Microsoft Entra ID 中的特殊許可權角色和權限（預覽）

發行項
04/03/2024

重要

特殊許可權角色和許可權的標籤目前處於預覽狀態。請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。

Microsoft Entra ID 具有已識別為特殊許可權的角色和許可權。這些角色和許可權可用來將目錄資源的管理委派給其他使用者、修改認證、驗證或授權原則，或存取受限制的數據。特殊許可權角色指派可能會導致許可權提升，如果未以安全且預定的方式使用。本文說明如何使用的特殊許可權角色和許可權和最佳做法。

哪些角色和許可權具有特殊許可權？

如需特殊許可權角色和許可權的清單，請參閱 Microsoft Entra 內建角色。您也可以使用 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 來識別已識別為特殊許可權的角色、許可權和角色指派。

在 Microsoft Entra 系統管理中心中，尋找 PRIVILEGED 標籤 。

特殊許可權標籤圖示。

在 [角色和系統管理員] 頁面上，特殊許可權角色會在 Privileged 數據行中識別。 [ 指派] 資料 行會列出角色指派的數目。您也可以篩選特殊許可權角色。

當您檢視特殊許可權角色的許可權時，您可以看到哪些許可權具有特殊許可權。如果您以預設使用者身分檢視許可權，您將無法查看哪些許可權具有特殊許可權。

當您建立自定義角色時，您可以看到哪些許可權具有特殊許可權，且自定義角色會標示為特殊許可權。

在 Microsoft Graph PowerShell 中，檢查屬性是否 IsPrivileged 設定為 True。

若要列出特殊許可權角色，請使用 Get-MgBetaRoleManagementDirectoryRoleDefinition 命令。

Get-MgBetaRoleManagementDirectoryRoleDefinition -Filter "isPrivileged eq true" | Format-List

AllowedPrincipalTypes   :
Description             : Can manage all aspects of Azure AD and Microsoft services that use Azure AD identities.
DisplayName             : Global Administrator
Id                      : 62e90394-69f5-4237-9190-012177145e10
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : 62e90394-69f5-4237-9190-012177145e10
Version                 : 1
AdditionalProperties    : {[inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$metadata#roleManag
                          ement/directory/roleDefinitions('62e90394-69f5-4237-9190-012177145e10')/inheritsPermissionsFr
                          om]}

AllowedPrincipalTypes   :
Description             : Can manage all aspects of users and groups, including resetting passwords for limited admins.
DisplayName             : User Administrator
Id                      : fe930be7-5e62-47db-91af-98c3a49a38b1
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : fe930be7-5e62-47db-91af-98c3a49a38b1
Version                 : 1
AdditionalProperties    : {[inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$metadata#roleManag
                          ement/directory/roleDefinitions('fe930be7-5e62-47db-91af-98c3a49a38b1')/inheritsPermissionsFr
                          om]}

...

若要列出特殊許可權，請使用 Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction 命令。

Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction -UnifiedRbacResourceNamespaceId "microsoft.directory" -Filter "isPrivileged eq true" | Format-List

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update all properties (including privileged properties) on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-allProperties-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/allProperties/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update credentials on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-credentials-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/credentials/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

...

若要列出特殊許可權角色指派，請使用 Get-MgBetaRoleManagementDirectoryRoleAssignment 命令。

Get-MgBetaRoleManagementDirectoryRoleAssignment -ExpandProperty "roleDefinition" -Filter "roleDefinition/isPrivileged eq true" | Format-List

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

...

在 Microsoft Graph API 中，檢查屬性是否 isPrivileged 設定為 true。

若要列出特殊許可權角色，請使用 List roleDefinitions API。

GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions?$filter=isPrivileged eq true

回應

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "description": "Can manage secrets for federation and encryption in the Identity Experience Framework (IEF).",
            "displayName": "B2C IEF Keyset Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('aaf43236-0c0d-4d5f-883a-6955382ac081')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        },
        {
            "id": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "description": "Can configure identity providers for use in direct federation.",
            "displayName": "External Identity Provider Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/domains/federation/update",
                        "microsoft.directory/identityProviders/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('be2f45a1-457d-42af-a067-6ec1fa63bc45')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        }
    ]
}

