Rollen met minimale bevoegdheden per taak in Microsoft Entra ID
In dit artikel vindt u de informatie die nodig is om de beheerdersmachtigingen van een gebruiker te beperken door de rollen met minimale bevoegdheden toe te wijzen in Microsoft Entra-id. U vindt taken ingedeeld op functiegebied en de minst bevoegde rol die nodig is om elke taak uit te voeren, samen met aanvullende niet-globale beheerdersrollen die de taak kunnen uitvoeren.
U kunt machtigingen verder beperken door rollen toe te wijzen aan kleinere bereiken of door zelf aangepaste rollen te maken. Zie Microsoft Entra-rollen toewijzen of Een aangepaste rol maken in Microsoft Entra IDvoor meer informatie.
Toepassingsproxy
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Toepassingsproxy-app configureren | Toepassingsbeheerder | |
| Eigenschappen van een connectorgroep configureren | Toepassingsbeheerder | |
| Toepassingsregistratie maken wanneer de mogelijkheid is uitgeschakeld voor alle gebruikers | Toepassingsontwikkelaar |
Beheerder van de cloudtoepassing Toepassingsbeheerder |
| Een connectorgroep maken | Toepassingsbeheerder | |
| Een connectorgroep verwijderen | Toepassingsbeheerder | |
| Toepassingsproxy uitschakelen | Toepassingsbeheerder | |
| Connectorservice downloaden | Toepassingsbeheerder | |
| Alle configuratie lezen | Toepassingsbeheerder |
Externe identiteiten/B2C
Notitie
Globale beheerders van Azure AD B2C hebben niet dezelfde machtigingen als globale beheerders van Microsoft Entra. Als u azure AD B2C-bevoegdheden voor globale beheerders hebt, moet u ervoor zorgen dat u zich in een Azure AD B2C-directory bevindt en niet in een Microsoft Entra-directory.
Huisstijl van bedrijf
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Bedrijfshuisstijl configureren | Huisstijlbeheerder van organisatie | |
| Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Verbinden
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Passthrough-verificatie | Hybride identiteitsbeheerder | |
| Alle configuratie lezen | Globale lezer | Hybride identiteitsbeheerder |
| Naadloze eenmalige aanmelding | Hybride identiteitsbeheerder |
Verbinding maken met synchronisatie
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| On-premises adreslijstsynchronisatie beheren | Hybride identiteitsbeheerder |
Cloudinrichting
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Passthrough-verificatie | Hybride identiteitsbeheerder | |
| Alle configuratie lezen | Globale lezer | Hybride identiteitsbeheerder |
| Naadloze eenmalige aanmelding | Hybride identiteitsbeheerder |
Connect Health
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Services toevoegen of verwijderen | Eigenaar | |
| Fixes toepassen op synchronisatiefouten | Inzender | Eigenaar |
| Meldingen configureren | Inzender | Eigenaar |
| Instellingen configureren | Eigenaar | |
| Synchronisatiemeldingen configureren | Inzender | Eigenaar |
| ADFS-beveiligingsrapporten lezen | Beveiligingslezer |
Inzender Eigenaar |
| Alle configuratie lezen | Lezer |
Inzender Eigenaar |
| Synchronisatiefouten lezen | Lezer |
Inzender Eigenaar |
| Synchronisatieservices lezen | Lezer |
Inzender Eigenaar |
| Metrische gegevens en waarschuwingen weergeven | Lezer |
Inzender Eigenaar |
| Metrische gegevens en waarschuwingen weergeven | Lezer |
Inzender Eigenaar |
| Metrische gegevens en waarschuwingen van de synchronisatieservice weergeven | Lezer |
Inzender Eigenaar |
Aangepaste domeinnamen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Domeinen beheren | Beheerder van domeinnamen | |
| Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
Domain Services
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Microsoft Entra Domain Services-exemplaar maken |
Toepassingsbeheerder Groepsbeheerder Inzender voor Domain Services |
|
| Alle Microsoft Entra Domain Services-taken uitvoeren | Groep AAD DC-beheerders | |
| Alle configuratie lezen | Lezer in Azure-abonnement met AD DS-service |
Apparaten
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Apparaat verwijderen | Cloudapparaatbeheerder | Intune-beheerder |
| Apparaat uitschakelen | Cloudapparaatbeheerder | Intune-beheerder |
