Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID
В этой статье вы можете найти сведения, необходимые для ограничения разрешений администратора пользователя, назначив наименее привилегированные роли в идентификаторе Microsoft Entra ID. Здесь вы найдете задачи, упорядоченные по функциональным областям с указанием наименее привилегированных ролей для выполнения каждой из задач и дополнительных ролей без прав глобального администратора, которые могут выполнять эти задачи.
Вы можете дополнительно ограничить разрешения, назначив роли с более узкими областями или создав собственные настраиваемые роли. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в разных областях или создание и назначение настраиваемой роли в идентификаторе Microsoft Entra.
Прокси приложения
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка приложения прокси приложений | Администратор приложений | |
Настройка свойств группы соединителей | Администратор приложений | |
Создание регистрации приложения, когда эта возможность отключена для всех пользователей | Разработчик приложений | Администратор облачных приложений Администратор приложений |
Создание группы соединителей | Администратор приложений | |
Удаление группы соединителей | Администратор приложений | |
Disable application proxy (Отключение прокси приложения) | Администратор приложений | |
Скачивание службы соединителя | Администратор приложений | |
Чтение всех конфигураций | Администратор приложений |
Внешние удостоверения / B2C
Примечание.
Глобальные администраторы Azure AD B2C не имеют одинаковых разрешений, что и глобальные администраторы Microsoft Entra. Если у вас есть права глобального администратора Azure AD B2C, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra.
Корпоративная фирменная символика
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка корпоративной фирменной символики | Администратор фирменной символики организации | |
Чтение всех конфигураций | Читатели каталогов | Роль пользователя по умолчанию |
Connect
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Сквозная проверка подлинности | Администратор гибридных удостоверений | |
Чтение всех конфигураций | Глобальный читатель | Администратор гибридных удостоверений |
Бесшовный единый вход | Администратор гибридных удостоверений |
Connect
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление синхронизацией локальных каталогов | Администратор гибридных удостоверений |
Облачная подготовка
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Сквозная проверка подлинности | Администратор гибридных удостоверений | |
Чтение всех конфигураций | Глобальный читатель | Администратор гибридных удостоверений |
Бесшовный единый вход | Администратор гибридных удостоверений |
Connect Health
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Добавление или удаление служб | Ответственное лицо | |
Примените исправлений к ошибкам синхронизации | Участник | Ответственное лицо |
Настройка уведомлений | Участник | Ответственное лицо |
Настройка параметров | Ответственное лицо | |
Настройка уведомлений синхронизации | Участник | Ответственное лицо |
Чтение отчетов безопасности ADFS | читатель сведений о безопасности; | Участник Ответственное лицо |
Чтение всех конфигураций | Читатель | Участник Ответственное лицо |
Чтение ошибок синхронизации | Читатель | Участник Ответственное лицо |
Чтение служб синхронизации | Читатель | Участник Ответственное лицо |
Просмотр оповещений и метрик | Читатель | Участник Ответственное лицо |
Просмотр оповещений и метрик | Читатель | Участник Ответственное лицо |
Просмотр метрик и оповещений службы синхронизации | Читатель | Участник Ответственное лицо |
Личные доменные имена
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление доменами | Администратор доменного имени | |
Чтение всех конфигураций | Читатели каталогов | Роль пользователя по умолчанию |
Доменные службы
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Создание экземпляра доменных служб Microsoft Entra | Администратор приложений Администратор групп Участник доменных служб |
|
Выполнение всех задач доменных служб Microsoft Entra | Группа администраторов AAD DC | |
Чтение всех конфигураций | Читатель для подписки Azure, которая содержит службу AD DS |
.
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Удаление устройства | Администратор облачных устройств | Администратор Intune |
Отключение устройства | Администратор облачных устройств | Администратор Intune |
Включение устройства | Администратор облачных устройств | Администратор Intune |
Чтение базовой конфигурации | Роль пользователя по умолчанию | |
Чтение ключей BitLocker | Администратор облачных устройств | Администратор службы технической поддержки Администратор Intune администратор безопасности; читатель сведений о безопасности; |
Корпоративные приложения
Управление правами
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Добавить ресурсы в каталог | Администратор управления удостоверениями | С помощью управления правами можно делегировать эту задачу владельцу каталога. |
Добавление сайтов SharePoint Online в каталог | Администратор SharePoint |
Группы
Лицензии
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Назначение лицензии | Администратор лицензий | Администратор пользователей |
Чтение всех конфигураций | Читатели каталогов | Роль пользователя по умолчанию |
Отмена лицензии | Администратор лицензий | Администратор пользователей |
Тестирование или приобретение подписки | Администратор выставления счетов |
Microsoft Entra Health
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Просмотр сигналов мониторинга сценария | Читатель отчетов | читатель сведений о безопасности; Оператор безопасности администратор безопасности; Администратор службы технической поддержки Глобальный читатель |
Защита идентификации Microsoft Entra
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка уведомлений об оповещениях | администратор безопасности; | |
Настройка и включение (или отключение) политики MFA | администратор безопасности; | |
Настройка и включение (или отключение) политики риска при входе | администратор безопасности; | |
Настройка и включение (или отключение) политики риска пользователя | администратор безопасности; | |
Настройка еженедельных дайджестов | администратор безопасности; | |
Удаление всех данных обнаружения риска | администратор безопасности; | |
Устранение или отклонение уязвимостей | администратор безопасности; | |
Чтение всех конфигураций | читатель сведений о безопасности; | |
Чтение всех данных обнаружения риска | читатель сведений о безопасности; | |
Чтение уязвимостей | читатель сведений о безопасности; |
Мониторинг и работоспособности — журналы аудита и входа
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение журналов аудита | Читатель отчетов | Администратор приложений Администратор облачных приложений Администратор облачных устройств Глобальный администратор безопасного доступа Администратор гибридных удостоверений администратор безопасности; Оператор безопасности читатель сведений о безопасности; |
