Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID

В этой статье описывается наименее привилегированная роль, используемая для нескольких задач в идентификаторе Microsoft Entra. Здесь вы найдете задачи, упорядоченные по функциональным областям с указанием наименее привилегированных ролей для выполнения каждой из задач и дополнительных ролей без прав глобального администратора, которые могут выполнять эти задачи.

Вы можете дополнительно ограничить разрешения, назначив роли с более узкими областями или создав собственные настраиваемые роли. Дополнительные сведения см. в статье Назначение ролей Microsoft Entra или создание настраиваемой роли видентификатора Microsoft Entra.

Наименее привилегированные роли прокси приложения

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в прокси приложения Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Настройка приложения прокси приложений	Администратор приложений
Настройка свойств группы соединителей	Администратор приложений
Создание регистрации приложения, когда эта возможность отключена для всех пользователей	Разработчик приложений	Администратор облачных приложений Администратор приложений
Создание группы соединителей	Администратор приложений
Удаление группы соединителей	Администратор приложений
Disable application proxy (Отключение прокси приложения)	Администратор приложений
Скачивание службы соединителя	Администратор приложений
Чтение всех конфигураций	Администратор приложений

Внешние удостоверения и роли Azure AD B2C с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в внешний идентификатор Microsoft Entra External ID и Azure Active Directory B2C.

Task	Наименее привилегированная роль	Дополнительные роли
Создание каталогов Azure AD B2C	Все пользователи, не являющиеся гостевыми
Создание корпоративных приложений	Администратор облачных приложений	Администратор приложений
Создание, чтение, изменение и удаление политик B2C	Администратор политики IEF B2C
Создание, чтение, изменение и удаление поставщиков удостоверений	Администратор внешнего поставщика удостоверений
Создание, чтение, изменение и удаление маршрутов пользователей для сброса пароля	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для редактирования профиля	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для входа	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление маршрутов пользователей для регистрации	Администратор потока внешних идентификаторов
Создание, чтение, изменение и удаление атрибутов пользователей	Администратор атрибута внешнего потока идентификатора
Создание, чтение, изменение и удаление пользователей	Администратор пользователей
Настройка параметров внешней совместной работы B2B — гостевой доступ пользователей	Администратор привилегированных ролей
Настройка параметров внешней совместной работы B2B — параметры приглашения гостей	Приглашенный гостей	Администратор потока внешних идентификаторов
Настройка параметров внешней совместной работы B2B — параметры выхода внешнего пользователя	Администратор внешнего поставщика удостоверений
Настройка параметров внешней совместной работы B2B — ограничения для совместной работы	Глобальный администратор
Чтение всех конфигураций	Глобальный читатель
Чтение журналов аудита B2C	Глобальный читатель

Note

Глобальные администраторы Azure AD B2C не имеют одинаковых разрешений, что и глобальные администраторы Microsoft Entra. Если у вас есть права глобального администратора Azure AD B2C, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra.

Наименее привилегированные роли фирменной символики компании

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для фирменной символике компании в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Настройка корпоративной фирменной символики	Администратор фирменной символики организации
Чтение всех конфигураций	Читатели каталогов	Роль пользователя по умолчанию

Подключение наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в Microsoft Entra Connect.

Task	Наименее привилегированная роль	Дополнительные роли
Сквозная проверка подлинности	Администратор гибридных удостоверений
Чтение всех конфигураций	Глобальный читатель	Администратор гибридных удостоверений
Бесшовный единый вход	Администратор гибридных удостоверений

Подключение наименее привилегированных ролей синхронизации

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в Microsoft Entra Connect Sync.

Task	Наименее привилегированная роль	Дополнительные роли
Управление синхронизацией локальных каталогов	Администратор гибридных удостоверений

Наименее привилегированные роли подготовки облака

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для подготовки удостоверений в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Сквозная проверка подлинности	Администратор гибридных удостоверений
Чтение всех конфигураций	Глобальный читатель	Администратор гибридных удостоверений
Бесшовный единый вход	Администратор гибридных удостоверений

Подключение наименее привилегированных ролей работоспособности

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в Microsoft Entra Connect Health.

