在 Azure Active Directory 中按管理员任务委托管理员角色 Administrator roles by admin task in Azure Active Directory
本文内容
本文介绍了通过在 Azure Active Directory (Azure AD) 中分配最小特权角色来限制用户管理员权限所需的信息。 In this article, you can find the information needed to restrict a user's administrator permissions by assigning least privileged roles in Azure Active Directory (Azure AD). 你将能查找按功能区域整理的管理员任务、执行每项任务所需的最小特权角色,以及可以执行任务的其他非全局管理员角色。 You will find administrator tasks organized by feature area and the least privileged role required to perform each task, along with additional non-Global Administrator roles that can perform the task.
外部标识/B2C External Identities/B2C
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
创建 Azure AD B2C 目录 Create Azure AD B2C directories 所有非来宾用户(请参阅文档 ) All non-guest users (see documentation )
创建 B2C 应用程序 Create B2C applications 全局管理员角色 Global Administrator
创建企业应用程序 Create enterprise applications 云应用管理员 Cloud Application Administrator 应用程序管理员 Application Administrator
创建、读取、更新和删除 B2C 策略 Create, read, update, and delete B2C policies B2C IEF 策略管理员 B2C IEF Policy Administrator
创建、读取、更新和删除标识提供者 Create, read, update, and delete identity providers 外部标识提供者管理员 External Identity Provider Administrator
创建、读取、更新和删除密码重置用户流 Create, read, update, and delete password reset user flows 外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除配置文件编辑用户流 Create, read, update, and delete profile editing user flows 外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除登录用户流 Create, read, update, and delete sign-in user flows 外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除注册用户流 Create, read, update, and delete sign-up user flow 外部 ID 用户流管理员 External ID User Flow Administrator
创建、读取、更新和删除用户特性 Create, read, update, and delete user attributes 外部 ID 用户流属性管理员 External ID User Flow Attribute Administrator
创建、读取、更新和删除用户 Create, read, update, and delete users 用户管理员 User Administrator
读取所有配置 Read all configuration 全局读取者 Global reader
读取 B2C 审核日志 Read B2C audit logs 全局读取者(请参阅文档 ) Global reader (see documentation )
备注
Azure AD B2C 全局读取者的权限与 Azure AD 全局管理员的权限不同。 Azure AD B2C Global readers do not have the same permissions as Azure AD global administrators. 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Azure AD 目录)中。 If you have Azure AD B2C global administrator privileges, make sure that you are in an Azure AD B2C directory and not an Azure AD directory.
公司品牌 Company branding
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
配置公司品牌 Configure company branding 全局管理员角色 Global Administrator
读取所有配置 Read all configuration 目录读者 Directory readers 默认用户角色(请参阅文档 ) Default user role (see documentation )
公司属性 Company properties
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
配置公司属性 Configure company properties 全局管理员角色 Global Administrator
连接 Connect
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
读取所有配置 Read all configuration 全局读取者 Global reader 全局管理员角色 Global Administrator
自定义域名 Custom domain names
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
管理域 Manage domains 全局管理员角色 Global Administrator
读取所有配置 Read all configuration 目录读者 Directory readers 默认用户角色(请参阅文档 ) Default user role (see documentation )
域服务 Domain Services
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
创建 Azure AD 域服务实例 Create Azure AD Domain Services instance 全局管理员 Global Administrator
执行所有 Azure AD 域服务任务 Perform all Azure AD Domain Services tasks Azure AD DC 管理员组(请参阅文档 ) Azure AD DC Administrators group (see documentation )
读取所有配置 Read all configuration 包含 AD DS 服务的 Azure 订阅的读者 Reader on Azure subscription containing AD DS service
企业应用程序 Enterprise applications
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
同意任何委托的权限 Consent to any delegated permissions 云应用程序管理员 Cloud application administrator 应用程序管理员 Application administrator
同意应用程序权限(不包括 Microsoft Graph) Consent to application permissions not including Microsoft Graph 云应用程序管理员 Cloud application administrator 应用程序管理员 Application administrator
同意 Microsoft Graph 的应用程序权限 Consent to application permissions to Microsoft Graph 特权角色管理员 Privileged Role Administrator
同意应用程序访问自己的数据 Consent to applications accessing own data 默认用户角色(请参阅文档 ) Default user role (see documentation )
创建企业应用程序 Create enterprise application 云应用程序管理员 Cloud application administrator 应用程序管理员 Application administrator
管理用户设置 Manage user settings 全局管理员角色 Global Administrator
读取组或应用的访问评审 Read access review of a group or of an app 安全读取者 Security Reader 安全管理员、用户管理员 Security Administrator, User Administrator
读取所有配置 Read all configuration 默认用户角色(请参阅文档 ) Default user role (see documentation )
更新企业应用程序分配 Update enterprise application assignments 企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation ) 云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序所有者 Update enterprise application owners 企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation ) 云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序属性 Update enterprise application properties 企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation ) 云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序预配 Update enterprise application provisioning 企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation ) 云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新企业应用程序自助服务 Update enterprise application self-service 企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation ) 云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
