Microsoft Entra ID 中工作的最低特殊權限角色

本文說明您應該在 Microsoft entra ID 中用於數個工作的最低特殊許可權角色。 您將會瞭解依功能區域組織的工作與執行每個工作所需的最低特殊權限角色，以及其他可執行工作的非全域管理員角色。

您可以藉由指派較小範圍的角色，或建立您自己的自訂角色，來進一步限制權限。 如需詳細資訊，請參閱在 Microsoft Entra ID中 指派Microsoft Entra 角色 或 建立自定義角色。

應用程式 Proxy 最低特殊許可權角色

以下是在 Microsoft Entra 應用程式 Proxy中執行工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
設定應用程式 Proxy 應用程式	應用程式系統管理員
設定連接器群組屬性	應用程式系統管理員
已針對所有使用者停用功能之後建立應用程式註冊	應用程式開發人員	雲端應用程式系統管理員 應用程式系統管理員
建立連接器群組	應用程式系統管理員
刪除連接器群組	應用程式系統管理員
停用應用程式 Proxy	應用程式系統管理員
下載連接器服務	應用程式系統管理員
讀取所有設定	應用程式系統管理員

外部身分識別/Azure AD B2C 最低許可權角色

以下是在 Microsoft Entra External ID 和 Azure Active Directory B2C中執行工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
建立 Azure AD B2C 目錄	所有非來賓使用者
建立企業應用程式	雲端應用程式系統管理員	應用程式系統管理員
建立、讀取、更新及刪除 B2C 原則	B2C IEF 原則管理員
建立、讀取、更新及刪除識別提供者	外部識別提供者管理員
建立、讀取、更新及刪除密碼重設使用者流程	外部識別碼使用者流程管理員
建立、讀取、更新及刪除設定檔編輯使用者流程	外部識別碼使用者流程管理員
建立、讀取、更新及刪除登入使用者流程	外部識別碼使用者流程管理員
建立、讀取、更新及刪除註冊使用者流程	外部識別碼使用者流程管理員
建立、讀取、更新及刪除使用者屬性	外部識別碼使用者流程屬性管理員
建立、讀取、更新及刪除使用者	使用者管理員
設定 B2B 外部共同作業設定 - 訪客使用者存取	特殊權限角色管理員
設定 B2B 外部共同作業設定 - 訪客邀請設定	來賓邀請者	外部識別碼使用者流程管理員
設定 B2B 外部共同作業設定 - 外部使用者離開設定	外部識別提供者管理員
設定 B2B 外部共同作業設定 - 共同作業限制	全域管理員
讀取所有設定	全域讀取者
讀取 B2C 稽核記錄	全域讀取者

注意

Azure AD B2C 全域管理員沒有與 Microsoft Entra 全域管理員相同的權限。 如果您有 Azure AD B2C 全域管理員權限，請確定您是在 Azure AD B2C 目錄中，而非 Microsoft Entra 目錄。

公司商標最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 公司商標 的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
設定公司商標	組織商標管理員
讀取所有設定	目錄讀取者	預設使用者角色

線上最低特殊許可權角色

以下是在 Microsoft Entra Connect中執行工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
傳遞驗證	混合式身分識別管理員
讀取所有設定	全域讀取者	混合式身分識別管理員
無縫單一登入	混合式身分識別管理員

線上同步最低特殊許可權角色

以下是在 Microsoft Entra Connect Sync中執行工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
管理內部部署目錄同步作業	混合式身分識別管理員

雲端布建最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 身分識別布建 的工作時，應該使用的最低許可權角色。

