Peran istimewa paling rendah berdasarkan tugas di Microsoft Entra ID
Dalam artikel ini, Anda dapat menemukan informasi yang diperlukan untuk membatasi izin administrator pengguna dengan menetapkan peran dengan hak istimewa paling sedikit di ID Microsoft Entra. Anda akan menemukan tugas admin yang diatur menurut area fitur dan peran istimewa terendah yang diperlukan untuk melakukan setiap tugas, bersama dengan peran Administrator non-Global tambahan yang dapat melakukan tugas tersebut.
Anda dapat membatasi izin lebih lanjut dengan menetapkan peran pada cakupan yang lebih kecil atau dengan membuat peran kustom Anda sendiri. Untuk informasi selengkapnya, lihat Menetapkan peran Microsoft Entra di cakupan yang berbeda atau Membuat dan menetapkan peran kustom di ID Microsoft Entra.
Proksi aplikasi
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengonfigurasi aplikasi proksi aplikasi | Administrator Aplikasi | |
Mengonfigurasi properti grup konektor | Administrator Aplikasi | |
Membuat pendaftaran aplikasi ketika kemampuan dinonaktifkan untuk semua pengguna | Pengembang Aplikasi | Administrator Aplikasi Cloud Administrator Aplikasi |
Membuat grup konektor | Administrator Aplikasi | |
Menghapus grup konektor | Administrator Aplikasi | |
Menonaktifkan proksi aplikasi | Administrator Aplikasi | |
Mengunduh layanan konektor | Administrator Aplikasi | |
Membaca semua konfigurasi | Administrator Aplikasi |
Azure Active Directory for External Identities/B2C
Catatan
Administrator Global Azure AD B2C tidak memiliki izin yang sama dengan Administrator Global Microsoft Entra. Jika Anda memiliki hak istimewa Administrator Global Azure AD B2C, pastikan Anda berada di direktori Azure AD B2C dan bukan direktori Microsoft Entra.
Merek perusahaan
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengonfigurasi merek perusahaan | Administrator Branding Organisasi | |
Membaca semua konfigurasi | Pembaca Direktori | Peran pengguna default |
Sambungkan
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Autentikasi pass-through | Admin Identitas Hibrid | |
Membaca semua konfigurasi | Pembaca Global | Admin Identitas Hibrid |
Akses menyeluruh tanpa hambatan | Admin Identitas Hibrid |
Provisi Cloud
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Autentikasi pass-through | Admin Identitas Hibrid | |
Membaca semua konfigurasi | Pembaca Global | Admin Identitas Hibrid |
Akses menyeluruh tanpa hambatan | Admin Identitas Hibrid |
Menyambungkan Kesehatan
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menambahkan atau menghapus layanan | Pemilik | |
Menerapkan perbaikan untuk menyinkronkan kesalahan | Kontributor | Pemilik |
Mengonfigurasi pemberitahuan | Kontributor | Pemilik |
Mengonfigurasi pengaturan | Pemilik | |
Mengonfigurasi pemberitahuan sinkronisasi | Kontributor | Pemilik |
Membaca laporan keamanan ADFS | Pembaca Keamanan | Kontributor Pemilik |
Membaca semua konfigurasi | Pembaca | Kontributor Pemilik |
Membaca kesalahan sinkronisasi | Pembaca | Kontributor Pemilik |
Membaca layanan sinkronisasi | Pembaca | Kontributor Pemilik |
Melihat metrik dan pemberitahuan | Pembaca | Kontributor Pemilik |
Melihat metrik dan pemberitahuan | Pembaca | Kontributor Pemilik |
Menampilkan metrik dan pemberitahuan layanan sinkronisasi | Pembaca | Kontributor Pemilik |
Nama domain kustom
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengelola domain | Admin Nama Domain | |
Membaca semua konfigurasi | Pembaca Direktori | Peran pengguna default |
Layanan Domain
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Membuat instans Microsoft Entra Domain Services | Administrator Aplikasi Admin Grup Kontributor Layanan Domain |
|
Melakukan semua tugas Microsoft Entra Domain Services | Grup administrator AAD DC | |
Membaca semua konfigurasi | Pembaca pada langganan Azure yang berisi layanan AD DS |
Perangkat
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menghapus perangkat | Admin Perangkat Cloud | Admin Intune |
Menonaktifkan perangkat | Admin Perangkat Cloud | Admin Intune |
Mengaktifkan perangkat | Admin Perangkat Cloud | Admin Intune |
Membaca konfigurasi dasar | Peran pengguna default | |
Membaca kunci BitLocker | Admin Perangkat Cloud | Admin Bantuan Teknis Admin Intune Administrator Keamanan Pembaca Keamanan |
Aplikasi Perusahaan
Pengelolaan pemberian hak
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menambahkan sumber daya ke katalog | Administrator Tata Kelola Identitas | Dengan pengelolaan pemberian hak, Anda dapat mendelegasikan tugas ini kepada pemilik katalog |
Menambahkan situs SharePoint Online ke katalog | Administrator SharePoint |
