Microsoft Entra ID の特権を持つロールとアクセス許可 (プレビュー)

[アーティクル]
10/15/2024

重要

特権ロールとアクセス許可に関するラベルは、現在プレビュー段階です。ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Entra ID には、特権として識別されるロールとアクセス許可があります。これらのロールとアクセス許可を使用し、ディレクトリリソースの管理を他のユーザーに委任したり、資格情報ポリシー、認証ポリシー、認可ポリシーを変更したり、制限付きデータにアクセスしたりできます。特権ロールの割り当ては、セキュリティで保護された意図した方法で使用しないと、特権の昇格につながる可能性があります。この記事では、特権ロールとアクセス許可、および使用方法のベストプラクティスについて説明します。

特権を持つロールとアクセス許可はどれですか?

特権を持つロールとアクセス許可の一覧については、「Microsoft Entra の組み込みロール」を参照してください。 Microsoft Entra 管理センター、Microsoft Graph PowerShell、または Microsoft Graph API を使用して、特権として識別されるロール、アクセス許可、ロールの割り当てを識別することもできます。

Microsoft Entra 管理センターで、 PRIVILEGED ラベルを探します。

特権ラベルアイコン。

[ロールと管理者] ページで、特権ロールが Privileged 列で識別されます。 割り当て 列には、ロールの割り当ての数が一覧表示されます。特権ロールをフィルター処理することもできます。

特権ロールのアクセス許可を表示すると、特権を持つアクセス許可を確認できます。アクセス許可を既定のユーザーとして表示した場合、特権を持つアクセス許可を確認することはできません。

カスタムロールを作成すると、どのアクセス許可が特権を持ち、カスタムロールが特権としてラベル付けされているかを確認できます。

Microsoft Graph PowerShell で、IsPrivileged プロパティが True に設定されているかどうかを確認します。

特権ロールを一覧表示するには、Get-MgBetaRoleManagementDirectoryRoleDefinition コマンドを使用します。

Get-MgBetaRoleManagementDirectoryRoleDefinition -Filter "isPrivileged eq true" | Format-List

AllowedPrincipalTypes   :
Description             : Can create and manage all aspects of app registrations and enterprise apps.
DisplayName             : Application Administrator
Id                      : 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Version                 : 1
AdditionalProperties    : {[assignmentMode, allowed], [categories, identity], [richDescription, Users in this role can
                          add, manage, and configureenterprise applications, app registrations and manage on-premises
                          like app proxy.], [inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$m
                          etadata#roleManagement/directory/roleDefinitions('9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3')/inhe
                          ritsPermissionsFrom]}


AllowedPrincipalTypes   :
Description             : Can reset passwords for non-administrators and Helpdesk Administrators.
DisplayName             : Helpdesk Administrator
Id                      : 729827e3-9c14-49f7-bb1b-9608f156bbb8
InheritsPermissionsFrom : {88d8e3e3-8f55-4a1e-953a-9b9898b8876b}
IsBuiltIn               : True
IsEnabled               : True
IsPrivileged            : True
ResourceScopes          : {/}
RolePermissions         : {Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRolePermission}
TemplateId              : 729827e3-9c14-49f7-bb1b-9608f156bbb8
Version                 : 1
AdditionalProperties    : {[assignmentMode, allowed], [categories, identity], [richDescription, Users with this role
                          can change passwords, invalidate refresh tokens, manage service requests, and monitor
                          service health. Invalidating a refresh token forces the user to sign in again. Helpdesk
                          administrators can reset passwords and invalidate refresh tokens of other users who are
                          non-administrators or assigned the following roles only:
                          * Directory Readers
                          * Guest Inviter
                          * Helpdesk Administrator
                          * Message Center Reader
                          * Password Administrator
                          * Reports Reader], [inheritsPermissionsFrom@odata.context, https://graph.microsoft.com/beta/$
                          metadata#roleManagement/directory/roleDefinitions('729827e3-9c14-49f7-bb1b-9608f156bbb8')/inh
                          eritsPermissionsFrom]}

...

特権アクセス許可を一覧表示するには、Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction コマンドを使用します。

Get-MgBetaRoleManagementDirectoryResourceNamespaceResourceAction -UnifiedRbacResourceNamespaceId "microsoft.directory" -Filter "isPrivileged eq true" | Format-List

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update all properties (including privileged properties) on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-allProperties-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/allProperties/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

ActionVerb                      : PATCH
AuthenticationContext           : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAuthenticationContextClassReference
AuthenticationContextId         :
Description                     : Update credentials on single-directory applications
Id                              : microsoft.directory-applications.myOrganization-credentials-update-patch
IsAuthenticationContextSettable :
IsPrivileged                    : True
Name                            : microsoft.directory/applications.myOrganization/credentials/update
ResourceScope                   : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRbacResourceScope
ResourceScopeId                 :
AdditionalProperties            : {}

...

