Nejméně privilegované role podle úlohy v MICROSOFT Entra ID

  • Článek

V tomto článku najdete informace potřebné k omezení oprávnění správce uživatele přiřazením nejméně privilegovaných rolí v Microsoft Entra ID. Najdete úkoly uspořádané podle oblasti funkcí a nejnižší privilegované role potřebné k provedení jednotlivých úloh spolu s dalšími rolemi globálního správce, které můžou úlohu provést.

Oprávnění můžete dále omezit přiřazením rolí v menších oborech nebo vytvořením vlastních rolí. Další informace naleznete v tématu Přiřazení rolí Microsoft Entra v různých oborech nebo vytvoření a přiřazení vlastní role v Microsoft Entra ID.

Proxy aplikací

Úkol Nejméně privilegovaná role Další role
Konfigurace aplikace proxy aplikací Správce aplikace
Konfigurace vlastností skupiny konektorů Správce aplikace
Vytvoření registrace aplikace, pokud je možnost zakázána pro všechny uživatele Vývojář aplikací Správce cloudových aplikací
Správce aplikace
Vytvoření skupiny konektorů Správce aplikace
Odstranění skupiny konektorů Správce aplikace
Zakázání proxy aplikace Správce aplikace
Stažení služby konektoru Správce aplikace
Čtení veškeré konfigurace Správce aplikace

Externí identity /B2C

Úkol Nejméně privilegovaná role Další role
Vytváření adresářů Azure AD B2C Všichni uživatelé bez typu host
Vytváření podnikových aplikací Správce cloudových aplikací Správce aplikace
Vytvoření, čtení, aktualizace a odstranění zásad B2C Správce zásad B2C IEF
Vytvoření, čtení, aktualizace a odstranění zprostředkovatelů identity Externí správce zprostředkovatele identity
Vytváření, čtení, aktualizace a odstraňování toků uživatelů resetování hesel Správce toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování toků uživatelů pro úpravy profilu Správce toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování toků uživatelů přihlašování Správce toku externího ID uživatele
Vytvoření, čtení, aktualizace a odstranění toku uživatele registrace Správce toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování atributů uživatele Správce atributů toku externího ID uživatele
Vytváření, čtení, aktualizace a odstraňování uživatelů Správce uživatelů
Konfigurace nastavení externí spolupráce B2B – Přístup uživatelů typu host Správce privilegovaných rolí
Konfigurace nastavení externí spolupráce B2B – nastavení pozvání hosta Pozvaný host Správce toku externího ID uživatele
Konfigurace nastavení externí spolupráce B2B – Nastavení opuštění externího uživatele Externí správce zprostředkovatele identity
Konfigurace nastavení externí spolupráce B2B – omezení spolupráce Globální správce
Čtení veškeré konfigurace Globální čtenář
Čtení protokolů auditu B2C Globální čtenář

Poznámka

Globální správci Azure AD B2C nemají stejná oprávnění jako globální správci Microsoft Entra. Pokud máte oprávnění globálního správce Azure AD B2C, ujistěte se, že jste v adresáři Azure AD B2C, a ne v adresáři Microsoft Entra.

Branding společnosti

Úkol Nejméně privilegovaná role Další role
Konfigurace brandingu společnosti Správce brandingu organizace
Čtení veškeré konfigurace Čtenáři adresářů Výchozí role uživatele

Spojit

Úkol Nejméně privilegovaná role Další role
Předávací ověřování Správce hybridní identity
Čtení veškeré konfigurace Globální čtenář Správce hybridní identity
Bezproblémové jednotné přihlašování Správce hybridní identity

Připojit synchronizaci

Úkol Nejméně privilegovaná role Další role
Správa synchronizace místních adresářů Správce hybridní identity

Zřizování cloudu

Úkol Nejméně privilegovaná role Další role
Předávací ověřování Správce hybridní identity
Čtení veškeré konfigurace Globální čtenář Správce hybridní identity
Bezproblémové jednotné přihlašování Správce hybridní identity

