共用方式為


Microsoft Entra ID 中工作的最低特殊權限角色

在本文中,您可以找到藉由在 Microsoft Entra ID 中指派最低特殊權限角色來限制使用者之系統管理員權限所需的資訊。 您將會瞭解依功能區域組織的工作與執行每個工作所需的最低特殊權限角色,以及其他可執行工作的非全域管理員角色。

您可以藉由指派較小範圍的角色,或建立您自己的自訂角色,來進一步限制權限。 如需詳細資訊,請參閱指派不同範圍的 Microsoft Entra 角色,或建立並指派自訂角色

應用程式 Proxy

Task 最低特殊權限角色 其他角色
設定應用程式 Proxy 應用程式 應用程式系統管理員
設定連接器群組屬性 應用程式系統管理員
已針對所有使用者停用功能之後建立應用程式註冊 應用程式開發人員 雲端應用程式系統管理員
應用程式系統管理員
建立連接器群組 應用程式系統管理員
刪除連接器群組 應用程式系統管理員
停用應用程式 Proxy 應用程式系統管理員
下載連接器服務 應用程式系統管理員
讀取所有設定 應用程式系統管理員

外部身分識別/B2C

Task 最低特殊權限角色 其他角色
建立 Azure AD B2C 目錄 所有非來賓使用者
建立企業應用程式 雲端應用程式系統管理員 應用程式系統管理員
建立、讀取、更新及刪除 B2C 原則 B2C IEF 原則管理員
建立、讀取、更新及刪除識別提供者 外部識別提供者管理員
建立、讀取、更新及刪除密碼重設使用者流程 外部識別碼使用者流程管理員
建立、讀取、更新及刪除設定檔編輯使用者流程 外部識別碼使用者流程管理員
建立、讀取、更新及刪除登入使用者流程 外部識別碼使用者流程管理員
建立、讀取、更新及刪除註冊使用者流程 外部識別碼使用者流程管理員
建立、讀取、更新及刪除使用者屬性 外部識別碼使用者流程屬性管理員
建立、讀取、更新及刪除使用者 使用者管理員
設定 B2B 外部共同作業設定 - 訪客使用者存取 特殊權限角色管理員
設定 B2B 外部共同作業設定 - 訪客邀請設定 來賓邀請者 外部識別碼使用者流程管理員
設定 B2B 外部共同作業設定 - 外部使用者離開設定 外部識別提供者管理員
設定 B2B 外部共同作業設定 - 共同作業限制 全域管理員
讀取所有設定 全域讀取者
讀取 B2C 稽核記錄 全域讀取者

注意

Azure AD B2C 全域管理員沒有與 Microsoft Entra 全域管理員相同的權限。 如果您有 Azure AD B2C 全域管理員權限,請確定您是在 Azure AD B2C 目錄中,而非 Microsoft Entra 目錄。

公司商標

Task 最低特殊權限角色 其他角色
設定公司商標 組織商標管理員
讀取所有設定 目錄讀取者 預設使用者角色

連線

Task 最低特殊權限角色 其他角色
傳遞驗證 混合式身分識別管理員
讀取所有設定 全域讀取者 混合式身分識別管理員
無縫單一登入 混合式身分識別管理員

Connect 同步

Task 最低特殊權限角色 其他角色
管理內部部署目錄同步作業 混合式身分識別管理員

雲端佈建

Task 最低特殊權限角色 其他角色
傳遞驗證 混合式身分識別管理員
讀取所有設定 全域讀取者 混合式身分識別管理員
無縫單一登入 混合式身分識別管理員

連線情況

Task 最低特殊權限角色 其他角色
新增或刪除服務 負責人
套用對同步處理錯誤的修正 參與者 負責人
設定通知 參與者 負責人
配置設定 負責人
設定同步處理通知 參與者 負責人
讀取 ADFS 安全性報告 安全性讀取者 參與者
負責人
讀取所有設定 讀取者 參與者
負責人
讀取同步處理錯誤 讀取者 參與者
負責人
讀取同步處理服務 讀取者 參與者
負責人
檢視計量與警示 讀取者 參與者
負責人
檢視計量與警示 讀取者 參與者
負責人
檢視同步處理服務計量與警示 讀取者 參與者
負責人

自訂網域名稱

Task 最低特殊權限角色 其他角色
管理網域 網域名稱管理員
讀取所有設定 目錄讀取者 預設使用者角色

Domain Services

Task 最低特殊權限角色 其他角色
建立 Microsoft Entra Domain Services 執行個體 應用程式系統管理員
群組管理員
網域服務參與者
任務執行所有 Microsoft Entra Domain Services 網域 AAD DC 管理員群組
讀取所有設定 包含 AD DS 服務之 Azure 訂用帳戶上的讀者