Task	最低特殊權限角色	其他角色
傳遞驗證	混合式身分識別管理員
讀取所有設定	全域讀取者	混合式身分識別管理員
無縫單一登入	混合式身分識別管理員

線上健全狀況最低許可權角色

以下是您在 Microsoft Entra Connect Health中執行工作時應使用的最低許可權角色。

Task	最低特殊權限角色	其他角色
新增或刪除服務	負責人
套用對同步處理錯誤的修正	參與者	負責人
設定通知	參與者	負責人
配置設定	負責人
設定同步處理通知	參與者	負責人
讀取 ADFS 安全性報告	安全性讀取者	參與者 負責人
讀取所有設定	讀取者	參與者 負責人
讀取同步處理錯誤	讀取者	參與者 負責人
讀取同步處理服務	讀取者	參與者 負責人
檢視計量與警示	讀取者	參與者 負責人
檢視計量與警示	讀取者	參與者 負責人
檢視同步處理服務計量與警示	讀取者	參與者 負責人

自定義功能變數名稱最低特殊許可權角色

以下是您在執行Microsoft Entra識別符中 自定義功能變數名稱的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
管理網域	網域名稱管理員
讀取所有設定	目錄讀取者	預設使用者角色

Domain Services 最低特殊許可權角色

以下是您在 Microsoft Entra Domain Services中執行工作時應使用的最低許可權角色。

Task	最低特殊權限角色	其他角色
建立 Microsoft Entra Domain Services 執行個體	應用程式系統管理員 群組管理員 網域服務參與者
任務執行所有 Microsoft Entra Domain Services 網域	AAD DC 管理員群組
讀取所有設定	包含 AD DS 服務之 Azure 訂用帳戶上的讀者

裝置最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 裝置身分識別 工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
刪除裝置	雲端裝置管理員	Intune 管理員
停用裝置	雲端裝置管理員	Intune 管理員
啟用裝置	雲端裝置管理員	Intune 管理員
讀取基本設定	預設使用者角色
讀取 BitLocker 金鑰	雲端裝置管理員	服務台系統管理員 Intune 管理員 安全性系統管理員 安全性讀取者

企業應用程式最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 應用程式管理 工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
同意任何委派的權限	雲端應用程式系統管理員	應用程式系統管理員
同意不包括 Microsoft Graph 的應用程式權限	雲端應用程式系統管理員	應用程式系統管理員
同意對 Microsoft Graph 的應用程式權限	特殊權限角色管理員
同意應用程式存取自己的資料	預設使用者角色
建立企業應用程式	雲端應用程式系統管理員	應用程式系統管理員
管理應用程式 Proxy	應用程式系統管理員
讀取群組或應用程式的存取權檢閱	安全性讀取者	安全性系統管理員 使用者管理員
讀取所有設定	預設使用者角色
更新企業應用程式指派	企業應用程式擁有者	雲端應用程式系統管理員 應用程式系統管理員 使用者管理員
更新企業應用程式擁有者	企業應用程式擁有者	雲端應用程式系統管理員 應用程式系統管理員
更新企業應用程式屬性	企業應用程式擁有者	雲端應用程式系統管理員 應用程式系統管理員
更新企業應用程式佈建	企業應用程式擁有者	雲端應用程式系統管理員 應用程式系統管理員
更新企業應用程式自助	企業應用程式擁有者	雲端應用程式系統管理員 應用程式系統管理員
更新單一登入屬性	企業應用程式擁有者	雲端應用程式系統管理員 應用程式系統管理員
建立及修改驗證延伸模組	驗證擴充性系統管理員	應用程式系統管理員

權利管理最低許可權角色

以下是您在Microsoft Entra ID Governance 中執行 權利 管理工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
權利管理中的工作	Identity Governance Administrator。 如需許可權管理系統中比這低的角色，請參閱：委派和權利管理中的角色。

群組最低特殊許可權角色

以下是您在Microsoft Entra標識符中執行 群組 工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
指派授權	使用者管理員
建立群組	群組管理員	使用者管理員
建立、更新或刪除群組或應用程式的存取權檢閱	使用者管理員
管理群組到期日	使用者管理員
管理群組設定	群組管理員	使用者管理員
讀取所有設定 (隱藏的成員資格除外)	目錄讀取者	預設使用者角色
讀取隱藏的成員資格	群組成員	群組擁有者 密碼管理員 Exchange 系統管理員 SharePoint 管理員 Teams 系統管理員 使用者管理員
讀取具有隱藏成員資格之群組的成員資格	服務台系統管理員	使用者管理員 Teams 系統管理員
撤銷授權	授權管理員	使用者管理員
更新組動態成員資格群組	群組擁有者	使用者管理員
更新群組擁有者	群組擁有者	使用者管理員
更新群組屬性	群組擁有者	使用者管理員
刪除群組	群組管理員	使用者管理員

