Microsoft Entra ID 中依工作排序的最低特殊權限角色
在本文中,可以找到藉由在 Microsoft Entra ID 中指派最低特殊權限角色來限制使用者之管理員權限所需的資訊。 將了解依功能區域組織的工作與執行每個工作所需的最低特殊權限角色,以及其他可執行工作的非全域管理員角色。
可以藉由指派較小範圍的角色,或建立自己的自訂角色,來進一步限制權限。 如需詳細資訊,請參閱<指派不同範圍的 Microsoft Entra 角色>,或<在 Microsoft Entra ID 中建立並指派自訂角色>。
應用程式 Proxy
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定應用程式 Proxy 應用程式 | 應用程式管理員 | |
| 設定連接器群組屬性 | 應用程式系統管理員 | |
| 已針對所有使用者停用功能之後建立應用程式註冊 | 應用程式開發人員 | 雲端應用程式管理員 應用程式系統管理員 |
| 建立連接器群組 | 應用程式系統管理員 | |
| 刪除連接器群組 | 應用程式系統管理員 | |
| 停用應用程式 Proxy | 應用程式系統管理員 | |
| 下載連接器服務 | 應用程式系統管理員 | |
| 讀取所有組態 | 應用程式系統管理員 |
外部身分識別/B2C
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Azure AD B2C 目錄 | 所有非來賓使用者 | |
| 建立企業應用程式 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 建立、讀取、更新及刪除 B2C 原則 | B2C IEF 原則管理員 | |
| 建立、讀取、更新及刪除識別提供者 | 外部識別提供者管理員 | |
| 建立、讀取、更新及刪除密碼重設使用者流程 | 外部識別碼使用者流程系統管理員 | |
| 建立、讀取、更新及刪除設定檔編輯使用者流程 | 外部識別碼使用者流程系統管理員 | |
| 建立、讀取、更新及刪除登入使用者流程 | 外部識別碼使用者流程系統管理員 | |
| 建立、讀取、更新及刪除註冊使用者流程 | 外部識別碼使用者流程系統管理員 | |
| 建立、讀取、更新及刪除使用者屬性 | 外部識別碼使用者流程屬性管理員 | |
| 建立、讀取、更新及刪除使用者 | 使用者管理員 | |
| 設定 B2B 外部共同作業設定 – 來賓使用者存取 | 特殊權限角色管理員 | |
| 設定 B2B 外部共同作業設定 – 來賓邀請設定 | 來賓邀請者 | 外部識別碼使用者流程系統管理員 |
| 設定 B2B 外部共同作業設定 – 外部使用者離開設定 | 外部識別提供者管理員 | |
| 設定 B2B 外部共同作業設定 – 共同作業限制 | 全域管理員 | |
| 讀取所有組態 | 全域讀取者 | |
| 讀取 B2C 稽核記錄 | 全域讀取者 |
注意
Azure AD B2C 全域管理員沒有與 Microsoft Entra 全域管理員相同的權限。 如果有 Azure AD B2C 全域管理員權限,請確定在 Azure AD B2C 目錄中,而非在 Microsoft Entra 目錄中。
公司商標
連線
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 傳遞驗證 | 混合式身分識別管理員 | |
| 讀取所有組態 | 全域讀取者 | 混合式身分識別管理員 |
| 無縫單一登入 | 混合式身分識別管理員 |
Connect 同步
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理內部部署目錄同步作業 | 混合式身分識別管理員 |
雲端佈建
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 傳遞驗證 | 混合式身分識別管理員 | |
| 讀取所有組態 | 全域讀取者 | 混合式身分識別管理員 |
| 無縫單一登入 | 混合式身分識別管理員 |
連線健康情況
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 新增或刪除服務 | 擁有者 | |
| 套用對同步錯誤的修正 | 參與者 | 擁有者 |
| 設定通知 | 參與者 | 擁有者 |
| 配置設定 | 擁有者 | |
| 設定同步通知 | 參與者 | 擁有者 |
| 讀取 ADFS 安全性報告 | 安全性讀取者 | 參與者 擁有者 |
| 讀取所有組態 | 讀取者 | 參與者 擁有者 |
| 讀取同步錯誤 | 讀取者 | 參與者 擁有者 |
| 讀取同步服務 | 讀取者 | 參與者 擁有者 |
