この記事では、Microsoft Entra ID のいくつかのタスクに使用する必要がある最小限の特権ロールについて説明します。 機能領域ごとのタスクと、各タスクを実行するために必要な最小特権ロールのほか、そのタスクを実行できる非グローバル管理者ロールも別途記載しています。
より小さなスコープでロールを割り当てるか、独自のカスタム ロールを作成することで、アクセス許可をさらに制限できます。 詳細については、「Microsoft Entra ロール 割り当てる」または「Microsoft Entra IDでカスタム ロールを作成する」を参照してください。
アプリケーション プロキシの最小特権ロール
Microsoft Entra アプリケーション プロキシでタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| アプリケーション プロキシ アプリを構成する | アプリケーション管理者 | |
| コネクタ グループのプロパティを構成する | アプリケーション管理者 | |
| アプリケーションの登録を作成する (すべてのユーザーについて権限が無効になっている場合) | アプリケーション開発者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
| コネクタ グループを作成する | アプリケーション管理者 | |
| コネクタ グループを削除する | アプリケーション管理者 | |
| アプリケーション プロキシの無効化 | アプリケーション管理者 | |
| コネクタ サービスをダウンロードする | アプリケーション管理者 | |
| すべての構成を読み取る | アプリケーション管理者 |
外部 ID/Azure AD B2C の最小特権ロール
Microsoft Entra External ID と Azure Active Directory B2C でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| Azure AD B2C のディレクトリを作成する | ゲスト以外のすべてのユーザー | |
| エンタープライズ アプリケーションを作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
| B2C のポリシーの作成、読み取り、更新、削除を実行する | B2C IEF ポリシー管理者 | |
| ID プロバイダーの作成、読み取り、更新、削除を実行する | 外部 ID プロバイダー管理者 | |
| パスワード リセット ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
| プロファイル編集ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
| サインイン ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
| サインアップ ユーザー フローの作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー管理者 | |
| ユーザー属性の作成、読み取り、更新、削除を実行する | 外部 ID ユーザー フロー属性管理者 | |
| ユーザーの作成、読み取り、更新、削除を実行する | ユーザー管理者 | |
| B2B 外部コラボレーションの設定を構成する - ゲスト ユーザー アクセス | 特権ロール管理者 | |
| B2B 外部コラボレーションの設定を構成する - ゲスト招待の設定 | ゲスト招待元 | 外部 ID ユーザー フロー管理者 |
| B2B 外部コラボレーションの設定を構成する - 外部ユーザーの脱退設定 | 外部 ID プロバイダー管理者 | |
| B2B 外部コラボレーションの設定を構成する - コラボレーションの制限 | グローバル管理者 | |
| すべての構成を読み取る | グローバル読者 | |
| B2C 監査ログを読み取る | グローバル読者 |
Note
Azure AD B2C の全体管理者には、Microsoft Entra の全体管理者と同じアクセス許可はありません。 Azure AD B2C の全体管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。
最小限の特権ロールをブランド化する会社
Microsoft Entra ID で 会社のブランド化 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 会社のブランドの構成 | 組織ブランド化管理者 | |
| すべての構成を読み取る | ディレクトリ 閲覧者 | 既定のユーザー ロール |
最小特権ロールを接続する
Microsoft Entra Connect でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| パススルー認証 | ハイブリッド ID の管理者 | |
| すべての構成を読み取る | グローバル読者 | ハイブリッド ID の管理者 |
| シームレス シングル サインオン | ハイブリッド ID の管理者 |
Sync の最小特権ロールの接続
Microsoft Entra Connect Sync でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| オンプレミスのディレクトリ同期を管理する | ハイブリッド ID の管理者 |
