Condividi tramite


Ruoli con privilegi minimi per attività in Microsoft Entra ID

In questo articolo è possibile trovare le informazioni necessarie per limitare le autorizzazioni di amministratore di un utente assegnando i ruoli con privilegi minimi in Microsoft Entra ID. Sono disponibili le attività organizzate in aree di funzionalità e il ruolo meno privilegiato richiesto per eseguire ogni attività, insieme ai ruoli aggiuntivi di amministratore non globale che può eseguire l'attività.

È possibile limitare ulteriormente le autorizzazioni assegnando ruoli a ambiti più piccoli o creando ruoli personalizzati. Per altre informazioni, vedere Assegnare ruoli di Microsoft Entra in ambiti diversi o Creare e assegnare un ruolo personalizzato in Microsoft Entra ID.

Proxy dell'applicazione

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare l'app del proxy dell'applicazione Amministratore di applicazioni
Configurare le proprietà del gruppo connettore Amministratore di applicazioni
Creare una registrazione dell'applicazione quando la capacità è disabilitata per tutti gli utenti Sviluppatore di applicazioni Amministratore di applicazioni cloud
Amministratore di applicazioni
Creare gruppo di connettori Amministratore di applicazioni
Eliminare gruppo di connettori Amministratore di applicazioni
Disabilitare il proxy dell'applicazione Amministratore di applicazioni
Scaricare servizio connettore Amministratore di applicazioni
Leggere tutta la configurazione Amministratore di applicazioni

Identità esterne/B2C

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare directory di Azure AD B2C Tutti gli utenti non guest
Creare applicazioni aziendali Amministratore di applicazioni cloud Amministratore di applicazioni
Creare, leggere, aggiornare ed eliminare criteri B2C Amministratore dei criteri IEF B2C
Creare, leggere, aggiornare ed eliminare provider di identità Amministratore dei provider di identità esterni
Creare, leggere, aggiornare ed eliminare flussi utente con ripristino delle password ID esterno - Amministratore dei flussi utente
Creare, leggere, aggiornare ed eliminare flussi utente con modifica dei profili ID esterno - Amministratore dei flussi utente
Creare, leggere, aggiornare ed eliminare flussi utente con accesso ID esterno - Amministratore dei flussi utente
Creare, leggere, aggiornare ed eliminare flussi utente con registrazione ID esterno - Amministratore dei flussi utente
Creare, leggere, aggiornare ed eliminare attributi utente ID esterno - Amministratore degli attributi dei flussi utente
Creare, leggere, aggiornare ed eliminare utenti Amministratore utenti
Configurare le impostazioni di collaborazione esterna B2B - Accesso utente guest Amministratore dei ruoli con privilegi
Configurare le impostazioni di collaborazione esterna B2B - Impostazioni invito guest Mittente dell'invito guest ID esterno - Amministratore dei flussi utente
Configurare le impostazioni di collaborazione esterna B2B - Impostazioni di uscita dell'utente esterno Amministratore dei provider di identità esterni
Configurare le impostazioni di collaborazione esterna B2B - Restrizioni di collaborazione Amministratore globale
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali
Log di controllo di B2C di lettura Ruolo con autorizzazioni di lettura globali

Nota

Gli amministratori globali di Azure AD B2C non hanno le stesse autorizzazioni degli amministratori globali di Microsoft Entra. Se si dispone dei privilegi di amministratore globale di Azure AD B2C, assicurarsi di trovarsi in una directory Azure AD B2C e non in una directory Microsoft Entra.

