Udostępnij za pośrednictwem

Role o najniższych uprawnieniach według zadania w usłudze Microsoft Entra ID

  • Artykuł

W tym artykule opisano najmniej uprzywilejowaną rolę, której należy użyć w przypadku kilku zadań w identyfikatorze Entra firmy Microsoft. Zadania uporządkowane według obszaru funkcji i najmniej uprzywilejowanej roli wymaganej do wykonania każdego zadania oraz dodatkowe role administratora niezwiązanego z administratorem globalnym, które mogą wykonywać zadanie.

Możesz dodatkowo ograniczyć uprawnienia, przypisując role w mniejszych zakresach lub tworząc własne role niestandardowe. Aby uzyskać więcej informacji, zobacz Assign Microsoft Entra roles or Create a custom role in Microsoft Entra ID.

Role serwera proxy aplikacji o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w serwera proxy aplikacji Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Konfigurowanie aplikacji serwera proxy aplikacji Administrator aplikacji
Konfigurowanie właściwości grupy łączników Administrator aplikacji
Tworzenie rejestracji aplikacji, gdy możliwość jest wyłączona dla wszystkich użytkowników Deweloper aplikacji Administrator aplikacji w chmurze
Administrator aplikacji
Tworzenie grupy łączników Administrator aplikacji
Usuwanie grupy łączników Administrator aplikacji
Wyłączanie serwera proxy aplikacji Administrator aplikacji
Pobieranie usługi łącznika Administrator aplikacji
Odczytywanie całej konfiguracji Administrator aplikacji

Tożsamości zewnętrzne/Role z najmniejszymi uprawnieniami usługi Azure AD B2C

Poniżej przedstawiono najmniej uprzywilejowane role, których należy używać podczas wykonywania zadań w usłudze Microsoft Entra External ID i azure Active Directory B2C.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Tworzenie katalogów usługi Azure AD B2C Wszyscy użytkownicy niebędący gośćmi
Tworzenie aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze Administrator aplikacji
Tworzenie, odczytywanie, aktualizowanie i usuwanie zasad B2C Administrator zasad IEF B2C
Tworzenie, odczytywanie, aktualizowanie i usuwanie dostawców tożsamości Administrator zewnętrznego dostawcy tożsamości
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływów użytkownika resetowania haseł Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływów użytkownika do edycji profilu Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływów użytkowników logowania Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie przepływu użytkownika rejestracji Administrator przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie atrybutów użytkownika Administrator atrybutu przepływu użytkownika identyfikatora zewnętrznego
Tworzenie, odczytywanie, aktualizowanie i usuwanie użytkowników Administrator użytkowników
Konfigurowanie ustawień współpracy zewnętrznej B2B — dostęp użytkowników-gości Administrator ról uprzywilejowanych
Konfigurowanie ustawień współpracy zewnętrznej B2B — ustawienia zapraszania gościa Osoba zapraszana gościa Administrator przepływu użytkownika identyfikatora zewnętrznego
Konfigurowanie ustawień współpracy zewnętrznej B2B — ustawienia opuszczania przez użytkownika zewnętrznego Administrator zewnętrznego dostawcy tożsamości
Konfigurowanie ustawień współpracy zewnętrznej B2B — ograniczenia współpracy Globalny administrator usługi
Odczytywanie całej konfiguracji Czytelnik globalny
Odczytywanie dzienników inspekcji B2C Czytelnik globalny

Uwaga

Administratorzy globalni usługi Azure AD B2C nie mają tych samych uprawnień co administratorzy globalni firmy Microsoft Entra. Jeśli masz uprawnienia administratora globalnego usługi Azure AD B2C, upewnij się, że jesteś w katalogu usługi Azure AD B2C, a nie w katalogu Microsoft Entra.

