Ruoli con privilegi minimi per attività in Microsoft Entra ID
In questo articolo è possibile trovare le informazioni necessarie per limitare le autorizzazioni di amministratore di un utente assegnando i ruoli con privilegi minimi in Microsoft Entra ID. Sono disponibili le attività organizzate in aree di funzionalità e il ruolo meno privilegiato richiesto per eseguire ogni attività, insieme ai ruoli aggiuntivi di amministratore non globale che può eseguire l'attività.
È possibile limitare ulteriormente le autorizzazioni assegnando ruoli a ambiti più piccoli o creando ruoli personalizzati. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra in ambiti diversi o Creare e assegnare un ruolo personalizzato in Microsoft Entra ID.
Proxy dell'applicazione
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Configurare l'app del proxy dell'applicazione | Amministratore di applicazioni | |
Configurare le proprietà del gruppo connettore | Amministratore di applicazioni | |
Creare una registrazione dell'applicazione quando la capacità è disabilitata per tutti gli utenti | Sviluppatore di applicazioni |
Amministratore di applicazioni cloud Amministratore di applicazioni |
Creare gruppo di connettori | Amministratore di applicazioni | |
Eliminare gruppo di connettori | Amministratore di applicazioni | |
Disabilitare il proxy dell'applicazione | Amministratore di applicazioni | |
Scaricare servizio connettore | Amministratore di applicazioni | |
Leggere tutta la configurazione | Amministratore di applicazioni |
Identità esterne/B2C
Nota
Gli amministratori globali di Azure AD B2C non hanno le stesse autorizzazioni degli amministratori globali di Microsoft Entra. Se si dispone dei privilegi di amministratore globale di Azure AD B2C, assicurarsi di trovarsi in una directory Azure AD B2C e non in una directory Microsoft Entra.
Personalizzazione aziendale
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Configurare la personalizzazione aziendale | Amministratore di personalizzazione dell'organizzazione | |
Leggere tutta la configurazione | Ruolo Amministratori che leggono la directory | Ruolo utente predefinito |
Connessione
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Autenticazione passthrough | Amministratore delle identità ibride | |
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali | Amministratore delle identità ibride |
Accesso Single Sign-on facile | Amministratore delle identità ibride |
Connect Sync
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Gestire la sincronizzazione della directory locale | Amministratore delle identità ibride |
Provisioning cloud
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Autenticazione passthrough | Amministratore delle identità ibride | |
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali | Amministratore delle identità ibride |
Accesso Single Sign-on facile | Amministratore delle identità ibride |
Connect Health
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Aggiungere o eliminare servizi | Proprietario | |
Applicare le correzioni agli errori di sincronizzazione | Contributore | Proprietario |
Configurare le notifiche | Contributore | Proprietario |
Configurare le impostazioni | Proprietario | |
Configurare le notifiche di sincronizzazione | Contributore | Proprietario |
Leggere report sulla sicurezza del file system distribuito di Azure | Ruolo con autorizzazioni di lettura per la sicurezza |
Contributore Proprietario |
Leggere tutta la configurazione | Lettore |
Contributore Proprietario |
Leggere errori di sincronizzazione | Lettore |
Contributore Proprietario |
Leggere servizi di sincronizzazione | Lettore |
Contributore Proprietario |
Visualizzare metriche e avvisi | Lettore |
Contributore Proprietario |
Visualizzare metriche e avvisi | Lettore |
Contributore Proprietario |
Visualizzare le metriche del servizio di sincronizzazione e gli avvisi | Lettore |
Contributore Proprietario |
Nomi di dominio personalizzati
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Gestire domini | Amministratore dei nomi di dominio | |
Leggere tutta la configurazione | Ruolo Amministratori che leggono la directory | Ruolo utente predefinito |
Servizi di dominio
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Creare un'istanza di Microsoft Entra Domain Services. |
Amministratore di applicazioni Amministratore di gruppi Contributore servizi di dominio |
