Microsoft Entra 自定义角色的用户管理权限

可以在 Microsoft Entra ID 的自定义角色定义中使用用户管理权限,以授予精细访问权限,如下所述:

  • 读取或更新用户的基本属性
  • 读取用户的标识
  • 读取或更新用户的作业信息
  • 更新用户的联系人信息
  • 更新用户的家长控制
  • 更新用户的设置
  • 读取用户的直接下属
  • 更新用户的扩展属性
  • 读取用户的设备信息
  • 读取或管理用户的许可证
  • 更新用户的密码策略
  • 读取用户的分配和成员身份

本文列出了可以在不同用户管理方案的自定义角色中使用的权限。 有关如何创建自定义角色的信息,请参阅在 Microsoft Entra ID 中创建和分配自定义角色

许可要求

使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能

读取或更新用户的基本属性

以下权限可用于读取或更新用户的基本属性。

权限 说明
microsoft.directory/users/standard/read 读取用户的基本属性
microsoft.directory/users/basic/update 更新用户的基本属性

读取用户的标识

以下权限可用于读取用户的标识。

权限 说明
microsoft.directory/users/identities/read 读取用户的标识

读取或更新用户的作业信息

以下权限可用于读取或更新用户的工作信息。

权限 说明
microsoft.directory/users/manager/read 读取用户的管理员
microsoft.directory/users/manager/update 更新用户的管理员
microsoft.directory/users/jobInfo/update 更新用户的作业信息

更新用户的联系人信息

以下权限可用于更新用户的联系人信息。

权限 说明
microsoft.directory/users/contactInfo/update 更新用户的联系人属性

更新用户的家长控制

以下权限可用于更新用户的家长控制。

权限 说明
microsoft.directory/users/parentalControls/update 更新用户的家长控制

更新用户的设置

以下权限可用于更新用户的设置。

权限 说明
microsoft.directory/users/usageLocation/update 更新用户的使用位置

读取用户的直接下属

以下权限可用于读取用户的直接下属。

权限 说明
microsoft.directory/users/directReports/read 读取用户的直接下属

更新用户的扩展属性

以下权限可用于更新用户的扩展属性。

权限 说明
microsoft.directory/users/extensionProperties/update 更新用户的扩展属性

读取用户的设备信息

以下权限可用于读取用户的设备信息。

权限 说明
microsoft.directory/users/ownedDevices/read 读取用户拥有的设备
microsoft.directory/users/registeredDevices/read 读取用户已注册的设备
microsoft.directory/users/deviceForResourceAccount/read 读取用户的资源帐户设备

读取或管理用户的许可证

以下权限可用于读取或管理用户的许可证。

权限 说明
microsoft.directory/users/licenseDetails/read 读取用户的许可证详细信息
microsoft.directory/users/assignLicense 管理用户许可证
microsoft.directory/users/reprocessLicenseAssignment 重新处理用户的许可证分配

更新用户的密码策略

以下权限可用于更新用户的密码策略。

权限 说明
microsoft.directory/users/passwordPolicies/update 更新用户的密码策略属性

读取用户的分配和成员身份

以下权限可用于读取用户的分配和成员身份。

权限 说明
microsoft.directory/users/appRoleAssignments/read 读取用户的应用程序角色分配
microsoft.directory/users/scopedRoleMemberOf/read 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元
microsoft.directory/users/memberOf/read 读取用户的动态成员资格组

权限的完整列表

权限 说明
microsoft.directory/users/appRoleAssignments/read 读取用户的应用程序角色分配
microsoft.directory/users/assignLicense 管理用户许可证
microsoft.directory/users/basic/update 更新用户的基本属性
microsoft.directory/users/contactInfo/update 更新用户的联系人属性
microsoft.directory/users/deviceForResourceAccount/read 读取用户的资源帐户设备
microsoft.directory/users/directReports/read 读取用户的直接下属
microsoft.directory/users/extensionProperties/update 更新用户的扩展属性
microsoft.directory/users/identities/read 读取用户的标识
microsoft.directory/users/jobInfo/update 更新用户的作业信息
microsoft.directory/users/licenseDetails/read 读取用户的许可证详细信息
microsoft.directory/users/manager/read 读取用户的管理员
microsoft.directory/users/manager/update 更新用户的管理员
microsoft.directory/users/memberOf/read 读取用户的动态成员资格组
microsoft.directory/users/ownedDevices/read 读取用户拥有的设备
microsoft.directory/users/parentalControls/update 更新用户的家长控制
microsoft.directory/users/passwordPolicies/update 更新用户的密码策略属性
microsoft.directory/users/registeredDevices/read 读取用户已注册的设备
microsoft.directory/users/reprocessLicenseAssignment 重新处理用户的许可证分配
microsoft.directory/users/scopedRoleMemberOf/read 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元
microsoft.directory/users/standard/read 读取用户的基本属性
microsoft.directory/users/usageLocation/update 更新用户的使用位置

后续步骤