Marki firmy o najniższych uprzywilejowanych rolach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dotyczących znakowania firmowego w identyfikatorze Firmy Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Konfigurowanie oznaczenia marką firmy Administrator znakowania organizacyjnego
Odczytywanie całej konfiguracji Czytelnicy katalogów Domyślna rola użytkownika

Łączenie ról z najmniejszymi uprawnieniami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w programie Microsoft Entra Connect.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Uwierzytelnianie przekazywane Administrator tożsamości hybrydowej
Odczytywanie całej konfiguracji Czytelnik globalny Administrator tożsamości hybrydowej
Bezproblemowe logowanie jednokrotne Administrator tożsamości hybrydowej

Łączenie ról z najniższymi uprawnieniami synchronizacji

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w usłudze Microsoft Entra Connect Sync.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Zarządzanie synchronizacją katalogów lokalnych Administrator tożsamości hybrydowej

Aprowizowanie ról o najniższych uprawnieniach w chmurze

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań na potrzeby aprowizacji tożsamości w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Uwierzytelnianie przekazywane Administrator tożsamości hybrydowej
Odczytywanie całej konfiguracji Czytelnik globalny Administrator tożsamości hybrydowej
Bezproblemowe logowanie jednokrotne Administrator tożsamości hybrydowej

Łączenie ról o najniższych uprawnieniach w usłudze Health

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w programie Microsoft Entra Connect Health.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Dodawanie lub usuwanie usług Właściciel
Stosowanie poprawek do błędu synchronizacji Współautor Właściciel
Konfigurowanie powiadomień Współautor Właściciel
Konfigurowanie ustawień Właściciel
Konfigurowanie powiadomień synchronizacji Współautor Właściciel
Odczytywanie raportów zabezpieczeń usług AD FS Czytelnik zabezpieczeń Współautor
Właściciel
Odczytywanie całej konfiguracji Czytelnik Współautor
Właściciel
Błędy synchronizacji odczytu Czytelnik Współautor
Właściciel
Odczytywanie usług synchronizacji Czytelnik Współautor
Właściciel
Wyświetlanie metryk i alertów Czytelnik Współautor
Właściciel
Wyświetlanie metryk i alertów Czytelnik Współautor
Właściciel
Wyświetlanie metryk i alertów usługi synchronizacji Czytelnik Współautor
Właściciel

Niestandardowe nazwy domen o najmniejszych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla niestandardowych nazw domen w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Zarządzanie domenami Administrator nazwy domeny
Odczytywanie całej konfiguracji Czytelnicy katalogów Domyślna rola użytkownika

Role o najniższych uprawnieniach usług domenowych

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w usłudze Microsoft Entra Domain Services.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Tworzenie wystąpienia usług Microsoft Entra Domain Services Administrator aplikacji
Administrator grup
Współautor usług domenowych
Wykonywanie wszystkich zadań usługi Microsoft Entra Domain Services Grupa administratorzy kontrolera domeny usługi AAD
Odczytywanie całej konfiguracji Czytelnik w subskrypcji platformy Azure zawierającej usługę AD DS

Urządzenia z najmniej uprzywilejowanymi rolami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dotyczących tożsamości urządzenia w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Usuwanie urządzenia Administrator urządzeń w chmurze Intune Administrator
Wyłączanie urządzenia Administrator urządzeń w chmurze Intune Administrator
Włączanie urządzenia Administrator urządzeń w chmurze Intune Administrator
Przeczytaj podstawową konfigurację Domyślna rola użytkownika
Odczytywanie kluczy funkcji BitLocker Administrator urządzeń w chmurze Administrator pomocy technicznej
Intune Administrator
Administrator zabezpieczeń
Czytelnik zabezpieczeń