| Apparaat inschakelen | Cloudapparaatbeheerder | Intune-beheerder |
| Basisconfiguratie lezen | Standaardgebruikersrol | |
| BitLocker-sleutels lezen | Cloudapparaatbeheerder |
Helpdeskbeheerder Intune-beheerder Beveiligingsbeheerder Beveiligingslezer |
Bedrijfstoepassingen
Rechtenbeheer
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Taken in Rechtenbeheer | Identity Governance Administrator-. Zie: Delegering en rollen in rechtenbeheervoor rollen die kleiner zijn dan dit in het rechtenbeheersysteem. |
Groepen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Licentie toewijzen | Gebruikersbeheerder | |
| Groep maken | Groepsbeheerder | Gebruikersbeheerder |
| Toegangsbeoordeling van een groep of app maken, bijwerken of verwijderen | Gebruikersbeheerder | |
| Verloopdatum van de groep beheren | Gebruikersbeheerder | |
| Groepsinstellingen beheren | Groepsbeheerder | Gebruikersbeheerder |
| Alle configuratie lezen (behalve verborgen lidmaatschap) | Adreslijstlezers | Standaardgebruikersrol |
| Verborgen lidmaatschappen lezen | Groepslid |
Groepseigenaar Wachtwoordbeheerder Exchange-beheerder SharePoint-beheerder Teams-beheerder Gebruikersbeheerder |
| Lidmaatschap van groepen met verborgen lidmaatschap lezen | Helpdeskbeheerder |
Gebruikersbeheerder Teams-beheerder |
| Licentie intrekken | Licentiebeheerder | Gebruikersbeheerder |
| Dynamische lidmaatschapsgroepen bijwerken | Groepseigenaar | Gebruikersbeheerder |
| Groepseigenaren bijwerken | Groepseigenaar | Gebruikersbeheerder |
| Groepseigenschappen bijwerken | Groepseigenaar | Gebruikersbeheerder |
| Groep verwijderen | Groepsbeheerder | Gebruikersbeheerder |
Licenties
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Licentie toewijzen | Licentiebeheerder | Gebruikersbeheerder |
| Alle configuratie lezen | Adreslijstlezers | Standaardgebruikersrol |
| Licentie intrekken | Licentiebeheerder | Gebruikersbeheerder |
| Abonnement uitproberen of kopen | Factureringsbeheerder |
Levenscycluswerkstromen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Een werkstroom maken | Levenscycluswerkstromen administrator | |
| Een aangepaste extensie toevoegen aan een werkstroom | Levenscycluswerkstromen administrator. U moet ook de logic app-inzender of eigenaar Azure Resource Manager-rol hebben. |
Microsoft Entra Health
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Scenariobewakingssignalen weergeven | Rapportlezer |
Beveiligingslezer Beveiligingsoperator Beveiligingsbeheerder Helpdeskbeheerder Globale lezer |
Microsoft Entra ID-beveiliging
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Waarschuwingsmeldingen configureren | Beveiligingsbeheerder | |
| Beleid voor meervoudige verificatie configureren en in- of uitschakelen | Beveiligingsbeheerder | |
| Beleid voor aanmeldingsrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
| Beleid voor gebruikersrisico's configureren en in- of uitschakelen | Beveiligingsbeheerder | |
| Wekelijkse verzamelingen configureren | Beveiligingsbeheerder | |
| Alle risicodetecties sluiten | Beveiligingsoperator | |
| Beveiligingsprobleem oplossen of sluiten | Beveiligingsbeheerder | |
| Alle configuratie lezen | Beveiligingslezer | |
| Alle risicodetecties lezen | Beveiligingslezer | |
| Beveiligingsproblemen lezen | Beveiligingslezer |
Bewaking en status - Audit- en aanmeldingslogboeken
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Auditlogboeken lezen | Rapportlezer |
Toepassingsbeheerder Beheerder van de cloudtoepassing Cloudapparaatbeheerder Globale beheerder voor beveiligde toegang Hybride identiteitsbeheerder Beveiligingsbeheerder Beveiligingsoperator Beveiligingslezer |
Bewaking en status - Logboeken inrichten
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Aanmeldingslogboeken lezen | Rapportlezer |
Toepassingsbeheerder Beheerder van de cloudtoepassing Cloudapparaatbeheerder Hybride identiteitsbeheerder Beveiligingsbeheerder Beveiligingsoperator Beveiligingslezer |
Bewaking en status - Aanbevelingen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Aanbevelingen lezen | Rapportlezer |
