可以在 Microsoft Entra ID 的自定义角色定义中使用用户管理权限,以授予精细访问权限,如下所述:
- 读取或更新用户的基本属性
- 读取用户的标识
- 读取或更新用户的作业信息
- 更新用户的联系人信息
- 更新用户的家长控制
- 更新用户的设置
- 读取用户的直接下属
- 更新用户的扩展属性
- 读取用户的设备信息
- 读取或管理用户的许可证
- 更新用户的密码策略
- 读取用户的分配和成员身份
本文列出了可以在不同用户管理方案的自定义角色中使用的权限。 有关如何创建自定义角色的信息,请参阅在 Microsoft Entra ID 中创建和分配自定义角色。
使用此功能需要 Microsoft Entra ID P1 许可证。 要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
以下权限可用于读取或更新用户的基本属性。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/standard/read | 读取用户的基本属性 |
| microsoft.directory/users/basic/update | 更新用户的基本属性 |
以下权限可用于读取用户的标识。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/identities/read | 读取用户的标识 |
以下权限可用于读取或更新用户的工作信息。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/manager/read | 读取用户的管理员 |
| microsoft.directory/users/manager/update | 更新用户的管理员 |
| microsoft.directory/users/jobInfo/update | 更新用户的作业信息 |
以下权限可用于更新用户的联系人信息。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/contactInfo/update | 更新用户的联系人属性 |
以下权限可用于更新用户的家长控制。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/parentalControls/update | 更新用户的家长控制 |
以下权限可用于更新用户的设置。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/usageLocation/update | 更新用户的使用位置 |
以下权限可用于读取用户的直接下属。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/directReports/read | 读取用户的直接下属 |
以下权限可用于更新用户的扩展属性。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/extensionProperties/update | 更新用户的扩展属性 |
以下权限可用于读取用户的设备信息。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/ownedDevices/read | 读取用户拥有的设备 |
| microsoft.directory/users/registeredDevices/read | 读取用户已注册的设备 |
| microsoft.directory/users/deviceForResourceAccount/read | 读取用户的资源帐户设备 |
以下权限可用于读取或管理用户的许可证。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/licenseDetails/read | 读取用户的许可证详细信息 |
| microsoft.directory/users/assignLicense | 管理用户许可证 |
| microsoft.directory/users/reprocessLicenseAssignment | 重新处理用户的许可证分配 |
以下权限可用于更新用户的密码策略。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/passwordPolicies/update | 更新用户的密码策略属性 |
以下权限可用于读取用户的分配和成员身份。
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | 读取用户的应用程序角色分配 |
| microsoft.directory/users/scopedRoleMemberOf/read | 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元 |
| microsoft.directory/users/memberOf/read | 读取用户的动态成员资格组 |
| 权限 | 说明 |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | 读取用户的应用程序角色分配 |
| microsoft.directory/users/assignLicense | 管理用户许可证 |
| microsoft.directory/users/basic/update | 更新用户的基本属性 |
| microsoft.directory/users/contactInfo/update | 更新用户的联系人属性 |
| microsoft.directory/users/deviceForResourceAccount/read | 读取用户的资源帐户设备 |
| microsoft.directory/users/directReports/read | 读取用户的直接下属 |
| microsoft.directory/users/extensionProperties/update | 更新用户的扩展属性 |
| microsoft.directory/users/identities/read | 读取用户的标识 |
| microsoft.directory/users/jobInfo/update | 更新用户的作业信息 |
| microsoft.directory/users/licenseDetails/read | 读取用户的许可证详细信息 |
| microsoft.directory/users/manager/read | 读取用户的管理员 |
| microsoft.directory/users/manager/update | 更新用户的管理员 |
| microsoft.directory/users/memberOf/read | 读取用户的动态成员资格组 |
| microsoft.directory/users/ownedDevices/read | 读取用户拥有的设备 |
| microsoft.directory/users/parentalControls/update | 更新用户的家长控制 |
| microsoft.directory/users/passwordPolicies/update | 更新用户的密码策略属性 |
| microsoft.directory/users/registeredDevices/read | 读取用户已注册的设备 |
| microsoft.directory/users/reprocessLicenseAssignment | 重新处理用户的许可证分配 |
| microsoft.directory/users/scopedRoleMemberOf/read | 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元 |
| microsoft.directory/users/standard/read | 读取用户的基本属性 |
| microsoft.directory/users/usageLocation/update | 更新用户的使用位置 |