Aplikacje dla przedsiębiorstw z najmniejszymi uprawnieniami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań na potrzeby zarządzania aplikacjami w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Zgoda na wszystkie delegowane uprawnienia Administrator aplikacji w chmurze Administrator aplikacji
Zgoda na uprawnienia aplikacji, które nie obejmują programu Microsoft Graph Administrator aplikacji w chmurze Administrator aplikacji
Zgoda na uprawnienia aplikacji do programu Microsoft Graph Administrator ról uprzywilejowanych
Zgoda na dostęp do własnych danych przez aplikacje Domyślna rola użytkownika
Tworzenie aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze Administrator aplikacji
Zarządzanie serwer proxy aplikacji Administrator aplikacji
Przegląd dostępu do odczytu grupy lub aplikacji Czytelnik zabezpieczeń Administrator zabezpieczeń
Administrator użytkowników
Odczytywanie całej konfiguracji Domyślna rola użytkownika
Aktualizowanie przypisań aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze
Administrator aplikacji
Administrator użytkowników
Aktualizowanie właścicieli aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze
Administrator aplikacji
Aktualizowanie właściwości aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze
Administrator aplikacji
Aktualizowanie aprowizacji aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze
Administrator aplikacji
Aktualizowanie samoobsługi aplikacji dla przedsiębiorstw Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze
Administrator aplikacji
Aktualizowanie właściwości logowania jednokrotnego Właściciel aplikacji dla przedsiębiorstw Administrator aplikacji w chmurze
Administrator aplikacji
Tworzenie i modyfikowanie niestandardowych rozszerzeń uwierzytelniania Administrator rozszerzalności uwierzytelniania Administrator aplikacji

Zarządzanie uprawnieniami — role o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy używać podczas wykonywania zadań na potrzeby zarządzania upoważnieniami w usłudze Microsoft Entra ID Governance.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Zadania w zarządzaniu upoważnieniami Administrator ładu tożsamości. Aby uzyskać role mniejsze niż w systemie zarządzania upoważnieniami, zobacz: Delegowanie i role w zarządzaniu upoważnieniami.

Grupy z najmniej uprzywilejowanymi rolami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla grup w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Przypisywanie licencji Administrator użytkowników
Utwórz grupę Administrator grup Administrator użytkowników
Tworzenie, aktualizowanie lub usuwanie przeglądu dostępu grupy lub aplikacji Administrator użytkowników
Zarządzanie wygaśnięciem grupy Administrator użytkowników
Zarządzanie ustawieniami grup Administrator grup Administrator użytkowników
Odczytywanie całej konfiguracji (z wyjątkiem ukrytego członkostwa) Czytelnicy katalogów Domyślna rola użytkownika
Odczytywanie ukrytego członkostwa Członek grupy Właściciel grupy
Administrator haseł
Exchange Administrator
SharePoint Administrator
Teams Administrator
Administrator użytkowników
Odczytywanie członkostwa w grupach z ukrytym członkostwem Administrator pomocy technicznej Administrator użytkowników
Teams Administrator
Odwoływanie licencji Administrator licencji Administrator użytkowników
Aktualizowanie dynamicznych grup członkostwa Właściciel grupy Administrator użytkowników
Aktualizowanie właścicieli grup Właściciel grupy Administrator użytkowników
Aktualizowanie właściwości grupy Właściciel grupy Administrator użytkowników
Usuwanie grupy Administrator grup Administrator użytkowników

Licencje na role o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań na potrzeby licencjonowania Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Przypisywanie licencji Administrator licencji Administrator użytkowników
Odczytywanie całej konfiguracji Czytelnicy katalogów Domyślna rola użytkownika
Odwoływanie licencji Administrator licencji Administrator użytkowników
Wypróbuj lub kup subskrypcję Administrator rozliczeń

Role z najmniejszymi uprawnieniami cyklu życia

Poniżej przedstawiono najmniej uprzywilejowane role, których należy używać podczas wykonywania zadań dla przepływów pracy cyklu życia w usłudze Microsoft Entra ID Governance.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Tworzenie przepływu pracy Przepływy pracy cyklu życia
Dodawanie rozszerzenia niestandardowego do przepływu pracy Przepływy pracy cyklu życia administrator. Musisz również mieć rolę współautora aplikacji logiki lub właściciela usługi Azure Resource Manager.

