本文介绍应用于 Microsoft Entra ID 中的多个任务的最低特权角色。 你将能够查找按功能区域整理的任务、执行每项任务所需的最小特权角色,以及可执行任务的其他非全局管理员角色。
可以通过在较小范围内分配角色或创建自己的自定义角色来进一步限制权限。 有关详细信息,请参阅 Microsoft Entra 角色分配 或 在 Microsoft Entra ID创建自定义角色。
应用程序代理最低特权角色
下面是在 Microsoft Entra 应用程序代理中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 配置应用程序代理应用 | Application Administrator | |
| 配置连接器组属性 | Application Administrator | |
| 对所有用户禁用功能时,创建应用程序注册 | Application Developer |
云应用程序管理员 Application Administrator |
| 创建连接器组 | Application Administrator | |
| 删除连接器组 | Application Administrator | |
| 禁用应用程序代理 | Application Administrator | |
| 下载连接器服务 | Application Administrator | |
| 读取所有配置 | Application Administrator |
外部标识/Azure AD B2C 最低特权角色
下面是在 Microsoft Entra 外部 ID 中执行任务时应使用的最低特权角色,Azure Active Directory B2C。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 创建 Azure AD B2C 目录 | 所有非来宾用户 | |
| 创建企业应用程序 | 云应用程序管理员 | Application Administrator |
| 创建、读取、更新和删除 B2C 策略 | B2C IEF 策略管理员 | |
| 创建、读取、更新和删除标识提供者 | 外部标识提供者管理员 | |
| 创建、读取、更新和删除密码重置用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除配置文件编辑用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除登录用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除注册用户流 | 外部 ID 用户流管理员 | |
| 创建、读取、更新和删除用户特性 | 外部 ID 用户流属性管理员 | |
| 创建、读取、更新和删除用户 | User Administrator | |
| 配置 B2B 外部协作设置 - 来宾用户访问 | 特权角色管理员 | |
| 配置 B2B 外部协作设置 - 来宾邀请设置 | Guest Inviter | 外部 ID 用户流管理员 |
| 配置 B2B 外部协作设置 - 外部用户离开设置 | 外部标识提供者管理员 | |
| 配置 B2B 外部协作设置 - 协作限制 | Global Administrator | |
| 读取所有配置 | Global Reader | |
| 读取 B2C 审核日志 | Global Reader |
Note
Azure AD B2C 全局管理员的权限与 Microsoft Entra 全局管理员的权限不同。 如果你拥有 Azure AD B2C 全局管理员权限,请确保你位于 Azure AD B2C 目录(而不是 Microsoft Entra 目录)中。
公司品牌最低特权角色
下面是在Microsoft Entra ID 中为 公司品牌打造 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 配置公司品牌 | 组织品牌管理员 | |
| 读取所有配置 | Directory Readers | 默认用户角色 |
连接最低特权角色
下面是在 Microsoft Entra Connect中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Passthrough authentication | 混合标识管理员 | |
| 读取所有配置 | Global Reader | 混合标识管理员 |
| 无缝单一登录 | 混合标识管理员 |
连接同步最低特权角色
下面是在 Microsoft Entra Connect Sync中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 管理本地目录同步 | 混合标识管理员 |
云预配最低特权角色
下面是在Microsoft Entra ID 中执行 标识预配 的任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Passthrough authentication | 混合标识管理员 | |
| 读取所有配置 | Global Reader | 混合标识管理员 |
| 无缝单一登录 | 混合标识管理员 |
连接运行状况最低特权角色
下面是在 Microsoft Entra Connect Health中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 添加或删除服务 | Owner | |
| 应用修复项来同步错误 | Contributor | Owner |
| Configure notifications | Contributor | Owner |
| Configure settings | Owner | |
| 配置同步通知 | Contributor | Owner |
| 读取 ADFS 安全报告 | Security Reader |
Contributor Owner |
| 读取所有配置 | Reader |
Contributor Owner |
| 读取同步错误 | Reader |
Contributor Owner |
| 读取同步服务 | Reader |
Contributor Owner |
| 查看指标和警报 | Reader |
Contributor Owner |
| 查看指标和警报 | Reader |
Contributor Owner |