若要列出特殊許可權，請使用 List resourceActions API。

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions?$filter=isPrivileged eq true

回應

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/resourceNamespaces('microsoft.directory')/resourceActions",
    "value": [
        {
            "actionVerb": "PATCH",
            "description": "Update application credentials",
            "id": "microsoft.directory-applications-credentials-update-patch",
            "isPrivileged": true,
            "name": "microsoft.directory/applications/credentials/update",
            "resourceScopeId": null
        },
        {
            "actionVerb": null,
            "description": "Manage all aspects of authorization policy",
            "id": "microsoft.directory-authorizationPolicy-allProperties-allTasks",
            "isPrivileged": true,
            "name": "microsoft.directory/authorizationPolicy/allProperties/allTasks",
            "resourceScopeId": null
        }
    ]
}

若要列出特殊許可權角色指派，請使用 List unifiedRoleAssignments API。

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments?$expand=roleDefinition&$filter=roleDefinition/isPrivileged eq true

回應

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments(roleDefinition())",
    "value": [
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
            "roleDefinition": {
                "id": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "description": "Can manage Conditional Access capabilities.",
                "displayName": "Conditional Access Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/namedLocations/create",
                            "microsoft.directory/namedLocations/delete",
                            "microsoft.directory/namedLocations/standard/read",
                            "microsoft.directory/namedLocations/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/create",
                            "microsoft.directory/conditionalAccessPolicies/delete",
                            "microsoft.directory/conditionalAccessPolicies/standard/read",
                            "microsoft.directory/conditionalAccessPolicies/owners/read",
                            "microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read",
                            "microsoft.directory/conditionalAccessPolicies/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/owners/update",
                            "microsoft.directory/conditionalAccessPolicies/tenantDefault/update"
                        ],
                        "condition": null
                    }
                ]
            }
        },
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
            "roleDefinition": {
                "id": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "description": "Can access to view, set and reset authentication method information for any non-admin user.",
                "displayName": "Authentication Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/users/authenticationMethods/create",
                            "microsoft.directory/users/authenticationMethods/delete",
                            "microsoft.directory/users/authenticationMethods/standard/restrictedRead",
                            "microsoft.directory/users/authenticationMethods/basic/update",
                            "microsoft.directory/deletedItems.users/restore",
                            "microsoft.directory/users/delete",
                            "microsoft.directory/users/disable",
                            "microsoft.directory/users/enable",
                            "microsoft.directory/users/invalidateAllRefreshTokens",
                            "microsoft.directory/users/restore",
                            "microsoft.directory/users/basic/update",
                            "microsoft.directory/users/manager/update",
                            "microsoft.directory/users/password/update",
                            "microsoft.directory/users/userPrincipalName/update",
                            "microsoft.azure.serviceHealth/allEntities/allTasks",
                            "microsoft.azure.supportTickets/allEntities/allTasks",
                            "microsoft.office365.serviceHealth/allEntities/allTasks",
                            "microsoft.office365.supportTickets/allEntities/allTasks",
                            "microsoft.office365.webPortal/allEntities/standard/read"
                        ],
                        "condition": null
                    }
                ]
            }
        }
    ]
}

使用特殊許可權角色的最佳做法

以下是使用特殊許可權角色的一些最佳做法。

套用最低權限準則
使用 Privileged Identity Management 授與 Just-In-Time 存取權
為所有系統管理員帳戶開啟多重要素驗證
設定週期性存取權審查，撤銷經過一段時間後已不需要的權限
將全域管理員 istrators 的數目限製為小於 5
將特殊許可權角色指派的數目限制為小於 10

如需詳細資訊，請參閱 Microsoft Entra 角色的最佳做法。

特殊許可權與受保護的動作

特殊許可權和受保護的動作是具有不同用途的安全性相關功能。具有 PRIVILEGED 標籤的許可權可協助您識別許可權，如果不以安全且預期的方式使用，可能會導致提高許可權的許可權。受保護的動作是已為新增安全性指派條件式存取原則的角色許可權，例如要求多重要素驗證。當使用者執行受保護的動作時，會強制執行條件式存取需求。受保護的動作目前處於預覽狀態。如需詳細資訊，請參閱什麼是 Microsoft Entra ID 中的受保護動作？。