授權最低特殊許可權角色

以下是執行 Microsoft Entra 授權時，您應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
指派授權	授權管理員	使用者管理員
讀取所有設定	目錄讀取者	預設使用者角色
撤銷授權	授權管理員	使用者管理員
試用或購買訂用帳戶	計費管理員

生命週期工作流程最低特殊許可權角色

以下是您在Microsoft Entra ID Governance 中執行 生命週期 工作流程的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
建立工作流程	生命週期工作流程系統管理員
將自定義延伸模組新增至工作流程	生命週期工作流程系統管理員。 您也必須具有邏輯應用程式參與者 ，或 擁有者 Azure Resource Manager 角色。

Microsoft Entra Health 最低許可權角色

以下是在 Microsoft Entra Health 監視中執行工作時，應該使用的最低許可權角色。

Task	最低特殊權限角色	其他角色
檢視案例監視訊號	報告讀取者	安全性讀取者 安全性操作員 安全性系統管理員 服務台系統管理員 全域讀取者

Microsoft Entra ID Protection 最低特殊許可權角色

以下是在 Microsoft Entra ID Protection中執行工作時，應該使用的最低許可權角色。

Task	最低特殊權限角色	其他角色
設定警示通知	安全性系統管理員
設定和啟用或停用 MFA 原則	安全性系統管理員
設定和啟用或停用登入風險原則	安全性系統管理員
設定和啟用或停用使用者風險原則	安全性系統管理員
設定每週摘要	安全性系統管理員
關閉所有風險偵測	安全性操作員
修正或關閉弱點	安全性系統管理員
讀取所有設定	安全性讀取者
讀取所有風險偵測	安全性讀取者
讀取弱點	安全性讀取者

監視和健康情況 - 稽核和登入記錄最低特殊許可權角色

以下是在 Microsoft Entra 監視中執行稽核和登入記錄的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
讀取稽核記錄	報告讀取者	應用程式系統管理員 雲端應用程式系統管理員 雲端裝置管理員 全球安全存取系統管理員 混合式身分識別管理員 安全性系統管理員 安全性操作員 安全性讀取者

監視和健康情況 - 布建記錄最低特殊許可權角色

以下是在 Microsoft Entra 監視中執行布建記錄的工作時，您應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
讀取登入記錄	報告讀取者	應用程式系統管理員 雲端應用程式系統管理員 雲端裝置管理員 混合式身分識別管理員 安全性系統管理員 安全性操作員 安全性讀取者

監視和健康情況 - 建議最低特殊許可權角色

以下是在 Microsoft Entra 監視中執行身分識別建議的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
讀取建議	報告讀取者	安全性讀取者 全域讀取者 服務台系統管理員 服務支援管理員 使用者管理員
更新建議	驗證原則管理員	應用程式系統管理員 驗證管理員 雲端應用程式系統管理員 條件式存取管理員 Exchange 系統管理員 混合式身分識別管理員 身分識別控管管理員 特殊權限角色管理員 安全性系統管理員 安全性操作員 SharePoint 管理員

多重要素驗證最低特殊許可權角色

以下是在 Microsoft Entra 驗證中執行工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
刪除選定使用者產生的所有現有應用程式密碼	驗證原則管理員	驗證管理員
停用個別使用者 MFA	驗證管理員	特殊權限驗證管理員
啟用每位使用者的 MFA	驗證管理員	特殊權限驗證管理員
管理 MFA 服務設定	驗證原則管理員
要求選定使用者再次提供連絡方法	驗證管理員
在所有已記住的裝置上，還原多重要素驗證	驗證管理員

