Microsoft Entra ID 中按任务显示的最小特权角色
本文介绍了通过在 Microsoft Entra ID 中分配最小特权角色来限制用户管理员权限所需的信息。 你将能够查找按功能区域整理的任务、执行每项任务所需的最小特权角色,以及可执行任务的其他非全局管理员角色。
可以通过在较小范围内分配角色或创建自己的自定义角色来进一步限制权限。 有关详细信息,请参阅在不同的范围分配 Microsoft Entra 角色或在 Microsoft Entra ID 中创建和分配自定义角色。
应用程序代理
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 配置应用程序代理应用 | 应用程序管理员 | |
| 配置连接器组属性 | 应用程序管理员 | |
| 对所有用户禁用功能时,创建应用程序注册 | 应用程序开发人员 | 云应用程序管理员 应用程序管理员 |
| 创建连接器组 | 应用程序管理员 | |
| 删除连接器组 | 应用程序管理员 | |
| 禁用应用程序代理 | 应用程序管理员 | |
| 下载连接器服务 | 应用程序管理员 | |
| 读取所有配置 | 应用程序管理员 |
外部标识/B2C
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Azure AD B2C 目录 | 所有非来宾用户 | |
| 创建企业应用程序 | 云应用程序管理员 | 应用程序管理员 |
| 创建、读取、更新和删除 B2C 策略 | B2C IEF 策略管理员 | |
| 创建、读取、更新和删除标识提供者 | 外部标识提供者管理员 | |
| 创建、读取、更新和删除密码重置用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除配置文件编辑用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除登录用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除注册用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除用户特性 | 外部 ID 用户流属性管理员 | |
| 创建、读取、更新和删除用户 | 用户管理员 | |
| 配置 B2B 外部协作设置 - 来宾用户访问 | 特权角色管理员 | |
| 配置 B2B 外部协作设置 - 来宾邀请设置 | 来宾邀请者 | 外部 ID 用户流管理员 |
| 配置 B2B 外部协作设置 - 外部用户离开设置 | 外部标识提供者管理员 | |
| 配置 B2B 外部协作设置 - 协作限制 | 全局管理员 | |
| 读取所有配置 | 全局读取者 | |
| 读取 B2C 审核日志 | 全局读取者 |
注意
Azure AD B2C 全局管理员的权限与 Microsoft Entra 全局管理员的权限不同。 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Microsoft Entra 目录)中。
公司品牌
连接
Connect 同步
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 管理本地目录同步 | 混合标识管理员 |
云预配
Connect Health
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 添加或删除服务 | 所有者 | |
| 应用修复项来同步错误 | 参与者 | 所有者 |
| 配置通知 | 参与者 | 所有者 |
| 配置设置 | 所有者 | |
| 配置同步通知 | 参与者 | 所有者 |
| 读取 ADFS 安全报告 | 安全读取者 | 参与者 所有者 |
| 读取所有配置 | 读者 | 参与者 所有者 |
| 读取同步错误 | 读者 | 参与者 所有者 |
| 读取同步服务 | 读者 | 参与者 所有者 |
| 查看指标和警报 | 读者 | 参与者 所有者 |
| 查看指标和警报 | 读者 | 参与者 所有者 |
| 查看同步服务指标和警报 | 读者 | 参与者 所有者 |
自定义域名
域服务
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Microsoft Entra 域服务实例 | 应用程序管理员 组管理员 域服务参与者 |
|
| 执行所有 Microsoft Entra 域服务任务 | AAD DC 管理员组 | |
| 读取所有配置 | 包含 AD DS 服务的 Azure 订阅的读者 |
设备
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 删除设备 | 云设备管理员 | Intune 管理员 |
| 禁用设备 | 云设备管理员 | Intune 管理员 |
| 启用设备 | 云设备管理员 | Intune 管理员 |
| 读取基本配置 | 默认用户角色 | |
| 读取 BitLocker 密钥 | 云设备管理员 | 支持管理员 Intune 管理员 安全管理员 安全读取者 |
企业应用程序
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 同意任何委托的权限 | 云应用程序管理员 | 应用程序管理员 |
| 同意应用程序权限(不包括 Microsoft Graph) | 云应用程序管理员 | 应用程序管理员 |
| 同意 Microsoft Graph 的应用程序权限 | 特权角色管理员 | |