更新单一登录属性 Update single sign-on properties 企业应用程序所有者(请参阅文档 ) Enterprise application owner (see documentation ) 云应用程序管理员、应用程序管理员 Cloud application administrator, Application administrator
权利管理 Entitlement management
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
将资源添加到目录 Add resources to a catalog 用户管理员 User administrator 通过权利管理,你可将此任务委派给目录所有者(参阅文档 ) With entitlement management, you can delegate this task to the catalog owner (see documentation )
向目录添加 SharePoint Online 站点 Add SharePoint Online sites to catalog 全局管理员 Global administrator
组 Groups
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
分配许可证 Assign license 用户管理员 User administrator
创建组 Create group 组管理员 Groups administrator 用户管理员 User administrator
创建、更新或删除组或应用的访问评审 Create, update, or delete access review of a group or of an app 用户管理员 User administrator
管理组到期时间 Manage group expiration 用户管理员 User administrator
管理组设置 Manage group settings 组管理员 Groups Administrator 用户管理员 User Administrator
读取所有配置(隐藏成员身份除外) Read all configuration (except hidden membership) 目录读者 Directory readers 默认用户角色(请参阅文档 ) Default user role (see documentation )
读取隐藏成员身份 Read hidden membership 组成员 Group member 组所有者、密码管理员、Exchange 管理员、SharePoint 管理员、Teams 管理员、用户管理员 Group owner, Password administrator, Exchange administrator, SharePoint administrator, Teams administrator, User administrator
读取具有隐藏成员身份的组的成员身份 Read membership of groups with hidden membership 支持管理员 Helpdesk Administrator 用户管理员、Teams 管理员 User administrator, Teams administrator
撤销许可证 Revoke license 许可证管理员 License administrator 用户管理员 User administrator
更新组成员身份 Update group membership 组所有者(请参阅文档 ) Group owner (see documentation ) 用户管理员 User administrator
更新组所有者 Update group owners 组所有者(请参阅文档 ) Group owner (see documentation ) 用户管理员 User administrator
更新组属性 Update group properties 组所有者(请参阅文档 ) Group owner (see documentation ) 用户管理员 User administrator
删除组 Delete group 组管理员 Groups administrator 用户管理员 User administrator
许可证 Licenses
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
分配许可证 Assign license 许可证管理员 License administrator 用户管理员 User administrator
读取所有配置 Read all configuration 目录读者 Directory readers 默认用户角色(请参阅文档 ) Default user role (see documentation )
撤销许可证 Revoke license 许可证管理员 License administrator 用户管理员 User administrator
试用或购买订阅 Try or buy subscription 计费管理员 Billing administrator
监视 - 审核日志 Monitoring - Audit logs
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
读取审核日志 Read audit logs 报告读者 Reports reader 安全读取者、安全管理员 Security Reader, Security administrator
监视 - 登录 Monitoring - Sign-ins
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
读取登录日志 Read sign-in logs 报告读者 Reports reader 安全读取者、安全管理员 Security Reader, Security administrator
多重身份验证 Multi-factor authentication
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
删除选定用户生成的所有现有应用密码 Delete all existing app passwords generated by the selected users 全局管理员角色 Global Administrator
禁用 MFA Disable MFA 全局管理员角色 Global Administrator
启用 MFA Enable MFA 全局管理员角色 Global Administrator
管理 MFA 服务设置 Manage MFA service settings 全局管理员角色 Global Administrator
要求选定的用户再次提供联系方法 Require selected users to provide contact methods again 身份验证管理员 Authentication Administrator
在所有记住的设备上还原多重身份验证 Restore multi-factor authentication on all remembered devices 身份验证管理员 Authentication Administrator
组织关系 Organizational relationships
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
管理标识提供者 Manage identity providers 外部标识提供者管理员 External Identity Provider Administrator
管理设置 Manage settings 全局管理员角色 Global Administrator
管理使用条款 Manage terms of use 全局管理员角色 Global Administrator
读取所有配置 Read all configuration 全局读取者 Global reader
密码重置 Password reset
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
配置身份验证方法 Configure authentication methods 全局管理员角色 Global Administrator
配置自定义 Configure customization 全局管理员角色 Global Administrator
配置通知 Configure notification 全局管理员角色 Global Administrator
配置本地集成 Configure on-premises integration 全局管理员角色 Global Administrator
配置密码重置属性 Configure password reset properties 用户管理员 User Administrator 全局管理员角色 Global Administrator
配置注册 Configure registration 全局管理员角色 Global Administrator
读取所有配置 Read all configuration 安全管理员 Security Administrator 用户管理员 User Administrator
Privileged identity management Privileged identity management
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
将用户分配到角色 Assign users to roles 特权角色管理员 Privileged role administrator
配置角色设置 Configure role settings 特权角色管理员 Privileged role administrator
查看审核活动 View audit activity 安全读取者 Security reader
查看角色成员身份 View role memberships 安全读取者 Security reader
角色和管理员 Roles and administrators
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
管理角色分配 Manage role assignments 特权角色管理员 Privileged role administrator