Microsoft Entra Health najmniej uprzywilejowane role

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w usłudze monitorowanie usługi Microsoft Entra Health.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Wyświetlanie sygnałów monitorowania scenariusza Czytelnik raportów Czytelnik zabezpieczeń
Operator zabezpieczeń
Administrator zabezpieczeń
Administrator pomocy technicznej
Czytelnik globalny

Microsoft Entra ID Protection — role o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w usłudze Microsoft Entra ID Protection.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Konfigurowanie powiadomień o alertach Administrator zabezpieczeń
Konfigurowanie i włączanie lub wyłączanie zasad uwierzytelniania wieloskładnikowego Administrator zabezpieczeń
Konfigurowanie i włączanie i wyłączanie zasad ryzyka związanego z logowaniem Administrator zabezpieczeń
Konfigurowanie i włączanie i wyłączanie zasad ryzyka związanego z użytkownikiem Administrator zabezpieczeń
Konfigurowanie tygodniowych skrótów Administrator zabezpieczeń
Odrzucanie wszystkich wykryć ryzyka Operator zabezpieczeń
Naprawianie lub odrzucanie luki w zabezpieczeniach Administrator zabezpieczeń
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń
Odczytywanie wszystkich wykryć ryzyka Czytelnik zabezpieczeń
Odczytywanie luk w zabezpieczeniach Czytelnik zabezpieczeń

Monitorowanie i kondycja — inspekcja i logowanie dzienników z najmniej uprzywilejowanych ról

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań na potrzeby inspekcji i dzienników logowania w monitorowania firmy Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Odczytywanie dzienników inspekcji Czytelnik raportów Administrator aplikacji
Administrator aplikacji w chmurze
Administrator urządzeń w chmurze
Globalny administrator bezpiecznego dostępu
Administrator tożsamości hybrydowej
Administrator zabezpieczeń
Operator zabezpieczeń
Czytelnik zabezpieczeń

Monitorowanie i kondycja — aprowizowanie dzienników ról o najmniejszych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań na potrzeby aprowizacji dzienników w usłudze monitorowania firmy Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Odczytywanie dzienników logowania Czytelnik raportów Administrator aplikacji
Administrator aplikacji w chmurze
Administrator urządzeń w chmurze
Administrator tożsamości hybrydowej
Administrator zabezpieczeń
Operator zabezpieczeń
Czytelnik zabezpieczeń

Monitorowanie i kondycja — zalecenia dotyczące ról o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dotyczących zaleceń dotyczących tożsamości w monitorowania firmy Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Przeczytaj zalecenia Czytelnik raportów Czytelnik zabezpieczeń
Czytelnik globalny
Administrator pomocy technicznej
Administrator pomocy technicznej usługi
Administrator użytkowników
Aktualizowanie zaleceń Administrator zasad uwierzytelniania Administrator aplikacji
Administrator uwierzytelniania
Administrator aplikacji w chmurze
Administrator dostępu warunkowego
Exchange Administrator
Administrator tożsamości hybrydowej
Administrator ładu tożsamości
Administrator ról uprzywilejowanych
Administrator zabezpieczeń
Operator zabezpieczeń
SharePoint Administrator

Role o najniższych uprawnieniach uwierzytelniania wieloskładnikowego

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w uwierzytelniania firmy Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Usuwanie wszystkich istniejących haseł aplikacji wygenerowanych przez wybranych użytkowników Administrator zasad uwierzytelniania Administrator uwierzytelniania
Wyłączanie uwierzytelniania wieloskładnikowego dla użytkownika Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego
Włączanie uwierzytelniania wieloskładnikowego dla użytkownika Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego
Zarządzanie ustawieniami usługi MFA Administrator zasad uwierzytelniania
Wymaganie od wybranych użytkowników ponownego podania metod kontaktu Administrator uwierzytelniania
Przywracanie uwierzytelniania wieloskładnikowego na wszystkich zapamiętanych urządzeniach Administrator uwierzytelniania

