Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
可以使用 Microsoft Entra ID 中的管理角色来管理 Microsoft 365 中的服务。 一些服务还提供特定于该服务的其他角色。 本文列出了与 Microsoft 365 和其他服务的基于角色的访问控制 (RBAC) 相关的内容、API 参考以及审核和监控参考。
微软 Entra
Microsoft Entra ID 与 Microsoft Entra 中的相关服务。
Microsoft Entra 身份识别系统
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Entra 内置角色 |
| 管理 API 参考 |
Microsoft Entra 角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 将角色分配到组时,请使用 Microsoft Graph v1.0 groups API 管理组成员身份 |
| 审核和监控参考 |
Microsoft Entra 角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核• 将角色分配给组时,若要审核对组成员身份的更改,请参阅类别为 GroupManagement、活动为 Add member to group 和 Remove member from group 的审核 |
权利管理
| 区域 | 内容 |
|---|---|
| 概述 | 权利管理角色 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于权利管理的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.directory/entitlementManagement 开头的角色特定于权利管理的角色 Microsoft Graph v1.0 roleManagement API • 使用 entitlementManagement 提供程序 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于权利管理的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于权利管理的角色 在 Microsoft Entra 审核日志中,类别为 EntitlementManagement 且“活动”是以下项之一:• Remove Entitlement Management role assignment• Add Entitlement Management role assignment |
Microsoft 365
Microsoft 365 套件中的服务。
交流
| 区域 | 内容 |
|---|---|
| 概述 | Exchange Online 中的权限 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Exchange 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.office365.exchange 开头的角色特定于 Exchange 的角色 Microsoft Graph Beta roleManagement API • 使用 exchange 提供程序 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Exchange 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Exchange 的角色 使用 Microsoft Graph Beta 安全性 API(审核日志查询)并列出 recordType == ExchangeAdmin 且操作为以下项之一的审核事件:Add-RoleGroupMember,Remove-RoleGroupMember,Update-RoleGroupMember,New-RoleGroup,Remove-RoleGroup,New-ManagementRole,Remove-ManagementRoleEntry,New-ManagementRoleAssignment |
SharePoint
包括 SharePoint、OneDrive、Delve、Lists、Project Online 和 Loop。
| 区域 | 内容 |
|---|---|
| 概述 |
关于 Microsoft 365 中的 SharePoint 管理员角色 面向管理员的 Delve Microsoft Lists 的控制设置 Project Online 中的更改权限管理 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 SharePoint 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.office365.sharepoint 开头的角色 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 SharePoint 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Intune
| 区域 | 内容 |
|---|---|
| 概述 | 使用 Microsoft Intune 的基于角色的访问控制 (RBAC) |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Intune 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.intune 开头的角色特定于 Intune 的角色 Microsoft Graph Beta roleManagement API • 使用 deviceManagement 提供程序• 或者,使用特定于 Intune 的 Microsoft Graph Beta RBAC 管理 API |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Intune 的角色 Microsoft Graph v1.0 directoryAudit API • RoleManagement 类别特定于 Intune 的角色 Intune 审核概述 对特定于 Intune 的审核日志的 API 访问权限: • Microsoft Graph Beta getAuditActivityTypes API • 首先列出 category= Role 的活动类型,然后使用 Microsoft Graph Beta auditEvents API 列出每个活动类型的所有 auditEvents |
团队
包括 Teams、Bookings、Copilot Studio for Teams 和 Shifts。
| 区域 | 内容 |
|---|---|
| 概述 | 使用 Microsoft Teams 管理员角色来管理 Teams。 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Teams 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.teams 开头的角色 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Teams 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Purview 套件
包括 Purview 套件、Azure 信息保护和信息屏障。
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Defender for Office 365 和 Microsoft Purview 中的角色和角色组 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Purview 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限从以下项开始的角色: microsoft.office365.complianceManagermicrosoft.office365.protectionCentermicrosoft.office365.securityComplianceCenter特定于 Purview 的角色 使用 PowerShell:安全性和合规性 PowerShell。 特定 cmdlet 包括: Get-RoleGroup Get-RoleGroupMember New-RoleGroup Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Remove-RoleGroup |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Purview 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Purview 的角色 使用 Microsoft Graph Beta 安全性 API(审核日志查询 Beta)并列出 recordType == SecurityComplianceRBAC 且“操作”为 Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember、New-RoleGroup、Remove-RoleGroup 之一的审核事件: |