Grup
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menetapkan lisensi | Admin Pengguna | |
Membuat grup | Admin Grup | Admin Pengguna |
Membuat, memperbarui, atau menghapus tinjauan akses grup atau aplikasi | Admin Pengguna | |
Mengelola kedaluwarsa grup | Admin Pengguna | |
Mengelola pengaturan grup | Admin Grup | Admin Pengguna |
Membaca semua konfigurasi (kecuali keanggotaan tersembunyi) | Pembaca Direktori | Peran pengguna default |
Membaca keanggotaan tersembunyi | Anggota grup | Pemilik grup Admin Kata Sandi Admin Exchange Administrator SharePoint Administrator Teams Admin Pengguna |
Membaca keanggotaan grup dengan keanggotaan tersembunyi | Admin Bantuan Teknis | Admin Pengguna Administrator Teams |
Mencabut lisensi | Admin Lisensi | Admin Pengguna |
Memperbarui anggota grup | Pemilik grup | Admin Pengguna |
Memperbarui pemilik grup | Pemilik grup | Admin Pengguna |
Memperbarui properti grup | Pemilik grup | Admin Pengguna |
Menghapus grup | Admin Grup | Admin Pengguna |
Perlindungan Identitas
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengonfigurasi pemberitahuan peringatan | Administrator Keamanan | |
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan MFA | Administrator Keamanan | |
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko proses masuk | Administrator Keamanan | |
Mengonfigurasi dan mengaktifkan atau menonaktifkan kebijakan risiko pengguna | Administrator Keamanan | |
Mengonfigurasi hash mingguan | Administrator Keamanan | |
Mematikan semua deteksi risiko | Administrator Keamanan | |
Memperbaiki atau mematikan kerentanan | Administrator Keamanan | |
Membaca semua konfigurasi | Pembaca Keamanan | |
Membaca semua deteksi risiko | Pembaca Keamanan | |
Membaca kerentanan | Pembaca Keamanan |
Lisensi
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menetapkan lisensi | Admin Lisensi | Admin Pengguna |
Membaca semua konfigurasi | Pembaca Direktori | Peran pengguna default |
Mencabut lisensi | Admin Lisensi | Admin Pengguna |
Mencoba atau membeli langganan | Admin Penagihan |
Pemantauan - Log audit
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Membaca log audit | Pembaca Laporan | Pembaca Keamanan Administrator Keamanan |
Pemantauan - Rincian masuk
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Membaca log rincian masuk | Pembaca Laporan | Pembaca Keamanan Administrator Keamanan Pembaca Global |
Autentikasi multifaktor
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menghapus semua kata sandi aplikasi yang ada yang dibuat oleh pengguna terpilih | Admin Kebijakan Autentikasi | Admin Autentikasi |
Menonaktifkan MFA per pengguna | Admin Autentikasi | Admin Autentikasi Istimewa |
Mengaktifkan MFA per pengguna | Admin Autentikasi | Admin Autentikasi Istimewa |
Mengelola pengaturan layanan MFA | Admin Kebijakan Autentikasi | |
Mengharuskan pengguna terpilih untuk menyediakan metode kontak sekali lagi | Admin Autentikasi | |
Memulihkan autentikasi multifaktor pada semua perangkat yang diingat | Admin Autentikasi |
Server MFA
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Blokir/Buka Blokir Pengguna | Admin Kebijakan Autentikasi | |
Mengonfigurasi penguncian akun | Admin Kebijakan Autentikasi | |
Mengonfigurasi aturan penembolokan | Admin Kebijakan Autentikasi | |
Mengonfigurasi pemberitahuan penipuan | Admin Kebijakan Autentikasi | |
Mengonfigurasi pemberitahuan | Admin Kebijakan Autentikasi | |
Mengonfigurasi lewatan satu kali | Admin Kebijakan Autentikasi | |
Mengonfigurasi pengaturan panggilan telepon | Admin Kebijakan Autentikasi | |
Mengonfigurasi penyedia | Admin Kebijakan Autentikasi | |
Mengonfigurasi pengaturan server | Admin Kebijakan Autentikasi | |
Membaca laporan aktivitas | Pembaca Global | |
Membaca semua konfigurasi | Pembaca Global | |
Membaca status server | Pembaca Global |
Hubungan organisasi
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengelola IdP | Admin IdP Eksternal | |
Membaca semua konfigurasi | Pembaca Global |
Reset kata sandi
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengonfigurasi metode autentikasi | Admin Kebijakan Autentikasi | |
Mengonfigurasi kustomisasi | Admin Kebijakan Autentikasi | |
Mengonfigurasi pemberitahuan | Admin Kebijakan Autentikasi | |
Mengonfigurasi integrasi lokal | Admin Kebijakan Autentikasi | |
Mengonfigurasi properti reset kata sandi | Admin Pengguna | Admin Kebijakan Autentikasi |
Konfigurasi pendaftaran | Admin Kebijakan Autentikasi | |
Membaca semua konfigurasi | Administrator Keamanan | Admin Pengguna |
Pengelolaan izin
