Microsoft Entra ID 中工作的最低特殊權限角色
在本文中,您可以藉由在 Microsoft Entra ID 中指派最低特殊許可權角色,找到限制使用者系統管理員許可權所需的資訊。 您可以找到依功能區域組織的工作,以及執行每個工作所需的最低特殊許可權角色,以及可執行工作的其他非全域 管理員 istrator 角色。
您可以藉由在較小的範圍或建立自己的自定義角色,來進一步限制許可權。 如需詳細資訊,請參閱 在不同範圍 指派 Microsoft Entra 角色,或在 Microsoft Entra ID 中建立和指派自定義角色。
應用程式 Proxy
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定應用程式 Proxy 應用程式 | 應用程式系統管理員 | |
| 設定連接器群組屬性 | 應用程式系統管理員 | |
| 停用所有使用者的功能時建立應用程式註冊 | 應用程式開發人員 | 雲端應用程式 管理員 istrator 應用程式系統管理員 |
| 建立連接器群組 | 應用程式系統管理員 | |
| 刪除連接器群組 | 應用程式系統管理員 | |
| 停用應用程式 Proxy | 應用程式系統管理員 | |
| 下載連接器服務 | 應用程式系統管理員 | |
| 讀取所有設定 | 應用程式系統管理員 |
外部身分識別/B2C
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Azure AD B2C 目錄 | 所有非來賓使用者 | |
| 建立企業應用程式 | 雲端應用程式 管理員 istrator | 應用程式系統管理員 |
| 建立、讀取、更新和刪除 B2C 原則 | B2C IEF 原則 管理員 istrator | |
| 建立、讀取、更新和刪除識別提供者 | 外部識別提供者 管理員 istrator | |
| 建立、讀取、更新和刪除密碼重設使用者流程 | 外部標識碼使用者流程 管理員 istrator | |
| 建立、讀取、更新和刪除配置檔編輯使用者流程 | 外部標識碼使用者流程 管理員 istrator | |
| 建立、讀取、更新和刪除登入使用者流程 | 外部標識碼使用者流程 管理員 istrator | |
| 建立、讀取、更新和刪除註冊用戶流程 | 外部標識碼使用者流程 管理員 istrator | |
| 建立、讀取、更新和刪除用戶屬性 | 外部標識碼使用者流程屬性 管理員 istrator | |
| 建立、讀取、更新和刪除使用者 | 使用者管理員 | |
| 設定 B2B 外部共同作業設定 | 全域管理員 | |
| 讀取所有設定 | 全域讀取器 | |
| 讀取 B2C 稽核記錄 | 全域讀取器 |
注意
Azure AD B2C Global 管理員 istrators 沒有與 Microsoft Entra Global 管理員 istrators 相同的許可權。 如果您有 Azure AD B2C 全域 管理員 istrator 許可權,請確定您位於 Azure AD B2C 目錄中,而不是 Microsoft Entra 目錄。
公司商標
連線
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 傳遞驗證 | 混合式身分識別 管理員 istrator | |
| 讀取所有設定 | 全域讀取器 | 混合式身分識別 管理員 istrator |
| 無縫單一登入 | 混合式身分識別 管理員 istrator |
雲端布建
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 傳遞驗證 | 混合式身分識別 管理員 istrator | |
| 讀取所有設定 | 全域讀取器 | 混合式身分識別 管理員 istrator |
| 無縫單一登入 | 混合式身分識別 管理員 istrator |
連線情況
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 新增或刪除服務 | 負責人 | |
| 套用修正程式以同步處理錯誤 | 參與者 | 負責人 |
| 設定通知 | 參與者 | 負責人 |
| 配置設定 | 負責人 | |
| 設定同步通知 | 參與者 | 負責人 |
| 讀取ADFS安全性報告 | 安全性讀取者 | 參與者 負責人 |
| 讀取所有設定 | 讀取者 | 參與者 負責人 |
| 讀取同步處理錯誤 | 讀取者 | 參與者 負責人 |
| 讀取同步處理服務 | 讀取者 | 參與者 負責人 |
| 檢視計量和警示 | 讀取者 | 參與者 負責人 |
| 檢視計量和警示 | 讀取者 | 參與者 負責人 |
| 檢視同步服務計量和警示 | 讀取者 | 參與者 負責人 |
自訂網域名稱
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理網域 | 功能變數名稱 管理員 istrator | |
