Поделиться через


Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID

В этой статье вы можете найти сведения, необходимые для ограничения разрешений администратора пользователя, назначив наименее привилегированные роли в идентификаторе Microsoft Entra ID. Здесь вы найдете задачи, упорядоченные по функциональным областям с указанием наименее привилегированных ролей для выполнения каждой из задач и дополнительных ролей без прав глобального администратора, которые могут выполнять эти задачи.

Вы можете дополнительно ограничить разрешения, назначив роли с более узкими областями или создав собственные настраиваемые роли. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в разных областях или создание и назначение настраиваемой роли в идентификаторе Microsoft Entra.

Прокси приложения

Задача Наименее привилегированная роль Дополнительные роли
Настройка приложения прокси приложений Администратор приложений
Настройка свойств группы соединителей Администратор приложений
Создание регистрации приложения, когда эта возможность отключена для всех пользователей Разработчик приложений Администратор облачных приложений
Администратор приложений
Создание группы соединителей Администратор приложений
Удаление группы соединителей Администратор приложений
Disable application proxy (Отключение прокси приложения) Администратор приложений
Скачивание службы соединителя Администратор приложений
Чтение всех конфигураций Администратор приложений

Внешние удостоверения / B2C

Задача Наименее привилегированная роль Дополнительные роли
Создание каталогов Azure AD B2C Все пользователи, не являющиеся гостевыми
Создание корпоративных приложений Администратор облачных приложений Администратор приложений
Создание, чтение, изменение и удаление политик B2C Администратор политики IEF B2C
Создание, чтение, изменение и удаление поставщиков удостоверений Администратор внешнего поставщика удостоверений
Создание, чтение, изменение и удаление маршрутов пользователей для сброса пароля Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для редактирования профиля Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для входа Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для регистрации Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление атрибутов пользователей Администратор атрибута внешнего потока идентификатора
Создание, чтение, изменение и удаление пользователей Администратор пользователей
Настройка параметров внешней совместной работы B2B — гостевой доступ пользователей Администратор привилегированных ролей
Настройка параметров внешней совместной работы B2B — параметры приглашения гостей Приглашающий гостей Администратор потока внешних идентификаторов
Настройка параметров внешней совместной работы B2B — параметры выхода внешнего пользователя Администратор внешнего поставщика удостоверений
Настройка параметров внешней совместной работы B2B — ограничения для совместной работы Глобальный администратор
Чтение всех конфигураций Глобальный читатель
Чтение журналов аудита B2C Глобальный читатель

Примечание.

Глобальные администраторы Azure AD B2C не имеют одинаковых разрешений, что и глобальные администраторы Microsoft Entra. Если у вас есть права глобального администратора Azure AD B2C, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra.

Корпоративная фирменная символика

Задача Наименее привилегированная роль Дополнительные роли
Настройка корпоративной фирменной символики Администратор фирменной символики организации
Чтение всех конфигураций Читатели каталогов Роль пользователя по умолчанию

Connect

Задача Наименее привилегированная роль Дополнительные роли
Сквозная проверка подлинности Администратор гибридных удостоверений
Чтение всех конфигураций Глобальный читатель Администратор гибридных удостоверений
Бесшовный единый вход Администратор гибридных удостоверений

Connect

Задача Наименее привилегированная роль Дополнительные роли
Управление синхронизацией локальных каталогов Администратор гибридных удостоверений

Облачная подготовка

Задача Наименее привилегированная роль Дополнительные роли
Сквозная проверка подлинности Администратор гибридных удостоверений
Чтение всех конфигураций Глобальный читатель Администратор гибридных удостоверений
Бесшовный единый вход Администратор гибридных удостоверений

Connect Health

Задача Наименее привилегированная роль Дополнительные роли
Добавление или удаление служб Ответственное лицо
Примените исправлений к ошибкам синхронизации Участник Ответственное лицо
Настройка уведомлений Участник Ответственное лицо
Настройка параметров Ответственное лицо
Настройка уведомлений синхронизации Участник Ответственное лицо
Чтение отчетов безопасности ADFS читатель сведений о безопасности; Участник
Ответственное лицо
Чтение всех конфигураций Читатель Участник
Ответственное лицо
Чтение ошибок синхронизации Читатель Участник
Ответственное лицо
Чтение служб синхронизации Читатель Участник
Ответственное лицо
Просмотр оповещений и метрик Читатель Участник
Ответственное лицо
Просмотр оповещений и метрик Читатель Участник
Ответственное лицо
Просмотр метрик и оповещений службы синхронизации Читатель Участник
Ответственное лицо