クラウド プロビジョニングの最小特権ロール
Microsoft Entra ID で ID プロビジョニング のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| パススルー認証 | ハイブリッド ID の管理者 | |
| すべての構成を読み取る | グローバル読者 | ハイブリッド ID の管理者 |
| シームレス シングル サインオン | ハイブリッド ID の管理者 |
正常性の最小特権ロールを接続する
Microsoft Entra Connect Health でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| サービスを追加または削除する | Owner | |
| 同期エラーに対する修正プログラムを適用する | Contributor | Owner |
| 通知の構成 | Contributor | Owner |
| 設定の構成 | Owner | |
| 同期の通知を構成する | Contributor | Owner |
| ADFS セキュリティ レポートを読み取る | セキュリティリーダー |
Contributor Owner |
| すべての構成を読み取る | Reader |
Contributor Owner |
| 同期エラーを読み取る | Reader |
Contributor Owner |
| 同期サービスを読み取る | Reader |
Contributor Owner |
| メトリックとアラートを表示する | Reader |
Contributor Owner |
| メトリックとアラートを表示する | Reader |
Contributor Owner |
| 同期サービスのメトリックとアラートを表示する | Reader |
Contributor Owner |
カスタム ドメイン名の最小特権ロール
Microsoft Entra ID で カスタム ドメイン名 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ドメインの管理 | ドメイン名管理者 | |
| すべての構成を読み取る | ディレクトリ 閲覧者 | 既定のユーザー ロール |
Domain Services の最小特権ロール
Microsoft Entra Domain Services でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| Microsoft Entra Domain Services のインスタンスを作成する |
アプリケーション管理者 グループ管理者 ドメイン サービス共同作成者 |
|
| すべての Microsoft Entra Domain Services のタスクを実行する | AAD DC 管理者グループ | |
| すべての構成を読み取る | AD DS サービスを含む Azure サブスクリプションの閲覧者 |
デバイスの最小特権ロール
Microsoft Entra ID で デバイス ID のタスクを実行するときに使用する必要がある最小特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| デバイスを削除する | クラウド デバイス管理者 | Intune 管理者 |
| デバイスを無効にする | クラウド デバイス管理者 | Intune 管理者 |
| デバイスを有効にする | クラウド デバイス管理者 | Intune 管理者 |
| 基本構成を読み取る | 既定のユーザー ロール | |
| BitLocker キーを読み取る | クラウド デバイス管理者 |
ヘルプデスク管理者 Intune 管理者 セキュリティ管理者 セキュリティリーダー |
| IoT デバイスのプロビジョニングと管理 | IoT デバイス管理者 を する | クラウド デバイス管理者 |
| IoT デバイス テンプレートの管理 | IoT デバイス管理者 を する | クラウド デバイス管理者 |
エンタープライズ アプリケーションの最小特権ロール
Microsoft Entra ID で アプリケーション管理 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 委任された任意のアクセス許可に同意する | クラウド アプリケーション管理者 | アプリケーション管理者 |
| アプリケーションのアクセス許可に同意する (Microsoft Graph を除く) | クラウド アプリケーション管理者 | アプリケーション管理者 |
| Microsoft Graph へのアプリケーションのアクセス許可に同意する | 特権ロール管理者 | |
| アプリケーションが自分のデータにアクセスすることに同意する | 既定のユーザー ロール | |
| エンタープライズ アプリケーションを作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
| アプリケーション プロキシを管理する | アプリケーション管理者 | |
| グループまたはアプリのアクセス レビューを読み取る | セキュリティリーダー |
セキュリティ管理者 ユーザー管理者 |
| すべての構成を読み取る | 既定のユーザー ロール | |
| エンタープライズ アプリケーションの割り当てを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 ユーザー管理者 |
