Microsoft Entra ID 中按任务显示的最小特权角色

本文介绍了通过在 Microsoft Entra ID 中分配最小特权角色来限制用户管理员权限所需的信息。 你将能够查找按功能区域整理的任务、执行每项任务所需的最小特权角色,以及可执行任务的其他非全局管理员角色。

可以通过在较小范围内分配角色或创建自己的自定义角色来进一步限制权限。 有关详细信息,请参阅在不同的范围分配 Microsoft Entra 角色在 Microsoft Entra ID 中创建和分配自定义角色

应用程序代理

任务 最小特权角色 其他角色
配置应用程序代理应用 应用程序管理员
配置连接器组属性 应用程序管理员
对所有用户禁用功能时,创建应用程序注册 应用程序开发人员 云应用程序管理员
应用程序管理员
创建连接器组 应用程序管理员
删除连接器组 应用程序管理员
禁用应用程序代理 应用程序管理员
下载连接器服务 应用程序管理员
读取所有配置 应用程序管理员

外部标识/B2C

任务 最小特权角色 其他角色
创建 Azure AD B2C 目录 所有非来宾用户
创建企业应用程序 云应用程序管理员 应用程序管理员
创建、读取、更新和删除 B2C 策略 B2C IEF 策略管理员
创建、读取、更新和删除标识提供者 外部标识提供者管理员
创建、读取、更新和删除密码重置用户流 外部 ID 用户流管理员
创建、读取、更新和删除配置文件编辑用户流 外部 ID 用户流管理员
创建、读取、更新和删除登录用户流 外部 ID 用户流管理员
创建、读取、更新和删除注册用户流 外部 ID 用户流管理员
创建、读取、更新和删除用户特性 外部 ID 用户流属性管理员
创建、读取、更新和删除用户 用户管理员
配置 B2B 外部协作设置 - 来宾用户访问 特权角色管理员
配置 B2B 外部协作设置 - 来宾邀请设置 来宾邀请者 外部 ID 用户流管理员
配置 B2B 外部协作设置 - 外部用户离开设置 外部标识提供者管理员
配置 B2B 外部协作设置 - 协作限制 全局管理员
读取所有配置 全局读取者
读取 B2C 审核日志 全局读取者

注意

Azure AD B2C 全局管理员的权限与 Microsoft Entra 全局管理员的权限不同。 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Microsoft Entra 目录)中。

公司品牌

任务 最小特权角色 其他角色
配置公司品牌 组织品牌管理员
读取所有配置 目录读取者 默认用户角色

连接

任务 最小特权角色 其他角色
直通身份验证 混合标识管理员
读取所有配置 全局读取者 混合标识管理员
无缝单一登录 混合标识管理员

Connect 同步

任务 最小特权角色 其他角色
管理本地目录同步 混合标识管理员

云预配

任务 最小特权角色 其他角色
直通身份验证 混合标识管理员
读取所有配置 全局读取者 混合标识管理员
无缝单一登录 混合标识管理员

Connect Health

任务 最小特权角色 其他角色
添加或删除服务 所有者
应用修复项来同步错误 参与者 所有者
配置通知 参与者 所有者
配置设置 所有者
配置同步通知 参与者 所有者
读取 ADFS 安全报告 安全读取者 参与者
所有者
读取所有配置 读者 参与者
所有者
读取同步错误 读者 参与者
所有者
读取同步服务 读者 参与者
所有者
查看指标和警报 读者 参与者
所有者
查看指标和警报 读者 参与者
所有者
查看同步服务指标和警报 读者 参与者
所有者

自定义域名

任务 最小特权角色 其他角色
管理域 域名管理员
读取所有配置 目录读取者 默认用户角色

域服务

任务 最小特权角色 其他角色
创建 Microsoft Entra 域服务实例 应用程序管理员
组管理员
域服务参与者
执行所有 Microsoft Entra 域服务任务 AAD DC 管理员组
读取所有配置 包含 AD DS 服务的 Azure 订阅的读者

