Microsoft Entra ID 中按任务显示的最小特权角色
本文介绍了通过在 Microsoft Entra ID 中分配最小特权角色来限制用户管理员权限所需的信息。 你将能够查找按功能区域整理的任务、执行每项任务所需的最小特权角色,以及可执行任务的其他非全局管理员角色。
可以通过在较小范围内分配角色或创建自己的自定义角色来进一步限制权限。 有关详细信息,请参阅在不同的范围分配 Microsoft Entra 角色或在 Microsoft Entra ID 中创建和分配自定义角色。
外部标识/B2C
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Azure AD B2C 目录 | 所有非来宾用户 | |
| 创建企业应用程序 | 云应用程序管理员 | 应用程序管理员 |
| 创建、读取、更新和删除 B2C 策略 | B2C IEF 策略管理员 | |
| 创建、读取、更新和删除标识提供者 | 外部标识提供者管理员 | |
| 创建、读取、更新和删除密码重置用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除配置文件编辑用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除登录用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除注册用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除用户特性 | 外部 ID 用户流属性管理员 | |
| 创建、读取、更新和删除用户 | 用户管理员 | |
| 配置 B2B 外部协作设置 - 来宾用户访问 | 特权角色管理员 | |
| 配置 B2B 外部协作设置 - 来宾邀请设置 | 来宾邀请者 | 外部 ID 用户流管理员 |
| 配置 B2B 外部协作设置 - 外部用户离开设置 | 外部标识提供者管理员 | |
| 配置 B2B 外部协作设置 - 协作限制 | 全局管理员 | |
| 读取所有配置 | 全局读取者 | |
| 读取 B2C 审核日志 | 全局读取者 |
注意
Azure AD B2C 全局管理员的权限与 Microsoft Entra 全局管理员的权限不同。 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Microsoft Entra 目录)中。
公司品牌
连接
云预配
自定义域名
域服务
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Microsoft Entra 域服务实例 | 应用程序管理员 组管理员 域服务参与者 |
|
| 执行所有 Microsoft Entra 域服务任务 | AAD DC 管理员组 | |
| 读取所有配置 | 包含 AD DS 服务的 Azure 订阅的读者 |
设备
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 删除设备 | 云设备管理员 | Intune 管理员 |
| 禁用设备 | 云设备管理员 | Intune 管理员 |
| 启用设备 | 云设备管理员 | Intune 管理员 |
| 读取基本配置 | 默认用户角色 | |
| 读取 BitLocker 密钥 | 云设备管理员 | 支持管理员 Intune 管理员 安全管理员 安全读取者 |
企业应用程序
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 同意任何委托的权限 | 云应用程序管理员 | 应用程序管理员 |
| 同意应用程序权限(不包括 Microsoft Graph) | 云应用程序管理员 | 应用程序管理员 |
| 同意 Microsoft Graph 的应用程序权限 | 特权角色管理员 | |
| 同意应用程序访问自己的数据 | 默认用户角色 | |
| 创建企业应用程序 | 云应用程序管理员 | 应用程序管理员 |
| 管理应用程序代理 | 应用程序管理员 | |
| 读取组或应用的访问评审 | 安全读取者 | 安全管理员 用户管理员 |
| 读取所有配置 | 默认用户角色 | |
| 更新企业应用程序分配 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 用户管理员 |
| 更新企业应用程序所有者 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新企业应用程序属性 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新企业应用程序预配 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新企业应用程序自助服务 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 更新单一登录属性 | 企业应用程序所有者 | 云应用程序管理员 应用程序管理员 |
| 创建和修改自定义身份验证扩展 | 身份验证扩展性管理员 | 应用程序管理员 |
权利管理
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 将资源添加到目录 | Identity Governance 管理员 | 使用权利管理,可将此任务委托给目录所有者 |
| 向目录添加 SharePoint Online 站点 | SharePoint 管理员 |
组
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 分配许可证 | 用户管理员 | |
| 创建组 | 组管理员 | 用户管理员 |
| 创建、更新或删除组或应用的访问评审 | 用户管理员 | |
| 管理组到期时间 | 用户管理员 | |
| 管理组设置 | 组管理员 | 用户管理员 |
| 读取所有配置(隐藏成员身份除外) | 目录读取者 | 默认用户角色 |
| 读取隐藏成员身份 | 组成员 | 组所有者 密码管理员 Exchange 管理员 SharePoint 管理员 Teams 管理员 用户管理员 |
| 读取具有隐藏成员身份的组的成员身份 | 支持管理员 | 用户管理员 Teams 管理员 |
| 撤销许可证 | 许可证管理员 | 用户管理员 |
| 更新动态成员资格组 | 组所有者 | 用户管理员 |
| 更新组所有者 | 组所有者 | 用户管理员 |
| 更新组属性 | 组所有者 | 用户管理员 |
| 删除组 | 组管理员 | 用户管理员 |
许可证
监视和运行状况 - 审核日志
监视和运行状况 - 登录日志
监视和运行状况 - 建议
