Nejméně privilegované role podle úlohy v Microsoft Entra ID
V tomto článku najdete informace potřebné k omezení oprávnění správce uživatele přiřazením nejméně privilegovaných rolí v Microsoft Entra ID. Najdete úkoly uspořádané podle oblasti funkcí a nejméně privilegované role potřebné k provedení jednotlivých úloh spolu s dalšími rolemi globálních Správa istratorů, které můžou tuto úlohu provést.
Oprávnění můžete dále omezit přiřazením rolí v menších oborech nebo vytvořením vlastních rolí. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v různých oborech nebo vytvoření a přiřazení vlastní role v Microsoft Entra ID.
Proxy aplikací
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Konfigurace aplikace proxy aplikací | Správce aplikace | |
| Konfigurace vlastností skupiny konektorů | Správce aplikace | |
| Vytvoření registrace aplikace, pokud je možnost zakázána pro všechny uživatele | Vývojář aplikace | Správce cloudové aplikace Správce aplikace |
| Vytvoření skupiny konektorů | Správce aplikace | |
| Odstranění skupiny konektorů | Správce aplikace | |
| Zákaz proxy aplikací | Správce aplikace | |
| Stažení služby konektoru | Správce aplikace | |
| Čtení veškeré konfigurace | Správce aplikace |
Externí identity /B2C
Poznámka:
Globální Správa istrátory Azure AD B2C nemají stejná oprávnění jako globální Správa istrátory Microsoft Entra. Pokud máte globální Správa istratorová oprávnění Azure AD B2C, ujistěte se, že jste v adresáři Azure AD B2C, a ne v adresáři Microsoft Entra.
Firemní branding
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Konfigurace brandingu společnosti | Organizační branding Správa istrator | |
| Čtení veškeré konfigurace | Čtenáři adresářů | Výchozí role uživatele |
Propojit
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Předávací ověřování | Hybridní identita Správa istrator | |
| Čtení veškeré konfigurace | Globální čtenář | Hybridní identita Správa istrator |
| Transparentní jednotné přihlašování | Hybridní identita Správa istrator |
Synchronizace Připojení
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Správa synchronizace místních adresářů | Hybridní identita Správa istrator |
Zřizování cloudu
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Předávací ověřování | Hybridní identita Správa istrator | |
| Čtení veškeré konfigurace | Globální čtenář | Hybridní identita Správa istrator |
| Transparentní jednotné přihlašování | Hybridní identita Správa istrator |
Stav připojení
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Přidání nebo odstranění služeb | Vlastník | |
| Použití oprav chyby synchronizace | Přispěvatel | Vlastník |
| Konfigurace oznámení | Přispěvatel | Vlastník |
| Konfigurace nastavení | Vlastník | |
| Konfigurace oznámení synchronizace | Přispěvatel | Vlastník |
| Čtení sestav zabezpečení ADFS | Čtenář zabezpečení | Přispěvatel Vlastník |
| Čtení veškeré konfigurace | Čtenář | Přispěvatel Vlastník |
| Chyby čtení synchronizace | Čtenář | Přispěvatel Vlastník |
| Synchronizační služby pro čtení | Čtenář | Přispěvatel Vlastník |
| Zobrazení metrik a upozornění | Čtenář | Přispěvatel Vlastník |
| Zobrazení metrik a upozornění | Čtenář | Přispěvatel Vlastník |
| Zobrazení metrik a upozornění synchronizační služby | Čtenář | Přispěvatel Vlastník |
Vlastní názvy domén
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Správa domén | Název domény Správa istrator | |
| Čtení veškeré konfigurace | Čtenáři adresářů | Výchozí role uživatele |
Domain Services
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Vytvoření instance služby Microsoft Entra Domain Services | Správce aplikace Skupiny Správa istrator Přispěvatel služby Domain Services |
|
| Provádění všech úloh služby Microsoft Entra Domain Services | Skupina Správa istrators AAD DC | |
| Čtení veškeré konfigurace | Čtenář v předplatném Azure obsahujícím službu AD DS |
Zařízení
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Odstranění zařízení | Správa istrator cloudového zařízení | Intune Správa istrator |
| Zakázání zařízení | Správa istrator cloudového zařízení | Intune Správa istrator |
| Povolení zařízení | Správa istrator cloudového zařízení | Intune Správa istrator |
| Čtení základní konfigurace | Výchozí role uživatele | |
| Čtení klíčů Nástroje BitLocker | Správa istrator cloudového zařízení | Helpdesk Správa istrator Intune Správa istrator Správce zabezpečení Čtenář zabezpečení |
Podnikové aplikace
Správa nároků
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Přidání prostředků do katalogu | Zásady správného řízení identit Správa istrator | Pomocí správy nároků můžete tuto úlohu delegovat na vlastníka katalogu. |
