Microsoft Entra ID のタスク別の最小特権ロール

2025-07-29

この記事では、Microsoft Entra ID のいくつかのタスクに使用する必要がある最小限の特権ロールについて説明します。機能領域ごとのタスクと、各タスクを実行するために必要な最小特権ロールのほか、そのタスクを実行できる非グローバル管理者ロールも別途記載しています。

より小さなスコープでロールを割り当てるか、独自のカスタムロールを作成することで、アクセス許可をさらに制限できます。詳細については、「Microsoft Entra ロール割り当てる」または「Microsoft Entra IDでカスタムロールを作成する」を参照してください。

アプリケーションプロキシの最小特権ロール

Microsoft Entra アプリケーションプロキシでタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
アプリケーションプロキシアプリを構成する	Application Administrator
コネクタグループのプロパティを構成する	Application Administrator
アプリケーションの登録を作成する (すべてのユーザーについて権限が無効になっている場合)	Application Developer	クラウドアプリケーション管理者 Application Administrator
コネクタグループを作成する	Application Administrator
コネクタグループを削除する	Application Administrator
アプリケーションプロキシの無効化	Application Administrator
コネクタサービスをダウンロードする	Application Administrator
すべての構成を読み取る	Application Administrator

外部 ID/Azure AD B2C の最小特権ロール

Microsoft Entra External ID と Azure Active Directory B2C でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Azure AD B2C のディレクトリを作成する	ゲスト以外のすべてのユーザー
エンタープライズアプリケーションを作成する	クラウドアプリケーション管理者	Application Administrator
B2C のポリシーの作成、読み取り、更新、削除を実行する	B2C IEF ポリシー管理者
ID プロバイダーの作成、読み取り、更新、削除を実行する	外部 ID プロバイダー管理者
パスワードリセットユーザーフローの作成、読み取り、更新、削除を実行する	外部 ID ユーザーフロー管理者
プロファイル編集ユーザーフローの作成、読み取り、更新、削除を実行する	外部 ID ユーザーフロー管理者
サインインユーザーフローの作成、読み取り、更新、削除を実行する	外部 ID ユーザーフロー管理者
サインアップユーザーフローの作成、読み取り、更新、削除を実行する	外部 ID ユーザーフロー管理者
ユーザー属性の作成、読み取り、更新、削除を実行する	外部 ID ユーザーフロー属性管理者
ユーザーの作成、読み取り、更新、削除を実行する	User Administrator
B2B 外部コラボレーションの設定を構成する - ゲストユーザーアクセス	特権ロール管理者
B2B 外部コラボレーションの設定を構成する - ゲスト招待の設定	Guest Inviter	外部 ID ユーザーフロー管理者
B2B 外部コラボレーションの設定を構成する - 外部ユーザーの脱退設定	外部 ID プロバイダー管理者
B2B 外部コラボレーションの設定を構成する - コラボレーションの制限	Global Administrator
すべての構成を読み取る	Global Reader
B2C 監査ログを読み取る	Global Reader

Note

Azure AD B2C の全体管理者には、Microsoft Entra の全体管理者と同じアクセス許可はありません。 Azure AD B2C の全体管理者権限がある場合、ユーザーが Microsoft Entra ディレクトリではなく Azure AD B2C ディレクトリにいることを確認してください。

最小限の特権ロールをブランド化する会社

Microsoft Entra ID で会社のブランド化のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
会社のブランドの構成	組織ブランド化管理者
すべての構成を読み取る	Directory Readers	既定のユーザーロール

最小特権ロールを接続する

Microsoft Entra Connect でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Passthrough authentication	ハイブリッド ID の管理者
すべての構成を読み取る	Global Reader	ハイブリッド ID の管理者
シームレスシングルサインオン	ハイブリッド ID の管理者

Sync の最小特権ロールの接続

Microsoft Entra Connect Sync でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
オンプレミスのディレクトリ同期を管理する	ハイブリッド ID の管理者

クラウドプロビジョニングの最小特権ロール

Microsoft Entra ID で ID プロビジョニングのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Passthrough authentication	ハイブリッド ID の管理者
すべての構成を読み取る	Global Reader	ハイブリッド ID の管理者
シームレスシングルサインオン	ハイブリッド ID の管理者

