跨 Microsoft 服务的角色
可以使用 Microsoft Entra ID 中的管理角色来管理 Microsoft 365 中的服务。 一些服务还提供特定于该服务的其他角色。 本文列出了与 Microsoft 365 和其他服务的基于角色的访问控制 (RBAC) 相关的内容、API 参考以及审核和监控参考。
Microsoft Entra
Microsoft Entra ID 与 Microsoft Entra 中的相关服务。
Microsoft Entra ID
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Entra 内置角色 |
| 管理 API 参考 | Microsoft Entra 角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 将角色分配到组时,请使用 Microsoft Graph v1.0 groups API 管理组成员身份 |
| 审核和监控参考 | Microsoft Entra 角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核• 将角色分配给组时,若要审核对组成员身份的更改,请参阅类别为 GroupManagement、活动为 Add member to group 和 Remove member from group 的审核 |
权利管理
| 区域 | 内容 |
|---|---|
| 概述 | 权利管理角色 |
| 管理 API 参考 | Microsoft Entra ID 中特定于权利管理的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.directory/entitlementManagement 开头的角色特定于权利管理的角色 Microsoft Graph v1.0 roleManagement API • 使用 entitlementManagement 提供程序 |
| 审核和监控参考 | Microsoft Entra ID 中特定于权利管理的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于权利管理的角色 在 Microsoft Entra 审核日志中,类别为 EntitlementManagement 且“活动”是以下项之一:• Remove Entitlement Management role assignment• Add Entitlement Management role assignment |
Microsoft 365
Microsoft 365 套件中的服务。
Exchange
| 区域 | 内容 |
|---|---|
| 概述 | Exchange Online 中的权限 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Exchange 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.office365.exchange 开头的角色特定于 Exchange 的角色 Microsoft Graph Beta roleManagement API • 使用 exchange 提供程序 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Exchange 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Exchange 的角色 使用 Microsoft Graph Beta 安全性 API(审核日志查询)并列出 recordType == ExchangeAdmin 且操作为以下项之一的审核事件:Add-RoleGroupMember, Remove-RoleGroupMember, Update-RoleGroupMember, New-RoleGroup, Remove-RoleGroup, New-ManagementRole, Remove-ManagementRoleEntry, New-ManagementRoleAssignment |
SharePoint
包括 SharePoint、OneDrive、Delve、Lists、Project Online 和 Loop。
| 区域 | 内容 |
|---|---|
| 概述 | 关于 Microsoft 365 中的 SharePoint 管理员角色 面向管理员的 Delve Microsoft Lists 的控制设置 Project Online 中的更改权限管理 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 SharePoint 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.office365.sharepoint 开头的角色 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 SharePoint 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Intune
| 区域 | 内容 |
|---|---|
| 概述 | 使用 Microsoft Intune 的基于角色的访问控制 (RBAC) |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Intune 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.intune 开头的角色特定于 Intune 的角色 Microsoft Graph Beta roleManagement API • 使用 deviceManagement 提供程序• 或者,使用特定于 Intune 的 Microsoft Graph Beta RBAC 管理 API |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Intune 的角色 Microsoft Graph v1.0 directoryAudit API • RoleManagement 类别特定于 Intune 的角色 Intune 审核概述 对特定于 Intune 的审核日志的 API 访问权限: • Microsoft Graph Beta getAuditActivityTypes API • 首先列出 category= Role 的活动类型,然后使用 Microsoft Graph Beta auditEvents API 列出每个活动类型的所有 auditEvents |
Teams
包括 Teams、Bookings、Copilot Studio for Teams 和 Shifts。
| 区域 | 内容 |
|---|---|
| 概述 | 使用 Microsoft Teams 管理员角色来管理 Teams。 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Teams 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 权限以 microsoft.teams 开头的角色 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Teams 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Purview 套件