| 讀取所有設定 | 目錄讀取者 | 默認使用者角色 |
Domain Services
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Microsoft Entra Domain Services 實例 | 應用程式系統管理員 群組管理員 網域服務參與者 |
|
| 執行所有 Microsoft Entra Domain Services 工作 | AAD DC 管理員 istrators 群組 | |
| 讀取所有設定 | Azure 訂用帳戶上的讀取者,其中包含 AD DS 服務 |
裝置
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 刪除裝置 | 雲端裝置 管理員 istrator | Intune 管理員 istrator |
| 停用裝置 | 雲端裝置 管理員 istrator | Intune 管理員 istrator |
| 啟用裝置 | 雲端裝置 管理員 istrator | Intune 管理員 istrator |
| 讀取基本組態 | 默認使用者角色 | |
| 讀取 BitLocker 金鑰 | 雲端裝置 管理員 istrator | 服務台系統管理員 Intune 管理員 istrator 安全性系統管理員 安全性讀取者 |
企業應用程式
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 同意任何委派的許可權 | 雲端應用程式 管理員 istrator | 應用程式系統管理員 |
| 同意應用程式許可權,不包括 Microsoft Graph | Cloud Application 管理員 istrator | 應用程式系統管理員 |
| 同意 Microsoft Graph 的應用程式許可權 | 特殊權限角色管理員 | |
| 同意應用程式存取自己的數據 | 默認使用者角色 | |
| 建立企業應用程式 | 雲端應用程式 管理員 istrator | 應用程式系統管理員 |
| 管理 應用程式 Proxy | 應用程式系統管理員 | |
| 管理使用者設定 | 全域管理員 | |
| 讀取群組或應用程式的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 使用者管理員 |
| 讀取所有設定 | 默認使用者角色 | |
| 更新企業應用程式指派 | 企業應用程式擁有者 | 雲端應用程式 管理員 istrator 應用程式系統管理員 使用者管理員 |
| 更新企業應用程式擁有者 | 企業應用程式擁有者 | 雲端應用程式 管理員 istrator 應用程式系統管理員 |
| 更新企業應用程式屬性 | 企業應用程式擁有者 | 雲端應用程式 管理員 istrator 應用程式系統管理員 |
| 更新企業應用程式佈建 | 企業應用程式擁有者 | 雲端應用程式 管理員 istrator 應用程式系統管理員 |
| 更新企業應用程式自助 | 企業應用程式擁有者 | 雲端應用程式 管理員 istrator 應用程式系統管理員 |
| 更新單一登錄屬性 | 企業應用程式擁有者 | 雲端應用程式 管理員 istrator 應用程式系統管理員 |
| 建立和修改自定義驗證延伸模組 | 驗證擴充性 管理員 istrator | 應用程式系統管理員 |
權利管理
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 將資源新增到目錄 | Identity Governance 管理員 istrator | 透過權利管理,您可以將這項工作委派給 目錄擁有者 |
| 將 SharePoint Online 網站新增至目錄 | SharePoint 管理員 istrator |
群組
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 指派授權 | 使用者管理員 | |
| 建立群組 | 群組管理員 | 使用者管理員 |
| 建立、更新或刪除群組或應用程式的存取權檢閱 | 使用者管理員 | |
| 管理群組到期日 | 使用者管理員 | |
| 管理群組設定 | 群組管理員 | 使用者管理員 |
| 讀取所有設定 (隱藏成員資格除外) | 目錄讀取者 | 默認使用者角色 |
| 讀取隱藏成員資格 | 群組成員 | 群組擁有者 密碼管理員 Exchange 系統管理員 SharePoint 管理員 istrator Teams 管理員 istrator 使用者管理員 |
| 讀取具有隱藏成員資格的群組成員資格 | 服務台系統管理員 | 使用者管理員 Teams 管理員 istrator |
| 撤銷授權 | License 管理員 istrator | 使用者管理員 |