|
Eseguire tutte le attività di Microsoft Entra Domain Services | Amministratori di AAD DC | |
Leggere tutta la configurazione | Lettore nella sottoscrizione di Azure che contiene il servizio Active Directory Domain Services |
Dispositivi
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Eliminazione dispositivo | Amministratore dispositivo cloud | Amministratore di Intune |
Disabilitare un dispositivo | Amministratore dispositivo cloud | Amministratore di Intune |
Abilitare un dispositivo | Amministratore dispositivo cloud | Amministratore di Intune |
Leggere la configurazione di base | Ruolo utente predefinito | |
Leggere le chiavi BitLocker | Amministratore dispositivo cloud |
Amministratore di supporto tecnico Amministratore di Intune Amministratore della sicurezza Ruolo con autorizzazioni di lettura per la sicurezza |
Applicazioni aziendali
Gestione dei diritti
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Aggiungeere risorse al catalogo | Amministratore di Identity Governance | Con la gestione entitlement, è possibile delegare questa attività al proprietario del catalogo |
Aggiungere siti di SharePoint Online al catalogo | Amministratore di SharePoint |
Gruppi
Licenze
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Assegnare una licenza | Amministratore licenze | Amministratore utenti |
Leggere tutta la configurazione | Ruolo Amministratori che leggono la directory | Ruolo utente predefinito |
Revocare la licenza | Amministratore licenze | Amministratore utenti |
Provare o acquistare la sottoscrizione | Amministratore della fatturazione |
Microsoft Entra Health
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Visualizzare i segnali di monitoraggio dello scenario | Amministratore che legge i report |
Ruolo con autorizzazioni di lettura per la sicurezza Operatore per la sicurezza Amministratore della sicurezza Amministratore di supporto tecnico Ruolo con autorizzazioni di lettura globali |
Microsoft Entra ID Protection
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Configurare le notifiche di avviso | Amministratore della sicurezza | |
Configurare e abilitare o disabilitare i criteri di autenticazione a più fattori | Amministratore della sicurezza | |
Configurare e abilitare o disabilitare i criteri di rischio di accesso | Amministratore della sicurezza | |
Configurare e abilitare o disabilitare i criteri di rischio utente | Amministratore della sicurezza | |
Configurare il riepilogo settimanale | Amministratore della sicurezza | |
Ignorare i rilevamenti di rischi utente | Operatore per la sicurezza | |
Correggere o ignorare una vulnerabilità | Amministratore della sicurezza | |
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | |
Leggere tutti i rilevamenti dei rischi | Ruolo con autorizzazioni di lettura per la sicurezza | |
Leggere le vulnerabilità | Ruolo con autorizzazioni di lettura per la sicurezza |
Monitoraggio e integrità - Controllare e accedere ai log
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Leggere i log di audit | Amministratore che legge i report |
Amministratore di applicazioni Amministratore di applicazioni cloud Amministratore dispositivo cloud Amministratore accesso sicuro globale Amministratore delle identità ibride Amministratore della sicurezza Operatore per la sicurezza Ruolo con autorizzazioni di lettura per la sicurezza |
Monitoraggio e integrità: log di provisioning
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Leggere i log di accesso | Amministratore che legge i report |
Amministratore di applicazioni Amministratore di applicazioni cloud Amministratore dispositivo cloud Amministratore delle identità ibride Amministratore della sicurezza Operatore per la sicurezza Ruolo con autorizzazioni di lettura per la sicurezza |
Monitoraggio e integrità: raccomandazioni
Autenticazione a più fattori
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Eliminare tutte le password dell'app esistenti generate dagli utenti selezionati | Amministratore dei criteri di autenticazione | Amministratore dell'autenticazione |
Disabilitare l'autenticazione a più fattori per utente | Amministratore dell'autenticazione | Amministratore dell'autenticazione con privilegi |
Abilitare l'autenticazione a più fattori per singolo utente | Amministratore dell'autenticazione | Amministratore dell'autenticazione con privilegi |
