在Microsoft Entra ID中,如果另一个管理员或非管理员需要管理Microsoft Entra资源,则需要为其分配提供所需权限的Microsoft Entra角色。 例如,可分配允许添加或更改用户、重置用户密码、管理用户许可证或管理域名的角色。
本文列出了可以分配的Microsoft Entra内置角色,以允许管理Microsoft Entra资源。 有关如何分配角色的信息,请参阅 Assign Microsoft Entra 角色。 如果要查找用于管理Azure资源的角色,请参阅 Azure 内置角色。
所有角色
| Role | Description | 模板编号 |
|---|---|---|
| 代理ID管理员 | 管理租户中代理的所有方面,包括代理蓝图的标识生命周期操作、代理标识蓝图主体、代理标识和代理用户。
|
DB506228-D27E-4B7D-95E5-295956D6615f |
| 代理ID开发者 | 在租户中创建代理标识蓝图及其代理标识蓝图主体。 用户将添加为已创建的代理标识蓝图及其代理标识蓝图主体的所有者。 | ADB2368D-A9BE-41B5-8667-D96778E081B0 |
| 代理注册管理员 | 在 Microsoft Entra ID 中管理代理注册表服务的各个方面 | 6b942400-691f-4bf0-9d12-d8a254A2BAF5 |
| AI 管理员 | 在 Microsoft 365 中管理智能 Microsoft 365 Copilot 副驾驶®和 AI 相关企业服务的各个方面。
|
d2562ede-74db-457e-a7b6-544e236ebb61 |
| AI 阅读器 | 阅读Microsoft 365中智能 Microsoft 365 Copilot 副驾驶®与 AI 相关的企业服务的各个方面。
|
1fe13547-53f6-408d-ac04-7f8eed167b38 |
| 应用程序管理员 | 可以创建和管理应用注册和企业应用的所有方面。
|
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| 应用程序开发人员 | 可以创建独立于“用户可注册应用程序”设置的应用程序注册。
|
cf1c38e5-3621-4004-a7cb-879624dced7c |
| 攻击有效负载作者 | 可以创建管理员可于之后启动的攻击有效负载。 | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| 攻击模拟管理员 | 可以创建和管理攻击模拟活动的各个方面。 | c430b396-e693-46cc-96f3-db01bf8bb62a |
| 属性分配管理员 | 将自定义安全属性密钥和值分配给受支持的Microsoft Entra对象。 | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| 属性分配读取者 | 读取支持的Microsoft Entra对象的自定义安全属性键和值。 | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| 属性定义管理员 | 定义和管理自定义安全属性的定义。 | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| 属性定义读取者 | 读取自定义安全属性的定义。 | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| 属性日志管理员 | 读取审核日志并为与自定义安全属性相关的事件配置诊断设置。 | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| 属性日志读取器 | 读取与自定义安全属性相关的审核日志。 | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| 属性预配管理员 | 读取和编辑应用程序的所有活动自定义安全属性的预配配置。
|
ecb2c6bf-0ab6-418e-bd87-7986f8d63bbe |
| 属性预配读取器 | 读取应用程序的所有活动自定义安全属性的预配配置。
|
422218e4-db15-4ef9-bbe0-8afb41546d79 |
| 身份验证管理员 | 可访问并查看、设置和重置任何非管理员用户的身份验证方法信息。
|
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| 身份验证扩展性管理员 | 通过创建和管理自定义身份验证扩展来自定义用户的登录和注册体验。
|
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| 身份验证扩展性密码管理员 | 触发密码提交事件以进行自定义身份验证。
|
0b00bede-4072-4d22-b441-e7df02a1ef63 |
| 身份验证策略管理员 | 可以创建和管理身份验证方法策略、租户范围的 MFA 设置、密码保护策略和可验证凭据。 | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure DevOps 管理员 | 管理Azure DevOps策略和设置。 | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure 信息保护管理员 | 可以管理Azure 信息保护产品的各个方面。 | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C IEF 密钥集管理员 | 可以在 Identity Experience Framework (IEF) 中管理联合机密和加密机密。
|
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C IEF 策略管理员 | 可以在 Identity Experience Framework (IEF) 中创建和管理信任框架策略。 | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| 计费管理员 | 可以执行与常见计费相关的任务,例如更新付款信息。 | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security 管理员 | 管理Defender for Cloud Apps产品的各个方面。 | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| 云应用程序管理员 | 可以创建和管理应用注册和企业应用的所有方面,应用代理除外。