Beveiligingslezer Globale lezer Helpdeskbeheerder Serviceondersteuningsbeheerder Gebruikersbeheerder |
| Aanbevelingen bijwerken | Beheerder van verificatiebeleid |
Toepassingsbeheerder Verificatiebeheerder Beheerder van de cloudtoepassing Beheerder voor voorwaardelijke toegang Exchange-beheerder Hybride identiteitsbeheerder Identity Governance-beheerder Beheerder voor bevoorrechte rollen Beveiligingsbeheerder Beveiligingsoperator SharePoint-beheerder |
Meervoudige verificatie
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle bestaande app-wachtwoorden verwijderen die zijn gegenereerd door de geselecteerde gebruikers | Beheerder van verificatiebeleid | Verificatiebeheerder |
| Meervoudige verificatie per gebruiker uitschakelen | Verificatiebeheerder | Beheerder van bevoegde verificatie |
| MFA per gebruiker inschakelen | Verificatiebeheerder | Beheerder van bevoegde verificatie |
| Service-instellingen voor meervoudige verificatie beheren | Beheerder van verificatiebeleid | |
| Bepaalde gebruikers moeten opnieuw contactmethoden opgeven | Verificatiebeheerder | |
| Meervoudige verificatie herstellen op alle onthouden apparaten | Verificatiebeheerder |
MFA-server
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Gebruikers blokkeren/deblokkeren | Beheerder van verificatiebeleid | |
| Accountvergrendeling configureren | Beheerder van verificatiebeleid | |
| Cacheregels configureren | Beheerder van verificatiebeleid | |
| Fraudewaarschuwing configureren | Beheerder van verificatiebeleid | |
| Meldingen configureren | Beheerder van verificatiebeleid | |
| Eenmalige toegang configureren | Beheerder van verificatiebeleid | |
| Instellingen voor telefoongesprekken configureren | Beheerder van verificatiebeleid | |
| Providers configureren | Beheerder van verificatiebeleid | |
| Serverinstellingen configureren | Beheerder van verificatiebeleid | |
| Activiteitenrapporten lezen | Globale lezer | |
| Alle configuratie lezen | Globale lezer | |
| Serverstatus lezen | Globale lezer |
Organisatierelaties
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Id-providers beheren | Beheerder van externe id-provider | |
| Alle configuratie lezen | Globale lezer |
Wachtwoord opnieuw instellen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Verificatiemethoden configureren | Beheerder van verificatiebeleid | |
| Aanpassing configureren | Beheerder van verificatiebeleid | |
| Melding configureren | Beheerder van verificatiebeleid | |
| On-premises integratie configureren | Beheerder van verificatiebeleid | |
| Eigenschappen voor wachtwoord opnieuw instellen configureren | Gebruikersbeheerder | Beheerder van verificatiebeleid |
| Registratie configureren | Beheerder van verificatiebeleid | |
| Alle configuratie lezen | Beveiligingsbeheerder | Gebruikersbeheerder |
Machtigingenbeheer
Wat is Microsoft Entra-machtigingsbeheer
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Onboarding van tenants | Beheerder van machtigingenbeheer | |
| Cloudomgevingen onboarden | Beheerder van machtigingenbeheer | |
| Machtigingen toewijzen in Microsoft Entra-machtigingsbeheer | Beheerder van machtigingenbeheer | |
| Proefabonnement starten en Microsoft Entra-machtigingsbeheer licenties kopen | Factureringsbeheerder |
Privileged Identity Management
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Gebruikers toewijzen aan rollen | Beheerder voor bevoorrechte rollen | |
| Rolinstellingen configureren | Beheerder voor bevoorrechte rollen | |
| Controle-activiteit weergeven | Beveiligingslezer | |
| Rollidmaatschappen weergeven | Beveiligingslezer |
Rollen en beheerders
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Roltoewijzingen beheren | Beheerder voor bevoorrechte rollen | |
| Toegangsbeoordeling lezen van een Microsoft Entra-rol | Beveiligingslezer |
Beveiligingsbeheerder Beheerder voor bevoorrechte rollen |
| Alle configuratie lezen | Standaardgebruikersrol |
Beveiliging - Verificatiemethoden
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Verificatiemethoden in- of uitschakelen | Beheerder van verificatiebeleid | |
| Afzonderlijke verificatiemethoden voor gebruikers weergeven, inrichten en beheren | Verificatiebeheerder | Beheerder van bevoegde verificatie |
