可以在 Microsoft Entra ID 自定义角色定义中使用组管理权限,以授予精细访问权限,如下所述:
- 管理名称和说明等组属性
- 管理成员和所有者
- 创建或删除组
- 读取审核日志
- 管理特定类型的组
本文列出了可以在不同组管理方案的自定义角色中使用的权限。 有关如何创建自定义角色的信息,请参阅在 Microsoft Entra ID 中创建和分配自定义角色。
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
若要解释组管理权限,最好是了解不同权限子类型的含义。
| 权限子类型 | 权限子类型说明 |
|---|---|
| groups | 管理安全组和 Microsoft 365 组,不包括可分配角色的组 |
| groups.unified | 管理动态成员身份类型和已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组 |
| groups.unified.assignedMembership | 管理仅限已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组 |
| groups.security | 管理动态成员身份类型和已分配成员身份类型的安全组,不包括可分配角色的组 |
| groups.security.assignedMembership | 管理仅限已分配成员身份类型的安全组,不包括可分配角色的组 |
下表列出了用于更新不同子类型的组成员的示例权限。
| 权限示例 | 权限说明 |
|---|---|
| microsoft.directory/groups/members/update | 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.unified.assignedMembership/members/update | 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security.assignedMembership/members/update | 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员 |
以下权限可用于读取组的属性、成员和所有者。
| 权限 | 说明 |
|---|---|
| microsoft.directory/groups/allProperties/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的所有属性(包括特权属性) |
| microsoft.directory/groups/standard/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的标准属性 |
| microsoft.directory/groups/members/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的成员 |
| microsoft.directory/groups/memberOf/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的 memberOf 属性 |
| microsoft.directory/groups/owners/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的所有者 |
以下权限可用于创建不同类型的组。
| 权限 | 说明 |
|---|---|
| microsoft.directory/groups/create | 创建安全组和 Microsoft 365 组(不包括可分配角色的组) |
| microsoft.directory/groups.unified/create | 创建 Microsoft 365 组(不包括可分配角色的组) |
| microsoft.directory/groups.unified.assignedMembership/create | 创建已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组 |
| microsoft.directory/groups.security/create | 创建安全组(不包括可分配角色的组) |
| microsoft.directory/groups.security.assignedMembership/create | 创建已分配成员身份类型的安全组,不包括可分配角色的组 |
| microsoft.directory/groups/createAsOwner | 创建安全组和 Microsoft 365 组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。 |
| microsoft.directory/groups.unified/createAsOwner | 创建 Microsoft 365 组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。 |
| microsoft.directory/groups.unified.assignedMembership/createAsOwner | 创建已分配成员身份类型的 Microsoft 365 组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。 |
| microsoft.directory/groups.security/createAsOwner | 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。 |
| microsoft.directory/groups.security.assignedMembership/createAsOwner | 创建已分配成员身份类型的安全组,不包括可分配角色的组。 添加“创建者”作为第一个所有者。 |
以下权限可用于更新组的属性和成员。
| 权限 | 说明 |
|---|---|
| microsoft.directory/groups/allProperties/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的所有属性(包括特权属性) |
| microsoft.directory/groups.unified/allProperties/update | 更新 Microsoft 365 组(不包括可分配角色的组)的所有属性(包括特权属性) |
| microsoft.directory/groups.unified.assignedMembership/allProperties/update | 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的所有属性(包括特权属性) |
| microsoft.directory/groups.security/allProperties/update | 更新安全组(不包括可分配角色的组)的所有属性(包括特权属性) |
| microsoft.directory/groups.security.assignedMembership/allProperties/update | 更新已分配成员身份类型的安全组(不包括可分配角色的组)的所有属性(包括特权属性) |
| microsoft.directory/groups/basic/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups.unified.assignedMembership/basic/update | 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups.security/basic/update | 更新安全组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups.security.assignedMembership/basic/update | 更新已分配成员身份类型的安全组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups/classification/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的分类属性 |
| microsoft.directory/groups.unified/classification/update | 更新 Microsoft 365 组(不包括可分配角色的组)的分类属性 |
| microsoft.directory/groups.unified.assignedMembership/classification/update | 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的分类属性 |
| microsoft.directory/groups.security/classification/update | 更新安全组(不包括可分配角色的组)的分类属性 |
| microsoft.directory/groups.security.assignedMembership/classification/update | 更新已分配成员身份类型的安全组(不包括可分配角色的组)的分类属性 |
| microsoft.directory/groups/dynamicMembershipRule/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的动态成员资格组规则 |
| microsoft.directory/groups.unified/dynamicMembershipRule/update | 更新 Microsoft 365 组(不包括可分配角色的组)的动态成员资格组规则 |
| microsoft.directory/groups.security/dynamicMembershipRule/update | 更新安全组(不包括可分配角色的组)的动态成员资格组规则 |
| microsoft.directory/groups/members/update | 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.unified.assignedMembership/members/update | 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security.assignedMembership/members/update | 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员 |
以下权限可用于更新不同组类型的成员。
| 权限 | 说明 |
|---|---|
| microsoft.directory/groups/members/update | 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.unified.assignedMembership/members/update | 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security.assignedMembership/members/update | 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员 |
以下权限可用于删除组。
| 权限 | 说明 |
|---|---|
| microsoft.directory/groups/delete | 删除安全组和 Microsoft 365 组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.unified.assignedMembership/members/update | 更新已分配成员身份类型的 Microsoft 365 组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security.assignedMembership/members/update | 更新已分配成员身份类型的安全组(不包括可分配角色的组)的成员 |