在 Azure Active Directory 中按管理员任务委托管理员角色 Administrator roles by admin task in Azure Active Directory
本文内容
本文介绍了通过在 Azure Active Directory (Azure AD) 中分配最小特权角色来限制用户管理员权限所需的信息。 In this article, you can find the information needed to restrict a user's administrator permissions by assigning least privileged roles in Azure Active Directory (Azure AD). 你将能查找按功能区域整理的管理员任务、执行每项任务所需的最小特权角色,以及可以执行任务的其他非全局管理员角色。 You will find administrator tasks organized by feature area and the least privileged role required to perform each task, along with additional non-Global Administrator roles that can perform the task.
外部标识/B2C External Identities/B2C
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
创建 Azure AD B2C 目录 Create Azure AD B2C directories
所有非来宾用户(请参阅文档 ) All non-guest users (see documentation )
创建 B2C 应用程序 Create B2C applications
全局管理员角色 Global Administrator
创建企业应用程序 Create enterprise applications
云应用管理员 Cloud Application Administrator
应用程序管理员 Application Administrator
创建、读取、更新和删除 B2C 策略 Create, read, update, and delete B2C policies
B2C IEF 策略管理员 B2C IEF Policy Administrator
创建、读取、更新和删除标识提供者 Create, read, update, and delete identity providers
外部标识提供者管理员 External Identity Provider Administrator
创建、读取、更新和删除密码重置用户流 Create, read, update, and delete password reset user flows
外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除配置文件编辑用户流 Create, read, update, and delete profile editing user flows
外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除登录用户流 Create, read, update, and delete sign-in user flows
外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除注册用户流 Create, read, update, and delete sign-up user flow
外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除用户特性 Create, read, update, and delete user attributes
外部 ID 用户流属性管理员 External ID User Flow Attribute Administrator
创建、读取、更新和删除用户 Create, read, update, and delete users
用户管理员 User Administrator
读取所有配置 Read all configuration
全局读取者 Global reader
读取 B2C 审核日志 Read B2C audit logs
全局读取者(请参阅文档 ) Global reader (see documentation )
备注
Azure AD B2C 全局读取者的权限与 Azure AD 全局管理员的权限不同。 Azure AD B2C Global readers do not have the same permissions as Azure AD global administrators. 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Azure AD 目录)中。 If you have Azure AD B2C global administrator privileges, make sure that you are in an Azure AD B2C directory and not an Azure AD directory.
公司品牌 Company branding
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
配置公司品牌 Configure company branding
全局管理员角色 Global Administrator
读取所有配置 Read all configuration
目录读者 Directory readers
默认用户角色(请参阅文档 ) Default user role (see documentation )
公司属性 Company properties
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
配置公司属性 Configure company properties
全局管理员角色 Global Administrator
连接 Connect
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
读取所有配置 Read all configuration
全局读取者 Global reader
全局管理员角色 Global Administrator
自定义域名 Custom domain names
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
管理域 Manage domains
全局管理员角色 Global Administrator
读取所有配置 Read all configuration
目录读者 Directory readers
默认用户角色(请参阅文档 ) Default user role (see documentation )
域服务 Domain Services
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
创建 Azure AD 域服务实例 Create Azure AD Domain Services instance
全局管理员 Global Administrator
执行所有 Azure AD 域服务任务 Perform all Azure AD Domain Services tasks
Azure AD DC 管理员组(请参阅文档 ) Azure AD DC Administrators group (see documentation )
读取所有配置 Read all configuration
包含 AD DS 服务的 Azure 订阅的读者 Reader on Azure subscription containing AD DS service
企业应用程序 Enterprise applications
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
同意任何委托的权限 Consent to any delegated permissions
云应用程序管理员 Cloud application administrator
应用程序管理员 Application administrator
同意应用程序权限(不包括 Microsoft Graph) Consent to application permissions not including Microsoft Graph
云应用程序管理员 Cloud application administrator
应用程序管理员 Application administrator
同意 Microsoft Graph 的应用程序权限 Consent to application permissions to Microsoft Graph
特权角色管理员 Privileged Role Administrator
同意应用程序访问自己的数据 Consent to applications accessing own data
默认用户角色(请参阅文档 ) Default user role (see documentation )
创建企业应用程序 Create enterprise application
云应用程序管理员 Cloud application administrator
应用程序管理员 Application administrator
管理用户设置 Manage user settings
全局管理员角色 Global Administrator
读取组或应用的访问评审 Read access review of a group or of an app
安全读取者 Security Reader
安全管理员、用户管理员 Security Administrator, User Administrator
读取所有配置 Read all configuration
默认用户角色(请参阅文档 ) Default user role (see documentation )
更新企业应用程序分配 Update enterprise application assignments
企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation )
云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序所有者 Update enterprise application owners
企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation )
云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序属性 Update enterprise application properties
企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation )
