Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID

В этой статье описывается наименее привилегированная роль, используемая для нескольких задач в идентификаторе Microsoft Entra. Здесь вы найдете задачи, упорядоченные по функциональным областям с указанием наименее привилегированных ролей для выполнения каждой из задач и дополнительных ролей без прав глобального администратора, которые могут выполнять эти задачи.

Вы можете дополнительно ограничить разрешения, назначив роли с более узкими областями или создав собственные настраиваемые роли. Дополнительные сведения см. в статье Назначение ролей Microsoft Entra или создание настраиваемой роли видентификатора Microsoft Entra.

Наименее привилегированные роли прокси приложения

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в прокси приложения Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка приложения прокси приложений	Администратор приложений
Настройка свойств группы соединителей	Администратор приложений
Создание регистрации приложения, когда эта возможность отключена для всех пользователей	Разработчик приложений	Администратор облачных приложений Администратор приложений
Создание группы соединителей	Администратор приложений
Удаление группы соединителей	Администратор приложений
Disable application proxy (Отключение прокси приложения)	Администратор приложений
Скачивание службы соединителя	Администратор приложений
Чтение всех конфигураций	Администратор приложений

Внешние удостоверения и роли Azure AD B2C с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в внешний идентификатор Microsoft Entra External ID и Azure Active Directory B2C.

Задача	Наименее привилегированная роль	Дополнительные роли
Создание каталогов Azure AD B2C	Все пользователи, не являющиеся гостевыми
Создание корпоративных приложений	Администратор облачных приложений	Администратор приложений
Создание, чтение, изменение и удаление политик B2C	Администратор политики IEF B2C
Создание, чтение, изменение и удаление поставщиков удостоверений	Администратор внешнего поставщика удостоверений
Создание, чтение, изменение и удаление маршрутов пользователей для сброса пароля	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для редактирования профиля	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для входа	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для регистрации	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление атрибутов пользователей	Администратор атрибута внешнего потока идентификатора
Создание, чтение, изменение и удаление пользователей	Администратор пользователей
Настройка параметров внешней совместной работы B2B — гостевой доступ пользователей	Администратор привилегированных ролей
Настройка параметров внешней совместной работы B2B — параметры приглашения гостей	Приглашающий гостей	Администратор потока внешних идентификаторов
Настройка параметров внешней совместной работы B2B — параметры выхода внешнего пользователя	Администратор внешнего поставщика удостоверений
Настройка параметров внешней совместной работы B2B — ограничения для совместной работы	Глобальный администратор
Чтение всех конфигураций	Глобальный читатель
Чтение журналов аудита B2C	Глобальный читатель

Примечание.

Глобальные администраторы Azure AD B2C не имеют одинаковых разрешений, что и глобальные администраторы Microsoft Entra. Если у вас есть права глобального администратора Azure AD B2C, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra.

Наименее привилегированные роли фирменной символики компании

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для фирменной символике компании в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка корпоративной фирменной символики	Администратор фирменной символики организации
Чтение всех конфигураций	Читатели каталогов	Роль пользователя по умолчанию

Подключение наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в Microsoft Entra Connect.

Задача	Наименее привилегированная роль	Дополнительные роли
Сквозная проверка подлинности	Администратор гибридных удостоверений
Чтение всех конфигураций	Глобальный читатель	Администратор гибридных удостоверений
Бесшовный единый вход	Администратор гибридных удостоверений

Подключение наименее привилегированных ролей синхронизации

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в Microsoft Entra Connect Sync.

Задача	Наименее привилегированная роль	Дополнительные роли
Управление синхронизацией локальных каталогов	Администратор гибридных удостоверений

Наименее привилегированные роли подготовки облака

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для подготовки удостоверений в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Сквозная проверка подлинности	Администратор гибридных удостоверений
Чтение всех конфигураций	Глобальный читатель	Администратор гибридных удостоверений
Бесшовный единый вход	Администратор гибридных удостоверений

Подключение наименее привилегированных ролей работоспособности

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в Microsoft Entra Connect Health.