特権ロールの割り当てを一覧表示するには、Get-MgBetaRoleManagementDirectoryRoleAssignment コマンドを使用します。

Get-MgBetaRoleManagementDirectoryRoleAssignment -ExpandProperty "roleDefinition" -Filter "roleDefinition/isPrivileged eq true" | Format-List

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

AppScope                : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphAppScope
AppScopeId              :
Condition               :
DirectoryScope          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
DirectoryScopeId        : /
Id                      : <Id>
Principal               : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphDirectoryObject
PrincipalId             : <PrincipalId>
PrincipalOrganizationId : <PrincipalOrganizationId>
ResourceScope           : /
RoleDefinition          : Microsoft.Graph.Beta.PowerShell.Models.MicrosoftGraphUnifiedRoleDefinition
RoleDefinitionId        : 62e90394-69f5-4237-9190-012177145e10
AdditionalProperties    : {}

...

Microsoft Graph API で、isPrivileged プロパティが true に設定されているかどうかを確認します。

特権ロールを一覧表示するには、List roleDefinitions API を使用します。

GET https://graph.microsoft.com/beta/roleManagement/directory/roleDefinitions?$filter=isPrivileged eq true

回答

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions",
    "value": [
        {
            "id": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "description": "Can manage secrets for federation and encryption in the Identity Experience Framework (IEF).",
            "displayName": "B2C IEF Keyset Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "aaf43236-0c0d-4d5f-883a-6955382ac081",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('aaf43236-0c0d-4d5f-883a-6955382ac081')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        },
        {
            "id": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "description": "Can configure identity providers for use in direct federation.",
            "displayName": "External Identity Provider Administrator",
            "isBuiltIn": true,
            "isEnabled": true,
            "isPrivileged": true,
            "resourceScopes": [
                "/"
            ],
            "templateId": "be2f45a1-457d-42af-a067-6ec1fa63bc45",
            "version": "1",
            "rolePermissions": [
                {
                    "allowedResourceActions": [
                        "microsoft.directory/domains/federation/update",
                        "microsoft.directory/identityProviders/allProperties/allTasks"
                    ],
                    "condition": null
                }
            ],
            "inheritsPermissionsFrom@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleDefinitions('be2f45a1-457d-42af-a067-6ec1fa63bc45')/inheritsPermissionsFrom",
            "inheritsPermissionsFrom": [
                {
                    "id": "88d8e3e3-8f55-4a1e-953a-9b9898b8876b"
                }
            ]
        }
    ]
}

特権アクセス許可を一覧表示するには、List resourceActions API を使用します。

GET https://graph.microsoft.com/beta/roleManagement/directory/resourceNamespaces/microsoft.directory/resourceActions?$filter=isPrivileged eq true

回答

HTTP/1.1 200 OK
Content-Type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/resourceNamespaces('microsoft.directory')/resourceActions",
    "value": [
        {
            "actionVerb": "PATCH",
            "description": "Update application credentials",
            "id": "microsoft.directory-applications-credentials-update-patch",
            "isPrivileged": true,
            "name": "microsoft.directory/applications/credentials/update",
            "resourceScopeId": null
        },
        {
            "actionVerb": null,
            "description": "Manage all aspects of authorization policy",
            "id": "microsoft.directory-authorizationPolicy-allProperties-allTasks",
            "isPrivileged": true,
            "name": "microsoft.directory/authorizationPolicy/allProperties/allTasks",
            "resourceScopeId": null
        }
    ]
}

特権ロールの割り当てを一覧表示するには、List unifiedRoleAssignments API を使用します。

GET https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments?$expand=roleDefinition&$filter=roleDefinition/isPrivileged eq true

