在 Azure Active Directory 中按管理员任务委托管理员角色Administrator roles by admin task in Azure Active Directory

本文介绍了通过在 Azure Active Directory (Azure AD) 中分配最小特权角色来限制用户管理员权限所需的信息。In this article, you can find the information needed to restrict a user's administrator permissions by assigning least privileged roles in Azure Active Directory (Azure AD). 你将能查找按功能区域整理的管理员任务、执行每项任务所需的最小特权角色,以及可以执行任务的其他非全局管理员角色。You will find administrator tasks organized by feature area and the least privileged role required to perform each task, along with additional non-Global Administrator roles that can perform the task.

外部标识/B2CExternal Identities/B2C

任务Task 最小特权角色Least privileged role 其他角色Additional roles
创建 Azure AD B2C 目录Create Azure AD B2C directories 所有非来宾用户(请参阅文档All non-guest users (see documentation)
创建 B2C 应用程序Create B2C applications 全局管理员角色Global Administrator
创建企业应用程序Create enterprise applications 云应用管理员Cloud Application Administrator 应用程序管理员Application Administrator
创建、读取、更新和删除 B2C 策略Create, read, update, and delete B2C policies B2C IEF 策略管理员B2C IEF Policy Administrator
创建、读取、更新和删除标识提供者Create, read, update, and delete identity providers 外部标识提供者管理员External Identity Provider Administrator
创建、读取、更新和删除密码重置用户流Create, read, update, and delete password reset user flows 外部 ID 用户流管理员External ID User Flow Administrator
创建、读取、更新和删除配置文件编辑用户流Create, read, update, and delete profile editing user flows 外部 ID 用户流管理员External ID User Flow Administrator
创建、读取、更新和删除登录用户流Create, read, update, and delete sign-in user flows 外部 ID 用户流管理员External ID User Flow Administrator
创建、读取、更新和删除注册用户流Create, read, update, and delete sign-up user flow 外部 ID 用户流管理员External ID User Flow Administrator
创建、读取、更新和删除用户特性Create, read, update, and delete user attributes 外部 ID 用户流属性管理员External ID User Flow Attribute Administrator
创建、读取、更新和删除用户Create, read, update, and delete users 用户管理员User Administrator
读取所有配置Read all configuration 全局读取者Global reader
读取 B2C 审核日志Read B2C audit logs 全局读取者(请参阅文档Global reader (see documentation)

备注

Azure AD B2C 全局读取者的权限与 Azure AD 全局管理员的权限不同。Azure AD B2C Global readers do not have the same permissions as Azure AD global administrators. 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Azure AD 目录)中。If you have Azure AD B2C global administrator privileges, make sure that you are in an Azure AD B2C directory and not an Azure AD directory.

公司品牌Company branding

任务Task 最小特权角色Least privileged role 其他角色Additional roles
配置公司品牌Configure company branding 全局管理员角色Global Administrator
读取所有配置Read all configuration 目录读者Directory readers 默认用户角色(请参阅文档Default user role (see documentation)

公司属性Company properties

任务Task 最小特权角色Least privileged role 其他角色Additional roles
配置公司属性Configure company properties 全局管理员角色Global Administrator

连接Connect

任务Task 最小特权角色Least privileged role 其他角色Additional roles
读取所有配置Read all configuration 全局读取者Global reader 全局管理员角色Global Administrator

自定义域名Custom domain names

任务Task 最小特权角色Least privileged role 其他角色Additional roles
管理域Manage domains 全局管理员角色Global Administrator
读取所有配置Read all configuration 目录读者Directory readers 默认用户角色(请参阅文档Default user role (see documentation)

域服务Domain Services

任务Task 最小特权角色Least privileged role 其他角色Additional roles
创建 Azure AD 域服务实例Create Azure AD Domain Services instance 全局管理员Global Administrator
执行所有 Azure AD 域服务任务Perform all Azure AD Domain Services tasks Azure AD DC 管理员组(请参阅文档Azure AD DC Administrators group (see documentation)
读取所有配置Read all configuration 包含 AD DS 服务的 Azure 订阅的读者Reader on Azure subscription containing AD DS service