动力平台
包括 Power Platform、Dynamics 365、Flow 和 Dataverse for Teams。
| 区域 | 内容 |
|---|---|
| 概述 |
使用服务管理员角色管理您的租户 安全角色和特权 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Power Platform 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限从以下项开始的角色: microsoft.powerAppsmicrosoft.dynamics365microsoft.flow特定于 Dataverse 的角色 使用 Web API 执行操作 • 查询“用户(SystemUser)表/实体参考” • 角色分配是 systemuserroles_association 表的一部分 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Power Platform 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Dataverse 的角色 Dataverse 审核概述 用于访问特定于 Dataverse 的审核日志的 API DataverseWeb API • 审核表参考 • 带有操作代码的审核: 53 - 为团队分配角色 54 - 从团队中删除角色 55 - 将角色分配给用户 56 - 从用户中删除角色 57 - 向角色添加权限 58 - 从角色中删除权限 59 - 替换角色中的特权 |
Defender 套件
包括 Defender 套件、安全功能分数、云应用安全和威胁情报。
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Defender XDR 统一基于角色的访问控制 (RBAC) |
| 管理 API 参考 |
Microsoft Entra ID 中的特定于 Defender 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限(参考):安全管理员、安全操作员、安全读取者、全局管理员和全局读取者 特定于 Defender 的角色 必须激活工作负载才能使用 Defender 统一 RBAC。 请参阅“激活 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC)”。 激活 Defender 统一 RBAC 将关闭单个 Defender 解决方案角色。 • 只能通过 security.microsoft.com 门户进行管理。 |
| 审核和监控参考 |
Microsoft Entra ID 中的特定于 Defender 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Viva Engage
| 区域 | 内容 |
|---|---|
| 概述 | 在 Viva Engage 中管理管理员角色 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Viva Engage 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.yammer 开头的角色。特定于 Viva Engage 的角色 • 可以通过 Yammer 管理中心管理已验证的管理员和网络管理员角色。 • 可以通过 Viva Engage 管理中心指定企业通信者角色。 • Yammer 数据导出 API 可用于导出 admins.csv 以读取管理员列表 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Viva Engage 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Viva Engage 的角色 • 使用 Yammer 数据导出 API 以增量方式导出管理员列表 admins.csv |
Viva Connections
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Viva 中的管理员角色和任务 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Viva Connections 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限:SharePoint 管理员、Teams 管理员和全局管理员 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Viva Connections 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Viva Learning
| 区域 | 内容 |
|---|---|
| 概述 | 在 Teams 管理中心设置 Microsoft Viva Learning |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Viva Learning 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.knowledge 开头的角色 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Viva Learning 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Viva Insights
| 区域 | 内容 |
|---|---|
| 概述 | Viva Insights 中的角色 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Viva Insights 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.insights 开头的角色 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Viva Insights 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
搜索
| 区域 | 内容 |
|---|---|
| 概述 | 设置 Microsoft 搜索 |
| 管理 API 参考 |
Microsoft Entra ID 中的特定于搜索的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.search 开头的角色 |
| 审核和监控参考 |
Microsoft Entra ID 中的特定于搜索的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
通用打印
| 区域 | 内容 |
|---|---|
| 概述 | 通用打印管理员角色 |
| 管理 API 参考 | 在 Microsoft Entra ID 中 通用打印特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.azure.print 开头的角色 |
| 审核和监控参考 | 在 Microsoft Entra ID 中 通用打印特定角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Microsoft 365 应用版套件管理
包括 Microsoft 365 应用版套件管理和 Forms。
| 区域 | 内容 |
|---|---|
| 概述 |
Microsoft 365 应用版管理中心概述 Microsoft Forms 的管理员设置 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于Microsoft 365 应用版的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限:Office 应用管理员、安全管理员、全局管理员 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于Microsoft 365 应用版的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
蔚蓝
Azure 控制平面和订阅信息的 Azure 基于角色的访问控制 (Azure RBAC)。
蔚蓝
包括 Azure 和 Sentinel。
| 区域 | 内容 |
|---|---|
| 概述 |
什么是 Azure 基于角色的访问控制 (Azure RBAC)? Microsoft Sentinel 中的角色和权限 |
| 管理 API 参考 |
Azure 中特定于 Azure 服务的角色 Azure 资源管理器授权 API • 角色分配:列出、创建/更新、删除 • 角色定义:列出、创建/更新、删除 • 可采用一种名为经典管理员的旧方法来授予对 Azure 资源的访问权限。 经典管理员相当于 Azure RBAC 中的“所有者”角色。 经典管理员将于 2024 年 8 月停用。 • 请注意,Microsoft Entra 全局管理员可以通过提升访问权限获得对 Azure 的单方面访问权限。 |
| 审核和监控参考 |