设备

企业应用程序

任务 最小特权角色 其他角色
同意任何委托的权限 云应用程序管理员 应用程序管理员
同意应用程序权限(不包括 Microsoft Graph) 云应用程序管理员 应用程序管理员
同意 Microsoft Graph 的应用程序权限 特权角色管理员
同意应用程序访问自己的数据 默认用户角色
创建企业应用程序 云应用程序管理员 应用程序管理员
管理应用程序代理 应用程序管理员
读取组或应用的访问评审 安全读取者 安全管理员
用户管理员
读取所有配置 默认用户角色
更新企业应用程序分配 企业应用程序所有者 云应用程序管理员
应用程序管理员
用户管理员
更新企业应用程序所有者 企业应用程序所有者 云应用程序管理员
应用程序管理员
更新企业应用程序属性 企业应用程序所有者 云应用程序管理员
应用程序管理员
更新企业应用程序预配 企业应用程序所有者 云应用程序管理员
应用程序管理员
更新企业应用程序自助服务 企业应用程序所有者 云应用程序管理员
应用程序管理员
更新单一登录属性 企业应用程序所有者 云应用程序管理员
应用程序管理员
创建和修改自定义身份验证扩展 身份验证扩展性管理员 应用程序管理员

权利管理

任务 最小特权角色 其他角色
将资源添加到目录 Identity Governance 管理员 使用权利管理,可将此任务委托给目录所有者
向目录添加 SharePoint Online 站点 SharePoint 管理员

任务 最小特权角色 其他角色
分配许可证 用户管理员
创建组 组管理员 用户管理员
创建、更新或删除组或应用的访问评审 用户管理员
管理组到期时间 用户管理员
管理组设置 组管理员 用户管理员
读取所有配置(隐藏成员身份除外) 目录读取者 默认用户角色
读取隐藏成员身份 组成员 组所有者
密码管理员
Exchange 管理员
SharePoint 管理员
Teams 管理员
用户管理员
读取具有隐藏成员身份的组的成员身份 支持管理员 用户管理员
Teams 管理员
撤销许可证 许可证管理员 用户管理员
更新组成员身份 组所有者 用户管理员
更新组所有者 组所有者 用户管理员
更新组属性 组所有者 用户管理员
删除组 组管理员 用户管理员

标识保护

任务 最小特权角色 其他角色
配置警报通知 安全管理员
配置并启用/禁用 MFA 策略 安全管理员
配置并启用/禁用登录风险策略 安全管理员
配置并启用/禁用用户风险策略 安全管理员
配置每周摘要 安全管理员
消除所有风险检测 安全管理员
修复或消除漏洞 安全管理员
读取所有配置 安全读取者
读取所有风险检测 安全读取者
读取漏洞 安全读取者

许可证

任务 最小特权角色 其他角色
分配许可证 许可证管理员 用户管理员
读取所有配置 目录读取者 默认用户角色
撤销许可证 许可证管理员 用户管理员
试用或购买订阅 计费管理员

监视 - 审核日志

任务 最小特权角色 其他角色
读取审核日志 报告读取者 安全读取者
安全管理员

监视 - 登录

任务 最小特权角色 其他角色
读取登录日志 报告读取者 安全读取者
安全管理员
全局读取者

多重身份验证

任务 最小特权角色 其他角色
删除选定用户生成的所有现有应用密码 身份验证策略管理员 身份验证管理员
禁用每用户 MFA 身份验证管理员 特权身份验证管理员
启用每用户 MFA 身份验证管理员 特权身份验证管理员
管理 MFA 服务设置 身份验证策略管理员
要求选定的用户再次提供联系方法 身份验证管理员
在所有记住的设备上还原多重身份验证 身份验证管理员

MFA 服务器

任务 最小特权角色 其他角色
阻止/解除阻止用户 身份验证策略管理员
配置帐户锁定 身份验证策略管理员
配置缓存规则 身份验证策略管理员
配置欺诈警报 身份验证策略管理员
配置通知 身份验证策略管理员
配置免验证一次 身份验证策略管理员
配置电话呼叫设置 身份验证策略管理员
配置提供程序 身份验证策略管理员
配置服务器设置 身份验证策略管理员
读取活动报表 全局读取者
读取所有配置 全局读取者
读取服务器状态 全局读取者

组织关系

任务 最小特权角色 其他角色
管理标识提供者 外部标识提供者管理员
读取所有配置 全局读取者

密码重置

任务 最小特权角色 其他角色
配置身份验证方法 身份验证策略管理员
配置自定义 身份验证策略管理员
配置通知 身份验证策略管理员
配置本地集成 身份验证策略管理员
配置密码重置属性 用户管理员 身份验证策略管理员
配置注册 身份验证策略管理员
读取所有配置 安全管理员 用户管理员