企业应用程序Enterprise applications

任务Task 最小特权角色Least privileged role 其他角色Additional roles
同意任何委托的权限Consent to any delegated permissions 云应用程序管理员Cloud application administrator 应用程序管理员Application administrator
同意应用程序权限(不包括 Microsoft Graph)Consent to application permissions not including Microsoft Graph 云应用程序管理员Cloud application administrator 应用程序管理员Application administrator
同意 Microsoft Graph 的应用程序权限Consent to application permissions to Microsoft Graph 特权角色管理员Privileged Role Administrator
同意应用程序访问自己的数据Consent to applications accessing own data 默认用户角色(请参阅文档Default user role (see documentation)
创建企业应用程序Create enterprise application 云应用程序管理员Cloud application administrator 应用程序管理员Application administrator
管理用户设置Manage user settings 全局管理员角色Global Administrator
读取组或应用的访问评审Read access review of a group or of an app 安全读取者Security Reader 安全管理员、用户管理员Security Administrator, User Administrator
读取所有配置Read all configuration 默认用户角色(请参阅文档Default user role (see documentation)
更新企业应用程序分配Update enterprise application assignments 企业应用程序所有者(请参阅文档Enterprise application owner (see documentation) 云应用程序管理员、应用程序管理员Cloud application administrator, Application administrator
更新企业应用程序所有者Update enterprise application owners 企业应用程序所有者(请参阅文档Enterprise application owner (see documentation) 云应用程序管理员、应用程序管理员Cloud application administrator, Application administrator
更新企业应用程序属性Update enterprise application properties 企业应用程序所有者(请参阅文档Enterprise application owner (see documentation) 云应用程序管理员、应用程序管理员Cloud application administrator, Application administrator
更新企业应用程序预配Update enterprise application provisioning 企业应用程序所有者(请参阅文档Enterprise application owner (see documentation) 云应用程序管理员、应用程序管理员Cloud application administrator, Application administrator
更新企业应用程序自助服务Update enterprise application self-service 企业应用程序所有者(请参阅文档Enterprise application owner (see documentation) 云应用程序管理员、应用程序管理员Cloud application administrator, Application administrator
更新单一登录属性Update single sign-on properties 企业应用程序所有者(请参阅文档Enterprise application owner (see documentation) 云应用程序管理员、应用程序管理员Cloud application administrator, Application administrator

权利管理Entitlement management

任务Task 最小特权角色Least privileged role 其他角色Additional roles
将资源添加到目录Add resources to a catalog 用户管理员User administrator 通过权利管理,你可将此任务委派给目录所有者(参阅文档With entitlement management, you can delegate this task to the catalog owner (see documentation)
向目录添加 SharePoint Online 站点Add SharePoint Online sites to catalog 全局管理员Global administrator

Groups

任务Task 最小特权角色Least privileged role 其他角色Additional roles
分配许可证Assign license 用户管理员User administrator
创建组Create group 组管理员Groups administrator 用户管理员User administrator
创建、更新或删除组或应用的访问评审Create, update, or delete access review of a group or of an app 用户管理员User administrator
管理组到期时间Manage group expiration 用户管理员User administrator
管理组设置Manage group settings 组管理员Groups Administrator 用户管理员User Administrator
读取所有配置(隐藏成员身份除外)Read all configuration (except hidden membership) 目录读者Directory readers 默认用户角色(请参阅文档Default user role (see documentation)
读取隐藏成员身份Read hidden membership 组成员Group member 组所有者、密码管理员、Exchange 管理员、SharePoint 管理员、Teams 管理员、用户管理员Group owner, Password administrator, Exchange administrator, SharePoint administrator, Teams administrator, User administrator
读取具有隐藏成员身份的组的成员身份Read membership of groups with hidden membership 支持管理员Helpdesk Administrator 用户管理员、Teams 管理员User administrator, Teams administrator
撤销许可证Revoke license 许可证管理员License administrator 用户管理员User administrator
更新组成员身份Update group membership 组所有者(请参阅文档Group owner (see documentation) 用户管理员User administrator
更新组所有者Update group owners 组所有者(请参阅文档Group owner (see documentation) 用户管理员User administrator
更新组属性Update group properties 组所有者(请参阅文档Group owner (see documentation) 用户管理员User administrator
删除组Delete group 组管理员Groups administrator 用户管理员User administrator

许可证Licenses

任务Task 最小特权角色Least privileged role 其他角色Additional roles
分配许可证Assign license 许可证管理员License administrator 用户管理员User administrator
读取所有配置Read all configuration 目录读者Directory readers 默认用户角色(请参阅文档Default user role (see documentation)
撤销许可证Revoke license 许可证管理员License administrator 用户管理员User administrator
试用或购买订阅Try or buy subscription 计费管理员Billing administrator