Azure 中特定于 Azure 服务的角色 使用 Azure 活动日志监视 Azure RBAC 更改 • Azure 活动日志 API • 采用事件类别 Administrative 和操作 Create role assignment、Delete role assignment、Create or update custom role definition、Delete custom role definition 的审核。在租户级别 Azure 活动日志中查看“提升访问权限”日志 • Azure 活动日志 API - 租户活动日志 • 采用事件类别 Administrative 且包含字符串 elevateAccess 的审核。• 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。 |
商业
与购买和计费相关的服务。
成本管理和计费 - 企业协议
| 区域 | 内容 |
|---|---|
| 概述 | 管理 Azure 企业协议角色 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于企业协议的角色 企业协议不支持 Microsoft Entra 角色。 特定于企业协议的角色 计费角色分配 API • 企业管理员(角色 ID:9f1983cb-2574-400c-87e9-34cf8e2280db) • 企业管理员(只读)(角色 ID:24f8edb6-1668-4659-b5e2-40bb5f3a7d7e) • EA 买方(角色 ID:da6647fb-7651-49ee-be91-c43c4877f0c4) 注册部门角色分配 API • 部门管理员(角色 ID:fb2cf67f-be5b-42e7-8025-4683c668f840) • 部门读取者(角色 ID:db609904-a47f-4794-9be8-9bd86fbffd8a) 注册帐户角色分配 API • 帐户所有者(角色 ID:c15c22c0-9faf-424c-9b7e-bd91c06a240b) |
| 审核和监控参考 |
特定于企业协议的角色 Azure 活动日志 API - 租户活动日志 • 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。 • 审核 resourceProvider == Microsoft.Billing 和 operationName 包含 billingRoleAssignments 或 EnrollmentAccount |
成本管理和计费 - Microsoft 客户协议
| 区域 | 内容 |
|---|---|
| 概述 |
了解 Azure 中的 Microsoft 客户协议管理角色 了解 Microsoft 业务计费帐户 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Microsoft 客户协议的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限:计费管理员、全局管理员。 特定于 Microsoft 客户协议的角色 • 默认情况下,Microsoft Entra 全局管理员和计费管理员角色会自动在特定于 Microsoft 客户协议的 RBAC 中分配计费帐户所有者角色。 • 计费角色分配 API |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Microsoft 客户协议的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 具有类别 RoleManagement 的审核特定于 Microsoft 客户协议的角色 Azure 活动日志 API - 租户活动日志 • 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。 • 审核 resourceProvider == Microsoft.Billing 和 operationName 的以下项之一(所有前缀为 Microsoft.Billing):/permissionRequests/write/billingAccounts/createBillingRoleAssignment/action/billingAccounts/billingProfiles/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action/billingAccounts/customers/createBillingRoleAssignment/action/billingAccounts/billingRoleAssignments/write/billingAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/billingRoleAssignments/delete/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete/billingAccounts/departments/billingRoleAssignments/write/billingAccounts/departments/billingRoleAssignments/delete/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action/billingAccounts/enrollmentAccounts/billingRoleAssignments/write/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action/billingAccounts/billingProfiles/invoiceSections/transfers/delete/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action/billingAccounts/billingProfiles/invoiceSections/transfers/write/transfers/acceptTransfer/action/transfers/accept/action/transfers/decline/action/transfers/declineTransfer/action/billingAccounts/customers/initiateTransfer/action/billingAccounts/customers/transfers/delete/billingAccounts/customers/transfers/cancel/action/billingAccounts/customers/transfers/write/billingAccounts/billingProfiles/invoiceSections/products/transfer/action/billingAccounts/billingSubscriptions/elevateRole/action |
企业订阅和计费 - 批量许可
| 区域 | 内容 |
|---|---|
| 概述 | 管理批量许可用户角色常见问题解答 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于批量许可的角色 批量许可不支持 Microsoft Entra 角色。 特定于批量许可的角色 VL 用户和角色 在 M365 管理中心进行管理。 |
其他服务
用于管理客户支持案例的统一支持门户
包括统一支持门户和服务中心。
| 区域 | 内容 |
|---|---|
| 概述 | Services Hub 角色和权限 |
| 管理 API 参考 | 在 Services Hub 门户 (https://serviceshub.microsoft.com) 中管理这些角色。 |
Microsoft Graph 应用程序权限
除了前面提到的 RBAC 系统之外,还可以使用应用程序权限向 Microsoft Entra 应用程序注册和服务主体授予提升的权限。 例如,可以授予非交互式、非人类应用程序标识读取租户中所有邮件的能力(Mail.Read 应用程序权限)。 下表列出了如何管理和监控应用程序权限。
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Graph 权限概述 |
| 管理 API 参考 |
Microsoft Entra ID 中特定于 Microsoft Graph 的角色 Microsoft Graph v1.0 servicePrincipal API • 枚举租户中每个 servicePrincipal 的 appRoleAssignments。 • 对于每个 appRoleAssignment,通过读取 appRoleAssignment 中 resourceId 和 appRoleId 参考的 servicePrincipal 对象上的 appRole 属性,获取有关分配授予的权限的信息。 • 特别关注的是 Microsoft Graph 的应用权限 (servicePrincipal with appID == "00000003-0000-0000-c000-000000000000") 的应用权限,这些权限授予对 Exchange、SharePoint、Teams 等的访问权限。 下面是 Microsoft Graph 权限的参考。 |
| 审核和监控参考 |
Microsoft Entra ID 中特定于 Microsoft Graph 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 类别为 ApplicationManagement 且活动名称为 Add app role assignment to service principal 的审核 |