| エンタープライズ アプリケーション所有者を更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
| エンタープライズ アプリケーションのプロパティを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
| エンタープライズ アプリケーションのプロビジョニングを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
| エンタープライズ アプリケーションのセルフ サービスを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
| シングル サインオンのプロパティを更新する | エンタープライズ アプリケーション所有者 |
クラウド アプリケーション管理者 アプリケーション管理者 |
| カスタム認証拡張機能を作成して管理する | 認証拡張性の管理者 | アプリケーション管理者 |
エンタイトルメント管理の最小特権ロール
Microsoft Entra ID ガバナンスで エンタイトルメント管理 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| エンタイトルメント管理のタスク | ID ガバナンス管理者の。 エンタイトルメント管理システム内のこれより低い特権のロールについては、「 エンタイトルメント管理での委任とロール」を参照してください。 |
最小特権ロールをグループ化する
Microsoft Entra ID で グループ のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ライセンスを割り当てる | ユーザー管理者 | |
| グループの作成 | グループ管理者 | ユーザー管理者 |
| グループまたはアプリのアクセス レビューを作成、更新、削除する | ユーザー管理者 | |
| グループの有効期限を管理する | ユーザー管理者 | |
| グループ設定の管理 | グループ管理者 | ユーザー管理者 |
| すべての構成を読み取る (非表示のメンバーシップを除く) | ディレクトリ 閲覧者 | 既定のユーザー ロール |
| 非表示のメンバーシップを読み取る | グループメンバー |
グループ所有者 パスワード管理者 Exchange 管理者 SharePoint 管理者 Teams 管理者 ユーザー管理者 |
| 非表示のメンバーシップを含むグループのメンバーシップを読み取る | ヘルプデスク管理者 |
ユーザー管理者 Teams 管理者 |
| ライセンスの取り消し | ライセンス管理者 | ユーザー管理者 |
| 動的メンバーシップ グループを更新する | グループ所有者 | ユーザー管理者 |
| グループ所有者を更新する | グループ所有者 | ユーザー管理者 |
| グループのプロパティを更新する | グループ所有者 | ユーザー管理者 |
| グループの削除 | グループ管理者 | ユーザー管理者 |
最小限の特権ロールのライセンス
Microsoft Entra ライセンスのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ライセンスを割り当てる | ライセンス管理者 | ユーザー管理者 |
| すべての構成を読み取る | ディレクトリ 閲覧者 | 既定のユーザー ロール |
| ライセンスの取り消し | ライセンス管理者 | ユーザー管理者 |
| サブスクリプションを試用または購入する | 課金管理者 |
ライフサイクル ワークフローの最小特権ロール
Microsoft Entra ID Governance で ライフサイクル ワークフロー のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ワークフローを作成する | ライフサイクル ワークフロー管理者 | |
| ワークフローにカスタム拡張機能を追加する |
ライフサイクル ワークフロー管理者。 また、 |
Microsoft Entra Health の最小特権ロール
Microsoft Entra Health 監視でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| シナリオ監視シグナルとアラート構成を表示する | レポート閲覧者 |
セキュリティリーダー セキュリティ オペレーター セキュリティ管理者 ヘルプデスク管理者 グローバル読者 |
| アラートとアラートの電子メール構成を更新する | ヘルプデスク管理者 |
Microsoft Entra ID Protection の最小特権ロール
Microsoft Entra ID Protection でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| アラート通知を構成する | セキュリティ管理者 | |
| MFA ポリシーを構成し、有効または無効にする | セキュリティ管理者 | |
| サインイン リスク ポリシーを構成し、有効または無効にする | セキュリティ管理者 | |
| ユーザー リスク ポリシーを構成し、有効または無効にする | セキュリティ管理者 | |
| 週刊ダイジェストを構成する | セキュリティ管理者 | |
| すべてのリスク検出を無視する | セキュリティ オペレーター | |
| 脆弱性を修正または無視する | セキュリティ管理者 | |