包括 Purview 套件、Azure 信息保护和信息屏障。
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Defender for Office 365 和 Microsoft Purview 中的角色和角色组 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Purview 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限从以下项开始的角色: microsoft.office365.complianceManagermicrosoft.office365.protectionCentermicrosoft.office365.securityComplianceCenter特定于 Purview 的角色 使用 PowerShell:安全性和合规性 PowerShell。 特定 cmdlet 包括: Get-RoleGroup Get-RoleGroupMember New-RoleGroup Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Remove-RoleGroup |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Purview 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Purview 的角色 使用 Microsoft Graph Beta 安全性 API(审核日志查询 Beta)并列出 recordType == SecurityComplianceRBAC 且“操作”为 Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember、New-RoleGroup、Remove-RoleGroup 之一的审核事件: |
Power Platform
包括 Power Platform、Dynamics 365、Flow 和 Dataverse for Teams。
| 区域 | 内容 |
|---|---|
| 概述 | 使用服务管理员角色管理您的租户 安全角色和特权 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Power Platform 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以下面内容开头的角色: microsoft.powerAppsmicrosoft.dynamics365microsoft.flow特定于 Dataverse 的角色 使用 Web API 执行操作 • 查询“用户(SystemUser)表/实体参考” • 角色分配是 systemuserroles_association 表的一部分 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Power Platform 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Dataverse 的角色 Dataverse 审核概述 用于访问特定于 Dataverse 的审核日志的 API Dataverse Web API • 审核表参考 • 带有操作代码的审核: 53 - 为团队分配角色 54 - 从团队中删除角色 55 - 将角色分配给用户 56 - 从用户中删除角色 57 - 向角色添加权限 58 - 从角色中删除权限 59 - 替换角色中的特权 |
Defender 套件
包括 Defender 套件、安全功能分数、云应用安全和威胁情报。
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Defender XDR 统一基于角色的访问控制 (RBAC) |
| 管理 API 参考 | Microsoft Entra ID 中的特定于 Defender 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限(参考):安全管理员、安全操作员、安全读取者、全局管理员和全局读取者 特定于 Defender 的角色 必须激活工作负载才能使用 Defender 统一 RBAC。 请参阅“激活 Microsoft Defender XDR 统一基于角色的访问控制 (RBAC)”。 激活 Defender 统一 RBAC 将关闭单个 Defender 解决方案角色。 • 只能通过 security.microsoft.com 门户进行管理。 |
| 审核和监控参考 | Microsoft Entra ID 中的特定于 Defender 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Viva Engage
| 区域 | 内容 |
|---|---|
| 概述 | 在 Viva Engage 中管理管理员角色 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Viva Engage 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.yammer 开头的角色。特定于 Viva Engage 的角色 • 可以通过 Yammer 管理中心管理已验证的管理员和网络管理员角色。 • 可以通过 Viva Engage 管理中心指定企业通信者角色。 • Yammer 数据导出 API 可用于导出 admins.csv 以读取管理员列表 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Viva Engage 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核特定于 Viva Engage 的角色 • 使用 Yammer 数据导出 API 以增量方式导出管理员列表 admins.csv |
Viva Connections
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Viva 中的管理员角色和任务 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Viva Connections 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限:SharePoint 管理员、Teams 管理员和全局管理员 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Viva Connections 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Viva Learning
