Microsoft Entra内置角色

在Microsoft Entra ID中，如果另一个管理员或非管理员需要管理Microsoft Entra资源，则需要为其分配提供所需权限的Microsoft Entra角色。例如，可分配允许添加或更改用户、重置用户密码、管理用户许可证或管理域名的角色。

本文列出了可以分配的Microsoft Entra内置角色，以允许管理Microsoft Entra资源。有关如何分配角色的信息，请参阅 Assign Microsoft Entra 角色。如果要查找用于管理Azure资源的角色，请参阅 Azure 内置角色。

所有角色

Role	Description	模板编号
代理ID管理员	管理租户中代理的所有方面，包括代理蓝图、代理服务主体、代理身份和代理用户的身份生命周期作。	DB506228-D27E-4B7D-95E5-295956D6615f
代理ID开发者	在租户中创建一个代理蓝图及其服务主体。用户将被添加为代理蓝图及其服务主体的所有者。	ADB2368D-A9BE-41B5-8667-D96778E081B0
代理注册管理员	在 Microsoft Entra ID 中管理代理注册表服务的各个方面	6b942400-691f-4bf0-9d12-d8a254A2BAF5
AI 管理员	在 Microsoft 365 中管理智能 Microsoft 365 Copilot 副驾驶®和 AI 相关企业服务的各个方面。	d2562ede-74db-457e-a7b6-544e236ebb61
应用程序管理员	可以创建和管理应用注册和企业应用的所有方面。	9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
应用程序开发人员	可以创建独立于“用户可注册应用程序”设置的应用程序注册。	cf1c38e5-3621-4004-a7cb-879624dced7c
攻击有效负载作者	可以创建管理员可于之后启动的攻击有效负载。	9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
攻击模拟管理员	可以创建和管理攻击模拟活动的各个方面。	c430b396-e693-46cc-96f3-db01bf8bb62a
属性分配管理员	将自定义安全属性密钥和值分配给受支持的Microsoft Entra对象。	58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
属性分配读取者	读取支持的Microsoft Entra对象的自定义安全属性键和值。	ffd52fa5-98dc-465c-991d-fc073eb59f8f
属性定义管理员	定义和管理自定义安全属性的定义。	8424c6f0-a189-499e-bbd0-26c1753c96d4
属性定义读取者	读取自定义安全属性的定义。	1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
属性日志管理员	读取审核日志并为与自定义安全属性相关的事件配置诊断设置。	5b784334-f94b-471a-a387-e7219fc49ca2
属性日志读取器	读取与自定义安全属性相关的审核日志。	9c99539d-8186-4804-835f-fd51ef9e2dcd
属性预配管理员	读取和编辑应用程序的所有活动自定义安全属性的预配配置。	ecb2c6bf-0ab6-418e-bd87-7986f8d63bbe
属性预配读取器	读取应用程序的所有活动自定义安全属性的预配配置。	422218e4-db15-4ef9-bbe0-8afb41546d79
身份验证管理员	可访问并查看、设置和重置任何非管理员用户的身份验证方法信息。	c4e39bd9-1100-46d3-8c65-fb160da0071f
身份验证扩展性管理员	通过创建和管理自定义身份验证扩展来自定义用户的登录和注册体验。	25a516ed-2fa0-40ea-a2d0-12923a21473a
身份验证扩展性密码管理员	触发密码提交事件以进行自定义身份验证。	0b00bede-4072-4d22-b441-e7df02a1ef63
身份验证策略管理员	可以创建和管理身份验证方法策略、租户范围的 MFA 设置、密码保护策略和可验证凭据。	0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps 管理员	可以管理Azure DevOps策略和设置。	e3973bdf-4987-49ae-837a-ba8e231c7286
Azure 信息保护 Administrator	可以管理Azure 信息保护产品的各个方面。	7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF 密钥集管理员	可以在 Identity Experience Framework (IEF) 中管理联合机密和加密机密。	aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF 策略管理员	可以在 Identity Experience Framework (IEF) 中创建和管理信任框架策略。	3edaf663-341e-4475-9f94-5c398ef6c070
计费管理员	可以执行与常见计费相关的任务，例如更新付款信息。	b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security 管理员	可以管理Defender for Cloud Apps产品的各个方面。	892c5842-a9a6-463a-8041-72aa08ca3cf6
云应用程序管理员	可以创建和管理应用注册和企业应用的所有方面，应用代理除外。	158c047a-c907-4556-b7ef-446551a6b5f7
云设备管理员	在Microsoft Entra ID中管理设备的有限访问权限。	7698a772-787b-4ac8-901f-60d6b08affd2
合规性管理员	可以在Microsoft Entra ID和Microsoft 365中读取和管理合规性配置和报告。	17315797-102d-40b4-93e0-432062caca18
合规性数据管理员	创建和管理合规性内容。	e6d1a23a-da11-4be4-9570-befc86d067a7
条件访问管理员	可以管理条件访问功能。	b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
客户密码箱访问审批者	可以批准Microsoft支持请求来访问客户组织数据。	5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
桌面分析 Administrator	可访问和管理桌面管理工具和服务。	38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
目录读取器	可以读取基本目录信息。通常用于授予对应用程序和来宾的目录读取权限。	88d8e3e3-8f55-4a1e-953a-9b9898b8876b
目录同步帐户	仅Microsoft Entra Connect 服务使用。	d29b2b05-8046-44ba-8758-1e26182fcf32
目录编写器	可以读取和写入基本目录信息。用于授予对应用程序的访问权限，不针对用户。	9360feb5-f418-4baa-8175-e2a00bac4301
域名管理员	可以管理云中和本地的域名。	8329153b-31d0-4727-b945-745eb3bc5f31
龙管理员	管理 Microsoft Dragon 管理中心的各个方面。	e93e3737-fa85-474a-aee4-7d3fb86510f3
Dynamics 365 Administrator	可以管理Dynamics 365产品的各个方面。	44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central Administrator	在Dynamics 365 Business Central环境中访问和执行所有管理任务。	963797fb-eb3b-4cde-8ce3-5878b3f32a3f
边缘管理员	管理Microsoft Edge的各个方面。	3f1acade-1e04-4fbc-9b69-f0302cd84aef
Entra 备份管理员	管理Microsoft Entra备份的各个方面，例如创建恢复作业和管理备份快照。	b6a27b2b-f905-4b2e-81b5-0d90e0ef1fdb
Entra 备份读取器	读取Microsoft Entra备份的所有方面，例如列出所有预览作业、恢复作业、备份快照和创建预览作业。	f42252d9-5400-4d7b-b9ef-cc582dbb8577
Exchange Administrator	可以管理Exchange产品的各个方面。	29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange备份管理员	Microsoft 365 备份中Exchange备份和还原内容（包括精细还原）	49eb8f75-97e9-4e37-9b2b-6c3ebfcffa31
Exchange 收件人管理员	可以在Exchange Online组织中创建或更新Exchange Online收件人。	31392ffb-586c-42d1-9346-e59415a2cc4e
外部 ID 用户流管理员	可以创建和管理用户流的各个方面。	6e591065-9bad-43ed-90f3-e9424366d2f0
外部 ID 用户流属性管理员	可以创建和管理对所有用户流可用的属性架构。	0f971eea-41eb-4569-a71e-57bb8a3eff1e
外部标识提供者管理员	可以配置用于直接联合的标识提供者。	be2f45a1-457d-42af-a067-6ec1fa63bc45
Fabric Administrator	可以管理Fabric和Power BI产品的各个方面。	a9ea8996-122f-4c74-9520-8edcd192826c
全局管理员	可以管理使用Microsoft Entra标识的Microsoft Entra ID和Microsoft 服务的各个方面。	62e90394-69f5-4237-9190-012177145e10
全局读取器	可以读取全局管理员可以读取的所有内容，但不能更新任何内容。	f2ef992c-3afb-46b9-b7cf-a126ee74c451
全局安全访问管理员	创建和管理全局安全 Internet 访问和Microsoft全局安全专用访问的各个方面，包括管理对公共终结点和专用终结点的访问。	ac434307-12b9-4fa1-a708-88bf58caabc1
全局安全访问日志读取器	为指定的安全人员提供对Microsoft Entra Internet 访问中网络流量日志的只读访问权限，并Microsoft Entra 专用访问进行详细分析。	843318fb-79a6-4168-9e6f-aa9a07481cc4
组管理员	此角色的成员可以创建/管理组、创建/管理组设置（如命名和过期策略）以及查看组活动和审核报告。	fdd7a751-b60b-444a-984c-02652fe8fa1c
来宾邀请者	可以无视“成员可邀请来宾”设置而邀请来宾用户。	95e79109-95c0-4d8e-aee3-d01accf2d47b
支持管理员	可以重置非管理员和支持理员的密码。	729827e3-9c14-49f7-bb1b-9608f156bbb8
混合标识管理员	管理Active Directory以Microsoft Entra云预配、Microsoft Entra Connect、直通身份验证（PTA）、密码哈希同步（PHS）、无缝单一登录（无缝 SSO）和联合身份验证设置。无权管理 Microsoft Entra Connect Health。	8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance 管理员	使用Microsoft Entra ID管理标识治理方案进行访问。	45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights 管理员	在 Microsoft 365 Insights 应用中具有管理访问权限。	eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights 分析师	访问Microsoft Viva Insights中的分析功能并运行自定义查询。	25df335f-86eb-4119-b717-0ff02de207e9
Insights 业务主管	可以通过 Microsoft 365 Insights 应用查看和共享仪表板和见解。	31e939ad-9672-4796-9c2e-873181342d2d
Intune 管理员	可以管理 Intune 产品的所有方面。	3a2c62db-5318-420d-8d74-23affee5d9d5
IoT 设备管理员	预配新的 IoT 设备、管理其生命周期、配置证书和管理设备模板。	2ea5ce4c-b2d8-4668-bd81-3680bd2d227a
Kaizala 管理员	可以管理Microsoft Kaizala的设置。	74ef975b-6605-40af-a5d2-b9539d836353
知识管理员	可配置知识、学习和其他智能功能。	b5a8dcf3-09d5-43a9-a639-8e29ef291470
知识管理器	可以组织、创建、管理和提升主题与知识。	744ec460-397e-42ad-a462-8b3f9747a02c
许可证管理员	可以管理用户和组的产品许可证。	4d6ac14f-3453-41d0-bef9-a3e0c569773a
生命周期工作流管理员	在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的各个方面。	59d46f88-662b-457b-bceb-5c3809e5908f
消息中心隐私读取者	只能在Office 365消息中心读取安全消息和更新。	ac16e43d-7b2d-40e0-ac05-243ff356ab5b
消息中心读取者	只能在Office 365消息中心读取其组织的邮件和更新。	790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft 365 备份 Administrator	在Microsoft 365 备份中跨受支持的服务（SharePoint、OneDrive和Exchange Online）备份和还原内容	1707125e-0aa2-4d4d-8655-a7c786c76a25
Microsoft 365 迁移管理员	执行所有迁移功能，使用迁移管理器将内容迁移到Microsoft 365。	8c8b803f-96e1-4129-9349-20738d9f9652
Microsoft Entra已加入设备本地管理员	分配到此角色的用户将添加到已加入Microsoft Entra设备上的本地管理员组。	9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsoft Graph Data Connect 管理员	管理租户中 Microsoft Graph Data Connect 服务的各个方面。	ee67aa9c-e510-4759-b906-227085a7fd4d
网络管理员	可以管理网络位置并查看适用于 Microsoft 365 软件即服务应用程序的企业网络设计见解。	d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office 应用管理员	可以管理 Office 应用云服务（包括策略和设置管理），并管理选择、取消选择和向最终用户的设备发布“新增功能”功能内容的权限。	2b745bdf-0803-4d80-aa65-822c4493daac
组织品牌打造管理员	管理租户中组织品牌打造的各个方面。	92ed04bf-c94a-4b82-9729-b799a7a4c178
组织数据源管理员	设置和管理将组织数据引入Microsoft 365。	9d70768a-0cbc-4b4c-aea3-2e124b2477f4
组织消息审批者	在将新组织消息发送给用户之前，请先查看、批准或拒绝新组织邮件，以便在Microsoft 365 管理中心中传递。	e48398e2-f4bb-4074-8f31-4586725e205b
密码管理员	可以为非管理员和密码管理员重置密码。	966707d0-3269-4727-9be2-8c3a10f19b9d
人员管理员	管理组织中所有用户的用户和人员设置的个人资料照片。	024906de-61e5-49c8-8572-40335f1e0e10
放置管理员	管理 Microsoft Places 服务的各个方面。	78b0ccd1-afc2-4f92-9116-b41aedd09592
Power Platform 管理员	可以创建和管理Microsoft Dynamics 365、Power Apps和Power Automate的各个方面。	11648597-926c-4cf3-9c36-bcebb0ba8dcc
打印机管理员	可以管理打印机和打印机连接器的所有方面。	644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
打印机技术人员	可以注册和取消注册打印机，并更新打印机状态。	e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
特权身份验证管理员	可有权查看、设置和重置任何用户（管理员或非管理员）的身份验证方法信息。	7be44c8a-adaf-4e2a-84d6-ab2649e08a13
特权角色管理员	可以在Microsoft Entra ID以及Privileged Identity Management的各个方面管理角色分配。	e8611ab8-c189-46e8-94e1-60213ab1f814
报表读取者	可以读取登录和审核报告。	4a5d8f65-41da-4de4-8968-e035b65339cf
搜索管理员	可以创建和管理Microsoft 搜索设置的所有方面。	0964bb5e-9bdb-4d7b-ac29-58e794862a40
搜索编辑器	可以创建和管理书签、问答、位置、平面布置图等编辑内容。	8835291a-918c-4fd7-a9ce-faa49f0cf7d9
安全管理员	可以读取安全信息和报告，并在Microsoft Entra ID和Office 365中管理配置。	194ae4cb-b126-40b2-bd5b-6091b380977d
安全操作员	创建和管理安全事件。	5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
安全读取器	可以在Microsoft Entra ID和Office 365中读取安全信息和报告。	5d6b6bb7-de71-4623-b4af-96380a352509
服务支持管理员	可以读取服务运行状况信息和管理支持票证。	f023fd81-a637-4b56-95fd-791ac0226033
SharePoint Administrator	可以管理SharePoint服务的各个方面。	f28a1f50-f6e7-4571-818b-6a12f2af6b6c
SharePoint 高级管理 Administrator	管理SharePoint 高级管理的各个方面。	99009C4a-3B3F-4957-82a9-9d35E12db77e
SharePoint备份管理员	备份和还原Microsoft 365 备份中SharePoint和OneDrive的内容（包括精细还原）	9d3e04ba-3ee4-4d1b-a3a7-9aef423a09be
SharePoint嵌入式管理员	管理 SharePoint Embedded 容器的各个方面。	1a7d78b6-429f-476b-b8eb-35fb715fffd4
Skype for Business Administrator	可以管理Skype for Business产品的各个方面。	75941009-915a-4869-abe7-691bff18279e
Teams 管理员	可以管理Microsoft Teams服务。	69091246-20e8-4a56-aa4d-066075b2a7a8
Teams 通信管理员	可以在Microsoft Teams服务中管理通话和会议功能。	baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams 通信支持工程师	可以使用高级工具排查 Teams 中的通信问题。	f70938a0-fc10-4177-9e90-2178f8765737
Teams 通信支持专家	可以使用基本工具排查 Teams 中的通信问题。	fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams 设备管理员	可在 Teams 认证的设备上执行管理相关任务。	3d762c5a-1b6c-493f-843e-55a3b42923d4
Teams 外部协作管理员	管理 Teams 的外部协作策略和设置，包括配置外部域并控制哪些组和用户可以与组织交互。	2fe872fb-daa8-4afc-8f6c-53c4565cfef4
Teams 阅读器	阅读 Teams 管理中心的所有内容，但不更新任何内容。	1076ac91-f3d9-41a7-a339-dcdf5f480acc
Teams 电话服务管理员	管理语音和电话功能，并解决Microsoft Teams服务中的通信问题。	aa38014f-0993-46e9-9b45-30501a20909d
租户创建者	创建新的Microsoft Entra或Azure AD B2C 租户。	112ca1a2-15ad-4102-995e-45b0bc479a6a
租户治理管理员	管理Microsoft Entra租户治理服务中的所有功能。	1981f584-96e9-4a6f-95b0-f522373f8fae
租户治理读取者	可以读取所有租户治理数据。	e0a4caa6-fe82-443f-b92f-d87341d17b2e
租户治理关系管理员	可以启动治理关系并终止它们。	b8e31d83-1534-480f-9b10-0338ded51b7e
租户治理关系读取者	可以读取租户治理关系和相关对象。	124577f8-48ed-456a-839f-13b419002e33
使用情况摘要报表读取者	读取使用情况报告和采用分数，但无法访问用户详细信息。	75934031-6c7e-415a-99d7-48dbd49e875e
用户管理员	可以管理用户和组的所有方面，包括重置有限管理员的密码。	fe930be7-5e62-47db-91af-98c3a49a38b1
Virtual Visits 管理员	从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标。	e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Glint 租户管理员	在Microsoft 365 管理中心中管理和配置Microsoft Viva Glint设置。	0ec3f692-38d6-4d14-9e69-0377ca7797ad
Windows 365 Administrator	可以预配和管理云电脑的所有方面。	11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows 更新部署管理员	可以通过适用于企业的部署服务的 Windows 更新创建和管理Windows 更新部署的各个方面。	32696413-001a-46ae-978c-ce0f6b3620d2

代理 ID 管理员

将代理ID管理员角色分配给需要执行以下任务的用户：

管理租户中代理的所有方面，包括代理蓝图、代理服务主体、代理身份和代理用户的身份生命周期作。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/agentIdentities/appRoleAssignedTo/update	更新代理身份角色分配。
microsoft.directory/agentIdentities/basic/update	更新代理身份的基本属性。
microsoft.directory/agentIdentities/create	创建代理人身份。
microsoft.directory/agentIdentities/delete	删除特工身份。
microsoft.directory/agentIdentities/disable	禁用代理身份。
microsoft.directory/agentIdentities/enable	启用代理身份。
microsoft.directory/agentIdentities/owners/update	在代理人身份中添加和移除所有者。
microsoft.directory/agentIdentities/tag/update	更新代理身份标签。
microsoft.directory/agentIdentityBlueprintPrincipals/appRoleAssignedTo/update	更新代理身份蓝图主体角色分配。
microsoft.directory/agentIdentityBlueprintPrincipals/basic/update	更新代理身份蓝图主体的基本属性。
microsoft.directory/agentIdentityBlueprintPrincipals/create	创建代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/delete	删除代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/disable	禁用代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/enable	启用代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/owners/update	添加和移除代理人身份蓝图主体所有者。
microsoft.directory/agentIdentityBlueprintPrincipals/tag/update	更新代理身份蓝图主体标签。
microsoft.directory/agentIdentityBlueprints/allProperties/read	阅读所有代理身份蓝图的属性和设置。
microsoft.directory/agentIdentityBlueprints/allProperties/update	更新所有代理身份蓝图的属性和设置。
microsoft.directory/agentIdentityBlueprints/appRoles/update	修改代理身份蓝图上定义的应用角色。
microsoft.directory/agentIdentityBlueprints/authentication/update	更新与代理身份蓝图相关的认证设置。
microsoft.directory/agentIdentityBlueprints/audience/update	更新代理身份蓝图的登录受众设置。
microsoft.directory/agentIdentityBlueprints/basic/update	更新代理身份蓝图的基本属性。
microsoft.directory/agentIdentityBlueprints/create	创建特工身份蓝图。
microsoft.directory/agentIdentityBlueprints/credentials/update	为代理身份蓝图添加和删除凭证。
microsoft.directory/agentIdentityBlueprints/delete	删除特工身份蓝图。
microsoft.directory/agentIdentityBlueprints/owners/update	在代理身份蓝图中添加和移除所有者。
microsoft.directory/agentIdentityBlueprints/permissions/update	修改代理身份蓝图上的公开权限。
microsoft.directory/agentIdentityBlueprints/tag/update	更新代理身份蓝图的标签。
microsoft.directory/agentIdentityBlueprints/verification/update	更新代理身份蓝图的发布者验证设置。
microsoft.directory/agentUsers/assignLicense	管理代理用户许可证
microsoft.directory/agentUsers/basic/update	更新代理用户的基本属性
microsoft.directory/agentUsers/create	添加代理用户
microsoft.directory/agentUsers/delete	删除代理用户
microsoft.directory/agentUsers/disable	禁用代理用户
microsoft.directory/agentUsers/enable	启用代理用户
microsoft.directory/agentUsers/invalidateAllRefreshTokens	通过使代理用户刷新令牌失效来强制登出
microsoft.directory/agentUsers/lifeCycleInfo/read	阅读代理用户的生命周期信息，如 employeeLeaveDateTime
microsoft.directory/agentUsers/lifeCycleInfo/update	更新代理用户的生命周期信息，例如 employeeLeaveDateTime
microsoft.directory/agentUsers/manager/update	代理用户的更新管理器
microsoft.directory/agentUsers/restore	恢复已删除的代理用户
microsoft.directory/agentUsers/revokeSignInSessions	撤销代理用户的登录会话
microsoft.directory/agentUsers/sponsors/update	更新代理用户的赞助商
microsoft.directory/agentUsers/usageLocation/update	更新代理用户的使用位置
microsoft.directory/agentUsers/userPrincipalName/update	更新代理用户主体名称
microsoft.directory/auditLogs/allProperties/read	在审计日志中读取所有属性，但不包括自定义安全属性审计日志。
microsoft.directory/deletedItems.agentIdentityBlueprints/delete	永久删除无法恢复的代理身份蓝图
microsoft.directory/deletedItems.agentIdentityBlueprints/restore	将软删除的代理身份蓝图恢复到原始状态
microsoft.directory/externalUserProfiles/standard/read	在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/groups.unified/createAsOwner	创建Microsoft 365组，不包括可分配角色的组。添加“创建者”作为第一个所有者。
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.directory/organization/standard/read	更新组织的基本属性
microsoft.directory/policies/standard/read	读取策略的基本属性
microsoft.directory/signInReports/allProperties/read	登录报告中阅读所有属性，包括特权属性。
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求

代理 ID 开发人员

将代理ID开发者角色分配给需要执行以下任务的用户：

制定代理人蓝图及其服务主体。用户被添加为代理蓝图及其服务主体的所有者。

Actions	Description
microsoft.directory/servicePrincipals/standard/read	读取服务主体的基本属性

代理注册管理员

将代理注册管理员角色分配给需要执行以下任务的用户：

在 Microsoft Entra ID 中管理 AI 代理的元数据
管理催收和代理的可见性
将代理注册表专用角色分配给其他用户或代理访问注册表

Actions	Description
microsoft.agentRegistry/allEntities/allProperties/allTasks	在 Microsoft Entra ID 中管理代理注册表的各个方面

AI 管理员

将 AI 管理员角色分配给需要执行以下任务的用户：

管理智能 Microsoft 365 Copilot 副驾驶®的各个方面
从Microsoft 365 管理中心的“集成应用”页管理与 AI 相关的企业服务、扩展性和 copilot 代理
批准和发布业务线 Copilot 代理
读取和配置Azure和Microsoft 365服务运行状况仪表板
查看使用情况报告、采用见解和组织见解
在Azure和Microsoft 365 管理中心中创建和管理支持票证

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/entitlementManagement/allProperties/read	读取Microsoft Entra权利管理中的所有属性
microsoft.directory/subscribedSkus/standard/read	读取订阅的基本属性
microsoft.directory/users/allProperties/read	读取用户的所有属性
microsoft.office365.copilot/allEntities/allProperties/allTasks	创建和管理智能 Microsoft 365 Copilot 副驾驶®的所有设置
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.search/content/manage	创建和删除内容，并读取和更新Microsoft 搜索中的所有属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

应用程序管理员

这是特权角色。充当此角色的用户可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。请注意，在创建新应用程序注册或企业应用程序时，不会将分配到此角色的用户添加为所有者。