云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序预配 Update enterprise application provisioning
企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation )
云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序自助服务 Update enterprise application self-service
企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation )
云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新单一登录属性 Update single sign-on properties
企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation )
云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
权利管理 Entitlement management
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
将资源添加到目录 Add resources to a catalog
用户管理员 User administrator
通过权利管理,你可将此任务委派给目录所有者(参阅文档 ) With entitlement management, you can delegate this task to the catalog owner (see documentation )
向目录添加 SharePoint Online 站点 Add SharePoint Online sites to catalog
全局管理员 Global administrator
组 Groups
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
分配许可证 Assign license
用户管理员 User administrator
创建组 Create group
组管理员 Groups administrator
用户管理员 User administrator
创建、更新或删除组或应用的访问评审 Create, update, or delete access review of a group or of an app
用户管理员 User administrator
管理组到期时间 Manage group expiration
用户管理员 User administrator
管理组设置 Manage group settings
组管理员 Groups Administrator
用户管理员 User Administrator
读取所有配置(隐藏成员身份除外) Read all configuration (except hidden membership)
目录读者 Directory readers
默认用户角色(请参阅文档 ) Default user role (see documentation )
读取隐藏成员身份 Read hidden membership
组成员 Group member
组所有者、密码管理员、Exchange 管理员、SharePoint 管理员、Teams 管理员、用户管理员 Group owner, Password administrator, Exchange administrator, SharePoint administrator, Teams administrator, User administrator
读取具有隐藏成员身份的组的成员身份 Read membership of groups with hidden membership
支持管理员 Helpdesk Administrator
用户管理员、Teams 管理员 User administrator, Teams administrator
撤销许可证 Revoke license
许可证管理员 License administrator
用户管理员 User administrator
更新组成员身份 Update group membership
组所有者(请参阅文档 ) Group owner (see documentation )
用户管理员 User administrator
更新组所有者 Update group owners
组所有者(请参阅文档 ) Group owner (see documentation )
用户管理员 User administrator
更新组属性 Update group properties
组所有者(请参阅文档 ) Group owner (see documentation )
用户管理员 User administrator
删除组 Delete group
组管理员 Groups administrator
用户管理员 User administrator
许可证 Licenses
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
分配许可证 Assign license
许可证管理员 License administrator
用户管理员 User administrator
读取所有配置 Read all configuration
目录读者 Directory readers
默认用户角色(请参阅文档 ) Default user role (see documentation )
撤销许可证 Revoke license
许可证管理员 License administrator
用户管理员 User administrator
试用或购买订阅 Try or buy subscription
计费管理员 Billing administrator
监视 - 审核日志 Monitoring - Audit logs
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
读取审核日志 Read audit logs
报告读者 Reports reader
安全读取者、安全管理员 Security Reader, Security administrator
监视 - 登录 Monitoring - Sign-ins
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
读取登录日志 Read sign-in logs
报告读者 Reports reader
安全读取者、安全管理员 Security Reader, Security administrator
多重身份验证 Multi-factor authentication
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
删除选定用户生成的所有现有应用密码 Delete all existing app passwords generated by the selected users
全局管理员角色 Global Administrator
禁用 MFA Disable MFA
全局管理员角色 Global Administrator
启用 MFA Enable MFA
全局管理员角色 Global Administrator
管理 MFA 服务设置 Manage MFA service settings
全局管理员角色 Global Administrator
要求选定的用户再次提供联系方法 Require selected users to provide contact methods again
身份验证管理员 Authentication Administrator
在所有记住的设备上还原多重身份验证 Restore multi-factor authentication on all remembered devices
身份验证管理员 Authentication Administrator
组织关系 Organizational relationships
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
管理标识提供者 Manage identity providers
外部标识提供者管理员 External Identity Provider Administrator
管理设置 Manage settings
全局管理员角色 Global Administrator
管理使用条款 Manage terms of use
全局管理员角色 Global Administrator
读取所有配置 Read all configuration
全局读取者 Global reader
密码重置 Password reset
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
配置身份验证方法 Configure authentication methods
全局管理员角色 Global Administrator
配置自定义 Configure customization
全局管理员角色 Global Administrator
配置通知 Configure notification
全局管理员角色 Global Administrator
配置本地集成 Configure on-premises integration
全局管理员角色 Global Administrator
配置密码重置属性 Configure password reset properties
用户管理员 User Administrator
全局管理员角色 Global Administrator
配置注册 Configure registration
全局管理员角色 Global Administrator
读取所有配置 Read all configuration
安全管理员 Security Administrator
用户管理员 User Administrator
Privileged identity management Privileged identity management
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
将用户分配到角色 Assign users to roles
特权角色管理员 Privileged role administrator
配置角色设置 Configure role settings
特权角色管理员 Privileged role administrator
查看审核活动 View audit activity
安全读取者 Security reader
查看角色成员身份 View role memberships
安全读取者 Security reader
角色和管理员 Roles and administrators
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
管理角色分配 Manage role assignments
特权角色管理员 Privileged role administrator