Мониторинг и работоспособности — журналы подготовки
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение журналов входа | Читатель отчетов | Администратор приложений Администратор облачных приложений Администратор облачных устройств Администратор гибридных удостоверений администратор безопасности; Оператор безопасности читатель сведений о безопасности; |
Мониторинг и работоспособности — рекомендации
Многофакторная проверка подлинности
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Удаление всех существующих паролей приложений, созданных выбранными пользователями | Администратор политики проверки подлинности | Администратор проверки подлинности |
Отключите многофакторную проверку подлинности, заданную для каждого пользователя | Администратор проверки подлинности | Привилегированный администратор проверки подлинности |
Включение MFA для каждого пользователя | Администратор проверки подлинности | Привилегированный администратор проверки подлинности |
Управление параметрами службы MFA | Администратор политики проверки подлинности | |
Требовать у выбранных пользователей сообщать о способах связи еще раз | Администратор проверки подлинности | |
Восстановление многофакторной проверки подлинности на всех запоминаемых устройствах | Администратор проверки подлинности |
Сервер MFA
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Блокировка и разблокировка пользователей | Администратор политики проверки подлинности | |
Настройка блокировки учетной записи | Администратор политики проверки подлинности | |
Настройка правил кэширования | Администратор политики проверки подлинности | |
Настройка предупреждения о мошенничестве | Администратор политики проверки подлинности | |
Настройка уведомлений | Администратор политики проверки подлинности | |
Настройка одноразового обхода проверки | Администратор политики проверки подлинности | |
Настройка параметров телефонного звонка | Администратор политики проверки подлинности | |
Настройка поставщиков | Администратор политики проверки подлинности | |
Настройка параметров сервера | Администратор политики проверки подлинности | |
Чтение отчета об активности | Глобальный читатель | |
Чтение всех конфигураций | Глобальный читатель | |
Чтение состояния сервера | Глобальный читатель |
Организационные связи
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление поставщиками удостоверений | Администратор внешнего поставщика удостоверений | |
Чтение всех конфигураций | Глобальный читатель |
Сброс пароля
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка методов проверки подлинности | Администратор политики проверки подлинности | |
Настройка параметров настройки | Администратор политики проверки подлинности | |
Настройка уведомлений | Администратор политики проверки подлинности | |
Настройка интеграции с локальной средой | Администратор политики проверки подлинности | |
Настройка свойств сброса паролей | Администратор пользователей | Администратор политики проверки подлинности |
Настройка регистрации | Администратор политики проверки подлинности | |
Чтение всех конфигураций | администратор безопасности; | Администратор пользователей |
Управление разрешениями
Что такое Управление разрешениями Microsoft Entra
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Подключение клиента | Администратор управления разрешениями | |
Подключение облачных сред | Администратор управления разрешениями | |
Назначение разрешений в Управление разрешениями Microsoft Entra | Администратор управления разрешениями | |
Запуск пробной версии и покупка лицензий Управление разрешениями Microsoft Entra | Администратор выставления счетов |
Управление привилегированными пользователями
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Назначение пользователей ролям | Администратор привилегированных ролей | |
Настройка параметров роли | Администратор привилегированных ролей | |
Просмотр действия аудита | читатель сведений о безопасности; | |
Просмотр членств в роли | читатель сведений о безопасности; |
Роли и администраторы
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление назначением ролей | Администратор привилегированных ролей | |
Проверка доступа на чтение роли Microsoft Entra | читатель сведений о безопасности; | администратор безопасности; Администратор привилегированных ролей |
Чтение всех конфигураций | Роль пользователя по умолчанию |
Безопасность — методы проверки подлинности
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Включение или отключение методов проверки подлинности | Администратор политики проверки подлинности | |
Просмотр, подготовка от имени и управление отдельными методами проверки подлинности пользователей | Администратор проверки подлинности | Привилегированный администратор проверки подлинности |
Настройка защиты паролем | администратор безопасности; | |
Настройка смарт-блокировки | администратор безопасности; | |
Чтение всех конфигураций | Глобальный читатель |
Безопасность — условный доступ
Безопасность — оценка безопасности удостоверений
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение всех конфигураций | читатель сведений о безопасности; | администратор безопасности; |
Чтение оценки безопасности | читатель сведений о безопасности; | администратор безопасности; |
Обновление состояния события | администратор безопасности; |
Безопасность — рискованные входы
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение всех конфигураций | читатель сведений о безопасности; | |
Чтение данных о рискованных входах | читатель сведений о безопасности; |
Безопасность — пользователи, находящиеся в группе риска
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Отклонение всех событий. | администратор безопасности; | |
Чтение всех конфигураций | читатель сведений о безопасности; | |
Чтение данных о пользователях, находящихся в группе риска | читатель сведений о безопасности; |
Временный секретный код
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Создание, удаление или просмотр Временного секретного кода для администраторов или членов (за исключением самих себя). | Привилегированный администратор проверки подлинности | |
Создание, удаление или просмотр Временного секретного кода для членов (за исключением самих себя). | Администратор проверки подлинности | |
Просмотр сведений о Временном секретном коде для пользователя (без чтения самого кода). | Глобальный читатель | |
Настройка или изменение политики метода проверки подлинности с помощью Временного секретного кода. | Администратор политики проверки подлинности |
Клиент
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Создание идентификатора Microsoft Entra или клиента Azure AD B2C | Создатель клиента | |
Обновление свойств клиента Microsoft Entra | Администратор выставления счетов | |
Управление заявлением о конфиденциальности и контактом | Администратор выставления счетов |