Task	Наименее привилегированная роль	Дополнительные роли
Добавление или удаление служб	Owner
Примените исправлений к ошибкам синхронизации	Contributor	Owner
Настройка уведомлений	Contributor	Owner
Настройка параметров	Owner
Настройка уведомлений синхронизации	Contributor	Owner
Чтение отчетов безопасности ADFS	Обозреватель безопасности	Contributor Owner
Чтение всех конфигураций	Reader	Contributor Owner
Чтение ошибок синхронизации	Reader	Contributor Owner
Чтение служб синхронизации	Reader	Contributor Owner
Просмотр оповещений и метрик	Reader	Contributor Owner
Просмотр оповещений и метрик	Reader	Contributor Owner
Просмотр метрик и оповещений службы синхронизации	Reader	Contributor Owner

Роли с наименьшими привилегиями имен пользовательских доменов

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для пользовательских доменных имен в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Управление доменами	Администратор доменного имени
Чтение всех конфигураций	Читатели каталогов	Роль пользователя по умолчанию

Наименее привилегированные роли доменных служб

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в доменных службах Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Создание экземпляра доменных служб Microsoft Entra	Администратор приложений Администратор групп Участник доменных служб
Выполнение всех задач доменных служб Microsoft Entra	Группа администраторов AAD DC
Чтение всех конфигураций	Читатель для подписки Azure, которая содержит службу AD DS

Наименее привилегированные роли устройств

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для удостоверения устройства в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Удаление устройства	Администратор облачных устройств	Администратор Intune
Отключение устройства	Администратор облачных устройств	Администратор Intune
Включение устройства	Администратор облачных устройств	Администратор Intune
Чтение базовой конфигурации	Роль пользователя по умолчанию
Чтение ключей BitLocker	Администратор облачных устройств	Администратор службы технической поддержки Администратор Intune Администратор безопасности Обозреватель безопасности
Подготовка устройств Интернета вещей и управление ими	администратора устройств IoT	Администратор облачных устройств
Управление шаблонами устройств Интернета вещей	администратора устройств IoT	Администратор облачных устройств

Корпоративные приложения с наименьшими привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для управления приложениями в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Согласие на любые делегированные разрешения	Администратор облачных приложений	Администратор приложений
Согласие на разрешения приложений, исключая Microsoft Graph	Администратор облачных приложений	Администратор приложений
Согласие на разрешения приложений в Microsoft Graph	Администратор привилегированных ролей
Согласие на доступ приложений к собственным данным	Роль пользователя по умолчанию
Создание корпоративных приложений	Администратор облачных приложений	Администратор приложений
Управление прокси приложения	Администратор приложений
Чтение проверок доступа для группы или приложения	Обозреватель безопасности	Администратор безопасности Администратор пользователей
Чтение всех конфигураций	Роль пользователя по умолчанию
Обновление назначений корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений Администратор пользователей
Обновление владельцев корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление свойств корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление параметров подготовки корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление параметров самообслуживания для корпоративного приложения	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Обновление свойств единого входа	Владелец корпоративного приложения	Администратор облачных приложений Администратор приложений
Создание и изменение пользовательских расширений проверки подлинности	Администратор расширения проверки подлинности	Администратор приложений

Наименее привилегированные роли управления правами

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для управления правами в microsoft Entra ID Management.

Task	Наименее привилегированная роль	Дополнительные роли
Задачи в управлении правами	администратор управления удостоверениями. Для ролей меньше привилегий, чем это в системе управления правами, см. в статье Делегирование и роли в управлении правами.

