Ruoli con privilegi minimi per attività in Microsoft Entra ID
In questo articolo è possibile trovare le informazioni necessarie per limitare le autorizzazioni di amministratore di un utente assegnando ruoli con privilegi minimi in Microsoft Entra ID. Sono disponibili attività organizzate in base all'area delle funzionalità e al ruolo con privilegi minimi necessari per eseguire ogni attività, insieme a ruoli aggiuntivi non globali Amministrazione istrator che possono eseguire l'attività.
È possibile limitare ulteriormente le autorizzazioni assegnando ruoli a ambiti più piccoli o creando ruoli personalizzati. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra in ambiti diversi o Creare e assegnare un ruolo personalizzato in Microsoft Entra ID.
Proxy dell'applicazione
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Configurare l'app del proxy dell'applicazione | Amministratore applicazione | |
| Configurare le proprietà del gruppo connettore | Amministratore applicazione | |
| Creare una registrazione dell'applicazione quando la capacità è disabilitata per tutti gli utenti | Sviluppatore di applicazioni | Amministratore di applicazioni cloud Amministratore applicazione |
| Creare gruppo di connettori | Amministratore applicazione | |
| Eliminare gruppo di connettori | Amministratore applicazione | |
| Disabilitare il proxy di applicazione | Amministratore applicazione | |
| Scaricare servizio connettore | Amministratore applicazione | |
| Leggere tutta la configurazione | Amministratore applicazione |
Identità esterne/B2C
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Creare directory di Azure AD B2C | Tutti gli utenti non guest | |
| Creare applicazioni aziendali | Amministratore di applicazioni cloud | Amministratore applicazione |
| Creare, leggere, aggiornare ed eliminare criteri B2C | Amministratore dei criteri IEF B2C | |
| Creare, leggere, aggiornare ed eliminare provider di identità | Amministratore dei provider di identità esterni | |
| Creare, leggere, aggiornare ed eliminare flussi utente con ripristino delle password | Flusso utente CON ID esterno Amministrazione istrator | |
| Creare, leggere, aggiornare ed eliminare flussi utente con modifica dei profili | Flusso utente CON ID esterno Amministrazione istrator | |
| Creare, leggere, aggiornare ed eliminare flussi utente con accesso | Flusso utente CON ID esterno Amministrazione istrator | |
| Creare, leggere, aggiornare ed eliminare flussi utente con iscrizione | Flusso utente CON ID esterno Amministrazione istrator | |
| Creare, leggere, aggiornare ed eliminare attributi utente | Attributo flusso utente ID esterno Amministrazione istrator | |
| Creare, leggere, aggiornare ed eliminare utenti | Amministratore utenti | |
| Configurare le impostazioni di collaborazione esterna B2B | Amministratore globale | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali | |
| Leggere i log di controllo B2C | Ruolo con autorizzazioni di lettura globali |
Nota
Azure AD B2C Global Amministrazione istrators non hanno le stesse autorizzazioni di Microsoft Entra Global Amministrazione istrators. Se si dispone dei privilegi di Azure AD B2C Global Amministrazione istrator, assicurarsi di entrare in una directory di Azure AD B2C e non in una directory di Microsoft Entra.
Informazioni personalizzate distintive dell'azienda
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Configurare la personalizzazione aziendale | Personalizzazione dell'organizzazione Amministrazione istrator | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura nella directory | Ruolo utente predefinito |
Connessione
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Autenticazione passthrough | Amministratore delle identità ibride | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali | Amministratore delle identità ibride |
| Accesso Single Sign-on facile | Amministratore delle identità ibride |
Cloud Provisioning
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Autenticazione passthrough | Amministratore delle identità ibride | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali | Amministratore delle identità ibride |
| Accesso Single Sign-on facile | Amministratore delle identità ibride |
Connect Health
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Aggiungere o eliminare servizi | Proprietario | |
| Applicare le correzioni agli errori di sincronizzazione | Collaboratore | Proprietario |
| Configurare le notifiche | Collaboratore | Proprietario |
| Configurare le impostazioni | Proprietario | |
| Configurare le notifiche di sincronizzazione | Collaboratore | Proprietario |
| Leggere report sulla sicurezza del file system distribuito di Azure (ADFS) | Ruolo con autorizzazioni di lettura per la sicurezza | Collaboratore Proprietario |
| Leggere tutta la configurazione | Lettore | Collaboratore Proprietario |
| Leggere errori di sincronizzazione | Lettore | Collaboratore Proprietario |
| Leggere servizi di sincronizzazione | Lettore | Collaboratore Proprietario |
| Visualizzare metriche e avvisi | Lettore | Collaboratore Proprietario |
| Visualizzare metriche e avvisi | Lettore | Collaboratore Proprietario |
| Visualizzare le metriche del servizio di sincronizzazione e gli avvisi | Lettore | Collaboratore Proprietario |
Nomi di dominio personalizzati
