跨 Microsoft 服务的角色

可以使用 Microsoft Entra ID 中的管理角色来管理 Microsoft 365 中的服务。 一些服务还提供特定于该服务的其他角色。 本文列出了与 Microsoft 365 和其他服务的基于角色的访问控制 (RBAC) 相关的内容、API 参考以及审核和监控参考。

Microsoft Entra

Microsoft Entra ID 与 Microsoft Entra 中的相关服务。

Microsoft Entra ID

区域 内容
概述 Microsoft Entra 内置角色
管理 API 参考 Microsoft Entra 角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 将角色分配到组时,请使用 Microsoft Graph v1.0 groups API 管理组成员身份
审核和监控参考 Microsoft Entra 角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核
• 将角色分配给组时,若要审核对组成员身份的更改,请参阅类别为 GroupManagement、活动为 Add member to groupRemove member from group 的审核

权利管理

区域 内容
概述 权利管理角色
管理 API 参考 Microsoft Entra ID 中特定于权利管理的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限以 microsoft.directory/entitlementManagement 开头的角色

特定于权利管理的角色
Microsoft Graph v1.0 roleManagement API
• 使用 entitlementManagement 提供程序
审核和监控参考 Microsoft Entra ID 中特定于权利管理的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

特定于权利管理的角色
在 Microsoft Entra 审核日志中,类别为 EntitlementManagement 且“活动”是以下项之一:
Remove Entitlement Management role assignment
Add Entitlement Management role assignment

Microsoft 365

Microsoft 365 套件中的服务。

Exchange

区域 内容
概述 Exchange Online 中的权限
管理 API 参考 Microsoft Entra ID 中特定于 Exchange 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 权限以 microsoft.office365.exchange 开头的角色

特定于 Exchange 的角色
Microsoft Graph Beta roleManagement API
• 使用 exchange 提供程序
审核和监控参考 Microsoft Entra ID 中特定于 Exchange 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

特定于 Exchange 的角色
使用 Microsoft Graph Beta 安全性 API审核日志查询)并列出 recordType == ExchangeAdmin 且操作为以下项之一的审核事件:
Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberNew-RoleGroupRemove-RoleGroupNew-ManagementRoleRemove-ManagementRoleEntryNew-ManagementRoleAssignment

SharePoint

包括 SharePoint、OneDrive、Delve、Lists、Project Online 和 Loop。

区域 内容
概述 关于 Microsoft 365 中的 SharePoint 管理员角色
面向管理员的 Delve
Microsoft Lists 的控制设置
Project Online 中的更改权限管理
管理 API 参考 Microsoft Entra ID 中特定于 SharePoint 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 权限以 microsoft.office365.sharepoint 开头的角色
审核和监控参考 Microsoft Entra ID 中特定于 SharePoint 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

Intune

区域 内容
概述 使用 Microsoft Intune 的基于角色的访问控制 (RBAC)
管理 API 参考 Microsoft Entra ID 中特定于 Intune 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 权限以 microsoft.intune 开头的角色

特定于 Intune 的角色
Microsoft Graph Beta roleManagement API
• 使用 deviceManagement 提供程序
• 或者,使用特定于 Intune 的 Microsoft Graph Beta RBAC 管理 API
审核和监控参考 Microsoft Entra ID 中特定于 Intune 的角色
Microsoft Graph v1.0 directoryAudit API
RoleManagement 类别

特定于 Intune 的角色
Intune 审核概述
对特定于 Intune 的审核日志的 API 访问权限:
Microsoft Graph Beta getAuditActivityTypes API
• 首先列出 category=Role 的活动类型,然后使用 Microsoft Graph Beta auditEvents API 列出每个活动类型的所有 auditEvents

Teams

包括 Teams、Bookings、Copilot Studio for Teams 和 Shifts。

区域 内容
概述 使用 Microsoft Teams 管理员角色来管理 Teams。
管理 API 参考 Microsoft Entra ID 中特定于 Teams 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 权限以 microsoft.teams 开头的角色
审核和监控参考 Microsoft Entra ID 中特定于 Teams 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

Purview 套件

包括 Purview 套件、Azure 信息保护和信息屏障。

区域 内容
概述 Microsoft Defender for Office 365 和 Microsoft Purview 中的角色和角色组
管理 API 参考 Microsoft Entra ID 中特定于 Purview 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限从以下项开始的角色:
microsoft.office365.complianceManager
microsoft.office365.protectionCenter
microsoft.office365.securityComplianceCenter

特定于 Purview 的角色
使用 PowerShell:安全性和合规性 PowerShell。 特定 cmdlet 包括:
Get-RoleGroup
Get-RoleGroupMember
New-RoleGroup
Add-RoleGroupMember
Update-RoleGroupMember
Remove-RoleGroupMember
Remove-RoleGroup
审核和监控参考 Microsoft Entra ID 中特定于 Purview 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

特定于 Purview 的角色
使用 Microsoft Graph Beta 安全性 API审核日志查询 Beta)并列出 recordType == SecurityComplianceRBAC 且“操作”为 Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberNew-RoleGroupRemove-RoleGroup 之一的审核事件:

Power Platform

包括 Power Platform、Dynamics 365、Flow 和 Dataverse for Teams。

区域 内容
概述 使用服务管理员角色管理您的租户
安全角色和特权
管理 API 参考 Microsoft Entra ID 中特定于 Power Platform 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限以下面内容开头的角色:
microsoft.powerApps
microsoft.dynamics365
microsoft.flow

特定于 Dataverse 的角色
使用 Web API 执行操作
• 查询“用户(SystemUser)表/实体参考
• 角色分配是 systemuserroles_association 表的一部分
审核和监控参考 Microsoft Entra ID 中特定于 Power Platform 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

特定于 Dataverse 的角色
Dataverse 审核概述
用于访问特定于 Dataverse 的审核日志的 API
Dataverse Web API
审核表参考
• 带有操作代码的审核:
53 - 为团队分配角色
54 - 从团队中删除角色
55 - 将角色分配给用户
56 - 从用户中删除角色
57 - 向角色添加权限
58 - 从角色中删除权限
59 - 替换角色中的特权

Defender 套件

包括 Defender 套件、安全功能分数、云应用安全和威胁情报。

区域 内容
概述 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC)
管理 API 参考 Microsoft Entra ID 中的特定于 Defender 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 以下角色具有权限(参考):安全管理员、安全操作员、安全读取者、全局管理员和全局读取者

特定于 Defender 的角色
必须激活工作负载才能使用 Defender 统一 RBAC。 请参阅“激活 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC)”。 激活 Defender 统一 RBAC 将关闭单个 Defender 解决方案角色。
• 只能通过 security.microsoft.com 门户进行管理。
审核和监控参考 Microsoft Entra ID 中的特定于 Defender 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

Viva Engage

区域 内容
概述 在 Viva Engage 中管理管理员角色
管理 API 参考 Microsoft Entra ID 中特定于 Viva Engage 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限以 microsoft.office365.yammer 开头的角色。

特定于 Viva Engage 的角色
• 可以通过 Yammer 管理中心管理已验证的管理员和网络管理员角色。
• 可以通过 Viva Engage 管理中心指定企业通信者角色。
Yammer 数据导出 API 可用于导出 admins.csv 以读取管理员列表
审核和监控参考 Microsoft Entra ID 中特定于 Viva Engage 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

特定于 Viva Engage 的角色
• 使用 Yammer 数据导出 API 以增量方式导出管理员列表 admins.csv

Viva Connections

区域 内容
概述 Microsoft Viva 中的管理员角色和任务
管理 API 参考 Microsoft Entra ID 中特定于 Viva Connections 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 以下角色具有权限:SharePoint 管理员、Teams 管理员和全局管理员
审核和监控参考 Microsoft Entra ID 中特定于 Viva Connections 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

Viva Learning

区域 内容
概述 在 Teams 管理中心设置 Microsoft Viva Learning
管理 API 参考 Microsoft Entra ID 中特定于 Viva Learning 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限以 microsoft.office365.knowledge 开头的角色
审核和监控参考 Microsoft Entra ID 中特定于 Viva Learning 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

Viva Insights

区域 内容
概述 Viva Insights 中的角色
管理 API 参考 Microsoft Entra ID 中特定于 Viva Insights 的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限以 microsoft.office365.insights 开头的角色
审核和监控参考 Microsoft Entra ID 中特定于 Viva Insights 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核
区域 内容
概述 设置 Microsoft 搜索
管理 API 参考 Microsoft Entra ID 中的特定于搜索的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限以 microsoft.office365.search 开头的角色
审核和监控参考 Microsoft Entra ID 中的特定于搜索的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

通用打印

区域 内容
概述 通用打印管理员角色
管理 API 参考 Microsoft Entra ID 中特定于通用打印的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 查看权限以 microsoft.azure.print 开头的角色
审核和监控参考 Microsoft Entra ID 中特定于通用打印的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

Microsoft 365 应用版套件管理

包括 Microsoft 365 应用版套件管理和 Forms。

区域 内容
概述 Microsoft 365 应用版管理中心概述
Microsoft Forms 的管理员设置
管理 API 参考 Microsoft Entra ID 中特定于Microsoft 365 应用版的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 以下角色具有权限:Office 应用管理员、安全管理员、全局管理员
审核和监控参考 Microsoft Entra ID 中特定于Microsoft 365 应用版的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 采用 RoleManagement 类别的审核

Azure

Azure 控制平面和订阅信息的 Azure 基于角色的访问控制 (Azure RBAC)。

Azure

包括 Azure 和 Sentinel。

区域 内容
概述 什么是 Azure 基于角色的访问控制 (Azure RBAC)?
Microsoft Sentinel 中的角色和权限
管理 API 参考 Azure 中特定于 Azure 服务的角色
Azure 资源管理器授权 API
• 角色分配:列出创建/更新删除
• 角色定义:列出创建/更新删除

• 可采用一种名为经典管理员的旧方法来授予对 Azure 资源的访问权限。 经典管理员相当于 Azure RBAC 中的“所有者”角色。 经典管理员将于 2024 年 8 月停用。
• 请注意,Microsoft Entra 全局管理员可以通过提升访问权限获得对 Azure 的单方面访问权限。
审核和监控参考 Azure 中特定于 Azure 服务的角色
使用 Azure 活动日志监视 Azure RBAC 更改
Azure 活动日志 API
• 采用事件类别 Administrative 和操作 Create role assignmentDelete role assignmentCreate or update custom role definitionDelete custom role definition 的审核。

在租户级别 Azure 活动日志中查看“提升访问权限”日志
Azure 活动日志 API - 租户活动日志
• 采用事件类别 Administrative 且包含字符串 elevateAccess 的审核。
• 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。

Commerce

与购买和计费相关的服务。

成本管理和计费 - 企业协议

区域 内容
概述 管理 Azure 企业协议角色
管理 API 参考 Microsoft Entra ID 中特定于企业协议的角色
企业协议不支持 Microsoft Entra 角色。

特定于企业协议的角色
计费角色分配 API
• 企业管理员(角色 ID:9f1983cb-2574-400c-87e9-34cf8e2280db)
• 企业管理员(只读)(角色 ID:24f8edb6-1668-4659-b5e2-40bb5f3a7d7e)
• EA 买方(角色 ID:da6647fb-7651-49ee-be91-c43c4877f0c4)
注册部门角色分配 API
• 部门管理员(角色 ID:fb2cf67f-be5b-42e7-8025-4683c668f840)
• 部门读取者(角色 ID:db609904-a47f-4794-9be8-9bd86fbffd8a)
注册帐户角色分配 API
• 帐户所有者(角色 ID:c15c22c0-9faf-424c-9b7e-bd91c06a240b)
审核和监控参考 特定于企业协议的角色
Azure 活动日志 API - 租户活动日志
• 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。
• 审核 resourceProvider == Microsoft.Billing 和 operationName 包含 billingRoleAssignmentsEnrollmentAccount