Role najmniej uprzywilejowane serwera MFA

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w usłudze serwera MFA.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Zablokuj/odblokuj użytkowników Administrator zasad uwierzytelniania
Konfigurowanie blokady konta Administrator zasad uwierzytelniania
Konfigurowanie reguł buforowania Administrator zasad uwierzytelniania
Konfigurowanie alertu o oszustwie Administrator zasad uwierzytelniania
Konfigurowanie powiadomień Administrator zasad uwierzytelniania
Konfigurowanie jednorazowego obejścia Administrator zasad uwierzytelniania
Konfigurowanie ustawień połączeń telefonicznych Administrator zasad uwierzytelniania
Konfigurowanie dostawców Administrator zasad uwierzytelniania
Konfigurowanie ustawień serwera Administrator zasad uwierzytelniania
Odczyt raportu aktywności Czytelnik globalny
Odczytywanie całej konfiguracji Czytelnik globalny
Odczyt stanu serwera Czytelnik globalny

Relacje organizacyjne z najmniej uprzywilejowanymi rolami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla ustawień współpracy zewnętrznej w identyfikatorze zewnętrznym firmy Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Zarządzanie dostawcami tożsamości Administrator zewnętrznego dostawcy tożsamości
Odczytywanie całej konfiguracji Czytelnik globalny

Resetowanie haseł o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań na potrzeby resetowania hasła w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Konfigurowanie metod uwierzytelniania Administrator zasad uwierzytelniania
Konfigurowanie dostosowywania Administrator zasad uwierzytelniania
Konfigurowanie powiadomienia Administrator zasad uwierzytelniania
Konfigurowanie integracji lokalnej Administrator zasad uwierzytelniania
Konfigurowanie właściwości resetowania hasła Administrator użytkowników Administrator zasad uwierzytelniania
Konfigurowanie rejestracji Administrator zasad uwierzytelniania
Odczytywanie całej konfiguracji Administrator zabezpieczeń Administrator użytkowników

Uprawnienia do zarządzania rolami o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań w usłudze Microsoft Entra Permissions Management.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Dołączanie dzierżawy Administrator zarządzania uprawnieniami
Dołączanie środowisk w chmurze Administrator zarządzania uprawnieniami
Przypisywanie uprawnień w Zarządzanie uprawnieniami Microsoft Entra Administrator zarządzania uprawnieniami
Rozpocznij wersję próbną i kup licencje Zarządzanie uprawnieniami Microsoft Entra Administrator rozliczeń

Role uprzywilejowane usługi Privileged Identity Management o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla usługi Microsoft Entra Privileged Identity Management w usłudze Microsoft Entra ID Governance.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Przypisywanie użytkowników do ról Administrator ról uprzywilejowanych
Konfigurowanie ustawień roli Administrator ról uprzywilejowanych
Wyświetlanie działania inspekcji Czytelnik zabezpieczeń
Wyświetlanie członkostwa w rolach Czytelnik zabezpieczeń

Role i administratorzy z najmniejszymi uprawnieniami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla ról i administratorów w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Zarządzanie przypisaniami ról Administrator ról uprzywilejowanych
Przegląd dostępu do odczytu roli Entra firmy Microsoft Czytelnik zabezpieczeń Administrator zabezpieczeń
Administrator ról uprzywilejowanych
Odczytywanie całej konfiguracji Domyślna rola użytkownika