| 区域 | 内容 |
|---|---|
| 概述 | 在 Teams 管理中心设置 Microsoft Viva Learning |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Viva Learning 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.knowledge 开头的角色 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Viva Learning 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Viva Insights
| 区域 | 内容 |
|---|---|
| 概述 | Viva Insights 中的角色 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Viva Insights 的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.insights 开头的角色 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Viva Insights 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Search
| 区域 | 内容 |
|---|---|
| 概述 | 设置 Microsoft 搜索 |
| 管理 API 参考 | Microsoft Entra ID 中的特定于搜索的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.office365.search 开头的角色 |
| 审核和监控参考 | Microsoft Entra ID 中的特定于搜索的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
通用打印
| 区域 | 内容 |
|---|---|
| 概述 | 通用打印管理员角色 |
| 管理 API 参考 | Microsoft Entra ID 中特定于通用打印的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 查看权限以 microsoft.azure.print 开头的角色 |
| 审核和监控参考 | Microsoft Entra ID 中特定于通用打印的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Microsoft 365 应用版套件管理
包括 Microsoft 365 应用版套件管理和 Forms。
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft 365 应用版管理中心概述 Microsoft Forms 的管理员设置 |
| 管理 API 参考 | Microsoft Entra ID 中特定于Microsoft 365 应用版的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限:Office 应用管理员、安全管理员、全局管理员 |
| 审核和监控参考 | Microsoft Entra ID 中特定于Microsoft 365 应用版的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 采用 RoleManagement 类别的审核 |
Azure
Azure 控制平面和订阅信息的 Azure 基于角色的访问控制 (Azure RBAC)。
Azure
包括 Azure 和 Sentinel。
| 区域 | 内容 |
|---|---|
| 概述 | 什么是 Azure 基于角色的访问控制 (Azure RBAC)? Microsoft Sentinel 中的角色和权限 |
| 管理 API 参考 | Azure 中特定于 Azure 服务的角色 Azure 资源管理器授权 API • 角色分配:列出、创建/更新、删除 • 角色定义:列出、创建/更新、删除 • 可采用一种名为经典管理员的旧方法来授予对 Azure 资源的访问权限。 经典管理员相当于 Azure RBAC 中的“所有者”角色。 经典管理员将于 2024 年 8 月停用。 • 请注意,Microsoft Entra 全局管理员可以通过提升访问权限获得对 Azure 的单方面访问权限。 |
| 审核和监控参考 | Azure 中特定于 Azure 服务的角色 使用 Azure 活动日志监视 Azure RBAC 更改 • Azure 活动日志 API • 采用事件类别 Administrative 和操作 Create role assignment、Delete role assignment、Create or update custom role definition、Delete custom role definition 的审核。在租户级别 Azure 活动日志中查看“提升访问权限”日志 • Azure 活动日志 API - 租户活动日志 • 采用事件类别 Administrative 且包含字符串 elevateAccess 的审核。• 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。 |
Commerce
与购买和计费相关的服务。
成本管理和计费 - 企业协议
| 区域 | 内容 |
|---|---|
| 概述 | 管理 Azure 企业协议角色 |
| 管理 API 参考 | Microsoft Entra ID 中特定于企业协议的角色 企业协议不支持 Microsoft Entra 角色。 特定于企业协议的角色 计费角色分配 API • 企业管理员(角色 ID:9f1983cb-2574-400c-87e9-34cf8e2280db) • 企业管理员(只读)(角色 ID:24f8edb6-1668-4659-b5e2-40bb5f3a7d7e) • EA 买方(角色 ID:da6647fb-7651-49ee-be91-c43c4877f0c4) 注册部门角色分配 API • 部门管理员(角色 ID:fb2cf67f-be5b-42e7-8025-4683c668f840) • 部门读取者(角色 ID:db609904-a47f-4794-9be8-9bd86fbffd8a) 注册帐户角色分配 API • 帐户所有者(角色 ID:c15c22c0-9faf-424c-9b7e-bd91c06a240b) |
| 审核和监控参考 | 特定于企业协议的角色 Azure 活动日志 API - 租户活动日志 • 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。 • 审核 resourceProvider == Microsoft.Billing 和 operationName 包含 billingRoleAssignments 或 EnrollmentAccount |
成本管理和计费 - Microsoft 客户协议
| 区域 | 内容 |
|---|---|
