Rollen met minimale bevoegdheden per taak in Microsoft Entra ID
In dit artikel vindt u de informatie die nodig is om de beheerdersmachtigingen van een gebruiker te beperken door de rollen met minimale bevoegdheden toe te wijzen in Microsoft Entra-id. U vindt taken ingedeeld op functiegebied en de minst bevoegde rol die nodig is om elke taak uit te voeren, samen met aanvullende niet-globale beheerdersrollen die de taak kunnen uitvoeren.
U kunt machtigingen verder beperken door rollen toe te wijzen aan kleinere bereiken of door zelf aangepaste rollen te maken. Zie Microsoft Entra-rollen toewijzen in verschillende bereiken of Een aangepaste rol maken en toewijzen in Microsoft Entra-id voor meer informatie.
Toepassingsproxy
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Toepassingsproxy-app configureren | Toepassingsbeheerder | |
Eigenschappen van een connectorgroep configureren | Toepassingsbeheerder | |
Toepassingsregistratie maken wanneer de mogelijkheid is uitgeschakeld voor alle gebruikers | Toepassingsontwikkelaar | Beheerder van de cloudtoepassing Toepassingsbeheerder |
Een connectorgroep maken | Toepassingsbeheerder | |
Een connectorgroep verwijderen | Toepassingsbeheerder | |
Toepassingsproxy uitschakelen | Toepassingsbeheerder | |
Connectorservice downloaden | Toepassingsbeheerder | |
Alle configuratie lezen | Toepassingsbeheerder |
Externe identiteiten/B2C
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Azure AD B2C-directory's maken | Alle niet-gastgebruikers | |
Ondernemingstoepassingen maken | Beheerder van de cloudtoepassing | Toepassingsbeheerder |
B2C-beleidsregels maken, lezen, bijwerken en verwijderen | B2C IEF-beleid Beheer istrator | |
Identiteitsproviders maken, lezen, bijwerken en verwijderen | Externe id-provider Beheer istrator | |
Gebruikersstromen voor wachtwoordherstel maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
Gebruikersstromen voor het bewerken van profielen maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
Gebruikersstromen voor aanmelden maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
Gebruikersstromen voor registreren maken, lezen, bijwerken en verwijderen | Gebruikersstroom voor externe id's Beheer istrator | |
Gebruikerskenmerken maken, lezen, bijwerken en verwijderen | Kenmerk van externe id-gebruikersstroom Beheer istrator | |
Gebruikers maken, lezen, bijwerken en verwijderen | Gebruikersbeheerder | |
B2B-instellingen voor externe samenwerking configureren | Algemene beheerder | |
Alle configuratie lezen | Globale lezer | |
B2C-auditlogboeken lezen | Globale lezer |
Notitie
Azure AD B2C Global Beheer istrators hebben niet dezelfde machtigingen als Microsoft Entra Global Beheer istrators. Als u azure AD B2C Global Beheer istratorbevoegdheden hebt, moet u ervoor zorgen dat u zich in een Azure AD B2C-directory bevindt en niet een Microsoft Entra-directory.
Huisstijl van bedrijf
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Bedrijfshuisstijl configureren | Huisstijl van organisatie Beheer istrator | |
Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Verbinden
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Passthrough-verificatie | Hybride identiteit Beheer istrator | |
Alle configuratie lezen | Globale lezer | Hybride identiteit Beheer istrator |
Naadloze eenmalige aanmelding | Hybride identiteit Beheer istrator |
Cloudinrichting
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Passthrough-verificatie | Hybride identiteit Beheer istrator | |
Alle configuratie lezen | Globale lezer | Hybride identiteit Beheer istrator |
Naadloze eenmalige aanmelding | Hybride identiteit Beheer istrator |
Connect Health
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Services toevoegen of verwijderen | Eigenaar | |
Fixes toepassen op synchronisatiefouten | Inzender | Eigenaar |
Meldingen configureren | Inzender | Eigenaar |
Instellingen configureren | Eigenaar | |
Synchronisatiemeldingen configureren | Inzender | Eigenaar |
ADFS-beveiligingsrapporten lezen | Beveiligingslezer | Inzender Eigenaar |
Alle configuratie lezen | Lezer | Inzender Eigenaar |
Synchronisatiefouten lezen | Lezer | Inzender Eigenaar |
Synchronisatieservices lezen | Lezer | Inzender Eigenaar |
Metrische gegevens en waarschuwingen weergeven | Lezer | Inzender Eigenaar |
Metrische gegevens en waarschuwingen weergeven | Lezer | Inzender Eigenaar |
Metrische gegevens en waarschuwingen van de synchronisatieservice weergeven | Lezer | Inzender Eigenaar |
Aangepaste domeinnamen
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Domeinen beheren | Beheerder van domeinnamen | |
Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Domain Services