Задача	Наименее привилегированная роль	Дополнительные роли
Добавление или удаление служб	Ответственное лицо
Примените исправлений к ошибкам синхронизации	Участник	Ответственное лицо
Настройка уведомлений	Участник	Ответственное лицо
Настройка параметров	Ответственное лицо
Настройка уведомлений синхронизации	Участник	Ответственное лицо
Чтение отчетов безопасности ADFS	читатель сведений о безопасности;	Участник Ответственное лицо
Чтение всех конфигураций	Читатель	Участник Ответственное лицо
Чтение ошибок синхронизации	Читатель	Участник Ответственное лицо
Чтение служб синхронизации	Читатель	Участник Ответственное лицо
Просмотр оповещений и метрик	Читатель	Участник Ответственное лицо
Просмотр оповещений и метрик	Читатель	Участник Ответственное лицо
Просмотр метрик и оповещений службы синхронизации	Читатель	Участник Ответственное лицо

Роли с наименьшими привилегиями имен пользовательских доменов

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для пользовательских доменных имен в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Управление доменами	Администратор доменного имени
Чтение всех конфигураций	Читатели каталогов	Роль пользователя по умолчанию

Наименее привилегированные роли доменных служб

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в доменных службах Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Создание экземпляра доменных служб Microsoft Entra	Администратор приложений Администратор групп Участник доменных служб
Выполнение всех задач доменных служб Microsoft Entra	Группа администраторов AAD DC
Чтение всех конфигураций	Читатель для подписки Azure, которая содержит службу AD DS

Наименее привилегированные роли устройств

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для удостоверения устройства в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Удаление устройства	Администратор облачных устройств	Администратор Intune
Отключение устройства	Администратор облачных устройств	Администратор Intune
Включение устройства	Администратор облачных устройств	Администратор Intune
Чтение базовой конфигурации	Роль пользователя по умолчанию
Чтение ключей BitLocker	Администратор облачных устройств	Администратор службы технической поддержки Администратор Intune администратор безопасности; читатель сведений о безопасности;

Корпоративные приложения с наименьшими привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для управления приложениями в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Согласие на любые делегированные разрешения	Администратор облачных приложений	Администратор приложений
Согласие на разрешения приложений, исключая Microsoft Graph	Администратор облачных приложений	Администратор приложений
Согласие на разрешения приложений в Microsoft Graph	Администратор привилегированных ролей
Согласие на доступ приложений к собственным данным	Роль пользователя по умолчанию
Создание корпоративных приложений	Администратор облачных приложений	Администратор приложений
Управление прокси приложения	Администратор приложений
Чтение проверок доступа для группы или приложения	читатель сведений о безопасности;	администратор безопасности; Администратор пользователей
Чтение всех конфигураций	Роль пользователя по умолчанию
Обновление назначений корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений Администратор пользователей
Обновление владельцев корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление свойств корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление параметров подготовки корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление параметров самообслуживания для корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление свойств единого входа	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Создание и изменение пользовательских расширений проверки подлинности	Администратор расширения проверки подлинности	Администратор приложений

Наименее привилегированные роли управления правами

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для управления правами в microsoft Entra ID Management.

Задача	Наименее привилегированная роль	Дополнительные роли
Задачи в управлении правами	администратор управления удостоверениями. Дополнительные сведения о ролях меньше, чем в системе управления правами, см. в статье Делегирование и роли в управлении правами.

Группы наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для групп в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Назначение лицензии	Администратор пользователей
Создать группу	Администратор групп	Администратор пользователей
Создание, изменение и удаление проверок доступа для группы или приложения	Администратор пользователей
Управление сроком действия группы	Администратор пользователей
Управление параметрами группы	Администратор групп	Администратор пользователей
Чтение всех конфигураций (за исключением скрытых членств)	Читатели каталогов	Роль пользователя по умолчанию
Чтение скрытых членств	Член группы	Владелец группы Администратор паролей Администратор Exchange Администратор SharePoint Администратор Teams Администратор пользователей
Чтение данных о членстве в группах со скрытым членством	Администратор службы технической поддержки	Администратор пользователей Администратор Teams
Отмена лицензии	Администратор лицензий	Администратор пользователей
Обновление динамических групп членства	Владелец группы	Администратор пользователей
Обновление владельцев группы	Владелец группы	Администратор пользователей
Обновление свойств группы	Владелец группы	Администратор пользователей
Удалить группу	Администратор групп	Администратор пользователей

Наименее привилегированные роли лицензий

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для лицензирование Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Назначение лицензии	Администратор лицензий	Администратор пользователей
Чтение всех конфигураций	Читатели каталогов	Роль пользователя по умолчанию
Отмена лицензии	Администратор лицензий	Администратор пользователей
Тестирование или приобретение подписки	Администратор выставления счетов

Наименее привилегированные роли рабочих процессов жизненного цикла

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для рабочих процессов жизненного цикла в системе управления идентификаторами Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Создание рабочего процесса	рабочих процессов жизненного цикла
Добавление настраиваемого расширения в рабочий процесс	рабочих процессов жизненного циклаадминистратора. Кроме того, необходимо участника приложения логики или владельца роль Azure Resource Manager.

