Microsoft Entra ID 中工作的最低特殊權限角色
在本文中,您可以藉由在 Microsoft Entra ID 中指派最低特殊許可權角色,找到限制使用者系統管理員許可權所需的資訊。 您會發現依功能區域和執行每個工作所需的最低特殊許可權角色,以及可執行工作的其他非全域 管理員 istrator 角色。
您可以藉由在較小的範圍或建立自己的自定義角色,來進一步限制許可權。 如需詳細資訊,請參閱 在不同範圍 指派 Microsoft Entra 角色,或在 Microsoft Entra ID 中建立和指派自定義角色。
應用程式 Proxy
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
設定應用程式 Proxy 應用程式 | 應用程式系統管理員 | |
設定連接器群組屬性 | 應用程式系統管理員 | |
停用所有使用者的功能時建立應用程式註冊 | 應用程式開發人員 | 雲端應用程式系統管理員 應用程式系統管理員 |
建立連接器群組 | 應用程式系統管理員 | |
刪除連接器群組 | 應用程式系統管理員 | |
停用應用程式 Proxy | 應用程式系統管理員 | |
下載連接器服務 | 應用程式系統管理員 | |
讀取所有設定 | 應用程式系統管理員 |
外部身分識別/B2C
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
建立 Azure AD B2C 目錄 | 所有非來賓使用者 | |
建立企業應用程式 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
建立、讀取、更新和刪除 B2C 原則 | B2C IEF 原則 管理員 istrator | |
建立、讀取、更新和刪除識別提供者 | 外部識別提供者 管理員 istrator | |
建立、讀取、更新和刪除密碼重設使用者流程 | 外部標識碼使用者流程 管理員 istrator | |
建立、讀取、更新和刪除配置檔編輯使用者流程 | 外部標識碼使用者流程 管理員 istrator | |
建立、讀取、更新和刪除登入使用者流程 | 外部標識碼使用者流程 管理員 istrator | |
建立、讀取、更新和刪除註冊用戶流程 | 外部標識碼使用者流程 管理員 istrator | |
建立、讀取、更新和刪除用戶屬性 | 外部標識碼使用者流程屬性 管理員 istrator | |
建立、讀取、更新和刪除使用者 | 使用者管理員 | |
設定 B2B 外部共同作業設定 - 來賓使用者存取 | 特殊權限角色管理員 | |
設定 B2B 外部共同作業設定 - 來賓邀請設定 | 來賓邀請者 | 外部標識碼使用者流程 管理員 istrator |
設定 B2B 外部共同作業設定 - 外部使用者離開設定 | 外部識別提供者 管理員 istrator | |
設定 B2B 外部共同作業設定 - 共同作業限制 | 全域管理員 | |
讀取所有設定 | 全域讀取者 | |
讀取 B2C 稽核記錄 | 全域讀取者 |
注意
Azure AD B2C Global 管理員 istrators 沒有與 Microsoft Entra Global 管理員 istrators 相同的許可權。 如果您有 Azure AD B2C 全域 管理員 istrator 許可權,請確定您位於 Azure AD B2C 目錄中,而不是 Microsoft Entra 目錄。
公司商標
連線
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
傳遞驗證 | 混合式身分識別 管理員 istrator | |
讀取所有設定 | 全域讀取者 | 混合式身分識別 管理員 istrator |
無縫單一登入 | 混合式身分識別 管理員 istrator |
Connect 同步
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
管理內部部署目錄同步處理 | 混合式身分識別 管理員 istrator |
雲端布建
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
傳遞驗證 | 混合式身分識別 管理員 istrator | |
讀取所有設定 | 全域讀取者 | 混合式身分識別 管理員 istrator |
無縫單一登入 | 混合式身分識別 管理員 istrator |
連線情況
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
新增或刪除服務 | 負責人 | |
套用修正程式以同步處理錯誤 | 參與者 | 負責人 |
設定通知 | 參與者 | 負責人 |
配置設定 | 負責人 | |
設定同步通知 | 參與者 | 負責人 |
讀取ADFS安全性報告 | 安全性讀取者 | 參與者 負責人 |
讀取所有設定 | 讀取者 | 參與者 負責人 |
讀取同步處理錯誤 | 讀取者 | 參與者 負責人 |
讀取同步處理服務 | 讀取者 | 參與者 負責人 |
檢視計量和警示 | 讀取者 | 參與者 負責人 |