| 概述 | 了解 Azure 中的 Microsoft 客户协议管理角色 了解 Microsoft 业务计费帐户 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Microsoft 客户协议的角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供程序• 以下角色具有权限:计费管理员、全局管理员。 特定于 Microsoft 客户协议的角色 • 默认情况下,Microsoft Entra 全局管理员和计费管理员角色会自动在特定于 Microsoft 客户协议的 RBAC 中分配计费帐户所有者角色。 • 计费角色分配 API |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Microsoft 客户协议的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 具有类别 RoleManagement 的审核特定于 Microsoft 客户协议的角色 Azure 活动日志 API - 租户活动日志 • 访问租户级别活动日志至少需要使用一次提升访问权限,才能获得租户级别访问权限。 • 审核 resourceProvider == Microsoft.Billing 和 operationName 的以下项之一(所有前缀为 Microsoft.Billing):/permissionRequests/write/billingAccounts/createBillingRoleAssignment/action/billingAccounts/billingProfiles/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action/billingAccounts/customers/createBillingRoleAssignment/action/billingAccounts/billingRoleAssignments/write/billingAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/billingRoleAssignments/delete/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete/billingAccounts/departments/billingRoleAssignments/write/billingAccounts/departments/billingRoleAssignments/delete/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action/billingAccounts/enrollmentAccounts/billingRoleAssignments/write/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action/billingAccounts/billingProfiles/invoiceSections/transfers/delete/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action/billingAccounts/billingProfiles/invoiceSections/transfers/write/transfers/acceptTransfer/action/transfers/accept/action/transfers/decline/action/transfers/declineTransfer/action/billingAccounts/customers/initiateTransfer/action/billingAccounts/customers/transfers/delete/billingAccounts/customers/transfers/cancel/action/billingAccounts/customers/transfers/write/billingAccounts/billingProfiles/invoiceSections/products/transfer/action/billingAccounts/billingSubscriptions/elevateRole/action |
企业订阅和计费 - 批量许可
| 区域 | 内容 |
|---|---|
| 概述 | 管理批量许可用户角色常见问题解答 |
| 管理 API 参考 | Microsoft Entra ID 中特定于批量许可的角色 批量许可不支持 Microsoft Entra 角色。 特定于批量许可的角色 VL 用户和角色 在 M365 管理中心进行管理。 |
其他服务
用于管理客户支持案例的统一支持门户
包括统一支持门户和服务中心。
| 区域 | 内容 |
|---|---|
| 概述 | Services Hub 角色和权限 |
| 管理 API 参考 | 在 Services Hub 门户 (https://serviceshub.microsoft.com) 中管理这些角色。 |
Microsoft Graph 应用程序权限
除了前面提到的 RBAC 系统之外,还可以使用应用程序权限向 Microsoft Entra 应用程序注册和服务主体授予提升的权限。 例如,可以授予非交互式、非人类应用程序标识读取租户中所有邮件的能力(Mail.Read 应用程序权限)。 下表列出了如何管理和监控应用程序权限。
| 区域 | 内容 |
|---|---|
| 概述 | Microsoft Graph 权限概述 |
| 管理 API 参考 | Microsoft Entra ID 中特定于 Microsoft Graph 的角色 Microsoft Graph v1.0 servicePrincipal API • 枚举租户中每个 servicePrincipal 的 appRoleAssignments。 • 对于每个 appRoleAssignment,通过读取 appRoleAssignment 中 resourceId 和 appRoleId 参考的 servicePrincipal 对象上的 appRole 属性,获取有关分配授予的权限的信息。 • 特别关注的是 Microsoft Graph 的应用权限 (servicePrincipal with appID == "00000003-0000-0000-c000-000000000000") 的应用权限,这些权限授予对 Exchange、SharePoint、Teams 等的访问权限。 下面是 Microsoft Graph 权限的参考。 |
| 审核和监控参考 | Microsoft Entra ID 中特定于 Microsoft Graph 的角色 Microsoft Entra 活动日志概述 对 Microsoft Entra 审核日志的 API 访问: • Microsoft Graph v1.0 directoryAudit API • 类别为 ApplicationManagement 且活动名称为 Add app role assignment to service principal 的审核 |