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Gestire domini | Domain Name Amministrazione istrator | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura nella directory | Ruolo utente predefinito |
Servizi di dominio
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Creare un'istanza di Servizi di dominio Microsoft Entra | Amministratore applicazione Amministratore di gruppi Collaboratore servizi di dominio |
|
| Eseguire tutte le attività di Microsoft Entra Domain Services | Gruppo di Amministrazione istrator di AAD DC | |
| Leggere tutta la configurazione | Lettore nella sottoscrizione di Azure che contiene il servizio Active Directory Domain Services |
Dispositivi
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Eliminazione dispositivo | Amministratore dispositivo cloud | Amministratore di Intune |
| Disabilitare dispositivo | Amministratore dispositivo cloud | Amministratore di Intune |
| Abilitare dispositivo | Amministratore dispositivo cloud | Amministratore di Intune |
| Leggere configurazione di base | Ruolo utente predefinito | |
| Leggere le chiavi BitLocker | Amministratore dispositivo cloud | Amministratore supporto tecnico Amministratore di Intune Amministratore della sicurezza Ruolo con autorizzazioni di lettura per la sicurezza |
Applicazioni aziendali
Gestione dei diritti
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Aggiungi risorse al catalogo | Identity Governance Amministrazione istrator | Con la gestione entitlement, è possibile delegare questa attività al proprietario del catalogo |
| Aggiungere siti di SharePoint Online al catalogo | Amministratore di SharePoint |
Gruppi
Identity Protection
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Configurare notifiche di avviso | Amministratore della sicurezza | |
| Configurare e abilitare o disabilitare i criteri di autenticazione a più fattori | Amministratore della sicurezza | |
| Configurare e abilitare o disabilitare i criteri di rischio di accesso | Amministratore della sicurezza | |
| Configurare e abilitare o disabilitare i criteri di rischio utente | Amministratore della sicurezza | |
| Configurare digest settimanale | Amministratore della sicurezza | |
| Ignorare tutti i rilevamenti dei rischi | Amministratore della sicurezza | |
| Correggere o ignorare una vulnerabilità | Amministratore della sicurezza | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | |
| Leggere tutti i rilevamenti dei rischi | Ruolo con autorizzazioni di lettura per la sicurezza | |
| Leggere le vulnerabilità | Ruolo con autorizzazioni di lettura per la sicurezza |
Licenze
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Assegnare una licenza | Amministratore licenze | Amministratore utenti |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura nella directory | Ruolo utente predefinito |
| Revocare la licenza | Amministratore licenze | Amministratore utenti |
| Provare o acquistare la sottoscrizione | Amministratore fatturazione |
Monitoraggio - log di controllo
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Leggere i log di controllo | Lettore di report | Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza |
Monitoraggio - accessi
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Leggere log di accesso | Lettore di report | Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza Ruolo con autorizzazioni di lettura globali |
Autenticazione a più fattori
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Eliminare tutte le password dell'app esistenti generate dagli utenti selezionati | Criteri di autenticazione Amministrazione istrator | Amministratore dell'autenticazione |
| Disabilitare l'autenticazione a più fattori per utente | Amministratore dell'autenticazione | Amministratore autenticazione con privilegi |
| Abilitare l'autenticazione a più fattori per utente | Amministratore dell'autenticazione | Amministratore autenticazione con privilegi |
| Gestire le impostazioni del servizio di autenticazione a più fattori | Criteri di autenticazione Amministrazione istrator | |
| Richiedere agli utenti selezionati di fornire di nuovo i metodi di contatto | Amministratore dell'autenticazione | |
| Ripristinare l'autenticazione a più fattori in tutti i dispositivi memorizzati | Amministratore dell'autenticazione |
Server MFA
Relazioni aziendali
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Gestire i provider di identità | Amministratore dei provider di identità esterni | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali |
Reimpostazione della password
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Configurare i metodi di autenticazione | Criteri di autenticazione Amministrazione istrator | |
| Configurare personalizzazione | Criteri di autenticazione Amministrazione istrator | |
| Configurare notifica | Criteri di autenticazione Amministrazione istrator | |
| Configurare integrazione locale | Criteri di autenticazione Amministrazione istrator | |
| Configurare le proprietà di reimpostazione della password | Amministratore utenti | Criteri di autenticazione Amministrazione istrator |
| Configurare registrazione | Criteri di autenticazione Amministrazione istrator | |
| Leggere tutta la configurazione | Amministratore della sicurezza | Amministratore utenti |
Privileged Identity Management
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Assegnare utenti ai ruoli | Amministratore dei ruoli con privilegi | |