功能	特殊許可權	受保護的動作
識別應以安全方式使用的許可權	✅
需要額外的安全性才能執行動作		✅

詞彙

若要瞭解 Microsoft Entra 識別碼中的特殊許可權角色和許可權，它有助於瞭解下列一些術語。

詞彙	定義
action	安全性主體可以在物件類型上執行的活動。有時候稱為作業。
permission	指定安全性主體可以在物件類型上執行之活動的定義。權限包含一或多個動作。
特殊權限	在 Microsoft Entra ID 中，可用來將目錄資源的管理委派給其他使用者、修改認證、驗證或授權原則，或存取受限制的資料。
特殊權限角色	具有一或多個特殊權限的內建或自訂角色。
特殊權限角色指派	使用特殊權限角色的角色指派。
提高權限	當安全性主體透過模擬另一個角色所獲得的權限超過最初被指派的角色權限時。
受保護的動作	已套用條件式存取權限以獲得新增的安全性。

如何瞭解角色許可權

權限的架構會以鬆散方式遵循 Microsoft Graph 的 REST 格式：

<namespace>/<entity>/<propertySet>/<action>

例如：

microsoft.directory/applications/credentials/update

Permission 元素	描述
命名空間	公開工作的產品或服務前面會加上 `microsoft`。例如，Microsoft Entra ID 中的所有工作都會使用 `microsoft.directory` 命名空間。
實體	Microsoft Graph 中服務所公開的邏輯功能或元件。例如，Microsoft Entra ID 會公開使用者和群組、OneNote 公開附注，而 Exchange 會公開信箱和行事曆。有一個特殊 `allEntities` 關鍵詞可指定命名空間中的所有實體。這通常用於授與整個產品存取權的角色。
propertySet	授與存取權之實體的特定屬性或層面。例如， `microsoft.directory/applications/authentication/read` 授與讀取 Microsoft Entra ID 中應用程式對象上回復 URL、註銷 URL 和隱含流程屬性的能力。 `allProperties` 指定實體的所有屬性，包括特殊許可權屬性。 `standard` 指定一般屬性，但排除與動作相關的 `read` 特殊許可權屬性。例如， `microsoft.directory/user/standard/read` 包含讀取公用電話號碼和電子郵件地址等標準屬性的能力，但無法讀取用於多重要素驗證的私人次要電話號碼或電子郵件位址。 `basic` 指定一般屬性，但排除與動作相關的 `update` 特殊許可權屬性。您可以讀取的屬性集可能與您可以更新的內容不同。這就是為什麼有 `standard` 和 `basic` 關鍵詞反映這一點的原因。
action	正在授與的作業，通常是建立、讀取、更新或刪除（CRUD）。有一個特殊 `allTasks` 關鍵詞可指定上述所有功能（建立、讀取、更新和刪除）。

比較驗證角色

下表比較驗證相關角色的功能。

角色	管理使用者的驗證方法	管理每位使用者的 MFA	管理 MFA 設定	管理驗證方法原則	管理密碼保護原則	更新敏感性屬性	刪除和還原使用者
驗證管理員	對某些使用者是	對某些使用者是	No	無	No	對某些使用者是	對某些使用者是
Privileged Authentication 管理員 istrator	適用於所有使用者	適用於所有使用者	否	無	否	適用於所有使用者	適用於所有使用者
驗證原則管理員 istrator	否	無	.是	.是	.是	無	No
使用者管理員	否	無	無	無	No	對某些使用者是	對某些使用者是

誰可以重設密碼

在下表中，數據行會列出可重設密碼和使重新整理令牌失效的角色。數據列會列出其密碼可重設的角色。例如，密碼管理員 istrator 可以重設目錄讀取者、來賓邀請者、密碼管理員 istrator 的密碼，以及沒有系統管理員角色的使用者。如果用戶獲派任何其他角色，則Password 管理員 istrator 無法重設其密碼。