Connect Health

Úkol Nejméně privilegovaná role Další role
Přidání nebo odstranění služeb Vlastník
Použití oprav chyby synchronizace Přispěvatel Vlastník
Konfigurace oznámení Přispěvatel Vlastník
Konfigurace nastavení Vlastník
Konfigurace oznámení synchronizace Přispěvatel Vlastník
Čtení sestav zabezpečení ADFS Čtenář zabezpečení Přispěvatel
Vlastník
Čtení veškeré konfigurace Čtenář Přispěvatel
Vlastník
Chyby čtení synchronizace Čtenář Přispěvatel
Vlastník
Synchronizační služby pro čtení Čtenář Přispěvatel
Vlastník
Zobrazení metrik a upozornění Čtenář Přispěvatel
Vlastník
Zobrazení metrik a upozornění Čtenář Přispěvatel
Vlastník
Zobrazení metrik a upozornění synchronizační služby Čtenář Přispěvatel
Vlastník

Vlastní názvy domén

Úkol Nejméně privilegovaná role Další role
Správa domén Správce názvu domény
Čtení veškeré konfigurace Čtenáři adresářů Výchozí role uživatele

Domain Services

Úkol Nejméně privilegovaná role Další role
Vytvoření instance služby Microsoft Entra Domain Services Správce aplikace
Správce skupin
Přispěvatel služby Domain Services
Provádění všech úloh služby Microsoft Entra Domain Services Skupina AAD DC Administrators
Čtení veškeré konfigurace Čtenář v předplatném Azure obsahujícím službu AD DS

Zařízení

Úkol Nejméně privilegovaná role Další role
Odstranění zařízení Správce cloudových zařízení Správce Intune
Zakázání zařízení Správce cloudových zařízení Správce Intune
Povolení zařízení Správce cloudových zařízení Správce Intune
Čtení základní konfigurace Výchozí role uživatele
Čtení klíčů Nástroje BitLocker Správce cloudových zařízení Správce helpdesku
Správce Intune
Správce zabezpečení
Čtenář zabezpečení

Podnikové aplikace

Úkol Nejméně privilegovaná role Další role
Souhlas s delegovanými oprávněními Správce cloudových aplikací Správce aplikace
Souhlas s oprávněními aplikace, která nezahrnuje Microsoft Graph Správce cloudových aplikací Správce aplikace
Souhlas s oprávněními aplikace k Microsoft Graphu Správce privilegovaných rolí
Souhlas s aplikacemi, které přistupují k vlastním datům Výchozí role uživatele
Vytvoření podnikové aplikace Správce cloudových aplikací Správce aplikace
Správa proxy aplikací Správce aplikace
Kontrola přístupu pro čtení skupiny nebo aplikace Čtenář zabezpečení Správce zabezpečení
Správce uživatelů
Čtení veškeré konfigurace Výchozí role uživatele
Aktualizace přiřazení podnikových aplikací Vlastník podnikové aplikace Správce cloudových aplikací
Správce aplikace
Správce uživatelů
Aktualizace vlastníků podnikových aplikací Vlastník podnikové aplikace Správce cloudových aplikací
Správce aplikace
Aktualizace vlastností podnikové aplikace Vlastník podnikové aplikace Správce cloudových aplikací
Správce aplikace
Aktualizace zřizování podnikových aplikací Vlastník podnikové aplikace Správce cloudových aplikací
Správce aplikace
Aktualizace samoobslužné služby podnikových aplikací Vlastník podnikové aplikace Správce cloudových aplikací
Správce aplikace
Aktualizace vlastností jednotného přihlašování Vlastník podnikové aplikace Správce cloudových aplikací
Správce aplikace
Vytvoření a úprava vlastních rozšíření ověřování Správce rozšiřitelnosti ověřování Správce aplikace

Správa nároků

Úkol Nejméně privilegovaná role Další role
Přidání prostředků do katalogu Správce zásad správného řízení identit Pomocí správy nároků můžete tuto úlohu delegovat na vlastníka katalogu.
Přidání webů SharePointu Online do katalogu Správce SharePointu

