Microsoft Entra ID 中工作的最低特殊權限角色
在本文中,您可以找到藉由在 Microsoft Entra ID 中指派最低特殊權限角色來限制使用者之系統管理員權限所需的資訊。 您將會瞭解依功能區域組織的工作與執行每個工作所需的最低特殊權限角色,以及其他可執行工作的非全域管理員角色。
您可以藉由指派較小範圍的角色,或建立您自己的自訂角色,來進一步限制權限。 如需詳細資訊,請參閱指派不同範圍的 Microsoft Entra 角色,或建立並指派自訂角色。
應用程式 Proxy
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定應用程式 Proxy 應用程式 | 應用程式系統管理員 | |
| 設定連接器群組屬性 | 應用程式系統管理員 | |
| 已針對所有使用者停用功能之後建立應用程式註冊 | 應用程式開發人員 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 建立連接器群組 | 應用程式系統管理員 | |
| 刪除連接器群組 | 應用程式系統管理員 | |
| 停用應用程式 Proxy | 應用程式系統管理員 | |
| 下載連接器服務 | 應用程式系統管理員 | |
| 讀取所有設定 | 應用程式系統管理員 |
外部身分識別/B2C
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Azure AD B2C 目錄 | 所有非來賓使用者 | |
| 建立企業應用程式 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 建立、讀取、更新及刪除 B2C 原則 | B2C IEF 原則管理員 | |
| 建立、讀取、更新及刪除識別提供者 | 外部識別提供者管理員 | |
| 建立、讀取、更新及刪除密碼重設使用者流程 | 外部識別碼使用者流程管理員 | |
| 建立、讀取、更新及刪除設定檔編輯使用者流程 | 外部識別碼使用者流程管理員 | |
| 建立、讀取、更新及刪除登入使用者流程 | 外部識別碼使用者流程管理員 | |
| 建立、讀取、更新及刪除註冊使用者流程 | 外部識別碼使用者流程管理員 | |
| 建立、讀取、更新及刪除使用者屬性 | 外部識別碼使用者流程屬性管理員 | |
| 建立、讀取、更新及刪除使用者 | 使用者管理員 | |
| 設定 B2B 外部共同作業設定 - 訪客使用者存取 | 特殊權限角色管理員 | |
| 設定 B2B 外部共同作業設定 - 訪客邀請設定 | 來賓邀請者 | 外部識別碼使用者流程管理員 |
| 設定 B2B 外部共同作業設定 - 外部使用者離開設定 | 外部識別提供者管理員 | |
| 設定 B2B 外部共同作業設定 - 共同作業限制 | 全域管理員 | |
| 讀取所有設定 | 全域讀取者 | |
| 讀取 B2C 稽核記錄 | 全域讀取者 |
注意
Azure AD B2C 全域管理員沒有與 Microsoft Entra 全域管理員相同的權限。 如果您有 Azure AD B2C 全域管理員權限,請確定您是在 Azure AD B2C 目錄中,而非 Microsoft Entra 目錄。
公司商標
連線
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 傳遞驗證 | 混合式身分識別管理員 | |
| 讀取所有設定 | 全域讀取者 | 混合式身分識別管理員 |
| 無縫單一登入 | 混合式身分識別管理員 |
Connect 同步
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理內部部署目錄同步作業 | 混合式身分識別管理員 |
雲端佈建
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 傳遞驗證 | 混合式身分識別管理員 | |
| 讀取所有設定 | 全域讀取者 | 混合式身分識別管理員 |
| 無縫單一登入 | 混合式身分識別管理員 |
連線情況
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 新增或刪除服務 | 負責人 | |
| 套用對同步處理錯誤的修正 | 參與者 | 負責人 |
| 設定通知 | 參與者 | 負責人 |
| 配置設定 | 負責人 | |
| 設定同步處理通知 | 參與者 | 負責人 |
| 讀取 ADFS 安全性報告 | 安全性讀取者 | 參與者 負責人 |
| 讀取所有設定 | 讀取者 | 參與者 負責人 |
| 讀取同步處理錯誤 | 讀取者 | 參與者 負責人 |
| 讀取同步處理服務 | 讀取者 | 參與者 負責人 |
| 檢視計量與警示 | 讀取者 | 參與者 負責人 |
| 檢視計量與警示 | 讀取者 | 參與者 負責人 |
| 檢視同步處理服務計量與警示 | 讀取者 | 參與者 負責人 |
自訂網域名稱
Domain Services
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Microsoft Entra Domain Services 執行個體 | 應用程式系統管理員 群組管理員 網域服務參與者 |
|
| 任務執行所有 Microsoft Entra Domain Services 網域 | AAD DC 管理員群組 | |
| 讀取所有設定 | 包含 AD DS 服務之 Azure 訂用帳戶上的讀者 |
裝置
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 刪除裝置 | 雲端裝置管理員 | Intune 管理員 |
| 停用裝置 | 雲端裝置管理員 | Intune 管理員 |
| 啟用裝置 | 雲端裝置管理員 | Intune 管理員 |
| 讀取基本設定 | 預設使用者角色 | |
| 讀取 BitLocker 金鑰 | 雲端裝置管理員 | 服務台系統管理員 Intune 管理員 安全性系統管理員 安全性讀取者 |
企業應用程式