下表適用於在租用戶範圍指派的角色。針對在管理單位範圍指派的角色，適用進一步的限制。

可重設密碼的角色	密碼管理員	服務台管理員	驗證管理員	使用者管理員	特殊許可權驗證管理員	全域管理員
驗證管理員			✅		✅	✅
目錄讀取者	✅	✅	✅	✅	✅	✅
全域管理員					✅	✅*
群組管理員				✅	✅	✅
來賓邀請者	✅	✅	✅	✅	✅	✅
服務台管理員		✅		✅	✅	✅
訊息中心讀取者		✅	✅	✅	✅	✅
密碼管理員	✅	✅	✅	✅	✅	✅
特殊許可權驗證管理員					✅	✅
特殊許可權角色管理員					✅	✅
報告讀取者		✅	✅	✅	✅	✅
User （無系統管理員角色）	✅	✅	✅	✅	✅	✅
User （沒有系統管理員角色，但可指派角色群組的成員或擁有者）					✅	✅
具有限制管理管理單位之角色的使用者					✅	✅
使用者管理員				✅	✅	✅
使用狀況摘要報告閱讀程式		✅	✅	✅	✅	✅
所有自定義角色					✅	✅

重要

合作夥伴第 2 層支援角色可以重設密碼，並讓所有非系統管理員和系統管理員的重新整理令牌失效（包括全域管理員管理員）。合作夥伴第1層支援角色可以重設密碼，並只讓非系統管理員的重新整理令牌失效。不應該使用這些角色，因為它們已被取代。

重設密碼的能力包括能夠更新自助式密碼重設所需的下列敏感性屬性：

business 電話 s
mobilePhone
otherMails

神秘可以執行敏感性動作

某些系統管理員可以針對某些用戶執行下列敏感性動作。所有使用者都可以讀取敏感性屬性。

敏感性動作	敏感性屬性名稱
停用或啟用使用者	`accountEnabled`
更新商務電話	`businessPhones`
更新行動電話	`mobilePhone`
更新內部部署固定標識碼	`onPremisesImmutableId`
更新其他電子郵件	`otherMails`
更新密碼配置檔	`passwordProfile`
更新用戶主體名稱	`userPrincipalName`
刪除或還原使用者	不適用

在下表中，數據行會列出可執行敏感性動作的角色。數據列會列出可以對其執行敏感性動作的角色。

下表適用於在租用戶範圍指派的角色。針對在管理單位範圍指派的角色，適用進一步的限制。

可以執行敏感性動作的角色	驗證管理員	使用者管理員	特殊許可權驗證管理員	全域管理員
驗證管理員	✅		✅	✅
目錄讀取者	✅	✅	✅	✅
全域管理員			✅	✅
群組管理員		✅	✅	✅
來賓邀請者	✅	✅	✅	✅
服務台管理員		✅	✅	✅
訊息中心讀取者	✅	✅	✅	✅
密碼管理員	✅	✅	✅	✅
特殊許可權驗證管理員			✅	✅
特殊許可權角色管理員			✅	✅
報告讀取者	✅	✅	✅	✅
User （無系統管理員角色）	✅	✅	✅	✅
User （沒有系統管理員角色，但可指派角色群組的成員或擁有者）			✅	✅
具有限制管理管理單位之角色的使用者			✅	✅
使用者管理員		✅	✅	✅
使用狀況摘要報告閱讀程式	✅	✅	✅	✅
所有自定義角色			✅	✅

Microsoft Entra ID 中的特殊許可權角色和權限（預覽）

哪些角色和許可權具有特殊許可權？

使用特殊許可權角色的最佳做法

特殊許可權與受保護的動作

詞彙

如何瞭解角色許可權

比較驗證角色

誰可以重設密碼

神秘可以執行敏感性動作

下一步

其他資源

Microsoft Entra ID 中的特殊許可權角色和權限 （預覽）

哪些角色和許可權具有特殊許可權？

使用特殊許可權角色的最佳做法

特殊許可權與受保護的動作

詞彙

如何瞭解角色許可權

比較驗證角色

誰可以重設密碼

神秘 可以執行敏感性動作

下一步

其他資源

Microsoft Entra ID 中的特殊許可權角色和權限（預覽）

神秘可以執行敏感性動作