正常性の最小特権ロールを接続する

Microsoft Entra Connect Health でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
サービスを追加または削除する	Owner
同期エラーに対する修正プログラムを適用する	Contributor	Owner
Configure notifications	Contributor	Owner
Configure settings	Owner
同期の通知を構成する	Contributor	Owner
ADFS セキュリティレポートを読み取る	Security Reader	Contributor Owner
すべての構成を読み取る	Reader	Contributor Owner
同期エラーを読み取る	Reader	Contributor Owner
同期サービスを読み取る	Reader	Contributor Owner
メトリックとアラートを表示する	Reader	Contributor Owner
メトリックとアラートを表示する	Reader	Contributor Owner
同期サービスのメトリックとアラートを表示する	Reader	Contributor Owner

カスタムドメイン名の最小特権ロール

Microsoft Entra ID でカスタムドメイン名のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Manage domains	ドメイン名管理者
すべての構成を読み取る	Directory Readers	既定のユーザーロール

Domain Services の最小特権ロール

Microsoft Entra Domain Services でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Microsoft Entra Domain Services のインスタンスを作成する	Application Administrator Groups Administrator ドメインサービス共同作成者
すべての Microsoft Entra Domain Services のタスクを実行する	AAD DC 管理者グループ
すべての構成を読み取る	AD DS サービスを含む Azure サブスクリプションの閲覧者

デバイスの最小特権ロール

Microsoft Entra ID でデバイス ID のタスクを実行するときに使用する必要がある最小特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Delete device	クラウドデバイス管理者	Intune Administrator
Disable device	クラウドデバイス管理者	Intune Administrator
Enable device	クラウドデバイス管理者	Intune Administrator
基本構成を読み取る	既定のユーザーロール
BitLocker キーを読み取る	クラウドデバイス管理者	Helpdesk Administrator Intune Administrator Security Administrator Security Reader
IoT デバイスのプロビジョニングと管理	IoT デバイス管理者をする	クラウドデバイス管理者
IoT デバイステンプレートの管理	IoT デバイス管理者をする	クラウドデバイス管理者

エンタープライズアプリケーションの最小特権ロール

Microsoft Entra ID でアプリケーション管理のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
委任された任意のアクセス許可に同意する	クラウドアプリケーション管理者	Application Administrator
アプリケーションのアクセス許可に同意する (Microsoft Graph を除く)	クラウドアプリケーション管理者	Application Administrator
Microsoft Graph へのアプリケーションのアクセス許可に同意する	特権ロール管理者
アプリケーションが自分のデータにアクセスすることに同意する	既定のユーザーロール
エンタープライズアプリケーションを作成する	クラウドアプリケーション管理者	Application Administrator
アプリケーションプロキシを管理する	Application Administrator
グループまたはアプリのアクセスレビューを読み取る	Security Reader	Security Administrator User Administrator
すべての構成を読み取る	既定のユーザーロール
エンタープライズアプリケーションの割り当てを更新する	エンタープライズアプリケーション所有者	クラウドアプリケーション管理者 Application Administrator User Administrator
エンタープライズアプリケーション所有者を更新する	エンタープライズアプリケーション所有者	クラウドアプリケーション管理者 Application Administrator
エンタープライズアプリケーションのプロパティを更新する	エンタープライズアプリケーション所有者	クラウドアプリケーション管理者 Application Administrator
エンタープライズアプリケーションのプロビジョニングを更新する	エンタープライズアプリケーション所有者	クラウドアプリケーション管理者 Application Administrator
エンタープライズアプリケーションのセルフサービスを更新する	エンタープライズアプリケーション所有者	クラウドアプリケーション管理者 Application Administrator
シングルサインオンのプロパティを更新する	エンタープライズアプリケーション所有者	クラウドアプリケーション管理者 Application Administrator
カスタム認証拡張機能を作成して管理する	認証拡張性の管理者	Application Administrator

エンタイトルメント管理の最小特権ロール

Microsoft Entra ID ガバナンスでエンタイトルメント管理のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
エンタイトルメント管理のタスク	ID ガバナンス管理者の。エンタイトルメント管理システム内のこれより低い特権のロールについては、「エンタイトルメント管理での委任とロール」を参照してください。