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 同意任何委派的權限 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 同意不包括 Microsoft Graph 的應用程式權限 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 同意對 Microsoft Graph 的應用程式權限 | 特殊權限角色管理員 | |
| 同意應用程式存取自己的資料 | 預設使用者角色 | |
| 建立企業應用程式 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 管理應用程式 Proxy | 應用程式系統管理員 | |
| 讀取群組或應用程式的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 使用者管理員 |
| 讀取所有設定 | 預設使用者角色 | |
| 更新企業應用程式指派 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 使用者管理員 |
| 更新企業應用程式擁有者 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新企業應用程式屬性 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新企業應用程式佈建 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新企業應用程式自助 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新單一登入屬性 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 建立及修改驗證延伸模組 | 驗證擴充性系統管理員 | 應用程式系統管理員 |
權利管理
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 將資源新增到目錄 | 身分識別控管管理員 | 使用權利管理時,您可以將此工作委派給目錄擁有者 |
| 將 SharePoint Online 網站新增至目錄 | SharePoint 管理員 |
群組
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 指派授權 | 使用者管理員 | |
| 建立群組 | 群組管理員 | 使用者管理員 |
| 建立、更新或刪除群組或應用程式的存取權檢閱 | 使用者管理員 | |
| 管理群組到期日 | 使用者管理員 | |
| 管理群組設定 | 群組管理員 | 使用者管理員 |
| 讀取所有設定 (隱藏的成員資格除外) | 目錄讀取者 | 預設使用者角色 |
| 讀取隱藏的成員資格 | 群組成員 | 群組擁有者 密碼管理員 Exchange 系統管理員 SharePoint 管理員 Teams 系統管理員 使用者管理員 |
| 讀取具有隱藏成員資格之群組的成員資格 | 服務台系統管理員 | 使用者管理員 Teams 系統管理員 |
| 撤銷授權 | 授權管理員 | 使用者管理員 |
| 更新群組成員資格 | 群組擁有者 | 使用者管理員 |
| 更新群組擁有者 | 群組擁有者 | 使用者管理員 |
| 更新群組屬性 | 群組擁有者 | 使用者管理員 |
| 刪除群組 | 群組管理員 | 使用者管理員 |
身分識別保護
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定警示通知 | 安全性系統管理員 | |
| 設定和啟用或停用 MFA 原則 | 安全性系統管理員 | |
| 設定和啟用或停用登入風險原則 | 安全性系統管理員 | |
| 設定和啟用或停用使用者風險原則 | 安全性系統管理員 | |
| 設定每週摘要 | 安全性系統管理員 | |
| 關閉所有風險偵測 | 安全性系統管理員 | |
| 修正或關閉弱點 | 安全性系統管理員 | |
| 讀取所有設定 | 安全性讀取者 | |
| 讀取所有風險偵測 | 安全性讀取者 | |
| 讀取弱點 | 安全性讀取者 |
授權
監視 - 稽核記錄
監視 - 登入
多重要素驗證
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 刪除選定使用者產生的所有現有應用程式密碼 | 驗證原則管理員 | 驗證管理員 |
| 停用個別使用者 MFA | 驗證管理員 | 特殊權限驗證管理員 |
| 啟用每位使用者的 MFA | 驗證管理員 | 特殊權限驗證管理員 |
| 管理 MFA 服務設定 | 驗證原則管理員 | |
| 要求選定使用者再次提供連絡方法 | 驗證管理員 | |
| 在所有已記住的裝置上,還原多重要素驗證 | 驗證管理員 |
MFA Server
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 封鎖/解除封鎖使用者 | 驗證原則管理員 | |
| 設定帳戶鎖定 | 驗證原則管理員 | |
| 設定快取規則 | 驗證原則管理員 | |
| 設定詐騙警示 | 驗證原則管理員 | |
| 設定通知 | 驗證原則管理員 | |
| 設定單次許可 | 驗證原則管理員 | |
| 設定通話設定 | 驗證原則管理員 | |
| 設定提供者 | 驗證原則管理員 | |
| 設定伺服器設定 | 驗證原則管理員 | |
| 讀取活動報表 | 全域讀取者 | |
| 讀取所有設定 | 全域讀取者 | |
| 讀取伺服器狀態 | 全域讀取者 |
組織關係
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理識別提供者 | 外部識別提供者管理員 | |
| 讀取所有設定 | 全域讀取者 |
密碼重設
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定驗證方法 | 驗證原則管理員 | |
| 設定自訂 | 驗證原則管理員 | |
| 設定通知 | 驗證原則管理員 | |
| 設定內部部署整合 | 驗證原則管理員 | |
| 設定密碼重設屬性 | 使用者管理員 | 驗證原則管理員 |