裝置

企業應用程式

Task 最低特殊權限角色 其他角色
同意任何委派的權限 雲端應用程式系統管理員 應用程式系統管理員
同意不包括 Microsoft Graph 的應用程式權限 雲端應用程式系統管理員 應用程式系統管理員
同意對 Microsoft Graph 的應用程式權限 特殊權限角色管理員
同意應用程式存取自己的資料 預設使用者角色
建立企業應用程式 雲端應用程式系統管理員 應用程式系統管理員
管理應用程式 Proxy 應用程式系統管理員
讀取群組或應用程式的存取權檢閱 安全性讀取者 安全性系統管理員
使用者管理員
讀取所有設定 預設使用者角色
更新企業應用程式指派 企業應用程式擁有者 雲端應用程式系統管理員
應用程式系統管理員
使用者管理員
更新企業應用程式擁有者 企業應用程式擁有者 雲端應用程式系統管理員
應用程式系統管理員
更新企業應用程式屬性 企業應用程式擁有者 雲端應用程式系統管理員
應用程式系統管理員
更新企業應用程式佈建 企業應用程式擁有者 雲端應用程式系統管理員
應用程式系統管理員
更新企業應用程式自助 企業應用程式擁有者 雲端應用程式系統管理員
應用程式系統管理員
更新單一登入屬性 企業應用程式擁有者 雲端應用程式系統管理員
應用程式系統管理員
建立及修改驗證延伸模組 驗證擴充性系統管理員 應用程式系統管理員

權利管理

Task 最低特殊權限角色 其他角色
將資源新增到目錄 身分識別控管管理員 使用權利管理時,您可以將此工作委派給目錄擁有者
將 SharePoint Online 網站新增至目錄 SharePoint 管理員

群組

Task 最低特殊權限角色 其他角色
指派授權 使用者管理員
建立群組 群組管理員 使用者管理員
建立、更新或刪除群組或應用程式的存取權檢閱 使用者管理員
管理群組到期日 使用者管理員
管理群組設定 群組管理員 使用者管理員
讀取所有設定 (隱藏的成員資格除外) 目錄讀取者 預設使用者角色
讀取隱藏的成員資格 群組成員 群組擁有者
密碼管理員
Exchange 系統管理員
SharePoint 管理員
Teams 系統管理員
使用者管理員
讀取具有隱藏成員資格之群組的成員資格 服務台系統管理員 使用者管理員
Teams 系統管理員
撤銷授權 授權管理員 使用者管理員
更新組動態成員資格群組 群組擁有者 使用者管理員
更新群組擁有者 群組擁有者 使用者管理員
更新群組屬性 群組擁有者 使用者管理員
刪除群組 群組管理員 使用者管理員

授權

Task 最低特殊權限角色 其他角色
指派授權 授權管理員 使用者管理員
讀取所有設定 目錄讀取者 預設使用者角色
撤銷授權 授權管理員 使用者管理員
試用或購買訂用帳戶 計費管理員

Microsoft Entra Health

工作 最低特殊權限角色 其他角色
檢視案例監視訊號 報告讀取者 安全性讀取者
安全性操作員
安全性系統管理員
服務台管理員
全域讀取者

Microsoft Entra ID Protection

工作 最低特殊權限角色 其他角色
設定警示通知 安全性系統管理員
設定和啟用或停用 MFA 原則 安全性系統管理員
設定和啟用或停用登入風險原則 安全性系統管理員
設定和啟用或停用使用者風險原則 安全性系統管理員
設定每週摘要 安全性系統管理員
關閉所有風險偵測 安全性系統管理員
修正或關閉弱點 安全性系統管理員
讀取所有設定 安全性讀取者
讀取所有風險偵測 安全性讀取者
讀取弱點 安全性讀取者

監視和健康情況 - 稽核和登入記錄

監視和健康情況 - 佈建記錄

監視和健康情況 - 建議

多重要素驗證

Task 最低特殊權限角色 其他角色
刪除選定使用者產生的所有現有應用程式密碼 驗證原則管理員 驗證管理員
停用個別使用者 MFA 驗證管理員 特殊權限驗證管理員
啟用每位使用者的 MFA 驗證管理員 特殊權限驗證管理員
管理 MFA 服務設定 驗證原則管理員
要求選定使用者再次提供連絡方法 驗證管理員
在所有已記住的裝置上,還原多重要素驗證 驗證管理員

MFA Server

Task 最低特殊權限角色 其他角色
封鎖/解除封鎖使用者 驗證原則管理員
設定帳戶鎖定 驗證原則管理員
設定快取規則 驗證原則管理員
設定詐騙警示 驗證原則管理員
設定通知 驗證原則管理員
設定單次許可 驗證原則管理員
設定通話設定 驗證原則管理員
設定提供者 驗證原則管理員
設定伺服器設定 驗證原則管理員
讀取活動報表 全域讀取者
讀取所有設定 全域讀取者
讀取伺服器狀態 全域讀取者

