Nejméně privilegované role podle úlohy v Microsoft Entra ID
V tomto článku najdete informace potřebné k omezení oprávnění správce uživatele přiřazením nejméně privilegovaných rolí v Microsoft Entra ID. Najdete úkoly uspořádané podle oblasti funkcí a nejnižší privilegované role potřebné k provedení jednotlivých úloh spolu s dalšími rolemi globálního správce, které můžou úlohu provést.
Oprávnění můžete dále omezit přiřazením rolí v menších oborech nebo vytvořením vlastních rolí. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v různých oborech nebo vytvoření a přiřazení vlastní role v Microsoft Entra ID.
Proxy aplikací
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Konfigurace aplikace proxy aplikací | Správce aplikace | |
Konfigurace vlastností skupiny konektorů | Správce aplikace | |
Vytvoření registrace aplikace, pokud je možnost zakázána pro všechny uživatele | Vývojář aplikace |
Správce cloudové aplikace Správce aplikace |
Vytvoření skupiny konektorů | Správce aplikace | |
Odstranění skupiny konektorů | Správce aplikace | |
Zákaz proxy aplikací | Správce aplikace | |
Stažení služby konektoru | Správce aplikace | |
Čtení veškeré konfigurace | Správce aplikace |
Externí identity /B2C
Poznámka:
Globální správci Azure AD B2C nemají stejná oprávnění jako globální správci Microsoft Entra. Pokud máte oprávnění globálního správce Azure AD B2C, ujistěte se, že jste v adresáři Azure AD B2C, a ne v adresáři Microsoft Entra.
Firemní branding
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Konfigurace brandingu společnosti | Správce brandingu organizace | |
Čtení veškeré konfigurace | Čtenáři adresářů | Výchozí role uživatele |
Propojit
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Předávací ověřování | Správce hybridní identity | |
Čtení veškeré konfigurace | Globální čtenář | Správce hybridní identity |
Transparentní jednotné přihlašování | Správce hybridní identity |
Připojit synchronizaci
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Správa synchronizace místních adresářů | Správce hybridní identity |
Zřizování cloudu
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Předávací ověřování | Správce hybridní identity | |
Čtení veškeré konfigurace | Globální čtenář | Správce hybridní identity |
Transparentní jednotné přihlašování | Správce hybridní identity |
Stav připojení
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Přidání nebo odstranění služeb | Vlastník | |
Použití oprav chyby synchronizace | Přispěvatel | Vlastník |
Konfigurace oznámení | Přispěvatel | Vlastník |
Konfigurace nastavení | Vlastník | |
Konfigurace oznámení synchronizace | Přispěvatel | Vlastník |
Čtení sestav zabezpečení ADFS | Čtenář zabezpečení |
Přispěvatel Vlastník |
Čtení veškeré konfigurace | Čtenář |
Přispěvatel Vlastník |
Chyby čtení synchronizace | Čtenář |
Přispěvatel Vlastník |
Synchronizační služby pro čtení | Čtenář |
Přispěvatel Vlastník |
Zobrazení metrik a upozornění | Čtenář |
Přispěvatel Vlastník |
Zobrazení metrik a upozornění | Čtenář |
Přispěvatel Vlastník |
Zobrazení metrik a upozornění synchronizační služby | Čtenář |
Přispěvatel Vlastník |
Vlastní názvy domén
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Správa domén | Správce názvu domény | |
Čtení veškeré konfigurace | Čtenáři adresářů | Výchozí role uživatele |
Domain Services
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Vytvoření instance služby Microsoft Entra Domain Services |
Správce aplikace Správce skupin Přispěvatel služby Domain Services |
|
Provádění všech úloh služby Microsoft Entra Domain Services | Skupina AAD DC Administrators | |
Čtení veškeré konfigurace | Čtenář v předplatném Azure obsahujícím službu AD DS |
Zařízení
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Odstranění zařízení | Správce cloudových zařízení | Správce Intune |