| Configurare le impostazioni dei ruoli | Amministratore dei ruoli con privilegi | |
| Visualizzare l'attività di controllo | Ruolo con autorizzazioni di lettura per la sicurezza | |
| Visualizzare i membri dei ruoli | Ruolo con autorizzazioni di lettura per la sicurezza |
Ruoli e amministratori
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Gestire le assegnazioni di ruoli | Amministratore dei ruoli con privilegi | |
| Verifica dell'accesso in lettura di un ruolo Microsoft Entra | Ruolo con autorizzazioni di lettura per la sicurezza | Amministratore della sicurezza Amministratore dei ruoli con privilegi |
| Leggere tutta la configurazione | Ruolo utente predefinito |
Sicurezza - metodi di autenticazione
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Abilitare o disabilitare i metodi di autenticazione | Criteri di autenticazione Amministrazione istrator | |
| Visualizzare, effettuare il provisioning per conto di e gestire i singoli metodi di autenticazione utente | Amministratore dell'autenticazione | Amministratore autenticazione con privilegi |
| Configurare la protezione password | Amministratore della sicurezza | |
| Configurare il blocco intelligente | Amministratore della sicurezza | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali |
Sicurezza - Accesso condizionale
Sicurezza - punteggio di sicurezza delle identità
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | Amministratore della sicurezza |
| Leggere punteggio di sicurezza | Ruolo con autorizzazioni di lettura per la sicurezza | Amministratore della sicurezza |
| Aggiornare stato dell'evento | Amministratore della sicurezza |
Sicurezza - accessi a rischio
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | |
| Leggere gli accessi a rischio | Ruolo con autorizzazioni di lettura per la sicurezza |
Sicurezza - utenti contrassegnati per il rischio
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| eliminare tutti gli eventi | Amministratore della sicurezza | |
| Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | |
| Leggere utenti contrassegnati per il rischio | Ruolo con autorizzazioni di lettura per la sicurezza |
Pass di accesso temporaneo
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Creare, eliminare o visualizzare un pass di accesso temporaneo per amministratori o membri (ad eccezione di se stessi) | Amministratore autenticazione con privilegi | |
| Creare, eliminare o visualizzare un pass di accesso temporaneo per i membri (ad eccezione di se stessi) | Amministratore dell'autenticazione | |
| Visualizzare i dettagli di un pass di accesso temporaneo per un utente (senza leggere il codice stesso) | Ruolo con autorizzazioni di lettura globali | |
| Configurare o aggiornare i criteri del metodo di autenticazione pass di accesso temporaneo | Criteri di autenticazione Amministrazione istrator |
Tenant
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Creare l'ID Microsoft Entra o il tenant di Azure AD B2C | Autore tenant | |
| Aggiornare le proprietà del tenant di Microsoft Entra | Amministratore fatturazione | |
| Gestire l'informativa sulla privacy e il contatto | Amministratore fatturazione |
Utenti
| Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
|---|---|---|
| Aggiungere utenti al ruolo della directory | Amministratore dei ruoli con privilegi | |
| Aggiungere utenti al gruppo | Amministratore utenti | |
| Assegnare una licenza | Amministratore licenze | Amministratore utenti |
| Creare utente guest | Mittente dell'invito guest | Amministratore utenti |
| Reimpostare l'invito dell'utente guest | Amministratore supporto tecnico | Amministratore utenti |
| Creare un utente | Amministratore utenti | |
| Eliminare utenti | Amministratore utenti | |
| Invalidare i token di aggiornamento di amministratori limitati | Amministratore utenti | |
| Invalidare i token di aggiornamento di utenti non amministratori | Amministratore supporto tecnico | Amministratore utenti |
| Invalidare i token di aggiornamento degli amministratori con privilegi | Amministratore autenticazione con privilegi | |
| Leggere configurazione di base | Ruolo utente predefinito | |
| Reimpostare la password per amministratori limitati | Amministratore utenti | |
| Reimpostare la password degli utenti non amministratori | Amministratore password | Amministratore utenti |
| Reimpostare la password degli amministratori con privilegi | Amministratore autenticazione con privilegi | |
| Revocare la licenza | Amministratore licenze | Amministratore utenti |
| Aggiornare tutte le proprietà, ad eccezione del nome dell'entità utente | Amministratore utenti | |
| Aggiornare la proprietà abilitata per la sincronizzazione locale | Amministratore delle identità ibride | |
| Aggiornare il nome dell'entità utente per amministratori limitati | Amministratore utenti | |
| Aggiornare la proprietà Nome entità utente in amministratori con privilegi | Amministratore autenticazione con privilegi | |
| Aggiornare le impostazioni utente - Autorizzazioni predefinite per i ruoli utente | Amministratore dei ruoli con privilegi | |
| Aggiornare le impostazioni utente - Accesso utente guest | Amministratore dei ruoli con privilegi | |
| Aggiornare i metodi di autenticazione | Amministratore dell'autenticazione | Amministratore autenticazione con privilegi |