| Přidání webů SharePointu Online do katalogu | SharePoint Správa istrator |
Skupiny
Identity Protection
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Konfigurace oznámení výstrah | Správce zabezpečení | |
| Konfigurace a povolení nebo zakázání zásad vícefaktorového ověřování | Správce zabezpečení | |
| Konfigurace a povolení nebo zakázání zásad rizik přihlašování | Správce zabezpečení | |
| Konfigurace a povolení nebo zakázání zásad rizik uživatelů | Správce zabezpečení | |
| Konfigurace týdenních přehledů | Správce zabezpečení | |
| Zavření všech detekcí rizik | Správce zabezpečení | |
| Oprava nebo zavření chyby zabezpečení | Správce zabezpečení | |
| Čtení veškeré konfigurace | Čtenář zabezpečení | |
| Čtení všech detekcí rizik | Čtenář zabezpečení | |
| Ohrožení zabezpečení čtení | Čtenář zabezpečení |
Licence
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Přiřazení licence | Licenční Správa istrator | Správce uživatelů |
| Čtení veškeré konfigurace | Čtenáři adresářů | Výchozí role uživatele |
| Odvolání licence | Licenční Správa istrator | Správce uživatelů |
| Vyzkoušení nebo zakoupení předplatného | Správce fakturace |
Monitorování – protokoly auditu
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Čtení protokolů auditu | Čtenář sestav | Čtenář zabezpečení Správce zabezpečení |
Monitorování – přihlášení
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Čtení protokolů přihlašování | Čtenář sestav | Čtenář zabezpečení Správce zabezpečení Globální čtenář |
Vícefaktorové ověřování
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli | Zásady ověřování Správa istrator | Ověřování Správa istrator |
| Zakázání vícefaktorového ověřování pro jednotlivé uživatele | Ověřování Správa istrator | Privileged Authentication Správa istrator |
| Povolení vícefaktorového ověřování pro jednotlivé uživatele | Ověřování Správa istrator | Privileged Authentication Správa istrator |
| Správa nastavení služby MFA | Zásady ověřování Správa istrator | |
| Vyžadovat, aby vybraní uživatelé znovu zadali způsoby kontaktování | Ověřování Správa istrator | |
| Obnovení vícefaktorového ověřování na všech zapamatových zařízeních | Ověřování Správa istrator |
Server MFA
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Blokování a odblokování uživatelů | Zásady ověřování Správa istrator | |
| Konfigurace uzamčení účtu | Zásady ověřování Správa istrator | |
| Konfigurace pravidel ukládání do mezipaměti | Zásady ověřování Správa istrator | |
| Konfigurace upozornění na podvod | Zásady ověřování Správa istrator | |
| Konfigurace oznámení | Zásady ověřování Správa istrator | |
| Konfigurace jednorázového obejití | Zásady ověřování Správa istrator | |
| Konfigurace nastavení telefonního hovoru | Zásady ověřování Správa istrator | |
| Konfigurace poskytovatelů | Zásady ověřování Správa istrator | |
| Konfigurace nastavení serveru | Zásady ověřování Správa istrator | |
| Čtení sestavy aktivit | Globální čtenář | |
| Čtení veškeré konfigurace | Globální čtenář | |
| Čtení stavu serveru | Globální čtenář |
Organizační vztahy
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Správa zprostředkovatelů identity | Externí zprostředkovatel identity Správa istrator | |
| Čtení veškeré konfigurace | Globální čtenář |
Resetování hesla
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Konfigurace metod ověřování | Zásady ověřování Správa istrator | |
| Konfigurace přizpůsobení | Zásady ověřování Správa istrator | |
| Konfigurace oznámení | Zásady ověřování Správa istrator | |
| Konfigurace místní integrace | Zásady ověřování Správa istrator | |
| Konfigurace vlastností resetování hesla | Správce uživatelů | Zásady ověřování Správa istrator |
| Konfigurace registrace | Zásady ověřování Správa istrator | |
| Čtení veškeré konfigurace | Správce zabezpečení | Správce uživatelů |
Správa oprávnění
Co je Správa oprávnění Microsoft Entra
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Onboarding tenanta | Správa oprávnění Správa istrator | |
| Onboarding cloudových prostředí | Správa oprávnění Správa istrator | |
| Přiřazení oprávnění v Správa oprávnění Microsoft Entra | Správa oprávnění Správa istrator | |
| Spuštění zkušební verze a zakoupení licencí Správa oprávnění Microsoft Entra | Správce fakturace |
Privileged identity management
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Přiřazení uživatelů k rolím | Správce privilegovaných rolí | |
| Konfigurace nastavení role | Správce privilegovaných rolí | |
| Zobrazení aktivit auditu | Čtenář zabezpečení | |
