Microsoft Entra 内置角色

在 Microsoft Entra ID 中,如果其他管理员或非管理员需要管理 Microsoft Entra 资源,则可以为其分配提供所需权限的 Microsoft Entra 角色。 例如,可分配允许添加或更改用户、重置用户密码、管理用户许可证或管理域名的角色。

本文列出了可以分配以允许管理 Microsoft Entra 资源的 Microsoft Entra 内置角色。 有关如何分配角色的信息,请参阅将 Microsoft Entra 角色分配给用户。 如果正在查找用于管理 Azure 资源的角色,请参阅 Azure 内置角色

所有角色

角色 说明 模板 ID
应用程序管理员 可以创建和管理应用注册和企业应用的所有方面。
Privileged label icon.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
应用程序开发人员 可以创建独立于“用户可注册应用程序”设置的应用程序注册。
Privileged label icon.
cf1c38e5-3621-4004-a7cb-879624dced7c
攻击有效负载作者 可以创建管理员可于之后启动的攻击有效负载。 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
攻击模拟管理员 可以创建和管理攻击模拟活动的各个方面。 c430b396-e693-46cc-96f3-db01bf8bb62a
属性分配管理员 将自定义安全属性键和值分配给受支持的 Microsoft Entra 对象。 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
属性分配读取者 读取受支持的 Microsoft Entra 对象的自定义安全属性键和值。 ffd52fa5-98dc-465c-991d-fc073eb59f8f
属性定义管理员 定义和管理自定义安全属性的定义。 8424c6f0-a189-499e-bbd0-26c1753c96d4
属性定义读取者 读取自定义安全属性的定义。 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
属性日志管理员 读取审核日志并为与自定义安全属性相关的事件配置诊断设置。 5b784334-f94b-471a-a387-e7219fc49ca2
属性日志读取器 读取与自定义安全属性相关的审核日志。 9c99539d-8186-4804-835f-fd51ef9e2dcd
身份验证管理员 可访问并查看、设置和重置任何非管理员用户的身份验证方法信息。
Privileged label icon.
c4e39bd9-1100-46d3-8c65-fb160da0071f
身份验证扩展性管理员 通过创建和管理自定义身份验证扩展来自定义用户的登录和注册体验。
Privileged label icon.
25a516ed-2fa0-40ea-a2d0-12923a21473a
身份验证策略管理员 可以创建和管理身份验证方法策略、租户范围的 MFA 设置、密码保护策略和可验证凭据。 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps 管理员 可以管理 Azure DevOps 策略和设置。 e3973bdf-4987-49ae-837a-ba8e231c7286
Azure 信息保护管理员 可以管理 Azure 信息保护产品的所有方面。 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF 密钥集管理员 可以在 Identity Experience Framework (IEF) 中管理联合机密和加密机密。
Privileged label icon.
aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF 策略管理员 可以在 Identity Experience Framework (IEF) 中创建和管理信任框架策略。 3edaf663-341e-4475-9f94-5c398ef6c070
计费管理员 可以执行与常见计费相关的任务,例如更新付款信息。 b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security 管理员 可管理 Defender for Cloud 应用产品的所有方面。 892c5842-a9a6-463a-8041-72aa08ca3cf6
云应用程序管理员 可以创建和管理应用注册和企业应用的所有方面,应用代理除外。
Privileged label icon.
158c047a-c907-4556-b7ef-446551a6b5f7
云设备管理员 在 Microsoft Entra ID 中管理设备的受限访问权限。
Privileged label icon.
7698a772-787b-4ac8-901f-60d6b08affd2
合规性管理员 可以读取和管理 Microsoft Entra ID 和 Microsoft 365 中的合规性配置和报告。 17315797-102d-40b4-93e0-432062caca18
合规性数据管理员 创建和管理合规性内容。 e6d1a23a-da11-4be4-9570-befc86d067a7
条件访问管理员 可以管理条件访问功能。
Privileged label icon.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
客户密码箱访问审批者 可以批准 Microsoft 支持人员访问客户组织数据的请求。 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
桌面分析管理员 可访问和管理桌面管理工具和服务。 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
目录读取者 可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限。 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
目录同步帐户 仅由 Microsoft Entra Connect 服务使用。
Privileged label icon.
d29b2b05-8046-44ba-8758-1e26182fcf32
目录写入者 可以读取和写入基本目录信息。 用于授予对应用程序的访问权限,不针对用户。
Privileged label icon.
9360feb5-f418-4baa-8175-e2a00bac4301
域名管理员 可以管理云中和本地的域名。
Privileged label icon.
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 管理员 可以管理 Dynamics 365 产品的所有方面。 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central Administrator 可以访问 Dynamics 365 Business Central 环境,并在环境中执行所有管理任务。 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edge 管理员 管理 Microsoft Edge 的所有方面。 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange 管理员 可以管理 Exchange 产品的所有方面。 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange 收件人管理员 可以在 Exchange Online 组织中创建或更新 Exchange Online 收件人。 31392ffb-586c-42d1-9346-e59415a2cc4e
外部 ID 用户流管理员 可以创建和管理用户流的各个方面。 6e591065-9bad-43ed-90f3-e9424366d2f0
外部 ID 用户流属性管理员 可以创建和管理对所有用户流可用的属性架构。 0f971eea-41eb-4569-a71e-57bb8a3eff1e
外部标识提供者管理员 可以配置用于直接联合的标识提供者。
Privileged label icon.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Fabric 管理员 可以管理 Fabric 和 Power BI 产品的所有方面。 a9ea8996-122f-4c74-9520-8edcd192826c
全局管理员 可以管理使用 Microsoft Entra 标识的 Microsoft Entra ID 和 Microsoft 服务的方方面面。
Privileged label icon.
62e90394-69f5-4237-9190-012177145e10
全局读取者 可以读取全局管理员可以读取的所有内容,但不能更新任何内容。
Privileged label icon.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
全局安全访问管理员 创建和管理  Microsoft Entra Internet 访问和 Microsoft Entra 专用访问的所有方面,包括管理对公共和专用终结点的访问。 ac434307-12b9-4fa1-a708-88bf58caabc1
组管理员 此角色的成员可以创建/管理组、创建/管理组设置(如命名和过期策略)以及查看组活动和审核报告。 fdd7a751-b60b-444a-984c-02652fe8fa1c
来宾邀请者 可以无视“成员可邀请来宾”设置而邀请来宾用户。 95e79109-95c0-4d8e-aee3-d01accf2d47b
支持管理员 可以重置非管理员和支持理员的密码。
Privileged label icon.
729827e3-9c14-49f7-bb1b-9608f156bbb8
混合标识管理员 可以管理 Active Directory 到 Microsoft Entra 云预配、Microsoft Entra Connect、直通身份验证 (PTA)、密码哈希同步 (PHS)、无缝单一登录(无缝 SSO)和联合设置。 无权管理 Microsoft Entra Connect Health。
Privileged label icon.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance 管理员 在标识治理方案中使用 Microsoft Entra ID 管理访问权限。 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights 管理员 在 Microsoft 365 Insights 应用中具有管理访问权限。 eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights 分析师 访问 Microsoft Viva Insights 中的分析功能并运行自定义查询。 25df335f-86eb-4119-b717-0ff02de207e9
Insights 业务主管 可通过 Microsoft 365 Insights 应用来查看和共享仪表板和见解。 31e939ad-9672-4796-9c2e-873181342d2d
Intune 管理员 可以管理 Intune 产品的所有方面。
Privileged label icon.
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala 管理员 可以管理 Microsoft Kaizala 的设置。 74ef975b-6605-40af-a5d2-b9539d836353
知识管理员 可配置知识、学习和其他智能功能。 b5a8dcf3-09d5-43a9-a639-8e29ef291470
知识经理 可以组织、创建、管理和提升主题与知识。 744ec460-397e-42ad-a462-8b3f9747a02c
许可证管理员 可以管理用户和组的产品许可证。 4d6ac14f-3453-41d0-bef9-a3e0c569773a
生命周期工作流管理员 在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的所有方面。 59d46f88-662b-457b-bceb-5c3809e5908f
消息中心隐私读取者 只能在 Office 365 消息中心读取安全消息和更新。 ac16e43d-7b2d-40e0-ac05-243ff356ab5b
消息中心读取者 只能在 Office 365 消息中心查看其组织的消息和更新。 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft Entra 联接设备本地管理员 分配到此角色的用户将添加到已加入 Microsoft Entra 的设备上的本地管理员组。 9f06204d-73c1-4d4c-880a-6edb90606fd8
网络管理员 可以管理网络位置,并审阅有关 Microsoft 365 软件即服务应用程序的企业网络设计见解。 d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office 应用管理员 可以管理 Office 应用云服务(包括策略和设置管理),并管理选择、取消选择和向最终用户的设备发布“新增功能”功能内容的权限。 2b745bdf-0803-4d80-aa65-822c4493daac
密码管理员 可以为非管理员和密码管理员重置密码。
Privileged label icon.
966707d0-3269-4727-9be2-8c3a10f19b9d
Power Platform 管理员 可以创建和管理 Microsoft Dynamics 365、Power Apps 和 Power Automate 的所有方面。 11648597-926c-4cf3-9c36-bcebb0ba8dcc
打印机管理员 可以管理打印机和打印机连接器的所有方面。 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
打印机技术人员 可以注册和取消注册打印机,并更新打印机状态。 e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
特权身份验证管理员 可有权查看、设置和重置任何用户(管理员或非管理员)的身份验证方法信息。
Privileged label icon.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
特权角色管理员 可管理 Microsoft Entra ID 中的角色分配和 Privileged Identity Management 的所有方面。
Privileged label icon.
e8611ab8-c189-46e8-94e1-60213ab1f814
报告读取者 可以读取登录和审核报告。 4a5d8f65-41da-4de4-8968-e035b65339cf
搜索管理员 可以创建和管理 Microsoft 搜索设置的所有方面。 0964bb5e-9bdb-4d7b-ac29-58e794862a40
搜索编辑员 可以创建和管理书签、问答、位置、平面布置图等编辑内容。 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
安全管理员 可读取安全信息和报告,以及管理 Microsoft Entra ID 和 Office 365 中的配置。
Privileged label icon.
194ae4cb-b126-40b2-bd5b-6091b380977d
安全操作员 创建和管理安全事件。
Privileged label icon.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
安全读取者 可以读取 Microsoft Entra ID 和 Office 365 中的安全信息和报告。
Privileged label icon.
5d6b6bb7-de71-4623-b4af-96380a352509
服务支持管理员 可以读取服务运行状况信息和管理支持票证。 f023fd81-a637-4b56-95fd-791ac0226033
SharePoint 管理员 可以管理 SharePoint 服务的所有方面。 f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Skype for Business 管理员 可以管理 Skype for Business 产品的所有方面。 75941009-915a-4869-abe7-691bff18279e
Teams 管理员 可以管理 Microsoft Teams 服务。 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams 通信管理员 可以管理 Microsoft Teams 服务中的通话和会议功能。 baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams 通信支持工程师 可以使用高级工具排查 Teams 中的通信问题。 f70938a0-fc10-4177-9e90-2178f8765737
Teams 通信支持专家 可以使用基本工具排查 Teams 中的通信问题。 fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams 设备管理员 可在 Teams 认证的设备上执行管理相关任务。 3d762c5a-1b6c-493f-843e-55a3b42923d4
租户创建者 创建新的 Microsoft Entra 或 Microsoft Entra ID B2C 租户。 112ca1a2-15ad-4102-995e-45b0bc479a6a
使用情况摘要报表读取者 读取使用情况报告和采用分数,但无法访问用户详细信息。 75934031-6c7e-415a-99d7-48dbd49e875e
用户管理员 可以管理用户和组的所有方面,包括重置有限管理员的密码。
Privileged label icon.
fe930be7-5e62-47db-91af-98c3a49a38b1
Virtual Visits 管理员 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标。 e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Windows 365 管理员 可以预配和管理云电脑的所有方面。 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows 更新部署管理员 可通过适用于企业的 Windows 更新部署服务创建和管理 Windows 更新部署的所有方面。 32696413-001a-46ae-978c-ce0f6b3620d2

应用程序管理员

Privileged label icon.

这是一个特权角色。 充当此角色的用户可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。 请注意,在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。

此角色还可以同意委托的权限和应用程序权限,但对 Microsoft Graph 的应用程序权限除外。

重要

这种例外情况意味着,你仍可以许可对其他应用(例如,非 Microsoft 应用或已注册应用)的应用程序权限。 你仍然可以在应用注册过程中请求这些权限,但授予(即许可)这些权限需要由权限较高的管理员(如全局管理员)完成。

此角色授予管理应用程序凭据这一功能。 分配有此角色的用户可以将凭据添加到应用程序,并使用这些凭据模拟应用程序的标识。 如果已向应用程序的标识授予资源访问权限,例如创建或更新用户或其他对象,那么分配到此角色的用户在模拟应用程序时可以执行这些操作。 这种模拟应用程序标识的能力可能是用户在角色分配的基础上的权限提升。 请务必了解,向用户分配应用程序管理员角色,会赋予其模拟应用程序标识的能力。

操作 说明
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 管理 Microsoft Entra ID 中的管理员同意请求策略
microsoft.directory/appConsent/appConsentRequests/allProperties/read 读取向 Microsoft Entra ID 注册的应用程序的同意请求的所有属性
microsoft.directory/applications/create 创建所有类型的应用程序
microsoft.directory/applications/delete 删除所有类型的应用程序
microsoft.directory/applications/applicationProxy/read 读取所有应用程序代理属性
microsoft.directory/applications/applicationProxy/update 更新所有应用程序代理属性
microsoft.directory/applications/applicationProxyAuthentication/update 更新所有类型的应用程序的身份验证
microsoft.directory/applications/applicationProxySslCertificate/update 更新应用程序代理的 SSL 证书设置
microsoft.directory/applications/applicationProxyUrlSettings/update 更新应用程序代理的 URL 设置
microsoft.directory/applications/appRoles/update 更新所有类型的应用程序上的 appRoles 属性
microsoft.directory/applications/audience/update 更新应用程序的受众属性
microsoft.directory/applications/authentication/update 更新所有类型的应用程序的身份验证
microsoft.directory/applications/basic/update 更新应用程序的基本属性
microsoft.directory/applications/credentials/update 更新应用程序凭据
Privileged label icon.
microsoft.directory/applications/extensionProperties/update 更新应用程序的扩展属性
microsoft.directory/applications/notes/update 更新应用程序的说明
microsoft.directory/applications/owners/update 更新应用程序的所有者
microsoft.directory/applications/permissions/update 更新所有类型的应用程序的公开权限和必需权限
microsoft.directory/applications/policies/update 更新应用程序策略
microsoft.directory/applications/tag/update 更新应用程序的标记
microsoft.directory/applications/verification/update 更新 applicationsverification 属性
microsoft.directory/applications/synchronization/standard/read 读取与应用程序对象关联的预配设置
microsoft.directory/applicationTemplates/instantiate 从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/connectors/create 创建应用程序代理连接器
microsoft.directory/connectors/allProperties/read 读取应用程序代理连接器的所有属性
microsoft.directory/connectorGroups/create 创建应用程序代理连接器组
microsoft.directory/connectorGroups/delete 删除应用程序代理连接器组
microsoft.directory/connectorGroups/allProperties/read 读取应用程序代理连接器组的所有属性
microsoft.directory/connectorGroups/allProperties/update 更新应用程序代理连接器组的所有属性
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 创建并管理自定义身份验证扩展
Privileged label icon.
microsoft.directory/deletedItems.applications/delete 永久删除不再可以还原的应用程序
microsoft.directory/deletedItems.applications/restore 将软删除的应用程序还原到原始状态
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 创建和删除 OAuth 2.0 权限授予,读取和更新所有属性
Privileged label icon.
microsoft.directory/applicationPolicies/create 创建应用程序策略
microsoft.directory/applicationPolicies/delete 删除应用程序策略
microsoft.directory/applicationPolicies/standard/read 读取应用程序策略的标准属性
microsoft.directory/applicationPolicies/owners/read 读取应用程序策略的所有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 读取应用于对象列表的应用程序策略
microsoft.directory/applicationPolicies/basic/update 更新应用程序策略的标准属性
microsoft.directory/applicationPolicies/owners/update 更新应用程序策略的所有者属性
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/servicePrincipals/create 创建服务主体
microsoft.directory/servicePrincipals/delete 删除服务主体
microsoft.directory/servicePrincipals/disable 禁用服务主体
microsoft.directory/servicePrincipals/enable 启用服务主体
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage 启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage 创建和管理应用程序预配同步作业和架构
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 读取服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin 以任何一个用户或所有用户的身份许可应用程序权限和委托的权限,但对 Microsoft Graph 的应用程序权限除外
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配
microsoft.directory/servicePrincipals/audience/update 更新服务主体的受众属性
microsoft.directory/servicePrincipals/authentication/update 更新服务主体的身份验证属性
microsoft.directory/servicePrincipals/basic/update 更新服务主体的基本属性
microsoft.directory/servicePrincipals/credentials/update 更新服务主体的凭据
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update 更新服务主体的说明
microsoft.directory/servicePrincipals/owners/update 更新服务主体的所有者
microsoft.directory/servicePrincipals/permissions/update 更新服务主体的权限
microsoft.directory/servicePrincipals/policies/update 更新服务主体的策略
microsoft.directory/servicePrincipals/tag/update 更新服务主体的标记属性
microsoft.directory/servicePrincipals/synchronization/standard/read 读取与服务主体关联的预配设置
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

应用程序开发人员

Privileged label icon.