| Wachtwoordbeveiliging configureren | Beveiligingsbeheerder | |
| Slimme vergrendeling configureren | Beveiligingsbeheerder | |
| Alle configuratie lezen | Globale lezer |
Beveiliging - Voorwaardelijke toegang
Beveiliging - Identiteitsbeveiligingsscore
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle configuratie lezen | Beveiligingslezer | Beveiligingsbeheerder |
| Beveiligingsscore lezen | Beveiligingslezer | Beveiligingsbeheerder |
| Gebeurtenisstatus bijwerken | Beveiligingsbeheerder |
Beveiliging - Riskante aanmeldingen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle configuratie lezen | Beveiligingslezer | |
| Riskante aanmeldingen lezen | Beveiligingslezer |
Beveiliging - Gebruikers voor wie wordt aangegeven dat ze risico lopen
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Alle gebeurtenissen sluiten | Beveiligingsbeheerder | |
| Alle configuratie lezen | Beveiligingslezer | |
| Gebruikers voor wie wordt aangegeven dat ze risico lopen, lezen | Beveiligingslezer |
Tijdelijke toegangspas
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Een tijdelijke toegangspas maken, verwijderen of weergeven voor beheerders of leden (behalve zichzelf) | Beheerder van bevoegde verificatie | |
| Een tijdelijke toegangspas maken, verwijderen of weergeven voor leden (behalve zichzelf) | Verificatiebeheerder | |
| De details van een tijdelijke toegangspas voor een gebruiker weergeven (zonder de code zelf te lezen) | Globale lezer | |
| Het beleid voor de verificatiemethode van de tijdelijke toegangspas configureren of bijwerken | Beheerder van verificatiebeleid |
Tenant
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Microsoft Entra-id of Azure AD B2C-tenant maken | Maker van tenant | |
| Eigenschappen van Microsoft Entra-tenant bijwerken | Factureringsbeheerder | |
| Privacyverklaring en contactpersoon beheren | Factureringsbeheerder |
Gebruikers
| Opdracht | Minst bevoorrechte rol | Aanvullende rollen |
|---|---|---|
| Gebruiker toevoegen aan directory-rol | Beheerder voor bevoorrechte rollen | |
| Gebruiker toevoegen aan groep | Gebruikersbeheerder | |
| Licentie toewijzen | Licentiebeheerder | Gebruikersbeheerder |
| Gastgebruiker maken | Gastnodiger | Gebruikersbeheerder |
| Uitnodiging voor gastgebruiker opnieuw instellen | Helpdeskbeheerder | Gebruikersbeheerder |
| Gebruiker maken | Gebruikersbeheerder | |
| Gebruikers verwijderen | Gebruikersbeheerder | |
| Vernieuwingstokens van beperkte beheerders ongeldig maken | Gebruikersbeheerder | |
| Vernieuwingstokens van niet-beheerders ongeldig maken | Helpdeskbeheerder | Gebruikersbeheerder |
| Vernieuwingstokens van bevoegde beheerders ongeldig maken | Beheerder van bevoegde verificatie | |
| Basisconfiguratie lezen | Standaardgebruikersrol | |
| Wachtwoord opnieuw instellen voor beperkte beheerders | Gebruikersbeheerder | |
| Wachtwoord van niet-beheerders opnieuw instellen | Wachtwoordbeheerder | Gebruikersbeheerder |
| Wachtwoord van bevoegde beheerders opnieuw instellen | Beheerder van bevoegde verificatie | |
| Licentie intrekken | Licentiebeheerder | Gebruikersbeheerder |
| Alle eigenschappen bijwerken, met uitzondering van User Principal Name | Gebruikersbeheerder | |
| On-premises synchronisatie ingeschakelde eigenschap bijwerken | Hybride identiteitsbeheerder | |
| User Principal Name bijwerken voor beperkte beheerders | Gebruikersbeheerder | |
| Eigenschap van User Principal Name bijwerken voor bevoegde beheerders | Beheerder van bevoegde verificatie | |
| Gebruikersinstellingen bijwerken - Standaardmachtigingen voor gebruikersrollen | Beheerder voor bevoorrechte rollen | |
| Gebruikersinstellingen bijwerken - Toegang voor gastgebruikers | Beheerder voor bevoorrechte rollen | |
| Gebruikersinstellingen bijwerken - Beheercentrum | Algemene beheerder | |
| Gebruikersinstellingen bijwerken - LinkedIn-accountverbindingen | Algemene beheerder | |
| Gebruikersinstellingen bijwerken - Gebruiker aangemeld houden weergeven | Algemene beheerder | |
| Verificatiemethoden bijwerken | Verificatiebeheerder | Beheerder van bevoegde verificatie |