| 檢視計量與警示 | 讀取者 | 參與者 擁有者 |
| 檢視計量與警示 | 讀取者 | 參與者 擁有者 |
| 檢視同步服務計量與警示 | 讀取者 | 參與者 擁有者 |
自訂網域名稱
網域服務
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Microsoft Entra Domain Services 執行個體 | 應用程式系統管理員 群組管理員 網域服務參與者 |
|
| 任務執行所有 Microsoft Entra Domain Services 工作 | AAD DC 管理員群組 | |
| 讀取所有組態 | 包含 AD DS 服務之 Azure 訂用帳戶上的讀者 |
裝置
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 刪除裝置 | 雲端裝置管理員 | Intune 管理員 |
| 停用裝置 | 雲端裝置管理員 | Intune 管理員 |
| 啟用裝置 | 雲端裝置管理員 | Intune 管理員 |
| 讀取基本設定 | 預設使用者角色 | |
| 讀取 BitLocker 金鑰 | 雲端裝置管理員 | 服務台管理員 Intune 管理員 安全性系統管理員 安全性讀取者 |
企業應用程式
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 同意任何委派的權限 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 同意不包括 Microsoft Graph 的應用程式權限 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 同意對 Microsoft Graph 的應用程式權限 | 特殊權限角色管理員 | |
| 同意應用程式存取自己的資料 | 預設使用者角色 | |
| 建立企業應用程式 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 管理應用程式 Proxy | 應用程式系統管理員 | |
| 讀取群組或應用程式的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 使用者管理員 |
| 讀取所有組態 | 預設使用者角色 | |
| 更新企業應用程式指派 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 使用者管理員 |
| 更新企業應用程式擁有者 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新企業應用程式屬性 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新企業應用程式佈建 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新企業應用程式自助 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 更新單一登入屬性 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
| 建立及修改自訂驗證延伸模組 | 驗證擴充性管理員 | 應用程式系統管理員 |
權利管理
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 將資源新增到目錄 | 身分識別控管管理員 | 使用權利管理時,可以將此工作委派給目錄擁有者 |
| 將 SharePoint Online 網站新增至目錄 | SharePoint 系統管理員 |
群組
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 指派授權 | 使用者管理員 | |
| 建立群組 | 群組管理員 | 使用者管理員 |
| 建立、更新或刪除群組或應用程式的存取權檢閱 | 使用者管理員 | |
| 管理群組到期日 | 使用者管理員 | |
| 管理群組設定 | 群組管理員 | 使用者管理員 |
| 讀取所有設定 (隱藏的成員資格除外) | 目錄讀取者 | 預設使用者角色 |
| 讀取隱藏的成員資格 | 群組成員 | 群組擁有者 密碼管理員 Exchange 系統管理員 SharePoint 系統管理員 Teams 管理員 使用者管理員 |
| 讀取具有隱藏成員資格之群組的成員資格 | 服務台管理員 | 使用者管理員 Teams 管理員 |
| 撤銷授權 | 授權管理員 | 使用者管理員 |
| 更新組動態成員資格群組 | 群組擁有者 | 使用者管理員 |