| 查看同步服务指标和警报 | Reader |
Contributor Owner |
自定义域名最小特权角色
下面是在Microsoft Entra ID 中为 自定义 域名执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Manage domains | 域名管理员 | |
| 读取所有配置 | Directory Readers | 默认用户角色 |
域服务最低特权角色
下面是在 Microsoft Entra 域服务中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 创建 Microsoft Entra 域服务实例 |
Application Administrator Groups Administrator 域服务参与者 |
|
| 执行所有 Microsoft Entra 域服务任务 | AAD DC 管理员组 | |
| 读取所有配置 | 包含 AD DS 服务的 Azure 订阅的读者 |
设备最低特权角色
下面是在Microsoft Entra ID 中为 设备标识 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Delete device | 云设备管理员 | Intune Administrator |
| Disable device | 云设备管理员 | Intune Administrator |
| Enable device | 云设备管理员 | Intune Administrator |
| 读取基本配置 | 默认用户角色 | |
| 读取 BitLocker 密钥 | 云设备管理员 |
Helpdesk Administrator Intune Administrator Security Administrator Security Reader |
| 预配和管理 IoT 设备 | IoT 设备管理员 | 云设备管理员 |
| 管理 IoT 设备模板 | IoT 设备管理员 | 云设备管理员 |
企业应用程序最低特权角色
下面是在Microsoft Entra ID 中为 应用程序管理 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 同意任何委托的权限 | 云应用程序管理员 | Application Administrator |
| 同意应用程序权限(不包括 Microsoft Graph) | 云应用程序管理员 | Application Administrator |
| 同意 Microsoft Graph 的应用程序权限 | 特权角色管理员 | |
| 同意应用程序访问自己的数据 | 默认用户角色 | |
| 创建企业应用程序 | 云应用程序管理员 | Application Administrator |
| 管理应用程序代理 | Application Administrator | |
| 读取组或应用的访问评审 | Security Reader |
Security Administrator User Administrator |
| 读取所有配置 | 默认用户角色 | |
| 更新企业应用程序分配 | 企业应用程序所有者 |
云应用程序管理员 Application Administrator User Administrator |
| 更新企业应用程序所有者 | 企业应用程序所有者 |
云应用程序管理员 Application Administrator |
| 更新企业应用程序属性 | 企业应用程序所有者 |
云应用程序管理员 Application Administrator |
| 更新企业应用程序预配 | 企业应用程序所有者 |
云应用程序管理员 Application Administrator |
| 更新企业应用程序自助服务 | 企业应用程序所有者 |
云应用程序管理员 Application Administrator |
| 更新单一登录属性 | 企业应用程序所有者 |
云应用程序管理员 Application Administrator |
| 创建和修改自定义身份验证扩展 | 身份验证扩展性管理员 | Application Administrator |
权利管理最低特权角色
下面是在Microsoft Entra ID Governance 中执行 权利管理 任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 权利管理中的任务 | 标识治理管理员。 有关权限管理系统中权限低于此权限的角色,请参阅:委派和权利管理中的角色。 |
组最小特权角色
下面是在Microsoft Entra ID 中为 组执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Assign license | User Administrator | |
| Create group | Groups Administrator | User Administrator |
| 创建、更新或删除组或应用的访问评审 | User Administrator | |
| 管理组到期时间 | User Administrator | |
| 管理组设置 | Groups Administrator | User Administrator |
| 读取所有配置(隐藏成员身份除外) | Directory Readers | 默认用户角色 |
| 读取隐藏成员身份 | Group member |
Group owner Password Administrator Exchange Administrator SharePoint Administrator Teams Administrator User Administrator |
| 读取具有隐藏成员身份的组的成员身份 | Helpdesk Administrator |
User Administrator Teams Administrator |
| Revoke license | License Administrator | User Administrator |
| 更新动态成员资格组 | Group owner | User Administrator |
| 更新组所有者 | Group owner | User Administrator |