Skupiny

Úkol Nejméně privilegovaná role Další role
Přiřazení licence Správce uživatelů
Vytvoření skupiny Správce skupin Správce uživatelů
Vytvoření, aktualizace nebo odstranění kontroly přístupu skupiny nebo aplikace Správce uživatelů
Správa vypršení platnosti skupiny Správce uživatelů
Správa nastavení skupiny Správce skupin Správce uživatelů
Čtení všech konfigurací (s výjimkou skrytého členství) Čtenáři adresářů Výchozí role uživatele
Čtení skrytého členství Člen skupiny Vlastník skupiny
Správce hesel
Správce Exchange
Správce SharePointu
Správce Teams
Správce uživatelů
Čtení členství ve skupinách se skrytým členstvím Správce helpdesku Správce uživatelů
Správce Teams
Odvolání licence Správce licencí Správce uživatelů
Aktualizace dynamických skupin členství Vlastník skupiny Správce uživatelů
Aktualizace vlastníků skupin Vlastník skupiny Správce uživatelů
Aktualizace vlastností skupiny Vlastník skupiny Správce uživatelů
Odstranění skupiny Správce skupin Správce uživatelů

Opravňuje licencí

Úkol Nejméně privilegovaná role Další role
Přiřazení licence Správce licencí Správce uživatelů
Čtení veškeré konfigurace Čtenáři adresářů Výchozí role uživatele
Odvolání licence Správce licencí Správce uživatelů
Vyzkoušení nebo zakoupení předplatného Správce fakturace

Microsoft Entra Health

Úkol Nejméně privilegovaná role Další role
Zobrazení monitorovacích signálů scénáře Čtenář sestav Čtenář zabezpečení
Operátor zabezpečení
Správce zabezpečení
Správce helpdesku
Globální čtenář

Microsoft Entra ID Protection

Úkol Nejméně privilegovaná role Další role
Konfigurace oznámení výstrah Správce zabezpečení
Konfigurace a povolení nebo zakázání zásad vícefaktorového ověřování Správce zabezpečení
Konfigurace a povolení nebo zakázání zásad rizik přihlašování Správce zabezpečení
Konfigurace a povolení nebo zakázání zásad rizik uživatelů Správce zabezpečení
Konfigurace týdenních přehledů Správce zabezpečení
Zavření všech detekcí rizik Správce zabezpečení
Oprava nebo zavření chyby zabezpečení Správce zabezpečení
Čtení veškeré konfigurace Čtenář zabezpečení
Čtení všech detekcí rizik Čtenář zabezpečení
Ohrožení zabezpečení čtení Čtenář zabezpečení

Monitorování a stav – Protokoly auditu

Úkol Nejméně privilegovaná role Další role
Čtení protokolů auditu Čtenář sestav Čtenář zabezpečení
Správce zabezpečení

Monitorování a stav – Protokoly přihlašování

Úkol Nejméně privilegovaná role Další role
Čtení protokolů přihlašování Čtenář sestav Čtenář zabezpečení
Správce zabezpečení
Globální čtenář

Monitorování a stav – Protokoly zřizování

Úkol Nejméně privilegovaná role Další role
Čtení protokolů přihlašování Čtenář sestav Čtenář zabezpečení
Správce zabezpečení
Globální čtenář
Správce zabezpečení
Operátor zabezpečení
Správce aplikace
Správce cloudových aplikací

Monitorování a stav – Doporučení

Úkol Nejméně privilegovaná role Další role
Čtení doporučení Čtenář sestav Čtenář zabezpečení
Globální čtenář
Správce helpdesku
Správce podpory služeb
Správce uživatelů
Aktualizace doporučení Správce zásad ověřování Správce aplikace
Správce ověřování
Správce cloudových aplikací
Správce podmíněného přístupu
Správce Exchange
Správce hybridní identity
Správce zásad správného řízení identit
Správce privilegovaných rolí
Správce zabezpečení
Operátor zabezpečení
Správce SharePointu

Vícefaktorové ověřování

Úkol Nejméně privilegovaná role Další role
Odstranit všechna existující hesla aplikací vygenerovaná vybranými uživateli Správce zásad ověřování Správce ověřování
Zakázání vícefaktorového ověřování pro jednotlivé uživatele Správce ověřování Správce privilegovaného ověřování
Povolení vícefaktorového ověřování pro jednotlivé uživatele Správce ověřování Správce privilegovaného ověřování
Správa nastavení služby MFA Správce zásad ověřování
Požadovat, aby vybraní uživatelé znovu zadali metody kontaktování. Správce ověřování
Obnovení vícefaktorového ověřování na všech zapamatových zařízeních Správce ověřování