| 更新群組擁有者 | 群組擁有者 | 使用者管理員 |
| 更新群組屬性 | 群組擁有者 | 使用者管理員 |
| 刪除群組 | 群組管理員 | 使用者管理員 |
授權
Microsoft Entra Health
Microsoft Entra ID Protection
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定警示通知 | 安全性系統管理員 | |
| 設定和啟用或停用 MFA 原則 | 安全性系統管理員 | |
| 設定和啟用或停用登入風險原則 | 安全性系統管理員 | |
| 設定和啟用或停用使用者風險原則 | 安全性系統管理員 | |
| 設定每週摘要 | 安全性系統管理員 | |
| 關閉所有風險偵測 | 安全性系統管理員 | |
| 修正或關閉弱點 | 安全性系統管理員 | |
| 讀取所有組態 | 安全性讀取者 | |
| 讀取所有風險偵測 | 安全性讀取者 | |
| 讀取弱點 | 安全性讀取者 |
監視和健康情況 - 稽核記錄
監視和健康情況 - 登入記錄
監視和健康情況 - 佈建記錄
監視和健康情況 - 建議
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 讀取建議 | 報告讀取者 | 安全性讀取者 全域讀取者 服務台管理員 服務支援管理員 使用者管理員 |
| 更新建議 | 驗證原則管理員 | 應用程式系統管理員 驗證管理員 雲端應用程式系統管理員 條件式存取管理員 Exchange 系統管理員 混合式身分識別管理員 身分識別控管管理員 特殊權限角色管理員 安全性系統管理員 安全性操作員 SharePoint 系統管理員 |
多重要素驗證
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 刪除選定使用者產生的所有現有應用程式密碼 | 驗證原則管理員 | 驗證管理員 |
| 停用每位使用者的 MFA | 驗證管理員 | 特殊權限驗證管理員 |
| 啟用每位使用者的 MFA | 驗證管理員 | 特殊權限驗證管理員 |
| 管理 MFA 服務設定 | 驗證原則管理員 | |
| 要求選定使用者再次提供連絡方法 | 驗證管理員 | |
| 在所有已記住的裝置上,還原多重要素驗證 | 驗證管理員 |
MFA 伺服器
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 封鎖/解除封鎖使用者 | 驗證原則管理員 | |
| 設定帳戶鎖定 | 驗證原則管理員 | |
| 設定快取規則 | 驗證原則管理員 | |
| 設定詐騙警示 | 驗證原則管理員 | |
| 設定通知 | 驗證原則管理員 | |
| 設定單次許可 | 驗證原則管理員 | |
| 設定通話設定 | 驗證原則管理員 | |
| 設定提供者 | 驗證原則管理員 | |
| 設定伺服器設定 | 驗證原則管理員 | |
| 讀取活動報表 | 全域讀取者 | |
| 讀取所有組態 | 全域讀取者 | |
| 讀取伺服器狀態 | 全域讀取者 |
組織關係
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理識別提供者 | 外部識別提供者管理員 | |
| 讀取所有組態 | 全域讀取者 |
密碼重設
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定驗證方法 | 驗證原則管理員 | |
| 設定自訂 | 驗證原則管理員 | |
| 設定通知 | 驗證原則管理員 | |
| 設定內部部署整合 | 驗證原則管理員 | |
| 設定密碼重設屬性 | 使用者管理員 | 驗證原則管理員 |
| 設定註冊 | 驗證原則管理員 | |
| 讀取所有組態 | 安全性系統管理員 | 使用者管理員 |
權限管理
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 租用戶上線 | 權限管理管理員 | |
| 上線雲端環境 | 權限管理管理員 | |
| 在 Microsoft Entra 權限管理中指派權限 | 權限管理管理員 | |
| 開始試用版並購買 Microsoft Entra 權限管理授權 | 計費管理員 |
Privileged Identity Management
角色與管理員
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 管理角色指派 | 特殊權限角色管理員 | |
| 讀取 Microsoft Entra 角色的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 特殊權限角色管理員 |