这是一个特权角色。 在将设置“用户可以注册应用程序”设置为“否”时,充当此角色的用户可以创建应用程序注册。 当“用户可以同意应用代表他们访问公司数据”设置设为“否”时,此角色还能够代表自己授权同意。 在创建新应用程序注册时,会将分配到此角色的用户添加为所有者。

操作 说明
microsoft.directory/applications/createAsOwner 创建所有类型的应用程序,将创建者添加为第一个所有者
microsoft.directory/oAuth2PermissionGrants/createAsOwner 创建 OAuth 2.0 权限授予,并将创建者作为第一个所有者
Privileged label icon.
microsoft.directory/servicePrincipals/createAsOwner 创建服务主体,并将创建者作为第一个所有者

攻击有效负载作者

拥有此角色的用户可以创建攻击有效负载,但不能实际启动或调度它们。 然后,租户中的所有管理员都可以使用攻击有效负载创建模拟。

有关详细信息,请参阅 Microsoft 365 Defender 门户中的 Microsoft Defender for Office 365 权限Microsoft Purview 合规门户中的权限

操作 说明
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻击模拟器中创建和管理攻击有效负载
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 读取有关攻击模拟、响应和相关培训的报告

攻击模拟管理员

拥有此角色的用户可以创建和管理攻击模拟创建的所有方面、启动/调度模拟以及查看模拟结果。 此角色的成员对租户中的所有模拟具有此访问权限。

有关详细信息,请参阅 Microsoft 365 Defender 门户中的 Microsoft Defender for Office 365 权限Microsoft Purview 合规门户中的权限

操作 说明
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻击模拟器中创建和管理攻击有效负载
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 读取有关攻击模拟、响应和相关培训的报告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 在攻击模拟器中创建和管理攻击模拟模板

属性分配管理员

具有此角色的用户可以为受支持的 Microsoft Entra 对象(例如用户、服务主体和设备)分配和删除自定义安全属性键和值。

默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。 要使用自定义安全属性,你必须被分配自定义安全属性角色之一。

有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问

操作 说明
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read 读取 Microsoft Entra 托管标识的自定义安全属性值
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update 更新 Microsoft Entra 托管标识的自定义安全属性值
microsoft.directory/attributeSets/allProperties/read 读取属性集的所有属性
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 读取自定义安全属性定义的所有属性
microsoft.directory/devices/customSecurityAttributes/read 读取设备的自定义安全属性值
microsoft.directory/devices/customSecurityAttributes/update 更新设备的自定义安全属性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read 读取服务主体的自定义安全属性值
microsoft.directory/servicePrincipals/customSecurityAttributes/update 更新服务主体的自定义安全属性值
microsoft.directory/users/customSecurityAttributes/read 读取用户的自定义安全属性值
microsoft.directory/users/customSecurityAttributes/update 更新用户的自定义安全属性值

属性分配读取者

具有此角色的用户可以读取受支持的 Microsoft Entra 对象的自定义安全属性键和值。

默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。 要使用自定义安全属性,你必须被分配自定义安全属性角色之一。

有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问

操作 说明
microsoft.directory/attributeSets/allProperties/read 读取属性集的所有属性
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read 读取 Microsoft Entra 托管标识的自定义安全属性值
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 读取自定义安全属性定义的所有属性
microsoft.directory/devices/customSecurityAttributes/read 读取设备的自定义安全属性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read 读取服务主体的自定义安全属性值
microsoft.directory/users/customSecurityAttributes/read 读取用户的自定义安全属性值

属性定义管理员

具有此角色的用户可以定义一组有效的自定义安全属性,可以将这些属性分配给受支持的 Microsoft Entra 对象。 此角色还可以激活和停用自定义安全属性。

默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。 要使用自定义安全属性,你必须被分配自定义安全属性角色之一。

有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问

操作 说明
microsoft.directory/attributeSets/allProperties/allTasks 管理属性集的所有方面
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks 管理自定义安全属性定义的所有方面

属性定义读取者

具有此角色的用户可以读取自定义安全属性的定义。

默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。 要使用自定义安全属性,你必须被分配自定义安全属性角色之一。

有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问

操作 说明
microsoft.directory/attributeSets/allProperties/read 读取属性集的所有属性
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 读取自定义安全属性定义的所有属性

属性日志管理员

为需要执行以下任务的用户分配属性日志读取者角色:

  • 读取自定义安全属性值更改的审核日志
  • 读取自定义安全属性定义更改和分配的审核日志
  • 为自定义安全属性配置诊断设置

具有此角色的用户无法读取其他事件的审核日志。

默认情况下,全局管理员和其他管理员角色无权读取自定义安全属性的审核日志。 若要读取自定义安全属性的审核日志,必须分配有此角色或属性日志读取者角色。

有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问

操作 说明
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read 读取与自定义安全属性相关的审核日志
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks 配置自定义安全属性诊断设置的所有方面

属性日志读取者

为需要执行以下任务的用户分配属性日志读取者角色:

  • 读取自定义安全属性值更改的审核日志
  • 读取自定义安全属性定义更改和分配的审核日志

具有此角色的用户无法执行以下任务:

  • 为自定义安全属性配置诊断设置
  • 读取其他事件的审核日志

默认情况下,全局管理员和其他管理员角色无权读取自定义安全属性的审核日志。 若要读取自定义安全属性的审核日志,必须分配有此角色或属性日志管理员角色。

有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问

操作 说明
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read 读取与自定义安全属性相关的审核日志

身份验证管理员

Privileged label icon.

这是一个特权角色。 将身份验证管理员角色分配给需要执行以下任务的用户:

  • 为非管理员和某些角色设置或重置任何身份验证方法(包括密码)。 有关身份验证管理员可以读取或更新身份验证方法的角色的列表,请参阅谁可以重置密码
  • 要求非管理员用户或者已分配到某些角色的用户针对现有的非密码凭据(例如 MFA 或 FIDO)重新注册,并可以撤销“在设备上记住 MFA”(在下一次登录时提示他们执行 MFA)。
  • 对某些用户执行敏感操作。 有关详细信息,请参阅谁可以执行敏感操作
  • 在 Azure 和 Microsoft 365 管理中心创建和管理支持工单。

具有此角色的用户无法执行以下操作:

  • 无法为可分配角色的组中的成员和所有者更改凭据或重置 MFA。
  • 无法在旧版 MFA 管理门户中管理 MFA 设置,且无法管理硬件 OATH 令牌。

下表比较了与身份验证相关的角色的功能。

角色 管理用户的身份验证方法 管理每用户 MFA 管理 MFA 设置 管理身份验证方法策略 管理密码保护策略 更新敏感属性 删除和还原用户
身份验证管理员 对于某些用户为“是” 对于某些用户为“是” No 对于某些用户为“是” 对于某些用户为“是”
特权身份验证管理员 对于所有用户为“是” 对于所有用户为“是” No 对于所有用户为“是” 对于所有用户为“是”
身份验证策略管理员 No
用户管理员 No No No 对于某些用户为“是” 对于某些用户为“是”

重要

具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的凭据。 更改用户的凭据可能意味着假定用户标识和权限的能力。 例如:

  • 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予身份验证管理员的特权。 通过此路径,身份验证管理员可以假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
  • Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置拥有访问权限。
  • 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
  • Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
  • 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
操作 说明
microsoft.directory/users/authenticationMethods/create 更新用户的身份验证方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete 删除用户的身份验证方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/restrictedRead 读取身份验证方法的标准属性,不包括用户的个人身份信息
microsoft.directory/users/authenticationMethods/basic/update 更新用户身份验证方法的基本属性
Privileged label icon.
microsoft.directory/deletedItems.users/restore 将软删除的用户还原到原始状态
microsoft.directory/users/delete 删除用户
Privileged label icon.
microsoft.directory/users/disable 禁用用户
Privileged label icon.
microsoft.directory/users/enable 启用用户
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 通过让用户刷新令牌失效来强制执行注销
Privileged label icon.
microsoft.directory/users/restore 还原已删除的用户
microsoft.directory/users/basic/update 更新用户的基本属性
microsoft.directory/users/manager/update 更新用户的管理员
microsoft.directory/users/password/update 重置所有用户的密码
Privileged label icon.
microsoft.directory/users/userPrincipalName/update 更新用户的用户主体名称
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

身份验证扩展性管理员

Privileged label icon.

这是一个特权角色。 将“身份验证扩展性管理员”角色分配给需要执行以下任务的用户:

  • 创建并管理自定义身份验证扩展的所有方面。

具有此角色的用户无法执行以下操作:

  • 无法将自定义身份验证扩展分配给应用程序来修改身份验证体验,并且无法同意应用程序权限或创建与自定义身份验证扩展关联的应用注册。 相反,你必须使用“应用程序管理员”、“应用程序开发人员”或“云应用程序管理员”角色。

自定义身份验证扩展是由开发人员为身份验证事件创建的 API 终结点,并在 Microsoft Entra ID 中注册。 应用程序管理员和应用程序所有者可以使用自定义身份验证扩展来自定义其应用程序的身份验证体验,例如登录和注册或密码重置。

操作 说明
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 创建并管理自定义身份验证扩展
Privileged label icon.

身份验证策略管理员

将身份验证策略管理员角色分配给需要执行以下任务的用户:

  • 配置身份验证方法策略、租户范围的 MFA 设置及密码保护策略,用于确定每个用户可以注册和使用的方法。
  • 管理密码保护设置:智能锁定配置及更新自定义受禁密码列表。
  • 创建和管理可验证凭据。
  • 创建和管理 Azure 支持票证。

具有此角色的用户无法执行以下操作:

  • 无法更新敏感属性。 有关详细信息,请参阅谁可以执行敏感操作
  • 无法删除或还原用户。 有关详细信息,请参阅谁可以执行敏感操作
  • 无法在旧版 MFA 管理门户中管理 MFA 设置,且无法管理硬件 OATH 令牌。

下表比较了与身份验证相关的角色的功能。

角色 管理用户的身份验证方法 管理每用户 MFA 管理 MFA 设置 管理身份验证方法策略 管理密码保护策略 更新敏感属性 删除和还原用户
身份验证管理员 对于某些用户为“是” 对于某些用户为“是” No 对于某些用户为“是” 对于某些用户为“是”
特权身份验证管理员 对于所有用户为“是” 对于所有用户为“是” No 对于所有用户为“是” 对于所有用户为“是”
身份验证策略管理员 No
用户管理员 No No No 对于某些用户为“是” 对于某些用户为“是”
操作 说明
microsoft.directory/organization/strongAuthentication/allTasks 管理组织的强身份验证属性的所有方面
microsoft.directory/userCredentialPolicies/create 创建用户的凭据策略
microsoft.directory/userCredentialPolicies/delete 删除用户的凭据策略
microsoft.directory/userCredentialPolicies/standard/read 读取用户凭据策略的标准属性
microsoft.directory/userCredentialPolicies/owners/read 读取用户凭据策略的所有者
microsoft.directory/userCredentialPolicies/policyAppliedTo/read 读取 policy.appliesTo 导航链接
microsoft.directory/userCredentialPolicies/basic/update 更新用户的基本策略
microsoft.directory/userCredentialPolicies/owners/update 更新用户凭据策略的所有者
microsoft.directory/userCredentialPolicies/tenantDefault/update 更新 policy.isOrganizationDefault 属性
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 读取可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke 吊销可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/create 创建可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 读取可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 更新可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/create 创建创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/delete 删除创建和管理可验证凭据所需的配置,并删除其所有可验证凭据
microsoft.directory/verifiableCredentials/configuration/allProperties/read 读取创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/allProperties/update 更新创建和管理可验证凭据所需的配置
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证

Azure DevOps 管理员

具有此角色的用户可以管理所有企业 Azure DevOps 策略(适用于 Microsoft Entra ID 支持的所有 Azure DevOps 组织)。 充当此角色的用户可以通过导航到由公司 Microsoft Entra ID 支持的任何 Azure DevOps 组织来管理这些策略。 此外,充当此角色的用户还可以声明孤立 Azure DevOps 组织的所有权。 此角色不会授予该公司 Microsoft Entra ID 组织支持的任何 Azure DevOps 组织内的任何其他 Azure DevOps 特定权限(例如,项目集合管理员)。

操作 说明
microsoft.azure.devOps/allEntities/allTasks 读取和配置 Azure DevOps

Azure 信息保护管理员

具有此角色的用户拥有 Azure 信息保护服务中的所有权限。 此角色可以配置 Azure 信息保护策略的标签、管理保护模板,以及激活保护。 此角色不会授予标识保护、Privileged Identity Management、监视 Microsoft 365 服务运行状况、Microsoft 365 Defender 门户或 Microsoft Purview 合规门户的权限。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 信息保护的各个方面
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

B2C IEF 密钥集管理员

Privileged label icon.

这是一个特权角色。 用户可以创建和管理用于令牌加密、令牌签名和声明加密/解密的策略密钥与机密。 通过将新密钥添加到现有密钥容器,此受限管理员可以根据需要滚动更新机密,而不会影响现有的应用程序。 即使是在创建这些机密之后,此用户也可以查看这些机密的完整内容及其过期日期。

重要

这是一个敏感角色。 在生产前与生产期间,应该谨慎地审核和分配密钥集管理员角色。

操作 说明
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks 读取和配置 Azure Active Directory B2C 中的密钥集
Privileged label icon.

B2C IEF 策略管理员

充当此角色的用户可以在 Azure AD B2C 中创建、读取、更新和删除所有自定义策略,因此对相关 Azure AD B2C 组织中的 Identity Experience Framework 拥有完全控制权。 通过编辑策略,此用户可以直接与外部标识提供者建立联合、更改目录架构、更改所有面向用户的内容(HTML、CSS、JavaScript)、更改完成身份验证所需满足的要求、创建新用户、将用户数据发送到外部系统(包括完整迁移),以及编辑所有用户信息(包括密码和电话号码等敏感字段)。 相比之下,此角色无法更改加密密钥,也不能编辑组织中用于联合身份验证的机密。

重要

B2 IEF 策略管理员是高度敏感的角色,在生产环境中应以极大的限制度将其分配给组织。 应该密切审核这些用户(尤其是生产环境中的组织的用户)的活动。

操作 说明
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks 读取和配置 Azure Active Directory B2C 中的自定义策略

计费管理员

进行采购、管理订阅、管理支持票证,以及监视服务运行状况。

操作 说明
microsoft.directory/organization/basic/update 更新组织的基本属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.commerce.billing/allEntities/allProperties/allTasks 管理 Office 365 计费的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Cloud App Security 管理员

充当此角色的用户在 Defender for Cloud 应用中享有全部权限。 他们可以添加管理员、添加 Microsoft Defender for Cloud 应用策略和设置、上传日志以及执行治理操作。

操作 说明
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 Microsoft Defender for Cloud 应用中创建和删除所有资源,以及读取和更新标准属性
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

云应用管理员

Privileged label icon.

这是一个特权角色。 充当此角色的用户具有与应用程序管理员角色相同的权限,但不包括管理应用程序代理的权限。 此角色授予创建和管理企业应用程序和应用程序注册的所有方面的权限。 在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。

此角色还可以同意委托的权限和应用程序权限,但对 Microsoft Graph 的应用程序权限除外。

重要

这种例外情况意味着,你仍可以许可对其他应用(例如,非 Microsoft 应用或已注册应用)的应用程序权限。 你仍然可以在应用注册过程中请求这些权限,但授予(即许可)这些权限需要由权限较高的管理员(如全局管理员)完成。

此角色授予管理应用程序凭据这一功能。 分配有此角色的用户可以将凭据添加到应用程序,并使用这些凭据模拟应用程序的标识。 如果已向应用程序的标识授予资源访问权限,例如创建或更新用户或其他对象,那么分配到此角色的用户在模拟应用程序时可以执行这些操作。 这种模拟应用程序标识的能力可能是用户在角色分配的基础上的权限提升。 请务必了解,向用户分配应用程序管理员角色,会赋予其模拟应用程序标识的能力。

操作 说明
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 管理 Microsoft Entra ID 中的管理员同意请求策略
microsoft.directory/appConsent/appConsentRequests/allProperties/read 读取向 Microsoft Entra ID 注册的应用程序的同意请求的所有属性
microsoft.directory/applications/create 创建所有类型的应用程序
microsoft.directory/applications/delete 删除所有类型的应用程序
microsoft.directory/applications/appRoles/update 更新所有类型的应用程序上的 appRoles 属性
microsoft.directory/applications/audience/update 更新应用程序的受众属性
microsoft.directory/applications/authentication/update 更新所有类型的应用程序的身份验证
microsoft.directory/applications/basic/update 更新应用程序的基本属性
microsoft.directory/applications/credentials/update 更新应用程序凭据
Privileged label icon.
microsoft.directory/applications/extensionProperties/update 更新应用程序的扩展属性
microsoft.directory/applications/notes/update 更新应用程序的说明
microsoft.directory/applications/owners/update 更新应用程序的所有者
microsoft.directory/applications/permissions/update 更新所有类型的应用程序的公开权限和必需权限
microsoft.directory/applications/policies/update 更新应用程序策略
microsoft.directory/applications/tag/update 更新应用程序的标记
microsoft.directory/applications/verification/update 更新 applicationsverification 属性
microsoft.directory/applications/synchronization/standard/read 读取与应用程序对象关联的预配设置
microsoft.directory/applicationTemplates/instantiate 从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/deletedItems.applications/delete 永久删除不再可以还原的应用程序
microsoft.directory/deletedItems.applications/restore 将软删除的应用程序还原到原始状态
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 创建和删除 OAuth 2.0 权限授予,读取和更新所有属性
Privileged label icon.
microsoft.directory/applicationPolicies/create 创建应用程序策略
microsoft.directory/applicationPolicies/delete 删除应用程序策略
microsoft.directory/applicationPolicies/standard/read 读取应用程序策略的标准属性
microsoft.directory/applicationPolicies/owners/read 读取应用程序策略的所有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 读取应用于对象列表的应用程序策略
microsoft.directory/applicationPolicies/basic/update 更新应用程序策略的标准属性
microsoft.directory/applicationPolicies/owners/update 更新应用程序策略的所有者属性
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/servicePrincipals/create 创建服务主体
microsoft.directory/servicePrincipals/delete 删除服务主体
microsoft.directory/servicePrincipals/disable 禁用服务主体
microsoft.directory/servicePrincipals/enable 启用服务主体
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage 启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage 创建和管理应用程序预配同步作业和架构
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 读取服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin 以任何一个用户或所有用户的身份许可应用程序权限和委托的权限,但对 Microsoft Graph 的应用程序权限除外
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配
microsoft.directory/servicePrincipals/audience/update 更新服务主体的受众属性
microsoft.directory/servicePrincipals/authentication/update 更新服务主体的身份验证属性
microsoft.directory/servicePrincipals/basic/update 更新服务主体的基本属性
microsoft.directory/servicePrincipals/credentials/update 更新服务主体的凭据
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update 更新服务主体的说明
microsoft.directory/servicePrincipals/owners/update 更新服务主体的所有者
microsoft.directory/servicePrincipals/permissions/update 更新服务主体的权限
microsoft.directory/servicePrincipals/policies/update 更新服务主体的策略
microsoft.directory/servicePrincipals/tag/update 更新服务主体的标记属性
microsoft.directory/servicePrincipals/synchronization/standard/read 读取与服务主体关联的预配设置
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

云设备管理员

Privileged label icon.

