Dela via


Minst privilegierade roller efter uppgift i Microsoft Entra-ID

I den här artikeln hittar du den information som behövs för att begränsa en användares administratörsbehörigheter genom att tilldela minst privilegierade roller i Microsoft Entra-ID. Du hittar uppgifter ordnade efter funktionsområde och den minst privilegierade roll som krävs för att utföra varje uppgift, tillsammans med ytterligare icke-globala administratörsroller som kan utföra uppgiften.

Du kan ytterligare begränsa behörigheter genom att tilldela roller i mindre omfång eller genom att skapa egna anpassade roller. Mer information finns i Tilldela Microsoft Entra-roller i olika omfång eller Skapa och tilldela en anpassad roll i Microsoft Entra-ID.

Programproxy

Uppgift Minst privilegierad roll Ytterligare roller
Konfigurera programproxyapp Programadministratör
Konfigurera egenskaper för anslutningsgrupper Programadministratör
Skapa programregistrering när möjligheten är inaktiverad för alla användare Programutvecklare Molnprogramadministratör
Programadministratör
Skapa anslutningsgrupp Programadministratör
Ta bort anslutningsgrupp Programadministratör
Inaktivera programproxy Programadministratör
Ladda ned anslutningstjänsten Programadministratör
Läsa alla konfigurationer Programadministratör

Externa identiteter/B2C

Uppgift Minst privilegierad roll Ytterligare roller
Skapa Azure AD B2C-kataloger Alla icke-gästanvändare
Skapa företagsprogram Molnprogramadministratör Programadministratör
Skapa, läsa, uppdatera och ta bort B2C-principer B2C IEF-principadministratör
Skapa, läsa, uppdatera och ta bort identitetsprovidrar Administratör för extern identitetsprovider
Skapa, läsa, uppdatera och ta bort användarflöden för lösenordsåterställning Administratör för externt ID-användarflöde
Skapa, läsa, uppdatera och ta bort användarflöden för profilredigering Administratör för externt ID-användarflöde
Skapa, läsa, uppdatera och ta bort inloggningsanvändarflöden Administratör för externt ID-användarflöde
Skapa, läsa, uppdatera och ta bort användarflöde för registrering Administratör för externt ID-användarflöde
Skapa, läsa, uppdatera och ta bort användarattribut Administratör för användarflödesattribut för externt ID
Skapa, läsa, uppdatera och ta bort användare Användaradministratör
Konfigurera inställningar för externt B2B-samarbete – Gästanvändaråtkomst Privilegierad rolladministratör
Konfigurera inställningar för externt B2B-samarbete – Inställningar för gästbjudning Gäst inbjudare Administratör för externt ID-användarflöde
Konfigurera inställningar för externt B2B-samarbete – Inställningar för extern användare som lämnar Administratör för extern identitetsprovider
Konfigurera inställningar för externt B2B-samarbete – Samarbetsbegränsningar Global administratör
Läsa alla konfigurationer Global läsare
Läsa B2C-granskningsloggar Global läsare

Not

Globala Administratörer i Azure AD B2C har inte samma behörigheter som globala Microsoft Entra-administratörer. Om du har globala administratörsbehörigheter för Azure AD B2C kontrollerar du att du befinner dig i en Azure AD B2C-katalog och inte i en Microsoft Entra-katalog.

Företagsanpassning

Uppgift Minst privilegierad roll Ytterligare roller
Konfigurera företagsanpassning Organisationsanpassningsadministratör
Läsa alla konfigurationer Katalogläsare Standardanvändarroll

Ansluta

Uppgift Minst privilegierad roll Ytterligare roller
Autentisering med genomströmning Hybrididentitetsadministratör
Läsa alla konfigurationer Global läsare Hybrididentitetsadministratör
Sömlös enkel inloggning Hybrididentitetsadministratör

Anslut synkronisering

Uppgift Minst privilegierad roll Ytterligare roller
Hantera lokal katalogsynkronisering Hybrididentitetsadministratör

Molnetablering

Uppgift Minst privilegierad roll Ytterligare roller
Autentisering med genomströmning Hybrididentitetsadministratör
Läsa alla konfigurationer Global läsare Hybrididentitetsadministratör
Sömlös enkel inloggning Hybrididentitetsadministratör