MFA Server

Úkol Nejméně privilegovaná role Další role
Blokování nebo odblokování uživatelů Správce zásad ověřování
Konfigurace uzamčení účtu Správce zásad ověřování
Konfigurace pravidel ukládání do mezipaměti Správce zásad ověřování
Konfigurace upozornění na podvod Správce zásad ověřování
Konfigurace oznámení Správce zásad ověřování
Konfigurace jednorázového obejití Správce zásad ověřování
Konfigurace nastavení telefonního hovoru Správce zásad ověřování
Konfigurace poskytovatelů Správce zásad ověřování
Konfigurace nastavení serveru Správce zásad ověřování
Čtení sestavy aktivit Globální čtenář
Čtení veškeré konfigurace Globální čtenář
Čtení stavu serveru Globální čtenář

Organizační vztahy

Úkol Nejméně privilegovaná role Další role
Správa zprostředkovatelů identity Externí správce zprostředkovatele identity
Čtení veškeré konfigurace Globální čtenář

Resetování hesla

Úkol Nejméně privilegovaná role Další role
Konfigurace metod ověřování Správce zásad ověřování
Konfigurace přizpůsobení Správce zásad ověřování
Konfigurace oznámení Správce zásad ověřování
Konfigurace místní integrace Správce zásad ověřování
Konfigurace vlastností resetování hesla Správce uživatelů Správce zásad ověřování
Konfigurace registrace Správce zásad ověřování
Čtení veškeré konfigurace Správce zabezpečení Správce uživatelů

Správa oprávnění

Co je Správa oprávnění Microsoft Entra

Úkol Nejméně privilegovaná role Další role
Onboarding tenanta Správce správy oprávnění
Onboarding cloudových prostředí Správce správy oprávnění
Přiřazení oprávnění v Správa oprávnění Microsoft Entra Správce správy oprávnění
Spuštění zkušební verze a zakoupení licencí Správa oprávnění Microsoft Entra Správce fakturace

Privileged Identity Management

Úkol Nejméně privilegovaná role Další role
Přiřazení uživatelů k rolím Správce privilegovaných rolí
Konfigurace nastavení role Správce privilegovaných rolí
Zobrazení aktivity auditu Čtenář zabezpečení
Zobrazení členství v rolích Čtenář zabezpečení

Role a správci

Úkol Nejméně privilegovaná role Další role
Správa přiřazení rolí Správce privilegovaných rolí
Kontrola přístupu pro čtení role Microsoft Entra Čtenář zabezpečení Správce zabezpečení
Správce privilegovaných rolí
Čtení veškeré konfigurace Výchozí role uživatele

Zabezpečení – metody ověřování

Úkol Nejméně privilegovaná role Další role
Povolení nebo zakázání metod ověřování Správce zásad ověřování
Zobrazení, zřizování jménem a správa metod ověřování jednotlivých uživatelů Správce ověřování Správce privilegovaného ověřování
Konfigurace ochrany heslem Správce zabezpečení
Konfigurace inteligentního uzamčení Správce zabezpečení
Čtení veškeré konfigurace Globální čtenář

Zabezpečení – podmíněný přístup

Úkol Nejméně privilegovaná role Další role
Konfigurace důvěryhodných IP adres vícefaktorového ověřování Správce podmíněného přístupu
Vytvoření vlastních ovládacích prvků Správce podmíněného přístupu Správce zabezpečení
Vytvoření pojmenovaných umístění Správce podmíněného přístupu Správce zabezpečení
Vytvoření zásad Správce podmíněného přístupu Správce zabezpečení
Vytvoření podmínek použití Správce podmíněného přístupu Správce zabezpečení
Vytvoření certifikátu připojení VPN Správce cloudových aplikací Správce aplikace
Odstranění klasických zásad Správce podmíněného přístupu Správce zabezpečení
Odstranění podmínek použití Správce podmíněného přístupu Správce zabezpečení
Odstranění certifikátu připojení VPN Správce podmíněného přístupu Správce zabezpečení
Zakázání klasických zásad Správce podmíněného přístupu Správce zabezpečení
Správa vlastních ovládacích prvků Správce podmíněného přístupu Správce zabezpečení
Správa pojmenovaných umístění Správce podmíněného přístupu Správce zabezpečení
Správa podmínek použití Správce podmíněného přístupu Správce zabezpečení
Čtení veškeré konfigurace Výchozí role uživatele
Čtení pojmenovaných umístění Výchozí role uživatele