Личные доменные имена

Задача Наименее привилегированная роль Дополнительные роли
Управление доменами Администратор доменного имени
Чтение всех конфигураций Читатели каталогов Роль пользователя по умолчанию

Доменные службы

Задача Наименее привилегированная роль Дополнительные роли
Создание экземпляра доменных служб Microsoft Entra Администратор приложений
Администратор групп
Участник доменных служб
Выполнение всех задач доменных служб Microsoft Entra Группа администраторов AAD DC
Чтение всех конфигураций Читатель для подписки Azure, которая содержит службу AD DS

.

Корпоративные приложения

Задача Наименее привилегированная роль Дополнительные роли
Согласие на любые делегированные разрешения Администратор облачных приложений Администратор приложений
Согласие на разрешения приложений, исключая Microsoft Graph Администратор облачных приложений Администратор приложений
Согласие на разрешения приложений в Microsoft Graph Администратор привилегированных ролей
Согласие на доступ приложений к собственным данным Роль пользователя по умолчанию
Создание корпоративных приложений Администратор облачных приложений Администратор приложений
Управление прокси приложения Администратор приложений
Чтение проверок доступа для группы или приложения читатель сведений о безопасности; администратор безопасности;
Администратор пользователей
Чтение всех конфигураций Роль пользователя по умолчанию
Обновление назначений корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Администратор пользователей
Обновление владельцев корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление свойств корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление параметров подготовки корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление параметров самообслуживания для корпоративного приложения Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Обновление свойств единого входа Владелец корпоративного приложения Администратор облачных приложений
Администратор приложений
Создание и изменение пользовательских расширений проверки подлинности Администратор расширения проверки подлинности Администратор приложений

Управление правами

Задача Наименее привилегированная роль Дополнительные роли
Добавить ресурсы в каталог Администратор управления удостоверениями С помощью управления правами можно делегировать эту задачу владельцу каталога.
Добавление сайтов SharePoint Online в каталог Администратор SharePoint

Группы

Задача Наименее привилегированная роль Дополнительные роли
Назначение лицензии Администратор пользователей
Создать группу Администратор групп Администратор пользователей
Создание, изменение и удаление проверок доступа для группы или приложения Администратор пользователей
Управление сроком действия группы Администратор пользователей
Управление параметрами группы Администратор групп Администратор пользователей
Чтение всех конфигураций (за исключением скрытых членств) Читатели каталогов Роль пользователя по умолчанию
Чтение скрытых членств Член группы Владелец группы
Администратор паролей
Администратор Exchange
Администратор SharePoint
Администратор Teams
Администратор пользователей
Чтение данных о членстве в группах со скрытым членством Администратор службы технической поддержки Администратор пользователей
Администратор Teams
Отмена лицензии Администратор лицензий Администратор пользователей
Обновление динамических групп членства Владелец группы Администратор пользователей
Обновление владельцев группы Владелец группы Администратор пользователей
Обновление свойств группы Владелец группы Администратор пользователей
Удалить группу Администратор групп Администратор пользователей

Лицензии

Задача Наименее привилегированная роль Дополнительные роли
Назначение лицензии Администратор лицензий Администратор пользователей
Чтение всех конфигураций Читатели каталогов Роль пользователя по умолчанию
Отмена лицензии Администратор лицензий Администратор пользователей
Тестирование или приобретение подписки Администратор выставления счетов

Microsoft Entra Health

Защита идентификации Microsoft Entra

Задача Наименее привилегированная роль Дополнительные роли
Настройка уведомлений об оповещениях администратор безопасности;
Настройка и включение (или отключение) политики MFA администратор безопасности;
Настройка и включение (или отключение) политики риска при входе администратор безопасности;
Настройка и включение (или отключение) политики риска пользователя администратор безопасности;
Настройка еженедельных дайджестов администратор безопасности;
Удаление всех данных обнаружения риска администратор безопасности;
Устранение или отклонение уязвимостей администратор безопасности;
Чтение всех конфигураций читатель сведений о безопасности;
Чтение всех данных обнаружения риска читатель сведений о безопасности;
Чтение уязвимостей читатель сведений о безопасности;