Zakázání zařízení | Správce cloudových zařízení | Správce Intune |
Povolení zařízení | Správce cloudových zařízení | Správce Intune |
Čtení základní konfigurace | Výchozí role uživatele | |
Čtení klíčů Nástroje BitLocker | Správce cloudových zařízení |
Správce helpdesku Správce Intune Správce zabezpečení Čtenář zabezpečení |
Podnikové aplikace
Správa nároků
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Přidání prostředků do katalogu | Správce zásad správného řízení identit | Pomocí správy nároků můžete tuto úlohu delegovat na vlastníka katalogu. |
Přidání webů SharePointu Online do katalogu | Správce SharePointu |
Skupiny
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Přiřazení licence | Správce uživatelů | |
Vytvořit skupinu | Správce skupin | Správce uživatelů |
Vytvoření, aktualizace nebo odstranění kontroly přístupu skupiny nebo aplikace | Správce uživatelů | |
Správa vypršení platnosti skupiny | Správce uživatelů | |
Správa nastavení skupin | Správce skupin | Správce uživatelů |
Čtení všech konfigurací (s výjimkou skrytého členství) | Čtenáři adresářů | Výchozí role uživatele |
Čtení skrytého členství | Člen skupiny |
Vlastník skupiny Správce hesel Správce Exchange Správce SharePointu Správce Teams Správce uživatelů |
Čtení členství ve skupinách se skrytým členstvím | Správce helpdesku |
Správce uživatelů Správce Teams |
Odvolání licence | Správce licencí | Správce uživatelů |
Aktualizace dynamických skupin členství | Vlastník skupiny | Správce uživatelů |
Aktualizace vlastníků skupin | Vlastník skupiny | Správce uživatelů |
Aktualizace vlastností skupiny | Vlastník skupiny | Správce uživatelů |
Odstranit skupinu | Správce skupin | Správce uživatelů |
Licence
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Přiřazení licence | Správce licencí | Správce uživatelů |
Čtení veškeré konfigurace | Čtenáři adresářů | Výchozí role uživatele |
Odvolání licence | Správce licencí | Správce uživatelů |
Vyzkoušení nebo zakoupení předplatného | Správce fakturace |
Microsoft Entra Health
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Zobrazení monitorovacích signálů scénáře | Čtenář sestav |
Čtenář zabezpečení Operátor zabezpečení Správce zabezpečení Správce helpdesku Globální čtenář |
Ochrana Microsoft Entra ID
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Konfigurace oznámení výstrah | Správce zabezpečení | |
Konfigurace a povolení nebo zakázání zásad vícefaktorového ověřování | Správce zabezpečení | |
Konfigurace a povolení nebo zakázání zásad rizik přihlašování | Správce zabezpečení | |
Konfigurace a povolení nebo zakázání zásad rizik uživatelů | Správce zabezpečení | |
Konfigurace týdenních přehledů | Správce zabezpečení | |
Zavření všech detekcí rizik | Operátor zabezpečení | |
Oprava nebo zavření chyby zabezpečení | Správce zabezpečení | |
Čtení veškeré konfigurace | Čtenář zabezpečení | |
Čtení všech detekcí rizik | Čtenář zabezpečení | |
Ohrožení zabezpečení čtení | Čtenář zabezpečení |
Monitorování a stav – Protokoly auditu a přihlašování
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Čtení protokolů auditu | Čtenář sestav |
Správce aplikace Správce cloudové aplikace Správce cloudových zařízení Globální správce zabezpečeného přístupu Správce hybridní identity Správce zabezpečení Operátor zabezpečení Čtenář zabezpečení |
Monitorování a stav – Protokoly zřizování
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Čtení protokolů přihlašování | Čtenář sestav |
Správce aplikace Správce cloudové aplikace Správce cloudových zařízení Správce hybridní identity Správce zabezpečení Operátor zabezpečení Čtenář zabezpečení |
Monitorování a stav – Doporučení
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Čtení doporučení | Čtenář sestav |