Группы наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для групп в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Назначение лицензии	Администратор пользователей
Создание группы	Администратор групп	Администратор пользователей
Создание, изменение и удаление проверок доступа для группы или приложения	Администратор пользователей
Управление сроком действия группы	Администратор пользователей
Управление параметрами группы	Администратор групп	Администратор пользователей
Чтение всех конфигураций (за исключением скрытых членств)	Читатели каталогов	Роль пользователя по умолчанию
Чтение скрытых членств	Член группы	Владелец группы Администратор паролей Администратор Exchange Администратор SharePoint Администратор Teams Администратор пользователей
Чтение данных о членстве в группах со скрытым членством	Администратор службы технической поддержки	Администратор пользователей Администратор Teams
Отзыв лицензии	Администратор лицензии	Администратор пользователей
Обновление динамических групп членства	Владелец группы	Администратор пользователей
Обновление владельцев группы	Владелец группы	Администратор пользователей
Обновление свойств группы	Владелец группы	Администратор пользователей
Удалить группу	Администратор групп	Администратор пользователей

Наименее привилегированные роли лицензий

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для лицензирование Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Назначение лицензии	Администратор лицензии	Администратор пользователей
Чтение всех конфигураций	Читатели каталогов	Роль пользователя по умолчанию
Отзыв лицензии	Администратор лицензии	Администратор пользователей
Тестирование или приобретение подписки	Администратор выставления счетов

Наименее привилегированные роли рабочих процессов жизненного цикла

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для рабочих процессов жизненного цикла в системе управления идентификаторами Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Создание рабочего процесса	рабочих процессов жизненного цикла
Добавление настраиваемого расширения в рабочий процесс	рабочих процессов жизненного циклаадминистратора. Кроме того, необходимо участника приложения логики или владельца роль Azure Resource Manager.

Наименее привилегированные роли Microsoft Entra Health

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в мониторинге работоспособности Microsoft Entra Health.

Task	Наименее привилегированная роль	Дополнительные роли
Просмотр сигналов мониторинга сценария и конфигураций оповещений	Средство чтения отчетов	Обозреватель безопасности Оператор безопасности Администратор безопасности Администратор службы технической поддержки Глобальный читатель
Обновление оповещений и конфигураций электронной почты оповещений	Администратор службы технической поддержки

Наименее привилегированные роли защиты идентификаторов Microsoft Entra

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в защиты идентификаторов Microsoft Entra ID Protection.

Task	Наименее привилегированная роль	Дополнительные роли
Настройка уведомлений об оповещениях	Администратор безопасности
Настройка и включение (или отключение) политики MFA	Администратор безопасности
Настройка и включение (или отключение) политики риска при входе	Администратор безопасности
Настройка и включение (или отключение) политики риска пользователя	Администратор безопасности
Настройка еженедельных дайджестов	Администратор безопасности
Удаление всех данных обнаружения риска	Оператор безопасности
Устранение или отклонение уязвимостей	Администратор безопасности
Чтение всех конфигураций	Обозреватель безопасности
Чтение всех данных обнаружения риска	Обозреватель безопасности
Чтение уязвимостей	Обозреватель безопасности

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач аудита и входа в журналы мониторинга Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Чтение журналов аудита и входа	Средство чтения отчетов	Администратор приложений Администратор облачных приложений Администратор облачных устройств Глобальный администратор безопасного доступа Администратор гибридных удостоверений Администратор безопасности Оператор безопасности Обозреватель безопасности

Мониторинг и работоспособности. Подготовка журналов с минимальными привилегиями ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для журналов подготовки Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Чтение журналов подготовки	Средство чтения отчетов	Владелец корпоративного приложения	Администратор приложений Администратор облачных приложений Администратор облачных устройств Администратор гибридных удостоверений Администратор безопасности Оператор безопасности Обозреватель безопасности

Мониторинг и работоспособности . Рекомендации по наименее привилегированным ролям