| 更新组属性 | Group owner | User Administrator |
| Delete group | Groups Administrator | User Administrator |
许可证最低特权角色
下面是在 Microsoft Entra 许可执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Assign license | License Administrator | User Administrator |
| 读取所有配置 | Directory Readers | 默认用户角色 |
| Revoke license | License Administrator | User Administrator |
| 试用或购买订阅 | Billing Administrator |
生命周期工作流最低特权角色
下面是在Microsoft Entra ID Governance 中为 生命周期 工作流执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 创建工作流 | 生命周期工作流管理员 | |
| 将自定义扩展添加到工作流 | 生命周期工作流管理员。 还必须具有 逻辑应用参与者 或 所有者 Azure 资源管理器角色。 |
Microsoft Entra Health 最低特权角色
下面是在 Microsoft Entra Health 监视中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 查看方案监视信号和警报配置 | Reports Reader |
Security Reader Security Operator Security Administrator Helpdesk Administrator Global Reader |
| 更新警报和警报电子邮件配置 | Helpdesk Administrator |
Microsoft Entra ID Protection 最低特权角色
下面是在 Microsoft Entra ID Protection中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 配置警报通知 | Security Administrator | |
| 配置并启用/禁用 MFA 策略 | Security Administrator | |
| 配置并启用/禁用登录风险策略 | Security Administrator | |
| 配置并启用/禁用用户风险策略 | Security Administrator | |
| 配置每周摘要 | Security Administrator | |
| 消除所有风险检测 | Security Operator | |
| 修复或消除漏洞 | Security Administrator | |
| 读取所有配置 | Security Reader | |
| 读取所有风险检测 | Security Reader | |
| Read vulnerabilities | Security Reader |
监视和运行状况 - 审核和登录日志最低特权角色
下面是在 Microsoft Entra 监视中执行审核和登录日志的任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 读取审核和登录日志 | Reports Reader |
Application Administrator 云应用程序管理员 云设备管理员 全局安全访问管理员 混合标识管理员 Security Administrator Security Operator Security Reader |
监视和运行状况 - 预配日志最低特权角色
下面是执行 Microsoft Entra 预配日志任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles | |
|---|---|---|---|
| 读取预配日志 | Reports Reader | 企业应用程序所有者 |
Application Administrator 云应用程序管理员 云设备管理员 混合标识管理员 Security Administrator Security Operator Security Reader |
监视和运行状况 - 建议最低特权角色
下面是执行 Microsoft Entra 标识建议的任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Read recommendations | Reports Reader |
Security Reader Global Reader Helpdesk Administrator 服务支持管理员 User Administrator |
| Update recommendations | 身份验证策略管理员 |
Application Administrator Authentication Administrator 云应用程序管理员 条件访问管理员 Exchange Administrator 混合标识管理员 Identity Governance 管理员 特权角色管理员 Security Administrator Security Operator SharePoint Administrator |
| 读取标识安全功能分数改进作 | 服务支持管理员 |
Security Administrator Exchange Administrator |
| 更新标识安全功能分数改进作 | SharePoint Administrator |
Helpdesk Administrator User Administrator Security Reader Security Operator Global Reader |
监视和运行状况 - 登录诊断工具
下面是运行 登录诊断工具时应使用的最低特权角色。
| Task | 最低特权角色 | Additional roles |
|---|---|---|
| 使用来自 诊断的登录诊断并解决问题 | Billing Administrator |
Application Administrator 云应用程序管理员 云设备管理员 条件访问管理员 客户密码箱访问审批者 Groups Administrator License Administrator Global Reader Helpdesk Administrator 特权角色管理员 Security Administrator User Administrator |