組織關係

Task 最低特殊權限角色 其他角色
管理識別提供者 外部識別提供者管理員
讀取所有設定 全域讀取者

密碼重設

Task 最低特殊權限角色 其他角色
設定驗證方法 驗證原則管理員
設定自訂 驗證原則管理員
設定通知 驗證原則管理員
設定內部部署整合 驗證原則管理員
設定密碼重設屬性 使用者管理員 驗證原則管理員
設定註冊 驗證原則管理員
讀取所有設定 安全性系統管理員 使用者管理員

權限管理

什麼是 Microsoft Entra 權限管理

Task 最低特殊權限角色 其他角色
租用戶上線 權限管理系統管理員
上線雲端環境 權限管理系統管理員
指派 Microsoft Entra 權限管理中的權限 權限管理系統管理員
開始使用試用版並購買 Microsoft Entra 權限管理授權 計費管理員

Privileged identity management

Task 最低特殊權限角色 其他角色
將使用者指派給角色 特殊權限角色管理員
配置角色設定 特殊權限角色管理員
檢視稽核活動 安全性讀取者
檢視角色成員資格 安全性讀取者

角色與系統管理員

Task 最低特殊權限角色 其他角色
管理角色指派 特殊權限角色管理員
讀取 Microsoft Entra 角色的存取權檢閱 安全性讀取者 安全性系統管理員
特殊權限角色管理員
讀取所有設定 預設使用者角色

安全性 - 驗證方法

Task 最低特殊權限角色 其他角色
啟用或停用驗證方法 驗證原則管理員
檢視、代表佈建及管理個別使用者驗證方法 驗證管理員 特殊權限驗證管理員
設定密碼保護 安全性系統管理員
設定智慧型鎖定 安全性系統管理員
讀取所有設定 全域讀取者

安全性 - 條件式存取

安全性 - 身分識別安全性分數

Task 最低特殊權限角色 其他角色
讀取所有設定 安全性讀取者 安全性系統管理員
讀取安全性分數 安全性讀取者 安全性系統管理員
更新事件狀態 安全性系統管理員

安全性 - 具風險的登入

Task 最低特殊權限角色 其他角色
讀取所有設定 安全性讀取者
讀取具風險的登入 安全性讀取者

安全性 - 標幟為有風險的使用者

Task 最低特殊權限角色 其他角色
關閉所有事件 安全性系統管理員
讀取所有設定 安全性讀取者
讀取標幟為有風險的使用者 安全性讀取者

暫時存取通行證

Task 最低特殊權限角色 其他角色
建立、刪除或檢視系統管理員或成員 (本身除外) 的臨時存取密碼 特殊權限驗證管理員
建立、刪除或檢視成員 (本身除外) 的臨時存取密碼 驗證管理員
檢視使用者的臨時存取密碼詳細資料 (無須讀取程式碼本身) 全域讀取者
設定或更新臨時存取密碼驗證方法原則 驗證原則管理員

租用戶

Task 最低特殊權限角色 其他角色
建立 Microsoft Entra ID 或 Azure AD B2C 租用戶 租用戶建立者
更新 Microsoft Entra 租用戶屬性 計費管理員
管理隱私權聲明和連絡人 計費管理員

使用者

Task 最低特殊權限角色 其他角色
將使用者新增至目錄角色 特殊權限角色管理員
將使用者新增至群組 使用者管理員
指派授權 授權管理員 使用者管理員
建立來賓使用者 來賓邀請者 使用者管理員
重設來賓使用者邀請 服務台系統管理員 使用者管理員
建立使用者 使用者管理員
刪除使用者 使用者管理員
使受限管理員的重新整理權杖失效 使用者管理員
使非管理員的重新整理權杖失效 服務台系統管理員 使用者管理員
使具特殊權限管理員的重新整理權杖失效 特殊權限驗證管理員
讀取基本設定 預設使用者角色
重設受限管理員的密碼 使用者管理員
重設非管理員的密碼 密碼管理員 使用者管理員
為具特殊權限的管理員重設密碼 特殊權限驗證管理員
撤銷授權 授權管理員 使用者管理員
更新使用者主體名稱以外的所有屬性 使用者管理員
更新已啟用內部部署同步處理的屬性 混合式身分識別管理員
更新受限管理員的使用者主體名稱 使用者管理員
更新特殊權限管理員的使用者主體名稱屬性 特殊權限驗證管理員
更新使用者設定 - 預設使用者角色權限 特殊權限角色管理員
更新使用者設定 - 訪客使用者存取 特殊權限角色管理員
更新使用者設定 - 管理中心 全域管理員
更新使用者設定 - LinkedIn 帳戶連線 全域管理員
更新使用者設定 - 顯示讓使用者保持登入 全域管理員
更新驗證方法 驗證管理員 特殊權限驗證管理員

支援

下一步