此角色还授予同意委派权限和应用程序权限的功能，但Azure AD Graph 和Microsoft Graph的应用程序权限除外。

Important

此异常意味着你仍可以同意应用（例如其他Microsoft应用、第三方应用或已注册的应用）的应用程序权限。你仍然可以请求这些权限作为应用注册的一部分，但授予（即同意）这些权限需要更特权的管理员，例如特权角色管理员。

此角色授予管理应用程序凭据这一功能。分配此角色的用户可以将凭据添加到应用程序，并使用这些凭据模拟应用程序的标识。如果向应用程序标识授予了对资源的访问权限，例如创建或更新用户或其他对象的能力，则分配给此角色的用户可以在模拟应用程序时执行这些作。模拟应用程序标识的能力可能是用户通过角色分配可以执行的作的特权提升。请务必了解，将用户分配到应用程序管理员角色可让他们模拟应用程序的标识。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	在 Microsoft Entra ID 中管理管理员同意请求策略
microsoft.directory/appConsent/appConsentRequests/allProperties/read	读取注册Microsoft Entra ID的应用程序的所有许可请求属性
microsoft.directory/applicationPolicies/basic/update	更新应用程序策略的标准属性
microsoft.directory/applicationPolicies/create	创建应用程序策略
microsoft.directory/applicationPolicies/delete	删除应用程序策略
microsoft.directory/applicationPolicies/owners/read	读取应用程序策略的所有者
microsoft.directory/applicationPolicies/owners/update	更新应用程序策略的所有者属性
microsoft.directory/applicationPolicies/policyAppliedTo/read	读取应用于对象列表的应用程序策略
microsoft.directory/applicationPolicies/standard/read	读取应用程序策略的标准属性
microsoft.directory/applications/applicationProxy/read	读取所有应用程序代理属性
microsoft.directory/applications/applicationProxy/update	更新所有应用程序代理属性
microsoft.directory/applications/applicationProxyAuthentication/update	更新所有类型的应用程序的身份验证
microsoft.directory/applications/applicationProxySslCertificate/update	更新应用程序代理的 SSL 证书设置
microsoft.directory/applications/applicationProxyUrlSettings/update	更新应用程序代理的 URL 设置
microsoft.directory/applications/appRoles/update	更新所有类型的应用程序上的 appRoles 属性
microsoft.directory/applications/audience/update	更新应用程序的受众属性
microsoft.directory/applications/authentication/update	更新所有类型的应用程序的身份验证
microsoft.directory/applications/basic/update	更新应用程序的基本属性
microsoft.directory/applications/create	创建所有类型的应用程序
microsoft.directory/applications/credentials/update	更新应用程序凭据
microsoft.directory/applications/delete	删除所有类型的应用程序
microsoft.directory/applications/disablement/update (禁用更新)	更新用户是否启用了应用程序登录
microsoft.directory/applications/extensionProperties/update	更新应用程序的扩展属性
microsoft.directory/applications/notes/update	更新应用程序的说明
microsoft.directory/applications/owners/update	更新应用程序的所有者
microsoft.directory/applications/permissions/update	更新所有类型的应用程序的公开权限和必需权限
microsoft.directory/applications/policies/update	更新应用程序策略
microsoft.directory/applications/synchronization/standard/read	读取与应用程序对象关联的预配设置
microsoft.directory/applications/tag/update	更新应用程序的标记
microsoft.directory/applications/verification/update	更新 applicationsverification 属性
microsoft.directory/applicationTemplates/instantiate	从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/connectorGroups/allProperties/read	读取应用程序代理连接器组的所有属性
microsoft.directory/connectorGroups/allProperties/update	更新应用程序代理连接器组的所有属性
microsoft.directory/connectorGroups/create	创建应用程序代理连接器组
microsoft.directory/connectorGroups/delete	删除应用程序代理连接器组
microsoft.directory/connectors/allProperties/read	读取应用程序代理连接器的所有属性
microsoft.directory/connectors/create	创建应用程序代理连接器
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	创建并管理自定义身份验证扩展
microsoft.directory/deletedItems.applications/delete	永久删除不再可以还原的应用程序
microsoft.directory/deletedItems.applications/restore	将软删除的应用程序还原到原始状态
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	创建和删除 OAuth 2.0 权限授予，读取和更新所有属性
microsoft.directory/provisioningLogs/allProperties/read	读取预配日志的所有属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	更新服务主体角色分配
microsoft.directory/servicePrincipals/audience/update	更新服务主体的受众属性
microsoft.directory/servicePrincipals/authentication/update	更新服务主体的身份验证属性
microsoft.directory/servicePrincipals/basic/update	更新服务主体的基本属性
microsoft.directory/servicePrincipals/create	创建服务主体
microsoft.directory/servicePrincipals/credentials/update	更新服务主体的凭据
microsoft.directory/servicePrincipals/delete	删除服务主体
microsoft.directory/servicePrincipals/disable	禁用服务主体
microsoft.directory/servicePrincipals/enable	启用服务主体
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	管理服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials	读取服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	代表任何用户或所有用户授予应用程序权限和委派权限（Microsoft Graph和 Azure AD Graph 的应用程序权限除外）
microsoft.directory/servicePrincipals/notes/update	更新服务主体的说明
microsoft.directory/servicePrincipals/owners/update	更新服务主体的所有者
microsoft.directory/servicePrincipals/permissions/update	更新服务主体的权限
microsoft.directory/servicePrincipals/policies/update	更新服务主体的策略
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization/standard/read	读取与服务主体关联的预配设置
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage	启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage	创建和管理应用程序预配同步作业和架构
microsoft.directory/servicePrincipals/tag/update	更新服务主体的标记属性
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

应用程序开发人员

这是特权角色。在将设置“用户可以注册应用程序”设置为“否”时，充当此角色的用户可以创建应用程序注册。当“用户可以同意应用代表他们访问公司数据”设置设为“否”时，此角色还能够代表自己授权同意。在创建新应用程序注册时，会将分配到此角色的用户添加为所有者。

Actions	Description
microsoft.directory/applications/createAsOwner	创建所有类型的应用程序，将创建者添加为第一个所有者
microsoft.directory/oAuth2PermissionGrants/createAsOwner	创建 OAuth 2.0 权限授予，并将创建者作为第一个所有者
microsoft.directory/servicePrincipals/createAsOwner	创建服务主体，并将创建者作为第一个所有者

攻击有效负载作者

拥有此角色的用户可以创建攻击有效负载，但不能实际启动或调度它们。然后，租户中的所有管理员都可以使用攻击有效负载创建模拟。对报告的访问权限仅限于用户执行的模拟，并且此角色不授予对聚合报告（如培训效能、重复罪犯、培训完成或用户覆盖范围）的访问权限。

有关详细信息，请参阅以下文章：

开始使用攻击模拟训练
Microsoft Defender 门户中Microsoft Defender for Office 365权限
/c0 中的Microsoft Purview 门户

Actions	Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	在攻击模拟器中创建和管理攻击有效负载
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	读取有关攻击模拟、响应和相关培训的报告

攻击模拟管理员

拥有此角色的用户可以创建和管理攻击模拟创建的所有方面、启动/调度模拟以及查看模拟结果。此角色的成员对租户中的所有模拟具有此访问权限。

有关详细信息，请参阅以下文章：

Microsoft Defender 门户中Microsoft Defender for Office 365权限
/c0 中的Microsoft Purview 门户

Actions	Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	在攻击模拟器中创建和管理攻击有效负载
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	读取有关攻击模拟、响应和相关培训的报告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	在攻击模拟器中创建和管理攻击模拟模板

属性分配管理员

具有此角色的用户可以为受支持的Microsoft Entra对象（例如用户、服务主体和设备）分配和删除自定义安全属性密钥和值。

Important

默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

有关详细信息，请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。

Actions	Description
microsoft.directory/attributeSets/allProperties/read	读取属性集的所有属性
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read	读取Microsoft Entra托管标识的自定义安全属性值
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update	更新Microsoft Entra托管标识的自定义安全属性值
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	读取自定义安全属性定义的所有属性
microsoft.directory/devices/customSecurityAttributes/read	读取设备的自定义安全属性值
microsoft.directory/devices/customSecurityAttributes/update	更新设备的自定义安全属性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read	读取服务主体的自定义安全属性值
microsoft.directory/servicePrincipals/customSecurityAttributes/update	更新服务主体的自定义安全属性值
microsoft.directory/users/customSecurityAttributes/read	读取用户的自定义安全属性值
microsoft.directory/users/customSecurityAttributes/update	更新用户的自定义安全属性值

属性分配读取者

具有此角色的用户可以读取受支持Microsoft Entra对象的自定义安全属性密钥和值。

Important

默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

有关详细信息，请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。

Actions	Description
microsoft.directory/attributeSets/allProperties/read	读取属性集的所有属性
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read	读取Microsoft Entra托管标识的自定义安全属性值
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	读取自定义安全属性定义的所有属性
microsoft.directory/devices/customSecurityAttributes/read	读取设备的自定义安全属性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read	读取服务主体的自定义安全属性值
microsoft.directory/users/customSecurityAttributes/read	读取用户的自定义安全属性值

属性定义管理员

具有此角色的用户可以定义一组有效的自定义安全属性，这些属性可以分配给受支持的Microsoft Entra对象。此角色还可以激活和停用自定义安全属性。

Important

默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

有关详细信息，请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。

Actions	Description
microsoft.directory/attributeSets/allProperties/allTasks	管理属性集的所有方面
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks	管理自定义安全属性定义的所有方面

属性定义读取者

具有此角色的用户可以读取自定义安全属性的定义。

Important

默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

有关详细信息，请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。

Actions	Description
microsoft.directory/attributeSets/allProperties/read	读取属性集的所有属性
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	读取自定义安全属性定义的所有属性

属性日志管理员

为需要执行以下任务的用户分配属性日志读取者角色：

读取自定义安全属性值更改的审核日志
读取自定义安全属性定义更改和分配的审核日志
为自定义安全属性配置诊断设置

具有此角色的用户无法读取其他事件的审核日志。

Important

默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

有关详细信息，请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。

Actions	Description
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks	配置自定义安全属性诊断设置的所有方面
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read	读取与自定义保密属性相关的审核日志

属性日志读取者

为需要执行以下任务的用户分配属性日志读取者角色：

读取自定义安全属性值更改的审核日志
读取自定义安全属性定义更改和分配的审核日志

具有此角色的用户无法执行以下任务：

为自定义安全属性配置诊断设置
读取其他事件的审核日志

Important

默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

有关详细信息，请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。

Actions	Description
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read	读取与自定义保密属性相关的审核日志

属性预配管理员

这是特权角色。将属性预配管理员角色分配给需要执行以下任务的用户：

在应用程序中预配时，读取和写入自定义安全属性的属性映射。
在应用程序中预配时，读取和写入自定义安全属性的预配和审核日志。

具有此角色的用户无法读取其他事件的审核日志。此角色必须与云应用程序管理员或应用程序管理员角色（从最低到大多数特权）结合使用才能读取预配配置。

Important

此角色无法创建自定义安全属性集或直接分配或更新用户对象的自定义安全属性值。此角色只能在预配应用中配置自定义安全属性的流。

Actions	Description
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read	读取同步架构中的所有自定义安全属性
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/update	更新同步架构中的自定义安全属性映射

属性预配读取器

这是特权角色。将属性预配读取者角色分配给需要执行以下任务的用户：

在应用程序中预配时，读取自定义安全属性的属性映射。
在应用程序中预配时，读取自定义安全属性的预配和审核日志。

具有此角色的用户无法读取其他事件的审核日志。此角色必须与云应用程序管理员或应用程序管理员角色（从最低到大多数特权）一起使用，才能读取预配配置。

Actions	Description
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read	读取同步架构中的所有自定义安全属性

身份验证管理员

这是特权角色。将身份验证管理员角色分配给需要执行以下任务的用户：

为非管理员和某些角色设置或重置任何身份验证方法（包括密码）。有关身份验证管理员可以读取或更新身份验证方法的角色的列表，请参阅谁可以重置密码。
要求非管理员或分配给某些角色的用户重新注册现有非密码凭据（例如 MFA 或 FIDO），还可以撤销 设备上的 MFA，这会在下一次登录时提示 MFA。
在旧版 MFA 管理门户中管理 MFA 设置。
对某些用户执行敏感操作。有关详细信息，请参阅谁可以执行敏感操作。
在Azure和Microsoft 365 管理中心中创建和管理支持票证。

具有此角色的用户无法执行以下作：

无法更改可分配角色组的成员和所有者的凭据或重置 MFA。
无法管理硬件 OATH 令牌。

下表比较了与身份验证相关的角色的功能。

Role	管理用户的身份验证方法	管理每用户 MFA	管理 MFA 设置	管理身份验证方法策略	管理密码保护策略	更新敏感属性	删除和还原用户
身份验证管理员	对某些用户是	No	No	No	No	对某些用户是	对某些用户是
特权身份验证管理员	对于所有用户为“是”	No	No	No	No	对于所有用户为“是”	对于所有用户为“是”
身份验证策略管理员	No	Yes	Yes	Yes	Yes	No	No
用户管理员	No	No	No	No	No	对某些用户是	对某些用户是

Important

具有此角色的用户可以更改可能有权访问Microsoft Entra ID内外敏感或私有信息或关键配置的人员的凭据。更改用户的凭据可能意味着假定用户标识和权限的能力。例如：

应用程序注册和企业应用程序所有者，可以管理他们拥有的应用的凭据。这些应用在Microsoft Entra ID和其他地方可能具有特权权限，但未授予身份验证管理员权限。通过此路径，身份验证管理员可以假定应用程序所有者的标识，然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
Azure订阅所有者，他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
安全组和Microsoft 365组所有者，他们可以管理组成员身份。这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
Microsoft Entra ID之外的其他服务（例如Exchange Online、Microsoft Defender XDR门户、Microsoft Purview 门户和人力资源系统）中的管理员。
非行政人员，如高管、法律顾问和人力资源员工，他们可能有权访问敏感信息或私人信息。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/deletedItems.users/restore	将软删除的用户还原到原始状态
microsoft.directory/users/authenticationMethods/basic/update	更新用户身份验证方法的基本属性
microsoft.directory/users/authenticationMethods/create	更新用户的身份验证方法
microsoft.directory/users/authenticationMethods/delete	删除用户的身份验证方法
microsoft.directory/users/authenticationMethods/standard/restrictedRead	读取身份验证方法的标准属性，不包括用户的个人身份信息
microsoft.directory/users/basic/update	更新用户的基本属性
microsoft.directory/users/delete	删除用户
microsoft.directory/users/disable	禁用用户
microsoft.directory/users/enable	启用用户
microsoft.directory/users/invalidateAllRefreshTokens	通过让用户刷新令牌失效来强制执行注销
microsoft.directory/users/manager/update	更新用户的管理员
microsoft.directory/users/password/update	重置所有用户的密码
microsoft.directory/users/restore	还原已删除的用户
microsoft.directory/users/userPrincipalName/update	更新用户的用户主体名称
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

身份验证扩展性管理员

这是特权角色。将“身份验证扩展性管理员”角色分配给需要执行以下任务的用户：

创建并管理自定义身份验证扩展的所有方面。

具有此角色的用户无法执行以下作：

无法将自定义身份验证扩展分配给应用程序以修改身份验证体验，也无法同意应用程序权限或创建与自定义身份验证扩展关联的应用注册。相反，你必须使用“应用程序管理员”、“应用程序开发人员”或“云应用程序管理员”角色。

自定义身份验证扩展是由开发人员为身份验证事件创建的 API 终结点，并在Microsoft Entra ID中注册。应用程序管理员和应用程序所有者可以使用自定义身份验证扩展来自定义其应用程序的身份验证体验，例如登录和注册或密码重置。

Actions	Description
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	创建并管理自定义身份验证扩展

身份验证扩展性密码管理员

将身份验证扩展性密码管理员角色分配给需要执行以下任务的用户：

触发密码提交事件以进行自定义身份验证，将用户密码从外部标识系统迁移到Microsoft Entra 外部 ID。

Actions	Description
microsoft.directory/onPasswordSubmitCustomAuthenticationExtension/allProperties/allTasks	为 onPasswordSubmit 事件创建和管理自定义身份验证扩展

身份验证策略管理员

将身份验证策略管理员角色分配给需要执行以下任务的用户：

配置身份验证方法策略、租户范围的 MFA 设置及密码保护策略，用于确定每个用户可以注册和使用的方法。
管理密码保护设置：智能锁定配置及更新自定义受禁密码列表。
在旧版 MFA 管理门户中管理 MFA 设置。
创建和管理可验证凭据。
创建和管理Azure 支持票证。

具有此角色的用户无法执行以下作：

无法更新敏感属性。有关详细信息，请参阅谁可以执行敏感操作。
无法删除或还原用户。有关详细信息，请参阅谁可以执行敏感操作。
无法管理硬件 OATH 令牌。

下表比较了与身份验证相关的角色的功能。

Role	管理用户的身份验证方法	管理每用户 MFA	管理 MFA 设置	管理身份验证方法策略	管理密码保护策略	更新敏感属性	删除和还原用户
身份验证管理员	对某些用户是	No	No	No	No	对某些用户是	对某些用户是
特权身份验证管理员	对于所有用户为“是”	No	No	No	No	对于所有用户为“是”	对于所有用户为“是”
身份验证策略管理员	No	Yes	Yes	Yes	Yes	No	No
用户管理员	No	No	No	No	No	对某些用户是	对某些用户是

Actions	Description
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/organization/strongAuthentication/allTasks	管理组织的强身份验证属性的所有方面
microsoft.directory/userCredentialPolicies/basic/update	更新用户的基本策略
microsoft.directory/userCredentialPolicies/create	创建用户的凭据策略
microsoft.directory/userCredentialPolicies/delete	删除用户的凭据策略
microsoft.directory/userCredentialPolicies/owners/read	读取用户凭据策略的所有者
microsoft.directory/userCredentialPolicies/owners/update	更新用户凭据策略的所有者
microsoft.directory/userCredentialPolicies/policyAppliedTo/read	读取 policy.appliesTo 导航链接
microsoft.directory/userCredentialPolicies/standard/read	读取用户凭据策略的标准属性
microsoft.directory/userCredentialPolicies/tenantDefault/update	更新 policy.isOrganizationDefault 属性
microsoft.directory/verifiableCredentials/configuration/allProperties/read	读取创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/allProperties/update	更新创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	读取可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update	更新可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	读取可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke	吊销可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/create	创建可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/create	创建创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/delete	删除创建和管理可验证凭据所需的配置，并删除其所有可验证凭据

Azure DevOps管理员

具有此角色的用户可以管理所有企业Azure DevOps策略，这些策略适用于Microsoft Entra ID支持的所有Azure DevOps组织。此角色中的用户可以导航到公司Microsoft Entra ID支持的任何Azure DevOps组织来管理这些策略。此外，此角色中的用户可以声明孤立Azure DevOps组织的所有权。此角色不会授予公司Microsoft Entra组织支持的任何Azure DevOps组织内的任何其他特定于Azure DevOps的权限（例如Project集合管理员）。

Actions	Description
microsoft.azure.devOps/allEntities/allTasks	读取和配置Azure DevOps

Azure 信息保护管理员

具有此角色的用户在 Azure 信息保护服务中具有所有权限。此角色允许为Azure 信息保护策略配置标签、管理保护模板和激活保护。此角色不授予Microsoft Entra ID 保护、Privileged Identity Management、监视Microsoft 365服务运行状况、Microsoft Defender XDR门户或Microsoft Purview 门户。

Actions	Description
microsoft.azure.informationProtection/allEntities/allTasks	管理Azure 信息保护的各个方面
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

B2C IEF 密钥集管理员

这是特权角色。分配给此角色的用户可以创建和管理用于令牌加密、令牌签名和声明加密/解密的策略密钥和机密。他们可以向现有密钥容器添加新密钥，从而启用机密滚动更新，而不会影响现有应用程序。此外，此角色中的用户可以查看这些机密的完整详细信息，包括其到期日期，即使在创建后也是如此。

Important

这是一个敏感角色。在预生产与生产期间，应仔细审核并分配密钥集管理员角色。

Actions	Description
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks	在 Azure Active Directory B2C 中读取和配置密钥集

B2C IEF 策略管理员

此角色中的用户能够创建、读取、更新和删除 Azure AD B2C 中的所有自定义策略，因此可以完全控制相关Azure AD B2C 组织中的标识体验框架。通过编辑策略，此用户可以直接与外部标识提供者建立联合、更改目录架构、更改所有面向用户的内容（HTML、CSS、JavaScript）、更改完成身份验证所需满足的要求、创建新用户、将用户数据发送到外部系统（包括完整迁移），以及编辑所有用户信息（包括密码和电话号码等敏感字段）。相比之下，此角色无法更改加密密钥，也不能编辑组织中用于联合身份验证的机密。

Important

B2 IEF 策略管理员是一个高度敏感的角色，应该为生产中的组织分配非常有限的角色。应该密切审核这些用户（尤其是生产环境中的组织的用户）的活动。

Actions	Description
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks	在 Azure Active Directory B2C 中读取和配置自定义策略

计费管理员

进行采购、管理订阅、管理支持票证，以及监视服务运行状况。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.commerce.billing/allEntities/allProperties/allTasks	管理Office 365计费的各个方面
microsoft.directory/organization/basic/update	更新组织的基本属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Cloud App Security 管理员

具有此角色的用户在Defender for Cloud Apps中具有完全权限。他们可以添加管理员、添加Microsoft Defender for Cloud Apps策略和设置、上传日志和执行治理操作。

Actions	Description
microsoft.directory/cloudAppSecurity/allProperties/allTasks	创建和删除所有资源，并在Microsoft Defender for Cloud Apps中读取和更新标准属性
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

云应用管理员

这是特权角色。充当此角色的用户具有与应用程序管理员角色相同的权限，但不包括管理应用程序代理的权限。此角色授予创建和管理企业应用程序和应用程序注册的所有方面的权限。在创建新应用程序注册或企业应用程序时，不会将分配到此角色的用户添加为所有者。

此角色还授予同意委派权限和应用程序权限的功能，但Azure AD Graph 和Microsoft Graph的应用程序权限除外。

Important

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	在 Microsoft Entra ID 中管理管理员同意请求策略
microsoft.directory/appConsent/appConsentRequests/allProperties/read	读取注册Microsoft Entra ID的应用程序的所有许可请求属性
microsoft.directory/applicationPolicies/basic/update	更新应用程序策略的标准属性
microsoft.directory/applicationPolicies/create	创建应用程序策略
microsoft.directory/applicationPolicies/delete	删除应用程序策略
microsoft.directory/applicationPolicies/owners/read	读取应用程序策略的所有者
microsoft.directory/applicationPolicies/owners/update	更新应用程序策略的所有者属性
microsoft.directory/applicationPolicies/policyAppliedTo/read	读取应用于对象列表的应用程序策略
microsoft.directory/applicationPolicies/standard/read	读取应用程序策略的标准属性
microsoft.directory/applications/appRoles/update	更新所有类型的应用程序上的 appRoles 属性
microsoft.directory/applications/audience/update	更新应用程序的受众属性
microsoft.directory/applications/authentication/update	更新所有类型的应用程序的身份验证
microsoft.directory/applications/basic/update	更新应用程序的基本属性
microsoft.directory/applications/create	创建所有类型的应用程序
microsoft.directory/applications/credentials/update	更新应用程序凭据
microsoft.directory/applications/delete	删除所有类型的应用程序
microsoft.directory/applications/disablement/update (禁用更新)	更新用户是否启用了应用程序登录
microsoft.directory/applications/extensionProperties/update	更新应用程序的扩展属性
microsoft.directory/applications/notes/update	更新应用程序的说明
microsoft.directory/applications/owners/update	更新应用程序的所有者
microsoft.directory/applications/permissions/update	更新所有类型的应用程序的公开权限和必需权限
microsoft.directory/applications/policies/update	更新应用程序策略
microsoft.directory/applications/synchronization/standard/read	读取与应用程序对象关联的预配设置
microsoft.directory/applications/tag/update	更新应用程序的标记
microsoft.directory/applications/verification/update	更新 applicationsverification 属性
microsoft.directory/applicationTemplates/instantiate	从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/deletedItems.applications/delete	永久删除不再可以还原的应用程序
microsoft.directory/deletedItems.applications/restore	将软删除的应用程序还原到原始状态
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	创建和删除 OAuth 2.0 权限授予，读取和更新所有属性
microsoft.directory/provisioningLogs/allProperties/read	读取预配日志的所有属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	更新服务主体角色分配
microsoft.directory/servicePrincipals/audience/update	更新服务主体的受众属性
microsoft.directory/servicePrincipals/authentication/update	更新服务主体的身份验证属性
microsoft.directory/servicePrincipals/basic/update	更新服务主体的基本属性
microsoft.directory/servicePrincipals/create	创建服务主体
microsoft.directory/servicePrincipals/credentials/update	更新服务主体的凭据
microsoft.directory/servicePrincipals/delete	删除服务主体
microsoft.directory/servicePrincipals/disable	禁用服务主体
microsoft.directory/servicePrincipals/enable	启用服务主体
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	管理服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials	读取服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	代表任何用户或所有用户授予应用程序权限和委派权限（Microsoft Graph和 Azure AD Graph 的应用程序权限除外）
microsoft.directory/servicePrincipals/notes/update	更新服务主体的说明
microsoft.directory/servicePrincipals/owners/update	更新服务主体的所有者
microsoft.directory/servicePrincipals/permissions/update	更新服务主体的权限
microsoft.directory/servicePrincipals/policies/update	更新服务主体的策略
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization/standard/read	读取与服务主体关联的预配设置
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage	启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage	创建和管理应用程序预配同步作业和架构
microsoft.directory/servicePrincipals/tag/update	更新服务主体的标记属性
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