Čtenář zabezpečení Globální čtenář Správce helpdesku Správce podpory služeb Správce uživatelů |
Aktualizace doporučení | Správce zásad ověřování |
Správce aplikace Správce ověřování Správce cloudové aplikace Správce podmíněného přístupu Správce Exchange Správce hybridní identity Správce zásad správného řízení identit Správce privilegovaných rolí Správce zabezpečení Operátor zabezpečení Správce SharePointu |
Vícefaktorové ověřování
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli | Správce zásad ověřování | Správce ověřování |
Zakázání vícefaktorového ověřování pro jednotlivé uživatele | Správce ověřování | Správce privilegovaného ověřování |
Povolení vícefaktorového ověřování pro jednotlivé uživatele | Správce ověřování | Správce privilegovaného ověřování |
Správa nastavení služby MFA | Správce zásad ověřování | |
Vyžadovat, aby vybraní uživatelé znovu zadali způsoby kontaktování | Správce ověřování | |
Obnovení vícefaktorového ověřování na všech zapamatových zařízeních | Správce ověřování |
Server MFA
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Blokování a odblokování uživatelů | Správce zásad ověřování | |
Konfigurace uzamčení účtu | Správce zásad ověřování | |
Konfigurace pravidel ukládání do mezipaměti | Správce zásad ověřování | |
Konfigurace upozornění na podvod | Správce zásad ověřování | |
Konfigurace oznámení | Správce zásad ověřování | |
Konfigurace jednorázového obejití | Správce zásad ověřování | |
Konfigurace nastavení telefonního hovoru | Správce zásad ověřování | |
Konfigurace poskytovatelů | Správce zásad ověřování | |
Konfigurace nastavení serveru | Správce zásad ověřování | |
Čtení sestavy aktivit | Globální čtenář | |
Čtení veškeré konfigurace | Globální čtenář | |
Čtení stavu serveru | Globální čtenář |
Organizační vztahy
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Správa zprostředkovatelů identity | Externí správce zprostředkovatele identity | |
Čtení veškeré konfigurace | Globální čtenář |
Resetování hesla
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Konfigurace metod ověřování | Správce zásad ověřování | |
Konfigurace přizpůsobení | Správce zásad ověřování | |
Konfigurace oznámení | Správce zásad ověřování | |
Konfigurace místní integrace | Správce zásad ověřování | |
Konfigurace vlastností resetování hesla | Správce uživatelů | Správce zásad ověřování |
Konfigurace registrace | Správce zásad ověřování | |
Čtení veškeré konfigurace | Správce zabezpečení | Správce uživatelů |
Správa oprávnění
Co je Správa oprávnění Microsoft Entra
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Onboarding tenanta | Správce správy oprávnění | |
Onboarding cloudových prostředí | Správce správy oprávnění | |
Přiřazení oprávnění v Správa oprávnění Microsoft Entra | Správce správy oprávnění | |
Spuštění zkušební verze a zakoupení licencí Správa oprávnění Microsoft Entra | Správce fakturace |
Privileged identity management
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Přiřazení uživatelů k rolím | Správce privilegovaných rolí | |
Konfigurace nastavení role | Správce privilegovaných rolí | |
Zobrazení aktivit auditu | Čtenář zabezpečení | |
Zobrazení členství v rolích | Čtenář zabezpečení |
Role a správci
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Správa přiřazení rolí | Správce privilegovaných rolí | |
Kontrola přístupu pro čtení role Microsoft Entra | Čtenář zabezpečení |
Správce zabezpečení Správce privilegovaných rolí |
Čtení veškeré konfigurace | Výchozí role uživatele |
Zabezpečení – metody ověřování
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Povolení nebo zakázání metod ověřování | Správce zásad ověřování | |
Zobrazení, zřizování jménem a správa metod ověřování jednotlivých uživatelů | Správce ověřování | Správce privilegovaného ověřování |