这是一个特权角色。 充当此角色的用户可以在 Microsoft Entra ID 中启用、禁用和删除设备,并可以在 Azure 门户中读取 Windows 10 BitLocker 密钥(如果有)。 该角色不能授予设备上其他任何属性的管理权限。

操作 说明
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
Privileged label icon.
microsoft.directory/deletedItems.devices/delete 永久删除无法再还原的设备
microsoft.directory/deletedItems.devices/restore 将软删除的设备还原到原始状态
microsoft.directory/devices/delete 从 Microsoft Entra ID 中删除设备
microsoft.directory/devices/disable 在 Microsoft Entra ID 中禁用设备
microsoft.directory/devices/enable 在 Microsoft Entra ID 中启用设备
microsoft.directory/deviceLocalCredentials/password/read 读取已加入 Microsoft Entra 的设备的已备份本地管理员帐户凭据的所有属性,包括密码
microsoft.directory/deviceManagementPolicies/standard/read 读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceManagementPolicies/basic/update 更新有关移动设备管理和移动应用管理策略的基本属性
Privileged label icon.
microsoft.directory/deviceRegistrationPolicy/standard/read 读取设备注册策略上的标准属性
microsoft.directory/deviceRegistrationPolicy/basic/update 更新设备注册策略上的基本属性
Privileged label icon.
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况

符合性管理员

具有此角色的用户有权管理 Microsoft Purview 合规门户、Microsoft 365 管理中心、Azure 和 Microsoft 365 Defender 门户。 被分配者还可以在 Exchange 管理中心内管理所有功能,并可创建适用于 Azure 和 Microsoft 365 的支持票证。 有关详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组

In 有权执行的操作
Microsoft Purview 合规性门户 跨 Microsoft 365 服务保护和管理组织数据
管理合规性警报
Microsoft Purview 合规性管理器 跟踪、分配并验证组织的法规合规性活动
Microsoft 365 Defender 门户 管理数据治理
执行法律和数据调查
管理数据主体请求

此角色的权限与 Microsoft 365 Defender 门户基于角色的访问控制中的合规性管理员角色组相同。
Intune 查看所有 Intune 审核数据
Microsoft Defender for Cloud Apps 拥有只读权限,可以管理警报
可以创建和修改文件策略并允许执行文件管理操作
可以查看数据管理下的所有内置报表
操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.directory/entitlementManagement/allProperties/read 读取 Microsoft Entra 权利管理中的所有属性
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合规性管理器的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

符合性数据管理员

具有此角色的用户有权在 Microsoft Purview 合规门户、Microsoft 365 管理中心和 Azure 中跟踪数据。 这些用户还可以在 Exchange 管理中心、Compliance Manager、Teams 和 Skype for Business 管理中心跟踪合规数据,并可创建适用于 Azure 和 Microsoft 365 的支持票证。 有关合规性管理员与合规性数据管理员之间的差别的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组

In 有权执行的操作
Microsoft Purview 合规性门户 跨 Microsoft 365 服务监视与合规性相关的策略
管理合规性警报
Microsoft Purview 合规性管理器 跟踪、分配并验证组织的法规合规性活动
Microsoft 365 Defender 门户 管理数据治理
执行法律和数据调查
管理数据主体请求

此角色的权限与 Microsoft 365 Defender 门户基于角色的访问控制中的合规性数据管理员角色组相同。
Intune 查看所有 Intune 审核数据
Microsoft Defender for Cloud Apps 拥有只读权限,可以管理警报
可以创建和修改文件策略并允许执行文件管理操作
可以查看数据管理下的所有内置报表
操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 Microsoft Defender for Cloud 应用中创建和删除所有资源,以及读取和更新标准属性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 信息保护的各个方面
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合规性管理器的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

条件访问管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户能够管理 Microsoft Entra 条件访问设置。

操作 说明
microsoft.directory/namedLocations/create 创建定义网络位置的自定义规则
microsoft.directory/namedLocations/delete 删除定义网络位置的自定义规则
microsoft.directory/namedLocations/standard/read 读取定义网络位置的自定义规则的基本属性
microsoft.directory/namedLocations/basic/update 更新定义网络位置的自定义规则的基本属性
microsoft.directory/conditionalAccessPolicies/create 创建条件访问策略
microsoft.directory/conditionalAccessPolicies/delete 删除条件访问策略
microsoft.directory/conditionalAccessPolicies/standard/read 读取条件访问策略
microsoft.directory/conditionalAccessPolicies/owners/read 读取条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 读取条件访问策略的“适用对象”属性
microsoft.directory/conditionalAccessPolicies/basic/update 更新条件访问策略的基本属性
microsoft.directory/conditionalAccessPolicies/owners/update 更新条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 更新条件访问策略的默认租户
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 基于角色的访问控制(RBAC)资源操作的条件访问身份验证上下文
Privileged label icon.

客户密码箱访问审批者

管理你的组织中的 Microsoft Purview 客户密码箱请求。 他们接收客户密码箱请求的电子邮件通知,并且可以批准和拒绝来自 Microsoft 365 管理中心的请求。 他们还可以开启或关闭客户密码箱功能。 只有全局管理员可以重置分配到此角色的用户的密码。

操作 说明
microsoft.office365.lockbox/allEntities/allTasks 管理客户密码箱的各个方面
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

桌面分析管理员

此角色中的用户可以管理桌面分析服务。 此权限包括查看资产库存、创建部署计划、查看部署和运行状况。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理桌面分析的所有方面

目录读者

充当此角色的用户可以读取基本的目录信息。 应将此角色用于:

  • 为特定的一组来宾用户授予读取访问权限,而不是将此权限授予所有来宾用户。
  • 当“仅限管理员访问 Azure 门户”设置为“是”时,为特定的一组非管理员用户授予对 Azure 门户的访问权限。
  • 当“Directory.Read.All”不是选项时,为服务主体授予对目录的访问权限。
操作 说明
microsoft.directory/administrativeUnits/standard/read 读取管理单元上的基本属性
microsoft.directory/administrativeUnits/members/read 读取管理单元的成员
microsoft.directory/applications/standard/read 读取应用程序的标准属性
microsoft.directory/applications/owners/read 读取应用程序的所有者
microsoft.directory/applications/policies/read 读取应用程序策略
microsoft.directory/contacts/standard/read 在 Microsoft Entra ID 中读取联系人的基本属性
microsoft.directory/contacts/memberOf/read 在 Microsoft Entra ID 中读取所有联系人的组成员身份
microsoft.directory/contracts/standard/read 读取合作伙伴合同上的基本属性
microsoft.directory/devices/standard/read 读取设备上的基本属性
microsoft.directory/devices/memberOf/read 读取设备成员身份
microsoft.directory/devices/registeredOwners/read 读取设备的已注册所有者
microsoft.directory/devices/registeredUsers/read 读取设备的已注册用户
microsoft.directory/directoryRoles/standard/read 读取 Microsoft Entra 角色的基本属性
microsoft.directory/directoryRoles/eligibleMembers/read 读取 Microsoft Entra 角色的合格成员
microsoft.directory/directoryRoles/members/read 读取 Microsoft Entra 角色的所有成员
microsoft.directory/domains/standard/read 读取域上的基本属性
microsoft.directory/groups/standard/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的标准属性
microsoft.directory/groups/appRoleAssignments/read 读取组的应用程序角色分配
microsoft.directory/groups/memberOf/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的 memberOf 属性
microsoft.directory/groups/members/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的成员
microsoft.directory/groups/owners/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的所有者
microsoft.directory/groups/settings/read 读取组的设置
microsoft.directory/groupSettings/standard/read 读取组设置的基本属性
microsoft.directory/groupSettingTemplates/standard/read 读取组设置模板的基本属性
microsoft.directory/oAuth2PermissionGrants/standard/read 读取 OAuth 2.0 权限授予的基本属性
microsoft.directory/organization/standard/read 更新组织的基本属性
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read 读取无密码身份验证的受信任的证书颁发机构
microsoft.directory/applicationPolicies/standard/read 读取应用程序策略的标准属性
microsoft.directory/roleAssignments/standard/read 读取角色分配的基本属性
microsoft.directory/roleDefinitions/standard/read 读取角色定义的基本属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 读取服务主体角色分配
microsoft.directory/servicePrincipals/appRoleAssignments/read 读取分配给服务主体的角色分配
microsoft.directory/servicePrincipals/standard/read 读取服务主体的基本属性
microsoft.directory/servicePrincipals/memberOf/read 读取服务主体的组成员身份
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 读取服务主体的委托权限授予
microsoft.directory/servicePrincipals/owners/read 读取服务主体的所有者
microsoft.directory/servicePrincipals/ownedObjects/read 读取服务主体的拥有对象
microsoft.directory/servicePrincipals/policies/read 读取服务主体的策略
microsoft.directory/subscribedSkus/standard/read 读取订阅的基本属性
microsoft.directory/users/standard/read 读取用户的基本属性
microsoft.directory/users/appRoleAssignments/read 读取用户的应用程序角色分配
microsoft.directory/users/deviceForResourceAccount/read 读取用户的资源帐户设备
microsoft.directory/users/directReports/read 读取用户的直接下属
microsoft.directory/users/licenseDetails/read 读取用户的许可证详细信息
microsoft.directory/users/manager/read 读取用户的管理员
microsoft.directory/users/memberOf/read 读取用户的组成员身份
microsoft.directory/users/oAuth2PermissionGrants/read 读取用户的委托权限授予
microsoft.directory/users/ownedDevices/read 读取用户拥有的设备
microsoft.directory/users/ownedObjects/read 读取用户拥有的对象
microsoft.directory/users/photo/read 读取用户的照片
microsoft.directory/users/registeredDevices/read 读取用户已注册的设备
microsoft.directory/users/scopedRoleMemberOf/read 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元
microsoft.directory/users/sponsors/read 读取用户的发起人

目录同步帐户

Privileged label icon.

这是一个特权角色。 请勿使用。 此角色自动分配给 Microsoft Entra Connect 服务,不可用于其他任何用途。

操作 说明
microsoft.directory/applications/create 创建所有类型的应用程序
microsoft.directory/applications/delete 删除所有类型的应用程序
microsoft.directory/applications/appRoles/update 更新所有类型的应用程序上的 appRoles 属性
microsoft.directory/applications/audience/update 更新应用程序的受众属性
microsoft.directory/applications/authentication/update 更新所有类型的应用程序的身份验证
microsoft.directory/applications/basic/update 更新应用程序的基本属性
microsoft.directory/applications/credentials/update 更新应用程序凭据
Privileged label icon.
microsoft.directory/applications/notes/update 更新应用程序的说明
microsoft.directory/applications/owners/update 更新应用程序的所有者
microsoft.directory/applications/permissions/update 更新所有类型的应用程序的公开权限和必需权限
microsoft.directory/applications/policies/update 更新应用程序策略
microsoft.directory/applications/tag/update 更新应用程序的标记
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 管理 Microsoft Entra ID 中的混合身份验证策略
Privileged label icon.
microsoft.directory/organization/dirSync/update 更新组织目录同步属性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密码哈希同步 (PHS) 的所有方面
microsoft.directory/policies/create 在 Microsoft Entra ID 中创建策略
microsoft.directory/policies/delete 在 Microsoft Entra ID 中删除策略
microsoft.directory/policies/standard/read 读取策略的基本属性
microsoft.directory/policies/owners/read 读取策略的所有者
microsoft.directory/policies/policyAppliedTo/read 读取 policies.policyAppliedTo 属性
microsoft.directory/policies/basic/update 更新策略的基本属性
Privileged label icon.
microsoft.directory/policies/owners/update 更新策略的所有者
microsoft.directory/policies/tenantDefault/update 更新默认组织策略
microsoft.directory/servicePrincipals/create 创建服务主体
microsoft.directory/servicePrincipals/delete 删除服务主体
microsoft.directory/servicePrincipals/enable 启用服务主体
microsoft.directory/servicePrincipals/disable 禁用服务主体
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 读取服务主体的密码单一登录凭据
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 读取服务主体角色分配
microsoft.directory/servicePrincipals/appRoleAssignments/read 读取分配给服务主体的角色分配
microsoft.directory/servicePrincipals/standard/read 读取服务主体的基本属性
microsoft.directory/servicePrincipals/memberOf/read 读取服务主体的组成员身份
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 读取服务主体的委托权限授予
microsoft.directory/servicePrincipals/owners/read 读取服务主体的所有者
microsoft.directory/servicePrincipals/ownedObjects/read 读取服务主体的拥有对象
microsoft.directory/servicePrincipals/policies/read 读取服务主体的策略
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配
microsoft.directory/servicePrincipals/audience/update 更新服务主体的受众属性
microsoft.directory/servicePrincipals/authentication/update 更新服务主体的身份验证属性
microsoft.directory/servicePrincipals/basic/update 更新服务主体的基本属性
microsoft.directory/servicePrincipals/credentials/update 更新服务主体的凭据
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update 更新服务主体的说明
microsoft.directory/servicePrincipals/owners/update 更新服务主体的所有者
microsoft.directory/servicePrincipals/permissions/update 更新服务主体的权限
microsoft.directory/servicePrincipals/policies/update 更新服务主体的策略
microsoft.directory/servicePrincipals/tag/update 更新服务主体的标记属性

目录编写人员

Privileged label icon.

这是一个特权角色。 此角色中的用户可以读取和更新用户、组和服务主体的基本信息。

操作 说明
microsoft.directory/applications/extensionProperties/update 更新应用程序的扩展属性
microsoft.directory/contacts/create 创建联系人
microsoft.directory/groups/assignLicense 将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/create 创建安全组和 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups/reprocessLicenseAssignment 重新处理基于组的许可的许可证分配
microsoft.directory/groups/basic/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups/classification/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的分类属性
microsoft.directory/groups/dynamicMembershipRule/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的动态成员身份规则
microsoft.directory/groups/groupType/update 更新那些会影响安全组和 Microsoft 365 组(不包括可分配角色的组)的组类型的属性
microsoft.directory/groups/members/update 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra Connect 更新要写回本地的 Microsoft Entra 组
microsoft.directory/groups/owners/update 更新安全组和 Microsoft 365 组的所有者,不包括可分配角色的组
microsoft.directory/groups/settings/update 更新组的设置
microsoft.directory/groups/visibility/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的可见性属性
microsoft.directory/groupSettings/create 创建组设置
microsoft.directory/groupSettings/delete 删除组设置
microsoft.directory/groupSettings/basic/update 更新组设置的基本属性
microsoft.directory/oAuth2PermissionGrants/create 创建 OAuth 2.0 权限授予
Privileged label icon.
microsoft.directory/oAuth2PermissionGrants/basic/update 更新 OAuth 2.0 权限授予
Privileged label icon.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage 启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage 创建和管理应用程序预配同步作业和架构
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理云租户到云租户应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 启动、重启和暂停云租户到云租户应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 创建和管理云租户到云租户应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配
microsoft.directory/users/assignLicense 管理用户许可证
microsoft.directory/users/create 添加用户
Privileged label icon.
microsoft.directory/users/disable 禁用用户
Privileged label icon.
microsoft.directory/users/enable 启用用户
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 通过让用户刷新令牌失效来强制执行注销
Privileged label icon.
microsoft.directory/users/inviteGuest 邀请来宾用户
microsoft.directory/users/reprocessLicenseAssignment 重新处理用户的许可证分配
microsoft.directory/users/basic/update 更新用户的基本属性
microsoft.directory/users/manager/update 更新用户的管理员
microsoft.directory/users/photo/update 更新用户照片
microsoft.directory/users/sponsors/update 更新用户的发起人
microsoft.directory/users/userPrincipalName/update 更新用户的用户主体名称
Privileged label icon.