Anslut hälsa

Uppgift Minst privilegierad roll Ytterligare roller
Lägga till eller ta bort tjänster Ägare
Tillämpa korrigeringar på synkroniseringsfel Bidragsgivare Ägare
Konfigurera meddelanden Bidragsgivare Ägare
Konfigurera inställningar Ägare
Konfigurera synkroniseringsmeddelanden Bidragsgivare Ägare
Läsa ADFS-säkerhetsrapporter Säkerhetsläsare Bidragsgivare
Ägare
Läsa alla konfigurationer Läsare Bidragsgivare
Ägare
Läs synkroniseringsfel Läsare Bidragsgivare
Ägare
Läsa synkroniseringstjänster Läsare Bidragsgivare
Ägare
Visa mått och aviseringar Läsare Bidragsgivare
Ägare
Visa mått och aviseringar Läsare Bidragsgivare
Ägare
Visa mått och aviseringar för synkroniseringstjänsten Läsare Bidragsgivare
Ägare

Anpassade domännamn

Uppgift Minst privilegierad roll Ytterligare roller
Hantera domäner Domännamnsadministratör
Läsa alla konfigurationer Katalogläsare Standardanvändarroll

Domäntjänster

Uppgift Minst privilegierad roll Ytterligare roller
Skapa Microsoft Entra Domain Services-instans Programadministratör
Gruppadministratör
Domain Services-deltagare
Utföra alla Microsoft Entra Domain Services-uppgifter Gruppen AAD DC-administratörer
Läsa alla konfigurationer Läsare för Azure-prenumeration som innehåller AD DS-tjänsten

Enheter

Företagsprogram

Uppgift Minst privilegierad roll Ytterligare roller
Medgivande till delegerade behörigheter Molnprogramadministratör Programadministratör
Medgivande till programbehörigheter som inte omfattar Microsoft Graph Molnprogramadministratör Programadministratör
Medgivande till programbehörigheter till Microsoft Graph Privilegierad rolladministratör
Medgivande till program som har åtkomst till egna data Standardanvändarroll
Skapa företagsprogram Molnprogramadministratör Programadministratör
Hantera Programproxy Programadministratör
Läs åtkomstgranskning av en grupp eller en app Säkerhetsläsare Säkerhetsadministratör
Användaradministratör
Läsa alla konfigurationer Standardanvändarroll
Uppdatera tilldelningar av företagsprogram Företagsprogramägare Molnprogramadministratör
Programadministratör
Användaradministratör
Uppdatera företagets programägare Företagsprogramägare Molnprogramadministratör
Programadministratör
Uppdatera egenskaper för företagsprogram Företagsprogramägare Molnprogramadministratör
Programadministratör
Uppdatera etablering av företagsprogram Företagsprogramägare Molnprogramadministratör
Programadministratör
Uppdatera självbetjäning för företagsprogram Företagsprogramägare Molnprogramadministratör
Programadministratör
Uppdatera egenskaper för enkel inloggning Företagsprogramägare Molnprogramadministratör
Programadministratör
Skapa och ändra anpassade autentiseringstillägg Utökningsbarhetsadministratör för autentisering Programadministratör

Berättigandehantering

Uppgift Minst privilegierad roll Ytterligare roller
Lägga till resurser i en katalog Administratör för identitetsstyrning Med berättigandehantering kan du delegera den här uppgiften till katalogägaren
Lägga till SharePoint Online-webbplatser i katalogen SharePoint-administratör

Grupper

Uppgift Minst privilegierad roll Ytterligare roller
Tilldela licens Användaradministratör
Skapa grupp Gruppadministratör Användaradministratör
Skapa, uppdatera eller ta bort åtkomstgranskning av en grupp eller en app Användaradministratör
Hantera gruppens förfallodatum Användaradministratör
Hantera gruppinställningar Gruppadministratör Användaradministratör
Läs all konfiguration (förutom dolt medlemskap) Katalogläsare Standardanvändarroll
Läs dolt medlemskap Gruppmedlem Gruppägare
Lösenordsadministratör
Exchange-administratör
SharePoint-administratör
Teams-administratör
Användaradministratör
Läsa medlemskap i grupper med dolt medlemskap Supportadministratör Användaradministratör
Teams-administratör
Återkalla licens Licensadministratör Användaradministratör
Uppdatera dynamiska medlemskapsgrupper Gruppägare Användaradministratör
Uppdatera gruppägare Gruppägare Användaradministratör
Uppdatera gruppegenskaper Gruppägare Användaradministratör
Ta bort grupp Gruppadministratör Användaradministratör

Licenser

Uppgift Minst privilegierad roll Ytterligare roller
Tilldela licens Licensadministratör Användaradministratör
Läsa alla konfigurationer Katalogläsare Standardanvändarroll
Återkalla licens Licensadministratör Användaradministratör
Prova eller köp prenumeration Faktureringsadministratör

Microsoft Entra Health

Uppgift Minst privilegierad roll Ytterligare roller
Visa scenarioövervakningssignaler Rapportläsare Säkerhetsläsare
Säkerhetsoperator
Säkerhetsadministratör
Supportadministratör
Global läsare