Konfigurace ochrany heslem | Správce zabezpečení | |
Konfigurace inteligentního uzamčení | Správce zabezpečení | |
Čtení veškeré konfigurace | Globální čtenář |
Zabezpečení – podmíněný přístup
Zabezpečení – skóre zabezpečení identity
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Čtení veškeré konfigurace | Čtenář zabezpečení | Správce zabezpečení |
Přečíst skóre zabezpečení | Čtenář zabezpečení | Správce zabezpečení |
Aktualizace stavu události | Správce zabezpečení |
Zabezpečení – riziková přihlášení
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Čtení veškeré konfigurace | Čtenář zabezpečení | |
Čtení rizikových přihlášení | Čtenář zabezpečení |
Zabezpečení – Uživatelé označení příznakem rizika
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Zavřít všechny události | Správce zabezpečení | |
Čtení veškeré konfigurace | Čtenář zabezpečení | |
Čtení uživatelů označených příznakem rizika | Čtenář zabezpečení |
Dočasný přístupový pass
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro správce nebo členy (kromě sebe) | Správce privilegovaného ověřování | |
Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro členy (kromě sebe) | Správce ověřování | |
Zobrazení podrobností o dočasném přístupovém passu pro uživatele (bez čtení samotného kódu) | Globální čtenář | |
Konfigurace nebo aktualizace zásad metody ověřování dočasného přístupu | Správce zásad ověřování |
Tenant
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Vytvoření ID Microsoft Entra nebo tenanta Azure AD B2C | Tvůrce tenanta | |
Aktualizace vlastností tenanta Microsoft Entra | Správce fakturace | |
Správa prohlášení o zásadách ochrany osobních údajů a kontaktování | Správce fakturace |
Uživatelé
Úkol | Role s nejnižšími oprávněními | Další role |
---|---|---|
Přidání uživatele do role adresáře | Správce privilegovaných rolí | |
Přidání uživatele do skupiny | Správce uživatelů | |
Přiřazení licence | Správce licencí | Správce uživatelů |
Vytvoření uživatele typu host | Pozvaný host | Správce uživatelů |
Resetování pozvání uživatele typu host | Správce helpdesku | Správce uživatelů |
Vytvořit uživatele | Správce uživatelů | |
Odstranění uživatelů | Správce uživatelů | |
Zneplatnění obnovovacích tokenů omezených správců | Správce uživatelů | |
Zneplatnění obnovovacích tokenů jiných správců | Správce helpdesku | Správce uživatelů |
Zneplatnění obnovovacích tokenů privilegovaných správců | Správce privilegovaného ověřování | |
Čtení základní konfigurace | Výchozí role uživatele | |
Resetování hesla pro omezené správce | Správce uživatelů | |
Resetování hesla uživatelů, kteří nejsou správci | Správce hesel | Správce uživatelů |
Resetování hesla privilegovaných správců | Správce privilegovaného ověřování | |
Odvolání licence | Správce licencí | Správce uživatelů |
Aktualizace všech vlastností kromě hlavního názvu uživatele | Správce uživatelů | |
Aktualizace vlastnosti s povolenou místní synchronizací | Správce hybridní identity | |
Aktualizace hlavního názvu uživatele pro omezené správce | Správce uživatelů | |
Aktualizace vlastnosti hlavního názvu uživatele u privilegovaných správců | Správce privilegovaného ověřování | |
Aktualizace uživatelských nastavení – výchozí oprávnění role uživatele | Správce privilegovaných rolí | |
Aktualizace uživatelských nastavení – Přístup uživatele typu host | Správce privilegovaných rolí | |
Aktualizace uživatelských nastavení – Centrum pro správu | Globální správce | |
Aktualizace uživatelských nastavení – připojení k účtu LinkedIn | Globální správce | |
Aktualizace uživatelských nastavení – Zobrazení zachování přihlášeného uživatele | Globální správce | |
Aktualizace metod ověřování | Správce ověřování | Správce privilegovaného ověřování |