读取 Azure AD 角色的访问评审 Read access review of an Azure AD role 安全读取者 Security Reader 安全管理员、特权角色管理员 Security administrator, Privileged role administrator
读取所有配置 Read all configuration 默认用户角色(请参阅文档 ) Default user role (see documentation )
安全性 - 身份验证方法 Security - Authentication methods
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
配置身份验证方法 Configure authentication methods 全局管理员角色 Global Administrator
配置密码保护 Configure password protection 安全管理员 Security administrator
配置智能锁定 Configure smart lockout 安全管理员 Security administrator
读取所有配置 Read all configuration 全局读取者 Global reader
安全性 - 条件访问 Security - Conditional Access
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
配置 MFA 受信任的 IP Configure MFA trusted IP addresses 条件访问管理员 Conditional Access administrator
创建自定义控件 Create custom controls 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
创建命名位置 Create named locations 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
创建策略 Create policies 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
创建使用条款 Create terms of use 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
创建 VPN 连接证书 Create VPN connectivity certificate 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
删除经典策略 Delete classic policy 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
删除使用条款 Delete terms of use 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
删除 VPN 连接证书 Delete VPN connectivity certificate 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
禁用经典策略 Disable classic policy 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
管理自定义控件 Manage custom controls 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
管理命名位置 Manage named locations 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
管理使用条款 Manage terms of use 条件访问管理员 Conditional Access administrator 安全管理员 Security administrator
读取所有配置 Read all configuration 安全读取者 Security reader 安全管理员 Security administrator
读取命名位置 Read named locations 安全读取者 Security reader 条件访问管理员、安全管理员 Conditional Access administrator, security administrator
安全性 - 标识安全分数 Security - Identity security score
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
读取所有配置 Read all configuration 安全读取者 Security reader 安全管理员 Security administrator
读取安全分数 Read security score 安全读取者 Security reader 安全管理员 Security administrator
更新事件状态 Update event status 安全管理员 Security administrator
用户 Users
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
将用户添加到目录角色 Add user to directory role 特权角色管理员 Privileged role administrator
将用户添加到组 Add user to group 用户管理员 User administrator
分配许可证 Assign license 许可证管理员 License administrator 用户管理员 User administrator
创建来宾用户 Create guest user 来宾邀请者 Guest inviter 用户管理员 User administrator
创建用户 Create user 用户管理员 User administrator
删除用户 Delete users 用户管理员 User administrator
使受限管理员的刷新令牌失效(请参阅文档) Invalidate refresh tokens of limited admins (see documentation) 用户管理员 User administrator
使非管理员的刷新令牌失效(请参阅文档) Invalidate refresh tokens of non-admins (see documentation) 密码管理员 Password administrator 用户管理员 User administrator
使特权管理员的刷新令牌失效(请参阅文档) Invalidate refresh tokens of privileged admins (see documentation) 特权身份验证管理员 Privileged Authentication Administrator
读取基本配置 Read basic configuration 默认用户角色(请参阅文档 ) Default User role (see documentation
重置受限管理员的密码(请参阅文档) Reset password for limited admins (see documentation) 用户管理员 User administrator
重置非管理员的密码(请参阅文档) Reset password of non-admins (see documentation) 密码管理员 Password administrator 用户管理员 User administrator
重置特权管理员的密码 Reset password of privileged admins 特权身份验证管理员 Privileged Authentication Administrator
撤销许可证 Revoke license 许可证管理员 License administrator 用户管理员 User administrator
更新除用户主体名称之外的所有属性 Update all properties except User Principal Name 用户管理员 User administrator
更新受限管理员的用户主体名称(请参阅文档) Update User Principal Name for limited admins (see documentation) 用户管理员 User administrator
更新特权管理员的用户主体名称属性(请参阅文档) Update User Principal Name property on privileged admins (see documentation) 全局管理员角色 Global Administrator
更新用户设置 Update user settings 全局管理员角色 Global Administrator
更新身份验证方法 Update Authentication methods 身份验证管理员 Authentication Administrator 特权身份验证管理员、全局管理员 Privileged Authentication Administrator, Global Administrator
支持 Support
任务 Task 最小特权角色 Least privileged role 其他角色 Additional roles
提交支持票证 Submit support ticket 服务管理员 Service Administrator 应用程序管理员、Azure 信息保护管理员、计费管理员、云应用程序管理员、符合性管理员、Dynamics 365 管理员、桌面分析管理员、Exchange 管理员、密码管理员、Intune 管理员、Skype for Business 管理员、Power BI 管理员、特权身份验证管理员、SharePoint 管理员、Teams 通信管理员、Teams 管理员、用户管理员、工作区分析管理员 Application Administrator, Azure Information Protection Administrator, Billing Administrator, Cloud Application Administrator, Compliance Administrator, Dynamics 365 Administrator, Desktop Analytics Administrator, Exchange Administrator, Password Administrator, Intune Administrator, Skype for Business Administrator, Power BI Administrator, Privileged Authentication Administrator, SharePoint Administrator, Teams Communications Administrator, Teams Administrator, User Administrator, Workplace Analytics Administrator
后续步骤 Next steps