檢視計量和警示 | 讀取者 | 參與者 負責人 |
檢視同步服務計量和警示 | 讀取者 | 參與者 負責人 |
自訂網域名稱
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
管理網域 | 功能變數名稱 管理員 istrator | |
讀取所有設定 | 目錄讀取者 | 默認使用者角色 |
Domain Services
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
建立 Microsoft Entra Domain Services 實例 | 應用程式系統管理員 群組管理員 網域服務參與者 |
|
執行所有 Microsoft Entra Domain Services 工作 | AAD DC 管理員 istrators 群組 | |
讀取所有設定 | Azure 訂用帳戶上的讀取者,其中包含 AD DS 服務 |
裝置
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
刪除裝置 | 雲端裝置 管理員 istrator | Intune 管理員 istrator |
停用裝置 | 雲端裝置 管理員 istrator | Intune 管理員 istrator |
啟用裝置 | 雲端裝置 管理員 istrator | Intune 管理員 istrator |
讀取基本組態 | 默認使用者角色 | |
讀取 BitLocker 金鑰 | 雲端裝置 管理員 istrator | 服務台系統管理員 Intune 管理員 istrator 安全性系統管理員 安全性讀取者 |
企業應用程式
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
同意任何委派的許可權 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
同意應用程式許可權,不包括 Microsoft Graph | 雲端應用程式系統管理員 | 應用程式系統管理員 |
同意 Microsoft Graph 的應用程式許可權 | 特殊權限角色管理員 | |
同意應用程式存取自己的數據 | 默認使用者角色 | |
建立企業應用程式 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
管理 應用程式 Proxy | 應用程式系統管理員 | |
讀取群組或應用程式的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 使用者管理員 |
讀取所有設定 | 默認使用者角色 | |
更新企業應用程式指派 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 使用者管理員 |
更新企業應用程式擁有者 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
更新企業應用程式屬性 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
更新企業應用程式佈建 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
更新企業應用程式自助 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
更新單一登錄屬性 | 企業應用程式擁有者 | 雲端應用程式系統管理員 應用程式系統管理員 |
建立和修改自定義驗證延伸模組 | 驗證擴充性 管理員 istrator | 應用程式系統管理員 |
權利管理
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
將資源新增到目錄 | Identity Governance 管理員 istrator | 透過權利管理,您可以將這項工作委派給 目錄擁有者 |
將 SharePoint Online 網站新增至目錄 | SharePoint 管理員 istrator |
群組
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
指派授權 | 使用者管理員 | |
建立群組 | 群組管理員 | 使用者管理員 |
建立、更新或刪除群組或應用程式的存取權檢閱 | 使用者管理員 | |
管理群組到期日 | 使用者管理員 | |
管理群組設定 | 群組管理員 | 使用者管理員 |
讀取所有設定 (隱藏成員資格除外) | 目錄讀取者 | 默認使用者角色 |
讀取隱藏成員資格 | 群組成員 | 群組擁有者 密碼管理員 Exchange 系統管理員 SharePoint 管理員 istrator Teams 管理員 istrator 使用者管理員 |
讀取具有隱藏成員資格的群組成員資格 | 服務台系統管理員 | 使用者管理員 Teams 管理員 istrator |
撤銷授權 | License 管理員 istrator | 使用者管理員 |