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Microsoft Entra Domain Services-exemplaar maken | Toepassingsbeheerder Groepen Beheer istrator Inzender voor Domain Services |
|
Alle Microsoft Entra Domain Services-taken uitvoeren | Groep AAD DC-beheerders | |
Alle configuratie lezen | Lezer in Azure-abonnement met AD DS-service |
Apparaten
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Apparaat verwijderen | Cloudapparaatbeheerder | Intune-beheerder |
Apparaat uitschakelen | Cloudapparaatbeheerder | Intune-beheerder |
Apparaat inschakelen | Cloudapparaatbeheerder | Intune-beheerder |
Basisconfiguratie lezen | Standaardgebruikersrol | |
BitLocker-sleutels lezen | Cloudapparaatbeheerder | Helpdesk-Beheer istrator Intune-beheerder Beveiligingsbeheerder Beveiligingslezer |
Bedrijfstoepassingen
Rechtenbeheer
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Resources toevoegen aan een catalogus | Identity Governance-beheerder | Met rechtenbeheer kunt u deze taak delegeren aan de cataloguseigenaar |
SharePoint Online-sites toevoegen aan catalogus | SharePoint-beheerder |
Groepen
Identiteitsbeveiliging
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Waarschuwingsmeldingen configureren | Beveiligingsbeheerder | |
Beleid voor meervoudige verificatie configureren en in- of uitschakelen | Beveiligingsbeheerder | |
Beleid voor aanmeldingsrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
Beleid voor gebruikersrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
Wekelijkse verzamelingen configureren | Beveiligingsbeheerder | |
Alle risicodetecties sluiten | Beveiligingsbeheerder | |
Beveiligingsprobleem oplossen of sluiten | Beveiligingsbeheerder | |
Alle configuratie lezen | Beveiligingslezer | |
Alle risicodetecties lezen | Beveiligingslezer | |
Beveiligingsproblemen lezen | Beveiligingslezer |
Licenties
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Licentie toewijzen | Licentie-Beheer istrator | Gebruikersbeheerder |
Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Licentie intrekken | Licentie-Beheer istrator | Gebruikersbeheerder |
Abonnement uitproberen of kopen | Factureringsbeheerder |
Bewaking - Auditlogboeken
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Auditlogboeken lezen | Rapportlezer | Beveiligingslezer Beveiligingsbeheerder |
Bewaking - Aanmeldingen
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Aanmeldingslogboeken lezen | Rapportlezer | Beveiligingslezer Beveiligingsbeheerder Globale lezer |
Meervoudige verificatie
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle bestaande app-wachtwoorden verwijderen die zijn gegenereerd door de geselecteerde gebruikers | Beheerder van verificatiebeleid | Verificatie-Beheer istrator |
Meervoudige verificatie per gebruiker uitschakelen | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |
MFA per gebruiker inschakelen | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |
Service-instellingen voor meervoudige verificatie beheren | Beheerder van verificatiebeleid | |
Bepaalde gebruikers moeten opnieuw contactmethoden opgeven | Verificatie-Beheer istrator | |
Meervoudige verificatie herstellen op alle onthouden apparaten | Verificatie-Beheer istrator |
MFA-server
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Gebruikers blokkeren/deblokkeren | Beheerder van verificatiebeleid | |
Accountvergrendeling configureren | Beheerder van verificatiebeleid | |
Cacheregels configureren | Beheerder van verificatiebeleid | |
Fraudewaarschuwing configureren | Beheerder van verificatiebeleid | |
Meldingen configureren | Beheerder van verificatiebeleid | |
Eenmalige toegang configureren | Beheerder van verificatiebeleid | |
Instellingen voor telefoongesprekken configureren | Beheerder van verificatiebeleid | |
Providers configureren | Beheerder van verificatiebeleid | |
Serverinstellingen configureren | Beheerder van verificatiebeleid | |
Activiteitenrapporten lezen | Globale lezer | |
Alle configuratie lezen | Globale lezer | |
Serverstatus lezen | Globale lezer |
Organisatierelaties
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Id-providers beheren | Externe id-provider Beheer istrator | |
Alle configuratie lezen | Globale lezer |
Wachtwoord opnieuw instellen
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Verificatiemethoden configureren | Beheerder van verificatiebeleid | |
Aanpassing configureren | Beheerder van verificatiebeleid | |
Melding configureren | Beheerder van verificatiebeleid | |
On-premises integratie configureren | Beheerder van verificatiebeleid | |
Eigenschappen voor wachtwoord opnieuw instellen configureren | Gebruikersbeheerder | Beheerder van verificatiebeleid |
Registratie configureren | Beheerder van verificatiebeleid | |
Alle configuratie lezen | Beveiligingsbeheerder | Gebruikersbeheerder |
Privileged Identity Management