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для рекомендаций по идентификации Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Чтение рекомендаций	Средство чтения отчетов	Обозреватель безопасности Глобальный читатель Администратор службы технической поддержки Администратор поддержки служб Администратор пользователей
Обновление рекомендаций	Администратор политики проверки подлинности	Администратор приложений Администратор аутентификации Администратор облачных приложений Администратор условного доступа Администратор Exchange Администратор гибридных удостоверений Администратор управления удостоверениями Администратор привилегированных ролей Администратор безопасности Оператор безопасности Администратор SharePoint
Действие улучшения оценки безопасности удостоверений	Администратор поддержки служб	Администратор безопасности Администратор Exchange
Обновление действия по улучшению оценки безопасности удостоверений	Администратор SharePoint	Администратор службы технической поддержки Администратор пользователей Обозреватель безопасности Оператор безопасности Глобальный читатель

Ниже приведены наименее привилегированные роли, которые следует использовать при запуске средства диагностики входа.

Task	Наименее привилегированные роли	Дополнительные роли
Использование диагностики входа из диагностики и решения проблем	Администратор выставления счетов	Администратор приложений Администратор облачных приложений Администратор облачных устройств Администратор условного доступа Лицо, утверждающее доступ к защищенному хранилищу Администратор групп Администратор лицензии Глобальный читатель Администратор службы технической поддержки Администратор привилегированных ролей Администратор безопасности Администратор пользователей
Используйте диагностику входа из журналов входа	отчеты и администратор выставления счетов	Глобальный администратор безопасного доступа Администратор гибридных удостоверений Администратор безопасности Оператор безопасности Обозреватель безопасности

Роли с минимальными привилегиями для многофакторной проверки подлинности

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в аутентификации Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Удаление всех существующих паролей приложений, созданных выбранными пользователями	Администратор политики проверки подлинности	Администратор аутентификации
Отключите многофакторную проверку подлинности, заданную для каждого пользователя	Администратор аутентификации	Привилегированный администратор проверки подлинности
Включение MFA для каждого пользователя	Администратор аутентификации	Привилегированный администратор проверки подлинности
Управление параметрами службы MFA	Администратор политики проверки подлинности
Требовать у выбранных пользователей сообщать о способах связи еще раз	Администратор аутентификации
Восстановление многофакторной проверки подлинности на всех запоминаемых устройствах	Администратор аутентификации

Наименее привилегированные роли сервера MFA

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в сервере MFA.

Task	Наименее привилегированная роль	Дополнительные роли
Блокировка и разблокировка пользователей	Администратор политики проверки подлинности
Настройка блокировки учетной записи	Администратор политики проверки подлинности
Настройка правил кэширования	Администратор политики проверки подлинности
Настройка предупреждения о мошенничестве	Администратор политики проверки подлинности
Настройка уведомлений	Администратор политики проверки подлинности
Настройка одноразового обхода проверки	Администратор политики проверки подлинности
Настройка параметров телефонного звонка	Администратор политики проверки подлинности
Настройка поставщиков	Администратор политики проверки подлинности
Настройка параметров сервера	Администратор политики проверки подлинности
Чтение отчета об активности	Глобальный читатель
Чтение всех конфигураций	Глобальный читатель
Чтение состояния сервера	Глобальный читатель

Связи организации с наименьшими привилегиями ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для параметров внешней совместной работы в Microsoft Entra External ID.

Task	Наименее привилегированная роль	Дополнительные роли
Управление поставщиками удостоверений	Администратор внешнего поставщика удостоверений
Чтение всех конфигураций	Глобальный читатель

Сброс минимально привилегированных ролей паролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для сброса пароля в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Настройка методов проверки подлинности	Администратор политики проверки подлинности
Настройка настройки	Администратор политики проверки подлинности
Настройка уведомления	Администратор политики проверки подлинности
Настройка интеграции с локальной средой	Администратор политики проверки подлинности
Настройка свойств сброса паролей	Администратор пользователей	Администратор политики проверки подлинности
Настройка регистрации	Администратор политики проверки подлинности
Чтение всех конфигураций	Администратор безопасности	Администратор пользователей

Наименее привилегированные роли управления удостоверениями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для microsoft Entra Privileged Identity Management в системе управления идентификаторами Microsoft Entra ID.