域名管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户可以管理(读取、添加、验证、更新和删除)域名。 他们还可以读取有关用户、组和应用程序的目录信息,因为这些对象拥有域依赖项。 对于本地环境,具有此角色的用户可以配置联合身份验证的域名,以便始终在本地对关联的用户进行身份验证。 然后,这些用户可以通过单一登录,使用其本地密码登录到基于 Microsoft Entra 的服务。 联合设置需要通过 Microsoft Entra Connect 同步,使得用户还有权管理 Microsoft Entra Connect。

操作 说明
microsoft.directory/domains/allProperties/allTasks 创建和删除域,读取和更新所有属性
Privileged label icon.
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Dynamics 365 管理员

具有此角色的用户具有 Microsoft Dynamics 365 Online 内的全局权限(如果该服务存在),并且能够管理支持票证和监视服务运行状况。 有关详细信息,请参阅使用服务管理员角色管理租户

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名为“Dynamics 365 服务管理员”。 在 Azure 门户中,它名为“Dynamics 365 管理员”。

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Dynamics 365 Business Central Administrator

将 Dynamics 365 Business Central Administrator 角色分配给需要执行以下任务的用户:

  • 访问 Dynamics 365 Business Central 环境
  • 在环境中执行所有管理任务
  • 管理客户的环境的生命周期
  • 监督环境中安装的扩展
  • 控制环境的升级
  • 执行环境的数据导出
  • 读取和配置 Azure 和 Microsoft 365 服务运行状况仪表板

此角色不提供其他 Dynamics 365 产品的任何权限。

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.directory/subscribedSkus/allProperties/read 读取产品订阅的所有属性
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks 管理 Dynamics 365 Business Central 的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

Edge 管理员

此角色的用户可以在 Microsoft Edge 上创建和管理 Internet Explorer 模式所需的企业站点列表。 此角色授予创建、编辑和发布站点列表的权限,此外还允许访问管理支持票证。 了解详细信息

操作 说明
microsoft.edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有方面
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Exchange 管理员

具有此角色的用户具有 Microsoft Exchange Online 内的全局权限(如果该服务存在)。 另外还能够创建和管理所有 Microsoft 365 组,管理支持票证并监视服务运行状况。 有关详细信息,请参阅关于 Microsoft 365 管理中心内的管理员角色

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名为“Exchange 服务管理员”。 在 Azure 门户中,它名为“Exchange 管理员”。 在 Exchange 管理中心,它名为“Exchange Online 管理员”。

操作 说明
microsoft.directory/groups/hiddenMembers/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员
microsoft.directory/groups.unified/create 创建 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified/delete 删除 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified/restore 从软删除的容器还原 Microsoft 365 组,不包括可进行角色分配的组
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 组(不包括可分配角色的组)的所有者
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有方面
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Exchange 收件人管理员

具有此角色的用户在 Exchange Online 中拥有对收件人的读取访问权限,以及对这些收件人的属性的写入权限。 有关详细信息,请参阅 Exchange Server 中的收件人

操作 说明
microsoft.office365.exchange/recipients/allProperties/allTasks 创建和删除所有收件人,并在 Exchange Online 中读取和更新收件人的所有属性
microsoft.office365.exchange/migration/allProperties/allTasks 在 Exchange Online 中管理与收件人迁移相关的所有任务

外部 ID 用户流管理员

具有此角色的用户可以在 Azure 门户中创建和管理用户流(也称为“内置”策略)。 这些用户可以自定义 HTML/CSS/JavaScript 内容、更改 MFA 要求、在令牌中选择声明、管理 API 连接器及其凭据,以及为 Microsoft Entra 组织中的所有用户流配置会话设置。 但是,此角色无法查看用户数据,也无法对组织架构中包含的属性进行更改。 对 Identity Experience Framework 策略(也称为自定义策略)的更改也超出了此角色的权限范围。

操作 说明
microsoft.directory/b2cUserFlow/allProperties/allTasks 在 Azure Active Directory B2C 中读取和配置用户流

外部 ID 用户流属性管理员

具有此角色的用户可以添加或删除适用于 Microsoft Entra 组织中所有用户流的自定义属性。 因此,具有此角色的用户可以在最终用户架构中更改或新增元素,影响所有用户流的行为,间接导致更改可以请求最终用户提供的并最终作为声明发送到应用程序的数据。 此角色无法编辑用户流。

操作 说明
microsoft.directory/b2cUserAttribute/allProperties/allTasks 在 Azure Active Directory B2C 中读取和配置用户特性

外部标识提供者管理员

Privileged label icon.

这是一个特权角色。 此管理员可以管理 Microsoft Entra 组织与外部标识提供者之间的联合。 用户可以使用此角色添加新的标识提供者及配置所有可用设置(例如身份验证路径、服务 ID 和分配的密钥容器)。 此用户可让 Microsoft Entra 组织信任来自外部标识提供者的身份验证。 对最终用户体验造成的影响取决于组织类型:

  • 员工与合作伙伴的 Microsoft Entra 组织:添加联合身份验证(例如使用 Gmail)会立即影响所有尚未兑换的来宾邀请。
  • Azure Active Directory B2C 组织:在将标识提供者添加为用户流(也称为内置策略)中的一个选项之前,添加联合(例如与另一个 Microsoft Entra 组织)不会立即影响最终用户流。 若要更改用户流,需要使用受限角色“B2C 用户流管理员”。
操作 说明
microsoft.directory/domains/federation/update 更新域的联合属性
Privileged label icon.
microsoft.directory/identityProviders/allProperties/allTasks 读取和配置 Azure Active Directory B2C 中的标识提供者
Privileged label icon.

结构管理员

具有此角色的用户具有 Microsoft Fabric 和 Power BI 内的全局权限(如果该服务存在),并且能够管理支持票证和监视服务运行状况。

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Fabric 和 Power BI 的所有方面

全局管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户有权访问 Microsoft Entra ID 以及使用 Microsoft Entra 标识的服务(例如 Microsoft 365 Defender 门户、Microsoft Purview 合规门户、Exchange Online、SharePoint Online 和 Skype for Business Online)中的所有管理功能。 全局管理员可以查看目录活动日志。 此外,全局管理员还可以提升访问权限,以管理所有 Azure 订阅和管理组。 这允许全局管理员使用各自的 Microsoft Entra 租户获得对所有 Azure 资源的完全访问权限。 注册 Microsoft Entra 组织的人员将成为全局管理员。 公司中可以有多个全局管理员。 全局管理员可以为任何用户和所有其他管理员重置密码。 全局管理员无法删除其自己的全局管理员分配。 这是为了防止组织无全局管理员的情况。

注意

作为最佳做法,Microsoft 建议将“全局管理员”角色分配给组织中五个以下的人员。 有关详细信息,请参阅 Microsoft Entra 角色最佳做法

操作 说明
microsoft.directory/accessReviews/allProperties/allTasks (已弃用)在 Microsoft Entra ID 中创建和删除访问评审、读取和更新访问评审的所有属性以及管理组的访问评审
microsoft.directory/accessReviews/definitions/allProperties/allTasks 管理 Microsoft Entra ID 中所有可评审资源的访问评审
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 管理 Microsoft Entra ID 中的管理员同意请求策略
microsoft.directory/administrativeUnits/allProperties/allTasks 创建和管理管理单元(包括成员)
microsoft.directory/appConsent/appConsentRequests/allProperties/read 读取向 Microsoft Entra ID 注册的应用程序的同意请求的所有属性
microsoft.directory/applications/allProperties/allTasks 创建和删除应用程序,读取和更新所有属性
Privileged label icon.
microsoft.directory/applications/synchronization/standard/read 读取与应用程序对象关联的预配设置
microsoft.directory/applicationTemplates/instantiate 从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/users/authenticationMethods/create 更新用户的身份验证方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete 删除用户的身份验证方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/read 读取用户身份验证方法的标准属性
Privileged label icon.
microsoft.directory/users/authenticationMethods/basic/update 更新用户身份验证方法的基本属性
Privileged label icon.
microsoft.directory/authorizationPolicy/allProperties/allTasks 管理授权策略的所有方面
Privileged label icon.
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
Privileged label icon.
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 Microsoft Defender for Cloud 应用中创建和删除所有资源,以及读取和更新标准属性
microsoft.directory/connectors/create 创建应用程序代理连接器
microsoft.directory/connectors/allProperties/read 读取应用程序代理连接器的所有属性
microsoft.directory/connectorGroups/create 创建应用程序代理连接器组
microsoft.directory/connectorGroups/delete 删除应用程序代理连接器组
microsoft.directory/connectorGroups/allProperties/read 读取应用程序代理连接器组的所有属性
microsoft.directory/connectorGroups/allProperties/update 更新应用程序代理连接器组的所有属性
microsoft.directory/contacts/allProperties/allTasks 创建和删除联系人,读取和更新所有属性
microsoft.directory/contracts/allProperties/allTasks 创建和删除合作伙伴合同,读取和更新所有属性
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 创建并管理自定义身份验证扩展
Privileged label icon.
microsoft.directory/deletedItems/delete 永久删除不再可以还原的对象
microsoft.directory/deletedItems/restore 将软删除的对象还原到原始状态
microsoft.directory/devices/allProperties/allTasks 创建和删除设备,读取和更新所有属性
microsoft.directory/groupsAssignableToRoles/assignLicense 将许可证分配给可分配角色的组
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment 重新处理可分配角色的组的许可证分配
microsoft.directory/multiTenantOrganization/basic/update 更新多租户组织的基本属性
microsoft.directory/multiTenantOrganization/create 创建多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update 加入多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read 读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update 更新参与多租户组织的租户的基本属性
microsoft.directory/multiTenantOrganization/tenants/create 在多租户组织中创建租户
microsoft.directory/multiTenantOrganization/tenants/delete 删除参与多租户组织的租户
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/standard/read 读取参与多租户组织的租户的基本属性
microsoft.directory/namedLocations/create 创建定义网络位置的自定义规则
microsoft.directory/namedLocations/delete 删除定义网络位置的自定义规则
microsoft.directory/namedLocations/standard/read 读取定义网络位置的自定义规则的基本属性
microsoft.directory/namedLocations/basic/update 更新定义网络位置的自定义规则的基本属性
microsoft.directory/deviceLocalCredentials/password/read 读取已加入 Microsoft Entra 的设备的已备份本地管理员帐户凭据的所有属性,包括密码
microsoft.directory/deviceManagementPolicies/standard/read 读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceManagementPolicies/basic/update 更新有关移动设备管理和移动应用管理策略的基本属性
Privileged label icon.
microsoft.directory/deviceRegistrationPolicy/standard/read 读取设备注册策略上的标准属性
microsoft.directory/deviceRegistrationPolicy/basic/update 更新设备注册策略上的基本属性
Privileged label icon.
microsoft.directory/directoryRoles/allProperties/allTasks 创建和删除目录角色,以及读取和更新所有属性
microsoft.directory/directoryRoleTemplates/allProperties/allTasks 创建和删除 Microsoft Entra 角色模板,以及读取和更新所有属性
microsoft.directory/domains/allProperties/allTasks 创建和删除域,读取和更新所有属性
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read 读取域的联合配置的标准属性
microsoft.directory/domains/federationConfiguration/basic/update 更新域的基本联合配置
microsoft.directory/domains/federationConfiguration/create 创建域的联合配置
microsoft.directory/domains/federationConfiguration/delete 删除域的联合配置
microsoft.directory/entitlementManagement/allProperties/allTasks 在 Microsoft Entra 权利管理中创建和删除资源,以及读取和更新所有属性
microsoft.directory/groups/allProperties/allTasks 创建和删除组,以及读取和更新所有属性
microsoft.directory/groupsAssignableToRoles/create 创建可分配角色的组
microsoft.directory/groupsAssignableToRoles/delete 删除可分配角色的组
microsoft.directory/groupsAssignableToRoles/restore 还原可分配角色的组
microsoft.directory/groupsAssignableToRoles/allProperties/update 更新可分配角色的组
microsoft.directory/groupSettings/allProperties/allTasks 创建和删除组设置,读取和更新所有属性
microsoft.directory/groupSettingTemplates/allProperties/allTasks 创建和删除组设置模板,读取和更新所有属性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 管理 Microsoft Entra ID 中的混合身份验证策略
Privileged label icon.
microsoft.directory/identityProtection/allProperties/allTasks 创建和删除所有资源,然后读取和更新 Microsoft Entra ID 保护中的标准属性
Privileged label icon.
microsoft.directory/loginOrganizationBranding/allProperties/allTasks 创建和删除 loginTenantBranding,读取和更新所有属性
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 创建和删除 OAuth 2.0 权限授予,读取和更新所有属性
Privileged label icon.
microsoft.directory/organization/allProperties/allTasks 读取和更新组织的所有属性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密码哈希同步 (PHS) 的所有方面
microsoft.directory/policies/allProperties/allTasks 创建和删除策略,读取和更新所有属性
Privileged label icon.
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks 管理条件访问策略的所有属性
microsoft.directory/crossTenantAccessPolicy/standard/read 读取跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新跨租户访问策略的允许的云终结点
microsoft.directory/crossTenantAccessPolicy/basic/update 更新跨租户访问策略的基本设置
microsoft.directory/crossTenantAccessPolicy/default/standard/read 读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 更新默认跨租户访问策略的 Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update 更新默认跨租户访问策略的 Microsoft Entra B2B 直连设置
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新默认跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 更新默认跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/partners/create 为合作伙伴创建跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/delete 删除合作伙伴的跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update 更新多租户组织的跨租户同步策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings 将多租户组织的跨租户同步策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update 更新多租户组织的跨租户访问策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings 将多租户组织的跨租户访问策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 直连设置
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作伙伴的跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 更新合作伙伴的跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create 为合作伙伴创建跨租户同步策略
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update 更新跨租户同步策略的基本设置
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 读取跨租户同步策略的基本属性
microsoft.directory/privilegedIdentityManagement/allProperties/read 读取 Privileged Identity Management 中的所有资源
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 基于角色的访问控制(RBAC)资源操作的条件访问身份验证上下文
Privileged label icon.
microsoft.directory/roleAssignments/allProperties/allTasks 创建和删除角色分配,读取和更新所有角色分配属性
microsoft.directory/roleDefinitions/allProperties/allTasks 创建和删除角色定义,读取和更新所有属性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 创建和删除 scopedRoleMemberships,读取和更新所有属性
microsoft.directory/serviceAction/activateService 可以对服务执行“激活服务”操作
microsoft.directory/serviceAction/disableDirectoryFeature 可以对服务执行“禁用目录功能”操作
microsoft.directory/serviceAction/enableDirectoryFeature 可以对服务执行“启用目录功能”操作
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以执行 getAvailableExtentionProperties 服务操作
microsoft.directory/servicePrincipals/allProperties/allTasks 创建和删除服务主体,读取和更新所有属性
Privileged label icon.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 许可对任意应用程序的任何权限
microsoft.directory/servicePrincipals/synchronization/standard/read 读取与服务主体关联的预配设置
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理云租户到云租户应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 启动、重启和暂停云租户到云租户应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 创建和管理云租户到云租户应用程序预配同步作业和架构。
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.directory/subscribedSkus/allProperties/allTasks 购买和管理订阅以及删除订阅
microsoft.directory/users/allProperties/allTasks 创建和删除用户,读取和更新所有属性
Privileged label icon.
microsoft.directory/users/convertExternalToInternalMemberUser 将外部用户转换为内部用户
microsoft.directory/permissionGrantPolicies/create 创建权限授予策略
microsoft.directory/permissionGrantPolicies/delete 删除权限授予策略
microsoft.directory/permissionGrantPolicies/standard/read 读取权限授予策略的标准属性
microsoft.directory/permissionGrantPolicies/basic/update 更新权限授予策略的基本属性
microsoft.directory/servicePrincipalCreationPolicies/create 创建服务主体创建策略
microsoft.directory/servicePrincipalCreationPolicies/delete 删除服务主体创建策略
microsoft.directory/servicePrincipalCreationPolicies/standard/read 读取服务主体创建策略的标准属性
microsoft.directory/servicePrincipalCreationPolicies/basic/update 更新服务主体创建策略的基本属性
microsoft.directory/tenantManagement/tenants/create 在 Microsoft Entra ID 中创建新租户
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 读取可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke 吊销可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/create 创建可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 读取可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 更新可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/create 创建创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/delete 删除创建和管理可验证凭据所需的配置,并删除其所有可验证凭据
microsoft.directory/verifiableCredentials/configuration/allProperties/read 读取创建和管理可验证凭据所需的配置
microsoft.directory/verifiableCredentials/configuration/allProperties/update 更新创建和管理可验证凭据所需的配置
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks 在 Microsoft Entra ID 中管理生命周期工作流和任务的所有方面
microsoft.directory/pendingExternalUserProfiles/create 在 Teams 的扩展目录中创建外部用户配置文件
microsoft.directory/pendingExternalUserProfiles/standard/read 在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/pendingExternalUserProfiles/basic/update 在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/pendingExternalUserProfiles/delete 删除 Teams 扩展目录中的外部用户配置文件
microsoft.directory/externalUserProfiles/standard/read 在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/externalUserProfiles/basic/update 在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/externalUserProfiles/delete 删除 Teams 扩展目录中的外部用户配置文件
microsoft.azure.advancedThreatProtection/allEntities/allTasks 管理 Azure 高级威胁防护的各个方面
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 信息保护的各个方面
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有方面
microsoft.commerce.billing/allEntities/allProperties/allTasks 管理 Office 365 计费的各个方面
microsoft.commerce.billing/purchases/standard/read 在 M365 管理员中心读取购买服务。
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的各个方面
microsoft.edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有方面
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 网络访问的各个方面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的各个方面
microsoft.hardware.support/shippingAddress/allProperties/allTasks 创建、读取、更新和删除 Microsoft 硬件保修声明的送货地址,包括其他人创建的送货地址
microsoft.hardware.support/shippingStatus/allProperties/read 读取未完成的 Microsoft 硬件保修声明的发货状态
microsoft.hardware.support/warrantyClaims/allProperties/allTasks 创建和管理 Microsoft 硬件保修声明的所有方面
microsoft.insights/allEntities/allProperties/allTasks 管理 Insights 应用的各个方面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的各个方面
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合规性管理器的各个方面
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理桌面分析的所有方面
microsoft.office365.exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有方面
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks 管理 SharePoint Embedded 容器的所有方面
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks 在 Microsoft 365 管理中心读取和更新内容理解的所有属性
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read 在 Microsoft 365 管理中心阅读有关内容理解的分析报告
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks 在 Microsoft 365 管理中心读取和更新知识网络的所有属性
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks 在 Microsoft 365 管理中心管理知识网络的主题可见性
microsoft.office365.knowledge/learningSources/allProperties/allTasks 在学习应用中管理学习资源及其所有属性。
microsoft.office365.lockbox/allEntities/allTasks 管理客户密码箱的各个方面
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 管理中心读取消息中心中的安全消息
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 迁移的所有方面
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks 管理 Microsoft 365 组织消息的各个创作方面
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks 管理安全与合规中心的所有方面
microsoft.office365.search/content/manage 在 Microsoft 搜索中创建和删除内容,读取和更新所有属性
microsoft.office365.securityComplianceCenter/allEntities/allTasks 在 Office 365 安全与合规中心创建和删除所有资源,以及读取和更新标准属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中创建和删除所有资源,读取和更新标准属性
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.userCommunication/allEntities/allTasks 读取和更新新增功能消息的可见性
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性
microsoft.office365.yammer/allEntities/allProperties/allTasks 管理 Yammer 的所有方面
microsoft.permissionsManagement/allEntities/allProperties/allTasks 管理 Microsoft Entra 权限管理的各个方面
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 的各个方面
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Fabric 和 Power BI 的所有方面
microsoft.teams/allEntities/allProperties/allTasks 管理 Teams 中的所有资源
microsoft.virtualVisits/allEntities/allProperties/allTasks 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标
microsoft.viva.goals/allEntities/allProperties/allTasks 管理 Microsoft Viva Goals 的所有方面
microsoft.viva.pulse/allEntities/allProperties/allTasks 管理 Microsoft Viva Pulse 的所有方面
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 管理 Microsoft Defender for Endpoint 的各个方面
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks 读取和配置 Windows 更新服务的各个方面