更新群組成員資格 | 群組擁有者 | 使用者管理員 |
更新群組擁有者 | 群組擁有者 | 使用者管理員 |
更新群組屬性 | 群組擁有者 | 使用者管理員 |
刪除群組 | 群組管理員 | 使用者管理員 |
身分識別保護
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
設定警示通知 | 安全性系統管理員 | |
設定及啟用或停用 MFA 原則 | 安全性系統管理員 | |
設定及啟用或停用登入風險原則 | 安全性系統管理員 | |
設定及啟用或停用用戶風險原則 | 安全性系統管理員 | |
設定每周摘要 | 安全性系統管理員 | |
關閉所有風險偵測 | 安全性系統管理員 | |
修正或關閉弱點 | 安全性系統管理員 | |
讀取所有設定 | 安全性讀取者 | |
讀取所有風險偵測 | 安全性讀取者 | |
讀取弱點 | 安全性讀取者 |
授權
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
指派授權 | License 管理員 istrator | 使用者管理員 |
讀取所有設定 | 目錄讀取者 | 默認使用者角色 |
撤銷授權 | License 管理員 istrator | 使用者管理員 |
試用或購買訂用帳戶 | Billing 管理員 istrator |
監視 - 稽核記錄
監視 - 登入
多重要素驗證
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
刪除選定使用者產生的所有現有應用程式密碼 | 驗證原則 管理員 istrator | 驗證管理員 |
停用每個使用者 MFA | 驗證管理員 | Privileged Authentication 管理員 istrator |
啟用每個使用者 MFA | 驗證管理員 | Privileged Authentication 管理員 istrator |
管理 MFA 服務設定 | 驗證原則 管理員 istrator | |
要求選定使用者再次提供連絡方法 | 驗證管理員 | |
在所有記住的裝置上還原多重要素驗證 | 驗證管理員 |
MFA Server
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
封鎖/解除封鎖使用者 | 驗證原則 管理員 istrator | |
設定帳戶鎖定 | 驗證原則 管理員 istrator | |
設定快取規則 | 驗證原則 管理員 istrator | |
設定詐騙警示 | 驗證原則 管理員 istrator | |
設定通知 | 驗證原則 管理員 istrator | |
設定一次性略過 | 驗證原則 管理員 istrator | |
設定通話設定 | 驗證原則 管理員 istrator | |
設定提供者 | 驗證原則 管理員 istrator | |
設定伺服器設定 | 驗證原則 管理員 istrator | |
讀取活動報告 | 全域讀取者 | |
讀取所有設定 | 全域讀取者 | |
讀取伺服器狀態 | 全域讀取者 |
組織關係
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
管理識別提供者 | 外部識別提供者 管理員 istrator | |
讀取所有設定 | 全域讀取者 |
密碼重設
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
設定驗證方法 | 驗證原則 管理員 istrator | |
設定自定義 | 驗證原則 管理員 istrator | |
設定通知 | 驗證原則 管理員 istrator | |
設定內部部署整合 | 驗證原則 管理員 istrator | |
設定密碼重設屬性 | 使用者管理員 | 驗證原則 管理員 istrator |
設定註冊 | 驗證原則 管理員 istrator | |
讀取所有設定 | 安全性系統管理員 | 使用者管理員 |
權限管理
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
租用戶上線 | 許可權管理 管理員 istrator | |
將雲端環境上線 | 許可權管理 管理員 istrator | |
在 Microsoft Entra 權限管理 中指派許可權 | 許可權管理 管理員 istrator | |
開始試用並購買 Microsoft Entra 權限管理 授權 | Billing 管理員 istrator |
Privileged identity management
角色與系統管理員
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
管理角色指派 | 特殊權限角色管理員 | |
讀取 Microsoft Entra 角色的存取權檢閱 | 安全性讀取者 | 安全性系統管理員 特殊權限角色管理員 |
讀取所有設定 | 默認使用者角色 |
安全性 - 驗證方法
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