Personalizzazione aziendale

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare la personalizzazione aziendale Amministratore di personalizzazione dell'organizzazione
Leggere tutta la configurazione Ruolo Amministratori che leggono la directory Ruolo utente predefinito

Connessione

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Autenticazione passthrough Amministratore delle identità ibride
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali Amministratore delle identità ibride
Accesso Single Sign-on facile Amministratore delle identità ibride

Connect Sync

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire la sincronizzazione della directory locale Amministratore delle identità ibride

Provisioning cloud

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Autenticazione passthrough Amministratore delle identità ibride
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali Amministratore delle identità ibride
Accesso Single Sign-on facile Amministratore delle identità ibride

Connect Health

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Aggiungere o eliminare servizi Proprietario
Applicare le correzioni agli errori di sincronizzazione Contributore Proprietario
Configurare le notifiche Contributore Proprietario
Configurare le impostazioni Proprietario
Configurare le notifiche di sincronizzazione Contributore Proprietario
Leggere report sulla sicurezza del file system distribuito di Azure Ruolo con autorizzazioni di lettura per la sicurezza Contributore
Proprietario
Leggere tutta la configurazione Lettore Contributore
Proprietario
Leggere errori di sincronizzazione Lettore Contributore
Proprietario
Leggere servizi di sincronizzazione Lettore Contributore
Proprietario
Visualizzare metriche e avvisi Lettore Contributore
Proprietario
Visualizzare metriche e avvisi Lettore Contributore
Proprietario
Visualizzare le metriche del servizio di sincronizzazione e gli avvisi Lettore Contributore
Proprietario

Nomi di dominio personalizzati

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire domini Amministratore dei nomi di dominio
Leggere tutta la configurazione Ruolo Amministratori che leggono la directory Ruolo utente predefinito

Servizi di dominio

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare un'istanza di Microsoft Entra Domain Services. Amministratore di applicazioni
Amministratore di gruppi
Contributore servizi di dominio
Eseguire tutte le attività di Microsoft Entra Domain Services Amministratori di AAD DC
Leggere tutta la configurazione Lettore nella sottoscrizione di Azure che contiene il servizio Active Directory Domain Services

Dispositivi

Applicazioni aziendali

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Fornire il consenso per tutte le autorizzazioni delegate Amministratore di applicazioni cloud Amministratore di applicazioni
Fornire il consenso alle autorizzazioni dell'applicazione senza includere Microsoft Graph Amministratore di applicazioni cloud Amministratore di applicazioni
Fornire il consenso alle autorizzazioni dell'applicazione a Microsoft Graph Amministratore dei ruoli con privilegi
Fornire il consenso alle applicazioni che accedono ai propri dati Ruolo utente predefinito
Creare applicazioni aziendali Amministratore di applicazioni cloud Amministratore di applicazioni
Gestire proxy di applicazione Amministratore di applicazioni
Leggere la verifica di accesso di un gruppo o di un'applicazione Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Amministratore utenti
Leggere tutta la configurazione Ruolo utente predefinito
Aggiornare le assegnazioni delle applicazioni aziendali Proprietari di applicazioni aziendali Amministratore di applicazioni cloud
Amministratore di applicazioni
Amministratore utenti
Aggiornare i proprietari delle applicazioni aziendali Proprietari di applicazioni aziendali Amministratore di applicazioni cloud
Amministratore di applicazioni
Aggiornare le proprietà delle applicazioni aziendali Proprietari di applicazioni aziendali Amministratore di applicazioni cloud
Amministratore di applicazioni
Aggiornare il provisioning delle applicazioni aziendali Proprietari di applicazioni aziendali Amministratore di applicazioni cloud
Amministratore di applicazioni
Aggiornare il self-service delle applicazioni aziendali Proprietari di applicazioni aziendali Amministratore di applicazioni cloud
Amministratore di applicazioni
Aggiornare le proprietà del servizio Single Sign-On Proprietari di applicazioni aziendali Amministratore di applicazioni cloud
Amministratore di applicazioni
Creazione e modifica di estensioni di autenticazione personalizzate Amministratore dell'estendibilità dell'autenticazione Amministratore di applicazioni

Gestione dei diritti

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Aggiungeere risorse al catalogo Amministratore di Identity Governance Con la gestione entitlement, è possibile delegare questa attività al proprietario del catalogo
Aggiungere siti di SharePoint Online al catalogo Amministratore di SharePoint