全局读取者

Privileged label icon.

这是一个特权角色。 充当此角色的用户可以跨 Microsoft 365 服务读取设置和管理信息,但无法执行管理操作。 全局读取者是对应于全局管理员的只读角色。 满足规划、审核或调查目的时,请分配全局读取者,而不要分配全局管理员。 将全局读取者与其他受限管理员角色(例如 Exchange 管理员)结合使用可以更轻松地完成工作,且无需分配全局管理员角色。 全局读者可使用 Microsoft 365 管理中心、Exchange 管理中心、SharePoint 管理中心、Teams 管理中心、Microsoft 365 Defender 门户、Microsoft Purview 合规门户、Azure 门户和设备管理管理中心。

具有此角色的用户无法执行以下操作:

  • 无法访问 Microsoft 365 管理中心的“购买服务”区域。

注意

全局读取者角色具有以下限制:

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.directory/accessReviews/allProperties/read (已弃用)读取访问评审的所有属性
microsoft.directory/accessReviews/definitions/allProperties/read 在 Microsoft Entra ID 中读取所有可评审资源的访问评审的所有属性
microsoft.directory/adminConsentRequestPolicy/allProperties/read 在 Microsoft Entra ID 中读取管理员同意请求策略的所有属性
microsoft.directory/administrativeUnits/allProperties/read 读取管理单元的所有属性,包括成员
microsoft.directory/appConsent/appConsentRequests/allProperties/read 读取向 Microsoft Entra ID 注册的应用程序的同意请求的所有属性
microsoft.directory/applications/allProperties/read 读取所有应用程序类型上的所有属性(包括特权属性)
microsoft.directory/applications/synchronization/standard/read 读取与应用程序对象关联的预配设置
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/users/authenticationMethods/standard/restrictedRead 读取身份验证方法的标准属性,不包括用户的个人身份信息
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
Privileged label icon.
microsoft.directory/cloudAppSecurity/allProperties/read 读取 Defender for Cloud 应用的所有属性
microsoft.directory/connectors/allProperties/read 读取应用程序代理连接器的所有属性
microsoft.directory/connectorGroups/allProperties/read 读取应用程序代理连接器组的所有属性
microsoft.directory/contacts/allProperties/read 读取联系人的所有属性
microsoft.directory/customAuthenticationExtensions/allProperties/read 读取自定义身份验证扩展
microsoft.directory/deviceLocalCredentials/standard/read 读取已加入 Microsoft Entra 的设备的已备份本地管理员帐户凭据的所有属性(密码除外)
microsoft.directory/devices/allProperties/read 读取设备的所有属性
microsoft.directory/directoryRoles/allProperties/read 读取目录角色的所有属性
microsoft.directory/directoryRoleTemplates/allProperties/read 读取目录角色模板的所有属性
microsoft.directory/domains/allProperties/read 读取域的所有属性
microsoft.directory/domains/federationConfiguration/standard/read 读取域的联合配置的标准属性
microsoft.directory/entitlementManagement/allProperties/read 读取 Microsoft Entra 权利管理中的所有属性
microsoft.directory/externalUserProfiles/standard/read 在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/groups/allProperties/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的所有属性(包括特权属性)
microsoft.directory/groupSettings/allProperties/read 读取组设置的所有属性
microsoft.directory/groupSettingTemplates/allProperties/read 读取组设置模板的所有属性
microsoft.directory/identityProtection/allProperties/read 读取 Microsoft Entra ID 保护中的所有资源
microsoft.directory/loginOrganizationBranding/allProperties/read 读取组织的带品牌登录页的所有属性
microsoft.directory/namedLocations/standard/read 读取定义网络位置的自定义规则的基本属性
microsoft.directory/oAuth2PermissionGrants/allProperties/read 读取 OAuth 2.0 权限授予的所有属性
microsoft.directory/organization/allProperties/read 读取组织的所有属性
microsoft.directory/pendingExternalUserProfiles/standard/read 在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/permissionGrantPolicies/standard/read 读取权限授予策略的标准属性
microsoft.directory/policies/allProperties/read 读取策略的所有属性
microsoft.directory/conditionalAccessPolicies/allProperties/read 读取条件访问策略的所有属性
microsoft.directory/crossTenantAccessPolicy/standard/read 读取跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/default/standard/read 读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 读取跨租户同步策略的基本属性
microsoft.directory/deviceManagementPolicies/standard/read 读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/standard/read 读取设备注册策略上的标准属性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read 读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/standard/read 读取参与多租户组织的租户的基本属性
microsoft.directory/privilegedIdentityManagement/allProperties/read 读取 Privileged Identity Management 中的所有资源
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/roleAssignments/allProperties/read 读取角色分配的所有属性
microsoft.directory/roleDefinitions/allProperties/read 读取角色定义的所有属性
microsoft.directory/scopedRoleMemberships/allProperties/read 查看管理单元中的成员
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以执行 getAvailableExtentionProperties 服务操作
microsoft.directory/servicePrincipals/allProperties/read 读取服务主体上的所有属性(包括特权属性)
microsoft.directory/servicePrincipalCreationPolicies/standard/read 读取服务主体创建策略的标准属性
microsoft.directory/servicePrincipals/synchronization/standard/read 读取与服务主体关联的预配设置
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.directory/subscribedSkus/allProperties/read 读取产品订阅的所有属性
microsoft.directory/users/allProperties/read 读取用户的所有属性
Privileged label icon.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 读取可验证凭据卡
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 读取可验证凭据协定
microsoft.directory/verifiableCredentials/configuration/allProperties/read 读取创建和管理可验证凭据所需的配置
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read 在 Microsoft Entra ID 中读取生命周期工作流和任务的所有属性
microsoft.cloudPC/allEntities/allProperties/read 读取 Windows 365 的所有方面
microsoft.commerce.billing/allEntities/allProperties/read 读取 Office 365 计费的所有资源
microsoft.commerce.billing/purchases/standard/read 在 M365 管理员中心读取购买服务。
microsoft.edge/allEntities/allProperties/read 读取 Microsoft Edge 的所有方面
microsoft.networkAccess/allEntities/allProperties/read 读取 Microsoft Entra 网络访问的各个方面
microsoft.hardware.support/shippingAddress/allProperties/read 读取 Microsoft 硬件保修声明的送货地址,包括其他人创建的现有送货地址
microsoft.hardware.support/shippingStatus/allProperties/read 读取未完成的 Microsoft 硬件保修声明的发货状态
microsoft.hardware.support/warrantyClaims/allProperties/read 读取 Microsoft 硬件保修声明
microsoft.insights/allEntities/allProperties/read 阅读 Viva Insights 的各个方面
microsoft.office365.fileStorageContainers/allEntities/allProperties/read 读取 SharePoint Embedded 容器的实体和权限
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 管理中心读取消息中心中的安全消息
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.organizationalMessages/allEntities/allProperties/read 读取 Microsoft 365 组织消息的各个方面
microsoft.office365.protectionCenter/allEntities/allProperties/read 在安全与合规中心读取所有属性
microsoft.office365.securityComplianceCenter/allEntities/read 读取 Microsoft 365 安全与合规中心中的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性
microsoft.office365.yammer/allEntities/allProperties/read 读取 Yammer 的所有方面
microsoft.permissionsManagement/allEntities/allProperties/read 读取 Microsoft Entra 权限管理的各个方面
microsoft.teams/allEntities/allProperties/read 读取 Microsoft Teams 的所有属性
microsoft.virtualVisits/allEntities/allProperties/read 阅读 Virtual Visits 的各个方面
microsoft.viva.goals/allEntities/allProperties/read 读取 Microsoft Viva Goals 的所有方面
microsoft.viva.pulse/allEntities/allProperties/read 读取 Microsoft Viva Pulse 的所有方面
microsoft.windows.updatesDeployments/allEntities/allProperties/read 读取 Windows 更新服务的各个方面

全局安全访问管理员

将全局安全访问管理员角色分配给需要执行以下操作的用户:

  • 创建和管理 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问的所有方面
  • 管理对公共终结点和专用终结点的访问

具有此角色的用户无法执行以下操作:

  • 无法管理企业应用程序、应用程序注册、条件访问或应用程序代理设置
操作 说明
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.directory/applicationPolicies/standard/read 读取应用程序策略的标准属性
microsoft.directory/applications/applicationProxy/read 读取所有应用程序代理属性
microsoft.directory/applications/owners/read 读取应用程序的所有者
microsoft.directory/applications/policies/read 读取应用程序策略
microsoft.directory/applications/standard/read 读取应用程序的标准属性
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/conditionalAccessPolicies/standard/read 读取条件访问策略
microsoft.directory/connectorGroups/allProperties/read 读取应用程序代理连接器组的所有属性
microsoft.directory/connectors/allProperties/read 读取应用程序代理连接器的所有属性
microsoft.directory/crossTenantAccessPolicy/default/standard/read 读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/standard/read 读取跨租户访问策略的基本属性
microsoft.directory/namedLocations/standard/read 读取定义网络位置的自定义规则的基本属性
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 网络访问的各个方面
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

组管理员

此角色中的用户可以创建/管理组及其设置,如命名和过期策略。 重要的是要了解,将用户分配到此角色后,他们还可以跨各种工作负荷(如 Teams、SharePoint、Yammer 和 Outlook)管理组织中的所有组。 此外,用户还能够跨各种管理门户(如 Microsoft 管理中心、Azure 门户)以及特定于工作负载的门户(如 Teams 和 SharePoint 管理中心)管理各种组设置。

操作 说明
microsoft.directory/deletedItems.groups/delete 永久删除无法再还原的组
microsoft.directory/deletedItems.groups/restore 将软删除的组还原到原始状态
microsoft.directory/groups/assignLicense 将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/create 创建安全组和 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups/delete 删除安全组和 Microsoft 365 组,不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员
microsoft.directory/groups/reprocessLicenseAssignment 重新处理基于组的许可的许可证分配
microsoft.directory/groups/restore 从软删除的容器中还原组
microsoft.directory/groups/basic/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups/classification/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的分类属性
microsoft.directory/groups/dynamicMembershipRule/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的动态成员身份规则
microsoft.directory/groups/groupType/update 更新那些会影响安全组和 Microsoft 365 组(不包括可分配角色的组)的组类型的属性
microsoft.directory/groups/members/update 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra Connect 更新要写回本地的 Microsoft Entra 组
microsoft.directory/groups/owners/update 更新安全组和 Microsoft 365 组的所有者,不包括可分配角色的组
microsoft.directory/groups/settings/update 更新组的设置
microsoft.directory/groups/visibility/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的可见性属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

来宾邀请者

此角色的用户可在“成员可以邀请”用户设置设置为“否”时管理 Microsoft Entra B2B 来宾用户邀请。 关于 Microsoft Entra B2B 协作中提供了有关 B2B 协作的详细信息。 它不包括任何其他权限。

操作 说明
microsoft.directory/users/inviteGuest 邀请来宾用户
microsoft.directory/users/standard/read 读取用户的基本属性
microsoft.directory/users/appRoleAssignments/read 读取用户的应用程序角色分配
microsoft.directory/users/deviceForResourceAccount/read 读取用户的资源帐户设备
microsoft.directory/users/directReports/read 读取用户的直接下属
microsoft.directory/users/licenseDetails/read 读取用户的许可证详细信息
microsoft.directory/users/manager/read 读取用户的管理员
microsoft.directory/users/memberOf/read 读取用户的组成员身份
microsoft.directory/users/oAuth2PermissionGrants/read 读取用户的委托权限授予
microsoft.directory/users/ownedDevices/read 读取用户拥有的设备
microsoft.directory/users/ownedObjects/read 读取用户拥有的对象
microsoft.directory/users/photo/read 读取用户的照片
microsoft.directory/users/registeredDevices/read 读取用户已注册的设备
microsoft.directory/users/scopedRoleMemberOf/read 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元
microsoft.directory/users/sponsors/read 读取用户的发起人

支持管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户可以通过 Microsoft 为 Azure 和 Microsoft 365 服务更改密码、使刷新令牌无效、创建和管理支持请求,以及监视服务运行状况。 使刷新令牌失效会强制用户重新登录。 支持管理员是否可以重置用户的密码和使刷新令牌失效取决于分配给用户的角色。 有关支持管理员可以为其重置密码和使刷新令牌失效的角色的列表,请参阅谁可以重置密码

具有此角色的用户无法执行以下操作:

重要

具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的密码。 更改用户的密码可能意味着假定用户标识和权限的能力。 例如:

  • 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予支持人员管理员的特权。 通过此路径,支持人员管理员可能能够假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
  • Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置具有访问权限。
  • 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
  • Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
  • 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。

使用管理单元可向一部分用户委托管理权限,并向一部分用户应用策略。

Azure 门户中,此角色以前名为“密码管理员”。 它已重命名为“帮助台码管理员”,以便与 Microsoft Graph API 和 Azure AD PowerShell 中的现有名称保持一致。

操作 说明
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
Privileged label icon.
microsoft.directory/deviceLocalCredentials/standard/read 读取已加入 Microsoft Entra 的设备的已备份本地管理员帐户凭据的所有属性(密码除外)
microsoft.directory/users/invalidateAllRefreshTokens 通过让用户刷新令牌失效来强制执行注销
Privileged label icon.
microsoft.directory/users/password/update 重置所有用户的密码
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

混合标识管理员

Privileged label icon.