回答

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#roleManagement/directory/roleAssignments(roleDefinition())",
    "value": [
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
            "roleDefinition": {
                "id": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "description": "Can manage Conditional Access capabilities.",
                "displayName": "Conditional Access Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "b1be1c3e-b65d-4f19-8427-f6fa0d97feb9",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/namedLocations/create",
                            "microsoft.directory/namedLocations/delete",
                            "microsoft.directory/namedLocations/standard/read",
                            "microsoft.directory/namedLocations/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/create",
                            "microsoft.directory/conditionalAccessPolicies/delete",
                            "microsoft.directory/conditionalAccessPolicies/standard/read",
                            "microsoft.directory/conditionalAccessPolicies/owners/read",
                            "microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read",
                            "microsoft.directory/conditionalAccessPolicies/basic/update",
                            "microsoft.directory/conditionalAccessPolicies/owners/update",
                            "microsoft.directory/conditionalAccessPolicies/tenantDefault/update"
                        ],
                        "condition": null
                    }
                ]
            }
        },
        {
            "id": "{id}",
            "principalId": "{principalId}",
            "principalOrganizationId": "{principalOrganizationId}",
            "resourceScope": "/",
            "directoryScopeId": "/",
            "roleDefinitionId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
            "roleDefinition": {
                "id": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "description": "Can access to view, set and reset authentication method information for any non-admin user.",
                "displayName": "Authentication Administrator",
                "isBuiltIn": true,
                "isEnabled": true,
                "isPrivileged": true,
                "resourceScopes": [
                    "/"
                ],
                "templateId": "c4e39bd9-1100-46d3-8c65-fb160da0071f",
                "version": "1",
                "rolePermissions": [
                    {
                        "allowedResourceActions": [
                            "microsoft.directory/users/authenticationMethods/create",
                            "microsoft.directory/users/authenticationMethods/delete",
                            "microsoft.directory/users/authenticationMethods/standard/restrictedRead",
                            "microsoft.directory/users/authenticationMethods/basic/update",
                            "microsoft.directory/deletedItems.users/restore",
                            "microsoft.directory/users/delete",
                            "microsoft.directory/users/disable",
                            "microsoft.directory/users/enable",
                            "microsoft.directory/users/invalidateAllRefreshTokens",
                            "microsoft.directory/users/restore",
                            "microsoft.directory/users/basic/update",
                            "microsoft.directory/users/manager/update",
                            "microsoft.directory/users/password/update",
                            "microsoft.directory/users/userPrincipalName/update",
                            "microsoft.azure.serviceHealth/allEntities/allTasks",
                            "microsoft.azure.supportTickets/allEntities/allTasks",
                            "microsoft.office365.serviceHealth/allEntities/allTasks",
                            "microsoft.office365.supportTickets/allEntities/allTasks",
                            "microsoft.office365.webPortal/allEntities/standard/read"
                        ],
                        "condition": null
                    }
                ]
            }
        }
    ]
}

特権ロールを使用するためのベストプラクティス

特権ロールを使用するためのベストプラクティスをいくつか次に示します。

最小特権の原則を適用する
Privileged Identity Management を使用して Just-In-Time アクセスを許可する
すべての管理者アカウントに対して多要素認証を有効にする
定期的なアクセスレビューを構成し、時間が経って不要になったアクセス許可を取り消す
全体管理者の数を 5 人未満に制限する
特権ロールの割り当ての数を 10 未満に制限する

詳細については、「Microsoft Entra のロールのベストプラクティス」を参照してください。

特権アクセス許可と保護されたアクション

特権アクセス許可と保護されたアクションは、さまざまな目的を持つセキュリティ関連の機能です。 PRIVILEGED ラベルを持つアクセス許可は、セキュリティで保護された意図した方法で使用されていない場合に特権の昇格につながる可能性があるアクセス許可を特定するのに役立ちます。保護されたアクションは、多要素認証の要求など、セキュリティを強化するために条件付きアクセスポリシーが割り当てられているロールのアクセス許可です。条件付きアクセスの要件は、ユーザーが保護されたアクションを実行するときに適用されます。保護されたアクションは現在プレビュー段階です。詳細については、「Microsoft Entra ID 内の保護されたアクションとは」を参照してください。

機能	特権アクセス許可	保護されたアクション
セキュリティで保護された方法で使用する必要があるアクセス許可を特定する	✅
アクションを実行するために追加のセキュリティを要求する		✅