Мониторинг и работоспособности — журналы аудита и входа

Мониторинг и работоспособности — журналы подготовки

Мониторинг и работоспособности — рекомендации

Многофакторная проверка подлинности

Задача Наименее привилегированная роль Дополнительные роли
Удаление всех существующих паролей приложений, созданных выбранными пользователями Администратор политики проверки подлинности Администратор проверки подлинности
Отключите многофакторную проверку подлинности, заданную для каждого пользователя Администратор проверки подлинности Привилегированный администратор проверки подлинности
Включение MFA для каждого пользователя Администратор проверки подлинности Привилегированный администратор проверки подлинности
Управление параметрами службы MFA Администратор политики проверки подлинности
Требовать у выбранных пользователей сообщать о способах связи еще раз Администратор проверки подлинности
Восстановление многофакторной проверки подлинности на всех запоминаемых устройствах Администратор проверки подлинности

Сервер MFA

Задача Наименее привилегированная роль Дополнительные роли
Блокировка и разблокировка пользователей Администратор политики проверки подлинности
Настройка блокировки учетной записи Администратор политики проверки подлинности
Настройка правил кэширования Администратор политики проверки подлинности
Настройка предупреждения о мошенничестве Администратор политики проверки подлинности
Настройка уведомлений Администратор политики проверки подлинности
Настройка одноразового обхода проверки Администратор политики проверки подлинности
Настройка параметров телефонного звонка Администратор политики проверки подлинности
Настройка поставщиков Администратор политики проверки подлинности
Настройка параметров сервера Администратор политики проверки подлинности
Чтение отчета об активности Глобальный читатель
Чтение всех конфигураций Глобальный читатель
Чтение состояния сервера Глобальный читатель

Организационные связи

Задача Наименее привилегированная роль Дополнительные роли
Управление поставщиками удостоверений Администратор внешнего поставщика удостоверений
Чтение всех конфигураций Глобальный читатель

Сброс пароля

Задача Наименее привилегированная роль Дополнительные роли
Настройка методов проверки подлинности Администратор политики проверки подлинности
Настройка параметров настройки Администратор политики проверки подлинности
Настройка уведомлений Администратор политики проверки подлинности
Настройка интеграции с локальной средой Администратор политики проверки подлинности
Настройка свойств сброса паролей Администратор пользователей Администратор политики проверки подлинности
Настройка регистрации Администратор политики проверки подлинности
Чтение всех конфигураций администратор безопасности; Администратор пользователей

Управление разрешениями

Что такое Управление разрешениями Microsoft Entra

Задача Наименее привилегированная роль Дополнительные роли
Подключение клиента Администратор управления разрешениями
Подключение облачных сред Администратор управления разрешениями
Назначение разрешений в Управление разрешениями Microsoft Entra Администратор управления разрешениями
Запуск пробной версии и покупка лицензий Управление разрешениями Microsoft Entra Администратор выставления счетов

Управление привилегированными пользователями

Задача Наименее привилегированная роль Дополнительные роли
Назначение пользователей ролям Администратор привилегированных ролей
Настройка параметров роли Администратор привилегированных ролей
Просмотр действия аудита читатель сведений о безопасности;
Просмотр членств в роли читатель сведений о безопасности;

Роли и администраторы

Задача Наименее привилегированная роль Дополнительные роли
Управление назначением ролей Администратор привилегированных ролей
Проверка доступа на чтение роли Microsoft Entra читатель сведений о безопасности; администратор безопасности;
Администратор привилегированных ролей
Чтение всех конфигураций Роль пользователя по умолчанию

Безопасность — методы проверки подлинности

Задача Наименее привилегированная роль Дополнительные роли
Включение или отключение методов проверки подлинности Администратор политики проверки подлинности
Просмотр, подготовка от имени и управление отдельными методами проверки подлинности пользователей Администратор проверки подлинности Привилегированный администратор проверки подлинности
Настройка защиты паролем администратор безопасности;
Настройка смарт-блокировки администратор безопасности;
Чтение всех конфигураций Глобальный читатель