| Zobrazení členství v rolích | Čtenář zabezpečení |
Role a správci
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Správa přiřazení rolí | Správce privilegovaných rolí | |
| Kontrola přístupu pro čtení role Microsoft Entra | Čtenář zabezpečení | Správce zabezpečení Správce privilegovaných rolí |
| Čtení veškeré konfigurace | Výchozí role uživatele |
Zabezpečení – metody ověřování
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Povolení nebo zakázání metod ověřování | Zásady ověřování Správa istrator | |
| Zobrazení, zřizování jménem a správa metod ověřování jednotlivých uživatelů | Ověřování Správa istrator | Privileged Authentication Správa istrator |
| Konfigurace ochrany heslem | Správce zabezpečení | |
| Konfigurace inteligentního uzamčení | Správce zabezpečení | |
| Čtení veškeré konfigurace | Globální čtenář |
Zabezpečení – podmíněný přístup
Zabezpečení – skóre zabezpečení identity
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Čtení veškeré konfigurace | Čtenář zabezpečení | Správce zabezpečení |
| Přečíst skóre zabezpečení | Čtenář zabezpečení | Správce zabezpečení |
| Aktualizace stavu události | Správce zabezpečení |
Zabezpečení – riziková přihlášení
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Čtení veškeré konfigurace | Čtenář zabezpečení | |
| Čtení rizikových přihlášení | Čtenář zabezpečení |
Zabezpečení – Uživatelé označení příznakem rizika
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Zavřít všechny události | Správce zabezpečení | |
| Čtení veškeré konfigurace | Čtenář zabezpečení | |
| Čtení uživatelů označených příznakem rizika | Čtenář zabezpečení |
Dočasný přístupový pass
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro správce nebo členy (kromě sebe) | Privileged Authentication Správa istrator | |
| Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro členy (kromě sebe) | Ověřování Správa istrator | |
| Zobrazení podrobností o dočasném přístupovém passu pro uživatele (bez čtení samotného kódu) | Globální čtenář | |
| Konfigurace nebo aktualizace zásad metody ověřování dočasného přístupu | Zásady ověřování Správa istrator |
Tenant
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Vytvoření ID Microsoft Entra nebo tenanta Azure AD B2C | Tvůrce tenanta | |
| Aktualizace vlastností tenanta Microsoft Entra | Správce fakturace | |
| Správa prohlášení o zásadách ochrany osobních údajů a kontaktování | Správce fakturace |
Uživatelé
| Úkol | Role s nejnižšími oprávněními | Další role |
|---|---|---|
| Přidání uživatele do role adresáře | Správce privilegovaných rolí | |
| Přidání uživatele do skupiny | Správce uživatelů | |
| Přiřazení licence | Licenční Správa istrator | Správce uživatelů |
| Vytvoření uživatele typu host | Pozvaný host | Správce uživatelů |
| Resetování pozvání uživatele typu host | Helpdesk Správa istrator | Správce uživatelů |
| Vytvořit uživatele | Správce uživatelů | |
| Odstranění uživatelů | Správce uživatelů | |
| Zneplatnění obnovovacích tokenů omezených správců | Správce uživatelů | |
| Zneplatnění obnovovacích tokenů jiných správců | Helpdesk Správa istrator | Správce uživatelů |
| Zneplatnění obnovovacích tokenů privilegovaných správců | Privileged Authentication Správa istrator | |
| Čtení základní konfigurace | Výchozí role uživatele | |
| Resetování hesla pro omezené správce | Správce uživatelů | |
| Resetování hesla uživatelů, kteří nejsou správci | Heslo Správa istrator | Správce uživatelů |
| Resetování hesla privilegovaných správců | Privileged Authentication Správa istrator | |
| Odvolání licence | Licenční Správa istrator | Správce uživatelů |
| Aktualizace všech vlastností kromě hlavního názvu uživatele | Správce uživatelů | |
| Aktualizace vlastnosti s povolenou místní synchronizací | Hybridní identita Správa istrator | |
| Aktualizace hlavního názvu uživatele pro omezené správce | Správce uživatelů | |
| Aktualizace vlastnosti hlavního názvu uživatele u privilegovaných správců | Privileged Authentication Správa istrator | |
| Aktualizace uživatelských nastavení – výchozí oprávnění role uživatele | Správce privilegovaných rolí | |
| Aktualizace uživatelských nastavení – Přístup uživatele typu host | Správce privilegovaných rolí | |
| Aktualizace uživatelských nastavení – centrum Správa istrace | Globální správce | |
| Aktualizace uživatelských nastavení – připojení k účtu LinkedIn | Globální správce | |
| Aktualizace uživatelských nastavení – Zobrazení zachování přihlášeného uživatele | Globální správce | |
| Aktualizace metod ověřování | Ověřování Správa istrator | Privileged Authentication Správa istrator |