Apa yang Manajemen Izin Microsoft Entra
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Onboarding penyewa | Administrator Manajemen Izin | |
Lingkungan cloud onboard | Administrator Manajemen Izin | |
Menetapkan izin di Manajemen Izin Microsoft Entra | Administrator Manajemen Izin | |
Mulai uji coba dan beli lisensi Manajemen Izin Microsoft Entra | Admin Penagihan |
Manajemen identitas istimewa
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menetapkan pengguna ke peran | Administrator Peran Privileged | |
Mengonfigurasi pengaturan peran | Administrator Peran Privileged | |
Melihat aktivitas audit | Pembaca Keamanan | |
Melihat keanggotaan peran | Pembaca Keamanan |
Peran dan administrator
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengelola penetapan peran | Administrator Peran Privileged | |
Membaca tinjauan akses peran Microsoft Entra | Pembaca Keamanan | Administrator Keamanan Administrator Peran Privileged |
Membaca semua konfigurasi | Peran pengguna default |
Keamanan - Metode autentikasi
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mengaktifkan atau menonaktifkan metode autentikasi | Admin Kebijakan Autentikasi | |
Melihat, menyediakan atas nama, dan mengelola metode autentikasi pengguna individual | Admin Autentikasi | Admin Autentikasi Istimewa |
Mengonfigurasi perlindungan kata sandi | Administrator Keamanan | |
Mengonfigurasi penguncian cerdas | Administrator Keamanan | |
Membaca semua konfigurasi | Pembaca Global |
Keamanan - Akses Bersyarat
Keamanan - Skor keamanan identitas
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Membaca semua konfigurasi | Pembaca Keamanan | Administrator Keamanan |
Membaca skor keamanan | Pembaca Keamanan | Administrator Keamanan |
Memperbarui status peristiwa | Administrator Keamanan |
Keamanan - Proses masuk riskan
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Membaca semua konfigurasi | Pembaca Keamanan | |
Membaca proses masuk riskan | Pembaca Keamanan |
Keamanan - Pengguna yang ditandai karena berisiko
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Mematikan semua peristiwa | Administrator Keamanan | |
Membaca semua konfigurasi | Pembaca Keamanan | |
Membaca pengguna ditandai karena berisiko | Pembaca Keamanan |
Kode Akses Sementara
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) | Admin Autentikasi Istimewa | |
Membuat, menghapus, atau menampilkan Kode Akses Sementara untuk admin atau anggota (kecuali diri mereka sendiri) | Admin Autentikasi | |
Tampilkan detail Kode Akses Sementara untuk pengguna (tanpa membaca kode itu sendiri) | Pembaca Global | |
Mengonfigurasi atau memperbarui kebijakan metode autentikasi Kode Akses Sementara | Admin Kebijakan Autentikasi |
Penyewa
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Membuat ID Microsoft Entra atau Penyewa Azure AD B2C | Pembuat Penyewa | |
Memperbarui properti penyewa Microsoft Entra | Admin Penagihan | |
Mengelola pernyataan privasi dan kontak | Admin Penagihan |
Pengguna
Tugas | Peran istimewa paling rendah | Peran tambahan |
---|---|---|
Menambahkan pengguna ke peran direktori | Administrator Peran Privileged | |
Menambahkan pengguna ke grup | Admin Pengguna | |
Menetapkan lisensi | Admin Lisensi | Admin Pengguna |
Membuat pengguna tamu | Pengundang Tamu | Admin Pengguna |
Atur ulang undangan pengguna tamu | Admin Bantuan Teknis | Admin Pengguna |
Buat pengguna | Admin Pengguna | |
Menghapus pengguna | Admin Pengguna | |
Membatalkan validasi token refresh dari admin terbatas | Admin Pengguna | |
Membatalkan validasi token refresh non-admin | Admin Bantuan Teknis | Admin Pengguna |
Membatalkan validasi token refresh dari admin istimewa | Admin Autentikasi Istimewa | |
Membaca konfigurasi dasar | Peran pengguna default | |
Mereset kata sandi untuk admin terbatas | Admin Pengguna | |
Mereset kata sandi non-admin | Admin Kata Sandi | Admin Pengguna |
Mereset kata sandi admin istimewa | Admin Autentikasi Istimewa | |
Mencabut lisensi | Admin Lisensi | Admin Pengguna |
Memperbarui semua properti kecuali Nama Prinsipal Pengguna | Admin Pengguna | |
Memperbarui properti yang diaktifkan sinkronisasi lokal | Admin Identitas Hibrid | |
Memperbarui Nama Prinsipal Pengguna untuk admin terbatas | Admin Pengguna | |
Memperbarui Nama Prinsipal Pengguna pada admin istimewa | Admin Autentikasi Istimewa | |
Memperbarui pengaturan pengguna - Izin peran pengguna default | Administrator Peran Privileged | |
Memperbarui pengaturan pengguna - Akses pengguna tamu | Administrator Peran Privileged | |
Memperbarui Metode autentikasi | Admin Autentikasi | Admin Autentikasi Istimewa |