| 同意应用程序访问自己的数据 | 默认用户角色 | |
| 创建企业应用程序 | 云应用程序管理员 | 应用程序管理员 |
| 管理应用程序代理 | 应用程序管理员 | |
| 读取组或应用的访问评审 | 安全读取者 | 安全管理员 用户管理员 |
| 读取所有配置 | 默认用户角色 | |
| 更新企业应用程序分配 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 用户管理员 |
| 更新企业应用程序所有者 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新企业应用程序属性 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新企业应用程序预配 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新企业应用程序自助服务 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新单一登录属性 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 创建和修改自定义身份验证扩展 | 身份验证扩展性管理员 | 应用程序管理员 |
权利管理
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 将资源添加到目录 | Identity Governance 管理员 | 使用权利管理,可将此任务委托给目录所有者 |
| 向目录添加 SharePoint Online 站点 | SharePoint 管理员 |
组
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 分配许可证 | 用户管理员 | |
| 创建组 | 组管理员 | 用户管理员 |
| 创建、更新或删除组或应用的访问评审 | 用户管理员 | |
| 管理组到期时间 | 用户管理员 | |
| 管理组设置 | 组管理员 | 用户管理员 |
| 读取所有配置(隐藏成员身份除外) | 目录读取者 | 默认用户角色 |
| 读取隐藏成员身份 | 组成员 | 组所有者 密码管理员 Exchange 管理员 SharePoint 管理员 Teams 管理员 用户管理员 |
| 读取具有隐藏成员身份的组的成员身份 | 支持管理员 | 用户管理员 Teams 管理员 |
| 撤销许可证 | 许可证管理员 | 用户管理员 |
| 更新组成员身份 | 组所有者 | 用户管理员 |
| 更新组所有者 | 组所有者 | 用户管理员 |
| 更新组属性 | 组所有者 | 用户管理员 |
| 删除组 | 组管理员 | 用户管理员 |
标识保护
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 配置警报通知 | 安全管理员 | |
| 配置并启用/禁用 MFA 策略 | 安全管理员 | |
| 配置并启用/禁用登录风险策略 | 安全管理员 | |
| 配置并启用/禁用用户风险策略 | 安全管理员 | |
| 配置每周摘要 | 安全管理员 | |
| 消除所有风险检测 | 安全管理员 | |
| 修复或消除漏洞 | 安全管理员 | |
| 读取所有配置 | 安全读取者 | |
| 读取所有风险检测 | 安全读取者 | |
| 读取漏洞 | 安全读取者 |
许可证
监视 - 审核日志
监视 - 登录
多重身份验证
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 删除选定用户生成的所有现有应用密码 | 身份验证策略管理员 | 身份验证管理员 |
| 禁用每用户 MFA | 身份验证管理员 | 特权身份验证管理员 |
| 启用每用户 MFA | 身份验证管理员 | 特权身份验证管理员 |
| 管理 MFA 服务设置 | 身份验证策略管理员 | |
| 要求选定的用户再次提供联系方法 | 身份验证管理员 | |
| 在所有记住的设备上还原多重身份验证 | 身份验证管理员 |
MFA 服务器
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 阻止/解除阻止用户 | 身份验证策略管理员 | |
| 配置帐户锁定 | 身份验证策略管理员 | |
| 配置缓存规则 | 身份验证策略管理员 | |
| 配置欺诈警报 | 身份验证策略管理员 | |
| 配置通知 | 身份验证策略管理员 | |
| 配置免验证一次 | 身份验证策略管理员 | |
| 配置电话呼叫设置 | 身份验证策略管理员 | |
| 配置提供程序 | 身份验证策略管理员 | |
| 配置服务器设置 | 身份验证策略管理员 | |
| 读取活动报表 | 全局读取者 | |
| 读取所有配置 | 全局读取者 | |
| 读取服务器状态 | 全局读取者 |
组织关系
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 管理标识提供者 | 外部标识提供者管理员 | |
| 读取所有配置 | 全局读取者 |
密码重置
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 配置身份验证方法 | 身份验证策略管理员 | |
| 配置自定义 | 身份验证策略管理员 | |
| 配置通知 | 身份验证策略管理员 | |
| 配置本地集成 | 身份验证策略管理员 | |
| 配置密码重置属性 | 用户管理员 | 身份验证策略管理员 |
| 配置注册 | 身份验证策略管理员 | |
