Microsoft Entra ID のタスク別の最小特権ロール
この記事では、Microsoft Entra ID で最小特権ロールを割り当てることによりユーザーの管理者アクセス許可を制限するために必要な情報を取り上げます。 機能領域ごとのタスクと、各タスクを実行するために必要な最小特権ロールのほか、そのタスクを実行できる非グローバル管理者ロールも別途記載しています。
より小さなスコープでロールを割り当てるか、独自のカスタム ロールを作成することで、アクセス許可をさらに制限できます。 詳細については、「Microsoft Entra ロールを異なるスコープで割り当てる」または「Microsoft Entra ID でカスタム ロールを作成して割り当てる」を参照してください。
アプリケーション プロキシ
タスク | 最小特権ロール | その他のロール |
---|---|---|
アプリケーション プロキシ アプリを構成する | アプリケーション管理者 | |
コネクタ グループのプロパティを構成する | アプリケーション管理者 | |
アプリケーションの登録を作成する (すべてのユーザーについて権限が無効になっている場合) | アプリケーション開発者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
コネクタ グループを作成する | アプリケーション管理者 | |
コネクタ グループを削除する | アプリケーション管理者 | |
アプリケーション プロキシの無効化 | アプリケーション管理者 | |
コネクタ サービスをダウンロードする | アプリケーション管理者 | |
すべての構成を読み取る | アプリケーション管理者 |
外部 ID または B2C
タスク | 最小特権ロール | その他のロール |
---|---|---|
Azure AD B2C のディレクトリを作成する | ゲスト以外のすべてのユーザー | |
エンタープライズ アプリケーションを作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
B2C のポリシーの作成、読み取り、更新、削除を実行する | B2C IEF ポリシー管理者 | |
ID プロバイダーの作成、読み取り、更新、削除を実行する | 外部 ID プロバイダー管理者 | |
パスワード リセット ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
プロファイル編集ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
サインイン ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
サインアップ ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
ユーザー属性の作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー属性管理者 | |
ユーザーの作成、読み取り、更新、削除を実行する | ユーザー管理者 | |
B2B 外部コラボレーションの設定を構成する - ゲスト ユーザー アクセス | 特権ロール管理者 | |
B2B 外部コラボレーションの設定を構成する - ゲスト招待の設定 | ゲスト招待元 | 外部 ID ユーザー フロー管理者 |
B2B 外部コラボレーションの設定を構成する - 外部ユーザーの脱退設定 | 外部 ID プロバイダー管理者 | |
B2B 外部コラボレーションの設定を構成する - コラボレーションの制限 | 全体管理者 | |
すべての構成を読み取る | グローバル閲覧者 | |
B2C 監査ログを読み取る | グローバル閲覧者 |
Note
Azure AD B2C の全体管理者には、Microsoft Entra の全体管理者と同じアクセス許可はありません。 Azure AD B2C の全体管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。
会社のブランド
タスク | 最小特権ロール | その他のロール |
---|---|---|
会社のブランドの構成 | 組織ブランド化管理者 | |
すべての構成を読み取る | ディレクトリ閲覧者 | 既定のユーザー ロール |
のインスタンスに接続するときには、
タスク | 最小特権ロール | その他のロール |
---|---|---|
パススルー認証 | ハイブリッド ID の管理者 | |
すべての構成を読み取る | グローバル閲覧者 | ハイブリッド ID の管理者 |
シームレス シングル サインオン | ハイブリッド ID の管理者 |
Connect 同期
タスク | 最小特権ロール | その他のロール |
---|---|---|
オンプレミスのディレクトリ同期を管理する | ハイブリッド ID の管理者 |
クラウド プロビジョニング
タスク | 最小特権ロール | その他のロール |
---|---|---|