| すべての構成を読み取る | セキュリティリーダー | |
| すべてのリスク検出を読み取る | セキュリティリーダー | |
| 脆弱性の読み取り | セキュリティリーダー |
監視と正常性 - 監査ログとサインイン ログの最小特権ロール
Microsoft Entra 監視で監査ログとサインイン ログのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 監査ログとサインイン ログの読み取り | レポート閲覧者 |
アプリケーション管理者 クラウド アプリケーション管理者 クラウド デバイス管理者 グローバル セキュア アクセス 管理者 ハイブリッド ID の管理者 セキュリティ管理者 セキュリティ オペレーター セキュリティリーダー |
監視と正常性 - 最小特権ロールのログのプロビジョニング
Microsoft Entra プロビジョニング ログのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール | |
|---|---|---|---|
| プロビジョニング ログの読み取り | レポート閲覧者 | エンタープライズ アプリケーション所有者 |
アプリケーション管理者 クラウド アプリケーション管理者 クラウド デバイス管理者 ハイブリッド ID の管理者 セキュリティ管理者 セキュリティ オペレーター セキュリティリーダー |
監視と正常性 - 推奨事項の最小特権ロール
Microsoft Entra ID の推奨事項のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 推奨事項の読み取り | レポート閲覧者 |
セキュリティリーダー グローバル読者 ヘルプデスク管理者 サービス サポート管理者 ユーザー管理者 |
| 推奨事項を更新する | 認証ポリシー管理者 |
アプリケーション管理者 認証管理者 クラウド アプリケーション管理者 条件付きアクセス管理者 Exchange 管理者 ハイブリッド ID の管理者 Identity Governance 管理者 特権ロール管理者 セキュリティ管理者 セキュリティ オペレーター SharePoint 管理者 |
| ID セキュリティ スコアの改善アクションの読み取り | サービス サポート管理者 |
セキュリティ管理者 Exchange 管理者 |
| ID セキュリティ スコアの改善アクションを更新する | SharePoint 管理者 |
ヘルプデスク管理者 ユーザー管理者 セキュリティリーダー セキュリティ オペレーター グローバル読者 |
監視と正常性 - サインイン診断ツール
サインイン診断ツールの実行時に使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 問題の診断と解決からサインイン診断を使用する | 課金管理者 |
アプリケーション管理者 クラウド アプリケーション管理者 クラウド デバイス管理者 条件付きアクセス管理者 カスタマー ロックボックスのアクセス承認者 グループ管理者 ライセンス管理者 グローバル読者 ヘルプデスク管理者 特権ロール管理者 セキュリティ管理者 ユーザー管理者 |
| サインイン ログからサインイン診断を使用する | レポート閲覧者と課金管理者の両方 |
グローバル セキュア アクセス 管理者 ハイブリッド ID の管理者 セキュリティ管理者 セキュリティ オペレーター セキュリティリーダー |
多要素認証の最小特権ロール
Microsoft Entra 認証でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 選択したユーザーによって生成されたすべての既存のアプリケーション パスワードを削除する | 認証ポリシー管理者 | 認証管理者 |
| ユーザーごとの MFA を無効にする | 認証管理者 | 特権認証管理者 |
| ユーザーごとの MFA の有効化 | 認証管理者 | 特権認証管理者 |
| MFA サービスの設定を管理する | 認証ポリシー管理者 | |
| 選択したユーザーについて連絡方法の再指定を必須にする | 認証管理者 | |
| 記憶されているすべてのデバイスで多要素認証を復元する | 認証管理者 |
MFA サーバーの最小特権ロール
MFA Server でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ユーザーのブロック/ブロック解除 | 認証ポリシー管理者 | |
| アカウント ロックアウトを構成する | 認証ポリシー管理者 | |
| キャッシュ規則を構成する | 認証ポリシー管理者 | |
| 不正アクセスのアラートを構成する | 認証ポリシー管理者 | |
| 通知の構成 | 認証ポリシー管理者 | |
| ワンタイム バイパスを構成する | 認証ポリシー管理者 | |
| 電話の設定を構成する | 認証ポリシー管理者 | |
| プロバイダーの構成 | 認証ポリシー管理者 | |
| サーバー設定の構成 | 認証ポリシー管理者 | |
| アクティビティ レポートを読み取る | グローバル読者 | |
| すべての構成を読み取る | グローバル読者 | |
| サーバーの状態を読み取る | グローバル読者 |
組織のリレーションシップの最小特権ロール
Microsoft Entra External ID で 外部コラボレーション設定 のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ID プロバイダーを管理する | 外部 ID プロバイダー管理者 | |
| すべての構成を読み取る | グローバル読者 |
パスワード リセットの最小特権ロール
Microsoft Entra ID で パスワード リセット のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 認証方法を構成する | 認証ポリシー管理者 | |
| カスタマイズの構成 | 認証ポリシー管理者 | |
| 通知の構成 | 認証ポリシー管理者 | |
| オンプレミスの統合を構成する | 認証ポリシー管理者 | |
| パスワードのリセット プロパティを構成する | ユーザー管理者 | 認証ポリシー管理者 |
| 登録の構成 | 認証ポリシー管理者 | |
| すべての構成を読み取る | セキュリティ管理者 | ユーザー管理者 |
Privileged Identity Management の最小特権ロール
Microsoft Entra ID ガバナンスで Microsoft Entra Privileged Identity Management のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ユーザーをロールに割り当てる | 特権ロール管理者 | |
| ロール設定を構成する | 特権ロール管理者 | |
| 監査アクティビティを表示する | セキュリティリーダー | |
| ロールのメンバーシップを表示する | セキュリティリーダー |
ロールと管理者の最小特権ロール
Microsoft Entra ID でロールと管理者のタスクを実行するときに使用する必要がある最小限 の特権ロールを 次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ロールの割り当てを管理する | 特権ロール管理者 | |
| Microsoft Entra ロールのアクセス レビューを読み取る | セキュリティリーダー |
セキュリティ管理者 特権ロール管理者 |
| すべての構成を読み取る | 既定のユーザー ロール |
セキュリティ - 認証方法の最小特権ロール
Microsoft Entra ID で 認証方法 のタスクを実行するときに使用する必要がある最小特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 認証方法を有効または無効にする | 認証ポリシー管理者 | |
| 個々のユーザー認証方法の表示、代理プロビジョニング、および管理を行う | 認証管理者 | 特権認証管理者 |
| パスワード保護を構成する | セキュリティ管理者 | |
| スマート ロックアウトを構成する | セキュリティ管理者 | |
| すべての構成を読み取る | グローバル読者 |
セキュリティ - 条件付きアクセスの最小特権ロール
Microsoft Entra ID で 条件付きアクセス のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| MFA の信頼できる IP アドレスを構成する | 条件付きアクセス管理者 | |
| カスタム コントロールを作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
| ネームド ロケーションを作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
| ポリシーを作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
| 利用規約を作成する | 条件付きアクセス管理者 | セキュリティ管理者 |
| VPN 接続の証明書を作成する | クラウド アプリケーション管理者 | アプリケーション管理者 |
| クラシック ポリシーを削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
| 論理的に削除されたポリシーを復元する | 条件付きアクセス管理者 | セキュリティ管理者 |
| 利用規約を削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
| VPN 接続の証明書を削除する | 条件付きアクセス管理者 | セキュリティ管理者 |
| クラシック ポリシーを無効にする | 条件付きアクセス管理者 | セキュリティ管理者 |
| カスタム コントロールを管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
| ネームド ロケーションを管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
| 利用規約を管理する | 条件付きアクセス管理者 | セキュリティ管理者 |
| すべての構成を読み取る | セキュリティリーダー | |
| ネームド ロケーションを読み取る | セキュリティリーダー | |
| 使用条件の読み取り | セキュリティリーダー | グローバル読者 |
| サインインしているユーザーが同意した使用条件を確認する | 既定のユーザー ロール |
セキュリティ - ID セキュリティ スコアの最小特権ロール
Microsoft Entra ID で ID セキュリティ スコア のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| すべての構成を読み取る | セキュリティリーダー | セキュリティ管理者 |