Gruppi

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Assegnare una licenza Amministratore utenti
Creare un gruppo Amministratore di gruppi Amministratore utenti
Creare, aggiornare o cancellare la verifica di accesso di un gruppo o di un'applicazione Amministratore utenti
Gestire la scadenza dei gruppi Amministratore utenti
Gestire le impostazioni dei gruppi Amministratore di gruppi Amministratore utenti
Leggere tutta la configurazione (eccetto l'appartenenza nascosta) Ruolo Amministratori che leggono la directory Ruolo utente predefinito
Leggere le appartenenze nascoste Membro di un gruppo Proprietario del gruppo
Amministratore di password
Amministratore di Exchange
Amministratore di SharePoint
Amministratore di Teams
Amministratore utenti
Leggere l'appartenenza dei gruppi con appartenenza nascosta Amministratore di supporto tecnico Amministratore utenti
Amministratore di Teams
Revocare la licenza Amministratore licenze Amministratore utenti
Aggiornare i gruppi di appartenenza dinamica Proprietario del gruppo Amministratore utenti
Aggiornare i proprietari dei gruppi Proprietario del gruppo Amministratore utenti
Aggiornare le proprietà del gruppo Proprietario del gruppo Amministratore utenti
Eliminare un gruppo Amministratore di gruppi Amministratore utenti

Licenze

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Assegnare una licenza Amministratore licenze Amministratore utenti
Leggere tutta la configurazione Ruolo Amministratori che leggono la directory Ruolo utente predefinito
Revocare la licenza Amministratore licenze Amministratore utenti
Provare o acquistare la sottoscrizione Amministratore della fatturazione

Microsoft Entra Health

Microsoft Entra ID Protection

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare le notifiche di avviso Amministratore della sicurezza
Configurare e abilitare o disabilitare i criteri di autenticazione a più fattori Amministratore della sicurezza
Configurare e abilitare o disabilitare i criteri di rischio di accesso Amministratore della sicurezza
Configurare e abilitare o disabilitare i criteri di rischio utente Amministratore della sicurezza
Configurare il riepilogo settimanale Amministratore della sicurezza
Ignorare i rilevamenti di rischi utente Operatore per la sicurezza
Correggere o ignorare una vulnerabilità Amministratore della sicurezza
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza
Leggere tutti i rilevamenti dei rischi Ruolo con autorizzazioni di lettura per la sicurezza
Leggere le vulnerabilità Ruolo con autorizzazioni di lettura per la sicurezza

Monitoraggio e integrità - Controllare e accedere ai log

Monitoraggio e integrità: log di provisioning

Monitoraggio e integrità: raccomandazioni

Autenticazione a più fattori

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Eliminare tutte le password dell'app esistenti generate dagli utenti selezionati Amministratore dei criteri di autenticazione Amministratore dell'autenticazione
Disabilitare l'autenticazione a più fattori per utente Amministratore dell'autenticazione Amministratore dell'autenticazione con privilegi
Abilitare l'autenticazione a più fattori per singolo utente Amministratore dell'autenticazione Amministratore dell'autenticazione con privilegi
Gestire le impostazioni del servizio di autenticazione a più fattori Amministratore dei criteri di autenticazione
Richiedere agli utenti selezionati di fornire di nuovo i metodi di contatto Amministratore dell'autenticazione
Ripristinare l'autenticazione a più fattori in tutti i dispositivi memorizzati Amministratore dell'autenticazione

Server MFA

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Bloccare/Sbloccare utenti Amministratore dei criteri di autenticazione
Configurare il blocco degli account Amministratore dei criteri di autenticazione
Configurare le regole di memorizzazione nella cache Amministratore dei criteri di autenticazione
Configurare gli avvisi di illecito Amministratore dei criteri di autenticazione
Configurare le notifiche Amministratore dei criteri di autenticazione
Configurare un bypass monouso Amministratore dei criteri di autenticazione
Configurare impostazioni telefonata Amministratore dei criteri di autenticazione
Configurare provider Amministratore dei criteri di autenticazione
Configurare le impostazioni del server Amministratore dei criteri di autenticazione
Leggere il report attività Ruolo con autorizzazioni di lettura globali
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali
Leggere lo stato del server Ruolo con autorizzazioni di lettura globali