云设备管理员

这是特权角色。此角色中的用户可以在Microsoft Entra ID中启用、禁用和删除设备，并在Azure门户中读取 Windows 10 BitLocker 密钥（如果存在）。该角色不能授予设备上其他任何属性的管理权限。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read	读取设备上的 BitLocker 元数据和密钥
microsoft.directory/deletedItems.devices/delete	永久删除无法再还原的设备
microsoft.directory/deletedItems.devices/restore	将软删除的设备还原到原始状态
microsoft.directory/deviceLocalCredentials/password/read	读取已加入Microsoft Entra设备的已备份本地管理员帐户凭据的所有属性，包括密码
microsoft.directory/deviceManagementPolicies/basic/update	更新有关移动设备管理和移动应用管理策略的基本属性
microsoft.directory/deviceManagementPolicies/standard/read	读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/basic/update	更新设备注册策略上的基本属性
microsoft.directory/deviceRegistrationPolicy/standard/read	读取设备注册策略上的标准属性
microsoft.directory/devices/delete	从Microsoft Entra ID中删除设备
microsoft.directory/devices/disable	禁用Microsoft Entra ID中的设备
microsoft.directory/devices/enable	在 Microsoft Entra ID 中启用设备
microsoft.directory/devices/permissions/update	更新 IoT 设备上的备用名称属性
microsoft.directory/deviceTemplates/owners/read	读取物联网（IoT）设备模板上的所有者
microsoft.directory/deviceTemplates/owners/update	更新物联网（IoT）设备模板上的所有者
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况

合规性管理员

具有此角色的用户有权在Microsoft Purview 门户、Microsoft 365 管理中心、Azure和Microsoft Defender门户中管理与合规性相关的功能。被分配者还可以管理Exchange 管理中心中的所有功能，并为Azure和Microsoft 365创建支持票证。有关详细信息，请参阅 Microsoft Defender for Office 365 和 Microsoft Purview0>Roles 和角色组。

In	允许事项
Microsoft Purview 门户	跨 Microsoft 365 服务保护和管理组织的数据管理合规性警报
Microsoft Purview 合规性管理器	跟踪、分配并验证组织的法规合规性活动
Microsoft Defender portal	管理数据治理执行法律和数据调查管理数据主体请求此角色具有与 Microsoft Defender 门户基于角色的访问控制中的 Compliance Administrator 角色组相同的权限。
Intune	查看所有 Intune 审核数据
Microsoft Defender for Cloud Apps	拥有只读权限，可以管理警报可以创建和修改文件策略并允许执行文件管理操作可以查看数据管理下的所有内置报表

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/entitlementManagement/allProperties/read	读取Microsoft Entra权利管理中的所有属性
microsoft.office365.complianceManager/allEntities/allTasks	管理Office 365合规性管理器的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

符合性数据管理员

具有此角色的用户有权跟踪Microsoft Purview 门户、Microsoft 365 管理中心和Azure中的数据。用户还可以跟踪Exchange 管理中心、合规性管理器和 Teams 中的合规性数据Skype for Business管理中心并为Azure和Microsoft 365创建支持票证。有关合规性管理员与合规性数据管理员之间的差异的详细信息，请参阅Microsoft Defender for Office 365和Microsoft Purview合规性0>Roles 和角色组。

In	允许事项
Microsoft Purview 门户	跨 Microsoft 365 服务监视与合规性相关的策略管理合规性警报
Microsoft Purview 合规性管理器	跟踪、分配并验证组织的法规合规性活动
Microsoft 365 Defender 门户	管理数据治理执行法律和数据调查管理数据主体请求此角色的权限与Microsoft 365 Defender门户基于角色的访问控制中的 Compliance Data Administrator 角色组相同。
Intune	查看所有 Intune 审核数据
Microsoft Defender for Cloud Apps	拥有只读权限，可以管理警报可以创建和修改文件策略并允许执行文件管理操作可以查看数据管理下的所有内置报表

Actions	Description
microsoft.azure.informationProtection/allEntities/allTasks	管理Azure 信息保护的各个方面
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/cloudAppSecurity/allProperties/allTasks	创建和删除所有资源，并在Microsoft Defender for Cloud Apps中读取和更新标准属性
microsoft.office365.complianceManager/allEntities/allTasks	管理Office 365合规性管理器的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

条件访问管理员

这是特权角色。具有此角色的用户能够管理Microsoft Entra 条件访问设置。

Actions	Description
microsoft.directory/conditionalAccessPolicies/basic/update	更新条件访问策略的基本属性
microsoft.directory/conditionalAccessPolicies/create	创建条件访问策略
microsoft.directory/conditionalAccessPolicies/delete	删除条件访问策略
microsoft.directory/conditionalAccessPolicies/owners/read	读取条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/owners/update	更新条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	读取条件访问策略的“适用对象”属性
microsoft.directory/conditionalAccessPolicies/standard/read	读取条件访问策略
microsoft.directory/conditionalAccessPolicies/tenantDefault/update	更新条件访问策略的默认租户
microsoft.directory/namedLocations/basic/update	更新定义网络位置的自定义规则的基本属性
microsoft.directory/namedLocations/create	创建定义网络位置的自定义规则
microsoft.directory/namedLocations/delete	删除定义网络位置的自定义规则
microsoft.directory/namedLocations/standard/read	读取定义网络位置的自定义规则的基本属性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update	更新Microsoft 365基于角色的访问控制（RBAC）资源操作的条件访问身份验证上下文

客户密码箱访问审批者

管理组织中的Microsoft Purview 客户密码箱请求。他们收到客户密码箱请求的电子邮件通知，并且可以批准和拒绝来自Microsoft 365 管理中心的请求。他们还可以开启或关闭客户密码箱功能。只有全局管理员可以重置分配到此角色的用户的密码。

Actions	Description
microsoft.office365.lockbox/allEntities/allTasks	管理客户密码箱的各个方面
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

桌面分析管理员

此角色中的用户可以管理桌面分析服务。此权限包括查看资产库存、创建部署计划、查看部署和运行状况。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.desktopAnalytics/allEntities/allTasks	管理桌面分析的各个方面

目录读取器

充当此角色的用户可以读取基本的目录信息。应将此角色用于：

为特定的一组来宾用户授予读取访问权限，而不是将此权限授予所有来宾用户。
将“限制对Microsoft Entra 管理中心的访问权限”设置为“是”时，授予对Microsoft Entra 管理中心的特定非管理员用户访问权限。
当“Directory.Read.All”不是选项时，为服务主体授予对目录的访问权限。

Actions	Description
microsoft.directory/administrativeUnits/members/read	读取管理单元的成员
microsoft.directory/administrativeUnits/standard/read	读取管理单元上的基本属性
microsoft.directory/applicationPolicies/standard/read	读取应用程序策略的标准属性
microsoft.directory/applications/owners/read	读取应用程序的所有者
microsoft.directory/applications/policies/read	读取应用程序策略
microsoft.directory/applications/standard/read	读取应用程序的标准属性
microsoft.directory/contacts/memberOf/read	读取Microsoft Entra ID中所有联系人的组成员身份
microsoft.directory/contacts/standard/read	读取Microsoft Entra ID中联系人的基本属性
microsoft.directory/contracts/standard/read	读取合作伙伴合同上的基本属性
microsoft.directory/devices/memberOf/read	读取设备成员身份
microsoft.directory/devices/registeredOwners/read	读取设备的已注册所有者
microsoft.directory/devices/registeredUsers/read	读取设备的已注册用户
microsoft.directory/devices/standard/read	读取设备上的基本属性
microsoft.directory/directoryRoles/eligibleMembers/read	读取Microsoft Entra角色的合格成员
microsoft.directory/directoryRoles/members/read	读取Microsoft Entra角色的所有成员
microsoft.directory/directoryRoles/standard/read	读取Microsoft Entra角色的基本属性
microsoft.directory/domains/standard/read	读取域上的基本属性
microsoft.directory/groups/appRoleAssignments/read	读取组的应用程序角色分配
microsoft.directory/groups/memberOf/read	读取安全组和Microsoft 365组上的 memberOf 属性，包括可分配角色的组
microsoft.directory/groups/members/read	读取安全组和Microsoft 365组的成员，包括可分配角色的组
microsoft.directory/groups/owners/read	读取安全组和Microsoft 365组的所有者，包括可分配角色的组
microsoft.directory/groups/settings/read	读取组的设置
microsoft.directory/groups/standard/read	读取安全组和Microsoft 365组的标准属性，包括可分配角色的组
microsoft.directory/groupSettings/standard/read	读取组设置的基本属性
microsoft.directory/groupSettingTemplates/standard/read	读取组设置模板的基本属性
microsoft.directory/oAuth2PermissionGrants/standard/read	读取 OAuth 2.0 权限授予的基本属性
microsoft.directory/organization/standard/read	更新组织的基本属性
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read	读取无密码身份验证的受信任的证书颁发机构
microsoft.directory/roleAssignments/standard/read	读取角色分配的基本属性
microsoft.directory/roleDefinitions/standard/read	读取角色定义的基本属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/read	读取服务主体角色分配
microsoft.directory/servicePrincipals/appRoleAssignments/read	读取分配给服务主体的角色分配
microsoft.directory/servicePrincipals/memberOf/read	读取服务主体的组成员身份
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read	读取服务主体的委托权限授予
microsoft.directory/servicePrincipals/ownedObjects/read	读取服务主体的拥有对象
microsoft.directory/servicePrincipals/owners/read	读取服务主体的所有者
microsoft.directory/servicePrincipals/policies/read	读取服务主体的策略
microsoft.directory/servicePrincipals/standard/read	读取服务主体的基本属性
microsoft.directory/subscribedSkus/standard/read	读取订阅的基本属性
microsoft.directory/users/appRoleAssignments/read	读取用户的应用程序角色分配
microsoft.directory/users/deviceForResourceAccount/read	读取用户的资源帐户设备
microsoft.directory/users/directReports/read	读取用户的直接下属
microsoft.directory/users/invitedBy/read	读取邀请外部用户加入租户的用户
microsoft.directory/users/licenseDetails/read	读取用户的许可证详细信息
microsoft.directory/users/manager/read	读取用户的管理员
microsoft.directory/users/memberOf/read	读取用户的组成员身份
microsoft.directory/users/oAuth2PermissionGrants/read	读取用户的委托权限授予
microsoft.directory/users/ownedDevices/read	读取用户拥有的设备
microsoft.directory/users/ownedObjects/read	读取用户拥有的对象
microsoft.directory/users/photo/read	读取用户的照片
microsoft.directory/users/registeredDevices/read	读取用户已注册的设备
microsoft.directory/users/scopedRoleMemberOf/read	读取Microsoft Entra角色的成员身份，该角色的范围限定为管理单元
microsoft.directory/users/sponsorOf/read	读取用户发起的所有代理或应用程序
microsoft.directory/users/sponsors/read	读取用户的发起人
microsoft.directory/users/standard/read	读取用户的基本属性

目录同步帐户

请勿使用。此角色会自动分配给 Microsoft Entra Connect 服务，并且不会用于任何其他用途或不受支持。

Actions	Description
microsoft.directory/onPremisesSynchronization/standard/read	读取标准本地目录同步信息

目录作者

这是特权角色。此角色中的用户可以读取和更新用户、组和服务主体的基本信息。

Actions	Description
microsoft.directory/applications/extensionProperties/update	更新应用程序的扩展属性
microsoft.directory/contacts/create	创建联系人
microsoft.directory/groups/assignedLabels/update	更新分配的成员身份类型的组的分配标签属性，不包括可分配角色的组
microsoft.directory/groups/assignLicense	将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/basic/update	更新安全组和Microsoft 365组的基本属性，不包括可分配角色的组
microsoft.directory/groups/classification/update	更新安全组和Microsoft 365组的分类属性，不包括可分配角色的组
microsoft.directory/groups/create	创建安全组和Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/dynamicMembershipRule/update	更新安全组和Microsoft 365组的动态成员身份规则，不包括可分配角色的组
microsoft.directory/groups/groupType/update	更新会影响安全组和Microsoft 365组的组类型的属性，不包括可分配角色的组
microsoft.directory/groups/members/update	更新安全组和Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/groups/onPremWriteBack/update	使用 Microsoft Entra Connect 更新要写回本地的Microsoft Entra组
microsoft.directory/groups/owners/update	更新安全组和Microsoft 365组的所有者，不包括可分配角色的组
microsoft.directory/groups/reprocessLicenseAssignment	重新处理基于组的许可的许可证分配
microsoft.directory/groups/settings/update	更新组的设置
microsoft.directory/groups/visibility/update	更新安全组和Microsoft 365组的可见性属性，不包括可分配角色的组
microsoft.directory/groupSettings/basic/update	更新组设置的基本属性
microsoft.directory/groupSettings/create	创建组设置
microsoft.directory/groupSettings/delete	删除组设置
microsoft.directory/oAuth2PermissionGrants/basic/update	更新 OAuth 2.0 权限授予
microsoft.directory/oAuth2PermissionGrants/create	创建 OAuth 2.0 权限授予
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	更新服务主体角色分配
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	管理云租户到云租户应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage	启动、重启和暂停云租户到云租户应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage	创建和管理云租户到云租户应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage	启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage	创建和管理应用程序预配同步作业和架构
microsoft.directory/users/assignLicense	管理用户许可证
microsoft.directory/users/basic/update	更新用户的基本属性
microsoft.directory/users/create	添加用户
microsoft.directory/users/disable	禁用用户
microsoft.directory/users/enable	启用用户
microsoft.directory/users/invalidateAllRefreshTokens	通过让用户刷新令牌失效来强制执行注销
microsoft.directory/users/inviteGuest	邀请来宾用户
microsoft.directory/users/manager/update	更新用户的管理员
microsoft.directory/users/photo/update	更新用户照片
microsoft.directory/users/reprocessLicenseAssignment	重新处理用户的许可证分配
microsoft.directory/users/sponsors/update	更新用户的发起人
microsoft.directory/users/userPrincipalName/update	更新用户的用户主体名称

域名管理员

这是特权角色。具有此角色的用户可以管理（读取、添加、验证、更新和删除）域名。他们还可以读取有关用户、组和应用程序的目录信息，因为这些对象拥有域依赖项。对于本地环境，具有此角色的用户可以配置联合身份验证的域名，以便始终在本地对关联的用户进行身份验证。然后，这些用户可以通过单一登录使用其本地密码登录到基于Microsoft Entra的服务。需要通过 Microsoft Entra Connect 同步联合身份验证设置，因此用户也有权管理 Microsoft Entra Connect。

Actions	Description
microsoft.directory/domains/allProperties/allTasks	创建和删除域，读取和更新所有属性
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

龙管理员

将 Dragon 管理员角色分配给需要执行以下任务的用户：

在 Dragon 管理中心管理管理管理体验的各个方面
预配临床应用程序
创建和管理组织层次结构
监督医疗保健组
管理电子健康记录（EHR）系统中嵌入的各种临床应用程序的经验
配置临床应用程序，例如管理设置、查看分析和处理库对象
在 Dragon 管理中心为其组织创建、管理和查看其组织的支持票证
为组织购买的许可证创建、查看、管理和监视计费计划（可能需要其他角色）

了解详细信息

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.healthPlatform/allEntities/allProperties/allTasks	管理 Microsoft Dragon 管理中心的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Dynamics 365管理员

将Dynamics 365管理员角色分配给需要管理Dynamics 365服务的各个方面（包括配置、用户管理和支持票证）的用户。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.dynamics365/allEntities/allTasks	管理Dynamics 365的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Dynamics 365 Business Central管理员

将Dynamics 365 Business Central管理员角色分配给需要执行以下任务的用户：

访问Dynamics 365 Business Central环境
在环境中执行所有管理任务
管理客户的环境的生命周期
监督环境中安装的扩展
控制环境的升级
执行环境的数据导出
读取和配置Azure和Microsoft 365服务运行状况仪表板

此角色不提供其他Dynamics 365产品的任何权限。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.directory/domains/standard/read	读取域上的基本属性
microsoft.directory/organization/standard/read	更新组织的基本属性
microsoft.directory/subscribedSkus/standard/read	读取订阅的基本属性
microsoft.directory/users/standard/read	读取用户的基本属性
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks	管理Dynamics 365 Business Central的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

边缘管理员

此角色中的用户可以创建和管理Microsoft Edge上Internet Explorer模式所需的企业站点列表。此角色授予创建、编辑和发布站点列表的权限，此外还允许访问管理支持票证。

了解详细信息

Actions	Description
microsoft.edge/allEntities/allProperties/allTasks	管理Microsoft Edge的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Entra备份管理员

将 Entra 备份管理员角色分配给需要执行以下任务的用户：

列出租户中的所有快照
创建过去备份的差异报表（预览作业），并选择性地包括范围筛选器
比较备份和恢复范围内已更改的目录对象的状态
筛选支持的范围筛选器的目录对象
作业的读取状态
列出所有作业，包括预览作业和恢复作业
触发恢复作业，并选择性地包括范围筛选器

Actions	Description
microsoft.directory/auditLogs/standard/read	读取审核日志上的标准属性，不包括自定义安全属性审核日志
microsoft.directory/backup/preview/cancel	取消Microsoft Entra备份操作，将备份快照与当前状态进行比较。
microsoft.directory/backup/preview/create	创建Microsoft Entra备份操作，允许用户将备份快照与当前状态进行比较。
microsoft.directory/backup/recovery/cancel	取消Microsoft Entra恢复操作以恢复备份快照的内容
microsoft.directory/backup/recovery/create	创建Microsoft Entra恢复操作，允许用户恢复备份快照的内容。
microsoft.directory/backup/standard/read	列出Microsoft Entra备份（例如备份 ID 和时间戳）、查看差异报告以及列出恢复作业及其关联属性。

Entra备份读取器

将 Entra 备份读取者角色分配给需要执行以下任务的用户：

列出租户中的所有快照
创建过去备份的差异报表（预览作业），并选择性地包括范围筛选器
比较备份和恢复范围内已更改的目录对象的状态
筛选支持的范围筛选器的目录对象
作业的读取状态
查看所有作业，包括预览作业和恢复作业

Actions	Description
microsoft.directory/auditLogs/standard/read	读取审核日志上的标准属性，不包括自定义安全属性审核日志
microsoft.directory/backup/preview/cancel	取消Microsoft Entra备份操作，将备份快照与当前状态进行比较。
microsoft.directory/backup/preview/create	创建Microsoft Entra备份操作，允许用户将备份快照与当前状态进行比较。
microsoft.directory/backup/standard/read	列出Microsoft Entra备份（例如备份 ID 和时间戳）、查看差异报告以及列出恢复作业及其关联属性。

Exchange管理员

当服务存在时，具有此角色的用户在Microsoft Exchange Online具有全局权限。此外，还可以创建和管理所有Microsoft 365组、管理支持票证和监视服务运行状况。有关详细信息，请参阅 Microsoft 365 管理中心中的 About 管理员角色。

Note

在 Microsoft Graph API 和 Microsoft Graph PowerShell 中，此角色Exchange服务管理员命名。在 Azure 门户中，它命名为Exchange管理员。在 Exchange 管理中心中，它命名为Exchange Online管理员。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理Exchange Online保护策略
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中Exchange Online的还原会话
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks	在 M365 备份中管理与所选Exchange Online邮箱关联的所有还原点
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到Exchange Online保护策略的邮箱
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中Exchange Online还原会话的邮箱
microsoft.directory/contacts/allProperties/read	读取联系人的所有属性
microsoft.directory/contacts/memberOf/read	读取Microsoft Entra ID中所有联系人的组成员身份
microsoft.directory/contacts/standard/read	读取Microsoft Entra ID中联系人的基本属性
microsoft.directory/groups.unified/assignedLabels/update	更新分配的成员身份类型的Microsoft 365组的分配标签属性，不包括可分配角色的组
microsoft.directory/groups.unified/basic/update	更新Microsoft 365组的基本属性，不包括可分配角色的组
microsoft.directory/groups.unified/create	创建Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/delete	删除Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/members/update	更新Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/groups.unified/owners/update	更新Microsoft 365组的所有者，不包括可分配角色的组
microsoft.directory/groups.unified/restore	从软删除的容器还原Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.directory/onPremisesSynchronization/standard/read	读取标准本地目录同步信息
microsoft.office365.exchange/allEntities/basic/allTasks	管理Exchange Online的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Exchange备份管理员

将Exchange备份管理员角色分配给需要执行以下任务的用户：

管理Exchange Online Microsoft 365 备份的各个方面
备份和还原内容，包括Exchange Online的精细还原
为Exchange Online创建、编辑和管理备份配置策略
为Exchange Online执行还原操作

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理Exchange Online保护策略
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中Exchange Online的还原会话
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks	在 M365 备份中管理与所选Exchange Online邮箱关联的所有还原点
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到Exchange Online保护策略的邮箱
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中Exchange Online还原会话的邮箱
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Exchange收件人管理员

具有此角色的用户对收件人具有读取访问权限，并且对Exchange Online中这些收件人的属性具有写入访问权限。有关详细信息，请参阅 Exchange Server0>recipients。

Actions	Description
microsoft.office365.exchange/migration/allProperties/allTasks	管理与Exchange Online中收件人迁移相关的所有任务
microsoft.office365.exchange/recipients/allProperties/allTasks	创建和删除所有收件人，并在Exchange Online中读取和更新收件人的所有属性

外部 ID 用户流管理员

具有此角色的用户可以在Azure门户中创建和管理用户流（也称为“内置”策略）。这些用户可以自定义 HTML/CSS/JavaScript 内容、更改 MFA 要求、在令牌中选择声明、管理 API 连接器及其凭据，并为Microsoft Entra组织中的所有用户流配置会话设置。但是，此角色无法查看用户数据，也无法对组织架构中包含的属性进行更改。对 Identity Experience Framework 策略（也称为自定义策略）的更改也超出了此角色的权限范围。

Actions	Description
microsoft.directory/b2cUserFlow/allProperties/allTasks	在 Azure Active Directory B2C 中读取和配置用户流