Gestire le impostazioni del servizio di autenticazione a più fattori | Amministratore dei criteri di autenticazione | |
Richiedere agli utenti selezionati di fornire di nuovo i metodi di contatto | Amministratore dell'autenticazione | |
Ripristinare l'autenticazione a più fattori in tutti i dispositivi memorizzati | Amministratore dell'autenticazione |
Server MFA
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Bloccare/Sbloccare utenti | Amministratore dei criteri di autenticazione | |
Configurare il blocco degli account | Amministratore dei criteri di autenticazione | |
Configurare le regole di memorizzazione nella cache | Amministratore dei criteri di autenticazione | |
Configurare gli avvisi di illecito | Amministratore dei criteri di autenticazione | |
Configurare le notifiche | Amministratore dei criteri di autenticazione | |
Configurare un bypass monouso | Amministratore dei criteri di autenticazione | |
Configurare impostazioni telefonata | Amministratore dei criteri di autenticazione | |
Configurare provider | Amministratore dei criteri di autenticazione | |
Configurare le impostazioni del server | Amministratore dei criteri di autenticazione | |
Leggere il report attività | Ruolo con autorizzazioni di lettura globali | |
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali | |
Leggere lo stato del server | Ruolo con autorizzazioni di lettura globali |
Relazioni aziendali
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Gestire i provider di identità | Amministratore dei provider di identità esterni | |
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali |
Reimpostazione della password
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Configurare i metodi di autenticazione | Amministratore dei criteri di autenticazione | |
Configurare la personalizzazione | Amministratore dei criteri di autenticazione | |
Configurare la notifica | Amministratore dei criteri di autenticazione | |
Configurare l'integrazione locale | Amministratore dei criteri di autenticazione | |
Configurare le proprietà di reimpostazione della password | Amministratore utenti | Amministratore dei criteri di autenticazione |
Configurare la registrazione | Amministratore dei criteri di autenticazione | |
Leggere tutta la configurazione | Amministratore della sicurezza | Amministratore utenti |
Gestione delle autorizzazioni
Informazioni sulla Gestione delle autorizzazioni di Microsoft Entra
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Onboarding del tenant | Amministratore della gestione delle autorizzazioni | |
Eseguire l'onboarding degli ambienti cloud | Amministratore della gestione delle autorizzazioni | |
Assegnare autorizzazioni in Gestione delle autorizzazioni di Microsoft Entra | Amministratore della gestione delle autorizzazioni | |
Avviare la versione di valutazione e acquistare licenze Gestione delle autorizzazioni di Microsoft Entra | Amministratore della fatturazione |
Privileged Identity Management
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Assegnare utenti ai ruoli | Amministratore dei ruoli con privilegi | |
Configurare le impostazioni dei ruoli | Amministratore dei ruoli con privilegi | |
Visualizzare l'attività di controllo | Ruolo con autorizzazioni di lettura per la sicurezza | |
Visualizzare i membri dei ruoli | Ruolo con autorizzazioni di lettura per la sicurezza |
Ruoli e amministratori
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Gestire le assegnazioni di ruoli | Amministratore dei ruoli con privilegi | |
Verifica dell'accesso in lettura di un ruolo Microsoft Entra | Ruolo con autorizzazioni di lettura per la sicurezza |
Amministratore della sicurezza Amministratore dei ruoli con privilegi |
Leggere tutta la configurazione | Ruolo utente predefinito |
Sicurezza: metodi di autenticazione
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Abilitare o disabilitare i metodi di autenticazione | Amministratore dei criteri di autenticazione | |
Visualizzare, effettuare il provisioning per conto di e gestire i singoli metodi di autenticazione utente | Amministratore dell'autenticazione | Amministratore dell'autenticazione con privilegi |
Configurare la protezione della password | Amministratore della sicurezza | |
Configurare il blocco smart | Amministratore della sicurezza | |
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura globali |