| 使用 登录日志中的登录诊断 | 报表读取者 和 计费管理员 |
全局安全访问管理员 混合标识管理员 Security Administrator Security Operator Security Reader |
多重身份验证最低特权角色
下面是在 Microsoft Entra 身份验证中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 删除选定用户生成的所有现有应用密码 | 身份验证策略管理员 | Authentication Administrator |
| 禁用每用户 MFA | Authentication Administrator | 特权身份验证管理员 |
| 启用每用户 MFA | Authentication Administrator | 特权身份验证管理员 |
| 管理 MFA 服务设置 | 身份验证策略管理员 | |
| 要求选定的用户再次提供联系方法 | Authentication Administrator | |
| 在所有记住的设备上还原多重身份验证 | Authentication Administrator |
MFA 服务器最低特权角色
下面是在 MFA 服务器中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| Block/unblock users | 身份验证策略管理员 | |
| 配置帐户锁定 | 身份验证策略管理员 | |
| 配置缓存规则 | 身份验证策略管理员 | |
| 配置欺诈警报 | 身份验证策略管理员 | |
| Configure notifications | 身份验证策略管理员 | |
| 配置免验证一次 | 身份验证策略管理员 | |
| 配置电话呼叫设置 | 身份验证策略管理员 | |
| Configure providers | 身份验证策略管理员 | |
| 配置服务器设置 | 身份验证策略管理员 | |
| 读取活动报表 | Global Reader | |
| 读取所有配置 | Global Reader | |
| 读取服务器状态 | Global Reader |
组织关系最小特权角色
下面是在Microsoft Entra 外部 ID 中执行 外部协作设置 任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 管理标识提供者 | 外部标识提供者管理员 | |
| 读取所有配置 | Global Reader |
密码重置最低特权角色
下面是在Microsoft Entra ID 中为 密码重置 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 配置身份验证方法 | 身份验证策略管理员 | |
| Configure customization | 身份验证策略管理员 | |
| Configure notification | 身份验证策略管理员 | |
| 配置本地集成 | 身份验证策略管理员 | |
| 配置密码重置属性 | User Administrator | 身份验证策略管理员 |
| Configure registration | 身份验证策略管理员 | |
| 读取所有配置 | Security Administrator | User Administrator |
Privileged Identity Management 最低特权角色
下面是在Microsoft Entra ID Governance 中为 Microsoft Entra Privileged Identity Management 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 将用户分配到角色 | 特权角色管理员 | |
| 配置角色设置 | 特权角色管理员 | |
| 查看审核活动 | Security Reader | |
| 查看角色成员身份 | Security Reader |
角色和管理员最低特权角色
下面是在Microsoft Entra ID 中为 角色和 管理员执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 管理角色分配 | 特权角色管理员 | |
| 读取 Microsoft Entra 角色的访问评审 | Security Reader |
Security Administrator 特权角色管理员 |
| 读取所有配置 | 默认用户角色 |
安全性 - 身份验证方法最低特权角色
下面是在Microsoft Entra ID 中执行 身份验证方法 任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 启用或禁用身份验证方法 | 身份验证策略管理员 | |
| 查看、代表和管理单个用户身份验证方法 | Authentication Administrator | 特权身份验证管理员 |
| 配置密码保护 | Security Administrator | |
| 配置智能锁定 | Security Administrator | |
| 读取所有配置 | Global Reader |
安全性 - 条件访问最低特权角色
下面是在Microsoft Entra ID 中为 条件访问 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 配置 MFA 受信任的 IP | 条件访问管理员 | |
| 创建自定义控件 | 条件访问管理员 | Security Administrator |
| 创建命名位置 | 条件访问管理员 | Security Administrator |
| Create policies | 条件访问管理员 | Security Administrator |
| 创建使用条款 | 条件访问管理员 | Security Administrator |
| 创建 VPN 连接证书 | 云应用程序管理员 | Application Administrator |
| 删除经典策略 | 条件访问管理员 | Security Administrator |
| 删除使用条款 | 条件访问管理员 | Security Administrator |