读取 Azure AD 角色的访问评审 Read access review of an Azure AD role
安全读取者 Security Reader
安全管理员、特权角色管理员 Security administrator, Privileged role administrator
读取所有配置 Read all configuration
默认用户角色(请参阅文档 ) Default user role (see documentation )
安全性 - 身份验证方法 Security - Authentication methods
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
配置身份验证方法 Configure authentication methods
全局管理员角色 Global Administrator
配置密码保护 Configure password protection
安全管理员 Security administrator
配置智能锁定 Configure smart lockout
安全管理员 Security administrator
读取所有配置 Read all configuration
全局读取者 Global reader
安全性 - 条件访问 Security - Conditional Access
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
配置 MFA 受信任的 IP Configure MFA trusted IP addresses
条件访问管理员 Conditional Access administrator
创建自定义控件 Create custom controls
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
创建命名位置 Create named locations
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
创建策略 Create policies
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
创建使用条款 Create terms of use
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
创建 VPN 连接证书 Create VPN connectivity certificate
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
删除经典策略 Delete classic policy
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
删除使用条款 Delete terms of use
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
删除 VPN 连接证书 Delete VPN connectivity certificate
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
禁用经典策略 Disable classic policy
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
管理自定义控件 Manage custom controls
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
管理命名位置 Manage named locations
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
管理使用条款 Manage terms of use
条件访问管理员 Conditional Access administrator
安全管理员 Security administrator
读取所有配置 Read all configuration
安全读取者 Security reader
安全管理员 Security administrator
读取命名位置 Read named locations
安全读取者 Security reader
条件访问管理员、安全管理员 Conditional Access administrator, security administrator
安全性 - 标识安全分数 Security - Identity security score
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
读取所有配置 Read all configuration
安全读取者 Security reader
安全管理员 Security administrator
读取安全分数 Read security score
安全读取者 Security reader
安全管理员 Security administrator
更新事件状态 Update event status
安全管理员 Security administrator
用户 Users
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
将用户添加到目录角色 Add user to directory role
特权角色管理员 Privileged role administrator
将用户添加到组 Add user to group
用户管理员 User administrator
分配许可证 Assign license
许可证管理员 License administrator
用户管理员 User administrator
创建来宾用户 Create guest user
来宾邀请者 Guest inviter
用户管理员 User administrator
创建用户 Create user
用户管理员 User administrator
删除用户 Delete users
用户管理员 User administrator
使受限管理员的刷新令牌失效(请参阅文档) Invalidate refresh tokens of limited admins (see documentation)
用户管理员 User administrator
使非管理员的刷新令牌失效(请参阅文档) Invalidate refresh tokens of non-admins (see documentation)
密码管理员 Password administrator
用户管理员 User administrator
使特权管理员的刷新令牌失效(请参阅文档) Invalidate refresh tokens of privileged admins (see documentation)
特权身份验证管理员 Privileged Authentication Administrator
读取基本配置 Read basic configuration
默认用户角色(请参阅文档 ) Default User role (see documentation
重置受限管理员的密码(请参阅文档) Reset password for limited admins (see documentation)
用户管理员 User administrator
重置非管理员的密码(请参阅文档) Reset password of non-admins (see documentation)
密码管理员 Password administrator
用户管理员 User administrator
重置特权管理员的密码 Reset password of privileged admins
特权身份验证管理员 Privileged Authentication Administrator
撤销许可证 Revoke license
许可证管理员 License administrator
用户管理员 User administrator
更新除用户主体名称之外的所有属性 Update all properties except User Principal Name
用户管理员 User administrator
更新受限管理员的用户主体名称(请参阅文档) Update User Principal Name for limited admins (see documentation)
用户管理员 User administrator
更新特权管理员的用户主体名称属性(请参阅文档) Update User Principal Name property on privileged admins (see documentation)
全局管理员角色 Global Administrator
更新用户设置 Update user settings
全局管理员角色 Global Administrator
更新身份验证方法 Update Authentication methods
身份验证管理员 Authentication Administrator
特权身份验证管理员、全局管理员 Privileged Authentication Administrator, Global Administrator
支持 Support
任务 Task
最小特权角色 Least privileged role
其他角色 Additional roles
提交支持票证 Submit support ticket
服务管理员 Service Administrator
应用程序管理员、Azure 信息保护管理员、计费管理员、云应用程序管理员、符合性管理员、Dynamics 365 管理员、桌面分析管理员、Exchange 管理员、密码管理员、Intune 管理员、Skype for Business 管理员、Power BI 管理员、特权身份验证管理员、SharePoint 管理员、Teams 通信管理员、Teams 管理员、用户管理员、工作区分析管理员 Application Administrator, Azure Information Protection Administrator, Billing Administrator, Cloud Application Administrator, Compliance Administrator, Dynamics 365 Administrator, Desktop Analytics Administrator, Exchange Administrator, Password Administrator, Intune Administrator, Skype for Business Administrator, Power BI Administrator, Privileged Authentication Administrator, SharePoint Administrator, Teams Communications Administrator, Teams Administrator, User Administrator, Workplace Analytics Administrator
后续步骤 Next steps