| 更新群組成員資格 | 群組擁有者 | 使用者管理員 |
| 更新群組擁有者 | 群組擁有者 | 使用者管理員 |
| 更新群組屬性 | 群組擁有者 | 使用者管理員 |
| 刪除群組 | 群組管理員 | 使用者管理員 |
身分識別保護
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定警示通知 | 安全性系統管理員 | |
| 設定及啟用或停用 MFA 原則 | 安全性系統管理員 | |
| 設定及啟用或停用登入風險原則 | 安全性系統管理員 | |
| 設定及啟用或停用用戶風險原則 | 安全性系統管理員 | |
| 設定每周摘要 | 安全性系統管理員 | |
| 關閉所有風險偵測 | 安全性系統管理員 | |
| 修正或關閉弱點 | 安全性系統管理員 | |
| 讀取所有設定 | 安全性讀取者 | |
| 讀取所有風險偵測 | 安全性讀取者 | |
| 讀取弱點 | 安全性讀取者 |
授權
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 指派授權 | License 管理員 istrator | 使用者管理員 |
| 讀取所有設定 | 目錄讀取者 | 默認使用者角色 |
| 撤銷授權 | License 管理員 istrator | 使用者管理員 |
| 試用或購買訂用帳戶 | Billing 管理員 istrator |
監視 - 稽核記錄
監視 - 登入
多重要素驗證
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 刪除選定使用者產生的所有現有應用程式密碼 | 驗證原則 管理員 istrator | 驗證管理員 |
| 停用每個使用者 MFA | 驗證管理員 | Privileged Authentication 管理員 istrator |
| 啟用每個使用者 MFA | 驗證管理員 | Privileged Authentication 管理員 istrator |
| 管理 MFA 服務設定 | 驗證原則 管理員 istrator | |
| 要求選定使用者再次提供連絡方法 | 驗證管理員 | |
| 在所有記住的裝置上還原多重要素驗證 | 驗證管理員 |
MFA Server
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 封鎖/解除封鎖使用者 | 驗證原則 管理員 istrator | |
| 設定帳戶鎖定 | 驗證原則 管理員 istrator | |
| 設定快取規則 | 驗證原則 管理員 istrator | |
| 設定詐騙警示 | 驗證原則 管理員 istrator | |
| 設定通知 | 驗證原則 管理員 istrator | |
| 設定一次性略過 | 驗證原則 管理員 istrator | |
| 設定通話設定 | 驗證原則 管理員 istrator | |
| 設定提供者 | 驗證原則 管理員 istrator | |
| 設定伺服器設定 | 驗證原則 管理員 istrator | |
| 讀取活動報告 | 全域讀取器 | |
| 讀取所有設定 | 全域讀取器 | |
| 讀取伺服器狀態 | 全域讀取器 |
組織關係
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理識別提供者 | 外部識別提供者 管理員 istrator | |
| 管理設定 | 全域管理員 | |
| 管理隱私聲明和聯繫人 | 全域管理員 | |
| 讀取所有設定 | 全域讀取器 |
密碼重設
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定驗證方法 | 驗證原則 管理員 istrator | |
| 設定自定義 | 驗證原則 管理員 istrator | |
| 設定通知 | 驗證原則 管理員 istrator | |
| 設定內部部署整合 | 驗證原則 管理員 istrator | |
| 設定密碼重設屬性 | 使用者管理員 | 驗證原則 管理員 istrator |
| 設定註冊 | 驗證原則 管理員 istrator | |
| 讀取所有設定 | 安全性系統管理員 | 使用者管理員 |
Privileged identity management
角色與系統管理員
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理角色指派 | 特殊權限角色管理員 | |
| 讀取 Microsoft Entra 角色的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 特殊權限角色管理員 |
| 讀取所有設定 | 默認使用者角色 |
安全性 - 驗證方法