啟用或停用驗證方法 | 驗證原則 管理員 istrator | |
檢視、代表及管理個別使用者驗證方法 | 驗證管理員 | Privileged Authentication 管理員 istrator |
設定密碼保護 | 安全性系統管理員 | |
設定智能鎖定 | 安全性系統管理員 | |
讀取所有設定 | 全域讀取者 |
安全性 - 條件式存取
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
設定 MFA 信任的 IP 位址 | 條件式存取系統管理員 | |
建立自訂控制項 | 條件式存取系統管理員 | 安全性系統管理員 |
建立具名位置 | 條件式存取系統管理員 | 安全性系統管理員 |
建立原則 | 條件式存取系統管理員 | 安全性系統管理員 |
建立使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
建立 VPN 連線憑證 | 雲端應用程式系統管理員 | 應用程式系統管理員 |
刪除傳統原則 | 條件式存取系統管理員 | 安全性系統管理員 |
刪除使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
刪除 VPN 連線憑證 | 條件式存取系統管理員 | 安全性系統管理員 |
停用傳統原則 | 條件式存取系統管理員 | 安全性系統管理員 |
管理自定義控制件 | 條件式存取系統管理員 | 安全性系統管理員 |
管理具名位置 | 條件式存取系統管理員 | 安全性系統管理員 |
管理使用規定 | 條件式存取系統管理員 | 安全性系統管理員 |
讀取所有設定 | 默認使用者角色 | |
讀取具名位置 | 默認使用者角色 |
安全性 - 身分識別安全性分數
安全性 - 具風險的登入
安全性 - 標幟為風險的使用者
暫時存取通行證
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
建立、刪除或檢視系統管理員或成員的暫時存取通行證(但本身除外) | 特殊許可權驗證 管理員 istrator | |
建立、刪除或檢視成員的暫時存取通行證(但本身除外) | 驗證管理員 | |
檢視使用者的暫時存取通行證詳細資料(不讀取程式代碼本身) | 全域讀取者 | |
設定或更新暫時存取傳遞驗證方法原則 | 驗證原則 管理員 istrator |
租用戶
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
建立 Microsoft Entra ID 或 Azure AD B2C 租使用者 | 租使用者建立者 | |
更新 Microsoft Entra 租用戶屬性 | Billing 管理員 istrator | |
管理隱私聲明和聯繫人 | Billing 管理員 istrator |
使用者
Task | 最低特殊權限角色 | 其他角色 |
---|---|---|
將使用者新增至目錄角色 | 特殊權限角色管理員 | |
將使用者新增至群組 | 使用者管理員 | |
指派授權 | License 管理員 istrator | 使用者管理員 |
建立來賓使用者 | 來賓邀請者 | 使用者管理員 |
重設來賓用戶邀請 | 服務台系統管理員 | 使用者管理員 |
建立使用者 | 使用者管理員 | |
刪除使用者 | 使用者管理員 | |
使有限系統管理員的重新整理令牌失效 | 使用者管理員 | |
使非系統管理員的重新整理令牌失效 | 服務台系統管理員 | 使用者管理員 |
使特殊許可權系統管理員的重新整理令牌失效 | 特殊許可權驗證 管理員 istrator | |
讀取基本組態 | 默認使用者角色 | |
重設有限系統管理員的密碼 | 使用者管理員 | |
重設非系統管理員的密碼 | 密碼管理員 | 使用者管理員 |
重設特殊許可權系統管理員的密碼 | 特殊許可權驗證 管理員 istrator | |
撤銷授權 | License 管理員 istrator | 使用者管理員 |
更新用戶主體名稱以外的所有屬性 | 使用者管理員 | |
更新已啟用內部部署同步處理的屬性 | 混合式身分識別 管理員 istrator | |
更新有限系統管理員的用戶主體名稱 | 使用者管理員 | |
更新特殊許可權系統管理員上的用戶主體名稱屬性 | Privileged Authentication 管理員 istrator | |
更新使用者設定 - 預設使用者角色許可權 | 特殊權限角色管理員 | |
更新使用者設定 - 來賓使用者存取 | 特殊權限角色管理員 | |
更新使用者設定 - 管理員 istration 中心 | 全域管理員 | |
更新用戶設定 - LinkedIn帳戶連線 | 全域管理員 | |
更新使用者設定 - 顯示讓使用者保持登入 | 全域管理員 | |
更新驗證方法 | 驗證管理員 | Privileged Authentication 管理員 istrator |
支援
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應