Relazioni aziendali

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire i provider di identità Amministratore dei provider di identità esterni
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali

Reimpostazione della password

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare i metodi di autenticazione Amministratore dei criteri di autenticazione
Configurare la personalizzazione Amministratore dei criteri di autenticazione
Configurare la notifica Amministratore dei criteri di autenticazione
Configurare l'integrazione locale Amministratore dei criteri di autenticazione
Configurare le proprietà di reimpostazione della password Amministratore utenti Amministratore dei criteri di autenticazione
Configurare la registrazione Amministratore dei criteri di autenticazione
Leggere tutta la configurazione Amministratore della sicurezza Amministratore utenti

Gestione delle autorizzazioni

Informazioni sulla Gestione delle autorizzazioni di Microsoft Entra

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Onboarding del tenant Amministratore della gestione delle autorizzazioni
Eseguire l'onboarding degli ambienti cloud Amministratore della gestione delle autorizzazioni
Assegnare autorizzazioni in Gestione delle autorizzazioni di Microsoft Entra Amministratore della gestione delle autorizzazioni
Avviare la versione di valutazione e acquistare licenze Gestione delle autorizzazioni di Microsoft Entra Amministratore della fatturazione

Privileged Identity Management

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Assegnare utenti ai ruoli Amministratore dei ruoli con privilegi
Configurare le impostazioni dei ruoli Amministratore dei ruoli con privilegi
Visualizzare l'attività di controllo Ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare i membri dei ruoli Ruolo con autorizzazioni di lettura per la sicurezza

Ruoli e amministratori

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Gestire le assegnazioni di ruoli Amministratore dei ruoli con privilegi
Verifica dell'accesso in lettura di un ruolo Microsoft Entra Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Amministratore dei ruoli con privilegi
Leggere tutta la configurazione Ruolo utente predefinito

Sicurezza: metodi di autenticazione

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Abilitare o disabilitare i metodi di autenticazione Amministratore dei criteri di autenticazione
Visualizzare, effettuare il provisioning per conto di e gestire i singoli metodi di autenticazione utente Amministratore dell'autenticazione Amministratore dell'autenticazione con privilegi
Configurare la protezione della password Amministratore della sicurezza
Configurare il blocco smart Amministratore della sicurezza
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura globali

Sicurezza - accesso condizionale

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Configurare indirizzi IP attendibili MFA Amministratore dell'accesso condizionale
Creare controlli personalizzati Amministratore dell'accesso condizionale Amministratore della sicurezza
Creare posizioni specifiche Amministratore dell'accesso condizionale Amministratore della sicurezza
Creare i criteri Amministratore dell'accesso condizionale Amministratore della sicurezza
Creare le condizioni per l'utilizzo Amministratore dell'accesso condizionale Amministratore della sicurezza
Creare il certificato di connettività VPN Amministratore di applicazioni cloud Amministratore di applicazioni
Eliminare un criterio classico Amministratore dell'accesso condizionale Amministratore della sicurezza
Eliminare le condizioni per l'utilizzo Amministratore dell'accesso condizionale Amministratore della sicurezza
Eliminare il certificato di connettività VPN Amministratore dell'accesso condizionale Amministratore della sicurezza
Disabilitare i criteri classici Amministratore dell'accesso condizionale Amministratore della sicurezza
Gestire i controlli personalizzati Amministratore dell'accesso condizionale Amministratore della sicurezza
Gestire le posizioni specifiche Amministratore dell'accesso condizionale Amministratore della sicurezza
Gestire le condizioni per l'utilizzo Amministratore dell'accesso condizionale Amministratore della sicurezza
Leggere tutta la configurazione Ruolo utente predefinito
Leggere posizioni specifiche Ruolo utente predefinito
Leggere le condizioni per l'utilizzo Ruolo con autorizzazioni di lettura per la sicurezza Ruolo con autorizzazioni di lettura globali
Leggere le condizioni per l'utilizzo accettate dall'utente connesso Ruolo utente predefinito