Наименее привилегированные роли Microsoft Entra Health

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в мониторинге работоспособности Microsoft Entra Health.

Задача	Наименее привилегированная роль	Дополнительные роли
Просмотр сигналов мониторинга сценария	Читатель отчетов	читатель сведений о безопасности; Оператор безопасности администратор безопасности; Администратор службы технической поддержки Глобальный читатель

Наименее привилегированные роли защиты идентификаторов Microsoft Entra

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в защиты идентификаторов Microsoft Entra ID Protection.

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка уведомлений об оповещениях	администратор безопасности;
Настройка и включение (или отключение) политики MFA	администратор безопасности;
Настройка и включение (или отключение) политики риска при входе	администратор безопасности;
Настройка и включение (или отключение) политики риска пользователя	администратор безопасности;
Настройка еженедельных дайджестов	администратор безопасности;
Удаление всех данных обнаружения риска	Оператор безопасности
Устранение или отклонение уязвимостей	администратор безопасности;
Чтение всех конфигураций	читатель сведений о безопасности;
Чтение всех данных обнаружения риска	читатель сведений о безопасности;
Чтение уязвимостей	читатель сведений о безопасности;

Мониторинг и работоспособности. Аудит и вход в журналы с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач аудита и входа в журналы мониторинга Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение журналов аудита	Читатель отчетов	Администратор приложений Администратор облачных приложений Администратор облачных устройств Глобальный администратор безопасного доступа Администратор гибридных удостоверений администратор безопасности; Оператор безопасности читатель сведений о безопасности;

Мониторинг и работоспособности. Подготовка журналов с минимальными привилегиями ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для подготовки журналов в мониторинге Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение журналов входа	Читатель отчетов	Администратор приложений Администратор облачных приложений Администратор облачных устройств Администратор гибридных удостоверений администратор безопасности; Оператор безопасности читатель сведений о безопасности;

Мониторинг и работоспособности . Рекомендации по наименее привилегированным ролям

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для рекомендаций по идентификации в мониторинга Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение рекомендаций	Читатель отчетов	читатель сведений о безопасности; Глобальный читатель Администратор службы технической поддержки Администратор поддержки служб Администратор пользователей
Обновление рекомендаций	Администратор политики проверки подлинности	Администратор приложений Администратор проверки подлинности Администратор облачных приложений Администратор условного доступа Администратор Exchange Администратор гибридных удостоверений Администратор управления удостоверениями Администратор привилегированных ролей администратор безопасности; Оператор безопасности Администратор SharePoint

Роли с минимальными привилегиями для многофакторной проверки подлинности

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в аутентификации Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Удаление всех существующих паролей приложений, созданных выбранными пользователями	Администратор политики проверки подлинности	Администратор проверки подлинности
Отключите многофакторную проверку подлинности, заданную для каждого пользователя	Администратор проверки подлинности	Привилегированный администратор проверки подлинности
Включение MFA для каждого пользователя	Администратор проверки подлинности	Привилегированный администратор проверки подлинности
Управление параметрами службы MFA	Администратор политики проверки подлинности
Требовать у выбранных пользователей сообщать о способах связи еще раз	Администратор проверки подлинности
Восстановление многофакторной проверки подлинности на всех запоминаемых устройствах	Администратор проверки подлинности

Наименее привилегированные роли сервера MFA

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в сервере MFA.

Задача	Наименее привилегированная роль	Дополнительные роли
Блокировка и разблокировка пользователей	Администратор политики проверки подлинности
Настройка блокировки учетной записи	Администратор политики проверки подлинности
Настройка правил кэширования	Администратор политики проверки подлинности
Настройка предупреждения о мошенничестве	Администратор политики проверки подлинности
Настройка уведомлений	Администратор политики проверки подлинности
Настройка одноразового обхода проверки	Администратор политики проверки подлинности
Настройка параметров телефонного звонка	Администратор политики проверки подлинности
Настройка поставщиков	Администратор политики проверки подлинности
Настройка параметров сервера	Администратор политики проверки подлинности
Чтение отчета об активности	Глобальный читатель
Чтение всех конфигураций	Глобальный читатель
Чтение состояния сервера	Глобальный читатель

Связи организации с наименьшими привилегиями ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для параметров внешней совместной работы в Microsoft Entra External ID.