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 啟用或停用驗證方法 | 驗證原則 管理員 istrator | |
| 檢視、代表及管理個別使用者驗證方法 | 驗證管理員 | 特殊許可權驗證 管理員 istrator |
| 設定密碼保護 | 安全性系統管理員 | |
| 設定智能鎖定 | 安全性系統管理員 | |
| 讀取所有設定 | 全域讀取器 |
安全性 - 條件式存取
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定 MFA 信任的 IP 位址 | 條件式存取系統管理員 | |
| 建立自訂控制項 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立具名位置 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立原則 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立 VPN 連線憑證 | 雲端應用程式 管理員 istrator | 應用程式系統管理員 |
| 刪除傳統原則 | 條件式存取系統管理員 | 安全性系統管理員 |
| 刪除使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
| 刪除 VPN 連線憑證 | 條件式存取系統管理員 | 安全性系統管理員 |
| 停用傳統原則 | 條件式存取系統管理員 | 安全性系統管理員 |
| 管理自定義控制件 | 條件式存取系統管理員 | 安全性系統管理員 |
| 管理具名位置 | 條件式存取系統管理員 | 安全性系統管理員 |
| 管理使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
| 讀取所有設定 | 默認使用者角色 | |
| 讀取具名位置 | 默認使用者角色 |
安全性 - 身分識別安全性分數
安全性 - 具風險的登入
安全性 - 標幟為風險的使用者
暫時存取通行證
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立、刪除或檢視系統管理員或成員的暫時存取通行證(但本身除外) | 特殊許可權驗證 管理員 istrator | |
| 建立、刪除或檢視成員的暫時存取通行證(但本身除外) | 驗證管理員 | |
| 檢視使用者的暫時存取通行證詳細資料(不讀取程式代碼本身) | 全域讀取器 | |
| 設定或更新暫時存取傳遞驗證方法原則 | 驗證原則 管理員 istrator |
租用戶
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Microsoft Entra ID 或 Azure AD B2C 租使用者 | 租使用者建立者 | |
| 更新 Microsoft Entra 租用戶屬性 | Billing 管理員 istrator |
使用者
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 將使用者新增至目錄角色 | 特殊權限角色管理員 | |
| 將使用者新增至群組 | 使用者管理員 | |
| 指派授權 | License 管理員 istrator | 使用者管理員 |
| 建立來賓使用者 | 來賓邀請者 | 使用者管理員 |
| 重設來賓用戶邀請 | 服務台系統管理員 | 使用者管理員 |
| 建立使用者 | 使用者管理員 | |
| 刪除使用者 | 使用者管理員 | |
| 使有限系統管理員的重新整理令牌失效 | 使用者管理員 | |
| 使非系統管理員的重新整理令牌失效 | 服務台系統管理員 | 使用者管理員 |
| 使特殊許可權系統管理員的重新整理令牌失效 | 特殊許可權驗證 管理員 istrator | |
| 讀取基本組態 | 默認使用者角色 | |
| 重設有限系統管理員的密碼 | 使用者管理員 | |
| 重設非系統管理員的密碼 | 密碼管理員 | 使用者管理員 |
| 重設特殊許可權系統管理員的密碼 | 特殊許可權驗證 管理員 istrator | |
| 撤銷授權 | License 管理員 istrator | 使用者管理員 |
| 更新用戶主體名稱以外的所有屬性 | 使用者管理員 | |
| 更新已啟用內部部署同步處理的屬性 | 混合式身分識別 管理員 istrator | |
| 更新有限系統管理員的用戶主體名稱 | 使用者管理員 | |
| 更新特殊許可權系統管理員上的用戶主體名稱屬性 | Privileged Authentication 管理員 istrator | |
| 更新使用者設定 - 預設使用者角色許可權 | 特殊權限角色管理員 | |
| 更新使用者設定 - 來賓使用者存取 | 特殊權限角色管理員 | |
| 更新驗證方法 | 驗證管理員 | 特殊許可權驗證 管理員 istrator |