| 删除 VPN 连接证书 | 条件访问管理员 | Security Administrator |
| 禁用经典策略 | 条件访问管理员 | Security Administrator |
| 管理自定义控件 | 条件访问管理员 | Security Administrator |
| 管理命名位置 | 条件访问管理员 | Security Administrator |
| 管理使用条款 | 条件访问管理员 | Security Administrator |
| 读取所有配置 | Security Reader | |
| 读取命名位置 | Security Reader | |
| 阅读使用条款 | Security Reader | Global Reader |
| 阅读已登录用户接受的使用条款 | 默认用户角色 |
安全性 - 标识安全分数最低特权角色
下面是在Microsoft Entra ID 中为 标识安全功能分数 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 读取所有配置 | Security Reader | Security Administrator |
| 读取安全分数 | Security Reader | Security Administrator |
| 更新事件状态 | Security Administrator |
安全性 - 风险登录最低特权角色
下面是在Microsoft Entra ID Protection 中执行 有风险登录 的任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 读取所有配置 | Security Reader | |
| 读取有风险的登录 | Security Reader |
安全性 - 标记为风险最低特权角色的用户
下面是在Microsoft Entra ID Protection 中为标记为有风险 的用户执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 清除所有事件 | Security Administrator | |
| 读取所有配置 | Security Reader | |
| 读取已标记为存在风险的用户 | Security Reader |
临时访问传递最低特权角色
下面是在Microsoft Entra ID 中为 临时访问传递 执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 创建、删除或查看管理员或成员(除了自身之外)的临时访问密码 | 特权身份验证管理员 | |
| 创建、删除或查看成员(除了自身之外)的临时访问密码 | Authentication Administrator | |
| 查看用户的临时访问密码详细信息(无需读取代码本身) | Global Reader | |
| 配置或更新临时访问密码身份验证方法策略 | 身份验证策略管理员 |
租户最小特权角色
下面是在 Microsoft Entra 租户中执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 创建 Microsoft Entra ID 或 Azure AD B2C 租户 | Tenant Creator | |
| 更新 Microsoft Entra 租户属性 | Billing Administrator | |
| 管理隐私声明和联系人 | Billing Administrator |
用户最低特权角色
下面是在Microsoft Entra ID 中为 用户执行任务时应使用的最低特权角色。
| Task | 最小特权角色 | Additional roles |
|---|---|---|
| 将用户添加到目录角色 | 特权角色管理员 | |
| 将用户添加到组 | User Administrator | |
| Assign license | License Administrator | User Administrator |
| 创建来宾用户 | Guest Inviter | User Administrator |
| 重置来宾用户邀请 | Helpdesk Administrator | User Administrator |
| Create user | User Administrator | |
| Delete users | User Administrator | |
| 使受限管理员的刷新令牌失效 | User Administrator | |
| 使非管理员的刷新令牌失效 | Helpdesk Administrator | User Administrator |
| 使特权管理员的刷新令牌失效 | 特权身份验证管理员 | |
| 读取基本配置 | 默认用户角色 | |
| 重置受限管理员的密码 | User Administrator | |
| 重置非管理员的密码 | Password Administrator | User Administrator |
| 重置特权管理员的密码 | 特权身份验证管理员 | |
| Revoke license | License Administrator | User Administrator |
| 更新除用户主体名称之外的所有属性 | User Administrator | |
| 更新启用本地同步的属性 | 混合标识管理员 | |
| 更新个人资料照片和人员设置 | People Administrator | |
| 更新受限管理员的用户主体名称 | User Administrator | |
| 更新特权管理员的用户主体名称属性 | 特权身份验证管理员 | |
| 更新用户设置 - 默认用户角色权限 | 特权角色管理员 | |
| 更新用户设置 - 来宾用户访问 | 特权角色管理员 | |
| 更新用户设置 - 管理中心 | Global Administrator | |
| 更新用户设置 - 领英帐户连接 | Global Administrator | |
| 更新用户设置 - 显示保持用户登录状态 | Global Administrator | |
| 更新身份验证方法 | Authentication Administrator | 特权身份验证管理员 |
支持最低特权角色
下面是在Microsoft Entra ID 中为 支持 执行任务时应使用的最低特权角色。