Task	Наименее привилегированная роль	Дополнительные роли
Назначение пользователей ролям	Администратор привилегированных ролей
Настройка параметров роли	Администратор привилегированных ролей
Просмотр действия аудита	Обозреватель безопасности
Просмотр членств в роли	Обозреватель безопасности

Роли и администраторы с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для ролей и администраторов, в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Управление назначением ролей	Администратор привилегированных ролей
Проверка доступа на чтение роли Microsoft Entra	Обозреватель безопасности	Администратор безопасности Администратор привилегированных ролей
Чтение всех конфигураций	Роль пользователя по умолчанию

Безопасность — наименее привилегированные роли методов проверки подлинности

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для методов проверки подлинности в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Включение или отключение методов проверки подлинности	Администратор политики проверки подлинности
Просмотр, подготовка от имени и управление отдельными методами проверки подлинности пользователей	Администратор аутентификации	Привилегированный администратор проверки подлинности
Настройка защиты паролем	Администратор безопасности
Настройка смарт-блокировки	Администратор безопасности
Чтение всех конфигураций	Глобальный читатель

Безопасность — наименее привилегированные роли условного доступа

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для условного доступа в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Настройка доверенных IP-адресов MFA	Администратор условного доступа
Создание пользовательских элементов управления	Администратор условного доступа	Администратор безопасности
Создание именованных расположений	Администратор условного доступа	Администратор безопасности
Создание политик	Администратор условного доступа	Администратор безопасности
Создание условий использования	Администратор условного доступа	Администратор безопасности
Создание сертификата для VPN-подключения	Администратор облачных приложений	Администратор приложений
Удаление классической политики	Администратор условного доступа	Администратор безопасности
Восстановление обратимой политики	Администратор условного доступа	Администратор безопасности
Удаление условий использования	Администратор условного доступа	Администратор безопасности
Удаление сертификата для VPN-подключения	Администратор условного доступа	Администратор безопасности
Отключение классической политики	Администратор условного доступа	Администратор безопасности
Управление пользовательскими элементами управления	Администратор условного доступа	Администратор безопасности
Управление именованными расположениями	Администратор условного доступа	Администратор безопасности
Управление условиями использования	Администратор условного доступа	Администратор безопасности
Чтение всех конфигураций	Обозреватель безопасности
Чтение именованных расположений	Обозреватель безопасности
Чтение условий использования	Обозреватель безопасности	Глобальный читатель
Чтение условий использования, принятых пользователем вошедшего пользователя	Роль пользователя по умолчанию

Безопасность — оценка безопасности удостоверений наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для оценки безопасности идентификации в идентификаторе Microsoft Entra ID.

Task	Наименее привилегированная роль	Дополнительные роли
Чтение всех конфигураций	Обозреватель безопасности	Администратор безопасности
Чтение оценки безопасности	Обозреватель безопасности	Администратор безопасности
Обновление состояния события	Администратор безопасности

Безопасность— рискованные роли входа с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для рискованных входов в Службе защиты идентификаторов Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Чтение всех конфигураций	Обозреватель безопасности
Чтение данных о рискованных входах	Обозреватель безопасности

Безопасность — пользователи, помеченные для наименее привилегированных ролей риска

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для пользователей, помеченных как риск в службе защиты идентификаторов Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Отклонение всех событий.	Администратор безопасности
Чтение всех конфигураций	Обозреватель безопасности
Чтение данных о пользователях, находящихся в группе риска	Обозреватель безопасности