外部 ID 用户流属性管理员

具有此角色的用户添加或删除Microsoft Entra组织中的所有用户流可用的自定义属性。因此，具有此角色的用户可以更改或向最终用户架构添加新元素，并影响所有用户流的行为，并间接导致对最终用户可能要求的数据进行更改，并最终作为声明发送到应用程序。此角色无法编辑用户流。

Actions	Description
microsoft.directory/b2cUserAttribute/allProperties/allTasks	在 Azure Active Directory B2C 中读取和配置用户属性

外部标识提供者管理员

这是特权角色。此管理员管理Microsoft Entra组织和外部标识提供者之间的联合身份验证。用户可以使用此角色添加新的标识提供者及配置所有可用设置（例如身份验证路径、服务 ID 和分配的密钥容器）。此用户可以使Microsoft Entra组织能够信任来自外部标识提供者的身份验证。对最终用户体验造成的影响取决于组织类型：

Microsoft Entra员工和合作伙伴的组织：添加联合身份验证（例如 Gmail）将立即影响尚未兑换的所有来宾邀请。
Azure Active Directory B2C 组织：添加联合身份验证（例如，与另一个Microsoft Entra组织）不会立即影响最终用户流，直到在用户流中添加标识提供者作为选项（也称为内置策略）。若要更改用户流，需要使用受限角色“B2C 用户流管理员”。

Actions	Description
microsoft.directory/domains/federation/update	更新域的联合属性
microsoft.directory/identityProviders/allProperties/allTasks	在 Azure Active Directory B2C 中读取和配置标识提供者

Fabric管理员

具有此角色的用户在Microsoft Fabric和Power BI中具有全局权限，当服务存在时，以及管理支持票证和监视服务运行状况的功能。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.powerApps.powerBI/allEntities/allTasks	管理Fabric和Power BI的各个方面

全局管理员

这是特权角色。具有此角色的用户有权访问Microsoft Entra ID中的所有管理功能，以及使用Microsoft Entra标识的服务（如Microsoft Defender门户、Microsoft Purview 门户）Exchange Online、SharePoint Online 和 Skype for Business Online。全局管理员可以查看目录活动日志。此外，全局管理员可以删除其访问权限来管理所有Azure订阅和管理组。这样，全局管理员就可以使用相应的Microsoft Entra租户来完全访问所有Azure资源。注册Microsoft Entra组织的人员将成为全局管理员。公司中可以有多个全局管理员。全局管理员可以为任何用户和所有其他管理员重置密码。全局管理员无法删除其自己的全局管理员分配。这是为了防止组织无全局管理员的情况。

Note

最佳做法是，Microsoft建议将全局管理员角色分配给组织中少于 5 个人。有关详细信息，请参阅有关Microsoft Entra角色的最佳做法。

Actions	Description
microsoft.agentRegistry/allEntities/allProperties/allTasks	在 Microsoft Entra ID 中管理代理注册表的各个方面
microsoft.azure.advancedThreatProtection/allEntities/allTasks	管理Azure Advanced Threat Protection的各个方面
microsoft.azure.informationProtection/allEntities/allTasks	管理Azure 信息保护的各个方面
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.backup/allEntities/allProperties/allTasks	管理Microsoft 365 备份的各个方面
microsoft.cloudPC/allEntities/allProperties/allTasks	管理Windows 365的各个方面
microsoft.commerce.billing/allEntities/allProperties/allTasks	管理Office 365计费的各个方面
microsoft.commerce.billing/purchases/standard/read	读取Microsoft 365 管理中心中的购买服务。
microsoft.directory/accessReviews/allProperties/allTasks	创建和删除访问评审，并在Microsoft Entra ID中读取和更新访问评审的所有属性
microsoft.directory/accessReviews/definitions/allProperties/allTasks	管理Microsoft Entra ID中所有可审阅资源的访问评审
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	在 Microsoft Entra ID 中管理管理员同意请求策略
microsoft.directory/administrativeUnits/allProperties/allTasks	创建和管理管理单元（包括成员）
microsoft.directory/agentIdentities/appRoleAssignedTo/update	更新代理身份角色分配。
microsoft.directory/agentIdentities/basic/update	更新代理身份的基本属性。
microsoft.directory/agentIdentities/create	创建代理人身份。
microsoft.directory/agentIdentities/delete	删除特工身份。
microsoft.directory/agentIdentities/disable	禁用代理身份。
microsoft.directory/agentIdentities/enable	启用代理身份。
microsoft.directory/agentIdentities/owners/update	在代理人身份中添加和移除所有者。
microsoft.directory/agentIdentities/tag/update	更新代理身份标签。
microsoft.directory/agentIdentityBlueprintPrincipals/appRoleAssignedTo/update	更新代理身份蓝图主体角色分配。
microsoft.directory/agentIdentityBlueprintPrincipals/basic/update	更新代理身份蓝图主体的基本属性。
microsoft.directory/agentIdentityBlueprintPrincipals/create	创建代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/delete	删除代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/disable	禁用代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/enable	启用代理身份蓝图主体。
microsoft.directory/agentIdentityBlueprintPrincipals/owners/update	添加和移除代理人身份蓝图主体所有者。
microsoft.directory/agentIdentityBlueprintPrincipals/tag/update	更新代理身份蓝图主体标签。
microsoft.directory/agentIdentityBlueprints/allProperties/read	阅读所有代理身份蓝图的属性和设置。
microsoft.directory/agentIdentityBlueprints/allProperties/update	更新所有代理身份蓝图的属性和设置。
microsoft.directory/agentIdentityBlueprints/appRoles/update	修改代理身份蓝图上定义的应用角色。
microsoft.directory/agentIdentityBlueprints/authentication/update	更新与代理身份蓝图相关的认证设置。
microsoft.directory/agentIdentityBlueprints/audience/update	更新代理身份蓝图的登录受众设置。
microsoft.directory/agentIdentityBlueprints/basic/update	更新代理身份蓝图的基本属性。
microsoft.directory/agentIdentityBlueprints/create	创建特工身份蓝图。
microsoft.directory/agentIdentityBlueprints/credentials/update	为代理身份蓝图添加和删除凭证。
microsoft.directory/agentIdentityBlueprints/delete	删除特工身份蓝图。
microsoft.directory/agentIdentityBlueprints/owners/update	在代理身份蓝图中添加和移除所有者。
microsoft.directory/agentIdentityBlueprints/permissions/update	修改代理身份蓝图上的公开权限。
microsoft.directory/agentIdentityBlueprints/tag/update	更新代理身份蓝图的标签。
microsoft.directory/agentIdentityBlueprints/verification/update	更新代理身份蓝图的发布者验证设置。
microsoft.directory/agentUsers/assignLicense	管理代理用户许可证
microsoft.directory/agentUsers/basic/update	更新代理用户的基本属性
microsoft.directory/agentUsers/create	添加代理用户
microsoft.directory/agentUsers/delete	删除代理用户
microsoft.directory/agentUsers/disable	禁用代理用户
microsoft.directory/agentUsers/enable	启用代理用户
microsoft.directory/agentUsers/invalidateAllRefreshTokens	通过使代理用户刷新令牌失效来强制登出
microsoft.directory/agentUsers/lifeCycleInfo/read	阅读代理用户的生命周期信息，如 employeeLeaveDateTime
microsoft.directory/agentUsers/lifeCycleInfo/update	更新代理用户的生命周期信息，例如 employeeLeaveDateTime
microsoft.directory/agentUsers/manager/update	代理用户的更新管理器
microsoft.directory/agentUsers/photo/update	更新代理用户照片
microsoft.directory/agentUsers/reprocessLicenseAssignment	代理用户的重新处理许可分配
microsoft.directory/agentUsers/restore	恢复已删除的代理用户
microsoft.directory/agentUsers/revokeSignInSessions	撤销代理用户的登录会话
microsoft.directory/agentUsers/sponsors/update	更新代理用户的赞助商
microsoft.directory/agentUsers/usageLocation/update	更新代理用户的使用位置
microsoft.directory/agentUsers/userPrincipalName/update	更新代理用户主体名称
microsoft.directory/appConsent/appConsentRequests/allProperties/read	读取注册Microsoft Entra ID的应用程序的所有许可请求属性
microsoft.directory/applications/allProperties/allTasks	创建和删除应用程序，读取和更新所有属性
microsoft.directory/applications/disablement/update (禁用更新)	更新用户是否启用了应用程序登录
microsoft.directory/applications/synchronization/standard/read	读取与应用程序对象关联的预配设置
microsoft.directory/applicationTemplates/instantiate	从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/allProperties/allTasks	管理授权策略的所有方面
microsoft.directory/backup/preview/cancel	取消Microsoft Entra备份操作，将备份快照与当前状态进行比较。
microsoft.directory/backup/preview/create	创建Microsoft Entra备份操作，允许用户将备份快照与当前状态进行比较。
microsoft.directory/backup/recovery/cancel	取消Microsoft Entra恢复操作以恢复备份快照的内容
microsoft.directory/backup/recovery/create	创建Microsoft Entra恢复操作，允许用户恢复备份快照的内容。
microsoft.directory/backup/standard/read	列出Microsoft Entra备份（例如备份 ID 和时间戳）、查看差异报告以及列出恢复作业及其关联属性。
microsoft.directory/bitlockerKeys/key/read	读取设备上的 BitLocker 元数据和密钥
microsoft.directory/bulkJobs/basic/update	更新目录中的所有批量作业
microsoft.directory/bulkJobs/create	在目录中创建所有批量作业
microsoft.directory/cloudAppSecurity/allProperties/allTasks	创建和删除所有资源，并在Microsoft Defender for Cloud Apps中读取和更新标准属性
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks	管理条件访问策略的所有属性
microsoft.directory/connectorGroups/allProperties/read	读取应用程序代理连接器组的所有属性
microsoft.directory/connectorGroups/allProperties/update	更新应用程序代理连接器组的所有属性
microsoft.directory/connectorGroups/create	创建应用程序代理连接器组
microsoft.directory/connectorGroups/delete	删除应用程序代理连接器组
microsoft.directory/connectors/allProperties/read	读取应用程序代理连接器的所有属性
microsoft.directory/connectors/create	创建应用程序代理连接器
microsoft.directory/contacts/allProperties/allTasks	创建和删除联系人，读取和更新所有属性
microsoft.directory/contracts/allProperties/allTasks	创建和删除合作伙伴合同，读取和更新所有属性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	更新跨租户访问策略的允许的云终结点
microsoft.directory/crossTenantAccessPolicy/basic/update	更新跨租户访问策略的基本设置
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	更新默认跨租户访问策略Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	更新默认跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/default/standard/read	读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	更新默认跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	更新合作伙伴跨租户访问策略Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/partners/create	为合作伙伴创建跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	更新合作伙伴的跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/partners/delete	删除合作伙伴的跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update	更新跨租户同步策略的基本设置
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create	为合作伙伴创建跨租户同步策略
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	读取跨租户同步策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update	更新多租户组织的跨租户同步策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings	将多租户组织的跨租户同步策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update	更新多租户组织的跨租户访问策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings	将多租户组织的跨租户访问策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	更新合作伙伴的跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/standard/read	读取跨租户访问策略的基本属性
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	创建并管理自定义身份验证扩展
microsoft.directory/deletedItems/delete	永久删除不再可以还原的对象
microsoft.directory/deletedItems/restore	将软删除的对象还原到原始状态
microsoft.directory/deviceLocalCredentials/password/read	读取已加入Microsoft Entra设备的已备份本地管理员帐户凭据的所有属性，包括密码
microsoft.directory/deviceManagementPolicies/basic/update	更新有关移动设备管理和移动应用管理策略的基本属性
microsoft.directory/deviceManagementPolicies/standard/read	读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/basic/update	更新设备注册策略上的基本属性
microsoft.directory/deviceRegistrationPolicy/standard/read	读取设备注册策略上的标准属性
microsoft.directory/devices/allProperties/allTasks	创建和删除设备，读取和更新所有属性
microsoft.directory/devices/permissions/update	更新 IoT 设备上的备用名称属性
microsoft.directory/deviceTemplates/owners/read	读取物联网（IoT）设备模板上的所有者
microsoft.directory/deviceTemplates/owners/update	更新物联网（IoT）设备模板上的所有者
microsoft.directory/directoryRoles/allProperties/allTasks	创建和删除目录角色，以及读取和更新所有属性
microsoft.directory/directoryRoleTemplates/allProperties/allTasks	创建和删除Microsoft Entra角色模板，并读取和更新所有属性
microsoft.directory/domains/allProperties/allTasks	创建和删除域，读取和更新所有属性
microsoft.directory/domains/federationConfiguration/basic/update	更新域的基本联合配置
microsoft.directory/domains/federationConfiguration/create	创建域的联合配置
microsoft.directory/domains/federationConfiguration/delete	删除域的联合配置
microsoft.directory/domains/federationConfiguration/standard/read	读取域的联合配置的标准属性
microsoft.directory/entitlementManagement/allProperties/allTasks	创建和删除资源，并读取和更新Microsoft Entra权利管理中的所有属性
microsoft.directory/externalUserProfiles/basic/update	在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/externalUserProfiles/delete	删除 Teams 扩展目录中的外部用户配置文件
microsoft.directory/externalUserProfiles/standard/read	在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/groups/allProperties/allTasks	创建和删除组，以及读取和更新所有属性
microsoft.directory/groupsAssignableToRoles/allProperties/update	更新可分配角色的组
microsoft.directory/groupsAssignableToRoles/assignLicense	将许可证分配给可分配角色的组
microsoft.directory/groupsAssignableToRoles/create	创建可分配角色的组
microsoft.directory/groupsAssignableToRoles/delete	删除可分配角色的组
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment	重新处理可分配角色的组的许可证分配
microsoft.directory/groupsAssignableToRoles/restore	还原可分配角色的组
microsoft.directory/groupSettings/allProperties/allTasks	创建和删除组设置，读取和更新所有属性
microsoft.directory/groupSettingTemplates/allProperties/allTasks	创建和删除组设置模板，读取和更新所有属性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	在 Microsoft Entra ID 中管理混合身份验证策略
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks	在 Microsoft Entra ID 中管理生命周期工作流和任务的各个方面
microsoft.directory/loginOrganizationBranding/allProperties/allTasks	创建和删除 loginTenantBranding，读取和更新所有属性
microsoft.directory/multiTenantOrganization/basic/update	更新多租户组织的基本属性
microsoft.directory/multiTenantOrganization/create	创建多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update	加入多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read	读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/create	在多租户组织中创建租户
microsoft.directory/multiTenantOrganization/tenants/delete	删除参与多租户组织的租户
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update	更新参与多租户组织的租户的基本属性
microsoft.directory/multiTenantOrganization/tenants/standard/read	读取参与多租户组织的租户的基本属性
microsoft.directory/namedLocations/basic/update	更新定义网络位置的自定义规则的基本属性
microsoft.directory/namedLocations/create	创建定义网络位置的自定义规则
microsoft.directory/namedLocations/delete	删除定义网络位置的自定义规则
microsoft.directory/namedLocations/standard/read	读取定义网络位置的自定义规则的基本属性
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	创建和删除 OAuth 2.0 权限授予，读取和更新所有属性
microsoft.directory/onPremisesSynchronization/basic/update	更新基本本地目录同步信息
microsoft.directory/onPremisesSynchronization/standard/read	读取标准本地目录同步信息
microsoft.directory/organization/allProperties/allTasks	读取和更新组织的所有属性
microsoft.directory/passwordHashSync/allProperties/allTasks	在 Microsoft Entra ID 中管理密码哈希同步（PHS）的各个方面
microsoft.directory/pendingExternalUserProfiles/basic/update	在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/pendingExternalUserProfiles/create	在 Teams 的扩展目录中创建外部用户配置文件
microsoft.directory/pendingExternalUserProfiles/delete	删除 Teams 扩展目录中的外部用户配置文件
microsoft.directory/pendingExternalUserProfiles/standard/read	在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/permissionGrantPolicies/basic/update	更新权限授予策略的基本属性
microsoft.directory/permissionGrantPolicies/create	创建权限授予策略
microsoft.directory/permissionGrantPolicies/delete	删除权限授予策略
microsoft.directory/permissionGrantPolicies/standard/read	读取权限授予策略的标准属性
microsoft.directory/policies/allProperties/allTasks	创建和删除策略，读取和更新所有属性
microsoft.directory/privilegedIdentityManagement/allProperties/read	读取Privileged Identity Management中的所有资源
microsoft.directory/provisioningLogs/allProperties/read	读取预配日志的所有属性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update	更新Microsoft 365基于角色的访问控制（RBAC）资源操作的条件访问身份验证上下文
microsoft.directory/roleAssignments/allProperties/allTasks	创建和删除角色分配，读取和更新所有角色分配属性
microsoft.directory/roleDefinitions/allProperties/allTasks	创建和删除角色定义，读取和更新所有属性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	创建和删除 scopedRoleMemberships，读取和更新所有属性
microsoft.directory/serviceAction/activateService	可以对服务执行“激活服务”操作
microsoft.directory/serviceAction/disableDirectoryFeature	可以对服务执行“禁用目录功能”操作
microsoft.directory/serviceAction/enableDirectoryFeature	可以对服务执行“启用目录功能”操作
microsoft.directory/serviceAction/getAvailableExtentionProperties	可以执行 getAvailableExtentionProperties 服务操作
microsoft.directory/servicePrincipalCreationPolicies/basic/update	更新服务主体创建策略的基本属性
microsoft.directory/servicePrincipalCreationPolicies/create	创建服务主体创建策略
microsoft.directory/servicePrincipalCreationPolicies/delete	删除服务主体创建策略
microsoft.directory/servicePrincipalCreationPolicies/standard/read	读取服务主体创建策略的标准属性
microsoft.directory/servicePrincipals/allProperties/allTasks	创建和删除服务主体，读取和更新所有属性
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	许可对任意应用程序的任何权限
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	管理云租户到云租户应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage	启动、重启和暂停云租户到云租户应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage	创建和管理云租户到云租户应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization/standard/read	读取与服务主体关联的预配设置
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.directory/subscribedSkus/allProperties/allTasks	购买和管理订阅以及删除订阅
microsoft.directory/tenantManagement/tenants/create	在 Microsoft Entra ID 中创建新租户
microsoft.directory/users/allProperties/allTasks	创建和删除用户，读取和更新所有属性
microsoft.directory/users/authenticationMethods/basic/update	更新用户身份验证方法的基本属性
microsoft.directory/users/authenticationMethods/create	更新用户的身份验证方法
microsoft.directory/users/authenticationMethods/delete	删除用户的身份验证方法
microsoft.directory/users/authenticationMethods/standard/read	读取用户身份验证方法的标准属性
microsoft.directory/users/convertExternalToInternalMemberUser	将外部用户转换为内部用户
microsoft.directory/verifiableCredentials/configuration/allProperties/read	读取创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/allProperties/update	更新创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	读取可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update	更新可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	读取可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke	吊销可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/create	创建可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/create	创建创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/delete	删除创建和管理可验证凭据所需的配置，并删除其所有可验证凭据
microsoft.dynamics365/allEntities/allTasks	管理Dynamics 365的各个方面
microsoft.edge/allEntities/allProperties/allTasks	管理Microsoft Edge的各个方面
microsoft.flow/allEntities/allTasks	管理Microsoft Power Automate的各个方面
microsoft.graph.dataConnect/allEntities/allProperties/allTasks	管理Microsoft Graph数据连接的各个方面
microsoft.hardware.support/shippingAddress/allProperties/allTasks	创建、读取、更新和删除Microsoft硬件保修声明的寄送地址，包括其他人创建的寄送地址
microsoft.hardware.support/shippingStatus/allProperties/read	读取已打开Microsoft硬件保修声明的发货状态
microsoft.hardware.support/warrantyClaims/allProperties/allTasks	创建和管理Microsoft硬件保修声明的各个方面
microsoft.healthPlatform/allEntities/allProperties/allTasks	管理 Microsoft Dragon 管理中心的各个方面
microsoft.insights/allEntities/allProperties/allTasks	管理 Insights 应用的各个方面
microsoft.intune/allEntities/allTasks	管理Microsoft Intune的各个方面
microsoft.microsoft365.organizationalData/allEntities/allProperties/allTasks	在 Microsoft 365 中管理组织数据的各个方面
microsoft.networkAccess/allEntities/allProperties/allTasks	管理Microsoft Entra网络访问的各个方面
microsoft.networkAccess/trafficLogs/standard/read	读取流量日志的标准属性，例如 DeviceId、DestinationIp 和 PolicyRuleId
microsoft.office365.complianceManager/allEntities/allTasks	管理Office 365合规性管理器的各个方面
microsoft.office365.copilot/allEntities/allProperties/allTasks	创建和管理智能 Microsoft 365 Copilot 副驾驶®的所有设置
microsoft.office365.desktopAnalytics/allEntities/allTasks	管理桌面分析的各个方面
microsoft.office365.exchange/allEntities/basic/allTasks	管理Exchange Online的各个方面
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks	管理 SharePoint Embedded 容器的各个方面
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	读取和更新Microsoft 365 管理中心中内容理解的所有属性
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	在 Microsoft 365 管理中心中读取内容理解的分析报告
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	读取和更新Microsoft 365 管理中心中知识网络的所有属性
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	管理Microsoft 365 管理中心中知识网络的主题可见性
microsoft.office365.knowledge/learningSources/allProperties/allTasks	在学习应用中管理学习资源及其所有属性。
microsoft.office365.lockbox/allEntities/allTasks	管理客户密码箱的各个方面
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.messageCenter/securityMessages/read	在Microsoft 365 管理中心的消息中心读取安全消息
microsoft.office365.migrations/allEntities/allProperties/allTasks	管理Microsoft 365迁移的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks	管理Microsoft 365组织消息的所有创作方面
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks	管理安全与合规中心的所有方面
microsoft.office365.search/content/manage	创建和删除内容，并读取和更新Microsoft 搜索中的所有属性
microsoft.office365.securityComplianceCenter/allEntities/allTasks	创建和删除所有资源，并在Microsoft 365安全与合规中心读取和更新标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.sharePoint/allEntities/allTasks	创建和删除所有资源，并在SharePoint中读取和更新标准属性
microsoft.office365.sharePointAdvancedManagement/allEntities/allProperties/allTasks	管理SharePoint 高级管理的各个方面
microsoft.office365.skypeForBusiness/allEntities/allTasks	管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.userCommunication/allEntities/allTasks	读取和更新新增功能消息的可见性
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.office365.yammer/allEntities/allProperties/allTasks	管理 Yammer 的所有方面
microsoft.people/users/photo/read	读取用户的个人资料照片
microsoft.people/users/photo/update	更新用户的个人资料照片
microsoft.peopleAdmin/organization/allProperties/read	读取用户的人员设置，例如代词、姓名发音和个人资料卡设置
microsoft.peopleAdmin/organization/allProperties/update	更新用户的人员设置，例如代词、姓名发音和个人资料卡设置
microsoft.permissionsManagement/allEntities/allProperties/allTasks	管理Microsoft Entra 权限管理的各个方面
microsoft.powerApps.powerBI/allEntities/allTasks	管理Fabric和Power BI的各个方面
microsoft.powerApps/allEntities/allTasks	管理Power Apps的各个方面
microsoft.teams/allEntities/allProperties/allTasks	管理 Teams 中的所有资源
microsoft.virtualVisits/allEntities/allProperties/allTasks	从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标
microsoft.viva.glint/allEntities/allProperties/allTasks	管理和配置Microsoft 365 管理中心中的所有Microsoft Viva Glint设置
microsoft.viva.goals/allEntities/allProperties/allTasks	管理Microsoft Viva Goals的各个方面
microsoft.viva.pulse/allEntities/allProperties/allTasks	管理Microsoft Viva Pulse的各个方面
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	管理Microsoft Defender for Endpoint的各个方面
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	读取和配置 Windows 更新服务的各个方面