| 讀取所有組態 | 預設使用者角色 |
安全性 – 驗證方法
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 啟用或停用驗證方法 | 驗證原則管理員 | |
| 檢視、代表佈建及管理個別使用者驗證方法 | 驗證管理員 | 特殊權限驗證管理員 |
| 設定密碼保護 | 安全性系統管理員 | |
| 設定智慧型鎖定 | 安全性系統管理員 | |
| 讀取所有組態 | 全域讀取者 |
安全性 – 條件式存取
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 設定 MFA 信任的 IP 位址 | 條件式存取管理員 | |
| 建立自訂控制項 | 條件式存取管理員 | 安全性系統管理員 |
| 建立具名位置 | 條件式存取管理員 | 安全性系統管理員 |
| 建立原則 | 條件式存取管理員 | 安全性系統管理員 |
| 建立使用規定 | 條件式存取管理員 | 安全性系統管理員 |
| 建立 VPN 連線憑證 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
| 刪除傳統原則 | 條件式存取管理員 | 安全性系統管理員 |
| 刪除使用規定 | 條件式存取管理員 | 安全性系統管理員 |
| 刪除 VPN 連線憑證 | 條件式存取管理員 | 安全性系統管理員 |
| 停用傳統原則 | 條件式存取管理員 | 安全性系統管理員 |
| 管理自訂控制項 | 條件式存取管理員 | 安全性系統管理員 |
| 管理具名位置 | 條件式存取管理員 | 安全性系統管理員 |
| 管理使用規定 | 條件式存取管理員 | 安全性系統管理員 |
| 讀取所有組態 | 預設使用者角色 | |
| 讀取具名位置 | 預設使用者角色 |
安全性 – 身分識別安全分數
安全性 – 風險性登入
安全性 – 標幟為有風險的使用者
臨時存取密碼
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立、刪除或檢視管理員或成員 (本身除外) 的臨時存取密碼 | 特殊權限驗證管理員 | |
| 建立、刪除或檢視成員 (本身除外) 的臨時存取密碼 | 驗證管理員 | |
| 檢視使用者的臨時存取密碼詳細資料 (無須讀取程式碼本身) | 全域讀取者 | |
| 設定或更新臨時存取密碼驗證方法原則 | 驗證原則管理員 |
租用戶
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 建立 Microsoft Entra ID 或 Azure AD B2C 租用戶 | 租用戶建立者 | |
| 更新 Microsoft Entra 租用戶屬性 | 計費管理員 | |
| 管理隱私權聲明和連絡人 | 計費管理員 |
使用者
| 工作 | 最低特殊權限角色 | 其他角色 |
|---|---|---|
| 將使用者新增至目錄角色 | 特殊權限角色管理員 | |
| 將使用者新增至群組 | 使用者管理員 | |
| 指派授權 | 授權管理員 | 使用者管理員 |
| 建立來賓使用者 | 來賓邀請者 | 使用者管理員 |
| 重設來賓使用者邀請 | 服務台管理員 | 使用者管理員 |
| 建立使用者 | 使用者管理員 | |
| 刪除使用者 | 使用者管理員 | |
| 使受限管理員的重新整理權杖失效 | 使用者管理員 | |
| 使非管理員的重新整理權杖失效 | 服務台管理員 | 使用者管理員 |
| 使特殊權限管理員的重新整理權杖失效 | 特殊權限驗證管理員 | |
| 讀取基本設定 | 預設使用者角色 | |
| 重設受限管理員的密碼 | 使用者管理員 | |
| 重設非管理員的密碼 | 密碼管理員 | 使用者管理員 |
| 為特殊權限管理員重設密碼 | 特殊權限驗證管理員 | |
| 撤銷授權 | 授權管理員 | 使用者管理員 |
| 更新使用者主體名稱以外的所有屬性 | 使用者管理員 | |
| 更新已啟用內部部署同步的屬性 | 混合式身分識別管理員 | |
| 更新受限管理員的使用者主體名稱 | 使用者管理員 | |
| 更新特殊權限管理員的使用者主體名稱屬性 | 特殊權限驗證管理員 | |
| 更新使用者設定 – 預設使用者角色權限 | 特殊權限角色管理員 | |
| 更新使用者設定 – 來賓使用者存取 | 特殊權限角色管理員 | |
| 更新使用者設定 – 管理中心 | 全域管理員 | |
| 更新使用者設定 – LinkedIn 帳戶連線 | 全域管理員 | |
| 更新使用者設定 – 顯示讓使用者保持登入 | 全域管理員 | |
| 更新驗證方法 | 驗證管理員 | 特殊權限驗證管理員 |