パススルー認証 | ハイブリッド ID の管理者 | |
すべての構成を読み取る | グローバル閲覧者 | ハイブリッド ID の管理者 |
シームレス シングル サインオン | ハイブリッド ID の管理者 |
Connect Health
タスク | 最小特権ロール | その他のロール |
---|---|---|
サービスを追加または削除する | 所有者 | |
同期エラーに対する修正プログラムを適用する | Contributor | 所有者 |
通知の構成 | Contributor | 所有者 |
設定の構成 | 所有者 | |
同期の通知を構成する | Contributor | 所有者 |
ADFS セキュリティ レポートを読み取る | セキュリティ閲覧者 |
Contributor 所有者 |
すべての構成を読み取る | Reader |
Contributor 所有者 |
同期エラーを読み取る | Reader |
Contributor 所有者 |
同期サービスを読み取る | Reader |
Contributor 所有者 |
メトリックとアラートを表示する | Reader |
Contributor 所有者 |
メトリックとアラートを表示する | Reader |
Contributor 所有者 |
同期サービスのメトリックとアラートを表示する | Reader |
Contributor 所有者 |
カスタム ドメイン名
タスク | 最小特権ロール | その他のロール |
---|---|---|
ドメインの管理 | ドメイン名管理者 | |
すべての構成を読み取る | ディレクトリ閲覧者 | 既定のユーザー ロール |
ドメイン サービス
タスク | 最小特権ロール | その他のロール |
---|---|---|
Microsoft Entra Domain Services のインスタンスを作成する |
アプリケーション管理者 グループ管理者 ドメイン サービス共同作成者 |
|
すべての Microsoft Entra Domain Services のタスクを実行する | AAD DC 管理者グループ | |
すべての構成を読み取る | AD DS サービスを含む Azure サブスクリプションの閲覧者 |
デバイス
タスク | 最小特権ロール | その他のロール |
---|---|---|
デバイスの削除 | クラウド デバイス管理者 | Intune 管理者 |
デバイスを無効にする | クラウド デバイス管理者 | Intune 管理者 |
デバイスを有効にする | クラウド デバイス管理者 | Intune 管理者 |
基本構成を読み取る | 既定のユーザー ロール | |
BitLocker キーを読み取る | クラウド デバイス管理者 |
ヘルプデスク管理者 Intune 管理者 セキュリティ管理者 セキュリティ閲覧者 |
エンタープライズ アプリケーション
タスク | 最小特権ロール | その他のロール |
---|---|---|
委任された任意のアクセス許可に同意する | クラウド アプリケーション管理者 | アプリケーション管理者 |
アプリケーションのアクセス許可に同意する (Microsoft Graph を除く) | クラウド アプリケーション管理者 | アプリケーション管理者 |
Microsoft Graph へのアプリケーションのアクセス許可に同意する | 特権ロール管理者 | |
アプリケーションが自分のデータにアクセスすることに同意する | 既定のユーザー ロール | |
エンタープライズ アプリケーションを作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
アプリケーション プロキシを管理する | アプリケーション管理者 | |
グループまたはアプリのアクセス レビューを読み取る | セキュリティ閲覧者 |
セキュリティ管理者 ユーザー管理者 |
すべての構成を読み取る | 既定のユーザー ロール | |
エンタープライズ アプリケーションの割り当てを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 ユーザー管理者 |
エンタープライズ アプリケーション所有者を更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
エンタープライズ アプリケーションのプロパティを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
エンタープライズ アプリケーションのプロビジョニングを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
エンタープライズ アプリケーションのセルフ サービスを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
シングル サインオンのプロパティを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
