsare | |
| Visa rollmedlemskap | Säkerhetsläsare |
Roller och administratörer
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Hantera rolltilldelningar | Administratör för privilegierad roll | |
| Läs åtkomstgranskning av en Microsoft Entra-roll | Säkerhetsläsare | Säkerhetsadministratör Administratör för privilegierad roll |
| Läsa alla konfigurationer | Standardanvändarroll |
Säkerhet – Autentiseringsmetoder
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Aktivera eller inaktivera autentiseringsmetoder | Administratör för autentiseringsprincip | |
| Visa, etablera för och hantera enskilda autentiseringsmetoder för användare | Autentiseringsadministratör | Administratör för privilegierad autentisering |
| Konfigurera lösenordsskydd | Säkerhetsadministratör | |
| Konfigurera smart utelåsning | Säkerhetsadministratör | |
| Läsa alla konfigurationer | Global läsare |
Säkerhet – villkorlig åtkomst
Säkerhet – identitetssäkerhetspoäng
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Läsa alla konfigurationer | Säkerhetsläsare | Säkerhetsadministratör |
| Läs säkerhetspoäng | Säkerhetsläsare | Säkerhetsadministratör |
| Uppdatera händelsestatus | Säkerhetsadministratör |
Säkerhet – Riskfyllda inloggningar
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Läsa alla konfigurationer | Säkerhetsläsare | |
| Läsa riskfyllda inloggningar | Säkerhetsläsare |
Säkerhet – Användare som flaggats för risk
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Ignorera alla händelser | Säkerhetsadministratör | |
| Läsa alla konfigurationer | Säkerhetsläsare | |
| Läsa användare som flaggats för risk | Säkerhetsläsare |
Tillfälligt åtkomstpass
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Skapa, ta bort eller visa ett tillfälligt åtkomstpass för administratörer eller medlemmar (utom sig själva) | Administratör för privilegierad autentisering | |
| Skapa, ta bort eller visa ett tillfälligt åtkomstpass för medlemmar (utom sig själva) | Autentiseringsadministratör | |
| Visa information om ett tillfälligt åtkomstpass för en användare (utan att läsa själva koden) | Global läsare | |
| Konfigurera eller uppdatera autentiseringsmetodprincipen för tillfälligt åtkomstpass | Administratör för autentiseringsprincip |
Klientorganisation
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Skapa Microsoft Entra-ID eller Azure AD B2C-klientorganisation | Skapare av klientorganisation | |
| Uppdatera egenskaper för Microsoft Entra-klientorganisationen | Faktureringsadministratör | |
| Hantera sekretesspolicy och kontakt | Faktureringsadministratör |
Användare
| Uppgift | Roll med lägst behörighet | Ytterligare roller |
|---|---|---|
| Lägg till användare i katalogrollen | Administratör för privilegierad roll | |
| Lägg till användare i grupp | Användaradministratör | |
| Tilldela licens | Licensadministratör | Användaradministratör |
| Skapa gästanvändare | Gäst inbjudare | Användaradministratör |
| Återställ gästanvändares inbjudan | Supportadministratör | Användaradministratör |
| Skapa användare | Användaradministratör | |
| Ta bort användare | Användaradministratör | |
| Ogiltigförklara uppdateringstoken för begränsade administratörer | Användaradministratör | |
| Ogiltigförklara uppdateringstoken för icke-administratörer | Supportadministratör | Användaradministratör |
| Ogiltigförklara uppdateringstoken för privilegierade administratörer | Administratör för privilegierad autentisering | |
| Läsa grundläggande konfiguration | Standardanvändarroll | |
| Återställa lösenord för begränsade administratörer | Användaradministratör | |
| Återställa lösenord för icke-administratörer | Lösenordsadministratör | Användaradministratör |
| Återställa lösenord för privilegierade administratörer | Administratör för privilegierad autentisering | |
| Återkalla licens | Licensadministratör | Användaradministratör |
| Uppdatera alla egenskaper utom användarens huvudnamn | Användaradministratör | |
| Uppdatera lokal synkroniseringsaktiverad egenskap | Hybrididentitetsadministratör | |
| Uppdatera användarens huvudnamn för begränsade administratörer | Användaradministratör | |
| Uppdatera egenskapen User Principal Name för privilegierade administratörer | Administratör för privilegierad autentisering | |
| Uppdatera användarinställningar – Standardbehörigheter för användarroller | Administratör för privilegierad roll | |
| Uppdatera användarinställningar – Gästanvändares åtkomst | Administratör för privilegierad roll | |
| Uppdatera autentiseringsmetoder | Autentiseringsadministratör | Administratör för privilegierad autentisering |