最小特権ロールをグループ化する

Microsoft Entra ID でグループのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Assign license	User Administrator
Create group	Groups Administrator	User Administrator
グループまたはアプリのアクセスレビューを作成、更新、削除する	User Administrator
グループの有効期限を管理する	User Administrator
グループ設定の管理	Groups Administrator	User Administrator
すべての構成を読み取る (非表示のメンバーシップを除く)	Directory Readers	既定のユーザーロール
非表示のメンバーシップを読み取る	Group member	Group owner Password Administrator Exchange Administrator SharePoint Administrator Teams Administrator User Administrator
非表示のメンバーシップを含むグループのメンバーシップを読み取る	Helpdesk Administrator	User Administrator Teams Administrator
Revoke license	License Administrator	User Administrator
動的メンバーシップグループを更新する	Group owner	User Administrator
グループ所有者を更新する	Group owner	User Administrator
グループのプロパティを更新する	Group owner	User Administrator
Delete group	Groups Administrator	User Administrator

最小限の特権ロールのライセンス

Microsoft Entra ライセンスのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Assign license	License Administrator	User Administrator
すべての構成を読み取る	Directory Readers	既定のユーザーロール
Revoke license	License Administrator	User Administrator
サブスクリプションを試用または購入する	Billing Administrator

ライフサイクルワークフローの最小特権ロール

Microsoft Entra ID Governance でライフサイクルワークフローのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
ワークフローを作成する	ライフサイクルワークフロー管理者
ワークフローにカスタム拡張機能を追加する	ライフサイクルワークフロー管理者。また、ロジックアプリの共同作成者か、Azure Resource Manager ロール所有者する必要があります。

Microsoft Entra Health の最小特権ロール

Microsoft Entra Health 監視でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
シナリオ監視シグナルとアラート構成を表示する	Reports Reader	Security Reader Security Operator Security Administrator Helpdesk Administrator Global Reader
アラートとアラートの電子メール構成を更新する	Helpdesk Administrator

Microsoft Entra ID Protection の最小特権ロール

Microsoft Entra ID Protection でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
アラート通知を構成する	Security Administrator
MFA ポリシーを構成し、有効または無効にする	Security Administrator
サインインリスクポリシーを構成し、有効または無効にする	Security Administrator
ユーザーリスクポリシーを構成し、有効または無効にする	Security Administrator
週刊ダイジェストを構成する	Security Administrator
すべてのリスク検出を無視する	Security Operator
脆弱性を修正または無視する	Security Administrator
すべての構成を読み取る	Security Reader
すべてのリスク検出を読み取る	Security Reader
Read vulnerabilities	Security Reader

Microsoft Entra 監視で監査ログとサインインログのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
監査ログとサインインログの読み取り	Reports Reader	Application Administrator クラウドアプリケーション管理者クラウドデバイス管理者グローバルセキュアアクセス管理者ハイブリッド ID の管理者 Security Administrator Security Operator Security Reader

監視と正常性 - 最小特権ロールのログのプロビジョニング

Microsoft Entra プロビジョニングログのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
プロビジョニングログの読み取り	Reports Reader	エンタープライズアプリケーション所有者	Application Administrator クラウドアプリケーション管理者クラウドデバイス管理者ハイブリッド ID の管理者 Security Administrator Security Operator Security Reader

監視と正常性 - 推奨事項の最小特権ロール

Microsoft Entra ID の推奨事項のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Read recommendations	Reports Reader	Security Reader Global Reader Helpdesk Administrator サービスサポート管理者 User Administrator
Update recommendations	認証ポリシー管理者	Application Administrator Authentication Administrator クラウドアプリケーション管理者条件付きアクセス管理者 Exchange Administrator ハイブリッド ID の管理者 Identity Governance 管理者特権ロール管理者 Security Administrator Security Operator SharePoint Administrator
ID セキュリティスコアの改善アクションの読み取り	サービスサポート管理者	Security Administrator Exchange Administrator
ID セキュリティスコアの改善アクションを更新する	SharePoint Administrator	Helpdesk Administrator User Administrator Security Reader Security Operator Global Reader

サインイン診断ツールの実行時に使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
問題の診断と解決からサインイン診断を使用する	Billing Administrator	Application Administrator クラウドアプリケーション管理者クラウドデバイス管理者条件付きアクセス管理者カスタマーロックボックスのアクセス承認者 Groups Administrator License Administrator Global Reader Helpdesk Administrator 特権ロール管理者 Security Administrator User Administrator
サインインログからサインイン診断を使用する	レポート閲覧者と課金管理者の両方	グローバルセキュアアクセス管理者ハイブリッド ID の管理者 Security Administrator Security Operator Security Reader