这是一个特权角色。 充当此角色的用户可以使用云预配来创建、管理和部署从 Active Directory 到 Microsoft Entra ID 的预配配置设置,以及管理 Microsoft Entra Connect、密码哈希同步 (PHS) 和联合设置。 用户还可以使用此角色对日志进行故障排除和监视。

操作 说明
microsoft.directory/applications/create 创建所有类型的应用程序
microsoft.directory/applications/delete 删除所有类型的应用程序
microsoft.directory/applications/appRoles/update 更新所有类型的应用程序上的 appRoles 属性
microsoft.directory/applications/audience/update 更新应用程序的受众属性
microsoft.directory/applications/authentication/update 更新所有类型的应用程序的身份验证
microsoft.directory/applications/basic/update 更新应用程序的基本属性
microsoft.directory/applications/notes/update 更新应用程序的说明
microsoft.directory/applications/owners/update 更新应用程序的所有者
microsoft.directory/applications/permissions/update 更新所有类型的应用程序的公开权限和必需权限
microsoft.directory/applications/policies/update 更新应用程序策略
microsoft.directory/applications/tag/update 更新应用程序的标记
microsoft.directory/applications/synchronization/standard/read 读取与应用程序对象关联的预配设置
microsoft.directory/applicationTemplates/instantiate 从应用程序模板实例化库应用程序
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/cloudProvisioning/allProperties/allTasks 读取和配置 Microsoft Entra 云预配服务的所有属性。
microsoft.directory/deletedItems.applications/delete 永久删除不再可以还原的应用程序
microsoft.directory/deletedItems.applications/restore 将软删除的应用程序还原到原始状态
microsoft.directory/domains/allProperties/read 读取域的所有属性
microsoft.directory/domains/federation/update 更新域的联合属性
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read 读取域的联合配置的标准属性
microsoft.directory/domains/federationConfiguration/basic/update 更新域的基本联合配置
microsoft.directory/domains/federationConfiguration/create 创建域的联合配置
microsoft.directory/domains/federationConfiguration/delete 删除域的联合配置
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 管理 Microsoft Entra ID 中的混合身份验证策略
Privileged label icon.
microsoft.directory/organization/dirSync/update 更新组织目录同步属性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密码哈希同步 (PHS) 的所有方面
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/servicePrincipals/create 创建服务主体
microsoft.directory/servicePrincipals/delete 删除服务主体
microsoft.directory/servicePrincipals/disable 禁用服务主体
microsoft.directory/servicePrincipals/enable 启用服务主体
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理应用程序预配机密和凭据
microsoft.directory/servicePrincipals/synchronizationJobs/manage 启动、重启和暂停应用程序预配同步作业
microsoft.directory/servicePrincipals/synchronizationSchema/manage 创建和管理应用程序预配同步作业和架构
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 启动、重启和暂停应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 创建和管理应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理云租户到云租户应用程序预配机密和凭据。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 启动、重启和暂停云租户到云租户应用程序预配同步作业。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 创建和管理云租户到云租户应用程序预配同步作业和架构。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配
microsoft.directory/servicePrincipals/audience/update 更新服务主体的受众属性
microsoft.directory/servicePrincipals/authentication/update 更新服务主体的身份验证属性
microsoft.directory/servicePrincipals/basic/update 更新服务主体的基本属性
microsoft.directory/servicePrincipals/notes/update 更新服务主体的说明
microsoft.directory/servicePrincipals/owners/update 更新服务主体的所有者
microsoft.directory/servicePrincipals/permissions/update 更新服务主体的权限
microsoft.directory/servicePrincipals/policies/update 更新服务主体的策略
microsoft.directory/servicePrincipals/tag/update 更新服务主体的标记属性
microsoft.directory/servicePrincipals/synchronization/standard/read 读取与服务主体关联的预配设置
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.directory/users/authorizationInfo/update 更新用户的多值证书用户 ID 属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Identity Governance 管理员

具有此角色的用户可以管理 Microsoft Entra ID Governance 配置(包括访问包、访问评审、目录和策略),从而确保访问获得批准和评审,以及删除不再需要访问权限的来宾用户。

操作 说明
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks 管理 Microsoft Entra ID 中的应用程序角色分配的访问评审
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 在权利管理中管理访问包分配的访问评审
microsoft.directory/accessReviews/definitions.groups/allProperties/read 读取安全组和 Microsoft 365 组(包括角色可分配的组)中成员身份的访问评审的所有属性。
microsoft.directory/accessReviews/definitions.groups/allProperties/update 在安全组和 Microsoft 365 组(不包括角色可分配的组)中更新成员身份的访问评审的所有属性。
microsoft.directory/accessReviews/definitions.groups/create 在安全组和 Microsoft 365 组中创建成员身份的访问评审。
microsoft.directory/accessReviews/definitions.groups/delete 在安全组和 Microsoft 365 组中删除成员身份的访问评审。
microsoft.directory/accessReviews/allProperties/allTasks (已弃用)在 Microsoft Entra ID 中创建和删除访问评审、读取和更新访问评审的所有属性以及管理组的访问评审
microsoft.directory/entitlementManagement/allProperties/allTasks 在 Microsoft Entra 权利管理中创建和删除资源,以及读取和更新所有属性
microsoft.directory/groups/members/update 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配

Insights 管理员

具有此角色的用户可以访问 Microsoft Viva Insights 应用中的全套管理功能。 此角色能够读取目录信息,监视服务运行状况,提交支持票证,并访问 Insights 各方面的管理员设置。

了解详细信息

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.insights/allEntities/allProperties/allTasks 管理 Insights 应用的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Insights 分析师

将 Insights 分析师角色分配给需要执行以下任务的用户:

  • 在 Microsoft Viva Insights 应用中分析数据,但无法管理任何配置设置
  • 创建、管理和运行测试
  • 在 Microsoft 365 管理中心查看基本设备和报告
  • 在 Microsoft 365 管理中心创建和管理服务请求

了解详细信息

操作 描述
microsoft.insights/queries/allProperties/allTasks 在 Viva Insights 中运行和管理查询
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Insights 业务主管

具有此角色的用户可以通过 Microsoft Viva Insights 应用访问一组仪表板和见解。 其中包括对所有仪表板以及提供的见解和数据探索功能的完全访问权限。 具有此角色的用户无权访问由 Insights 管理员角色负责的产品配置设置。

了解详细信息

操作 说明
microsoft.insights/reports/allProperties/read 在 Insights 应用中查看报表和面板
microsoft.insights/programs/allProperties/update 在 Insights 应用中部署和管理计划

Intune 管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户具有 Microsoft Intune Online 内的全局权限(如果该服务存在)。 此外,此角色包含管理以关联策略,以及创建和管理组的用户和设备的能力。 有关详细信息,请参阅 Microsoft Intune 的基于角色的管理控制 (RBAC)

此角色可创建和管理所有安全组。 但是,Intune 管理员对 Office 组没有管理员权限。 这意味着管理员无法更新组织中所有 Office 组的所有者或成员身份, 但可以管理其自己创建的 Office 组,这是其最终用户权限的一部分。 因此,他们创建的任何 Office 组(非安全组)都应计入其 250 的配额。

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名为“Intune 服务管理员”。 在 Azure 门户中,它名为“Intune 管理员”。

操作 说明
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
Privileged label icon.
microsoft.directory/contacts/create 创建联系人
microsoft.directory/contacts/delete 删除联系人
microsoft.directory/contacts/basic/update 更新联系人的基本属性
microsoft.directory/deletedItems.devices/delete 永久删除无法再还原的设备
microsoft.directory/deletedItems.devices/restore 将软删除的设备还原到原始状态
microsoft.directory/devices/create 创建设备(在 Microsoft Entra ID 中注册)
microsoft.directory/devices/delete 从 Microsoft Entra ID 中删除设备
microsoft.directory/devices/disable 在 Microsoft Entra ID 中禁用设备
microsoft.directory/devices/enable 在 Microsoft Entra ID 中启用设备
microsoft.directory/devices/basic/update 更新设备上的基本属性
microsoft.directory/devices/extensionAttributeSet1/update 在设备上更新 extensionAttribute1 到 extensionAttribute5 属性
microsoft.directory/devices/extensionAttributeSet2/update 在设备上更新 extensionAttribute6 到 extensionAttribute10 属性
microsoft.directory/devices/extensionAttributeSet3/update 在设备上更新 extensionAttribute11 到 extensionAttribute15 属性
microsoft.directory/devices/registeredOwners/update 更新设备的已注册所有者
microsoft.directory/devices/registeredUsers/update 更新设备的已注册用户
microsoft.directory/deviceLocalCredentials/password/read 读取已加入 Microsoft Entra 的设备的已备份本地管理员帐户凭据的所有属性,包括密码
microsoft.directory/deviceManagementPolicies/standard/read 读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/standard/read 读取设备注册策略上的标准属性
microsoft.directory/groups/hiddenMembers/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员
microsoft.directory/groups.security/create 创建安全组(不包括可分配角色的组)
microsoft.directory/groups.security/delete 删除安全组(不包括可分配角色的组)
microsoft.directory/groups.security/basic/update 更新安全组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.security/classification/update 更新安全组(不包括可分配角色的组)的分类属性
microsoft.directory/groups.security/dynamicMembershipRule/update 更新安全组(不包括可分配角色的组)的动态成员身份规则
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/owners/update 更新安全组(不包括可分配角色的组)的所有者
microsoft.directory/groups.security/visibility/update 更新安全组(不包括可分配角色的组)的可见性属性
microsoft.directory/users/basic/update 更新用户的基本属性
microsoft.directory/users/manager/update 更新用户的管理员
microsoft.directory/users/photo/update 更新用户照片
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有方面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的各个方面
microsoft.office365.organizationalMessages/allEntities/allProperties/read 读取 Microsoft 365 组织消息的各个方面
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Kaizala 管理员

具有此角色的用户拥有在 Microsoft Kaizala 中管理设置的全局权限(如果该服务存在),并且能够管理支持票证和监视服务运行状况。 此外,用户还可以访问与组织成员采用和使用 Kaizala 有关的报告,以及使用 Kaizala 操作生成的业务报告。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

知识管理员

充当此角色的用户对 Microsoft 365 管理中心内的所有知识、学习和智能功能设置拥有完全访问权限。 用户大致了解产品套件、许可详细信息,并负责控制访问权限。 知识管理员可创建和管理内容,例如主题、首字母缩写词和学习资源。 此外,这些用户可以创建内容中心、监视服务运行状况和创建服务请求。

操作 说明
microsoft.directory/groups.security/create 创建安全组(不包括可分配角色的组)
microsoft.directory/groups.security/createAsOwner 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。
microsoft.directory/groups.security/delete 删除安全组(不包括可分配角色的组)
microsoft.directory/groups.security/basic/update 更新安全组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/owners/update 更新安全组(不包括可分配角色的组)的所有者
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks 在 Microsoft 365 管理中心读取和更新内容理解的所有属性
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks 在 Microsoft 365 管理中心读取和更新知识网络的所有属性
microsoft.office365.knowledge/learningSources/allProperties/allTasks 在学习应用中管理学习资源及其所有属性。
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read 在安全与合规中心读取敏感度标签的所有属性
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中创建和删除所有资源,读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

知识经理

具有此角色的用户可以创建和管理内容,例如主题、首字母缩写词和学习内容。 这些用户主要负责知识的质量和结构。 此用户对主题管理操作具有完整权限,可确认主题、批准编辑或删除主题。 此角色还可以管理作为术语库管理工具的一部分的分类并创建内容中心。

操作 说明
microsoft.directory/groups.security/create 创建安全组(不包括可分配角色的组)
microsoft.directory/groups.security/createAsOwner 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。
microsoft.directory/groups.security/delete 删除安全组(不包括可分配角色的组)
microsoft.directory/groups.security/basic/update 更新安全组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/owners/update 更新安全组(不包括可分配角色的组)的所有者
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read 在 Microsoft 365 管理中心阅读有关内容理解的分析报告
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks 在 Microsoft 365 管理中心管理知识网络的主题可见性
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中创建和删除所有资源,读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

许可证管理员

具有此角色的用户可以读取、添加、删除和更新用户、组(使用基于组的许可)的许可证分配,以及管理用户的使用位置。 该角色不授予在使用位置之外购买或管理订阅、创建或管理组,或者创建或管理用户的权限。 此角色无权查看、创建或管理支持票证。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/groups/assignLicense 将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/reprocessLicenseAssignment 重新处理基于组的许可的许可证分配
microsoft.directory/users/assignLicense 管理用户许可证
microsoft.directory/users/reprocessLicenseAssignment 重新处理用户的许可证分配
microsoft.directory/users/usageLocation/update 更新用户的使用位置
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

生命周期工作流管理员

将生命周期工作流管理员角色分配给需要执行以下任务的用户:

  • 在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的所有方面
  • 检查计划工作流的执行情况
  • 按需启动工作流运行
  • 检查工作流执行日志
操作 说明
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks 在 Microsoft Entra ID 中管理生命周期工作流和任务的所有方面
microsoft.directory/organization/strongAuthentication/read 读取组织的强身份验证属性

消息中心隐私读取者

充当此角色的用户可以监视消息中心的所有通知,包括数据隐私消息。 消息中心隐私读取者会收到电子邮件通知(包括与数据隐私相关的通知),并可以使用邮件中心首选项取消订阅。 只有全局管理员和消息中心隐私读取者才能阅读数据隐私消息。 此外,此角色还能查看组、域和订阅。 此角色无权查看、创建或管理服务请求。

操作 说明
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 管理中心读取消息中心中的安全消息
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

消息中心读取者

具有此角色的用户可以在其组织的消息中心监视 Exchange、Intune 和 Microsoft Teams 等已配置服务的通知和公告运行状况更新。 消息中心读者会收到包含帖子和更新的每周电子邮件摘要,并能在 Microsoft 365 内共享消息中心帖子。 在 Microsoft Entra ID 中,分配有此角色的用户仅对 Microsoft Entra 服务(如用户和组)具有只读访问权限。 此角色无权查看、创建或管理支持票证。

操作 说明
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Microsoft Entra 联接设备本地管理员

此角色只能作为设备设置中的其他本地管理员进行分配。 拥有此角色的用户成为所有已加入 Microsoft Entra ID 的 Windows 10 设备上的本地计算机管理员。 他们无权管理 Microsoft Entra ID 中的设备对象。

操作 说明
microsoft.directory/groupSettings/standard/read 读取组设置的基本属性
microsoft.directory/groupSettingTemplates/standard/read 读取组设置模板的基本属性

网络管理员

充当此角色的用户可以查看 Microsoft 根据其用户位置发出的网络遥测数据提供的网络外围体系结构建议。 Microsoft 365 的网络性能依赖于精心规划的企业客户网络外围体系结构,而该体系结构通常特定于用户位置。 利用此角色,可以编辑已发现的用户位置并配置这些位置的网络参数,以促进改善遥测结果并设计建议

操作 说明
microsoft.office365.network/locations/allProperties/allTasks 管理网络位置的各个方面
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

Office 应用管理员

充当此角色的用户可以管理 Microsoft 365 应用的云设置。 这包括云策略管理、自助下载管理,以及查看与 Office 应用相关的报表的功能。 此外,该角色还可以在主管理中心管理支持票证和监视服务运行状况。 分配了此角色的用户还可以管理 Office 应用中新功能的通信。

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.userCommunication/allEntities/allTasks 读取和更新新增功能消息的可见性
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

密码管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户可以管理密码,但权限受限。 此角色不会授予管理服务请求或监视服务运行状况的能力。 密码管理员是否可以重置用户的密码取决于分配给用户的角色。 有关密码管理员可以为其重置密码的角色的列表,请参阅谁可以重置密码

具有此角色的用户无法执行以下操作:

操作 说明
microsoft.directory/users/password/update 重置所有用户的密码
Privileged label icon.
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

Power Platform 管理员

充当此角色的用户可以创建和管理环境、Power Apps、Flows、数据丢失防护策略的所有方面。 另外,具有此角色的用户可以管理支持票证并监视服务运行状况。

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的各个方面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的各个方面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 的各个方面

打印机管理员

充当此角色的用户可以在 Microsoft 通用打印解决方案中注册打印机和管理所有打印机配置的各个方面,包括“通用打印连接器”设置。 他们可以同意所有委托的打印权限请求。 打印机管理员还有权访问打印报告。

操作 说明
microsoft.azure.print/allEntities/allProperties/allTasks 在 Microsoft Print 中创建和删除打印机和连接器,读取和更新所有属性

打印机技术人员

具有此角色的用户可以在 Microsoft 通用打印解决方案中注册打印机和管理打印机状态。 他们还可以读取所有连接器信息。 打印机技术人员无法执行的重要任务是设置用户对打印机的权限以及共享打印机。

操作 说明
microsoft.azure.print/connectors/allProperties/read 在 Microsoft Print 中读取连接器的所有属性
microsoft.azure.print/printers/allProperties/read 在 Microsoft Print 中读取打印机的所有属性
microsoft.azure.print/printers/register 在 Microsoft Print 中注册打印机
microsoft.azure.print/printers/unregister 在 Microsoft Print 中取消注册打印机
microsoft.azure.print/printers/basic/update 在 Microsoft Print 中更新打印机的基本属性

特权身份验证管理员

Privileged label icon.