| 設定註冊 | 驗證原則管理員 | |
| 讀取所有設定 | 安全性系統管理員 | 使用者管理員 |
權限管理
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 租用戶上線 | 權限管理系統管理員 | |
| 上線雲端環境 | 權限管理系統管理員 | |
| 指派 Microsoft Entra 權限管理中的權限 | 權限管理系統管理員 | |
| 開始使用試用版並購買 Microsoft Entra 權限管理授權 | 計費管理員 |
Privileged identity management
角色與系統管理員
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理角色指派 | 特殊權限角色管理員 | |
| 讀取 Microsoft Entra 角色的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 特殊權限角色管理員 |
| 讀取所有設定 | 預設使用者角色 |
安全性 - 驗證方法
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 啟用或停用驗證方法 | 驗證原則管理員 | |
| 檢視、代表佈建及管理個別使用者驗證方法 | 驗證管理員 | 特殊權限驗證管理員 |
| 設定密碼保護 | 安全性系統管理員 | |
| 設定智慧型鎖定 | 安全性系統管理員 | |
| 讀取所有設定 | 全域讀取者 |
安全性 - 條件式存取
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定 MFA 信任的 IP 位址 | 條件式存取系統管理員 | |
| 建立自訂控制項 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立具名位置 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立原則 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
| 建立 VPN 連線憑證 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 刪除傳統原則 | 條件式存取系統管理員 | 安全性系統管理員 |
| 刪除使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
| 刪除 VPN 連線憑證 | 條件式存取系統管理員 | 安全性系統管理員 |
| 停用傳統原則 | 條件式存取系統管理員 | 安全性系統管理員 |
| 管理自訂控制項 | 條件式存取系統管理員 | 安全性系統管理員 |
| 管理具名位置 | 條件式存取系統管理員 | 安全性系統管理員 |
| 管理使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
| 讀取所有設定 | 預設使用者角色 | |
| 讀取具名位置 | 預設使用者角色 |
安全性 - 身分識別安全性分數
安全性 - 具風險的登入
安全性 - 標幟為有風險的使用者
暫時存取通行證
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立、刪除或檢視系統管理員或成員 (本身除外) 的臨時存取密碼 | 特殊權限驗證管理員 | |
| 建立、刪除或檢視成員 (本身除外) 的臨時存取密碼 | 驗證管理員 | |
| 檢視使用者的臨時存取密碼詳細資料 (無須讀取程式碼本身) | 全域讀取者 | |
| 設定或更新臨時存取密碼驗證方法原則 | 驗證原則管理員 |
租用戶
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Microsoft Entra ID 或 Azure AD B2C 租用戶 | 租用戶建立者 | |
| 更新 Microsoft Entra 租用戶屬性 | 計費管理員 | |
| 管理隱私權聲明和連絡人 | 計費管理員 |
使用者
| Task | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 將使用者新增至目錄角色 | 特殊權限角色管理員 | |
| 將使用者新增至群組 | 使用者管理員 | |
| 指派授權 | 授權管理員 | 使用者管理員 |
| 建立來賓使用者 | 來賓邀請者 | 使用者管理員 |
| 重設來賓使用者邀請 | 服務台系統管理員 | 使用者管理員 |
| 建立使用者 | 使用者管理員 | |
| 刪除使用者 | 使用者管理員 | |
| 使受限管理員的重新整理權杖失效 | 使用者管理員 | |
| 使非管理員的重新整理權杖失效 | 服務台系統管理員 | 使用者管理員 |
| 使具特殊權限管理員的重新整理權杖失效 | 特殊權限驗證管理員 | |
| 讀取基本設定 | 預設使用者角色 | |
| 重設受限管理員的密碼 | 使用者管理員 | |
| 重設非管理員的密碼 | 密碼管理員 | 使用者管理員 |
| 為具特殊權限的管理員重設密碼 | 特殊權限驗證管理員 | |
| 撤銷授權 | 授權管理員 | 使用者管理員 |
| 更新使用者主體名稱以外的所有屬性 | 使用者管理員 | |
| 更新已啟用內部部署同步處理的屬性 | 混合式身分識別管理員 | |
| 更新受限管理員的使用者主體名稱 | 使用者管理員 | |
| 更新特殊權限管理員的使用者主體名稱屬性 | 特殊權限驗證管理員 | |
| 更新使用者設定 - 預設使用者角色權限 | 特殊權限角色管理員 | |
| 更新使用者設定 - 訪客使用者存取 | 特殊權限角色管理員 | |
| 更新使用者設定 - 管理中心 | 全域管理員 | |
| 更新使用者設定 - LinkedIn 帳戶連線 | 全域管理員 | |
| 更新使用者設定 - 顯示讓使用者保持登入 | 全域管理員 | |
| 更新驗證方法 | 驗證管理員 | 特殊權限驗證管理員 |
支援
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: