Microsoft Entra 自定义角色的组管理权限

可以在 Microsoft Entra ID 自定义角色定义中使用组管理权限,以授予精细访问权限,如下所述:

  • 管理名称和说明等组属性
  • 管理成员和所有者
  • 创建或删除组
  • 读取审核日志
  • 管理特定类型的组

本文列出了可以在不同组管理方案的自定义角色中使用的权限。 有关如何创建自定义角色的信息,请参阅在 Microsoft Entra ID 中创建和分配自定义角色

许可要求

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

如何解释组管理权限

若要解释组管理权限,最好是了解不同权限子类型的含义。

权限子类型 权限子类型说明
groups 管理安全组和 Microsoft 365 组,不包括可分配角色的组
groups.unified 管理动态成员身份类型和已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组
groups.unified.assignedMembership 管理仅限已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组
groups.security 管理动态成员身份类型和已分配成员身份类型的安全组,不包括可分配角色的组
groups.security.assignedMembership 管理仅限已分配成员身份类型的安全组,不包括可分配角色的组

下表列出了用于更新不同子类型的组成员的示例权限。

权限示例 权限说明
microsoft.directory/groups/members/update 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.unified.assignedMembership/members/update 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security.assignedMembership/members/update 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员

读取组信息

以下权限可用于读取组的属性、成员和所有者。

权限 说明
microsoft.directory/groups/allProperties/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的所有属性(包括特权属性)
microsoft.directory/groups/standard/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的标准属性
microsoft.directory/groups/members/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的成员
microsoft.directory/groups/memberOf/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的 memberOf 属性
microsoft.directory/groups/owners/read 读取安全组和 Microsoft 365 组(包括可分配角色的组)的所有者

创建组

以下权限可用于创建不同类型的组。

权限 说明
microsoft.directory/groups/create 创建安全组和 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified/create 创建 Microsoft 365 组(不包括可分配角色的组)
microsoft.directory/groups.unified.assignedMembership/create 创建已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组
microsoft.directory/groups.security/create 创建安全组(不包括可分配角色的组)
microsoft.directory/groups.security.assignedMembership/create 创建已分配成员身份类型的安全组,不包括可分配角色的组
microsoft.directory/groups/createAsOwner 创建安全组和 Microsoft 365 组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。
microsoft.directory/groups.unified/createAsOwner 创建 Microsoft 365 组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。
microsoft.directory/groups.unified.assignedMembership/createAsOwner 创建已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。
microsoft.directory/groups.security/createAsOwner 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。
microsoft.directory/groups.security.assignedMembership/createAsOwner 创建已分配成员身份类型的安全组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。

更新组信息

以下权限可用于更新组的属性和成员。

权限 说明
microsoft.directory/groups/allProperties/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的所有属性(包括特权属性)
microsoft.directory/groups.unified/allProperties/update 更新 Microsoft 365 组(不包括可分配角色的组)的所有属性(包括特权属性)
microsoft.directory/groups.unified.assignedMembership/allProperties/update 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的所有属性(包括特权属性)
microsoft.directory/groups.security/allProperties/update 更新安全组(不包括可分配角色的组)的所有属性(包括特权属性)
microsoft.directory/groups.security.assignedMembership/allProperties/update 更新已分配成员身份类型的安全组(不包括可分配角色的组)的所有属性(包括特权属性)
microsoft.directory/groups/basic/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.unified.assignedMembership/basic/update 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.security/basic/update 更新安全组(不包括可分配角色的组)的基本属性
microsoft.directory/groups.security.assignedMembership/basic/update 更新已分配成员身份类型的安全组(不包括可分配角色的组)的基本属性
microsoft.directory/groups/classification/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的分类属性
microsoft.directory/groups.unified/classification/update 更新 Microsoft 365 组(不包括可分配角色的组)的分类属性
microsoft.directory/groups.unified.assignedMembership/classification/update 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的分类属性
microsoft.directory/groups.security/classification/update 更新安全组(不包括可分配角色的组)的分类属性
microsoft.directory/groups.security.assignedMembership/classification/update 更新已分配成员身份类型的安全组(不包括可分配角色的组)的分类属性
microsoft.directory/groups/dynamicMembershipRule/update 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的动态成员资格组规则
microsoft.directory/groups.unified/dynamicMembershipRule/update 更新 Microsoft 365 组(不包括可分配角色的组)的动态成员资格组规则
microsoft.directory/groups.security/dynamicMembershipRule/update 更新安全组(不包括可分配角色的组)的动态成员资格组规则
microsoft.directory/groups/members/update 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.unified.assignedMembership/members/update 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security.assignedMembership/members/update 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员

更新不同组类型的成员

以下权限可用于更新不同组类型的成员。

权限 说明
microsoft.directory/groups/members/update 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.unified.assignedMembership/members/update 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security.assignedMembership/members/update 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员

删除组

以下权限可用于删除组。

权限 说明
microsoft.directory/groups/delete 删除安全组和 Microsoft 365 组,不包括可分配角色的组
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.unified.assignedMembership/members/update 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员
microsoft.directory/groups.security/members/update 更新安全组(不包括可分配角色的组)的成员
microsoft.directory/groups.security.assignedMembership/members/update 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员

后续步骤