Microsoft Entra ID Protection

Uppgift Minst privilegierad roll Ytterligare roller
Konfigurera aviseringsmeddelanden Säkerhetsadministratör
Konfigurera och aktivera eller inaktivera MFA-princip Säkerhetsadministratör
Konfigurera och aktivera eller inaktivera inloggningsriskprincip Säkerhetsadministratör
Konfigurera och aktivera eller inaktivera användarriskprincip Säkerhetsadministratör
Konfigurera veckosammandrag Säkerhetsadministratör
Stäng alla riskidentifieringar Säkerhetsadministratör
Åtgärda eller stänga säkerhetsrisker Säkerhetsadministratör
Läsa alla konfigurationer Säkerhetsläsare
Läs alla riskidentifieringar Säkerhetsläsare
Läs säkerhetsrisker Säkerhetsläsare

Övervakning och hälsa – Granskningsloggar

Uppgift Minst privilegierad roll Ytterligare roller
Läsa granskningsloggar Rapportläsare Säkerhetsläsare
Säkerhetsadministratör

Övervakning och hälsa – inloggningsloggar

Uppgift Minst privilegierad roll Ytterligare roller
Läs inloggningsloggar Rapportläsare Säkerhetsläsare
Säkerhetsadministratör
Global läsare

Övervakning och hälsa – Etableringsloggar

Övervakning och hälsa – Rekommendationer

Multifaktorautentisering

Uppgift Minst privilegierad roll Ytterligare roller
Ta bort alla befintliga applösenord som genererats av de valda användarna Administratör för autentiseringsprincip Autentiseringsadministratör
Inaktivera MFA per användare Autentiseringsadministratör Administratör för privilegierad autentisering
Aktivera MFA per användare Autentiseringsadministratör Administratör för privilegierad autentisering
Hantera MFA-tjänstinställningar Administratör för autentiseringsprincip
Kräv att valda användare anger kontaktmetoder igen Autentiseringsadministratör
Återställa multifaktorautentisering på alla ihågkomna enheter Autentiseringsadministratör

MFA-server

Uppgift Minst privilegierad roll Ytterligare roller
Blockera/avblockera användare Administratör för autentiseringsprincip
Konfigurera kontoutelåsning Administratör för autentiseringsprincip
Konfigurera cachelagringsregler Administratör för autentiseringsprincip
Konfigurera bedrägeriavisering Administratör för autentiseringsprincip
Konfigurera meddelanden Administratör för autentiseringsprincip
Konfigurera engångs-förbikoppling Administratör för autentiseringsprincip
Konfigurera inställningar för telefonsamtal Administratör för autentiseringsprincip
Konfigurera providers Administratör för autentiseringsprincip
Konfigurera serverinställningar Administratör för autentiseringsprincip
Rapport för läsaktivitet Global läsare
Läsa alla konfigurationer Global läsare
Läs serverstatus Global läsare

Organisationsrelationer

Uppgift Minst privilegierad roll Ytterligare roller
Hantera identitetsprovidrar Administratör för extern identitetsprovider
Läsa alla konfigurationer Global läsare

Lösenordsåterställning

Uppgift Minst privilegierad roll Ytterligare roller
Konfigurera autentiseringsmetoder Administratör för autentiseringsprincip
Konfigurera anpassning Administratör för autentiseringsprincip
Konfigurera meddelande Administratör för autentiseringsprincip
Konfigurera lokal integrering Administratör för autentiseringsprincip
Konfigurera egenskaper för lösenordsåterställning Användaradministratör Administratör för autentiseringsprincip
Konfigurera registrering Administratör för autentiseringsprincip
Läsa alla konfigurationer Säkerhetsadministratör Användaradministratör

Behörighetshantering

Vad är Microsoft Entra – behörighetshantering

Uppgift Minst privilegierad roll Ytterligare roller
Registrering av klientorganisation Administratör för behörighetshantering
Registrera molnmiljöer Administratör för behörighetshantering
Tilldela behörigheter i Microsoft Entra – behörighetshantering Administratör för behörighetshantering
Starta utvärderingsversionen och köp Microsoft Entra – behörighetshantering licenser Faktureringsadministratör

Privilegierad identitetshantering

Uppgift Minst privilegierad roll Ytterligare roller
Tilldela användare till roller Privilegierad rolladministratör
Konfigurera rollinställningar Privilegierad rolladministratör
Visa granskningsaktivitet Säkerhetsläsare
Visa rollmedlemskap Säkerhetsläsare