用語

Microsoft Entra ID の特権を持つロールとアクセス許可を理解するために、次の用語のいくつかを把握しておくことが役立ちます。

任期	定義
action	セキュリティプリンシパルがオブジェクト型に対して実行できるアクティビティ。操作と呼ばれることもあります。
permission	セキュリティプリンシパルがオブジェクト型に対して実行できるアクティビティを指定する定義。アクセス許可には、1 つ以上のアクションが含まれます。
特権アクセス許可	Microsoft Entra ID で、ディレクトリリソースの管理を他のユーザーに委任したり、資格情報、認証、または認可ポリシーを変更したり、制限付きデータにアクセスしたりする目的で使用できるアクセス許可。
特権ロール	1 つ以上の特権アクセス許可を持つ組み込みロールまたはカスタムロール。
特権ロールの割り当て	特権ロールを使用するロールの割り当て。
権限の昇格	セキュリティプリンシパルが、最初に別のロールを偽装することによって提供された割り当てロールよりも多くのアクセス許可を取得する場合。
保護されたアクション	セキュリティを強化するために条件付きアクセスが適用されたアクセス許可。

ロールのアクセス許可を理解する方法

アクセス許可のスキーマは、Microsoft Graph の REST 形式にほぼ従っています。

<namespace>/<entity>/<propertySet>/<action>

次に例を示します。

microsoft.directory/applications/credentials/update

アクセス許可の要素	説明
namespace	タスクが公開される、前に `microsoft` が付加された製品またはサービス。たとえば、Microsoft Entra ID 内のすべてのタスクには、`microsoft.directory` 名前空間が使用されます。
エンティティ	Microsoft Graph でサービスによって公開される論理機能またはコンポーネント。たとえば、Microsoft Entra ID からはユーザーとグループ、OneNote からはメモ、Exchange からはメールボックスと予定表が公開されます。名前空間内のすべてのエンティティを指定するための特別な `allEntities` キーワードがあります。これは、製品全体へのアクセスを許可するロールでよく使用されます。
propertySet	アクセスが許可されているエンティティの特定のプロパティまたは側面。たとえば、`microsoft.directory/applications/authentication/read` は、Microsoft Entra ID でアプリケーションオブジェクトの応答 URL、ログアウト URL、および暗黙的なフロープロパティを読み取る機能を付与します。 `allProperties` は、特権プロパティを含む、エンティティのすべてのプロパティを指定します。 `standard` は、一般的なプロパティを指定しますが、`read` アクションに関連する特権プロパティは除外されます。たとえば、`microsoft.directory/user/standard/read` には、公開用の電話番号やメールアドレスなどの標準プロパティを読み取る機能は含まれますが、多要素認証に使用されるプライベートの二次的な電話番号やメールアドレスを読み取ることはできません。 `basic` は、一般的なプロパティを指定しますが、`update` アクションに関連する特権プロパティは除外されます。読み取ることができるプロパティのセットは、更新できるものと異なる場合があります。そのため、それを反映するために `standard` と `basic` のキーワードが用意されています。
action	許可される操作。最も一般的なものは、作成、読み取り、更新、または削除 (CRUD) です。上記のすべての能力 (作成、読み取り、更新、削除) を指定するための特別な `allTasks` キーワードがあります。

認証ロールの比較

認証関連ロールの機能との比較を次の表に示します。

役割	ユーザーの認証方法の管理	ユーザーごとの MFA の管理	MFA 設定の管理	認証方法ポリシーの管理	パスワード保護ポリシーの管理	機密性の高いプロパティの更新	ユーザーの削除と復元
認証管理者	一部のユーザーに対してはい	一部のユーザーに対してはい	はい	いいえ	いいえ	一部のユーザーに対してはい	一部のユーザーに対してはい
特権認証管理者	すべてのユーザーに対してはい	すべてのユーザーに対してはい	いいえ	番号	No	すべてのユーザーに対してはい	すべてのユーザーに対してはい
認証ポリシー管理者	いいえ	イエス	イエス	イエス	はい	いいえ	いいえ
ユーザー管理者	いいえ	番号	番号	番号	いいえ	一部のユーザーに対してはい	一部のユーザーに対してはい

パスワードをリセットできるロール

次の表の列には、パスワードをリセットして、更新トークンを無効にできるロールが一覧表示されています。行には、パスワードをリセットできる対象のロールが一覧表示されています。例えば、パスワード管理者は、ディレクトリ閲覧者、ゲスト招待元、パスワード管理者、管理者ロールのないユーザーのパスワードをリセットできます。ユーザーに他のロールが割り当てられている場合、パスワード管理者はそれらのパスワードをリセットできません。