Безопасность — условный доступ

Задача Наименее привилегированная роль Дополнительные роли
Настройка доверенных IP-адресов MFA Администратор условного доступа
Создание пользовательских элементов управления Администратор условного доступа администратор безопасности;
Создание именованных расположений Администратор условного доступа администратор безопасности;
Создание политик Администратор условного доступа администратор безопасности;
Создание условий использования Администратор условного доступа администратор безопасности;
Создание сертификата для VPN-подключения Администратор облачных приложений Администратор приложений
Удаление классической политики Администратор условного доступа администратор безопасности;
Удаление условий использования Администратор условного доступа администратор безопасности;
Удаление сертификата для VPN-подключения Администратор условного доступа администратор безопасности;
Отключение классической политики Администратор условного доступа администратор безопасности;
Управление пользовательскими элементами управления Администратор условного доступа администратор безопасности;
Управление именованными расположениями Администратор условного доступа администратор безопасности;
Управление условиями использования Администратор условного доступа администратор безопасности;
Чтение всех конфигураций Роль пользователя по умолчанию
Чтение именованных расположений Роль пользователя по умолчанию

Безопасность — оценка безопасности удостоверений

Задача Наименее привилегированная роль Дополнительные роли
Чтение всех конфигураций читатель сведений о безопасности; администратор безопасности;
Чтение оценки безопасности читатель сведений о безопасности; администратор безопасности;
Обновление состояния события администратор безопасности;

Безопасность — рискованные входы

Задача Наименее привилегированная роль Дополнительные роли
Чтение всех конфигураций читатель сведений о безопасности;
Чтение данных о рискованных входах читатель сведений о безопасности;

Безопасность — пользователи, находящиеся в группе риска

Задача Наименее привилегированная роль Дополнительные роли
Отклонение всех событий. администратор безопасности;
Чтение всех конфигураций читатель сведений о безопасности;
Чтение данных о пользователях, находящихся в группе риска читатель сведений о безопасности;

Временный секретный код

Задача Наименее привилегированная роль Дополнительные роли
Создание, удаление или просмотр Временного секретного кода для администраторов или членов (за исключением самих себя). Привилегированный администратор проверки подлинности
Создание, удаление или просмотр Временного секретного кода для членов (за исключением самих себя). Администратор проверки подлинности
Просмотр сведений о Временном секретном коде для пользователя (без чтения самого кода). Глобальный читатель
Настройка или изменение политики метода проверки подлинности с помощью Временного секретного кода. Администратор политики проверки подлинности

Клиент

Задача Наименее привилегированная роль Дополнительные роли
Создание идентификатора Microsoft Entra или клиента Azure AD B2C Создатель клиента
Обновление свойств клиента Microsoft Entra Администратор выставления счетов
Управление заявлением о конфиденциальности и контактом Администратор выставления счетов

Пользователи

Задача Наименее привилегированная роль Дополнительные роли
Добавление пользователя в роль каталога Администратор привилегированных ролей
Добавление пользователя в группу Администратор пользователей
Назначение лицензии Администратор лицензий Администратор пользователей
Создание гостевого пользователя Приглашающий гостей Администратор пользователей
Сброс приглашения гостевого пользователя Администратор службы технической поддержки Администратор пользователей
Создать пользователя Администратор пользователей
Удаление пользователей Администратор пользователей
Отмена маркеров обновления для администраторов с ограниченными правами Администратор пользователей
Отмена маркеров обновления для пользователей, не являющихся администраторами Администратор службы технической поддержки Администратор пользователей
Отмена маркеров обновления для привилегированных администраторов (см. документацию) Привилегированный администратор проверки подлинности
Чтение базовой конфигурации Роль пользователя по умолчанию
Сброс пароля для администраторов с ограниченными правами Администратор пользователей
Сброс пароля для пользователей, не являющихся администраторами Администратор паролей Администратор пользователей
Сброс паролей для привилегированных администраторов Привилегированный администратор проверки подлинности
Отмена лицензии Администратор лицензий Администратор пользователей
Обновление всех свойств, кроме имени участника-пользователя Администратор пользователей
Обновление свойства с поддержкой локальной синхронизации Администратор гибридных удостоверений
Обновление имени участника-пользователя для администраторов с ограниченными правами Администратор пользователей
Обновление свойства имени участника-пользователя для привилегированных администраторов Привилегированный администратор проверки подлинности
Обновление параметров пользователя — разрешения роли пользователя по умолчанию Администратор привилегированных ролей
Обновление параметров пользователя — гостевой доступ пользователей Администратор привилегированных ролей
Обновление параметров пользователя — центр администрирования Глобальный администратор
Обновление параметров пользователя — подключения учетной записи LinkedIn Глобальный администратор
Обновление параметров пользователя. Отображение входа пользователя в систему Глобальный администратор
Обновление способов проверки подлинности Администратор проверки подлинности Привилегированный администратор проверки подлинности

Поддержка

Следующие шаги