Задача	Наименее привилегированная роль	Дополнительные роли
Управление поставщиками удостоверений	Администратор внешнего поставщика удостоверений
Чтение всех конфигураций	Глобальный читатель

Сброс минимально привилегированных ролей паролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для сброса пароля в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка методов проверки подлинности	Администратор политики проверки подлинности
Настройка параметров настройки	Администратор политики проверки подлинности
Настройка уведомлений	Администратор политики проверки подлинности
Настройка интеграции с локальной средой	Администратор политики проверки подлинности
Настройка свойств сброса паролей	Администратор пользователей	Администратор политики проверки подлинности
Настройка регистрации	Администратор политики проверки подлинности
Чтение всех конфигураций	администратор безопасности;	Администратор пользователей

Наименее привилегированные роли управления разрешениями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в службе управления разрешениями Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Подключение клиента	Администратор управления разрешениями
Подключение облачных сред	Администратор управления разрешениями
Назначение разрешений в Управление разрешениями Microsoft Entra	Администратор управления разрешениями
Запуск пробной версии и покупка лицензий Управление разрешениями Microsoft Entra	Администратор выставления счетов

Наименее привилегированные роли управления удостоверениями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для microsoft Entra Privileged Identity Management в системе управления идентификаторами Microsoft Entra ID.

Задача	Наименее привилегированная роль	Дополнительные роли
Назначение пользователей ролям	Администратор привилегированных ролей
Настройка параметров роли	Администратор привилегированных ролей
Просмотр действия аудита	читатель сведений о безопасности;
Просмотр членств в роли	читатель сведений о безопасности;

Роли и администраторы с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для ролей и администраторов, в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Управление назначением ролей	Администратор привилегированных ролей
Проверка доступа на чтение роли Microsoft Entra	читатель сведений о безопасности;	администратор безопасности; Администратор привилегированных ролей
Чтение всех конфигураций	Роль пользователя по умолчанию

Безопасность — наименее привилегированные роли методов проверки подлинности

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для методов проверки подлинности в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Включение или отключение методов проверки подлинности	Администратор политики проверки подлинности
Просмотр, подготовка от имени и управление отдельными методами проверки подлинности пользователей	Администратор проверки подлинности	Привилегированный администратор проверки подлинности
Настройка защиты паролем	администратор безопасности;
Настройка смарт-блокировки	администратор безопасности;
Чтение всех конфигураций	Глобальный читатель

Безопасность — наименее привилегированные роли условного доступа

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для условного доступа в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Настройка доверенных IP-адресов MFA	Администратор условного доступа
Создание пользовательских элементов управления	Администратор условного доступа	администратор безопасности;
Создание именованных расположений	Администратор условного доступа	администратор безопасности;
Создание политик	Администратор условного доступа	администратор безопасности;
Создание условий использования	Администратор условного доступа	администратор безопасности;
Создание сертификата для VPN-подключения	Администратор облачных приложений	Администратор приложений
Удаление классической политики	Администратор условного доступа	администратор безопасности;
Удаление условий использования	Администратор условного доступа	администратор безопасности;
Удаление сертификата для VPN-подключения	Администратор условного доступа	администратор безопасности;
Отключение классической политики	Администратор условного доступа	администратор безопасности;
Управление пользовательскими элементами управления	Администратор условного доступа	администратор безопасности;
Управление именованными расположениями	Администратор условного доступа	администратор безопасности;
Управление условиями использования	Администратор условного доступа	администратор безопасности;
Чтение всех конфигураций	читатель сведений о безопасности;
Чтение именованных расположений	читатель сведений о безопасности;
Чтение условий использования	читатель сведений о безопасности;	Глобальный читатель
Чтение условий использования, принятых пользователем вошедшего пользователя	Роль пользователя по умолчанию

Безопасность — оценка безопасности удостоверений наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для оценки безопасности идентификации в идентификаторе Microsoft Entra ID.