Zabezpieczenia — metody uwierzytelniania z najmniej uprzywilejowanych ról

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla metod uwierzytelniania w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Włączanie lub wyłączanie metod uwierzytelniania Administrator zasad uwierzytelniania
Wyświetlanie, aprowizuj w imieniu użytkownika i zarządzaj poszczególnymi metodami uwierzytelniania użytkowników Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego
Konfigurowanie ochrony haseł Administrator zabezpieczeń
Konfigurowanie inteligentnej blokady Administrator zabezpieczeń
Odczytywanie całej konfiguracji Czytelnik globalny

Zabezpieczenia — role z najmniej uprzywilejowanym dostępem warunkowym

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla dostępu warunkowego w identyfikatorze Firmy Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Konfigurowanie zaufanych adresów IP usługi MFA Administrator dostępu warunkowego
Tworzenie kontrolek niestandardowych Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie nazwanych lokalizacji Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie zasad Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie warunków użytkowania Administrator dostępu warunkowego Administrator zabezpieczeń
Tworzenie certyfikatu łączności sieci VPN Administrator aplikacji w chmurze Administrator aplikacji
Usuwanie zasad klasycznych Administrator dostępu warunkowego Administrator zabezpieczeń
Usuwanie warunków użytkowania Administrator dostępu warunkowego Administrator zabezpieczeń
Usuwanie certyfikatu łączności sieci VPN Administrator dostępu warunkowego Administrator zabezpieczeń
Wyłączanie zasad klasycznych Administrator dostępu warunkowego Administrator zabezpieczeń
Zarządzanie kontrolkami niestandardowymi Administrator dostępu warunkowego Administrator zabezpieczeń
Zarządzanie nazwami lokalizacjami Administrator dostępu warunkowego Administrator zabezpieczeń
Zarządzanie warunkami użytkowania Administrator dostępu warunkowego Administrator zabezpieczeń
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń
Odczytywanie nazwanych lokalizacji Czytelnik zabezpieczeń
Przeczytaj warunki użytkowania Czytelnik zabezpieczeń Czytelnik globalny
Przeczytaj, które warunki użytkowania zostały zaakceptowane przez zalogowanego użytkownika Domyślna rola użytkownika

Zabezpieczenia — role z najniższymi uprawnieniami oceny zabezpieczeń tożsamości

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla Wskaźnik bezpieczeństwa tożsamości w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń Administrator zabezpieczeń
Odczyt oceny zabezpieczeń Czytelnik zabezpieczeń Administrator zabezpieczeń
Aktualizowanie stanu zdarzenia Administrator zabezpieczeń

Zabezpieczenia — ryzykowne logowania najmniej uprzywilejowane role

Poniżej przedstawiono najmniej uprzywilejowane role, których należy używać podczas wykonywania zadań na potrzeby ryzykownych logów w usłudze Microsoft Entra ID Protection.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń
Odczytywanie ryzykownych logów Czytelnik zabezpieczeń

Zabezpieczenia — użytkownicy oflagowani w przypadku ról o najmniejszych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla użytkowników oflagowanych w przypadku ryzyka w usłudze Microsoft Entra ID Protection.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Odrzucanie wszystkich zdarzeń. Administrator zabezpieczeń
Odczytywanie całej konfiguracji Czytelnik zabezpieczeń
Odczytywanie użytkowników oflagowanych pod kątem ryzyka Czytelnik zabezpieczeń

Dostęp tymczasowy — przekazywanie ról z najniższymi uprawnieniami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla tymczasowego dostępu w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Tworzenie, usuwanie lub wyświetlanie tymczasowego dostępu dla administratorów lub członków (z wyjątkiem siebie) Administrator uwierzytelniania uprzywilejowanego
Tworzenie, usuwanie lub wyświetlanie tymczasowego dostępu dla członków (z wyjątkiem siebie) Administrator uwierzytelniania
Wyświetlanie szczegółów dostępu tymczasowego dla użytkownika (bez odczytywania samego kodu) Czytelnik globalny
Konfigurowanie lub aktualizowanie zasad metody uwierzytelniania dostępu tymczasowego dostępu przekazywanego Administrator zasad uwierzytelniania