カスタム認証拡張機能を作成して管理する | 認証拡張性の管理者 | アプリケーション管理者 |
エンタイトルメント管理
タスク | 最小特権ロール | その他のロール |
---|---|---|
カタログにリソースを追加する | Identity Governance 管理者 | エンタイトルメント管理を使用すると、このタスクをカタログ所有者に委任できます |
カタログに SharePoint Online サイトを追加する | SharePoint 管理者 |
グループ
タスク | 最小特権ロール | その他のロール |
---|---|---|
ライセンスの割り当て | ユーザー管理者 | |
グループを作成する | グループ管理者 | ユーザー管理者 |
グループまたはアプリのアクセス レビューを作成、更新、削除する | ユーザー管理者 | |
グループの有効期限を管理する | ユーザー管理者 | |
グループ設定の管理 | グループ管理者 | ユーザー管理者 |
すべての構成を読み取る (非表示のメンバーシップを除く) | ディレクトリ閲覧者 | 既定のユーザー ロール |
非表示のメンバーシップを読み取る | グループ メンバー |
グループ所有者 パスワード管理者 Exchange 管理者 SharePoint 管理者 Teams 管理者 ユーザー管理者 |
非表示のメンバーシップを含むグループのメンバーシップを読み取る | ヘルプデスク管理者 |
ユーザー管理者 Teams 管理者 |
ライセンスを取り消す | ライセンス管理者 | ユーザー管理者 |
動的メンバーシップ グループを更新する | グループ所有者 | ユーザー管理者 |
グループ所有者を更新する | グループ所有者 | ユーザー管理者 |
グループのプロパティを更新する | グループ所有者 | ユーザー管理者 |
グループの削除 | グループ管理者 | ユーザー管理者 |
ライセンス
タスク | 最小特権ロール | その他のロール |
---|---|---|
ライセンスの割り当て | ライセンス管理者 | ユーザー管理者 |
すべての構成を読み取る | ディレクトリ閲覧者 | 既定のユーザー ロール |
ライセンスを取り消す | ライセンス管理者 | ユーザー管理者 |
サブスクリプションを試用または購入する | 課金管理者 |
Microsoft Entra Health
Microsoft Entra ID 保護
タスク | 最小特権ロール | その他のロール |
---|---|---|
アラート通知を構成する | セキュリティ管理者 | |
MFA ポリシーを構成し、有効または無効にする | セキュリティ管理者 | |
サインイン リスク ポリシーを構成し、有効または無効にする | セキュリティ管理者 | |
ユーザー リスク ポリシーを構成し、有効または無効にする | セキュリティ管理者 | |
週刊ダイジェストを構成する | セキュリティ管理者 | |
すべてのリスク検出を無視する | セキュリティ オペレーター | |
脆弱性を修正または無視する | セキュリティ管理者 | |
すべての構成を読み取る | セキュリティ閲覧者 | |
すべてのリスク検出を読み取る | セキュリティ閲覧者 | |
脆弱性を読み取る | セキュリティ閲覧者 |
監視と正常性 - 監査およびサインイン ログ
タスク | 最小特権ロール | その他のロール |
---|---|---|
監査ログを読み取る | レポート閲覧者 |
アプリケーション管理者 クラウド アプリケーション管理者 クラウド デバイス管理者 グローバル セキュア アクセス 管理者 ハイブリッド ID の管理者 セキュリティ管理者 セキュリティ オペレーター セキュリティ閲覧者 |
監視と正常性 - プロビジョニング ログ
タスク | 最小特権ロール | その他のロール |
---|---|---|
サインイン ログを読み取る | レポート閲覧者 |
アプリケーション管理者 クラウド アプリケーション管理者 クラウド デバイス管理者 ハイブリッド ID の管理者 セキュリティ管理者 セキュリティ オペレーター セキュリティ閲覧者 |
監視と正常性 - 推奨事項
タスク | 最小特権ロール | その他のロール |
---|---|---|
推奨事項を読み取ります | レポート閲覧者 |
セキュリティ閲覧者 グローバル閲覧者 ヘルプデスク管理者 サービス サポート管理者 ユーザー管理者 |
推奨事項の更新 | 認証ポリシー管理者 |
アプリケーション管理者 認証管理者 クラウド アプリケーション管理者 条件付きアクセス管理者 Exchange 管理者 ハイブリッド ID の管理者 Identity Governance 管理者 特権ロール管理者 セキュリティ管理者 セキュリティ オペレーター SharePoint 管理者 |
多要素認証
タスク | 最小特権ロール | その他のロール |
---|---|---|
選択したユーザーによって生成されたすべての既存のアプリケーション パスワードを削除する | 認証ポリシー管理者 | 認証管理者 |
ユーザーごとの MFA を無効にする | 認証管理者 | 特権認証管理者 |