这是一个特权角色。 将特权身份验证管理员角色分配给需要执行以下任务的用户:

  • 为任何用户(包括全局管理员)设置或重置身份验证方法(包括密码)。
  • 删除或还原任何用户,包括全局管理员。 有关详细信息,请参阅谁可以执行敏感操作
  • 强制用户重新注册现有非密码凭据(例如 MFA 或 FIDO),以及撤销“在设备上记住 MFA”(所有用户下次登录时系统会提示其执行 MFA)。
  • 为所有用户更新敏感属性。 有关详细信息,请参阅谁可以执行敏感操作
  • 在 Azure 和 Microsoft 365 管理中心创建和管理支持工单。

具有此角色的用户无法执行以下操作:

  • 无法管理旧版 MFA 管理门户中的每用户 MFA。

下表比较了与身份验证相关的角色的功能。

角色 管理用户的身份验证方法 管理每用户 MFA 管理 MFA 设置 管理身份验证方法策略 管理密码保护策略 更新敏感属性 删除和还原用户
身份验证管理员 对于某些用户为“是” 对于某些用户为“是” No 对于某些用户为“是” 对于某些用户为“是”
特权身份验证管理员 对于所有用户为“是” 对于所有用户为“是” No 对于所有用户为“是” 对于所有用户为“是”
身份验证策略管理员 No
用户管理员 No No No 对于某些用户为“是” 对于某些用户为“是”

重要

具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的凭据。 更改用户的凭据可能意味着假定用户标识和权限的能力。 例如:

  • 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予身份验证管理员的特权。 通过此路径,身份验证管理员可以假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
  • Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置拥有访问权限。
  • 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
  • Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
  • 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
操作 说明
microsoft.directory/users/authenticationMethods/create 更新用户的身份验证方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete 删除用户的身份验证方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/read 读取用户身份验证方法的标准属性
Privileged label icon.
microsoft.directory/users/authenticationMethods/basic/update 更新用户身份验证方法的基本属性
Privileged label icon.
microsoft.directory/deletedItems.users/restore 将软删除的用户还原到原始状态
microsoft.directory/users/delete 删除用户
Privileged label icon.
microsoft.directory/users/disable 禁用用户
Privileged label icon.
microsoft.directory/users/enable 启用用户
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 通过让用户刷新令牌失效来强制执行注销
Privileged label icon.
microsoft.directory/users/restore 还原已删除的用户
microsoft.directory/users/basic/update 更新用户的基本属性
microsoft.directory/users/authorizationInfo/update 更新用户的多值证书用户 ID 属性
microsoft.directory/users/manager/update 更新用户的管理员
microsoft.directory/users/password/update 重置所有用户的密码
Privileged label icon.
microsoft.directory/users/userPrincipalName/update 更新用户的用户主体名称
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

特权角色管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户可以在 Microsoft Entra ID 中以及 Microsoft Entra Privileged Identity Management 中管理角色分配。 他们可以创建和管理可分配给 Microsoft Entra 角色的组。 此外,此角色允许管理 Privileged Identity Management 和管理单元的所有方面。

重要

此角色具有管理所有 Microsoft Entra 角色(包括全局管理员角色)的分配的能力。 此角色不包括 Microsoft Entra ID 中的任何其他权限功能,如创建或更新用户。 但是,分配到此角色的用户可通过分配其他角色,授予自己或其他人额外的特权。

操作 说明
microsoft.directory/accessReviews/definitions.applications/allProperties/read 在 Microsoft Entra ID 中读取应用程序角色分配的访问评审的所有属性
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks 管理 Microsoft Entra 角色分配的访问评审
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update 在可分配给 Microsoft Entra ID 角色的组中更新成员身份的访问评审的所有属性
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create 在可分配给 Microsoft Entra ID 角色的组中创建成员身份的访问评审
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete 在可分配给 Microsoft Entra ID 角色的组中删除成员身份的访问评审
microsoft.directory/accessReviews/definitions.groups/allProperties/read 读取安全组和 Microsoft 365 组(包括角色可分配的组)中成员身份的访问评审的所有属性。
microsoft.directory/administrativeUnits/allProperties/allTasks 创建和管理管理单元(包括成员)
microsoft.directory/authorizationPolicy/allProperties/allTasks 管理授权策略的所有方面
Privileged label icon.
microsoft.directory/directoryRoles/allProperties/allTasks 创建和删除目录角色,以及读取和更新所有属性
microsoft.directory/groupsAssignableToRoles/create 创建可分配角色的组
microsoft.directory/groupsAssignableToRoles/delete 删除可分配角色的组
microsoft.directory/groupsAssignableToRoles/restore 还原可分配角色的组
microsoft.directory/groupsAssignableToRoles/allProperties/update 更新可分配角色的组
microsoft.directory/groupsAssignableToRoles/assignLicense 将许可证分配给可分配角色的组
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment 重新处理可分配角色的组的许可证分配
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 创建和删除 OAuth 2.0 权限授予,读取和更新所有属性
Privileged label icon.
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks 在 Privileged Identity Management 中创建和删除所有资源,读取和更新标准属性
microsoft.directory/roleAssignments/allProperties/allTasks 创建和删除角色分配,读取和更新所有角色分配属性
microsoft.directory/roleDefinitions/allProperties/allTasks 创建和删除角色定义,读取和更新所有属性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 创建和删除 scopedRoleMemberships,读取和更新所有属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配
microsoft.directory/servicePrincipals/permissions/update 更新服务主体的权限
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 许可对任意应用程序的任何权限
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性
microsoft.directory/permissionGrantPolicies/create 创建权限授予策略
microsoft.directory/permissionGrantPolicies/delete 删除权限授予策略
microsoft.directory/permissionGrantPolicies/allProperties/read 读取权限授予策略的所有属性
microsoft.directory/permissionGrantPolicies/allProperties/update 更新权限授予策略的所有属性

报告读者

具有此角色的用户可在 Microsoft 365 管理中心以及 Fabric 和 Power BI 中的采用上下文包内查看使用情况报告数据和报告仪表板。 此外,拥有此角色后还可访问 Microsoft Entra ID 中所有的登录日志、审核日志和活动报告,以及 Microsoft Graph 报告 API 返回的数据。 分配到“报告读者”角色的用户只能访问相关使用情况和采用指标。 它们没有任何管理员权限,无法配置设置或访问产品特定的管理中心(如 Exchange)。 此角色无权查看、创建或管理支持票证。

操作 说明
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

搜索管理员

充当此角色的用户对 Microsoft 365 管理中心内的所有 Microsoft 搜索管理功能拥有完全访问权限。 此外,这些用户可以查看消息中心、监视服务运行状况和创建服务请求。

操作 说明
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.search/content/manage 在 Microsoft 搜索中创建和删除内容,读取和更新所有属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

搜索编辑员

充当此角色的用户可以在 Microsoft 365 管理中心创建、管理和删除 Microsoft 搜索的内容,包括书签、问答和位置。

操作 说明
microsoft.office365.messageCenter/messages/read 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
microsoft.office365.search/content/manage 在 Microsoft 搜索中创建和删除内容,读取和更新所有属性
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

安全管理员

Privileged label icon.

这是一个特权角色。 具有此角色的用户有权管理 Microsoft 365 Defender 门户、Microsoft Entra ID 保护、Microsoft Entra 身份验证、Azure 信息保护以及 Microsoft Purview 合规门户内与安全相关的功能。 有关 Office 365 权限的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组

In 有权执行的操作
Microsoft 365 Defender 门户 跨 Microsoft 365 服务监视与安全相关的策略
管理安全威胁和警报
查看报告
Privileged Identity Management 安全读取者角色的所有权限
无法管理 Microsoft Entra 角色分配或设置
Microsoft Purview 合规性门户 管理安全策略
查看、调查和响应安全威胁
查看报表
Azure 高级威胁防护 监视和响应可疑安全活动
用于终结点的 Microsoft Defender 分配角色
管理计算机组
配置终结点威胁检测和自动修正
查看、调查并响应警报
查看计算机/设备清单
Intune 视图用户、设备、注册、配置和应用程序信息
无法对 Intune 进行更改
Microsoft Defender for Cloud Apps 添加管理员、添加策略和设置、上传日志以及执行管理操作
Microsoft 365 服务运行状况 查看 Microsoft 365 服务的运行状况
智能锁定 定义在发生登录失败事件时实施锁定的阈值和持续时间。
密码保护 配置自定义受禁密码列表或本地密码保护。
操作 说明
microsoft.directory/applications/policies/update 更新应用程序策略
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
Privileged label icon.
microsoft.directory/crossTenantAccessPolicy/standard/read 读取跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新跨租户访问策略的允许的云终结点
microsoft.directory/crossTenantAccessPolicy/basic/update 更新跨租户访问策略的基本设置
microsoft.directory/crossTenantAccessPolicy/default/standard/read 读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 更新默认跨租户访问策略的 Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update 更新默认跨租户访问策略的 Microsoft Entra B2B 直连设置
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新默认跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 更新默认跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/partners/create 为合作伙伴创建跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/delete 删除合作伙伴的跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update 更新多租户组织的跨租户同步策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings 将多租户组织的跨租户同步策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update 更新多租户组织的跨租户访问策略模板
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings 将多租户组织的跨租户访问策略模板重置为默认设置
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 协作设置
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update 更新合作伙伴的跨租户访问策略的 Microsoft Entra B2B 直连设置
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作伙伴的跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 更新合作伙伴的跨租户访问策略的租户限制
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create 为合作伙伴创建跨租户同步策略
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update 更新跨租户同步策略的基本设置
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 读取跨租户同步策略的基本属性
microsoft.directory/deviceLocalCredentials/standard/read 读取已加入 Microsoft Entra 的设备的已备份本地管理员帐户凭据的所有属性(密码除外)
microsoft.directory/domains/federation/update 更新域的联合属性
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read 读取域的联合配置的标准属性
microsoft.directory/domains/federationConfiguration/basic/update 更新域的基本联合配置
microsoft.directory/domains/federationConfiguration/create 创建域的联合配置
microsoft.directory/domains/federationConfiguration/delete 删除域的联合配置
microsoft.directory/entitlementManagement/allProperties/read 读取 Microsoft Entra 权利管理中的所有属性
microsoft.directory/identityProtection/allProperties/read 读取 Microsoft Entra ID 保护中的所有资源
microsoft.directory/identityProtection/allProperties/update 更新 Microsoft Entra ID 保护中的所有资源
Privileged label icon.
microsoft.directory/multiTenantOrganization/basic/update 更新多租户组织的基本属性
microsoft.directory/multiTenantOrganization/create 创建多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update 加入多租户组织
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read 读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update 更新参与多租户组织的租户的基本属性
microsoft.directory/multiTenantOrganization/tenants/create 在多租户组织中创建租户
microsoft.directory/multiTenantOrganization/tenants/delete 删除参与多租户组织的租户
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/standard/read 读取参与多租户组织的租户的基本属性
microsoft.directory/namedLocations/create 创建定义网络位置的自定义规则
microsoft.directory/namedLocations/delete 删除定义网络位置的自定义规则
microsoft.directory/namedLocations/standard/read 读取定义网络位置的自定义规则的基本属性
microsoft.directory/namedLocations/basic/update 更新定义网络位置的自定义规则的基本属性
microsoft.directory/policies/create 在 Microsoft Entra ID 中创建策略
microsoft.directory/policies/delete 在 Microsoft Entra ID 中删除策略
microsoft.directory/policies/basic/update 更新策略的基本属性
Privileged label icon.
microsoft.directory/policies/owners/update 更新策略的所有者
microsoft.directory/policies/tenantDefault/update 更新默认组织策略
microsoft.directory/conditionalAccessPolicies/create 创建条件访问策略
microsoft.directory/conditionalAccessPolicies/delete 删除条件访问策略
microsoft.directory/conditionalAccessPolicies/standard/read 读取条件访问策略
microsoft.directory/conditionalAccessPolicies/owners/read 读取条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 读取条件访问策略的“适用对象”属性
microsoft.directory/conditionalAccessPolicies/basic/update 更新条件访问策略的基本属性
microsoft.directory/conditionalAccessPolicies/owners/update 更新条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 更新条件访问策略的默认租户
microsoft.directory/privilegedIdentityManagement/allProperties/read 读取 Privileged Identity Management 中的所有资源
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 基于角色的访问控制(RBAC)资源操作的条件访问身份验证上下文
Privileged label icon.
microsoft.directory/servicePrincipals/policies/update 更新服务主体的策略
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 网络访问的各个方面
microsoft.office365.protectionCenter/allEntities/standard/read 在安全与合规中心读取所有资源的标准属性
microsoft.office365.protectionCenter/allEntities/basic/update 在安全与合规中心更新所有资源的基本属性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻击模拟器中创建和管理攻击有效负载
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 读取有关攻击模拟、响应和相关培训的报告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 在攻击模拟器中创建和管理攻击模拟模板
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

安全操作员

Privileged label icon.

这是一个特权角色。 具有此角色的用户可以管理警报,并拥有对安全相关功能的全局只读访问权限,包括 Microsoft 365 Defender 门户、Microsoft Entra ID 保护、Privileged Identity Management 和 Microsoft Purview 合规中心内的所有信息。 有关 Office 365 权限的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组

In 有权执行的操作
Microsoft 365 Defender 门户 安全读取者角色的所有权限
查看、调查和响应安全威胁警报
在 Microsoft 365 Defender 门户中管理安全设置
Privileged Identity Management 安全读取者角色的所有权限
Microsoft Purview 合规性门户 安全读取者角色的所有权限
查看、调查和响应安全警报
用于终结点的 Microsoft Defender 安全读取者角色的所有权限
查看、调查和响应安全警报
在 Microsoft Defender for Endpoint 中启用基于角色的访问控制后,具有只读权限的用户(例如安全读取者角色)在被分配 Microsoft Defender for Endpoint 角色之前会失去访问权限。
Intune 安全读取者角色的所有权限
Microsoft Defender for Cloud Apps 安全读取者角色的所有权限
查看、调查和响应安全警报
Microsoft 365 服务运行状况 查看 Microsoft 365 服务的运行状况
操作 说明
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 Microsoft Defender for Cloud 应用中创建和删除所有资源,以及读取和更新标准属性
microsoft.directory/identityProtection/allProperties/allTasks 创建和删除所有资源,然后读取和更新 Microsoft Entra ID 保护中的标准属性
Privileged label icon.
microsoft.directory/privilegedIdentityManagement/allProperties/read 读取 Privileged Identity Management 中的所有资源
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.azure.advancedThreatProtection/allEntities/allTasks 管理 Azure 高级威胁防护的各个方面
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.intune/allEntities/read 读取 Microsoft Intune 中的所有资源
microsoft.office365.securityComplianceCenter/allEntities/allTasks 在 Office 365 安全与合规中心创建和删除所有资源,以及读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 管理 Microsoft Defender for Endpoint 的各个方面

安全读取者

Privileged label icon.

这是一个特权角色。 具有此角色的用户对安全相关的功能具有全局只读访问权限,包括 Microsoft 365 Defender 门户、Microsoft Entra ID 保护、Privileged Identity Management 中的所有信息,并且能够阅读 Microsoft Entra 登录报告和审核日志,还授予了对 Microsoft Purview 合规门户的只读权限。 有关 Office 365 权限的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组

In 有权执行的操作
Microsoft 365 Defender 门户 跨 Microsoft 365 服务查看与安全相关的策略
查看安全威胁和警报
查看报告
Privileged Identity Management 以只读方式访问 Microsoft Entra Privileged Identity Management 中显示的所有信息:Microsoft Entra 角色分配的策略和报告以及安全评审。
无法注册 Microsoft Entra Privileged Identity Management 或对其进行任何更改。 充当此角色的人员可以在 Privileged Identity Management 门户中或通过 PowerShell 为符合条件的用户激活其他角色(例如全局管理员或特权角色管理员)。
Microsoft Purview 合规性门户 查看安全策略
查看并调查安全威胁
查看报表
用于终结点的 Microsoft Defender 查看并调查警报
在 Microsoft Defender for Endpoint 中启用基于角色的访问控制后,具有只读权限的用户(例如安全读取者角色)在被分配 Microsoft Defender for Endpoint 角色之前会失去访问权限。
Intune 视图用户、设备、注册、配置和应用程序信息。 无法对 Intune 进行更改。
Microsoft Defender for Cloud Apps 具有读取权限。
Microsoft 365 服务运行状况 查看 Microsoft 365 服务的运行状况
操作 说明
microsoft.directory/accessReviews/definitions/allProperties/read 在 Microsoft Entra ID 中读取所有可评审资源的访问评审的所有属性
microsoft.directory/auditLogs/allProperties/read 读取审核日志上的所有属性,不包括自定义安全属性审核日志
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/bitlockerKeys/key/read 读取设备上的 BitLocker 元数据和密钥
Privileged label icon.
microsoft.directory/deviceLocalCredentials/standard/read 读取已加入 Microsoft Entra 的设备的已备份本地管理员帐户凭据的所有属性(密码除外)
microsoft.directory/domains/federationConfiguration/standard/read 读取域的联合配置的标准属性
microsoft.directory/entitlementManagement/allProperties/read 读取 Microsoft Entra 权利管理中的所有属性
microsoft.directory/identityProtection/allProperties/read 读取 Microsoft Entra ID 保护中的所有资源
microsoft.directory/namedLocations/standard/read 读取定义网络位置的自定义规则的基本属性
microsoft.directory/policies/standard/read 读取策略的基本属性
microsoft.directory/policies/owners/read 读取策略的所有者
microsoft.directory/policies/policyAppliedTo/read 读取 policies.policyAppliedTo 属性
microsoft.directory/conditionalAccessPolicies/standard/read 读取条件访问策略
microsoft.directory/conditionalAccessPolicies/owners/read 读取条件访问策略的所有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 读取条件访问策略的“适用对象”属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 读取多租户组织的跨租户同步策略模板的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 读取多租户组织的跨租户访问策略模板的基本属性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 读取多租户组织加入请求的属性
microsoft.directory/multiTenantOrganization/standard/read 读取多租户组织的基本属性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 读取参与多租户组织的租户的组织详细信息
microsoft.directory/multiTenantOrganization/tenants/standard/read 读取参与多租户组织的租户的基本属性
microsoft.directory/privilegedIdentityManagement/allProperties/read 读取 Privileged Identity Management 中的所有资源
microsoft.directory/provisioningLogs/allProperties/read 读取预配日志的所有属性
microsoft.directory/signInReports/allProperties/read 读取登录报告上的所有属性,包括特权属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.networkAccess/allEntities/allProperties/read 读取 Microsoft Entra 网络访问的各个方面
microsoft.office365.protectionCenter/allEntities/standard/read 在安全与合规中心读取所有资源的标准属性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read 读取攻击模拟器中攻击有效负载的所有属性
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 读取有关攻击模拟、响应和相关培训的报告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read 读取攻击模拟器中攻击模拟模板的所有属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

服务支持管理员

具有此角色的用户可以通过 Microsoft 创建和管理有关 Azure 和 Microsoft 365 服务的支持请求,还可以在 Azure 门户Microsoft 365 管理中心查看服务仪表板和消息中心。 有关详细信息,请参阅关于 Microsoft 365 管理中心内的管理员角色

注意

以前,此角色在 Azure 门户Microsoft 365 管理中心内称为“服务管理员”。 它已重命名为“服务支持管理员”,以便与 Microsoft Graph API 和 Azure AD PowerShell 中的现有名称保持一致。