权限管理

什么是 Microsoft Entra 权限管理

任务 最小特权角色 其他角色
正在载入租户 权限管理管理员
载入云环境 权限管理管理员
在 Microsoft Entra 权限管理中分配权限 权限管理管理员
欢迎试用并购买 Microsoft Entra 权限管理许可证 计费管理员

Privileged identity management

任务 最小特权角色 其他角色
将用户分配到角色 特权角色管理员
配置角色设置 特权角色管理员
查看审核活动 安全读取者
查看角色成员身份 安全读取者

角色和管理员

任务 最小特权角色 其他角色
管理角色分配 特权角色管理员
读取 Microsoft Entra 角色的访问评审 安全读取者 安全管理员
特权角色管理员
读取所有配置 默认用户角色

安全性 - 身份验证方法

任务 最小特权角色 其他角色
启用或禁用身份验证方法 身份验证策略管理员
查看、代表和管理单个用户身份验证方法 身份验证管理员 特权身份验证管理员
配置密码保护 安全管理员
配置智能锁定 安全管理员
读取所有配置 全局读取者

安全性 - 条件访问

任务 最小特权角色 其他角色
配置 MFA 受信任的 IP 条件访问管理员
创建自定义控件 条件访问管理员 安全管理员
创建命名位置 条件访问管理员 安全管理员
创建策略 条件访问管理员 安全管理员
创建使用条款 条件访问管理员 安全管理员
创建 VPN 连接证书 云应用程序管理员 应用程序管理员
删除经典策略 条件访问管理员 安全管理员
删除使用条款 条件访问管理员 安全管理员
删除 VPN 连接证书 条件访问管理员 安全管理员
禁用经典策略 条件访问管理员 安全管理员
管理自定义控件 条件访问管理员 安全管理员
管理命名位置 条件访问管理员 安全管理员
管理使用条款 条件访问管理员 安全管理员
读取所有配置 默认用户角色
读取命名位置 默认用户角色

安全性 - 标识安全分数

任务 最小特权角色 其他角色
读取所有配置 安全读取者 安全管理员
读取安全分数 安全读取者 安全管理员
更新事件状态 安全管理员

安全性 - 风险登录

任务 最小特权角色 其他角色
读取所有配置 安全读取者
读取有风险的登录 安全读取者

安全性 - 已标记为存在风险的用户

任务 最小特权角色 其他角色
清除所有事件 安全管理员
读取所有配置 安全读取者
读取已标记为存在风险的用户 安全读取者

临时访问密码

任务 最小特权角色 其他角色
创建、删除或查看管理员或成员(除了自身之外)的临时访问密码 特权身份验证管理员
创建、删除或查看成员(除了自身之外)的临时访问密码 身份验证管理员
查看用户的临时访问密码详细信息(无需读取代码本身) 全局读取者
配置或更新临时访问密码身份验证方法策略 身份验证策略管理员

租户

任务 最小特权角色 其他角色
创建 Microsoft Entra ID 或 Azure AD B2C 租户 租户创建者
更新 Microsoft Entra 租户属性 计费管理员
管理隐私声明和联系人 计费管理员

用户

任务 最小特权角色 其他角色
将用户添加到目录角色 特权角色管理员
将用户添加到组 用户管理员
分配许可证 许可证管理员 用户管理员
创建来宾用户 来宾邀请者 用户管理员
重置来宾用户邀请 支持管理员 用户管理员
创建用户 用户管理员
删除用户 用户管理员
使受限管理员的刷新令牌失效 用户管理员
使非管理员的刷新令牌失效 支持管理员 用户管理员
使特权管理员的刷新令牌失效 特权身份验证管理员
读取基本配置 默认用户角色
重置受限管理员的密码 用户管理员
重置非管理员的密码 密码管理员 用户管理员
重置特权管理员的密码 特权身份验证管理员
撤销许可证 许可证管理员 用户管理员
更新除用户主体名称之外的所有属性 用户管理员
更新启用本地同步的属性 混合标识管理员
更新受限管理员的用户主体名称 用户管理员
更新特权管理员的用户主体名称属性 特权身份验证管理员
更新用户设置 - 默认用户角色权限 特权角色管理员
更新用户设置 - 来宾用户访问 特权角色管理员
更新用户设置 - 管理中心 全局管理员
更新用户设置 - 领英帐户连接 全局管理员
更新用户设置 - 显示保持用户登录状态 全局管理员
更新身份验证方法 身份验证管理员 特权身份验证管理员

支持

后续步骤