Временные роли передачи доступа с минимальными привилегиями

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для временный проход доступа в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Создание, удаление или просмотр Временного секретного кода для администраторов или членов (за исключением самих себя).	Привилегированный администратор проверки подлинности
Создание, удаление или просмотр Временного секретного кода для членов (за исключением самих себя).	Администратор аутентификации
Просмотр сведений о Временном секретном коде для пользователя (без чтения самого кода).	Глобальный читатель
Настройка или изменение политики метода проверки подлинности с помощью Временного секретного кода.	Администратор политики проверки подлинности

Наименее привилегированные роли клиентов

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач в клиентах Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Создание идентификатора Microsoft Entra или клиента Azure AD B2C	Создатель клиента
Обновление свойств клиента Microsoft Entra	Администратор выставления счетов
Управление заявлением о конфиденциальности и контактом	Администратор выставления счетов

Наименее привилегированные роли пользователей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для пользователей, в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Добавление пользователя в роль каталога	Администратор привилегированных ролей
Добавление пользователя в группу	Администратор пользователей
Назначение лицензии	Администратор лицензии	Администратор пользователей
Создание гостевого пользователя	Приглашенный гостей	Администратор пользователей
Сброс приглашения гостевого пользователя	Администратор службы технической поддержки	Администратор пользователей
Создание пользователя	Администратор пользователей
Удаление пользователей	Администратор пользователей
Отмена маркеров обновления для администраторов с ограниченными правами	Администратор пользователей
Отмена маркеров обновления для пользователей, не являющихся администраторами	Администратор службы технической поддержки	Администратор пользователей
Отмена маркеров обновления для привилегированных администраторов (см. документацию)	Привилегированный администратор проверки подлинности
Чтение базовой конфигурации	Роль пользователя по умолчанию
Сброс пароля для администраторов с ограниченными правами	Администратор пользователей
Сброс пароля для пользователей, не являющихся администраторами	Администратор паролей	Администратор пользователей
Сброс паролей для привилегированных администраторов	Привилегированный администратор проверки подлинности
Отзыв лицензии	Администратор лицензии	Администратор пользователей
Обновление всех свойств, кроме имени участника-пользователя	Администратор пользователей
Обновление свойства с поддержкой локальной синхронизации	Администратор гибридных удостоверений
Обновление фотографий профилей и параметров пользователей	Администратор пользователей
Обновление имени участника-пользователя для администраторов с ограниченными правами	Администратор пользователей
Обновление свойства имени участника-пользователя для привилегированных администраторов	Привилегированный администратор проверки подлинности
Обновление параметров пользователя — разрешения роли пользователя по умолчанию	Администратор привилегированных ролей
Обновление параметров пользователя — гостевой доступ пользователей	Администратор привилегированных ролей
Обновление параметров пользователя — центр администрирования	Глобальный администратор
Обновление параметров пользователя — подключения учетной записи LinkedIn	Глобальный администратор
Обновление параметров пользователя. Отображение входа пользователя в систему	Глобальный администратор
Обновление способов проверки подлинности	Администратор аутентификации	Привилегированный администратор проверки подлинности

Поддержка наименее привилегированных ролей

Ниже приведены наименее привилегированные роли, которые следует использовать при выполнении задач для поддержки поддержки в идентификаторе Microsoft Entra.

Task	Наименее привилегированная роль	Дополнительные роли
Отправка запроса в службу поддержки	Администратор поддержки служб	Администратор приложений Администратор Azure Information Protection Администратор выставления счетов Администратор облачных приложений Администратор соответствия Администратор Dynamics 365 Администратор аналитики классических приложений Администратор Exchange Администратор службы технической поддержки Администратор Intune Администратор паролей Администратор Структуры Привилегированный администратор проверки подлинности Администратор SharePoint Администратор Skype для бизнеса Администратор Teams Администратор связи Teams Администратор пользователей

Дальнейшие шаги

Назначение ролей Microsoft Entra
создание настраиваемой роли в идентификатора Microsoft Entra
Встроенные роли Microsoft Entra

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-10-08