Microsoft Entra ID 中按任务显示的最小特权角色
本文介绍应用于 Microsoft Entra ID 中的多个任务的最低特权角色。 你将能够查找按功能区域整理的任务、执行每项任务所需的最小特权角色,以及可执行任务的其他非全局管理员角色。
可以通过在较小范围内分配角色或创建自己的自定义角色来进一步限制权限。 有关详细信息,请参阅分配 Microsoft Entra 角色或在 Microsoft Entra ID 中创建自定义角色。
下面是在 Microsoft Entra 外部 ID 中执行任务时应使用的最低特权角色,Azure Active Directory B2C。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Azure AD B2C 目录 | 所有非来宾用户 | |
| 创建企业应用程序 | 云应用程序管理员 | 应用程序管理员 |
| 创建、读取、更新和删除 B2C 策略 | B2C IEF 策略管理员 | |
| 创建、读取、更新和删除标识提供者 | 外部标识提供者管理员 | |
| 创建、读取、更新和删除密码重置用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除配置文件编辑用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除登录用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除注册用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除用户特性 | 外部 ID 用户流属性管理员 | |
| 创建、读取、更新和删除用户 | 用户管理员 | |
| 配置 B2B 外部协作设置 - 来宾用户访问 | 特权角色管理员 | |
| 配置 B2B 外部协作设置 - 来宾邀请设置 | 来宾邀请者 | 外部 ID 用户流管理员 |
| 配置 B2B 外部协作设置 - 外部用户离开设置 | 外部标识提供者管理员 | |
| 配置 B2B 外部协作设置 - 协作限制 | 全局管理员 | |
| 读取所有配置 | 全局读取者 | |
| 读取 B2C 审核日志 | 全局读取者 |
备注
Azure AD B2C 全局管理员的权限与 Microsoft Entra 全局管理员的权限不同。 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Microsoft Entra 目录)中。
下面是在Microsoft Entra ID 中为 公司品牌打造 执行任务时应使用的最低特权角色。
下面是在 Microsoft Entra Connect中执行任务时应使用的最低特权角色。
下面是在 Microsoft Entra Connect Sync中执行任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 管理本地目录同步 | 混合标识管理员 |
下面是在Microsoft Entra ID 中为 自定义 域名执行任务时应使用的最低特权角色。
下面是在 Microsoft Entra 域服务中执行任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Microsoft Entra 域服务实例 |
应用程序管理员 组管理员 域服务参与者 |
|
| 执行所有 Microsoft Entra 域服务任务 | AAD DC 管理员组 | |
| 读取所有配置 | 包含 AD DS 服务的 Azure 订阅的读者 |
下面是在Microsoft Entra ID 中为 设备标识 执行任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 删除设备 | 云设备管理员 | Intune 管理员 |
| 禁用设备 | 云设备管理员 | Intune 管理员 |
| 启用设备 | 云设备管理员 | Intune 管理员 |
| 读取基本配置 | 默认用户角色 | |
| 读取 BitLocker 密钥 | 云设备管理员 |
支持管理员 Intune 管理员 安全管理员 安全读取者 |
下面是在 Microsoft Entra ID 中执行应用程序管理任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 同意任何委托的权限 | 云应用程序管理员 | 应用程序管理员 |
| 同意应用程序权限(不包括 Microsoft Graph) | 云应用程序管理员 | 应用程序管理员 |
| 同意 Microsoft Graph 的应用程序权限 | 特权角色管理员 | |
| 同意应用程序访问自己的数据 | 默认用户角色 | |
| 创建企业应用程序 | 云应用程序管理员 | 应用程序管理员 |
| 管理应用程序代理 | 应用程序管理员 | |
| 读取组或应用的访问评审 | 安全读取者 |
安全管理员 用户管理员 |
| 读取所有配置 | 默认用户角色 | |
| 更新企业应用程序分配 | 企业应用程序所有者 |
云应用程序管理员 应用程序管理员 用户管理员 |
| 更新企业应用程序所有者 | 企业应用程序所有者 |
云应用程序管理员 应用程序管理员 |
| 更新企业应用程序属性 | 企业应用程序所有者 |
云应用程序管理员 应用程序管理员 |
| 更新企业应用程序预配 | 企业应用程序所有者 |
云应用程序管理员 应用程序管理员 |
| 更新企业应用程序自助服务 | 企业应用程序所有者 |
云应用程序管理员 应用程序管理员 |
| 更新单一登录属性 | 企业应用程序所有者 |
云应用程序管理员 应用程序管理员 |
| 创建和修改自定义身份验证扩展 | 身份验证扩展性管理员 | 应用程序管理员 |
下面是在Microsoft Entra ID Governance 中执行 权利管理 任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 权利管理中的任务 | 标识治理管理员。 有关权限管理系统中权限小于此的角色,请参阅:权利管理中的委派和角色。 |