监视 - 审核日志Monitoring - Audit logs

任务Task 最小特权角色Least privileged role 其他角色Additional roles
读取审核日志Read audit logs 报告读者Reports reader 安全读取者、安全管理员Security Reader, Security administrator

监视 - 登录Monitoring - Sign-ins

任务Task 最小特权角色Least privileged role 其他角色Additional roles
读取登录日志Read sign-in logs 报告读者Reports reader 安全读取者、安全管理员Security Reader, Security administrator

多重身份验证Multi-factor authentication

任务Task 最小特权角色Least privileged role 其他角色Additional roles
删除选定用户生成的所有现有应用密码Delete all existing app passwords generated by the selected users 全局管理员角色Global Administrator
禁用 MFADisable MFA 全局管理员角色Global Administrator
启用 MFAEnable MFA 全局管理员角色Global Administrator
管理 MFA 服务设置Manage MFA service settings 全局管理员角色Global Administrator
要求选定的用户再次提供联系方法Require selected users to provide contact methods again 身份验证管理员Authentication Administrator
在所有记住的设备上还原多重身份验证Restore multi-factor authentication on all remembered devices 身份验证管理员Authentication Administrator

组织关系Organizational relationships

任务Task 最小特权角色Least privileged role 其他角色Additional roles
管理标识提供者Manage identity providers 外部标识提供者管理员External Identity Provider Administrator
管理设置Manage settings 全局管理员角色Global Administrator
管理使用条款Manage terms of use 全局管理员角色Global Administrator
读取所有配置Read all configuration 全局读取者Global reader

密码重置Password reset

任务Task 最小特权角色Least privileged role 其他角色Additional roles
配置身份验证方法Configure authentication methods 全局管理员角色Global Administrator
配置自定义Configure customization 全局管理员角色Global Administrator
配置通知Configure notification 全局管理员角色Global Administrator
配置本地集成Configure on-premises integration 全局管理员角色Global Administrator
配置密码重置属性Configure password reset properties 用户管理员User Administrator 全局管理员角色Global Administrator
配置注册Configure registration 全局管理员角色Global Administrator
读取所有配置Read all configuration 安全管理员Security Administrator 用户管理员User Administrator

Privileged identity managementPrivileged identity management

任务Task 最小特权角色Least privileged role 其他角色Additional roles
将用户分配到角色Assign users to roles 特权角色管理员Privileged role administrator
配置角色设置Configure role settings 特权角色管理员Privileged role administrator
查看审核活动View audit activity 安全读取者Security reader
查看角色成员身份View role memberships 安全读取者Security reader

角色和管理员Roles and administrators

任务Task 最小特权角色Least privileged role 其他角色Additional roles
管理角色分配Manage role assignments 特权角色管理员Privileged role administrator
读取 Azure AD 角色的访问评审Read access review of an Azure AD role 安全读取者Security Reader 安全管理员、特权角色管理员Security administrator, Privileged role administrator
读取所有配置Read all configuration 默认用户角色(请参阅文档Default user role (see documentation)

安全性 - 身份验证方法Security - Authentication methods

任务Task 最小特权角色Least privileged role 其他角色Additional roles
配置身份验证方法Configure authentication methods 全局管理员角色Global Administrator
配置密码保护Configure password protection 安全管理员Security administrator
配置智能锁定Configure smart lockout 安全管理员Security administrator
读取所有配置Read all configuration 全局读取者Global reader