MFA Server 最低特殊許可權角色

以下是您在 MFA Server中執行工作時應使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
封鎖/解除封鎖使用者	驗證原則管理員
設定帳戶鎖定	驗證原則管理員
設定快取規則	驗證原則管理員
設定詐騙警示	驗證原則管理員
設定通知	驗證原則管理員
設定單次許可	驗證原則管理員
設定通話設定	驗證原則管理員
設定提供者	驗證原則管理員
設定伺服器設定	驗證原則管理員
讀取活動報表	全域讀取者
讀取所有設定	全域讀取者
讀取伺服器狀態	全域讀取者

組織關係最低特殊許可權角色

以下是您在Microsoft Entra External ID 中執行 外部共同作業設定 工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
管理識別提供者	外部識別提供者管理員
讀取所有設定	全域讀取者

密碼重設最低許可權角色

以下是您在Microsoft Entra ID 中執行 密碼重設 工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
設定驗證方法	驗證原則管理員
設定自訂	驗證原則管理員
設定通知	驗證原則管理員
設定內部部署整合	驗證原則管理員
設定密碼重設屬性	使用者管理員	驗證原則管理員
設定註冊	驗證原則管理員
讀取所有設定	安全性系統管理員	使用者管理員

許可權管理最低許可權角色

以下是在 Microsoft Entra Permissions Management中執行工作時，應該使用的最低許可權角色。

Task	最低特殊權限角色	其他角色
租用戶上線	權限管理系統管理員
上線雲端環境	權限管理系統管理員
指派 Microsoft Entra 權限管理中的權限	權限管理系統管理員
開始使用試用版並購買 Microsoft Entra 權限管理授權	計費管理員

Privileged Identity Management 最低特殊許可權角色

以下是您在Microsoft Entra ID Governance 中執行 Microsoft Entra Privileged Identity Management 工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
將使用者指派給角色	特殊權限角色管理員
配置角色設定	特殊權限角色管理員
檢視稽核活動	安全性讀取者
檢視角色成員資格	安全性讀取者

角色和系統管理員最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 角色和 系統管理員的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
管理角色指派	特殊權限角色管理員
讀取 Microsoft Entra 角色的存取權檢閱	安全性讀取者	安全性系統管理員 特殊權限角色管理員
讀取所有設定	預設使用者角色

安全性 - 驗證方法最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 驗證方法 工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
啟用或停用驗證方法	驗證原則管理員
檢視、代表佈建及管理個別使用者驗證方法	驗證管理員	特殊權限驗證管理員
設定密碼保護	安全性系統管理員
設定智慧型鎖定	安全性系統管理員
讀取所有設定	全域讀取者

安全性 - 條件式存取最低特殊許可權角色

以下是您在 Microsoft Entra ID 中執行 條件式存取 的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
設定 MFA 信任的 IP 位址	條件式存取管理員
建立自訂控制項	條件式存取管理員	安全性系統管理員
建立具名位置	條件式存取管理員	安全性系統管理員
建立原則	條件式存取管理員	安全性系統管理員
建立使用規定	條件式存取管理員	安全性系統管理員
建立 VPN 連線憑證	雲端應用程式系統管理員	應用程式系統管理員
刪除傳統原則	條件式存取管理員	安全性系統管理員
刪除使用規定	條件式存取管理員	安全性系統管理員
刪除 VPN 連線憑證	條件式存取管理員	安全性系統管理員
停用傳統原則	條件式存取管理員	安全性系統管理員
管理自訂控制項	條件式存取管理員	安全性系統管理員
管理具名位置	條件式存取管理員	安全性系統管理員
管理使用規定	條件式存取管理員	安全性系統管理員
讀取所有設定	預設使用者角色
讀取具名位置	預設使用者角色
閱讀使用規定	安全性讀取者	全域讀取者
閱讀已登入使用者已接受的使用條款	預設使用者角色