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 读取建议 | 报告读取者 | 安全信息读取者 全局读取者 帮助台管理员 服务支持管理员 用户管理员 |
| 更新了建议。 | 身份验证策略管理员 | 应用程序管理员 身份验证管理员 云应用程序管理员 条件访问管理员 Exchange 管理员 混合标识管理员 Identity Governance 管理员 特权角色管理员 安全管理员 安全操作员 SharePoint 管理员 |
多重身份验证
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 删除选定用户生成的所有现有应用密码 | 身份验证策略管理员 | 身份验证管理员 |
| 禁用每用户 MFA | 身份验证管理员 | 特权身份验证管理员 |
| 启用每用户 MFA | 身份验证管理员 | 特权身份验证管理员 |
| 管理 MFA 服务设置 | 身份验证策略管理员 | |
| 要求选定的用户再次提供联系方法 | 身份验证管理员 | |
| 在所有记住的设备上还原多重身份验证 | 身份验证管理员 |
组织关系
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 管理标识提供者 | 外部标识提供者管理员 | |
| 读取所有配置 | 全局读取者 |
密码重置
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 配置身份验证方法 | 身份验证策略管理员 | |
| 配置自定义 | 身份验证策略管理员 | |
| 配置通知 | 身份验证策略管理员 | |
| 配置本地集成 | 身份验证策略管理员 | |
| 配置密码重置属性 | 用户管理员 | 身份验证策略管理员 |
| 配置注册 | 身份验证策略管理员 | |
| 读取所有配置 | 安全管理员 | 用户管理员 |
Privileged identity management
角色和管理员
安全性 - 身份验证方法
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 启用或禁用身份验证方法 | 身份验证策略管理员 | |
| 查看、代表和管理单个用户身份验证方法 | 身份验证管理员 | 特权身份验证管理员 |
| 配置密码保护 | 安全管理员 | |
| 配置智能锁定 | 安全管理员 | |
| 读取所有配置 | 全局读取者 |
安全性 - 条件访问
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 配置 MFA 受信任的 IP | 条件访问管理员 | |
| 创建自定义控件 | 条件访问管理员 | 安全管理员 |
| 创建命名位置 | 条件访问管理员 | 安全管理员 |
| 创建策略 | 条件访问管理员 | 安全管理员 |
| 创建使用条款 | 条件访问管理员 | 安全管理员 |
| 创建 VPN 连接证书 | 云应用程序管理员 | 应用程序管理员 |
| 删除经典策略 | 条件访问管理员 | 安全管理员 |
| 删除使用条款 | 条件访问管理员 | 安全管理员 |
| 删除 VPN 连接证书 | 条件访问管理员 | 安全管理员 |
| 禁用经典策略 | 条件访问管理员 | 安全管理员 |
| 管理自定义控件 | 条件访问管理员 | 安全管理员 |
| 管理命名位置 | 条件访问管理员 | 安全管理员 |
| 管理使用条款 | 条件访问管理员 | 安全管理员 |
| 读取所有配置 | 默认用户角色 | |
| 读取命名位置 | 默认用户角色 |
安全性 - 标识安全分数
临时访问密码
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建、删除或查看管理员或成员(除了自身之外)的临时访问密码 | 特权身份验证管理员 | |
| 创建、删除或查看成员(除了自身之外)的临时访问密码 | 身份验证管理员 | |
| 查看用户的临时访问密码详细信息(无需读取代码本身) | 全局读取者 | |
| 配置或更新临时访问密码身份验证方法策略 | 身份验证策略管理员 |
租户
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 创建 Microsoft Entra ID 或 Azure AD B2C 租户 | 租户创建者 | |
| 更新 Microsoft Entra 租户属性 | 计费管理员 | |
| 管理隐私声明和联系人 | 计费管理员 |
用户
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 将用户添加到目录角色 | 特权角色管理员 | |
| 将用户添加到组 | 用户管理员 | |
| 分配许可证 | 许可证管理员 | 用户管理员 |
| 创建来宾用户 | 来宾邀请者 | 用户管理员 |
| 重置来宾用户邀请 | 支持管理员 | 用户管理员 |
| 创建用户 | 用户管理员 | |
| 删除用户 | 用户管理员 | |
| 使受限管理员的刷新令牌失效 | 用户管理员 | |
| 使非管理员的刷新令牌失效 | 支持管理员 | 用户管理员 |
| 使特权管理员的刷新令牌失效 | 特权身份验证管理员 | |
| 读取基本配置 | 默认用户角色 | |
| 重置受限管理员的密码 | 用户管理员 | |
| 重置非管理员的密码 | 密码管理员 | 用户管理员 |
| 重置特权管理员的密码 | 特权身份验证管理员 | |
| 撤销许可证 | 许可证管理员 | 用户管理员 |
| 更新除用户主体名称之外的所有属性 | 用户管理员 | |
| 更新启用本地同步的属性 | 混合标识管理员 | |
| 更新受限管理员的用户主体名称 | 用户管理员 | |
| 更新特权管理员的用户主体名称属性 | 特权身份验证管理员 | |
| 更新用户设置 - 默认用户角色权限 | 特权角色管理员 | |
| 更新用户设置 - 来宾用户访问 | 特权角色管理员 | |
| 更新用户设置 - 管理中心 | 全局管理员 | |
| 更新用户设置 - 显示保持用户登录状态 | 全局管理员 | |
| 更新身份验证方法 | 身份验证管理员 | 特权身份验证管理员 |
支持
| 任务 | 最小特权角色 | 其他角色 |
|---|---|---|
| 提交支持票证 | 服务支持管理员 | 应用程序管理员 Azure 信息保护管理员 计费管理员 云应用程序管理员 合规性管理员 Dynamics 365 管理员 桌面分析管理员 Exchange 管理员 Intune 管理员 密码管理员 Fabric 管理员 特权身份验证管理员 SharePoint 管理员 Skype for Business 管理员 Teams 管理员 Teams 通信管理员 用户管理员 |