全球阅读器

这是特权角色。此角色中的用户可以跨Microsoft 365服务读取设置和管理信息，但无法执行管理操作。全局读取者是对应于全局管理员的只读角色。满足规划、审核或调查目的时，请分配全局读取者，而不要分配全局管理员。将全局读取者与其他受限管理员角色（如 Exchange 管理员）结合使用，以便更轻松地完成工作，而无需分配全局管理员角色。全局读取者适用于 Microsoft 365 管理中心、Exchange 管理中心、SharePoint 管理中心、Teams 管理中心、Microsoft Defender 门户、Microsoft Purview 门户、Azure 门户和设备管理管理中心。

具有此角色的用户无法执行以下作：

无法访问Microsoft 365 管理中心中的“购买服务”区域。

Note

全局读取者角色具有以下限制：

OneDrive管理中心 - OneDrive管理中心不支持全局读取者角色
Microsoft Defender门户 - 全局读取者无法执行内容搜索或查看安全功能分数。
Teams 管理中心 - 全局读取者无法读取“Teams 生命周期”、“分析和报告”、“IP 电话设备管理”和“应用目录”。有关详细信息，请参阅使用Microsoft Teams管理员角色来管理 Teams。
Privileged Access Management 不支持全局读取者角色。
Azure 信息保护 - 仅当Microsoft Entra组织不在统一标记平台>。
SharePoint - 全局读取者对 SharePoint Online PowerShell cmdlet 和读取 API 具有读取访问权限。
Power Platform 管理中心 - Power Platform 管理中心尚不支持全局读取者。
Microsoft Purview不支持全局读取者角色。

Actions	Description
microsoft.agentRegistry/allEntities/allProperties/read	读取 Microsoft Entra ID 中代理注册表的所有属性
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.backup/allEntities/allProperties/read	阅读Microsoft 365 备份的各个方面
microsoft.cloudPC/allEntities/allProperties/read	阅读Windows 365的各个方面
microsoft.commerce.billing/allEntities/allProperties/read	读取Office 365计费的所有资源
microsoft.commerce.billing/purchases/standard/read	读取Microsoft 365 管理中心中的购买服务。
microsoft.directory/accessReviews/allProperties/read	读取访问评审的所有属性
microsoft.directory/accessReviews/definitions/allProperties/read	读取Microsoft Entra ID中所有可评审资源的访问评审的所有属性
microsoft.directory/adminConsentRequestPolicy/allProperties/read	读取Microsoft Entra ID中管理员同意请求策略的所有属性
microsoft.directory/administrativeUnits/allProperties/read	读取管理单元的所有属性，包括成员
microsoft.directory/appConsent/appConsentRequests/allProperties/read	读取注册Microsoft Entra ID的应用程序的所有许可请求属性
microsoft.directory/applications/allProperties/read	读取所有应用程序类型上的所有属性（包括特权属性）
microsoft.directory/applications/synchronization/standard/read	读取与应用程序对象关联的预配设置
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read	读取设备上的 BitLocker 元数据和密钥
microsoft.directory/cloudAppSecurity/allProperties/read	读取云应用安全的所有属性
microsoft.directory/conditionalAccessPolicies/allProperties/read	读取条件访问策略的所有属性
microsoft.directory/connectorGroups/allProperties/read	读取应用程序代理连接器组的所有属性
microsoft.directory/connectors/allProperties/read	读取应用程序代理连接器的所有属性
microsoft.directory/contacts/allProperties/read	读取联系人的所有属性
microsoft.directory/crossTenantAccessPolicy/default/standard/read	读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	读取跨租户同步策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/standard/read	读取跨租户访问策略的基本属性
microsoft.directory/customAuthenticationExtensions/allProperties/read	读取自定义身份验证扩展
microsoft.directory/deviceLocalCredentials/standard/read	读取已加入Microsoft Entra设备的备份本地管理员帐户凭据的所有属性，密码除外
microsoft.directory/deviceManagementPolicies/standard/read	读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/standard/read	读取设备注册策略上的标准属性
microsoft.directory/devices/allProperties/read	读取设备的所有属性
microsoft.directory/directoryRoles/allProperties/read	读取目录角色的所有属性
microsoft.directory/directoryRoleTemplates/allProperties/read	读取目录角色模板的所有属性
microsoft.directory/domains/allProperties/read	读取域的所有属性
microsoft.directory/domains/federationConfiguration/standard/read	读取域的联合配置的标准属性
microsoft.directory/entitlementManagement/allProperties/read	读取Microsoft Entra权利管理中的所有属性
microsoft.directory/externalUserProfiles/standard/read	在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/groups/allProperties/read	读取安全组和Microsoft 365组上的所有属性（包括特权属性），包括可分配角色的组
microsoft.directory/groupSettings/allProperties/read	读取组设置的所有属性
microsoft.directory/groupSettingTemplates/allProperties/read	读取组设置模板的所有属性
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read	读取Microsoft Entra ID中生命周期工作流和任务的所有属性
microsoft.directory/loginOrganizationBranding/allProperties/read	读取组织的带品牌登录页的所有属性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read	读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/standard/read	读取参与多租户组织的租户的基本属性
microsoft.directory/namedLocations/standard/read	读取定义网络位置的自定义规则的基本属性
microsoft.directory/oAuth2PermissionGrants/allProperties/read	读取 OAuth 2.0 权限授予的所有属性
microsoft.directory/onPremisesSynchronization/standard/read	读取标准本地目录同步信息
microsoft.directory/organization/allProperties/read	读取组织的所有属性
microsoft.directory/pendingExternalUserProfiles/standard/read	在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/permissionGrantPolicies/standard/read	读取权限授予策略的标准属性
microsoft.directory/policies/allProperties/read	读取策略的所有属性
microsoft.directory/privilegedIdentityManagement/allProperties/read	读取Privileged Identity Management中的所有资源
microsoft.directory/provisioningLogs/allProperties/read	读取预配日志的所有属性
microsoft.directory/roleAssignments/allProperties/read	读取角色分配的所有属性
microsoft.directory/roleDefinitions/allProperties/read	读取角色定义的所有属性
microsoft.directory/scopedRoleMemberships/allProperties/read	查看管理单元中的成员
microsoft.directory/serviceAction/getAvailableExtentionProperties	可以执行 getAvailableExtentionProperties 服务操作
microsoft.directory/servicePrincipalCreationPolicies/standard/read	读取服务主体创建策略的标准属性
microsoft.directory/servicePrincipals/allProperties/read	读取服务主体上的所有属性（包括特权属性）
microsoft.directory/servicePrincipals/synchronization/standard/read	读取与服务主体关联的预配设置
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.directory/subscribedSkus/allProperties/read	读取产品订阅的所有属性
microsoft.directory/users/allProperties/read	读取用户的所有属性
microsoft.directory/users/authenticationMethods/standard/restrictedRead	读取身份验证方法的标准属性，不包括用户的个人身份信息
microsoft.directory/verifiableCredentials/configuration/allProperties/read	读取创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	读取可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	读取可验证凭据卡
microsoft.edge/allEntities/allProperties/read	阅读Microsoft Edge的各个方面
microsoft.graph.dataConnect/allEntities/allProperties/read	读取 Microsoft Graph 数据连接的各个方面
microsoft.hardware.support/shippingAddress/allProperties/read	读取Microsoft硬件保修声明的寄送地址，包括其他人创建的现有寄送地址
microsoft.hardware.support/shippingStatus/allProperties/read	读取已打开Microsoft硬件保修声明的发货状态
microsoft.hardware.support/warrantyClaims/allProperties/read	阅读Microsoft硬件保修声明
microsoft.healthPlatform/allEntities/allProperties/read	阅读 Microsoft Dragon 管理中心的各个方面
microsoft.insights/allEntities/allProperties/read	阅读Viva Insights的所有方面
microsoft.microsoft365.organizationalData/allEntities/allProperties/read	在 Microsoft 365 中读取组织数据的各个方面
microsoft.networkAccess/allEntities/allProperties/read	读取Microsoft Entra网络访问的各个方面
microsoft.office365.copilot/allEntities/allProperties/read	读取智能 Microsoft 365 Copilot 副驾驶®的所有设置
microsoft.office365.fileStorageContainers/allEntities/allProperties/read	读取SharePoint嵌入式容器的实体和权限
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.messageCenter/securityMessages/read	在Microsoft 365 管理中心的消息中心读取安全消息
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.organizationalMessages/allEntities/allProperties/read	阅读Microsoft 365组织消息的各个方面
microsoft.office365.protectionCenter/allEntities/allProperties/read	在安全与合规中心读取所有属性
microsoft.office365.securityComplianceCenter/allEntities/read	读取Microsoft 365安全与合规中心中的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.office365.yammer/allEntities/allProperties/read	读取 Yammer 的所有方面
microsoft.permissionsManagement/allEntities/allProperties/read	阅读Microsoft Entra 权限管理的各个方面
microsoft.teams/allEntities/allProperties/read	读取Microsoft Teams的所有属性
microsoft.virtualVisits/allEntities/allProperties/read	阅读 Virtual Visits 的各个方面
microsoft.viva.glint/allEntities/allProperties/read	读取Microsoft 365 管理中心中的所有Microsoft Viva Glint设置
microsoft.viva.goals/allEntities/allProperties/read	阅读Microsoft Viva Goals的各个方面
microsoft.viva.pulse/allEntities/allProperties/read	阅读Microsoft Viva Pulse的各个方面
microsoft.windows.updatesDeployments/allEntities/allProperties/read	阅读 Windows 更新服务的各个方面

全局安全访问管理员

将全局安全访问管理员角色分配给需要执行以下操作的用户：

创建和管理Microsoft Entra Internet 访问和Microsoft Entra 专用访问的各个方面
管理对公共终结点和专用终结点的访问

具有此角色的用户无法执行以下作：

无法管理企业应用程序、应用程序注册、条件访问或应用程序代理设置

Actions	Description
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/applicationPolicies/standard/read	读取应用程序策略的标准属性
microsoft.directory/applications/applicationProxy/read	读取所有应用程序代理属性
microsoft.directory/applications/owners/read	读取应用程序的所有者
microsoft.directory/applications/policies/read	读取应用程序策略
microsoft.directory/applications/standard/read	读取应用程序的标准属性
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/conditionalAccessPolicies/standard/read	读取条件访问策略
microsoft.directory/connectorGroups/allProperties/read	读取应用程序代理连接器组的所有属性
microsoft.directory/connectors/allProperties/read	读取应用程序代理连接器的所有属性
microsoft.directory/crossTenantAccessPolicy/default/standard/read	读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/standard/read	读取跨租户访问策略的基本属性
microsoft.directory/namedLocations/standard/read	读取定义网络位置的自定义规则的基本属性
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.networkAccess/allEntities/allProperties/allTasks	管理Microsoft Entra网络访问的各个方面
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

全局安全访问日志读取器

将全局安全访问日志读取者角色分配给需要执行以下作的用户：

读取Microsoft Entra Internet 访问和Microsoft Entra 专用访问中的网络流量日志以供指定安全人员分析
查看日志详细信息，例如会话、连接和事务
根据 IP 地址和域等条件筛选日志

Actions	Description
microsoft.networkAccess/trafficLogs/standard/read	读取流量日志的标准属性，例如 DeviceId、DestinationIp 和 PolicyRuleId

组管理员

此角色中的用户可以创建/管理组及其设置，如命名和过期策略。请务必了解，将用户分配到此角色后，除了Outlook之外，还能够跨 Teams、SharePoint、Yammer 等各种工作负荷管理组织中的所有组。此外，用户将能够跨各种管理门户（例如Microsoft管理中心、Azure门户以及特定于工作负荷的组设置（如 Teams 和SharePoint管理中心）管理各种组设置。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/bulkJobs.groups/basic/update	更新与组相关的批量作业
microsoft.directory/bulkJobs.groups/create	创建与组相关的批量作业
microsoft.directory/bulkJobs.groups/standard/read	读取与组相关的批量作业
microsoft.directory/deletedItems.groups/delete	永久删除无法再还原的组
microsoft.directory/deletedItems.groups/restore	将软删除的组还原到原始状态
microsoft.directory/groups/assignedLabels/update	更新分配的成员身份类型的组的分配标签属性，不包括可分配角色的组
microsoft.directory/groups/assignLicense	将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/basic/update	更新安全组和Microsoft 365组的基本属性，不包括可分配角色的组
microsoft.directory/groups/classification/update	更新安全组和Microsoft 365组的分类属性，不包括可分配角色的组
microsoft.directory/groups/create	创建安全组和Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/delete	删除安全组和Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/dynamicMembershipRule/update	更新安全组和Microsoft 365组的动态成员身份规则，不包括可分配角色的组
microsoft.directory/groups/groupType/update	更新会影响安全组和Microsoft 365组的组类型的属性，不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.directory/groups/members/update	更新安全组和Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/groups/onPremWriteBack/update	使用 Microsoft Entra Connect 更新要写回本地的Microsoft Entra组
microsoft.directory/groups/owners/update	更新安全组和Microsoft 365组的所有者，不包括可分配角色的组
microsoft.directory/groups/reprocessLicenseAssignment	重新处理基于组的许可的许可证分配
microsoft.directory/groups/restore	从软删除的容器中还原组
microsoft.directory/groups/settings/update	更新组的设置
microsoft.directory/groups/visibility/update	更新安全组和Microsoft 365组的可见性属性，不包括可分配角色的组
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

邀请来宾的人

当 Members 可以邀请用户设置设置为“否”时，此角色中的用户可以管理Microsoft Entra B2B 来宾用户邀请。它不包括任何其他权限。

Actions	Description
microsoft.directory/users/appRoleAssignments/read	读取用户的应用程序角色分配
microsoft.directory/users/deviceForResourceAccount/read	读取用户的资源帐户设备
microsoft.directory/users/directReports/read	读取用户的直接下属
microsoft.directory/users/invitedBy/read	读取邀请外部用户加入租户的用户
microsoft.directory/users/inviteGuest	邀请来宾用户
microsoft.directory/users/licenseDetails/read	读取用户的许可证详细信息
microsoft.directory/users/manager/read	读取用户的管理员
microsoft.directory/users/memberOf/read	读取用户的组成员身份
microsoft.directory/users/oAuth2PermissionGrants/read	读取用户的委托权限授予
microsoft.directory/users/ownedDevices/read	读取用户拥有的设备
microsoft.directory/users/ownedObjects/read	读取用户拥有的对象
microsoft.directory/users/photo/read	读取用户的照片
microsoft.directory/users/registeredDevices/read	读取用户已注册的设备
microsoft.directory/users/scopedRoleMemberOf/read	读取Microsoft Entra角色的成员身份，该角色的范围限定为管理单元
microsoft.directory/users/sponsorOf/read	读取用户发起的所有代理或应用程序
microsoft.directory/users/sponsors/read	读取用户的发起人
microsoft.directory/users/standard/read	读取用户的基本属性

服务台管理员

这是特权角色。具有此角色的用户可以更改密码、使刷新令牌失效、使用Azure和Microsoft 365服务Microsoft创建和管理支持请求，以及监视服务运行状况。使刷新令牌失效会强制用户重新登录。支持管理员是否可以重置用户的密码和使刷新令牌失效取决于分配给用户的角色。有关支持管理员可以为其重置密码和使刷新令牌失效的角色的列表，请参阅谁可以重置密码。

具有此角色的用户无法执行以下作：

无法更改可分配角色组的成员和所有者的凭据或重置 MFA。

Important

具有此角色的用户可以更改可能有权访问Microsoft Entra ID内外敏感或私有信息或关键配置的人员的密码。更改用户的密码可能意味着假定用户标识和权限的能力。例如：

应用程序注册和企业应用程序所有者，可以管理他们拥有的应用的凭据。这些应用可能在Microsoft Entra ID和未授予支持管理员的其他位置的特权权限。通过此路径，支持人员管理员可能能够假定应用程序所有者的身份，然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
Azure订阅所有者，他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
安全组和Microsoft 365组所有者，他们可以管理组成员身份。这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
Microsoft Entra ID之外的其他服务的管理员，例如Exchange Online、Microsoft Defender门户、Microsoft Purview 门户和人力资源系统。
高级管理人员、法律顾问和人力资源员工之类的非管理员，可能有权访问敏感或私有信息。

可以通过管理单元将管理权限委派给部分用户，并将策略应用到一部分用户。

此角色以前在 Azure 门户中名为密码管理员。它已重命名为支持管理员，使其与 Microsoft Graph API 中的现有名称保持一致，并Microsoft Graph PowerShell。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/bitlockerKeys/key/read	读取设备上的 BitLocker 元数据和密钥
microsoft.directory/deviceLocalCredentials/standard/read	读取已加入Microsoft Entra设备的备份本地管理员帐户凭据的所有属性，密码除外
microsoft.directory/users/invalidateAllRefreshTokens	通过让用户刷新令牌失效来强制执行注销
microsoft.directory/users/password/update	重置所有用户的密码
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

混合标识管理员

这是特权角色。此角色中的用户可以使用云预配创建、管理和部署预配配置设置 Active Directory，以及管理 Microsoft Entra Connect、密码哈希同步（PHS）和联合设置Microsoft Entra ID。无权管理 Microsoft Entra Connect Health。用户还可以使用此角色对日志进行故障排除和监视。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/applications/appRoles/update	更新所有类型的应用程序上的 appRoles 属性
microsoft.directory/applications/audience/update	更新应用程序的受众属性
microsoft.directory/applications/authentication/update	更新所有类型的应用程序的身份验证
microsoft.directory/applications/basic/update	更新应用程序的基本属性
microsoft.directory/applications/create	创建所有类型的应用程序
microsoft.directory/applications/delete	删除所有类型的应用程序
microsoft.directory/applications/notes/update	更新应用程序的说明
microsoft.directory/applications/owners/update	更新应用程序的所有者
microsoft.directory/applications/permissions/update	更新所有类型的应用程序的公开权限和必需权限
microsoft.directory/applications/policies/update	更新应用程序策略
microsoft.directory/applications/synchronization/standard/read	读取与应用程序对象关联的预配设置
microsoft.directory/applications/tag/update	更新应用程序的标记
microsoft.directory/applicationTemplates/instantiate	从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/cloudProvisioning/allProperties/allTasks	读取和配置Microsoft Entra云预配服务的所有属性。
microsoft.directory/deletedItems.applications/delete	永久删除不再可以还原的应用程序
microsoft.directory/deletedItems.applications/restore	将软删除的应用程序还原到原始状态
microsoft.directory/domains/allProperties/read	读取域的所有属性
microsoft.directory/domains/federation/update	更新域的联合属性
microsoft.directory/domains/federationConfiguration/basic/update	更新域的基本联合配置
microsoft.directory/domains/federationConfiguration/create	创建域的联合配置
microsoft.directory/domains/federationConfiguration/delete	删除域的联合配置
microsoft.directory/domains/federationConfiguration/standard/read	读取域的联合配置的标准属性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	在 Microsoft Entra ID 中管理混合身份验证策略
microsoft.directory/onPremisesSynchronization/basic/update	更新基本本地目录同步信息
microsoft.directory/onPremisesSynchronization/standard/read	读取标准本地目录同步信息
microsoft.directory/organization/dirSync/update	更新组织目录同步属性
microsoft.directory/passwordHashSync/allProperties/allTasks	在 Microsoft Entra ID 中管理密码哈希同步（PHS）的各个方面
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	更新服务主体角色分配
microsoft.directory/servicePrincipals/audience/update	更新服务主体的受众属性
microsoft.directory/servicePrincipals/authentication/update	更新服务主体的身份验证属性
microsoft.directory/servicePrincipals/basic/update	更新服务主体的基本属性
microsoft.directory/servicePrincipals/create	创建服务主体
microsoft.directory/servicePrincipals/delete	删除服务主体
microsoft.directory/servicePrincipals/disable	禁用服务主体
microsoft.directory/servicePrincipals/enable	启用服务主体
microsoft.directory/servicePrincipals/notes/update	更新服务主体的说明
microsoft.directory/servicePrincipals/owners/update	更新服务主体的所有者
microsoft.directory/servicePrincipals/permissions/update	更新服务主体的权限
microsoft.directory/servicePrincipals/policies/update	更新服务主体的策略
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	管理云租户到云租户应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage	启动、重启和暂停云租户到云租户应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage	创建和管理云租户到云租户应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization/standard/read	读取与服务主体关联的预配设置
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage	启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage	创建和管理应用程序预配同步作业和架构
microsoft.directory/servicePrincipals/tag/update	更新服务主体的标记属性
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.directory/users/authorizationInfo/update	更新用户的多值证书用户 ID 属性
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Identity Governance 管理员

具有此角色的用户可以管理Microsoft Entra ID 治理配置，包括访问包、访问评审、目录和策略，确保已批准和评审访问权限，以及不再需要访问权限的来宾用户。

Actions	Description
microsoft.directory/accessReviews/allProperties/allTasks	创建和删除访问评审，并在Microsoft Entra ID中读取和更新访问评审的所有属性
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	在 Microsoft Entra ID 中管理应用程序角色分配的访问评审
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	在权利管理中管理访问包分配的访问评审
microsoft.directory/accessReviews/definitions.groups/allProperties/read	读取安全组和Microsoft 365组中成员身份的访问评审的所有属性，包括可分配角色的组。
microsoft.directory/accessReviews/definitions.groups/allProperties/update	更新安全组和Microsoft 365组中成员身份的访问评审的所有属性，不包括可分配角色的组。
microsoft.directory/accessReviews/definitions.groups/create	为安全和Microsoft 365组中的成员身份创建访问评审。
microsoft.directory/accessReviews/definitions.groups/delete	删除安全组和Microsoft 365组中成员身份的访问评审。
microsoft.directory/entitlementManagement/allProperties/allTasks	创建和删除资源，并读取和更新Microsoft Entra权利管理中的所有属性
microsoft.directory/groups/members/update	更新安全组和Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	更新服务主体角色分配

Insights 管理员

此角色中的用户可以访问Microsoft Viva Insights应用中的完整管理功能集。此角色能够读取目录信息，监视服务运行状况，提交支持票证，并访问 Insights 各方面的管理员设置。

了解详细信息

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.insights/allEntities/allProperties/allTasks	管理 Insights 应用的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Insights 分析师

将 Insights 分析师角色分配给需要执行以下任务的用户：

分析Microsoft Viva Insights应用中的数据，但无法管理任何配置设置
创建、管理和运行测试
在Microsoft 365 管理中心中查看基本设置和报表
在Microsoft 365 管理中心中创建和管理服务请求

了解详细信息

Actions	Description
microsoft.insights/queries/allProperties/allTasks	在 Viva Insights 中运行和管理查询
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Insights 业务主管

此角色中的用户可以通过Microsoft Viva Insights应用访问一组仪表板和见解。其中包括对所有仪表板以及提供的见解和数据探索功能的完全访问权限。具有此角色的用户无权访问由 Insights 管理员角色负责的产品配置设置。

了解详细信息

Actions	Description
microsoft.insights/programs/allProperties/update	在 Insights 应用中部署和管理计划
microsoft.insights/reports/allProperties/read	在 Insights 应用中查看报表和面板

Intune 管理员

这是特权角色。当存在服务时，具有此角色的用户在 Microsoft Intune Online 中具有全局权限。此外，此角色包含管理以关联策略，以及创建和管理组的用户和设备的能力。有关详细信息，请参阅基于 RBAC 的管理控制（RBAC），其中包含 Microsoft Intune。

此角色可创建和管理所有安全组。但是，Intune 管理员对Microsoft 365组没有管理员权限。这意味着管理员无法更新组织中所有Microsoft 365组的所有者或成员身份。但是，他/她可以管理他创建的Microsoft 365组，作为其最终用户特权的一部分。因此，他/她创建的任何Microsoft 365组（而不是安全组）都应计入其 250 的配额。

Note

在 Microsoft Graph API 和 Microsoft Graph PowerShell 中，此角色名为 Intune 服务管理员。在 Azure 门户中，它名为 Intune 管理员。