Roller och administratörer

Uppgift Minst privilegierad roll Ytterligare roller
Hantera rolltilldelningar Privilegierad rolladministratör
Läs åtkomstgranskning av en Microsoft Entra-roll Säkerhetsläsare Säkerhetsadministratör
Privilegierad rolladministratör
Läsa alla konfigurationer Standardanvändarroll

Säkerhet – Autentiseringsmetoder

Uppgift Minst privilegierad roll Ytterligare roller
Aktivera eller inaktivera autentiseringsmetoder Administratör för autentiseringsprincip
Visa, etablera för och hantera enskilda autentiseringsmetoder för användare Autentiseringsadministratör Administratör för privilegierad autentisering
Konfigurera lösenordsskydd Säkerhetsadministratör
Konfigurera smart utelåsning Säkerhetsadministratör
Läsa alla konfigurationer Global läsare

Säkerhet – villkorlig åtkomst

Säkerhet – identitetssäkerhetspoäng

Uppgift Minst privilegierad roll Ytterligare roller
Läsa alla konfigurationer Säkerhetsläsare Säkerhetsadministratör
Läs säkerhetspoäng Säkerhetsläsare Säkerhetsadministratör
Uppdatera händelsestatus Säkerhetsadministratör

Säkerhet – Riskfyllda inloggningar

Uppgift Minst privilegierad roll Ytterligare roller
Läsa alla konfigurationer Säkerhetsläsare
Läsa riskfyllda inloggningar Säkerhetsläsare

Säkerhet – Användare som flaggats för risk

Uppgift Minst privilegierad roll Ytterligare roller
Stäng alla händelser Säkerhetsadministratör
Läsa alla konfigurationer Säkerhetsläsare
Läsa användare som flaggats för risk Säkerhetsläsare

Tillfälligt åtkomstpass

Uppgift Minst privilegierad roll Ytterligare roller
Skapa, ta bort eller visa ett tillfälligt åtkomstpass för administratörer eller medlemmar (utom sig själva) Administratör för privilegierad autentisering
Skapa, ta bort eller visa ett tillfälligt åtkomstpass för medlemmar (utom sig själva) Autentiseringsadministratör
Visa information om ett tillfälligt åtkomstpass för en användare (utan att läsa själva koden) Global läsare
Konfigurera eller uppdatera autentiseringsmetodprincipen för tillfälligt åtkomstpass Administratör för autentiseringsprincip

Hyresgäst

Uppgift Minst privilegierad roll Ytterligare roller
Skapa Microsoft Entra-ID eller Azure AD B2C-klientorganisation Skapare av klientorganisation
Uppdatera egenskaper för Microsoft Entra-klientorganisationen Faktureringsadministratör
Hantera sekretesspolicy och kontakt Faktureringsadministratör

Användare

Uppgift Minst privilegierad roll Ytterligare roller
Lägg till användare i katalogrollen Privilegierad rolladministratör
Lägg till användare i grupp Användaradministratör
Tilldela licens Licensadministratör Användaradministratör
Skapa gästanvändare Gäst inbjudare Användaradministratör
Återställ gästanvändares inbjudan Supportadministratör Användaradministratör
Skapa användare Användaradministratör
Ta bort användare Användaradministratör
Ogiltigförklara uppdateringstoken för begränsade administratörer Användaradministratör
Ogiltigförklara uppdateringstoken för icke-administratörer Supportadministratör Användaradministratör
Ogiltigförklara uppdateringstoken för privilegierade administratörer Administratör för privilegierad autentisering
Läsa grundläggande konfiguration Standardanvändarroll
Återställa lösenord för begränsade administratörer Användaradministratör
Återställa lösenord för icke-administratörer Lösenordsadministratör Användaradministratör
Återställa lösenord för privilegierade administratörer Administratör för privilegierad autentisering
Återkalla licens Licensadministratör Användaradministratör
Uppdatera alla egenskaper utom användarens huvudnamn Användaradministratör
Uppdatera lokal synkroniseringsaktiverad egenskap Hybrididentitetsadministratör
Uppdatera användarens huvudnamn för begränsade administratörer Användaradministratör
Uppdatera egenskapen User Principal Name för privilegierade administratörer Administratör för privilegierad autentisering
Uppdatera användarinställningar – Standardbehörigheter för användarroller Privilegierad rolladministratör
Uppdatera användarinställningar – Gästanvändares åtkomst Privilegierad rolladministratör
Uppdatera användarinställningar – Administrationscenter Global administratör
Uppdatera användarinställningar – LinkedIn-kontoanslutningar Global administratör
Uppdatera användarinställningar – Visa behåll användaren inloggad Global administratör
Uppdatera autentiseringsmetoder Autentiseringsadministratör Administratör för privilegierad autentisering

Stöd

Nästa steg