下面是在Microsoft Entra ID 中为 组执行任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 分配许可证 | 用户管理员 | |
| 创建组 | 组管理员 | 用户管理员 |
| 创建、更新或删除组或应用的访问评审 | 用户管理员 | |
| 管理组到期时间 | 用户管理员 | |
| 管理组设置 | 组管理员 | 用户管理员 |
| 读取所有配置(隐藏成员身份除外) | 目录读取者 | 默认用户角色 |
| 读取隐藏成员身份 | 组成员 |
组所有者 密码管理员 Exchange 管理员 SharePoint 管理员 Teams 管理员 用户管理员 |
| 读取具有隐藏成员身份的组的成员身份 | 支持管理员 |
用户管理员 Teams 管理员 |
| 撤销许可证 | 许可证管理员 | 用户管理员 |
| 更新动态成员资格组 | 组所有者 | 用户管理员 |
| 更新组所有者 | 组所有者 | 用户管理员 |
| 更新组属性 | 组所有者 | 用户管理员 |
| 删除组 | 组管理员 | 用户管理员 |
下面是在 Microsoft Entra 许可执行任务时应使用的最低特权角色。
下面是在 Microsoft Entra Health 监视中执行任务时应使用的最低特权角色。
下面是在 Microsoft Entra 监视中执行审核和登录日志的任务时应使用的最低特权角色。
下面是执行 Microsoft Entra 标识建议的任务时应使用的最低特权角色。
下面是运行 登录诊断工具时应使用的最低特权角色。
下面是在 Microsoft Entra 身份验证中执行任务时应使用的最低特权角色。
下面是在Microsoft Entra 外部 ID 中执行 外部协作设置 任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 管理标识提供者 | 外部标识提供者管理员 | |
| 读取所有配置 | 全局读取者 |
下面是在Microsoft Entra ID 中为 密码重置 执行任务时应使用的最低特权角色。
下面是在Microsoft Entra ID Governance 中为 Microsoft Entra Privileged Identity Management 执行任务时应使用的最低特权角色。
下面是在Microsoft Entra ID 中为 角色和 管理员执行任务时应使用的最低特权角色。
下面是在 Microsoft Entra ID 中执行身份验证方法的任务时应使用的最低特权角色。
下面是在Microsoft Entra ID 中为 条件访问 执行任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 配置 MFA 受信任的 IP | 条件访问管理员 | |
| 创建自定义控件 | 条件访问管理员 | 安全管理员 |
| 创建命名位置 | 条件访问管理员 | 安全管理员 |
| 创建策略 | 条件访问管理员 | 安全管理员 |
| 创建使用条款 | 条件访问管理员 | 安全管理员 |
| 创建 VPN 连接证书 | 云应用程序管理员 | 应用程序管理员 |
| 删除经典策略 | 条件访问管理员 | 安全管理员 |
| 删除使用条款 | 条件访问管理员 | 安全管理员 |
| 删除 VPN 连接证书 | 条件访问管理员 | 安全管理员 |
| 禁用经典策略 | 条件访问管理员 | 安全管理员 |
| 管理自定义控件 | 条件访问管理员 | 安全管理员 |
| 管理命名位置 | 条件访问管理员 | 安全管理员 |
| 管理使用条款 | 条件访问管理员 | 安全管理员 |
| 读取所有配置 | 安全读取者 | |
| 读取命名位置 | 安全读取者 | |
| 读取使用条款 | 安全读取者 | 全局读取者 |
| 读取已登录用户接受的使用条款 | 默认用户角色 |
下面是在Microsoft Entra ID 中为 标识安全功能分数 执行任务时应使用的最低特权角色。
下面是在 Microsoft Entra 租户中执行任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Microsoft Entra ID 或 Azure AD B2C 租户 | 租户创建者 | |
| 更新 Microsoft Entra 租户属性 | 计费管理员 | |
| 管理隐私声明和联系人 | 计费管理员 |
下面是在Microsoft Entra ID 中为 用户执行任务时应使用的最低特权角色。
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 将用户添加到目录角色 | 特权角色管理员 | |
| 将用户添加到组 | 用户管理员 | |
| 分配许可证 | 许可证管理员 | 用户管理员 |
| 创建来宾用户 | 来宾邀请者 | 用户管理员 |
| 重置来宾用户邀请 | 支持管理员 | 用户管理员 |
| 创建用户 | 用户管理员 | |
| 删除用户 | 用户管理员 | |
| 使受限管理员的刷新令牌失效 | 用户管理员 | |
| 使非管理员的刷新令牌失效 | 支持管理员 | 用户管理员 |
| 使特权管理员的刷新令牌失效 | 特权身份验证管理员 | |
| 读取基本配置 | 默认用户角色 | |
| 重置受限管理员的密码 | 用户管理员 | |
| 重置非管理员的密码 | 密码管理员 | 用户管理员 |
| 重置特权管理员的密码 | 特权身份验证管理员 | |
| 撤销许可证 | 许可证管理员 | 用户管理员 |
| 更新除用户主体名称之外的所有属性 | 用户管理员 | |
| 更新启用本地同步的属性 | 混合标识管理员 | |
| 更新受限管理员的用户主体名称 | 用户管理员 | |
| 更新特权管理员的用户主体名称属性 | 特权身份验证管理员 | |
| 更新用户设置 - 默认用户角色权限 | 特权角色管理员 | |
| 更新用户设置 - 来宾用户访问 | 特权角色管理员 | |
| 更新用户设置 - 管理中心 | 全局管理员 | |
| 更新用户设置 - 显示保持用户登录状态 | 全局管理员 | |
| 更新身份验证方法 | 身份验证管理员 | 特权身份验证管理员 |
下面是在执行任务以支持 Microsoft Entra ID 时应使用的最低特权角色。