Dzierżawy z najmniej uprzywilejowanymi rolami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy używać podczas wykonywania zadań w dzierżawach usługi Microsoft Entra.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Tworzenie identyfikatora entra firmy Microsoft lub dzierżawy usługi Azure AD B2C Twórca dzierżawy
Aktualizowanie właściwości dzierżawy firmy Microsoft Entra Administrator rozliczeń
Zarządzanie zasadami zachowania poufności informacji i kontaktami Administrator rozliczeń

Użytkownicy z najmniejszymi uprawnieniami

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań dla użytkowników w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Dodawanie użytkownika do roli katalogu Administrator ról uprzywilejowanych
Dodawanie użytkownika do grupy Administrator użytkowników
Przypisywanie licencji Administrator licencji Administrator użytkowników
Tworzenie użytkownika-gościa Osoba zapraszana gościa Administrator użytkowników
Resetowanie zaproszenia użytkownika-gościa Administrator pomocy technicznej Administrator użytkowników
Utwórz użytkownika Administrator użytkowników
Usuwanie użytkowników Administrator użytkowników
Unieważnianie tokenów odświeżania ograniczonych administratorów Administrator użytkowników
Unieważnianie tokenów odświeżania innych niż administratorzy Administrator pomocy technicznej Administrator użytkowników
Unieważnianie tokenów odświeżania uprzywilejowanych administratorów Administrator uwierzytelniania uprzywilejowanego
Przeczytaj podstawową konfigurację Domyślna rola użytkownika
Resetowanie hasła dla ograniczonych administratorów Administrator użytkowników
Resetowanie hasła osób niebędących administratorami Administrator haseł Administrator użytkowników
Resetowanie hasła uprzywilejowanych administratorów Administrator uwierzytelniania uprzywilejowanego
Odwoływanie licencji Administrator licencji Administrator użytkowników
Aktualizowanie wszystkich właściwości z wyjątkiem głównej nazwy użytkownika Administrator użytkowników
Aktualizowanie właściwości włączonej synchronizacji lokalnej Administrator tożsamości hybrydowej
Aktualizowanie głównej nazwy użytkownika dla ograniczonych administratorów Administrator użytkowników
Aktualizowanie właściwości Główna nazwa użytkownika dla administratorów uprzywilejowanych Administrator uwierzytelniania uprzywilejowanego
Aktualizowanie ustawień użytkownika — domyślne uprawnienia roli użytkownika Administrator ról uprzywilejowanych
Aktualizowanie ustawień użytkownika — dostęp użytkownika-gościa Administrator ról uprzywilejowanych
Aktualizowanie ustawień użytkownika — Centrum administracyjne Globalny administrator usługi
Aktualizowanie ustawień użytkownika — połączenia konta serwisu LinkedIn Globalny administrator usługi
Aktualizowanie ustawień użytkownika — pokaż, aby użytkownik był zalogowany Globalny administrator usługi
Aktualizowanie metod uwierzytelniania Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego

Obsługa ról o najniższych uprawnieniach

Poniżej przedstawiono najmniej uprzywilejowane role, których należy użyć podczas wykonywania zadań na potrzeby obsługi w identyfikatorze Entra firmy Microsoft.

Zadanie Najmniej uprzywilejowana rola Role dodatkowe
Przesyłanie biletu pomocy technicznej Administrator pomocy technicznej usługi Administrator aplikacji
Azure Information Protection Administrator
Administrator rozliczeń
Administrator aplikacji w chmurze
Administrator zgodności
Dynamics 365 Administrator
Desktop Analytics Administrator
Exchange Administrator
Intune Administrator
Administrator haseł
Administrator sieci szkieletowej
Administrator uwierzytelniania uprzywilejowanego
SharePoint Administrator
administrator Skype dla firm
Teams Administrator
Administrator komunikacji usługi Teams
Administrator użytkowników

Następne kroki