Actions	Description
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.cloudPC/allEntities/allProperties/allTasks	管理Windows 365的各个方面
microsoft.directory/bitlockerKeys/key/read	读取设备上的 BitLocker 元数据和密钥
microsoft.directory/contacts/basic/update	更新联系人的基本属性
microsoft.directory/contacts/create	创建联系人
microsoft.directory/contacts/delete	删除联系人
microsoft.directory/deletedItems.devices/delete	永久删除无法再还原的设备
microsoft.directory/deletedItems.devices/restore	将软删除的设备还原到原始状态
microsoft.directory/deviceLocalCredentials/password/read	读取已加入Microsoft Entra设备的已备份本地管理员帐户凭据的所有属性，包括密码
microsoft.directory/deviceManagementPolicies/standard/read	读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/standard/read	读取设备注册策略上的标准属性
microsoft.directory/devices/basic/update	更新设备上的基本属性
microsoft.directory/devices/create	创建设备（注册Microsoft Entra ID）
microsoft.directory/devices/delete	从Microsoft Entra ID中删除设备
microsoft.directory/devices/disable	禁用Microsoft Entra ID中的设备
microsoft.directory/devices/enable	在 Microsoft Entra ID 中启用设备
microsoft.directory/devices/extensionAttributeSet1/update	在设备上更新 extensionAttribute1 到 extensionAttribute5 属性
microsoft.directory/devices/extensionAttributeSet2/update	在设备上更新 extensionAttribute6 到 extensionAttribute10 属性
microsoft.directory/devices/extensionAttributeSet3/update	在设备上更新 extensionAttribute11 到 extensionAttribute15 属性
microsoft.directory/devices/registeredOwners/update	更新设备的已注册所有者
microsoft.directory/devices/registeredUsers/update	更新设备的已注册用户
microsoft.directory/groups.security/assignedLabels/update	更新分配的成员身份类型的安全组上的分配标签属性，不包括可分配角色的组
microsoft.directory/groups.security/basic/update	更新安全组（不包括可分配角色的组）的基本属性
microsoft.directory/groups.security/classification/update	更新安全组（不包括可分配角色的组）的分类属性
microsoft.directory/groups.security/create	创建安全组（不包括可分配角色的组）
microsoft.directory/groups.security/delete	删除安全组（不包括可分配角色的组）
microsoft.directory/groups.security/dynamicMembershipRule/update	更新安全组（不包括可分配角色的组）的动态成员身份规则
microsoft.directory/groups.security/members/update	更新安全组（不包括可分配角色的组）的成员
microsoft.directory/groups.security/owners/update	更新安全组（不包括可分配角色的组）的所有者
microsoft.directory/groups.security/visibility/update	更新安全组（不包括可分配角色的组）的可见性属性
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.directory/users/basic/update	更新用户的基本属性
microsoft.directory/users/manager/update	更新用户的管理员
microsoft.directory/users/photo/update	更新用户照片
microsoft.intune/allEntities/allTasks	管理Microsoft Intune的各个方面
microsoft.office365.organizationalMessages/allEntities/allProperties/read	阅读Microsoft 365组织消息的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

IoT 设备管理员

将 IoT 设备管理员角色分配给需要执行以下任务的用户：

使用设备模板预配新的 IoT 设备
管理 IoT 设备的生命周期
配置用于 IoT 设备身份验证的证书
管理 IoT 设备模板的生命周期

了解详细信息

Actions	Description
microsoft.directory/certificateBasedDeviceAuthConfigurations/create	为 IoT 设备信任和身份验证创建证书颁发机构配置
microsoft.directory/certificateBasedDeviceAuthConfigurations/credentials/update	更新物联网（IoT）设备信任和身份验证的证书颁发机构配置上的信条相关属性
microsoft.directory/certificateBasedDeviceAuthConfigurations/delete	删除物联网（IoT）设备的证书颁发机构配置
microsoft.directory/certificateBasedDeviceAuthConfigurations/standard/read	读取物联网（IoT）设备信任和身份验证的证书颁发机构配置的标准属性
microsoft.directory/deviceTemplates/create	创建物联网（IoT）设备模板
microsoft.directory/deviceTemplates/createDeviceFromTemplate	从物联网（IoT）设备模板创建 IoT 设备
microsoft.directory/deviceTemplates/delete	删除物联网（IoT）设备模板
microsoft.directory/deviceTemplates/deviceInstances/read	从物联网（IoT）设备链接读取设备实例
microsoft.directory/deviceTemplates/owners/read	读取物联网（IoT）设备模板上的所有者
microsoft.directory/deviceTemplates/owners/update	更新物联网（IoT）设备模板上的所有者

Kaizala 管理员

具有此角色的用户具有全局权限来管理Microsoft Kaizala内的设置（当服务存在时），以及管理支持票证和监视服务运行状况的功能。此外，用户还可以访问与组织成员采用和使用 Kaizala 有关的报告，以及使用 Kaizala 操作生成的业务报告。

Actions	Description
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

知识管理员

此角色中的用户可以完全访问Microsoft 365 管理中心中的所有知识、学习和智能功能设置。用户大致了解产品套件、许可详细信息，并负责控制访问权限。知识管理员可创建和管理内容，例如主题、首字母缩写词和学习资源。此外，这些用户可以创建内容中心、监视服务运行状况和创建服务请求。

Actions	Description
microsoft.directory/groups.security/basic/update	更新安全组（不包括可分配角色的组）的基本属性
microsoft.directory/groups.security/create	创建安全组（不包括可分配角色的组）
microsoft.directory/groups.security/createAsOwner	创建安全组（不包括可分配角色的组）。添加“创建者”作为第一个所有者。
microsoft.directory/groups.security/delete	删除安全组（不包括可分配角色的组）
microsoft.directory/groups.security/members/update	更新安全组（不包括可分配角色的组）的成员
microsoft.directory/groups.security/owners/update	更新安全组（不包括可分配角色的组）的所有者
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	读取和更新Microsoft 365 管理中心中内容理解的所有属性
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	读取和更新Microsoft 365 管理中心中知识网络的所有属性
microsoft.office365.knowledge/learningSources/allProperties/allTasks	在学习应用中管理学习资源及其所有属性。
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read	在安全与合规中心读取敏感度标签的所有属性
microsoft.office365.sharePoint/allEntities/allTasks	创建和删除所有资源，并在SharePoint中读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

知识管理器

具有此角色的用户可以创建和管理内容，例如主题、首字母缩写词和学习内容。这些用户主要负责知识的质量和结构。此用户对主题管理操作具有完整权限，可确认主题、批准编辑或删除主题。此角色还可以管理作为术语库管理工具的一部分的分类并创建内容中心。

Actions	Description
microsoft.directory/groups.security/basic/update	更新安全组（不包括可分配角色的组）的基本属性
microsoft.directory/groups.security/create	创建安全组（不包括可分配角色的组）
microsoft.directory/groups.security/createAsOwner	创建安全组（不包括可分配角色的组）。添加“创建者”作为第一个所有者。
microsoft.directory/groups.security/delete	删除安全组（不包括可分配角色的组）
microsoft.directory/groups.security/members/update	更新安全组（不包括可分配角色的组）的成员
microsoft.directory/groups.security/owners/update	更新安全组（不包括可分配角色的组）的所有者
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	在 Microsoft 365 管理中心中读取内容理解的分析报告
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	管理Microsoft 365 管理中心中知识网络的主题可见性
microsoft.office365.sharePoint/allEntities/allTasks	创建和删除所有资源，并在SharePoint中读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

许可证管理员

具有此角色的用户可以读取、添加、删除和更新用户、组（使用基于组的许可）的许可证分配，以及管理用户的使用位置。该角色不授予在使用位置之外购买或管理订阅、创建或管理组，或者创建或管理用户的权限。此角色无权查看、创建或管理支持票证。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/groups/assignLicense	将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/reprocessLicenseAssignment	重新处理基于组的许可的许可证分配
microsoft.directory/users/assignLicense	管理用户许可证
microsoft.directory/users/reprocessLicenseAssignment	重新处理用户的许可证分配
microsoft.directory/users/usageLocation/update	更新用户的使用位置
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

生命周期工作流管理员

这是特权角色。将生命周期工作流管理员角色分配给需要执行以下任务的用户：

在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的各个方面
检查计划工作流的执行情况
按需启动工作流运行
检查工作流执行日志

Actions	Description
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks	在 Microsoft Entra ID 中管理生命周期工作流和任务的各个方面
microsoft.directory/organization/strongAuthentication/read	读取组织的强身份验证属性
microsoft.directory/users/lifeCycleInfo/read	读取用户的生命周期信息，例如 employeeLeaveDateTime

消息中心隐私读取者

充当此角色的用户可以监视消息中心的所有通知，包括数据隐私消息。消息中心隐私读取者会收到电子邮件通知（包括与数据隐私相关的通知），并可以使用邮件中心首选项取消订阅。只有全局管理员和消息中心隐私读取者才能阅读数据隐私消息。此外，此角色还能查看组、域和订阅。此角色无权查看、创建或管理服务请求。

Actions	Description
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.messageCenter/securityMessages/read	在Microsoft 365 管理中心的消息中心读取安全消息
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

消息中心读取者

此角色中的用户可以在 Message 中心监视其组织的已配置服务（如 Exchange、Intune 和 Microsoft Teams）中的通知和咨询运行状况更新。消息中心读者每周收到文章、更新的电子邮件摘要，并且可以在Microsoft 365中共享消息中心文章。在Microsoft Entra ID中，分配给此角色的用户仅对Microsoft Entra服务（如用户和组）具有只读访问权限。此角色无权查看、创建或管理支持票证。

Actions	Description
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Microsoft 365 备份管理员

将Microsoft 365 备份管理员角色分配给需要执行以下任务的用户：

管理Microsoft 365 备份的各个方面
为SharePoint、OneDrive和Exchange Online创建、编辑和管理备份配置策略
对备份SharePoint站点、OneDrive帐户和Exchange邮箱执行还原操作

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.backup/allEntities/allProperties/allTasks	管理Microsoft 365 备份的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Microsoft 365迁移管理员

将Microsoft 365迁移管理员角色分配给需要执行以下任务的用户：

使用Microsoft 365 管理中心中的迁移管理器管理从 Google Drive、Dropbox、Box 和 Egnyte 到 Microsoft 365 的内容迁移，包括 Teams、OneDrive for Business 和 SharePoint 网站
选择迁移源、创建迁移清单（如 Google Drive 用户列表）、计划和执行迁移，下载报告
如果目标网站尚不存在，请创建新的SharePoint网站，在SharePoint管理网站下创建SharePoint列表，并在SharePoint列表中创建和更新项目
管理任务的迁移项目设置和迁移生命周期
管理从源到目标的权限映射

Note

此角色不允许使用SharePoint 管理中心从文件共享源迁移。可以使用SharePoint管理员角色从文件共享源迁移。

了解详细信息

Actions	Description
microsoft.office365.migrations/allEntities/allProperties/allTasks	管理Microsoft 365迁移的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

已加入Microsoft Entra设备本地管理员

此角色仅适用于在设备设置中作为其他本地管理员进行分配。具有此角色的用户将成为加入Microsoft Entra ID的所有Windows 10设备上的本地计算机管理员。它们无法管理Microsoft Entra ID中的设备对象。

Actions	Description
microsoft.directory/groupSettings/standard/read	读取组设置的基本属性
microsoft.directory/groupSettingTemplates/standard/read	读取组设置模板的基本属性

Microsoft Graph Data Connect 管理员

将 Microsoft Graph Data Connect 管理员角色分配给需要执行以下任务的用户：

访问 Microsoft Graph Data Connect 的完整管理功能集
管理租户中的Microsoft Graph数据连接设置
启用或禁用Microsoft Graph数据连接服务
在 Microsoft Graph Data Connect 中配置数据集工作负荷选择
在 Microsoft Graph Data Connect 中配置跨租户数据移动设置
查看、批准或拒绝Microsoft Graph数据连接的应用程序授权请求
查看、创建、更新或删除Microsoft Graph数据连接的应用程序注册

了解详细信息

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.graph.dataConnect/allEntities/allProperties/allTasks	管理Microsoft Graph数据连接的各个方面
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

网络管理员

此角色中的用户可以查看来自Microsoft的网络外围体系结构建议，这些建议基于来自其用户位置的网络遥测数据。 Microsoft 365的网络性能依赖于谨慎的企业客户网络外围体系结构，该体系结构通常特定于用户位置。此角色允许编辑这些位置的已发现用户位置和网络参数配置，以便改进遥测度量和设计建议。

Actions	Description
microsoft.office365.network/locations/allProperties/allTasks	管理网络位置的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Office 应用管理员

此角色中的用户可以管理Microsoft 365应用的云设置。这包括云策略管理、自助下载管理，以及查看与 Office 应用相关的报表的功能。此外，该角色还可以在主管理中心管理支持票证和监视服务运行状况。分配了此角色的用户还可以管理 Office 应用中新功能的通信。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.userCommunication/allEntities/allTasks	读取和更新新增功能消息的可见性
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

组织品牌打造管理员

将组织品牌打造管理员角色分配给需要执行以下任务的用户：

管理租户中组织品牌打造的各个方面
读取、创建、更新和删除品牌打造主题
管理默认品牌打造主题和所有品牌打造本地化主题

Actions	Description
microsoft.directory/loginOrganizationBranding/allProperties/allTasks	创建和删除 loginTenantBranding，读取和更新所有属性

组织数据源管理员

将组织数据源管理员角色分配给需要执行以下任务的用户：

管理与引入和管理Microsoft 365和Microsoft Viva应用程序的组织数据相关的设置
在Microsoft 365和Microsoft Viva应用程序中上传、更新和删除引入的组织数据
从授权的应用程序导出组织数据

了解详细信息

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.microsoft365.organizationalData/allEntities/allProperties/allTasks	在 Microsoft 365 中管理组织数据的各个方面
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

组织消息审批者

将组织消息审批者角色分配给需要执行以下任务的用户：

使用 Microsoft 365 组织消息平台将新组织消息发送到用户之前，先查看、批准或拒绝新组织邮件以在Microsoft 365 管理中心中传递
读取组织消息的各个方面
读取Microsoft 365 管理中心中所有资源的基本属性

Actions	Description
microsoft.office365.organizationalMessages/allEntities/allProperties/read	阅读Microsoft 365组织消息的各个方面
microsoft.office365.organizationalMessages/allEntities/allProperties/update	批准或拒绝Microsoft 365 管理中心中传递的新组织邮件
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

组织消息编写者

将组织消息编写者角色分配给需要执行以下任务的用户：

使用Microsoft 365 管理中心或Microsoft Intune编写、发布和删除组织消息
使用Microsoft 365 管理中心或Microsoft Intune管理组织邮件传递选项
使用Microsoft 365 管理中心或Microsoft Intune读取组织邮件传递结果
查看Microsoft 365 管理中心中的使用情况报告和大多数设置，但无法进行更改

Actions	Description
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks	管理Microsoft 365组织消息的所有创作方面
microsoft.office365.usageReports/allEntities/standard/read	读取租户级聚合Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

密码管理员

这是特权角色。具有此角色的用户可以管理密码，但权限受限。此角色不会授予管理服务请求或监视服务运行状况的能力。密码管理员是否可以重置用户的密码取决于分配给用户的角色。有关密码管理员可以为其重置密码的角色的列表，请参阅谁可以重置密码。

具有此角色的用户无法执行以下作：

无法更改可分配角色组的成员和所有者的凭据或重置 MFA。

Actions	Description
microsoft.directory/users/password/update	重置所有用户的密码
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

人员管理员

将“人员管理员”角色分配给需要执行以下任务的用户：

更新所有用户（包括管理员）的个人资料照片
更新所有用户的人员设置，例如代词、姓名发音和个人资料卡设置

Actions	Description
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.people/users/photo/read	读取用户的个人资料照片
microsoft.people/users/photo/update	更新用户的个人资料照片
microsoft.peopleAdmin/organization/allProperties/read	读取用户的人员设置，例如代词、姓名发音和个人资料卡设置
microsoft.peopleAdmin/organization/allProperties/update	更新用户的人员设置，例如代词、姓名发音和个人资料卡设置

放置管理员

将“位置管理员”角色分配给需要执行以下任务的用户：

管理 Microsoft Places 服务的各个方面
配置和管理建筑物、楼层、房间和办公桌
监督和管理关联的预订策略

了解详细信息

Actions	Description
microsoft.places/allEntities/allProperties/allTasks	管理 Microsoft Places 服务的各个方面

Power Platform 管理员

此角色中的用户可以创建和管理环境的各个方面，Power Apps、流、数据丢失防护策略。另外，具有此角色的用户可以管理支持票证并监视服务运行状况。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.dynamics365/allEntities/allTasks	管理Dynamics 365的各个方面
microsoft.flow/allEntities/allTasks	管理Microsoft Power Automate的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.powerApps/allEntities/allTasks	管理Power Apps的各个方面

打印机管理员

此角色中的用户可以注册打印机并管理Microsoft 通用打印解决方案中所有打印机配置的各个方面，包括通用打印连接器设置。他们可以同意所有委托的打印权限请求。打印机管理员还有权访问打印报告。

Actions	Description
microsoft.azure.print/allEntities/allProperties/allTasks	创建和删除打印机和连接器，并读取和更新Microsoft打印中的所有属性

打印机技术人员

具有此角色的用户可以在Microsoft 通用打印解决方案中注册打印机和管理打印机状态。他们还可以读取所有连接器信息。打印机技术人员无法执行的重要任务是设置用户对打印机的权限以及共享打印机。

Actions	Description
microsoft.azure.print/connectors/allProperties/read	读取 Microsoft Print 中连接器的所有属性
microsoft.azure.print/printers/allProperties/read	读取Microsoft打印中打印机的所有属性
microsoft.azure.print/printers/basic/update	在 Microsoft Print 中更新打印机的基本属性
microsoft.azure.print/printers/register	在Microsoft打印中注册打印机
microsoft.azure.print/printers/unregister	在 Microsoft Print 中注销打印机

特权身份验证管理员

这是特权角色。将特权身份验证管理员角色分配给需要执行以下任务的用户：

为任何用户（包括全局管理员）设置或重置身份验证方法（包括密码）。
删除或还原任何用户，包括全局管理员。有关详细信息，请参阅谁可以执行敏感操作。
强制用户重新注册现有非密码凭据（例如 MFA 或 FIDO2），以及撤销“在设备上记住 MFA”（所有用户下次登录时系统会提示其执行 MFA）。
为所有用户更新敏感属性。有关详细信息，请参阅谁可以执行敏感操作。
在Azure和Microsoft 365 管理中心中创建和管理支持票证。
使用基于 PKI 的信任存储配置证书颁发机构（预览）

具有此角色的用户无法执行以下作：

无法管理旧版 MFA 管理门户中的每用户 MFA。

下表比较了与身份验证相关的角色的功能。

Role	管理用户的身份验证方法	管理每用户 MFA	管理 MFA 设置	管理身份验证方法策略	管理密码保护策略	更新敏感属性	删除和还原用户
身份验证管理员	对某些用户是	No	No	No	No	对某些用户是	对某些用户是
特权身份验证管理员	对于所有用户为“是”	No	No	No	No	对于所有用户为“是”	对于所有用户为“是”
身份验证策略管理员	No	Yes	Yes	Yes	Yes	No	No
用户管理员	No	No	No	No	No	对某些用户是	对某些用户是

Important

应用程序注册和企业应用程序所有者，可以管理他们拥有的应用的凭据。这些应用在Microsoft Entra ID和其他地方可能具有特权权限，但未授予身份验证管理员权限。通过此路径，身份验证管理员可以假定应用程序所有者的身份，然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
Azure订阅所有者，他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
安全组和Microsoft 365组所有者，他们可以管理组成员身份。这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
Microsoft Entra ID以外的其他服务的管理员，例如Exchange Online、Microsoft Defender门户、Microsoft Purview 门户和人力资源系统。
高级管理人员、法律顾问和人力资源员工之类的非管理员，可能有权访问敏感或私有信息。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/deletedItems.users/restore	将软删除的用户还原到原始状态
microsoft.directory/users/authenticationMethods/basic/update	更新用户身份验证方法的基本属性
microsoft.directory/users/authenticationMethods/create	更新用户的身份验证方法
microsoft.directory/users/authenticationMethods/delete	删除用户的身份验证方法
microsoft.directory/users/authenticationMethods/standard/read	读取用户身份验证方法的标准属性
microsoft.directory/users/authorizationInfo/update	更新用户的多值证书用户 ID 属性
microsoft.directory/users/basic/update	更新用户的基本属性
microsoft.directory/users/delete	删除用户
microsoft.directory/users/disable	禁用用户
microsoft.directory/users/enable	启用用户
microsoft.directory/users/invalidateAllRefreshTokens	通过让用户刷新令牌失效来强制执行注销
microsoft.directory/users/manager/update	更新用户的管理员
microsoft.directory/users/password/update	重置所有用户的密码
microsoft.directory/users/restore	还原已删除的用户
microsoft.directory/users/userPrincipalName/update	更新用户的用户主体名称
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

特权角色管理员

这是特权角色。具有此角色的用户可以在Microsoft Entra ID以及Microsoft Entra Privileged Identity Management内管理角色分配。他们可以创建和管理可分配给Microsoft Entra角色的组。此外，此角色允许管理Privileged Identity Management和管理单元的各个方面。

Important

此角色授予管理所有Microsoft Entra角色（包括全局管理员角色）的分配的能力。此角色不包括Microsoft Entra ID的任何其他特权功能，例如创建或更新用户。但是，分配到此角色的用户可通过分配其他角色，授予自己或其他人额外的特权。

Actions	Description
microsoft.directory/accessReviews/definitions.applications/allProperties/read	读取Microsoft Entra ID中应用程序角色分配的访问评审的所有属性
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks	管理Microsoft Entra角色分配的访问评审
microsoft.directory/accessReviews/definitions.groups/allProperties/read	读取安全组和Microsoft 365组中成员身份的访问评审的所有属性，包括可分配角色的组。
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update	更新可分配给Microsoft Entra角色的组中成员身份的所有访问评审属性
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create	为可分配Microsoft Entra角色的组中的成员身份创建访问评审
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete	删除可分配给Microsoft Entra角色的组中成员身份的访问评审
microsoft.directory/administrativeUnits/allProperties/allTasks	创建和管理管理单元（包括成员）
microsoft.directory/authorizationPolicy/allProperties/allTasks	管理授权策略的所有方面
microsoft.directory/directoryRoles/allProperties/allTasks	创建和删除目录角色，以及读取和更新所有属性
microsoft.directory/groupsAssignableToRoles/allProperties/update	更新可分配角色的组
microsoft.directory/groupsAssignableToRoles/assignLicense	将许可证分配给可分配角色的组
microsoft.directory/groupsAssignableToRoles/create	创建可分配角色的组
microsoft.directory/groupsAssignableToRoles/delete	删除可分配角色的组
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment	重新处理可分配角色的组的许可证分配
microsoft.directory/groupsAssignableToRoles/restore	还原可分配角色的组
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	创建和删除 OAuth 2.0 权限授予，读取和更新所有属性
microsoft.directory/permissionGrantPolicies/allProperties/read	读取权限授予策略的所有属性
microsoft.directory/permissionGrantPolicies/allProperties/update	更新权限授予策略的所有属性
microsoft.directory/permissionGrantPolicies/create	创建权限授予策略
microsoft.directory/permissionGrantPolicies/delete	删除权限授予策略
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks	创建和删除所有资源，并在Privileged Identity Management中读取和更新标准属性
microsoft.directory/roleAssignments/allProperties/allTasks	创建和删除角色分配，读取和更新所有角色分配属性
microsoft.directory/roleDefinitions/allProperties/allTasks	创建和删除角色定义，读取和更新所有属性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	创建和删除 scopedRoleMemberships，读取和更新所有属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	更新服务主体角色分配
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	许可对任意应用程序的任何权限
microsoft.directory/servicePrincipals/permissions/update	更新服务主体的权限
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

报告读取者

具有此角色的用户可以查看Microsoft 365 管理中心中的使用情况报告数据和报表仪表板，以及Fabric和Power BI中的采用上下文包。此外，该角色还提供对Microsoft Graph报告 API 返回Microsoft Entra ID中的所有登录日志、审核日志和活动报告的访问权限。分配到“报告读者”角色的用户只能访问相关使用情况和采用指标。他们没有任何管理员权限来配置设置或访问特定于产品的管理中心，例如Exchange。此角色无权查看、创建或管理支持票证。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