| セキュリティ スコアを読み取る | セキュリティリーダー | セキュリティ管理者 |
| イベントの状態を更新する | セキュリティ管理者 |
セキュリティ - 危険なサインインの最小特権ロール
Microsoft Entra ID Protection で 危険なサインイン のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| すべての構成を読み取る | セキュリティリーダー | |
| 危険なサインインを読み取る | セキュリティリーダー |
セキュリティ - リスクが最も低い特権ロールのフラグが設定されたユーザー
Microsoft Entra ID Protection で リスクのフラグが設定されたユーザー に対してタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| すべてのイベントを閉じる | セキュリティ管理者 | |
| すべての構成を読み取る | セキュリティリーダー | |
| リスクのフラグ付きユーザーを読み取る | セキュリティリーダー |
一時アクセス パスの最小特権ロール
Microsoft Entra ID で 一時アクセス パス のタスクを実行する場合に使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| 管理者またはメンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する | 特権認証管理者 | |
| メンバー (自分を除く) の一時アクセス パスを作成、削除、または表示する | 認証管理者 | |
| ユーザーの一時アクセス パスの詳細を表示する (コード自体は表示しない) | グローバル読者 | |
| 一時アクセス パスの認証方法ポリシーを構成または更新する | 認証ポリシー管理者 |
テナントの最小特権ロール
Microsoft Entra テナントでタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| Microsoft Entra ID または Azure AD B2C テナントを作成する | テナント作成者 | |
| Microsoft Entra テナントのプロパティを更新する | 課金管理者 | |
| プライバシーに関する声明と連絡先を管理する | 課金管理者 |
ユーザーの最小特権ロール
Microsoft Entra ID で ユーザー のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
| Task | 最小特権ロール | その他のロール |
|---|---|---|
| ディレクトリ ロールにユーザーを追加する | 特権ロール管理者 | |
| ユーザーをグループに追加する | ユーザー管理者 | |
| ライセンスを割り当てる | ライセンス管理者 | ユーザー管理者 |
| ゲスト ユーザーを作成する | ゲスト招待元 | ユーザー管理者 |
| ゲスト ユーザーの招待をリセットする | ヘルプデスク管理者 | ユーザー管理者 |
| ユーザーの作成 | ユーザー管理者 | |
| ユーザーの削除 | ユーザー管理者 | |
| 制限付き管理者の更新トークンを無効にする | ユーザー管理者 | |
| 非管理者の更新トークンを無効にする | ヘルプデスク管理者 | ユーザー管理者 |
| 特権管理者の更新トークンを無効にする | 特権認証管理者 | |
| 基本構成を読み取る | 既定のユーザー ロール | |
| 制限付き管理者のパスワードをリセットする | ユーザー管理者 | |
| 非管理者のパスワードをリセットする | パスワード管理者 | ユーザー管理者 |
| 特権管理者のパスワードをリセットする | 特権認証管理者 | |
| ライセンスの取り消し | ライセンス管理者 | ユーザー管理者 |
| ユーザー プリンシパル名を除くすべてのプロパティを更新する | ユーザー管理者 | |
| オンプレミスの同期が有効なプロパティを更新する | ハイブリッド ID の管理者 | |
| プロフィール写真とユーザー設定を更新する | People Administrator | |
| 制限付き管理者のユーザー プリンシパル名を更新する | ユーザー管理者 | |
| 特権管理者のユーザー プリンシパル名プロパティを更新する | 特権認証管理者 | |
| ユーザー設定の更新 - 既定のユーザー ロールのアクセス許可 | 特権ロール管理者 | |
| ユーザー設定を更新する - ゲスト ユーザー アクセス | 特権ロール管理者 | |
| ユーザー設定を更新する - 管理センター | グローバル管理者 | |
| ユーザー設定を更新する - LinkedIn アカウント接続 | グローバル管理者 | |
| ユーザー設定を更新する - [サインインしたままにする] を表示する | グローバル管理者 | |
| 認証方法を更新する | 認証管理者 | 特権認証管理者 |
最小限の特権ロールをサポートする
Microsoft Entra ID で サポート するタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。
次のステップ
- Microsoft Entra ロールの割り当て
- Microsoft Entra ID でカスタム ロールを作成する
- Microsoft Entra ビルトイン ロール