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Gebruikers toewijzen aan rollen | Beheerder voor bevoorrechte rollen | |
Rolinstellingen configureren | Beheerder voor bevoorrechte rollen | |
Controle-activiteit weergeven | Beveiligingslezer | |
Rollidmaatschappen weergeven | Beveiligingslezer |
Rollen en beheerders
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Roltoewijzingen beheren | Beheerder voor bevoorrechte rollen | |
Toegangsbeoordeling lezen van een Microsoft Entra-rol | Beveiligingslezer | Beveiligingsbeheerder Beheerder voor bevoorrechte rollen |
Alle configuratie lezen | Standaardgebruikersrol |
Beveiliging - Verificatiemethoden
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Verificatiemethoden in- of uitschakelen | Beheerder van verificatiebeleid | |
Afzonderlijke verificatiemethoden voor gebruikers weergeven, inrichten en beheren | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |
Wachtwoordbeveiliging configureren | Beveiligingsbeheerder | |
Slimme vergrendeling configureren | Beveiligingsbeheerder | |
Alle configuratie lezen | Globale lezer |
Beveiliging - Voorwaardelijke toegang
Beveiliging - Identiteitsbeveiligingsscore
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle configuratie lezen | Beveiligingslezer | Beveiligingsbeheerder |
Beveiligingsscore lezen | Beveiligingslezer | Beveiligingsbeheerder |
Gebeurtenisstatus bijwerken | Beveiligingsbeheerder |
Beveiliging - Riskante aanmeldingen
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle configuratie lezen | Beveiligingslezer | |
Riskante aanmeldingen lezen | Beveiligingslezer |
Beveiliging - Gebruikers voor wie wordt aangegeven dat ze risico lopen
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Alle gebeurtenissen sluiten | Beveiligingsbeheerder | |
Alle configuratie lezen | Beveiligingslezer | |
Gebruikers voor wie wordt aangegeven dat ze risico lopen, lezen | Beveiligingslezer |
Tijdelijke toegangspas
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Een tijdelijke toegangspas maken, verwijderen of weergeven voor beheerders of leden (behalve zichzelf) | Bevoegde verificatie Beheer istrator | |
Een tijdelijke toegangspas maken, verwijderen of weergeven voor leden (behalve zichzelf) | Verificatie-Beheer istrator | |
De details van een tijdelijke toegangspas voor een gebruiker weergeven (zonder de code zelf te lezen) | Globale lezer | |
Het beleid voor de verificatiemethode van de tijdelijke toegangspas configureren of bijwerken | Beheerder van verificatiebeleid |
Tenant
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Microsoft Entra-id of Azure AD B2C-tenant maken | Maker van tenant | |
Eigenschappen van Microsoft Entra-tenant bijwerken | Factureringsbeheerder | |
Privacyverklaring en contactpersoon beheren | Factureringsbeheerder |
Gebruikers
Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
---|---|---|
Gebruiker toevoegen aan directory-rol | Beheerder voor bevoorrechte rollen | |
Gebruiker toevoegen aan groep | Gebruikersbeheerder | |
Licentie toewijzen | Licentie-Beheer istrator | Gebruikersbeheerder |
Gastgebruiker maken | Gastnodiger | Gebruikersbeheerder |
Uitnodiging voor gastgebruiker opnieuw instellen | Helpdesk-Beheer istrator | Gebruikersbeheerder |
Gebruiker maken | Gebruikersbeheerder | |
Gebruikers verwijderen | Gebruikersbeheerder | |
Vernieuwingstokens van beperkte beheerders ongeldig maken | Gebruikersbeheerder | |
Vernieuwingstokens van niet-beheerders ongeldig maken | Helpdesk-Beheer istrator | Gebruikersbeheerder |
Vernieuwingstokens van bevoegde beheerders ongeldig maken | Bevoegde verificatie Beheer istrator | |
Basisconfiguratie lezen | Standaardgebruikersrol | |
Wachtwoord opnieuw instellen voor beperkte beheerders | Gebruikersbeheerder | |
Wachtwoord van niet-beheerders opnieuw instellen | Wachtwoord Beheer istrator | Gebruikersbeheerder |
Wachtwoord van bevoegde beheerders opnieuw instellen | Bevoegde verificatie Beheer istrator | |
Licentie intrekken | Licentie-Beheer istrator | Gebruikersbeheerder |
Alle eigenschappen bijwerken, met uitzondering van User Principal Name | Gebruikersbeheerder | |
On-premises synchronisatie ingeschakelde eigenschap bijwerken | Hybride identiteit Beheer istrator | |
User Principal Name bijwerken voor beperkte beheerders | Gebruikersbeheerder | |
Eigenschap van User Principal Name bijwerken voor bevoegde beheerders | Bevoegde verificatie Beheer istrator | |
Gebruikersinstellingen bijwerken - Standaardmachtigingen voor gebruikersrollen | Beheerder voor bevoorrechte rollen | |
Gebruikersinstellingen bijwerken - Toegang voor gastgebruikers | Beheerder voor bevoorrechte rollen | |
Verificatiemethoden bijwerken | Verificatie-Beheer istrator | Bevoegde verificatie Beheer istrator |