搜索管理员

此角色中的用户对Microsoft 365 管理中心中的所有Microsoft 搜索管理功能具有完全访问权限。此外，这些用户可以查看消息中心、监视服务运行状况和创建服务请求。

Actions	Description
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.search/content/manage	创建和删除内容，并读取和更新Microsoft 搜索中的所有属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

搜索编辑器

此角色中的用户可以为Microsoft 365 管理中心中的Microsoft 搜索创建、管理和删除内容，包括书签、问答As 和 locations。

Actions	Description
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.search/content/manage	创建和删除内容，并读取和更新Microsoft 搜索中的所有属性
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

安全管理员

这是特权角色。具有此角色的用户有权管理Microsoft Defender门户中的安全相关功能、Microsoft Entra身份验证、Azure 信息保护和Microsoft Purview 门户。有关Office 365权限的详细信息，请参阅Microsoft Defender for Office 365和Microsoft Purview符合性的角色组。

In	允许事项
Microsoft Defender portal	跨 Microsoft 365 服务监视与安全相关的策略管理安全威胁和警报查看报表
Privileged Identity Management	安全读取者角色的所有权限 Cannot管理Microsoft Entra角色分配或设置
Microsoft Purview 门户	管理安全策略查看、调查和响应安全威胁查看报表
Azure Advanced Threat Protection	监视和响应可疑安全活动
Microsoft Defender for Endpoint	分配角色管理计算机组配置终结点威胁检测和自动修正查看、调查并响应警报查看计算机/设备清单
Intune	映射到 Intune 终结点安全管理员角色
Microsoft Defender for Cloud Apps	添加管理员、添加策略和设置、上传日志以及执行管理操作
Microsoft 365服务运行状况	查看Microsoft 365服务的运行状况
智能锁定	定义在发生登录失败事件时实施锁定的阈值和持续时间。
密码保护	配置自定义受禁密码列表或本地密码保护。
跨租户同步	为另一租户中的用户配置跨租户访问设置。安全管理员不能直接创建和删除用户，但当两个租户都配置为跨租户同步（一种特权）时，可以从另一个租户间接创建和删除已同步的用户。

Actions	Description
microsoft.agentRegistry/allEntities/allProperties/read	读取 Microsoft Entra ID 中代理注册表的所有属性
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/applications/policies/update	更新应用程序策略
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read	读取设备上的 BitLocker 元数据和密钥
microsoft.directory/conditionalAccessPolicies/basic/update	更新条件访问策略的基本属性
microsoft.directory/conditionalAccessPolicies/create	创建条件访问策略
microsoft.directory/conditionalAccessPolicies/delete	删除条件访问策略
microsoft.directory/conditionalAccessPolicies/owners/read	读取条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/owners/update	更新条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	读取条件访问策略的“适用对象”属性
microsoft.directory/conditionalAccessPolicies/standard/read	读取条件访问策略
microsoft.directory/conditionalAccessPolicies/tenantDefault/update	更新条件访问策略的默认租户
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	更新跨租户访问策略的允许的云终结点
microsoft.directory/crossTenantAccessPolicy/basic/update	更新跨租户访问策略的基本设置
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	更新默认跨租户访问策略Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	更新默认跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/default/standard/read	读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	更新默认跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	更新合作伙伴跨租户访问策略Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/partners/create	为合作伙伴创建跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	更新合作伙伴的跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/partners/delete	删除合作伙伴的跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update	更新跨租户同步策略的基本设置
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create	为合作伙伴创建跨租户同步策略
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	读取跨租户同步策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update	更新多租户组织的跨租户同步策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings	将多租户组织的跨租户同步策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update	更新多租户组织的跨租户访问策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings	将多租户组织的跨租户访问策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	更新合作伙伴的跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/standard/read	读取跨租户访问策略的基本属性
microsoft.directory/deviceLocalCredentials/standard/read	读取已加入Microsoft Entra设备的备份本地管理员帐户凭据的所有属性，密码除外
microsoft.directory/domains/federation/update	更新域的联合属性
microsoft.directory/domains/federationConfiguration/basic/update	更新域的基本联合配置
microsoft.directory/domains/federationConfiguration/create	创建域的联合配置
microsoft.directory/domains/federationConfiguration/delete	删除域的联合配置
microsoft.directory/domains/federationConfiguration/standard/read	读取域的联合配置的标准属性
microsoft.directory/entitlementManagement/allProperties/read	读取Microsoft Entra权利管理中的所有属性
microsoft.directory/multiTenantOrganization/basic/update	更新多租户组织的基本属性
microsoft.directory/multiTenantOrganization/create	创建多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update	加入多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read	读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/create	在多租户组织中创建租户
microsoft.directory/multiTenantOrganization/tenants/delete	删除参与多租户组织的租户
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update	更新参与多租户组织的租户的基本属性
microsoft.directory/multiTenantOrganization/tenants/standard/read	读取参与多租户组织的租户的基本属性
microsoft.directory/namedLocations/basic/update	更新定义网络位置的自定义规则的基本属性
microsoft.directory/namedLocations/create	创建定义网络位置的自定义规则
microsoft.directory/namedLocations/delete	删除定义网络位置的自定义规则
microsoft.directory/namedLocations/standard/read	读取定义网络位置的自定义规则的基本属性
microsoft.directory/policies/basic/update	更新策略的基本属性
microsoft.directory/policies/create	在 Microsoft Entra ID 中创建策略
microsoft.directory/policies/delete	删除Microsoft Entra ID中的策略
microsoft.directory/policies/owners/update	更新策略的所有者
microsoft.directory/policies/tenantDefault/update	更新默认组织策略
microsoft.directory/privilegedIdentityManagement/allProperties/read	读取Privileged Identity Management中的所有资源
microsoft.directory/provisioningLogs/allProperties/read	读取预配日志的所有属性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update	更新Microsoft 365基于角色的访问控制（RBAC）资源操作的条件访问身份验证上下文
microsoft.directory/servicePrincipals/policies/update	更新服务主体的策略
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.networkAccess/allEntities/allProperties/allTasks	管理Microsoft Entra网络访问的各个方面
microsoft.office365.protectionCenter/allEntities/basic/update	在安全与合规中心更新所有资源的基本属性
microsoft.office365.protectionCenter/allEntities/standard/read	在安全与合规中心读取所有资源的标准属性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	在攻击模拟器中创建和管理攻击有效负载
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	读取有关攻击模拟、响应和相关培训的报告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	在攻击模拟器中创建和管理攻击模拟模板
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

安全操作员

这是特权角色。具有此角色的用户可以管理警报，并在安全相关功能上具有全局只读访问权限，包括Microsoft Defender门户中的所有信息、Privileged Identity Management和Microsoft Purview 门户。有关Office 365权限的详细信息，请参阅Microsoft Defender for Office 365和Microsoft Purview符合性的角色组。

In	允许事项
Microsoft Defender portal	安全读取者角色的所有权限查看、调查和响应安全威胁警报在 Microsoft Defender 门户中管理安全设置
Privileged Identity Management	安全读取者角色的所有权限
Microsoft Purview 门户	安全读取者角色的所有权限查看、调查和响应安全警报
Microsoft Defender for Endpoint	安全读取者角色的所有权限查看、调查和响应安全警报在Microsoft Defender for Endpoint中启用基于角色的访问控制时，具有只读权限（例如安全读取者角色）的用户将失去访问权限，直到他们分配了Microsoft Defender for Endpoint角色。
Intune	安全读取者角色的所有权限
Microsoft Defender for Cloud Apps	安全读取者角色的所有权限查看、调查和响应安全警报
Microsoft 365服务运行状况	查看Microsoft 365服务的运行状况

Actions	Description
microsoft.azure.advancedThreatProtection/allEntities/allTasks	管理Azure Advanced Threat Protection的各个方面
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/cloudAppSecurity/allProperties/allTasks	创建和删除所有资源，并在Microsoft Defender for Cloud Apps中读取和更新标准属性
microsoft.directory/privilegedIdentityManagement/allProperties/read	读取Privileged Identity Management中的所有资源
microsoft.directory/provisioningLogs/allProperties/read	读取预配日志的所有属性
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.intune/allEntities/read	读取Microsoft Intune中的所有资源
microsoft.office365.securityComplianceCenter/allEntities/allTasks	创建和删除所有资源，并在Microsoft 365安全与合规中心读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	管理Microsoft Defender for Endpoint的各个方面

安全读取器

这是特权角色。具有此角色的用户对安全相关的功能具有全局只读访问权限，包括Microsoft Defender门户中的所有信息、Privileged Identity Management以及读取Microsoft Entra登录报告和审核日志的功能，以及Microsoft Purview 门户。有关Office 365权限的详细信息，请参阅Microsoft Defender for Office 365和Microsoft Purview符合性的角色组。

In	允许事项
Microsoft Defender portal	跨 Microsoft 365 服务查看与安全相关的策略查看安全威胁和警报查看报表
Privileged Identity Management	对Microsoft Entra Privileged Identity Management中显示的所有信息的只读访问权限：有关Microsoft Entra角色分配和安全评审的策略和报表。 Cannot注册Microsoft Entra Privileged Identity Management或对其进行任何更改。在Privileged Identity Management门户中或通过 PowerShell，如果用户有资格激活其他角色（例如特权角色管理员），则此角色中的某人可以激活其他角色。
Microsoft Purview 门户	查看安全策略查看并调查安全威胁查看报表
Microsoft Defender for Endpoint	查看并调查警报在Microsoft Defender for Endpoint中启用基于角色的访问控制时，具有只读权限（例如安全读取者角色）的用户将失去访问权限，直到他们分配了Microsoft Defender for Endpoint角色。
Intune	视图用户、设备、注册、配置和应用程序信息。无法对 Intune 进行更改。
Microsoft Defender for Cloud Apps	具有读取权限。
Microsoft 365服务运行状况	查看Microsoft 365服务的运行状况

Actions	Description
microsoft.agentRegistry/allEntities/allProperties/read	读取 Microsoft Entra ID 中代理注册表的所有属性
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.directory/accessReviews/definitions/allProperties/read	读取Microsoft Entra ID中所有可评审资源的访问评审的所有属性
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read	读取设备上的 BitLocker 元数据和密钥
microsoft.directory/conditionalAccessPolicies/owners/read	读取条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	读取条件访问策略的“适用对象”属性
microsoft.directory/conditionalAccessPolicies/standard/read	读取条件访问策略
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/deviceLocalCredentials/standard/read	读取已加入Microsoft Entra设备的备份本地管理员帐户凭据的所有属性，密码除外
microsoft.directory/domains/federationConfiguration/standard/read	读取域的联合配置的标准属性
microsoft.directory/entitlementManagement/allProperties/read	读取Microsoft Entra权利管理中的所有属性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read	读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/standard/read	读取参与多租户组织的租户的基本属性
microsoft.directory/namedLocations/standard/read	读取定义网络位置的自定义规则的基本属性
microsoft.directory/policies/owners/read	读取策略的所有者
microsoft.directory/policies/policyAppliedTo/read	读取 policies.policyAppliedTo 属性
microsoft.directory/policies/standard/read	读取策略的基本属性
microsoft.directory/privilegedIdentityManagement/allProperties/read	读取Privileged Identity Management中的所有资源
microsoft.directory/provisioningLogs/allProperties/read	读取预配日志的所有属性
microsoft.directory/signInReports/allProperties/read	读取登录报告上的所有属性，包括特权属性
microsoft.networkAccess/allEntities/allProperties/read	读取Microsoft Entra网络访问的各个方面
microsoft.office365.protectionCenter/allEntities/standard/read	在安全与合规中心读取所有资源的标准属性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read	读取攻击模拟器中攻击有效负载的所有属性
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	读取有关攻击模拟、响应和相关培训的报告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read	读取攻击模拟器中攻击模拟模板的所有属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

服务支持管理员

具有此角色的用户可以使用Azure和Microsoft 365服务的Microsoft创建和管理支持请求，并在 Azure 门户和 Microsoft 365 管理中心中查看服务仪表板和消息中心。有关详细信息，请参阅 Microsoft 365 管理中心中的 About 管理员角色。

Note

此角色以前在 Azure 门户和 Microsoft 365 管理中心中命名为服务管理员。它已重命名为服务支持管理员，使其与 Microsoft Graph API 中的现有名称保持一致，并Microsoft Graph PowerShell。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

SharePoint管理员

具有此角色的用户在Microsoft Office SharePoint Online具有全局权限，当服务存在时，以及创建和管理所有Microsoft 365组、管理支持票证和监视服务运行状况的功能。有关详细信息，请参阅 Microsoft 365 管理中心中的 About 管理员角色。

Note

在 Microsoft Graph API 和 Microsoft Graph PowerShell 中，此角色SharePoint服务管理员命名。在 Azure 门户中，它命名为SharePoint管理员。

Note

此角色还向Microsoft Intune的Microsoft 图形 API授予范围权限，从而允许管理和配置与SharePoint和OneDrive资源相关的策略。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理OneDrive保护策略
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中OneDrive的还原会话
microsoft.backup/restorePoints/sites/allProperties/allTasks	在Microsoft 365 备份中管理与所选SharePoint网站关联的所有还原点
microsoft.backup/restorePoints/userDrives/allProperties/allTasks	在Microsoft 365 备份中管理与所选OneDrive帐户关联的所有还原点
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理SharePoint保护策略
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中SharePoint的还原会话
microsoft.backup/siteProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到SharePoint保护策略的网站
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中SharePoint还原会话的网站
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到OneDrive保护策略的帐户
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中OneDrive还原会话的帐户
microsoft.directory/groups.unified/assignedLabels/update	更新分配的成员身份类型的Microsoft 365组的分配标签属性，不包括可分配角色的组
microsoft.directory/groups.unified/basic/update	更新Microsoft 365组的基本属性，不包括可分配角色的组
microsoft.directory/groups.unified/create	创建Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/delete	删除Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/members/update	更新Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/groups.unified/owners/update	更新Microsoft 365组的所有者，不包括可分配角色的组
microsoft.directory/groups.unified/restore	从软删除的容器还原Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.office365.migrations/allEntities/allProperties/allTasks	管理Microsoft 365迁移的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.sharePoint/allEntities/allTasks	创建和删除所有资源，并在SharePoint中读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

SharePoint 高级管理管理员

将SharePoint 高级管理管理员角色分配给需要执行以下任务的用户：

执行可用于SharePoint管理员的所有操作，包括全局管理 SharePoint Online、支持票证处理和服务运行状况监视
在SharePoint网站中查看文件、文件夹、库、文档和列表的名称、路径和 URL，而无需访问文件或项内容
从SharePoint网站中的文件、文件夹、库、文档和列表中删除权限

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理OneDrive保护策略
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中OneDrive的还原会话
microsoft.backup/restorePoints/sites/allProperties/allTasks	在Microsoft 365 备份中管理与所选SharePoint网站关联的所有还原点
microsoft.backup/restorePoints/userDrives/allProperties/allTasks	在Microsoft 365 备份中管理与所选OneDrive帐户关联的所有还原点
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理SharePoint保护策略
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中SharePoint的还原会话
microsoft.backup/siteProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到SharePoint保护策略的网站
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中SharePoint还原会话的网站
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到OneDrive保护策略的帐户
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中OneDrive还原会话的帐户
microsoft.directory/groups.unified/assignedLabels/update	更新分配的成员身份类型的Microsoft 365组的分配标签属性，不包括可分配角色的组
microsoft.directory/groups.unified/basic/update	更新Microsoft 365组的基本属性，不包括可分配角色的组
microsoft.directory/groups.unified/create	创建Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/delete	删除Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/members/update	更新Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/groups.unified/owners/update	更新Microsoft 365组的所有者，不包括可分配角色的组
microsoft.directory/groups.unified/restore	从软删除的容器还原Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.office365.migrations/allEntities/allProperties/allTasks	管理Microsoft 365迁移的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.sharePoint/allEntities/allTasks	创建和删除所有资源，并在SharePoint中读取和更新标准属性
microsoft.office365.sharePointAdvancedManagement/allEntities/allProperties/allTasks	管理SharePoint 高级管理的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

SharePoint备份管理员

将SharePoint备份管理员角色分配给需要执行以下任务的用户：

管理SharePoint和OneDrive Microsoft 365 备份的各个方面
备份和还原内容，包括跨SharePoint和OneDrive的精细还原
为SharePoint和OneDrive创建、编辑和管理备份配置策略
为SharePoint和OneDrive执行还原操作

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理OneDrive保护策略
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中OneDrive的还原会话
microsoft.backup/restorePoints/sites/allProperties/allTasks	在Microsoft 365 备份中管理与所选SharePoint网站关联的所有还原点
microsoft.backup/restorePoints/userDrives/allProperties/allTasks	在Microsoft 365 备份中管理与所选OneDrive帐户关联的所有还原点
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks	在 Microsoft 365 备份中创建和管理SharePoint保护策略
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks	读取和配置Microsoft 365 备份中SharePoint的还原会话
microsoft.backup/siteProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到SharePoint保护策略的网站
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中SharePoint还原会话的网站
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks	在 Microsoft 365 备份中管理添加到OneDrive保护策略的帐户
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks	管理添加到Microsoft 365 备份中OneDrive还原会话的帐户
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

SharePoint嵌入式管理员

将SharePoint嵌入式管理员角色分配给需要执行以下任务的用户：

使用 PowerShell、Microsoft 图形 API 或SharePoint 管理中心执行所有任务
管理、配置和维护 SharePoint Embedded 容器
枚举和管理SharePoint嵌入式容器
枚举和管理 SharePoint Embedded 容器的权限
管理租户中SharePoint嵌入式容器的存储
在 SharePoint Embedded 容器上分配安全性和符合性策略
在租户中SharePoint嵌入式容器上应用安全性和符合性策略

了解详细信息

Actions	Description
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks	管理 SharePoint Embedded 容器的各个方面
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Skype for Business管理员

具有此角色的用户在Microsoft Skype for Business具有全局权限，当服务存在时，以及在Microsoft Entra ID中管理特定于Skype的用户属性。此外，此角色授予管理支持票证和监视服务运行状况以及访问 Teams 和Skype for Business管理中心的能力。帐户必须获取 Teams 许可证，否则无法运行 Teams PowerShell cmdlet。有关详细信息，请参阅 < Skype for Business Online Admin 和 Teams 许可信息Skype for Business附加许可。

Note

在 Microsoft Graph API 和 Microsoft Graph PowerShell 中，此角色名为 Lync 服务管理员。在 Azure 门户中，它命名为Skype for Business管理员。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks	管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Teams 管理员

此角色中的用户可以通过 Microsoft Teams > 管理Microsoft Teams工作负荷的各个方面Skype for Business管理中心和相应的 PowerShell 模块。这包括（但不限于）与电话、消息、会议和 Teams 自身相关的所有管理工具。此角色还授予创建和管理所有Microsoft 365组、管理支持票证和监视服务运行状况的能力。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	更新跨租户访问策略的允许的云终结点
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	更新默认跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/default/standard/read	读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/create	为合作伙伴创建跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	更新合作伙伴的跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/standard/read	读取跨租户访问策略的基本属性
microsoft.directory/externalUserProfiles/basic/update	在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/externalUserProfiles/delete	删除 Teams 扩展目录中的外部用户配置文件
microsoft.directory/externalUserProfiles/standard/read	在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/groups.unified/assignedLabels/update	更新分配的成员身份类型的Microsoft 365组的分配标签属性，不包括可分配角色的组
microsoft.directory/groups.unified/basic/update	更新Microsoft 365组的基本属性，不包括可分配角色的组
microsoft.directory/groups.unified/create	创建Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/delete	删除Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups.unified/members/update	更新Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/groups.unified/owners/update	更新Microsoft 365组的所有者，不包括可分配角色的组
microsoft.directory/groups.unified/restore	从软删除的容器还原Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.directory/pendingExternalUserProfiles/basic/update	在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/pendingExternalUserProfiles/create	在 Teams 的扩展目录中创建外部用户配置文件
microsoft.directory/pendingExternalUserProfiles/delete	删除 Teams 扩展目录中的外部用户配置文件
microsoft.directory/pendingExternalUserProfiles/standard/read	在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/permissionGrantPolicies/standard/read	读取权限授予策略的标准属性
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks	管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/allEntities/allProperties/allTasks	管理 Teams 中的所有资源

Teams 通信管理员

此角色中的用户可以管理与语音和电话相关的Microsoft Teams工作负载的各个方面。这包括用于分配电话号码的管理工具、语音和会议策略，以及通话分析工具集的完全访问权限。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks	管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/callQuality/allProperties/read	读取通话质量仪表板 (CQD) 中的所有数据
microsoft.teams/meetings/allProperties/allTasks	管理会议，包括会议策略、配置和会议网桥
microsoft.teams/voice/allProperties/allTasks	管理语音，包括呼叫策略以及电话号码清单和分配

Teams 通信支持工程师

此角色中的用户可以排查 Microsoft Teams > 中的通信问题使用 Microsoft Teams & 中的用户呼叫故障排除工具Skype for BusinessSkype for Business管理中心。充当此角色的用户可以查看所有参与方的完整通话记录信息。此角色无权查看、创建或管理支持票证。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks	管理 Skype for Business Online 的各个方面
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/callQuality/allProperties/read	读取通话质量仪表板 (CQD) 中的所有数据

Teams 通信支持专家

此角色中的用户可以排查 Microsoft Teams > 中的通信问题使用 Microsoft Teams & 中的用户呼叫故障排除工具Skype for BusinessSkype for Business管理中心。充当此角色的用户只能查看他们所查找的特定用户的通话中的用户详细信息。此角色无权查看、创建或管理支持票证。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks	管理 Skype for Business Online 的各个方面
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/callQuality/standard/read	读取通话质量仪表板 (CQD) 中的基本数据

Teams 设备管理员

具有此角色的用户可以从 Teams 管理中心管理 Teams 认证的设备。此角色允许同时查看所有设备，并能够搜索和筛选设备。用户可以检查每个设备的详细信息，包括设备的登录帐户、品牌和型号。用户可以更改设备上的设置并更新软件版本。此角色不会授权检查 Teams 活动和设备的通话质量。

Actions	Description
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/devices/standard/read	管理经 Teams 认证的设备的各个方面，包括配置策略

Teams 外部协作管理员

将 Teams 外部协作管理员角色分配给需要执行以下任务的用户：

在聊天、会议和通话中管理组织的与外部用户的交互的 Teams 外部协作设置。
配置外部域，包括创建、编辑和删除指定用户如何与外部组织互动的域条目。
在用户和组级别建立和管理用于外部协作的允许列表和阻止列表策略。
控制哪些外部域和用户可以与组织协作以确保安全且合规的外部协作。

Actions	Description
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/policies/externalAccessPolicy/allTasks	创建和管理管理管理外部访问的策略。

Teams 阅读器

将 Teams 读者角色分配给需要执行以下任务的用户：

读取 Teams 管理中心中的设置和管理信息，但不执行任何管理作
读取Microsoft通话质量仪表板（CQD），但无法访问任何故障排除功能

具有此角色的用户无法执行以下任务：

无法查看 Teams 管理
无法访问用户的会议和通话详细信息
无法访问通知和规则管理
无法访问 Frontline 辅助角色部署管理
无法访问高级协作见解仪表板

了解详细信息

Actions	Description
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/allEntities/allProperties/read	读取Microsoft Teams的所有属性

Teams 电话服务管理员

将 Teams 电话服务管理员角色分配给需要执行以下任务的用户：

管理语音和电话服务，包括通话策略、电话号码管理和分配，以及语音应用程序
在 Teams 管理中心只能访问公用电话交换网 (PSTN) 使用报告
查看用户个人资料页
在Azure和Microsoft 365 管理中心中创建和管理支持票证