多要素認証の最小特権ロール

Microsoft Entra 認証でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
選択したユーザーによって生成されたすべての既存のアプリケーションパスワードを削除する	認証ポリシー管理者	Authentication Administrator
ユーザーごとの MFA を無効にする	Authentication Administrator	特権認証管理者
ユーザーごとの MFA の有効化	Authentication Administrator	特権認証管理者
MFA サービスの設定を管理する	認証ポリシー管理者
選択したユーザーについて連絡方法の再指定を必須にする	Authentication Administrator
記憶されているすべてのデバイスで多要素認証を復元する	Authentication Administrator

MFA サーバーの最小特権ロール

MFA Server でタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Block/unblock users	認証ポリシー管理者
アカウントロックアウトを構成する	認証ポリシー管理者
キャッシュ規則を構成する	認証ポリシー管理者
不正アクセスのアラートを構成する	認証ポリシー管理者
Configure notifications	認証ポリシー管理者
ワンタイムバイパスを構成する	認証ポリシー管理者
電話の設定を構成する	認証ポリシー管理者
Configure providers	認証ポリシー管理者
サーバー設定の構成	認証ポリシー管理者
アクティビティレポートを読み取る	Global Reader
すべての構成を読み取る	Global Reader
サーバーの状態を読み取る	Global Reader

組織のリレーションシップの最小特権ロール

Microsoft Entra External ID で外部コラボレーション設定のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
ID プロバイダーを管理する	外部 ID プロバイダー管理者
すべての構成を読み取る	Global Reader

パスワードリセットの最小特権ロール

Microsoft Entra ID でパスワードリセットのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
認証方法を構成する	認証ポリシー管理者
Configure customization	認証ポリシー管理者
Configure notification	認証ポリシー管理者
オンプレミスの統合を構成する	認証ポリシー管理者
パスワードのリセットプロパティを構成する	User Administrator	認証ポリシー管理者
Configure registration	認証ポリシー管理者
すべての構成を読み取る	Security Administrator	User Administrator

Privileged Identity Management の最小特権ロール

Microsoft Entra ID ガバナンスで Microsoft Entra Privileged Identity Management のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
ユーザーをロールに割り当てる	特権ロール管理者
ロール設定を構成する	特権ロール管理者
監査アクティビティを表示する	Security Reader
ロールのメンバーシップを表示する	Security Reader

ロールと管理者の最小特権ロール

Microsoft Entra ID でロールと管理者のタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
ロールの割り当てを管理する	特権ロール管理者
Microsoft Entra ロールのアクセスレビューを読み取る	Security Reader	Security Administrator 特権ロール管理者
すべての構成を読み取る	既定のユーザーロール

セキュリティ - 認証方法の最小特権ロール

Microsoft Entra ID で認証方法のタスクを実行するときに使用する必要がある最小特権ロールを次に示します。

Task	最小特権ロール	Additional roles
認証方法を有効または無効にする	認証ポリシー管理者
個々のユーザー認証方法の表示、代理プロビジョニング、および管理を行う	Authentication Administrator	特権認証管理者
パスワード保護を構成する	Security Administrator
スマートロックアウトを構成する	Security Administrator
すべての構成を読み取る	Global Reader

セキュリティ - 条件付きアクセスの最小特権ロール

Microsoft Entra ID で条件付きアクセスのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
MFA の信頼できる IP アドレスを構成する	条件付きアクセス管理者
カスタムコントロールを作成する	条件付きアクセス管理者	Security Administrator
ネームドロケーションを作成する	条件付きアクセス管理者	Security Administrator
Create policies	条件付きアクセス管理者	Security Administrator
利用規約を作成する	条件付きアクセス管理者	Security Administrator
VPN 接続の証明書を作成する	クラウドアプリケーション管理者	Application Administrator
クラシックポリシーを削除する	条件付きアクセス管理者	Security Administrator
利用規約を削除する	条件付きアクセス管理者	Security Administrator
VPN 接続の証明書を削除する	条件付きアクセス管理者	Security Administrator
クラシックポリシーを無効にする	条件付きアクセス管理者	Security Administrator
カスタムコントロールを管理する	条件付きアクセス管理者	Security Administrator
ネームドロケーションを管理する	条件付きアクセス管理者	Security Administrator
利用規約を管理する	条件付きアクセス管理者	Security Administrator
すべての構成を読み取る	Security Reader
ネームドロケーションを読み取る	Security Reader
使用条件の読み取り	Security Reader	Global Reader
サインインしているユーザーが同意した使用条件を確認する	既定のユーザーロール