安全性 - 身分識別安全性分數最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 身分識別安全分數 的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
讀取所有設定	安全性讀取者	安全性系統管理員
讀取安全性分數	安全性讀取者	安全性系統管理員
更新事件狀態	安全性系統管理員

安全性 - 風險性登入最低特殊許可權角色

以下是您在Microsoft Entra ID Protection 中執行 風險性登入 時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
讀取所有設定	安全性讀取者
讀取具風險的登入	安全性讀取者

安全性 - 標幟為風險最低特殊許可權角色的使用者

以下是在Microsoft Entra ID Protection 中針對標示為風險 的使用者執行工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
關閉所有事件	安全性系統管理員
讀取所有設定	安全性讀取者
讀取標幟為有風險的使用者	安全性讀取者

暫時存取傳遞最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 暫存存取傳遞 工作時，應該使用的最低許可權角色。

Task	最低特殊權限角色	其他角色
建立、刪除或檢視系統管理員或成員 (本身除外) 的臨時存取密碼	特殊權限驗證管理員
建立、刪除或檢視成員 (本身除外) 的臨時存取密碼	驗證管理員
檢視使用者的臨時存取密碼詳細資料 (無須讀取程式碼本身)	全域讀取者
設定或更新臨時存取密碼驗證方法原則	驗證原則管理員

租使用者最低許可權角色

以下是在 Microsoft Entra 租使用者中執行工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
建立 Microsoft Entra ID 或 Azure AD B2C 租用戶	租用戶建立者
更新 Microsoft Entra 租用戶屬性	計費管理員
管理隱私權聲明和連絡人	計費管理員

使用者最低許可權角色

以下是您在Microsoft Entra ID 中執行 使用者的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
將使用者新增至目錄角色	特殊權限角色管理員
將使用者新增至群組	使用者管理員
指派授權	授權管理員	使用者管理員
建立來賓使用者	來賓邀請者	使用者管理員
重設來賓使用者邀請	服務台系統管理員	使用者管理員
建立使用者	使用者管理員
刪除使用者	使用者管理員
使受限管理員的重新整理權杖失效	使用者管理員
使非管理員的重新整理權杖失效	服務台系統管理員	使用者管理員
使具特殊權限管理員的重新整理權杖失效	特殊權限驗證管理員
讀取基本設定	預設使用者角色
重設受限管理員的密碼	使用者管理員
重設非管理員的密碼	密碼管理員	使用者管理員
為具特殊權限的管理員重設密碼	特殊權限驗證管理員
撤銷授權	授權管理員	使用者管理員
更新使用者主體名稱以外的所有屬性	使用者管理員
更新已啟用內部部署同步處理的屬性	混合式身分識別管理員
更新受限管理員的使用者主體名稱	使用者管理員
更新特殊權限管理員的使用者主體名稱屬性	特殊權限驗證管理員
更新使用者設定 - 預設使用者角色權限	特殊權限角色管理員
更新使用者設定 - 訪客使用者存取	特殊權限角色管理員
更新使用者設定 - 管理中心	全域管理員
更新使用者設定 - LinkedIn 帳戶連線	全域管理員
更新使用者設定 - 顯示讓使用者保持登入	全域管理員
更新驗證方法	驗證管理員	特殊權限驗證管理員

支援最低特殊許可權角色

以下是您在Microsoft Entra ID 中執行 支援 的工作時，應該使用的最低特殊許可權角色。

Task	最低特殊權限角色	其他角色
提交支援票證	服務支援管理員	應用程式系統管理員 Azure 資訊保護管理員 計費管理員 雲端應用程式系統管理員 合規性系統管理員 Dynamics 365 管理員 電腦分析管理員 Exchange 系統管理員 Intune 管理員 密碼管理員 網狀架構管理員 特殊權限驗證管理員 SharePoint 管理員 商務用 Skype 管理員 Teams 系統管理員 Teams 通訊管理員 使用者管理員

下一步

• 指派Microsoft Entra 角色
• 在 entra ID Microsoft 中建立自定義角色
• Microsoft Entra 內建角色