|
158c047a-c907-4556-b7ef-446551a6b5f7 |
| 云设备管理员 | 在Microsoft Entra ID中管理设备的有限访问权限。
|
7698a772-787b-4ac8-901f-60d6b08affd2 |
| 合规性管理员 | 可以在Microsoft Entra ID和Microsoft 365中读取和管理合规性配置和报告。 | 17315797-102d-40b4-93e0-432062caca18 |
| 合规性数据管理员 | 创建和管理合规性内容。 | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| 条件访问管理员 | 可以管理条件访问功能。
|
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| 客户委派管理员关系管理员 | 管理客户租户中精细委派管理员权限(GDAP)关系的各个方面。 | fc8ad4e2-40e4-4724-8317-bcda7503ecbf |
| 客户密码箱访问审批者 | 可以批准Microsoft支持请求来访问客户组织数据。 | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| 桌面分析管理员 | 可访问和管理桌面管理工具和服务。 | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| 目录读取器 | 可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限。 | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| 目录同步帐户 | 仅Microsoft Entra Connect 服务使用。 | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| 目录编写器 | 可以读取和写入基本目录信息。 用于授予对应用程序的访问权限,不针对用户。
|
9360feb5-f418-4baa-8175-e2a00bac4301 |
| 域名管理员 | 可以管理云中和本地的域名。
|
8329153b-31d0-4727-b945-745eb3bc5f31 |
| 龙管理员 | 管理 Microsoft Dragon 管理中心的各个方面。 | e93e3737-fa85-474a-aee4-7d3fb86510f3 |
| Dynamics 365 管理员 | 可以管理Dynamics 365产品的各个方面。 | 44367163-eba1-44c3-98af-f5787879f96a |
| Dynamics 365 Business Central 管理员 | 在Dynamics 365 Business Central环境中访问和执行所有管理任务。 | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| 边缘管理员 | 管理Microsoft Edge的各个方面。 | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Entra 备份管理员 | 管理Microsoft Entra备份的各个方面,例如创建恢复作业和管理备份快照。 | b6a27b2b-f905-4b2e-81b5-0d90e0ef1fdb |
| Entra 备份读取器 | 读取Microsoft Entra备份的所有方面,例如列出所有预览作业、恢复作业、备份快照和创建预览作业。 | f42252d9-5400-4d7b-b9ef-cc582dbb8577 |
| Exchange 管理员 | 可以管理Exchange产品的各个方面。 | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange备份管理员 | Microsoft 365 备份中Exchange备份和还原内容(包括精细还原) | 49eb8f75-97e9-4e37-9b2b-6c3ebfcffa31 |
| Exchange 收件人管理员 | 可以在Exchange Online组织中创建或更新Exchange Online收件人。 | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| 外部 ID 用户流管理员 | 可以创建和管理用户流的各个方面。 | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| 外部 ID 用户流属性管理员 | 可以创建和管理对所有用户流可用的属性架构。 | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| 外部标识提供者管理员 | 可以配置用于直接联合的标识提供者。
|
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| 构造管理员 | 管理Fabric和Power BI产品的各个方面。 | a9ea8996-122f-4c74-9520-8edcd192826c |
| 全局管理员 | 可以管理使用Microsoft Entra标识的Microsoft Entra ID和Microsoft 服务的各个方面。
|
62e90394-69f5-4237-9190-012177145e10 |
| 全局读取器 | 可以读取全局管理员可以读取的所有内容,但不能更新任何内容。
|
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| 全局安全访问管理员 | 创建和管理全局安全 Internet 访问和Microsoft全局安全专用访问的各个方面,包括管理对公共终结点和专用终结点的访问。 | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| 全局安全访问日志读取器 | 为指定的安全人员提供对Microsoft Entra Internet 访问中网络流量日志的只读访问权限,并Microsoft Entra 专用访问进行详细分析。 | 843318fb-79a6-4168-9e6f-aa9a07481cc4 |
| 组管理员 | 此角色的成员可以创建/管理组、创建/管理组设置(如命名和过期策略)以及查看组活动和审核报告。 | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| 来宾邀请者 | 可以无视“成员可邀请来宾”设置而邀请来宾用户。 | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| 支持管理员 | 可以重置非管理员和支持理员的密码。