セキュリティ - ID セキュリティスコアの最小特権ロール

Microsoft Entra ID で ID セキュリティスコアのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
すべての構成を読み取る	Security Reader	Security Administrator
セキュリティスコアを読み取る	Security Reader	Security Administrator
イベントの状態を更新する	Security Administrator

セキュリティ - 危険なサインインの最小特権ロール

Microsoft Entra ID Protection で危険なサインインのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
すべての構成を読み取る	Security Reader
危険なサインインを読み取る	Security Reader

セキュリティ - リスクが最も低い特権ロールのフラグが設定されたユーザー

Microsoft Entra ID Protection でリスクのフラグが設定されたユーザーに対してタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
すべてのイベントを閉じる	Security Administrator
すべての構成を読み取る	Security Reader
リスクのフラグ付きユーザーを読み取る	Security Reader

一時アクセスパスの最小特権ロール

Microsoft Entra ID で一時アクセスパスのタスクを実行する場合に使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
管理者またはメンバー (自分を除く) の一時アクセスパスを作成、削除、または表示する	特権認証管理者
メンバー (自分を除く) の一時アクセスパスを作成、削除、または表示する	Authentication Administrator
ユーザーの一時アクセスパスの詳細を表示する (コード自体は表示しない)	Global Reader
一時アクセスパスの認証方法ポリシーを構成または更新する	認証ポリシー管理者

テナントの最小特権ロール

Microsoft Entra テナントでタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
Microsoft Entra ID または Azure AD B2C テナントを作成する	Tenant Creator
Microsoft Entra テナントのプロパティを更新する	Billing Administrator
プライバシーに関する声明と連絡先を管理する	Billing Administrator

ユーザーの最小特権ロール

Microsoft Entra ID でユーザーのタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
ディレクトリロールにユーザーを追加する	特権ロール管理者
ユーザーをグループに追加する	User Administrator
Assign license	License Administrator	User Administrator
ゲストユーザーを作成する	Guest Inviter	User Administrator
ゲストユーザーの招待をリセットする	Helpdesk Administrator	User Administrator
Create user	User Administrator
Delete users	User Administrator
制限付き管理者の更新トークンを無効にする	User Administrator
非管理者の更新トークンを無効にする	Helpdesk Administrator	User Administrator
特権管理者の更新トークンを無効にする	特権認証管理者
基本構成を読み取る	既定のユーザーロール
制限付き管理者のパスワードをリセットする	User Administrator
非管理者のパスワードをリセットする	Password Administrator	User Administrator
特権管理者のパスワードをリセットする	特権認証管理者
Revoke license	License Administrator	User Administrator
ユーザープリンシパル名を除くすべてのプロパティを更新する	User Administrator
オンプレミスの同期が有効なプロパティを更新する	ハイブリッド ID の管理者
プロフィール写真とユーザー設定を更新する	People Administrator
制限付き管理者のユーザープリンシパル名を更新する	User Administrator
特権管理者のユーザープリンシパル名プロパティを更新する	特権認証管理者
ユーザー設定の更新 - 既定のユーザーロールのアクセス許可	特権ロール管理者
ユーザー設定を更新する - ゲストユーザーアクセス	特権ロール管理者
ユーザー設定を更新する - 管理センター	Global Administrator
ユーザー設定を更新する - LinkedIn アカウント接続	Global Administrator
ユーザー設定を更新する - [サインインしたままにする] を表示する	Global Administrator
認証方法を更新する	Authentication Administrator	特権認証管理者

最小限の特権ロールをサポートする

Microsoft Entra ID でサポートするタスクを実行するときに使用する必要がある最小限の特権ロールを次に示します。

Task	最小特権ロール	Additional roles
サポートチケットを送信する	サービスサポート管理者	Application Administrator Azure Information Protection 管理者 Billing Administrator クラウドアプリケーション管理者 Compliance Administrator Dynamics 365 管理者デスクトップ Analytics 管理者 Exchange Administrator Helpdesk Administrator Intune Administrator Password Administrator Fabric Administrator 特権認証管理者 SharePoint Administrator Skype for Business 管理者 Teams Administrator Teams 通信管理者 User Administrator