ユーザーごとの MFA の有効化 | 認証管理者 | 特権認証管理者 |
MFA サービスの設定を管理する | 認証ポリシー管理者 | |
選択したユーザーについて連絡方法の再指定を必須にする | 認証管理者 | |
記憶されているすべてのデバイスで多要素認証を復元する | 認証管理者 |
MFA サーバー
タスク | 最小特権ロール | その他のロール |
---|---|---|
ユーザーのブロック/ブロック解除 | 認証ポリシー管理者 | |
アカウント ロックアウトを構成する | 認証ポリシー管理者 | |
キャッシュ規則を構成する | 認証ポリシー管理者 | |
不正アクセスのアラートを構成する | 認証ポリシー管理者 | |
通知の構成 | 認証ポリシー管理者 | |
ワンタイム バイパスを構成する | 認証ポリシー管理者 | |
電話の設定を構成する | 認証ポリシー管理者 | |
プロバイダーを構成する | 認証ポリシー管理者 | |
サーバー設定の構成 | 認証ポリシー管理者 | |
アクティビティ レポートを読み取る | グローバル閲覧者 | |
すべての構成を読み取る | グローバル閲覧者 | |
サーバーの状態を読み取る | グローバル閲覧者 |
組織の関係
タスク | 最小特権ロール | その他のロール |
---|---|---|
ID プロバイダーを管理する | 外部 ID プロバイダー管理者 | |
すべての構成を読み取る | グローバル閲覧者 |
パスワードのリセット
タスク | 最小特権ロール | その他のロール |
---|---|---|
認証方法を構成する | 認証ポリシー管理者 | |
カスタマイズを構成する | 認証ポリシー管理者 | |
通知を構成する | 認証ポリシー管理者 | |
オンプレミスの統合を構成する | 認証ポリシー管理者 | |
パスワードのリセット プロパティを構成する | ユーザー管理者 | 認証ポリシー管理者 |
登録を構成する | 認証ポリシー管理者 | |
すべての構成を読み取る | セキュリティ管理者 | ユーザー管理者 |
アクセス許可の管理
Microsoft Entra Permissions Management とは
タスク | 最小特権ロール | その他のロール |
---|---|---|
テナントのオンボード | Permissions Management の管理者 | |
クラウド環境のオンボード | Permissions Management の管理者 | |
Microsoft Entra Permissions Management でアクセス許可を割り当てる | Permissions Management の管理者 | |
試用版を開始し、Microsoft Entra Permissions Management ライセンスを購入する | 課金管理者 |
Privileged Identity Management
タスク | 最小特権ロール | その他のロール |
---|---|---|
ユーザーをロールに割り当てる | 特権ロール管理者 | |
ロール設定を構成する | 特権ロール管理者 | |
監査アクティビティを表示する | セキュリティ閲覧者 | |
ロールのメンバーシップを表示する | セキュリティ閲覧者 |
ロールと管理者
タスク | 最小特権ロール | その他のロール |
---|---|---|
ロールの割り当てを管理する | 特権ロール管理者 | |
Microsoft Entra ロールのアクセス レビューを読み取る | セキュリティ閲覧者 |
セキュリティ管理者 特権ロール管理者 |
すべての構成を読み取る | 既定のユーザー ロール |
セキュリティ - 認証方法
タスク | 最小特権ロール | その他のロール |
---|---|---|
認証方法を有効または無効にする | 認証ポリシー管理者 | |
個々のユーザー認証方法の表示、代理プロビジョニング、および管理を行う | 認証管理者 | 特権認証管理者 |
パスワード保護を構成する | セキュリティ管理者 | |
スマート ロックアウトを構成する | セキュリティ管理者 | |
すべての構成を読み取る | グローバル閲覧者 |
セキュリティ - 条件付きアクセス
タスク | 最小特権ロール | その他のロール |
---|---|---|
MFA の信頼できる IP アドレスを構成する | 条件付きアクセス管理者 | |
カスタム コントロールを作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
ネームド ロケーションを作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
ポリシーの作成 | 条件付きアクセス管理者 | セキュリティ管理者 |
利用規約を作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
VPN 接続の証明書を作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