| 读取所有配置 | 安全管理员 | 用户管理员 |
权限管理
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 正在载入租户 | 权限管理管理员 | |
| 载入云环境 | 权限管理管理员 | |
| 在 Microsoft Entra 权限管理中分配权限 | 权限管理管理员 | |
| 欢迎试用并购买 Microsoft Entra 权限管理许可证 | 计费管理员 |
Privileged identity management
角色和管理员
安全性 - 身份验证方法
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 启用或禁用身份验证方法 | 身份验证策略管理员 | |
| 查看、代表和管理单个用户身份验证方法 | 身份验证管理员 | 特权身份验证管理员 |
| 配置密码保护 | 安全管理员 | |
| 配置智能锁定 | 安全管理员 | |
| 读取所有配置 | 全局读取者 |
安全性 - 条件访问
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 配置 MFA 受信任的 IP | 条件访问管理员 | |
| 创建自定义控件 | 条件访问管理员 | 安全管理员 |
| 创建命名位置 | 条件访问管理员 | 安全管理员 |
| 创建策略 | 条件访问管理员 | 安全管理员 |
| 创建使用条款 | 条件访问管理员 | 安全管理员 |
| 创建 VPN 连接证书 | 云应用程序管理员 | 应用程序管理员 |
| 删除经典策略 | 条件访问管理员 | 安全管理员 |
| 删除使用条款 | 条件访问管理员 | 安全管理员 |
| 删除 VPN 连接证书 | 条件访问管理员 | 安全管理员 |
| 禁用经典策略 | 条件访问管理员 | 安全管理员 |
| 管理自定义控件 | 条件访问管理员 | 安全管理员 |
| 管理命名位置 | 条件访问管理员 | 安全管理员 |
| 管理使用条款 | 条件访问管理员 | 安全管理员 |
| 读取所有配置 | 默认用户角色 | |
| 读取命名位置 | 默认用户角色 |
安全性 - 标识安全分数
安全性 - 风险登录
安全性 - 已标记为存在风险的用户
临时访问密码
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建、删除或查看管理员或成员(除了自身之外)的临时访问密码 | 特权身份验证管理员 | |
| 创建、删除或查看成员(除了自身之外)的临时访问密码 | 身份验证管理员 | |
| 查看用户的临时访问密码详细信息(无需读取代码本身) | 全局读取者 | |
| 配置或更新临时访问密码身份验证方法策略 | 身份验证策略管理员 |
租户
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Microsoft Entra ID 或 Azure AD B2C 租户 | 租户创建者 | |
| 更新 Microsoft Entra 租户属性 | 计费管理员 | |
| 管理隐私声明和联系人 | 计费管理员 |
用户
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 将用户添加到目录角色 | 特权角色管理员 | |
| 将用户添加到组 | 用户管理员 | |
| 分配许可证 | 许可证管理员 | 用户管理员 |
| 创建来宾用户 | 来宾邀请者 | 用户管理员 |
| 重置来宾用户邀请 | 支持管理员 | 用户管理员 |
| 创建用户 | 用户管理员 | |
| 删除用户 | 用户管理员 | |
| 使受限管理员的刷新令牌失效 | 用户管理员 | |
| 使非管理员的刷新令牌失效 | 支持管理员 | 用户管理员 |
| 使特权管理员的刷新令牌失效 | 特权身份验证管理员 | |
| 读取基本配置 | 默认用户角色 | |
| 重置受限管理员的密码 | 用户管理员 | |
| 重置非管理员的密码 | 密码管理员 | 用户管理员 |
| 重置特权管理员的密码 | 特权身份验证管理员 | |
| 撤销许可证 | 许可证管理员 | 用户管理员 |
| 更新除用户主体名称之外的所有属性 | 用户管理员 | |
| 更新启用本地同步的属性 | 混合标识管理员 | |
| 更新受限管理员的用户主体名称 | 用户管理员 | |
| 更新特权管理员的用户主体名称属性 | 特权身份验证管理员 | |
| 更新用户设置 - 默认用户角色权限 | 特权角色管理员 | |
| 更新用户设置 - 来宾用户访问 | 特权角色管理员 | |
| 更新用户设置 - 管理中心 | 全局管理员 | |
| 更新用户设置 - 领英帐户连接 | 全局管理员 | |
| 更新用户设置 - 显示保持用户登录状态 | 全局管理员 | |
| 更新身份验证方法 | 身份验证管理员 | 特权身份验证管理员 |
支持
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 提交支持票证 | 服务支持管理员 | 应用程序管理员 Azure 信息保护管理员 计费管理员 云应用程序管理员 合规性管理员 Dynamics 365 管理员 桌面分析管理员 Exchange 管理员 Intune 管理员 密码管理员 Fabric 管理员 特权身份验证管理员 SharePoint 管理员 Skype for Business 管理员 Teams 管理员 Teams 通信管理员 用户管理员 |
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