成本管理和计费 - Microsoft 客户协议

区域 内容
概述 了解 Azure 中的 Microsoft 客户协议管理角色
了解 Microsoft 业务计费帐户
管理 API 参考 Microsoft Entra ID 中特定于 Microsoft 客户协议的角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供程序
• 以下角色具有权限:计费管理员、全局管理员。

特定于 Microsoft 客户协议的角色
• 默认情况下,Microsoft Entra 全局管理员和计费管理员角色会自动在特定于 Microsoft 客户协议的 RBAC 中分配计费帐户所有者角色。
计费角色分配 API
审核和监控参考 Microsoft Entra ID 中特定于 Microsoft 客户协议的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 具有类别 RoleManagement 的审核

特定于 Microsoft 客户协议的角色
Azure 活动日志 API - 租户活动日志
• 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。
• 审核 resourceProvider == Microsoft.Billing 和 operationName 的以下项之一(所有前缀为 Microsoft.Billing):
/permissionRequests/write
/billingAccounts/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action
/billingAccounts/customers/createBillingRoleAssignment/action
/billingAccounts/billingRoleAssignments/write
/billingAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/billingRoleAssignments/delete
/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete
/billingAccounts/departments/billingRoleAssignments/write
/billingAccounts/departments/billingRoleAssignments/delete
/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action
/billingAccounts/enrollmentAccounts/billingRoleAssignments/write
/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action
/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action
/billingAccounts/billingProfiles/invoiceSections/transfers/delete
/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action
/billingAccounts/billingProfiles/invoiceSections/transfers/write
/transfers/acceptTransfer/action
/transfers/accept/action
/transfers/decline/action
/transfers/declineTransfer/action
/billingAccounts/customers/initiateTransfer/action
/billingAccounts/customers/transfers/delete
/billingAccounts/customers/transfers/cancel/action
/billingAccounts/customers/transfers/write
/billingAccounts/billingProfiles/invoiceSections/products/transfer/action
/billingAccounts/billingSubscriptions/elevateRole/action

企业订阅和计费 - 批量许可

区域 内容
概述 管理批量许可用户角色常见问题解答
管理 API 参考 Microsoft Entra ID 中特定于批量许可的角色
批量许可不支持 Microsoft Entra 角色。

特定于批量许可的角色
VL 用户和角色 在 M365 管理中心进行管理。

其他服务

用于管理客户支持案例的统一支持门户

包括统一支持门户和服务中心。

区域 内容
概述 Services Hub 角色和权限
管理 API 参考 在 Services Hub 门户 (https://serviceshub.microsoft.com) 中管理这些角色。

Microsoft Graph 应用程序权限

除了前面提到的 RBAC 系统之外,还可以使用应用程序权限向 Microsoft Entra 应用程序注册和服务主体授予提升的权限。 例如,可以授予非交互式、非人类应用程序标识读取租户中所有邮件的能力(Mail.Read 应用程序权限)。 下表列出了如何管理和监控应用程序权限。

区域 内容
概述 Microsoft Graph 权限概述
管理 API 参考 Microsoft Entra ID 中特定于 Microsoft Graph 的角色
Microsoft Graph v1.0 servicePrincipal API
• 枚举租户中每个 servicePrincipalappRoleAssignments
• 对于每个 appRoleAssignment,通过读取 appRoleAssignment 中 resourceId 和 appRoleId 参考的 servicePrincipal 对象上的 appRole 属性,获取有关分配授予的权限的信息。
• 特别关注的是 Microsoft Graph 的应用权限 (servicePrincipal with appID == "00000003-0000-0000-c000-000000000000") 的应用权限,这些权限授予对 Exchange、SharePoint、Teams 等的访问权限。 下面是 Microsoft Graph 权限的参考。
审核和监控参考 Microsoft Entra ID 中特定于 Microsoft Graph 的角色
Microsoft Entra 活动日志概述
对 Microsoft Entra 审核日志的 API 访问:
Microsoft Graph v1.0 directoryAudit API
• 类别为 ApplicationManagement 且活动名称为 Add app role assignment to service principal 的审核

后续步骤