安全性 - 条件访问Security - Conditional Access

任务Task 最小特权角色Least privileged role 其他角色Additional roles
配置 MFA 受信任的 IPConfigure MFA trusted IP addresses 条件访问管理员Conditional Access administrator
创建自定义控件Create custom controls 条件访问管理员Conditional Access administrator 安全管理员Security administrator
创建命名位置Create named locations 条件访问管理员Conditional Access administrator 安全管理员Security administrator
创建策略Create policies 条件访问管理员Conditional Access administrator 安全管理员Security administrator
创建使用条款Create terms of use 条件访问管理员Conditional Access administrator 安全管理员Security administrator
创建 VPN 连接证书Create VPN connectivity certificate 条件访问管理员Conditional Access administrator 安全管理员Security administrator
删除经典策略Delete classic policy 条件访问管理员Conditional Access administrator 安全管理员Security administrator
删除使用条款Delete terms of use 条件访问管理员Conditional Access administrator 安全管理员Security administrator
删除 VPN 连接证书Delete VPN connectivity certificate 条件访问管理员Conditional Access administrator 安全管理员Security administrator
禁用经典策略Disable classic policy 条件访问管理员Conditional Access administrator 安全管理员Security administrator
管理自定义控件Manage custom controls 条件访问管理员Conditional Access administrator 安全管理员Security administrator
管理命名位置Manage named locations 条件访问管理员Conditional Access administrator 安全管理员Security administrator
管理使用条款Manage terms of use 条件访问管理员Conditional Access administrator 安全管理员Security administrator
读取所有配置Read all configuration 安全读取者Security reader 安全管理员Security administrator
读取命名位置Read named locations 安全读取者Security reader 条件访问管理员、安全管理员Conditional Access administrator, security administrator

安全性 - 标识安全分数Security - Identity security score

任务Task 最小特权角色Least privileged role 其他角色Additional roles
读取所有配置Read all configuration 安全读取者Security reader 安全管理员Security administrator
读取安全分数Read security score 安全读取者Security reader 安全管理员Security administrator
更新事件状态Update event status 安全管理员Security administrator

用户Users

任务Task 最小特权角色Least privileged role 其他角色Additional roles
将用户添加到目录角色Add user to directory role 特权角色管理员Privileged role administrator
将用户添加到组Add user to group 用户管理员User administrator
分配许可证Assign license 许可证管理员License administrator 用户管理员User administrator
创建来宾用户Create guest user 来宾邀请者Guest inviter 用户管理员User administrator
创建用户Create user 用户管理员User administrator
删除用户Delete users 用户管理员User administrator
使受限管理员的刷新令牌失效(请参阅文档)Invalidate refresh tokens of limited admins (see documentation) 用户管理员User administrator
使非管理员的刷新令牌失效(请参阅文档)Invalidate refresh tokens of non-admins (see documentation) 密码管理员Password administrator 用户管理员User administrator
使特权管理员的刷新令牌失效(请参阅文档)Invalidate refresh tokens of privileged admins (see documentation) 特权身份验证管理员Privileged Authentication Administrator
读取基本配置Read basic configuration 默认用户角色(请参阅文档Default User role (see documentation
重置受限管理员的密码(请参阅文档)Reset password for limited admins (see documentation) 用户管理员User administrator
重置非管理员的密码(请参阅文档)Reset password of non-admins (see documentation) 密码管理员Password administrator 用户管理员User administrator
重置特权管理员的密码Reset password of privileged admins 特权身份验证管理员Privileged Authentication Administrator
撤销许可证Revoke license 许可证管理员License administrator 用户管理员User administrator
更新除用户主体名称之外的所有属性Update all properties except User Principal Name 用户管理员User administrator
更新受限管理员的用户主体名称(请参阅文档)Update User Principal Name for limited admins (see documentation) 用户管理员User administrator
更新特权管理员的用户主体名称属性(请参阅文档)Update User Principal Name property on privileged admins (see documentation) 全局管理员角色Global Administrator
更新用户设置Update user settings 全局管理员角色Global Administrator
更新身份验证方法Update Authentication methods 身份验证管理员Authentication Administrator 特权身份验证管理员、全局管理员Privileged Authentication Administrator, Global Administrator

支持Support

任务Task 最小特权角色Least privileged role 其他角色Additional roles
提交支持票证Submit support ticket 服务管理员Service Administrator 应用程序管理员、Azure 信息保护管理员、计费管理员、云应用程序管理员、符合性管理员、Dynamics 365 管理员、桌面分析管理员、Exchange 管理员、密码管理员、Intune 管理员、Skype for Business 管理员、Power BI 管理员、特权身份验证管理员、SharePoint 管理员、Teams 通信管理员、Teams 管理员、用户管理员、工作区分析管理员Application Administrator, Azure Information Protection Administrator, Billing Administrator, Cloud Application Administrator, Compliance Administrator, Dynamics 365 Administrator, Desktop Analytics Administrator, Exchange Administrator, Password Administrator, Intune Administrator, Skype for Business Administrator, Power BI Administrator, Privileged Authentication Administrator, SharePoint Administrator, Teams Communications Administrator, Teams Administrator, User Administrator, Workplace Analytics Administrator

后续步骤Next steps