Zabezpečení – skóre zabezpečení identity

Úkol Nejméně privilegovaná role Další role
Čtení veškeré konfigurace Čtenář zabezpečení Správce zabezpečení
Přečíst skóre zabezpečení Čtenář zabezpečení Správce zabezpečení
Aktualizace stavu události Správce zabezpečení

Zabezpečení – riziková přihlášení

Úkol Nejméně privilegovaná role Další role
Čtení veškeré konfigurace Čtenář zabezpečení
Čtení rizikových přihlášení Čtenář zabezpečení

Zabezpečení – Uživatelé označení příznakem rizika

Úkol Nejméně privilegovaná role Další role
Zavřít všechny události Správce zabezpečení
Čtení veškeré konfigurace Čtenář zabezpečení
Čtení uživatelů označených příznakem rizika Čtenář zabezpečení

Dočasný přístupový pass

Úkol Nejméně privilegovaná role Další role
Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro správce nebo členy (kromě sebe) Správce privilegovaného ověřování
Vytvoření, odstranění nebo zobrazení dočasného přístupového passu pro členy (kromě sebe) Správce ověřování
Zobrazení podrobností o dočasném přístupovém passu pro uživatele (bez čtení samotného kódu) Globální čtenář
Konfigurace nebo aktualizace zásad metody ověřování dočasného přístupu Správce zásad ověřování

Nájemce

Úkol Nejméně privilegovaná role Další role
Vytvoření ID Microsoft Entra nebo tenanta Azure AD B2C Tvůrce tenanta
Aktualizace vlastností tenanta Microsoft Entra Správce fakturace
Správa prohlášení o zásadách ochrany osobních údajů a kontaktování Správce fakturace

Uživatelé

Úkol Nejméně privilegovaná role Další role
Přidání uživatele do role adresáře Správce privilegovaných rolí
Přidání uživatele do skupiny Správce uživatelů
Přiřazení licence Správce licencí Správce uživatelů
Vytvoření uživatele typu host Pozvaný host Správce uživatelů
Resetování pozvání uživatele typu host Správce helpdesku Správce uživatelů
Vytvoření uživatele Správce uživatelů
Odstranění uživatelů Správce uživatelů
Zneplatnění obnovovacích tokenů omezených správců Správce uživatelů
Zneplatnění obnovovacích tokenů jiných správců Správce helpdesku Správce uživatelů
Zneplatnění obnovovacích tokenů privilegovaných správců Správce privilegovaného ověřování
Čtení základní konfigurace Výchozí role uživatele
Resetování hesla pro omezené správce Správce uživatelů
Resetování hesla uživatelů, kteří nejsou správci Správce hesel Správce uživatelů
Resetování hesla privilegovaných správců Správce privilegovaného ověřování
Odvolání licence Správce licencí Správce uživatelů
Aktualizace všech vlastností kromě hlavního názvu uživatele Správce uživatelů
Aktualizace vlastnosti s povolenou místní synchronizací Správce hybridní identity
Aktualizace hlavního názvu uživatele pro omezené správce Správce uživatelů
Aktualizace vlastnosti hlavního názvu uživatele u privilegovaných správců Správce privilegovaného ověřování
Aktualizace uživatelských nastavení – výchozí oprávnění role uživatele Správce privilegovaných rolí
Aktualizace uživatelských nastavení – Přístup uživatele typu host Správce privilegovaných rolí
Aktualizace uživatelských nastavení – Centrum pro správu Globální správce
Aktualizace uživatelských nastavení – připojení k účtu LinkedIn Globální správce
Aktualizace uživatelských nastavení – Zobrazení zachování přihlášeného uživatele Globální správce
Aktualizace metod ověřování Správce ověřování Správce privilegovaného ověřování

Podpora

Úkol Nejméně privilegovaná role Další role
Odeslání lístku podpory Správce podpory služeb Správce aplikace
Správce služby Azure Information Protection
Správce fakturace
Správce cloudových aplikací
Správce dodržování předpisů
správce Dynamics 365
Správce Desktop Analytics
Správce Exchange
Správce Intune
Správce hesel
Správce prostředků infrastruktury
Správce privilegovaného ověřování
Správce SharePointu
správce Skype pro firmy
Správce Teams
Správce komunikace Teams
Správce uživatelů

Další kroky