次の表は、テナントのスコープで割り当てられたロールを対象にしています。管理単位のスコープで割り当てられたロールについては、さらに制限が適用されます。

パスワードをリセットできる対象のロール	パスワード管理者	ヘルプデスク管理者	認証管理者	[ユーザー管理者]	特権認証管理者	全体管理者
認証管理者			✅		✅	✅
ディレクトリリーダー	✅	✅	✅	✅	✅	✅
グローバル管理者					✅	✅*
グループ管理者				✅	✅	✅
ゲスト招待元	✅	✅	✅	✅	✅	✅
ヘルプデスク管理者		✅		✅	✅	✅
メッセージセンター閲覧者		✅	✅	✅	✅	✅
パスワード管理者	✅	✅	✅	✅	✅	✅
特権認証管理者					✅	✅
特権ロール管理者					✅	✅
レポート閲覧者		✅	✅	✅	✅	✅
User (管理者ロールなし)	✅	✅	✅	✅	✅	✅
User (管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者)					✅	✅
制限付き管理の管理単位をスコープとするロールを持つユーザー					✅	✅
ユーザー管理者				✅	✅	✅
ユーザーエクスペリエンス成功マネージャー		✅	✅	✅	✅	✅
使用状況の概要レポート閲覧者		✅	✅	✅	✅	✅
その他すべての組み込みおよびカスタムのロール					✅	✅

重要

パートナーレベル 2 のサポートロールでは、すべての非管理者および管理者 (全体管理者を含む) のパスワードをリセットし、更新トークンを無効にすることができます。パートナーレベル 1 のサポートロールでは、非管理者のみに対してパスワードをリセットし、更新トークンを無効にすることができます。これらのロールは非推奨であるため、使用しないでください。

パスワードのリセット機能には、セルフサービスのパスワードリセットに必要な次の機密プロパティを更新する機能が含まれています。

businessPhones
MobilePhone
otherMails

機密性の高いアクションを実行できるロール

一部の管理者は、一部のユーザーに対して次の機密性の高いアクションを実行できます。すべてのユーザーは、機密性の高いプロパティを読み取ることができます。

機密性の高いアクション	機密性の高いプロパティ名
ユーザーの無効化または有効化	`accountEnabled`
勤務先の電話番号の更新	`businessPhones`
携帯電話番号の更新	`mobilePhone`
オンプレミスの不変 ID の更新	`onPremisesImmutableId`
その他のメールアドレスの更新	`otherMails`
パスワードプロファイルの更新	`passwordProfile`
ユーザープリンシパル名の更新	`userPrincipalName`
ユーザーの削除または復元	該当なし

次の表の列には、機密性の高いアクションを実行できるロールが一覧表示されています。行には、機密性の高いアクションを実行できる対象のロールが一覧表示されています。

機密性の高いアクションを実行できる対象のロール	認証管理者	[ユーザー管理者]	特権認証管理者	全体管理者
認証管理者	✅		✅	✅
ディレクトリリーダー	✅	✅	✅	✅
グローバル管理者			✅	✅
グループ管理者		✅	✅	✅
ゲスト招待元	✅	✅	✅	✅
ヘルプデスク管理者		✅	✅	✅
メッセージセンター閲覧者	✅	✅	✅	✅
パスワード管理者	✅	✅	✅	✅
特権認証管理者			✅	✅
特権ロール管理者			✅	✅
レポート閲覧者	✅	✅	✅	✅
User (管理者ロールなし)	✅	✅	✅	✅
User (管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者)			✅	✅
制限付き管理の管理単位をスコープとするロールを持つユーザー			✅	✅
ユーザー管理者		✅	✅	✅
ユーザーエクスペリエンス成功マネージャー	✅	✅	✅	✅
使用状況の概要レポート閲覧者	✅	✅	✅	✅
その他すべての組み込みおよびカスタムのロール			✅	✅

次の方法で共有

Microsoft Entra ID の特権を持つロールとアクセス許可 (プレビュー)

特権を持つロールとアクセス許可はどれですか?

特権ロールを使用するためのベストプラクティス

特権アクセス許可と保護されたアクション

用語

ロールのアクセス許可を理解する方法

認証ロールの比較

パスワードをリセットできるロール

機密性の高いアクションを実行できるロール

次のステップ

フィードバック

その他のリソース

次の方法で共有

Microsoft Entra ID の特権を持つロールとアクセス許可 (プレビュー)

特権を持つロールとアクセス許可はどれですか?

特権ロールを使用するためのベスト プラクティス

特権アクセス許可と保護されたアクション

用語

ロールのアクセス許可を理解する方法

認証ロールの比較

パスワードをリセットできるロール

機密性の高いアクションを実行できるロール

次のステップ

フィードバック

その他のリソース

特権ロールを使用するためのベストプラクティス