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение всех конфигураций	читатель сведений о безопасности;	администратор безопасности;
Чтение оценки безопасности	читатель сведений о безопасности;	администратор безопасности;
Обновление состояния события	администратор безопасности;

Безопасность— рискованные роли входа с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для рискованных входов в Службе защиты идентификаторов Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Чтение всех конфигураций	читатель сведений о безопасности;
Чтение данных о рискованных входах	читатель сведений о безопасности;

Безопасность — пользователи, помеченные для наименее привилегированных ролей риска

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для пользователей, помеченных как риск в службе защиты идентификаторов Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Отклонение всех событий.	администратор безопасности;
Чтение всех конфигураций	читатель сведений о безопасности;
Чтение данных о пользователях, находящихся в группе риска	читатель сведений о безопасности;

Временные роли передачи доступа с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для временный проход доступа в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Создание, удаление или просмотр Временного секретного кода для администраторов или членов (за исключением самих себя).	Привилегированный администратор проверки подлинности
Создание, удаление или просмотр Временного секретного кода для членов (за исключением самих себя).	Администратор проверки подлинности
Просмотр сведений о Временном секретном коде для пользователя (без чтения самого кода).	Глобальный читатель
Настройка или изменение политики метода проверки подлинности с помощью Временного секретного кода.	Администратор политики проверки подлинности

Наименее привилегированные роли клиентов

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в клиентах Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Создание идентификатора Microsoft Entra или клиента Azure AD B2C	Создатель клиента
Обновление свойств клиента Microsoft Entra	Администратор выставления счетов
Управление заявлением о конфиденциальности и контактом	Администратор выставления счетов

Наименее привилегированные роли пользователей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для пользователей, в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Добавление пользователя в роль каталога	Администратор привилегированных ролей
Добавление пользователя в группу	Администратор пользователей
Назначение лицензии	Администратор лицензий	Администратор пользователей
Создание гостевого пользователя	Приглашающий гостей	Администратор пользователей
Сброс приглашения гостевого пользователя	Администратор службы технической поддержки	Администратор пользователей
Создать пользователя	Администратор пользователей
Удаление пользователей	Администратор пользователей
Отмена маркеров обновления для администраторов с ограниченными правами	Администратор пользователей
Отмена маркеров обновления для пользователей, не являющихся администраторами	Администратор службы технической поддержки	Администратор пользователей
Отмена маркеров обновления для привилегированных администраторов (см. документацию)	Привилегированный администратор проверки подлинности
Чтение базовой конфигурации	Роль пользователя по умолчанию
Сброс пароля для администраторов с ограниченными правами	Администратор пользователей
Сброс пароля для пользователей, не являющихся администраторами	Администратор паролей	Администратор пользователей
Сброс паролей для привилегированных администраторов	Привилегированный администратор проверки подлинности
Отмена лицензии	Администратор лицензий	Администратор пользователей
Обновление всех свойств, кроме имени участника-пользователя	Администратор пользователей
Обновление свойства с поддержкой локальной синхронизации	Администратор гибридных удостоверений
Обновление имени участника-пользователя для администраторов с ограниченными правами	Администратор пользователей
Обновление свойства имени участника-пользователя для привилегированных администраторов	Привилегированный администратор проверки подлинности
Обновление параметров пользователя — разрешения роли пользователя по умолчанию	Администратор привилегированных ролей
Обновление параметров пользователя — гостевой доступ пользователей	Администратор привилегированных ролей
Обновление параметров пользователя — центр администрирования	Глобальный администратор
Обновление параметров пользователя — подключения учетной записи LinkedIn	Глобальный администратор
Обновление параметров пользователя. Отображение входа пользователя в систему	Глобальный администратор
Обновление способов проверки подлинности	Администратор проверки подлинности	Привилегированный администратор проверки подлинности

Поддержка наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для поддержки поддержки в идентификаторе Microsoft Entra.

Задача	Наименее привилегированная роль	Дополнительные роли
Отправка запроса в службу поддержки	Администратор поддержки служб	Администратор приложений Администратор Azure Information Protection Администратор выставления счетов Администратор облачных приложений Администратор соответствия требованиям Администратор Dynamics 365 Администратор аналитики классических приложений Администратор Exchange Администратор Intune Администратор паролей Администратор Структуры Привилегированный администратор проверки подлинности Администратор SharePoint Администратор Skype для бизнеса Администратор Teams Администратор связи Teams Администратор пользователей

Следующие шаги

• Назначение ролей Microsoft Entra
• создание настраиваемой роли в идентификатора Microsoft Entra
• Встроенные роли Microsoft Entra