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

SharePoint 管理员

具有此角色的用户在 Microsoft SharePoint Online(如果存在此服务)中拥有全局权限,并且能够创建和管理所有 Microsoft 365 组,管理支持票证并监视服务运行状况。 有关详细信息,请参阅关于 Microsoft 365 管理中心内的管理员角色

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名为“SharePoint 服务管理员”。 在 Azure 门户中,它名为“SharePoint 管理员”。

注意

此角色还将作用域内权限授予用于 Microsoft Intune 的 Microsoft Graph API,从而允许管理和配置与 SharePoint 和 OneDrive 资源相关的策略。

操作 说明
microsoft.directory/groups/hiddenMembers/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员
microsoft.directory/groups.unified/create 创建 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified/delete 删除 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified/restore 从软删除的容器还原 Microsoft 365 组,不包括可进行角色分配的组
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 组(不包括可分配角色的组)的所有者
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 迁移的所有方面
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中创建和删除所有资源,读取和更新标准属性
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

Skype for Business 管理员

具有此角色的用户具有 Microsoft Skype for Business 中的全局权限,以及管理 Microsoft Entra ID 中的特定于 Skype 的用户属性。 此外,此角色可授予管理支持票证、监视服务运行状况以及访问 Teams 和 Skype for Business 管理中心的能力。 帐户必须获取 Teams 许可证,否则无法运行 Teams PowerShell cmdlet。 有关详细信息,请参阅 Skype for Business Online 管理员;有关 Teams 许可信息,请参阅 Skype for Business 加载项许可

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名为“Lync 服务管理员”。 在 Azure 门户中,它名为“Skype for Business 管理员”。

操作 说明
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

Teams 管理员

充当此角色的用户可以通过 Microsoft Teams 和 Skype for Business 管理中心以及相应的 PowerShell 模块来管理 Microsoft Teams 工作负荷的所有方面。 这包括(但不限于)与电话、消息、会议和 Teams 自身相关的所有管理工具。 另外,利用此角色,还可以创建和管理所有 Microsoft 365 组,管理支持票证并监视服务运行状况。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.directory/groups/hiddenMembers/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员
microsoft.directory/groups.unified/create 创建 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified/delete 删除 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified/restore 从软删除的容器还原 Microsoft 365 组,不包括可进行角色分配的组
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 组(不包括可分配角色的组)的所有者
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性
microsoft.teams/allEntities/allProperties/allTasks 管理 Teams 中的所有资源
microsoft.directory/crossTenantAccessPolicy/standard/read 读取跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新跨租户访问策略的允许的云终结点
microsoft.directory/crossTenantAccessPolicy/default/standard/read 读取默认跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新默认跨租户访问策略的跨云 Teams 会议
microsoft.directory/crossTenantAccessPolicy/partners/create 为合作伙伴创建跨租户访问策略
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 读取合作伙伴的跨租户访问策略的基本属性
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作伙伴的跨租户访问策略的跨云 Teams 会议
microsoft.directory/pendingExternalUserProfiles/create 在 Teams 的扩展目录中创建外部用户配置文件
microsoft.directory/pendingExternalUserProfiles/standard/read 在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/pendingExternalUserProfiles/basic/update 在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/pendingExternalUserProfiles/delete 删除 Teams 扩展目录中的外部用户配置文件
microsoft.directory/externalUserProfiles/standard/read 在 Teams 的扩展目录中读取外部用户配置文件的标准属性
microsoft.directory/externalUserProfiles/basic/update 在 Teams 的扩展目录中更新外部用户配置文件的基本属性
microsoft.directory/externalUserProfiles/delete 删除 Teams 扩展目录中的外部用户配置文件
microsoft.directory/permissionGrantPolicies/standard/read 读取权限授予策略的标准属性

Teams 通信管理员

充当此角色的用户可以管理 Microsoft Teams 工作负荷的语音与电话相关方面。 这包括用于分配电话号码的管理工具、语音和会议策略,以及通话分析工具集的完全访问权限。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 Skype for Business Online 的各个方面
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性
microsoft.teams/callQuality/allProperties/read 读取通话质量仪表板 (CQD) 中的所有数据
microsoft.teams/meetings/allProperties/allTasks 管理会议,包括会议策略、配置和会议网桥
microsoft.teams/voice/allProperties/allTasks 管理语音,包括呼叫策略以及电话号码清单和分配

Teams 通信支持工程师

充当此角色的用户可以使用 Microsoft Teams 和 Skype for Business 管理中心的用户通话故障排除工具,来排查 Microsoft Teams 和 Skype for Business 中的通信问题。 充当此角色的用户可以查看所有参与方的完整通话记录信息。 此角色无权查看、创建或管理支持票证。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 Skype for Business Online 的各个方面
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性
microsoft.teams/callQuality/allProperties/read 读取通话质量仪表板 (CQD) 中的所有数据

Teams 通信支持专家

充当此角色的用户可以使用 Microsoft Teams 和 Skype for Business 管理中心的用户通话故障排除工具,来排查 Microsoft Teams 和 Skype for Business 中的通信问题。 充当此角色的用户只能查看他们所查找的特定用户的通话中的用户详细信息。 此角色无权查看、创建或管理支持票证。

操作 说明
microsoft.directory/authorizationPolicy/standard/read 读取授权策略的标准属性
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 Skype for Business Online 的各个方面
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性
microsoft.teams/callQuality/standard/read 读取通话质量仪表板 (CQD) 中的基本数据

Teams 设备管理员

具有此角色的用户可以在 Teams 管理中心管理 Teams 认证的设备。 此角色允许同时查看所有设备,并能够搜索和筛选设备。 用户可以检查每个设备的详细信息,包括设备的登录帐户、品牌和型号。 用户可以更改设备上的设置并更新软件版本。 此角色不会授权检查 Teams 活动和设备的通话质量。

操作 说明
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性
microsoft.teams/devices/standard/read 管理经 Teams 认证的设备的各个方面,包括配置策略

租户创建者

为需要执行以下任务的用户分配租户创建者角色:

  • 即使在用户设置中关闭了租户创建开关,也可以创建 Microsoft Entra 和 Azure Active Directory B2C 租户

注意

将为租户创建者分配他们所创建的新租户的全局管理员角色。

操作 说明
microsoft.directory/tenantManagement/tenants/create 在 Microsoft Entra ID 中创建新租户

使用情况摘要报表读取者

将使用情况摘要报告读取者角色分配给需要在Microsoft 365 管理中心中执行以下任务的用户:

  • 查看使用情况报告和采用分数
  • 读取组织见解,但不读取用户的个人身份信息 (PII)

此角色仅允许用户查看组织级数据,但存在以下例外情况:

  • 成员用户可以查看用户管理数据和设置。
  • 分配了此角色的来宾用户无法查看用户管理数据和设置。
操作 说明
microsoft.office365.network/performance/allProperties/read 在 Microsoft 365 管理中心中读取所有网络性能属性
microsoft.office365.usageReports/allEntities/standard/read 读取租户级聚合的 Office 365 使用情况报表
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

用户管理员

Privileged label icon.

这是一个特权角色。 将用户管理员角色分配给需要执行以下操作的用户:

权限 详细信息
创建用户
为所有用户更新大多数用户属性,包括所有管理员 谁可以执行敏感操作
为某些用户更新敏感属性(包括用户主体名称) 谁可以执行敏感操作
禁用或启用某些用户 谁可以执行敏感操作
删除或还原某些用户 谁可以执行敏感操作
创建和管理用户视图
创建和管理所有组
分配和读取所有用户(包括所有管理员)的许可证
重置密码 谁可以重置密码
使刷新令牌失效 谁可以重置密码
更新 (FIDO) 设备密钥
更新密码过期策略
在 Azure 和 Microsoft 365 管理中心创建和管理支持工单
监视服务运行状况

具有此角色的用户无法执行以下操作:

  • 无法管理 MFA。
  • 无法为可分配角色的组中的成员和所有者更改凭据或重置 MFA。
  • 无法管理共享邮箱。

重要

具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的密码。 更改用户的密码可能意味着假定用户标识和权限的能力。 例如:

  • 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予用户管理员的特权。 通过此路径,用户管理员可能能够假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
  • Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置拥有访问权限。
  • 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
  • Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
  • 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
操作 说明
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks 管理 Microsoft Entra ID 中的应用程序角色分配的访问评审
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read 读取 Microsoft Entra 角色分配的访问评审的所有属性
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 在权利管理中管理访问包分配的访问评审
microsoft.directory/accessReviews/definitions.groups/allProperties/update 在安全组和 Microsoft 365 组(不包括角色可分配的组)中更新成员身份的访问评审的所有属性。
microsoft.directory/accessReviews/definitions.groups/create 在安全组和 Microsoft 365 组中创建成员身份的访问评审。
microsoft.directory/accessReviews/definitions.groups/delete 在安全组和 Microsoft 365 组中删除成员身份的访问评审。
microsoft.directory/accessReviews/definitions.groups/allProperties/read 读取安全组和 Microsoft 365 组(包括角色可分配的组)中成员身份的访问评审的所有属性。
microsoft.directory/contacts/create 创建联系人
microsoft.directory/contacts/delete 删除联系人
microsoft.directory/contacts/basic/update 更新联系人的基本属性
microsoft.directory/deletedItems.groups/restore 将软删除的组还原到原始状态
microsoft.directory/deletedItems.users/restore 将软删除的用户还原到原始状态
microsoft.directory/entitlementManagement/allProperties/allTasks 在 Microsoft Entra 权利管理中创建和删除资源,以及读取和更新所有属性
microsoft.directory/groups/assignLicense 将产品许可证分配给组以执行基于组的许可
microsoft.directory/groups/create 创建安全组和 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups/delete 删除安全组和 Microsoft 365 组,不包括可分配角色的组
microsoft.directory/groups/hiddenMembers/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员
microsoft.directory/groups/reprocessLicenseAssignment 重新处理基于组的许可的许可证分配
microsoft.directory/groups/restore 从软删除的容器中还原组
microsoft.directory/groups/basic/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups/classification/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的分类属性
microsoft.directory/groups/dynamicMembershipRule/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的动态成员身份规则
microsoft.directory/groups/groupType/update 更新那些会影响安全组和 Microsoft 365 组(不包括可分配角色的组)的组类型的属性
microsoft.directory/groups/members/update 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra Connect 更新要写回本地的 Microsoft Entra 组
microsoft.directory/groups/owners/update 更新安全组和 Microsoft 365 组的所有者,不包括可分配角色的组
microsoft.directory/groups/settings/update 更新组的设置
microsoft.directory/groups/visibility/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的可见性属性
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 创建和删除 OAuth 2.0 权限授予,读取和更新所有属性
Privileged label icon.
microsoft.directory/policies/standard/read 读取策略的基本属性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服务主体角色分配
microsoft.directory/users/assignLicense 管理用户许可证
microsoft.directory/users/create 添加用户
Privileged label icon.
microsoft.directory/users/convertExternalToInternalMemberUser 将外部用户转换为内部用户
microsoft.directory/users/delete 删除用户
Privileged label icon.
microsoft.directory/users/disable 禁用用户
Privileged label icon.
microsoft.directory/users/enable 启用用户
Privileged label icon.
microsoft.directory/users/inviteGuest 邀请来宾用户
microsoft.directory/users/invalidateAllRefreshTokens 通过让用户刷新令牌失效来强制执行注销
Privileged label icon.
microsoft.directory/users/reprocessLicenseAssignment 重新处理用户的许可证分配
microsoft.directory/users/restore 还原已删除的用户
microsoft.directory/users/basic/update 更新用户的基本属性
microsoft.directory/users/manager/update 更新用户的管理员
microsoft.directory/users/password/update 重置所有用户的密码
Privileged label icon.
microsoft.directory/users/photo/update 更新用户照片
microsoft.directory/users/sponsors/update 更新用户的发起人
microsoft.directory/users/usageLocation/update 更新用户的使用位置
microsoft.directory/users/userPrincipalName/update 更新用户的用户主体名称
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 读取和配置 Azure 服务运行状况
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 管理中心读取和配置服务运行状况
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Virtual Visits 管理员

具有此角色的用户可执行以下任务:

  • 在 Microsoft 365 管理中心的 Bookings 中和 Teams EHR 连接器中管理和配置 Virtual Visits 的各个方面
  • 在 Teams 管理中心、Microsoft 365 管理中心、Fabric 和 PowerBI 中查看虚拟访问的使用情况报告
  • 在 Microsoft 365 管理中心查看功能和设置,但无法编辑任何设置

Virtual Visits 是一种用于为员工和与会者安排和管理在线和视频会议的简单方法。 例如,使用情况报告可以显示在会议之前如何发送短信可减少不参加会议的人数。

操作 说明
microsoft.virtualVisits/allEntities/allProperties/allTasks 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心中读取所有资源的基本属性

Windows 365 管理员

具有此角色的用户具有对 Windows 365 资源的全局权限(如果该服务存在)。 此外,此角色包含管理以关联策略,以及创建和管理组的用户和设备的能力。

此角色可创建和管理安全组,但不具有对 Microsoft 365 组的管理员权限。 这意味着管理员无法更新组织中 Microsoft 365 组的所有者或成员身份。 但是,他们可以管理他们创建的 Microsoft 365 组,这是其最终用户权限的一部分。 因此,他们创建的任何 Microsoft 365 组(不是安全组)都计入其 250 的配额。

将 Windows 365 管理员角色分配给需要执行以下任务的用户:

  • 在 Microsoft Intune 中管理 Windows 365云电脑
  • 在 Microsoft Entra ID 中注册和管理设备,包括分配用户和策略
  • 创建和管理安全组,但不是可分配角色的组
  • 在 Microsoft 365 管理中心查看基本属性
  • 在 Microsoft 365 管理中心读取使用情况报告
  • 在 Azure 和 Microsoft 365 管理中心创建和管理支持工单
操作 说明
microsoft.directory/deletedItems.devices/delete 永久删除无法再还原的设备
microsoft.directory/deletedItems.devices/restore 将软删除的设备还原到原始状态
microsoft.directory/devices/create 创建设备(在 Microsoft Entra ID 中注册)
microsoft.directory/devices/delete 从 Microsoft Entra ID 中删除设备
microsoft.directory/devices/disable 在 Microsoft Entra ID 中禁用设备
microsoft.directory/devices/enable 在 Microsoft Entra ID 中启用设备
microsoft.directory/devices/basic/update 更新设备上的基本属性
microsoft.directory/devices/extensionAttributeSet1/update 在设备上更新 extensionAttribute1 到 extensionAttribute5 属性
microsoft.directory/devices/extensionAttributeSet2/update 在设备上更新 extensionAttribute6 到 extensionAttribute10 属性
microsoft.directory/devices/extensionAttributeSet3/update 在设备上更新 extensionAttribute11 到 extensionAttribute15 属性
microsoft.directory/devices/registeredOwners/update 更新设备的已注册所有者
microsoft.directory/devices/registeredUsers/update 更新设备的已注册用户
microsoft.directory/groups.security/create 创建安全组(不包括可分配角色的组)
microsoft.directory/groups.security/delete 删除安全组(不包括可分配角色的组)
microsoft.directory/groups.security/basic/update 更新安全组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.security/classification/update 更新安全组(不包括可分配角色的组)的分类属性
microsoft.directory/groups.security/dynamicMembershipRule/update 更新安全组(不包括可分配角色的组)的动态成员身份规则
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/owners/update 更新安全组(不包括可分配角色的组)的所有者
microsoft.directory/groups.security/visibility/update 更新安全组(不包括可分配角色的组)的可见性属性
microsoft.directory/deviceManagementPolicies/standard/read 读取有关移动设备管理和移动应用管理策略的标准属性
microsoft.directory/deviceRegistrationPolicy/standard/read 读取设备注册策略上的标准属性
microsoft.azure.supportTickets/allEntities/allTasks 创建和管理 Azure 支持票证
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有方面
microsoft.office365.supportTickets/allEntities/allTasks 创建和管理 Microsoft 365 服务请求
microsoft.office365.usageReports/allEntities/allProperties/read 阅读 Office 365 使用情况报告
microsoft.office365.webPortal/allEntities/standard/read 在 Microsoft 365 管理中心读取所有资源的基本属性

Windows 更新部署管理员

此角色中的用户可以通过适用于企业的 Windows 更新部署服务来创建和管理 Windows 更新部署的所有方面。 利用该部署服务,用户可以定义部署更新的时间和方式的相关设置,并指定向其租户中的设备组提供哪些更新。 该服务还允许用户监视更新进度。

操作 说明
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks 读取和配置 Windows 更新服务的各个方面

已弃用的角色

不应使用以下角色。 它们已被弃用,将在未来从 Microsoft Entra ID 中移除。

  • 即席许可证管理员
  • 设备联接
  • 设备管理器
  • 设备用户
  • 经电子邮件验证的用户创建者
  • 邮箱管理员
  • 工作区设备联接

门户中未显示的角色

Azure 门户中不一定会显示 PowerShell 或 MS Graph API 返回的每个角色。 下表整理了这些差异。

API 名称 Azure 门户中的名称 说明
设备联接 已放弃 已弃用角色的文档
设备管理器 已放弃 已弃用角色的文档
设备用户 已放弃 已弃用角色的文档
目录同步帐户 未显示,因为不应使用它 目录同步帐户文档
来宾用户 未显示,因为无法使用它 NA
合作伙伴层 1 支持 未显示,因为不应使用它 合作伙伴一线支持人员文档
合作伙伴层 2 支持 未显示,因为不应使用它 合作伙伴二线支持人员文档
受限来宾用户 未显示,因为无法使用它 NA
用户 未显示,因为无法使用它 NA
工作区设备联接 已放弃 已弃用角色的文档

后续步骤