了解详细信息

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks	管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.teams/callQuality/allProperties/read	读取通话质量仪表板 (CQD) 中的所有数据
microsoft.teams/voice/allProperties/allTasks	管理语音，包括呼叫策略以及电话号码清单和分配

租户创建者

为需要执行以下任务的用户分配租户创建者角色：

创建Microsoft Entra和Azure Active Directory B2C 租户，即使租户创建切换在用户设置中处于关闭状态

Note

将为租户创建者分配他们所创建的新租户的全局管理员角色。

Actions	Description
microsoft.directory/tenantManagement/tenants/create	在 Microsoft Entra ID 中创建新租户

租户治理管理员

将租户治理管理员角色分配给需要执行以下任务的用户：

管理Microsoft Entra租户治理服务中的所有功能

Actions	Description
microsoft.directory/crossTenantAccessPolicy/basic/update	更新跨租户访问策略的基本设置
microsoft.directory/crossTenantAccessPolicy/default/standard/read	读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/create	为合作伙伴创建跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/delete	删除合作伙伴的跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/standard/read	读取跨租户访问策略的基本属性
microsoft.directory/tenantGovernance/invitations/create	创建租户治理邀请
microsoft.directory/tenantGovernance/invitations/delete	删除租户治理邀请
microsoft.directory/tenantGovernance/invitations/standard/read	读取租户治理邀请
microsoft.directory/tenantGovernance/policyTemplates/allProperties/update	更新租户治理策略模板
microsoft.directory/tenantGovernance/policyTemplates/create	创建租户治理策略模板
microsoft.directory/tenantGovernance/policyTemplates/delete	删除租户治理策略模板
microsoft.directory/tenantGovernance/policyTemplates/standard/read	读取租户治理策略模板
microsoft.directory/tenantGovernance/relatedTenants/refresh	触发有关Microsoft Entra租户治理服务发现的相关租户的数据刷新
microsoft.directory/tenantGovernance/relatedTenants/standard/read	读取有关Microsoft Entra租户治理服务发现的相关租户的数据
microsoft.directory/tenantGovernance/relationships/allProperties/update	更新治理关系的状态
microsoft.directory/tenantGovernance/relationships/create	创建租户治理关系
microsoft.directory/tenantGovernance/relationships/standard/read	读取租户治理关系
microsoft.directory/tenantGovernance/requests/allProperties/update	更新租户治理请求的状态
microsoft.directory/tenantGovernance/requests/create	创建租户治理请求
microsoft.directory/tenantGovernance/requests/standard/read	读取租户治理请求
microsoft.directory/tenantGovernance/settings/allProperties/update	管理Microsoft Entra租户治理设置
microsoft.directory/tenantGovernance/settings/standard/read	读取租户治理设置

租户治理读取者

将租户治理读取者角色分配给需要执行以下任务的用户：

读取所有租户治理数据

Actions	Description
microsoft.directory/tenantGovernance/invitations/standard/read	读取租户治理邀请
microsoft.directory/tenantGovernance/policyTemplates/standard/read	读取租户治理策略模板
microsoft.directory/tenantGovernance/relatedTenants/standard/read	读取有关Microsoft Entra租户治理服务发现的相关租户的数据
microsoft.directory/tenantGovernance/relationships/standard/read	读取租户治理关系
microsoft.directory/tenantGovernance/requests/standard/read	读取租户治理请求
microsoft.directory/tenantGovernance/settings/standard/read	读取租户治理设置

租户治理关系管理员

将租户治理关系管理员角色分配给需要执行以下任务的用户：

管理租户治理关系的各个方面，但接受请求除外

Actions	Description
microsoft.directory/tenantGovernance/invitations/standard/read	读取租户治理邀请
microsoft.directory/tenantGovernance/policyTemplates/allProperties/update	更新租户治理策略模板
microsoft.directory/tenantGovernance/policyTemplates/create	创建租户治理策略模板
microsoft.directory/tenantGovernance/policyTemplates/delete	删除租户治理策略模板
microsoft.directory/tenantGovernance/policyTemplates/standard/read	读取租户治理策略模板
microsoft.directory/tenantGovernance/relatedTenants/standard/read	读取有关Microsoft Entra租户治理服务发现的相关租户的数据
microsoft.directory/tenantGovernance/relationships/allProperties/update	更新治理关系的状态
microsoft.directory/tenantGovernance/relationships/create	创建租户治理关系
microsoft.directory/tenantGovernance/relationships/standard/read	读取租户治理关系
microsoft.directory/tenantGovernance/requests/create	创建租户治理请求
microsoft.directory/tenantGovernance/requests/standard/read	读取租户治理请求
microsoft.directory/tenantGovernance/settings/standard/read	读取租户治理设置

租户治理关系读取器

将租户治理关系读取者角色分配给需要执行以下任务的用户：

读取租户治理关系和相关对象

Actions	Description
microsoft.directory/tenantGovernance/invitations/standard/read	读取租户治理邀请
microsoft.directory/tenantGovernance/policyTemplates/standard/read	读取租户治理策略模板
microsoft.directory/tenantGovernance/relationships/standard/read	读取租户治理关系
microsoft.directory/tenantGovernance/requests/standard/read	读取租户治理请求
microsoft.directory/tenantGovernance/settings/standard/read	读取租户治理设置

使用情况摘要报表读取者

将使用情况摘要报告读取者角色分配给需要在Microsoft 365 管理中心中执行以下任务的用户：

查看使用情况报告和采用分数
读取组织见解，但不读取用户的个人身份信息 (PII)

此角色仅允许用户查看组织级数据，但存在以下例外情况：

成员用户可以查看用户管理数据和设置。
分配了此角色的来宾用户无法查看用户管理数据和设置。

Actions	Description
microsoft.office365.network/performance/allProperties/read	读取Microsoft 365 管理中心中的所有网络性能属性
microsoft.office365.usageReports/allEntities/standard/read	读取租户级聚合Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

用户管理员

这是特权角色。将用户管理员角色分配给需要执行以下操作的用户：

Permission	详细信息
创建用户
为所有用户更新大多数用户属性，包括所有管理员	谁可以执行敏感操作
为某些用户更新敏感属性（包括用户主体名称）	谁可以执行敏感操作
禁用或启用某些用户	谁可以执行敏感操作
删除或还原某些用户	谁可以执行敏感操作
创建和管理用户视图
创建和管理所有组
分配和读取所有用户（包括所有管理员）的许可证
重置密码	谁可以重置密码
使刷新令牌失效	谁可以重置密码
更新 (FIDO) 设备密钥
更新密码过期策略
在Azure和Microsoft 365 管理中心中创建和管理支持票证
监视服务运行状况

具有此角色的用户无法执行以下作：

无法管理 MFA。
无法更改可分配角色组的成员和所有者的凭据或重置 MFA。
无法管理共享邮箱。
无法修改密码重置操作的安全问题。

Important

应用程序注册和企业应用程序所有者，可以管理他们拥有的应用的凭据。这些应用可能在Microsoft Entra ID和未授予用户管理员的其他位置的特权权限。通过此路径，用户管理员可能能够假定应用程序所有者的身份，然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
Azure订阅所有者，他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
安全组和Microsoft 365组所有者，他们可以管理组成员身份。这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
Microsoft Entra ID之外的其他服务的管理员，例如Exchange Online、Microsoft Defender门户、Microsoft Purview 门户和人力资源系统。
高级管理人员、法律顾问和人力资源员工之类的非管理员，可能有权访问敏感或私有信息。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	在 Microsoft Entra ID 中管理应用程序角色分配的访问评审
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read	读取Microsoft Entra角色分配的访问评审的所有属性
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	在权利管理中管理访问包分配的访问评审
microsoft.directory/accessReviews/definitions.groups/allProperties/read	读取安全组和Microsoft 365组中成员身份的访问评审的所有属性，包括可分配角色的组。
microsoft.directory/accessReviews/definitions.groups/allProperties/update	更新安全组和Microsoft 365组中成员身份的访问评审的所有属性，不包括可分配角色的组。
microsoft.directory/accessReviews/definitions.groups/create	为安全和Microsoft 365组中的成员身份创建访问评审。
microsoft.directory/accessReviews/definitions.groups/delete	删除安全组和Microsoft 365组中成员身份的访问评审。
microsoft.directory/contacts/basic/update	更新联系人的基本属性
microsoft.directory/contacts/create	创建联系人
microsoft.directory/contacts/delete	删除联系人
microsoft.directory/deletedItems.groups/restore	将软删除的组还原到原始状态
microsoft.directory/deletedItems.users/restore	将软删除的用户还原到原始状态
microsoft.directory/entitlementManagement/allProperties/allTasks	创建和删除资源，并读取和更新Microsoft Entra权利管理中的所有属性
microsoft.directory/groups.unified/assignedLabels/update	更新分配的成员身份类型的Microsoft 365组的分配标签属性，不包括可分配角色的组
microsoft.directory/groups/assignLicense	将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/basic/update	更新安全组和Microsoft 365组的基本属性，不包括可分配角色的组
microsoft.directory/groups/classification/update	更新安全组和Microsoft 365组的分类属性，不包括可分配角色的组
microsoft.directory/groups/create	创建安全组和Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/delete	删除安全组和Microsoft 365组，不包括可分配角色的组
microsoft.directory/groups/dynamicMembershipRule/update	更新安全组和Microsoft 365组的动态成员身份规则，不包括可分配角色的组
microsoft.directory/groups/groupType/update	更新会影响安全组和Microsoft 365组的组类型的属性，不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read	读取安全组和Microsoft 365组的隐藏成员，包括可分配角色的组
microsoft.directory/groups/members/update	更新安全组和Microsoft 365组的成员，不包括可分配角色的组
microsoft.directory/groups/onPremWriteBack/update	使用 Microsoft Entra Connect 更新要写回本地的Microsoft Entra组
microsoft.directory/groups/owners/update	更新安全组和Microsoft 365组的所有者，不包括可分配角色的组
microsoft.directory/groups/reprocessLicenseAssignment	重新处理基于组的许可的许可证分配
microsoft.directory/groups/restore	从软删除的容器中还原组
microsoft.directory/groups/settings/update	更新组的设置
microsoft.directory/groups/visibility/update	更新安全组和Microsoft 365组的可见性属性，不包括可分配角色的组
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	创建和删除 OAuth 2.0 权限授予，读取和更新所有属性
microsoft.directory/onPremisesSynchronization/standard/read	读取标准本地目录同步信息
microsoft.directory/policies/standard/read	读取策略的基本属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	更新服务主体角色分配
microsoft.directory/users/assignLicense	管理用户许可证
microsoft.directory/users/basic/update	更新用户的基本属性
microsoft.directory/users/convertExternalToInternalMemberUser	将外部用户转换为内部用户
microsoft.directory/users/create	添加用户
microsoft.directory/users/delete	删除用户
microsoft.directory/users/disable	禁用用户
microsoft.directory/users/enable	启用用户
microsoft.directory/users/invalidateAllRefreshTokens	通过让用户刷新令牌失效来强制执行注销
microsoft.directory/users/inviteGuest	邀请来宾用户
microsoft.directory/users/lifeCycleInfo/read	读取用户的生命周期信息，例如 employeeLeaveDateTime
microsoft.directory/users/manager/update	更新用户的管理员
microsoft.directory/users/password/update	重置所有用户的密码
microsoft.directory/users/photo/update	更新用户照片
microsoft.directory/users/reprocessLicenseAssignment	重新处理用户的许可证分配
microsoft.directory/users/restore	还原已删除的用户
microsoft.directory/users/sponsors/update	更新用户的发起人
microsoft.directory/users/usageLocation/update	更新用户的使用位置
microsoft.directory/users/userPrincipalName/update	更新用户的用户主体名称
microsoft.office365.serviceHealth/allEntities/allTasks	在Microsoft 365 管理中心中读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Virtual Visits 管理员

具有此角色的用户可执行以下任务：

在 bookings 中管理和配置Microsoft 365 管理中心和 Teams EHR 连接器中的虚拟访问的所有方面
在 Teams 管理中心、Microsoft 365 管理中心、Fabric和Power BI中查看虚拟访问使用情况报告
在Microsoft 365 管理中心中查看功能和设置，但无法编辑任何设置

Virtual Visits 是一种用于为员工和与会者安排和管理在线和视频会议的简单方法。例如，使用情况报告可以显示在会议之前如何发送短信可减少不参加会议的人数。

Actions	Description
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.virtualVisits/allEntities/allProperties/allTasks	从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标

Actions	Description
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.virtualVisits/allEntities/allProperties/allTasks	从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标

Viva Glint租户管理员

将Viva Glint租户管理员角色分配给需要执行以下任务的用户：

读取和配置Microsoft 365 管理中心中的Viva Glint设置
分配或删除Viva Glint服务管理员
创建和管理Viva功能访问管理策略
查看和管理Viva Glint体验（如果适用）
创建和管理Azure 支持票证

有关详细信息，请参阅 key roles for Viva Glint and Assign Viva Glint Tenant and Service Administrators。

Actions	Description
microsoft.azure.serviceHealth/allEntities/allTasks	读取和配置Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.office365.messageCenter/messages/read	在Microsoft 365 管理中心的消息中心读取消息，不包括安全消息
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性
microsoft.viva.glint/allEntities/allProperties/allTasks	管理和配置Microsoft 365 管理中心中的所有Microsoft Viva Glint设置

Windows 365管理员

当服务存在时，具有此角色的用户对Windows 365资源具有全局权限。此外，此角色包含管理以关联策略，以及创建和管理组的用户和设备的能力。

此角色可以创建和管理安全组，但对Microsoft 365组没有管理员权限。这意味着管理员无法更新组织中Microsoft 365组的所有者或成员身份。但是，他们可以管理他们创建的Microsoft 365组，这是其最终用户特权的一部分。因此，他们创建的任何Microsoft 365组（而不是安全组）将计入其配额为 250。

将Windows 365管理员角色分配给需要执行以下任务的用户：

在 Microsoft Intune 中管理Windows 365云电脑
在Microsoft Entra ID中注册和管理设备，包括分配用户和策略
创建和管理安全组，但不是可分配角色的组
在Microsoft 365 管理中心中查看基本属性
读取Microsoft 365 管理中心中的使用情况报告
在Azure和Microsoft 365 管理中心中创建和管理支持票证

Actions	Description
microsoft.azure.supportTickets/allEntities/allTasks	创建和管理Azure 支持票证
microsoft.cloudPC/allEntities/allProperties/allTasks	管理Windows 365的各个方面
microsoft.directory/deletedItems.devices/delete	永久删除无法再还原的设备
microsoft.directory/deletedItems.devices/restore	将软删除的设备还原到原始状态
microsoft.directory/deviceManagementPolicies/standard/read	读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/standard/read	读取设备注册策略上的标准属性
microsoft.directory/devices/basic/update	更新设备上的基本属性
microsoft.directory/devices/create	创建设备（注册Microsoft Entra ID）
microsoft.directory/devices/delete	从Microsoft Entra ID中删除设备
microsoft.directory/devices/disable	禁用Microsoft Entra ID中的设备
microsoft.directory/devices/enable	在 Microsoft Entra ID 中启用设备
microsoft.directory/devices/extensionAttributeSet1/update	在设备上更新 extensionAttribute1 到 extensionAttribute5 属性
microsoft.directory/devices/extensionAttributeSet2/update	在设备上更新 extensionAttribute6 到 extensionAttribute10 属性
microsoft.directory/devices/extensionAttributeSet3/update	在设备上更新 extensionAttribute11 到 extensionAttribute15 属性
microsoft.directory/devices/registeredOwners/update	更新设备的已注册所有者
microsoft.directory/devices/registeredUsers/update	更新设备的已注册用户
microsoft.directory/groups.security/assignedLabels/update	更新分配的成员身份类型的安全组上的分配标签属性，不包括可分配角色的组
microsoft.directory/groups.security/basic/update	更新安全组（不包括可分配角色的组）的基本属性
microsoft.directory/groups.security/classification/update	更新安全组（不包括可分配角色的组）的分类属性
microsoft.directory/groups.security/create	创建安全组（不包括可分配角色的组）
microsoft.directory/groups.security/delete	删除安全组（不包括可分配角色的组）
microsoft.directory/groups.security/dynamicMembershipRule/update	更新安全组（不包括可分配角色的组）的动态成员身份规则
microsoft.directory/groups.security/members/update	更新安全组（不包括可分配角色的组）的成员
microsoft.directory/groups.security/owners/update	更新安全组（不包括可分配角色的组）的所有者
microsoft.directory/groups.security/visibility/update	更新安全组（不包括可分配角色的组）的可见性属性
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.usageReports/allEntities/allProperties/read	读取Office 365使用情况报告
microsoft.office365.webPortal/allEntities/standard/read	读取Microsoft 365 管理中心中所有资源的基本属性

Windows 更新部署管理员

此角色中的 UUsers 可以通过适用于企业的部署服务Windows 更新创建和管理Windows 更新部署的各个方面。利用该部署服务，用户可以定义部署更新的时间和方式的相关设置，并指定向其租户中的设备组提供哪些更新。该服务还允许用户监视更新进度。

Actions	Description
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	读取和配置 Windows 更新服务的各个方面

弃用的角色

不应使用以下角色。它们已被弃用，将来将从Microsoft Entra ID中删除。

即席许可证管理员
设备加入
设备管理器
设备用户
经电子邮件验证的用户创建者
邮箱管理员
工作区设备联接

门户中未显示的角色

PowerShell 或Microsoft 图形 API返回的每个角色都不在Microsoft Entra角色接口中可见。下表整理了这些差异。

API 名称	Microsoft Entra 管理中心门户名称	Notes
代理用户	没有显示，因为它默认分配给代理用户	NA
设备加入	Deprecated	已弃用角色的文档
设备管理器	Deprecated	已弃用角色的文档
设备用户	Deprecated	已弃用角色的文档
目录同步帐户	未显示，因为不应使用它	目录同步帐户文档
来宾用户	未显示，因为无法使用它	NA
Microsoft 365支持工程师	未显示，因为不应使用它	Microsoft 365支持工程师文档
现代商务管理员	未显示，因为无法使用它	现代商务管理员
合作伙伴层 1 支持	未显示，因为不应使用它	合作伙伴一线支持人员文档
合作伙伴层 2 支持	未显示，因为不应使用它	合作伙伴二线支持人员文档
受限来宾用户	未显示，因为无法使用它	NA
User	未显示，因为无法使用它	NA
工作区设备联接	Deprecated	已弃用角色的文档

Microsoft 365支持工程师

模板 ID：00cf5c54-4693-4f59-a0ac-ab79ef0a974d

不要使用 - 不适用于常规用途。

Actions	Description
microsoft.directory/applications/allProperties/read	读取所有应用程序类型上的所有属性（包括特权属性）
microsoft.directory/auditLogs/allProperties/read	读取审核日志上的所有属性，不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read	读取授权策略的标准属性
microsoft.directory/conditionalAccessPolicies/standard/read	读取条件访问策略
microsoft.directory/crossTenantAccessPolicy/default/standard/read	读取默认跨租户访问策略的基本属性
microsoft.directory/deviceManagementPolicies/standard/read	读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/standard/read	读取设备注册策略上的标准属性
microsoft.directory/devices/standard/read	读取设备上的基本属性
microsoft.directory/directoryRoles/allProperties/read	读取目录角色的所有属性
microsoft.directory/directoryRoles/members/read	读取Microsoft Entra角色的所有成员
microsoft.directory/domains/allProperties/read	读取域的所有属性
microsoft.directory/domains/standard/read	读取域上的基本属性
microsoft.directory/groups/allProperties/read	读取安全组和Microsoft 365组上的所有属性（包括特权属性），包括可分配角色的组
microsoft.directory/groupSettings/allProperties/read	读取组设置的所有属性
microsoft.directory/groups/members/read	读取安全组和Microsoft 365组的成员，包括可分配角色的组
microsoft.directory/groups/owners/read	读取安全组和Microsoft 365组的所有者，包括可分配角色的组
microsoft.directory/groups/standard/read	读取安全组和Microsoft 365组的标准属性，包括可分配角色的组
microsoft.directory/organization/allProperties/read	读取组织的所有属性
microsoft.directory/policies/standard/read	读取策略的基本属性
microsoft.directory/securityRiskPolicy/standard/read	读取安全风险策略的基本属性，其中包括Microsoft Entra安全默认值、强身份验证和帐户泄露
microsoft.directory/servicePrincipals/allProperties/read	读取服务主体上的所有属性（包括特权属性）
microsoft.directory/servicePrincipals/appRoleAssignments/limitedRead	读取分配给特定服务主体的应用程序角色，但无法枚举服务主体
microsoft.directory/servicePrincipals/standard/read	读取服务主体的基本属性
microsoft.directory/subscribedSkus/allProperties/read	读取产品订阅的所有属性
microsoft.directory/users/directReports/read	读取用户的直接下属
microsoft.directory/users/licenseDetails/read	读取用户的许可证详细信息
microsoft.directory/users/manager/read	读取用户的管理员
microsoft.directory/users/memberOf/read	读取用户的组成员身份
microsoft.directory/users/registeredDevices/read	读取用户已注册的设备
microsoft.directory/users/standard/read	读取用户的基本属性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read	读取攻击模拟器中攻击有效负载的所有属性
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	读取有关攻击模拟、响应和相关培训的报告
microsoft.teams/allEntities/allProperties/read	读取Microsoft Teams的所有属性

现代商务管理员

模板 ID：d24aef57-1500-4070-84db-2666f29cf966

请勿使用。 PowerShell 或Microsoft 图形 API不会返回此角色。它会自动从商务分配，并且不会用于任何其他用途或不受支持。

现代商务管理员角色为某些用户授予访问Microsoft 365 管理中心的权限，并查看 Home、Billing 和 Support 的左侧导航条目。这些区域中提供的内容由分配给用户的特定于商业的角色控制，这些角色用于管理自己或组织购买的产品。这可能包括各种任务，例如支付账单，或访问计费帐户和计费配置文件。

具有现代商务管理员角色的用户通常在其他Microsoft购买系统中具有管理权限，但没有用于访问管理中心的全局管理员或计费管理员角色。

在什么情况下会分配现代商务管理员角色？

自助购买Microsoft 365 管理中心 - 自助购买使用户有机会通过自行购买或注册新产品来试用新产品。这些产品在管理中心进行管理。进行自助购买的用户将分配到商务系统中的某个角色和现代商务管理员角色，因此他们可以在管理中心管理其购买内容。管理员可以通过 PowerShell 0 阻止自助购买（适用于Fabric、Power BI、Power Apps、Power Automate）。有关详细信息，请参阅自助购买常见问题解答。
从 Microsoft 商业市场 - 当用户从Microsoft AppSource或Azure 市场购买产品或服务时，类似于自助购买如果现代商务管理员角色没有全局管理员或计费管理员角色，则会分配这些角色。在某些情况下，可能会阻止用户进行此类购买。有关详细信息，请参阅 Microsoft 商业市场。
来自 Microsoft 的Proposals - 建议是组织购买Microsoft产品和服务的Microsoft正式报价。当接受该建议的人员在Microsoft Entra ID中没有全局管理员或计费管理员角色时，他们将分配一个特定于商业的角色来完成该建议和现代商务管理员角色以访问管理中心。当他们访问管理中心时，他们只能使用其商业特定角色授权的功能。
特定于商务的角色 - 某些用户分配了特定于商务的角色。如果用户不是全局管理员或计费管理员，将为其分配现代商业管理员角色以访问管理中心。

如果新式商务管理员角色未从用户分配，他们将失去对Microsoft 365 管理中心的访问权限。如果他们自己或组织管理任何产品，他们将无法管理它们。这些任务可能包括分配许可证、更改付款方式、支付账单或其他订阅管理任务。

Actions	Description
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks	管理批量许可服务中心的各个方面
microsoft.office365.supportTickets/allEntities/allTasks	创建和管理Microsoft 365服务请求
microsoft.office365.webPortal/allEntities/basic/read	读取Microsoft 365 管理中心中所有资源的基本属性

后续步骤

Last updated on 2026-04-17