Sicurezza - accesso condizionale
Sicurezza: punteggio di sicurezza delle identità
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | Amministratore della sicurezza |
Leggere il punteggio di sicurezza | Ruolo con autorizzazioni di lettura per la sicurezza | Amministratore della sicurezza |
Aggiornare lo stato dell'evento | Amministratore della sicurezza |
Sicurezza: accessi a rischio
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | |
Leggere gli accessi a rischio | Ruolo con autorizzazioni di lettura per la sicurezza |
Sicurezza: utenti contrassegnati per il rischio
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Eliminare tutti gli eventi | Amministratore della sicurezza | |
Leggere tutta la configurazione | Ruolo con autorizzazioni di lettura per la sicurezza | |
Leggere gli utenti contrassegnati per il rischio | Ruolo con autorizzazioni di lettura per la sicurezza |
Pass di accesso temporaneo
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Creare, eliminare o visualizzare un pass di accesso temporaneo per amministratori o membri (ad eccezione di se stessi) | Amministratore dell'autenticazione con privilegi | |
Creare, eliminare o visualizzare un pass di accesso temporaneo per i membri (ad eccezione di se stessi) | Amministratore dell'autenticazione | |
Visualizzare i dettagli di un pass di accesso temporaneo per un utente (senza leggere il codice stesso) | Ruolo con autorizzazioni di lettura globali | |
Configurare o aggiornare i criteri del metodo di autenticazione pass di accesso temporaneo | Amministratore dei criteri di autenticazione |
Tenant
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Creare l'ID Microsoft Entra o il tenant di Azure AD B2C | Creatore tenant | |
Aggiornare le proprietà del tenant di Microsoft Entra | Amministratore della fatturazione | |
Gestire l'informativa sulla privacy e il contatto | Amministratore della fatturazione |
Utenti
Attività | Ruolo con privilegi minimi | Ruoli aggiuntivi |
---|---|---|
Aggiungere utenti al ruolo della directory | Amministratore dei ruoli con privilegi | |
Aggiungere utenti al gruppo | Amministratore utenti | |
Assegnare una licenza | Amministratore licenze | Amministratore utenti |
Creare utente guest | Mittente dell'invito guest | Amministratore utenti |
Reimpostare l'invito dell'utente guest | Amministratore di supporto tecnico | Amministratore utenti |
Creare un utente | Amministratore utenti | |
Eliminare utenti | Amministratore utenti | |
Invalidare i token di aggiornamento degli amministratori con limitazioni | Amministratore utenti | |
Invalidare i token di aggiornamento dei non amministratori | Amministratore di supporto tecnico | Amministratore utenti |
Invalidare i token di aggiornamento degli amministratori con privilegi | Amministratore dell'autenticazione con privilegi | |
Leggere la configurazione di base | Ruolo utente predefinito | |
Reimpostare la password per amministratori limitati | Amministratore utenti | |
Reimpostare la password degli utenti non amministratori | Amministratore di password | Amministratore utenti |
Reimpostare la password degli amministratori con privilegi | Amministratore dell'autenticazione con privilegi | |
Revocare la licenza | Amministratore licenze | Amministratore utenti |
Aggiornare tutte le proprietà, ad eccezione del nome dell'entità utente | Amministratore utenti | |
Aggiornare la proprietà abilitata per la sincronizzazione locale | Amministratore delle identità ibride | |
Aggiornare il nome dell'entità utente per gli amministratori con limitazioni | Amministratore utenti | |
Aggiornare la proprietà del nome dell'entità utente per gli amministratori con privilegi | Amministratore dell'autenticazione con privilegi | |
Aggiornare le impostazioni utente - Autorizzazioni predefinite per i ruoli utente | Amministratore dei ruoli con privilegi | |
Aggiornare le impostazioni utente - Accesso utente guest | Amministratore dei ruoli con privilegi | |
Aggiornare le impostazioni utente - Interfaccia di amministrazione | Amministratore globale | |
Aggiornare le impostazioni utente - Connessioni dell'account LinkedIn | Amministratore globale | |
Aggiornare le impostazioni utente - Mostrare mantiene l'accesso dell'utente | Amministratore globale | |
Aggiorna Metodi di autenticazione | Amministratore dell'autenticazione | Amministratore dell'autenticazione con privilegi |