クラシック ポリシーを削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
利用規約を削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
VPN 接続の証明書を削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
クラシック ポリシーを無効にする | 条件付きアクセス管理者 | セキュリティ管理者 |
カスタム コントロールを管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
ネームド ロケーションを管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
利用規約を管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
すべての構成を読み取る | 既定のユーザー ロール | |
ネームド ロケーションを読み取る | 既定のユーザー ロール | |
使用条件の読み取り | セキュリティ閲覧者 | グローバル閲覧者 |
サインインしているユーザーが同意した使用条件を確認する | 既定のユーザー ロール |
セキュリティ - ID セキュリティ スコア
タスク | 最小特権ロール | その他のロール |
---|---|---|
すべての構成を読み取る | セキュリティ閲覧者 | セキュリティ管理者 |
セキュリティ スコアを読み取る | セキュリティ閲覧者 | セキュリティ管理者 |
イベントの状態を更新する | セキュリティ管理者 |
セキュリティ - 危険なサインイン
セキュリティ - リスクのフラグ付きユーザー
一時アクセス パス
タスク | 最小特権ロール | その他のロール |
---|---|---|
管理者またはメンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する | 特権認証管理者 | |
メンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する | 認証管理者 | |
ユーザーの一時アクセス パスの詳細を表示する (コード自体は表示しない) | グローバル閲覧者 | |
一時アクセス パスの認証方法ポリシーを構成または更新する | 認証ポリシー管理者 |
テナント
タスク | 最小特権ロール | その他のロール |
---|---|---|
Microsoft Entra ID または Azure AD B2C テナントを作成する | テナント作成者 | |
Microsoft Entra テナントのプロパティを更新する | 課金管理者 | |
プライバシーに関する声明と連絡先を管理する | 課金管理者 |
Users
タスク | 最小特権ロール | その他のロール |
---|---|---|
ディレクトリ ロールにユーザーを追加する | 特権ロール管理者 | |
ユーザーをグループに追加する | ユーザー管理者 | |
ライセンスの割り当て | ライセンス管理者 | ユーザー管理者 |
ゲスト ユーザーを作成する | ゲスト招待元 | ユーザー管理者 |
ゲスト ユーザーの招待をリセットする | ヘルプデスク管理者 | ユーザー管理者 |
ユーザーの作成 | ユーザー管理者 | |
ユーザーを削除する | ユーザー管理者 | |
制限付き管理者の更新トークンを無効にする | ユーザー管理者 | |
非管理者の更新トークンを無効にする | ヘルプデスク管理者 | ユーザー管理者 |
特権管理者の更新トークンを無効にする | 特権認証管理者 | |
基本構成を読み取る | 既定のユーザー ロール | |
制限付き管理者のパスワードをリセットする | ユーザー管理者 | |
非管理者のパスワードをリセットする | パスワード管理者 | ユーザー管理者 |
特権管理者のパスワードをリセットする | 特権認証管理者 | |
ライセンスを取り消す | ライセンス管理者 | ユーザー管理者 |
ユーザー プリンシパル名を除くすべてのプロパティを更新する | ユーザー管理者 | |
オンプレミスの同期が有効なプロパティを更新する | ハイブリッド ID の管理者 | |
制限付き管理者のユーザー プリンシパル名を更新する | ユーザー管理者 | |
特権管理者のユーザー プリンシパル名プロパティを更新する | 特権認証管理者 | |
ユーザー設定の更新 - 既定のユーザー ロールのアクセス許可 | 特権ロール管理者 | |
ユーザー設定を更新する - ゲスト ユーザー アクセス | 特権ロール管理者 | |
ユーザー設定を更新する - 管理センター | 全体管理者 | |
ユーザー設定を更新する - LinkedIn アカウント接続 | 全体管理者 | |
ユーザー設定を更新する - [サインインしたままにする] を表示する | 全体管理者 | |
認証方法を更新する | 認証管理者 | 特権認証管理者 |