Sicurezza: punteggio di sicurezza delle identità

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Leggere il punteggio di sicurezza Ruolo con autorizzazioni di lettura per la sicurezza Amministratore della sicurezza
Aggiornare lo stato dell'evento Amministratore della sicurezza

Sicurezza: accessi a rischio

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza
Leggere gli accessi a rischio Ruolo con autorizzazioni di lettura per la sicurezza

Sicurezza: utenti contrassegnati per il rischio

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Eliminare tutti gli eventi Amministratore della sicurezza
Leggere tutta la configurazione Ruolo con autorizzazioni di lettura per la sicurezza
Leggere gli utenti contrassegnati per il rischio Ruolo con autorizzazioni di lettura per la sicurezza

Pass di accesso temporaneo

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare, eliminare o visualizzare un pass di accesso temporaneo per amministratori o membri (ad eccezione di se stessi) Amministratore dell'autenticazione con privilegi
Creare, eliminare o visualizzare un pass di accesso temporaneo per i membri (ad eccezione di se stessi) Amministratore dell'autenticazione
Visualizzare i dettagli di un pass di accesso temporaneo per un utente (senza leggere il codice stesso) Ruolo con autorizzazioni di lettura globali
Configurare o aggiornare i criteri del metodo di autenticazione pass di accesso temporaneo Amministratore dei criteri di autenticazione

Tenant

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Creare l'ID Microsoft Entra o il tenant di Azure AD B2C Creatore tenant
Aggiornare le proprietà del tenant di Microsoft Entra Amministratore della fatturazione
Gestire l'informativa sulla privacy e il contatto Amministratore della fatturazione

Utenti

Attività Ruolo con privilegi minimi Ruoli aggiuntivi
Aggiungere utenti al ruolo della directory Amministratore dei ruoli con privilegi
Aggiungere utenti al gruppo Amministratore utenti
Assegnare una licenza Amministratore licenze Amministratore utenti
Creare utente guest Mittente dell'invito guest Amministratore utenti
Reimpostare l'invito dell'utente guest Amministratore di supporto tecnico Amministratore utenti
Creare un utente Amministratore utenti
Eliminare utenti Amministratore utenti
Invalidare i token di aggiornamento degli amministratori con limitazioni Amministratore utenti
Invalidare i token di aggiornamento dei non amministratori Amministratore di supporto tecnico Amministratore utenti
Invalidare i token di aggiornamento degli amministratori con privilegi Amministratore dell'autenticazione con privilegi
Leggere la configurazione di base Ruolo utente predefinito
Reimpostare la password per amministratori limitati Amministratore utenti
Reimpostare la password degli utenti non amministratori Amministratore di password Amministratore utenti
Reimpostare la password degli amministratori con privilegi Amministratore dell'autenticazione con privilegi
Revocare la licenza Amministratore licenze Amministratore utenti
Aggiornare tutte le proprietà, ad eccezione del nome dell'entità utente Amministratore utenti
Aggiornare la proprietà abilitata per la sincronizzazione locale Amministratore delle identità ibride
Aggiornare il nome dell'entità utente per gli amministratori con limitazioni Amministratore utenti
Aggiornare la proprietà del nome dell'entità utente per gli amministratori con privilegi Amministratore dell'autenticazione con privilegi
Aggiornare le impostazioni utente - Autorizzazioni predefinite per i ruoli utente Amministratore dei ruoli con privilegi
Aggiornare le impostazioni utente - Accesso utente guest Amministratore dei ruoli con privilegi
Aggiornare le impostazioni utente - Interfaccia di amministrazione Amministratore globale
Aggiornare le impostazioni utente - Connessioni dell'account LinkedIn Amministratore globale
Aggiornare le impostazioni utente - Mostrare mantiene l'accesso dell'utente Amministratore globale
Aggiorna Metodi di autenticazione Amministratore dell'autenticazione Amministratore dell'autenticazione con privilegi

Supporto tecnico

Passaggi successivi