|
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| 混合标识管理员 | 管理Active Directory以Microsoft Entra云预配、Microsoft Entra Connect、直通身份验证(PTA)、密码哈希同步(PHS)、无缝单一登录(无缝 SSO)和联合身份验证设置。 无权管理 Microsoft Entra Connect Health。
|
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance 管理员 | 使用Microsoft Entra ID管理标识治理方案进行访问。
|
45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Insights 管理员 | 在 Microsoft 365 Insights 应用中具有管理访问权限。 | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights 分析师 | 访问Microsoft Viva Insights中的分析功能并运行自定义查询。 | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights 业务主管 | 通过Microsoft Viva Insights应用查看和共享仪表板和见解。 | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune 管理员 | 可以管理 Intune 产品的所有方面。
|
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| IoT 设备管理员 | 预配新的 IoT 设备、管理其生命周期、配置证书和管理设备模板。 | 2ea5ce4c-b2d8-4668-bd81-3680bd2d227a |
| Kaizala 管理员 | 可以管理Microsoft Kaizala的设置。 | 74ef975b-6605-40af-a5d2-b9539d836353 |
| 知识管理员 | 可配置知识、学习和其他智能功能。 | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| 知识管理器 | 组织、创建、管理和提升主题和知识。 | 744ec460-397e-42ad-a462-8b3f9747a02c |
| 许可证管理员 | 可以管理用户和组的产品许可证。 | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| 生命周期工作流管理员 | 在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的各个方面。
|
59d46f88-662b-457b-bceb-5c3809e5908f |
| 消息中心隐私读取者 | 只能在Office 365消息中心读取安全消息和更新。 | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| 消息中心读取者 | 只能在Office 365消息中心读取其组织的邮件和更新。 | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsoft 365 备份管理员 | 在Microsoft 365 备份中跨受支持的服务(SharePoint、OneDrive和Exchange Online)备份和还原内容 | 1707125e-0aa2-4d4d-8655-a7c786c76a25 |
| Microsoft 365 迁移管理员 | 执行所有迁移功能,使用迁移管理器将内容迁移到Microsoft 365。 | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| Microsoft Entra已加入设备本地管理员 | 分配到此角色的用户将添加到已加入Microsoft Entra设备上的本地管理员组。 | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Microsoft Graph Data Connect 管理员 | 管理租户中 Microsoft Graph Data Connect 服务的各个方面。 | ee67aa9c-e510-4759-b906-227085a7fd4d |
| 网络管理员 | 可以管理网络位置并查看适用于 Microsoft 365 软件即服务应用程序的企业网络设计见解。 | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office 应用管理员 | 可以管理 Office 应用云服务(包括策略和设置管理),并管理选择、取消选择和向最终用户的设备发布“新增功能”功能内容的权限。 | 2b745bdf-0803-4d80-aa65-822c4493daac |
| 组织品牌打造管理员 | 管理租户中组织品牌打造的各个方面。 | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| 组织数据源管理员 | 设置和管理将组织数据引入Microsoft 365。 | 9d70768a-0cbc-4b4c-aea3-2e124b2477f4 |
| 组织消息审批者 | 在将新组织消息发送给用户之前,请先查看、批准或拒绝新组织邮件,以便在Microsoft 365 管理中心中传递。 | e48398e2-f4bb-4074-8f31-4586725e205b |
| 密码管理员 | 可以为非管理员和密码管理员重置密码。
|
966707d0-3269-4727-9be2-8c3a10f19b9d |
| 人员管理员 | 管理组织中所有用户的用户和人员设置的个人资料照片。 | 024906de-61e5-49c8-8572-40335f1e0e10 |
| 放置管理员 | 管理 Microsoft Places 服务的各个方面。 | 78b0ccd1-afc2-4f92-9116-b41aedd09592 |
| Power Platform 管理员 | 管理Microsoft Dynamics 365、Power Apps和Power Automate的各个方面。 | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| 打印机管理员 | 可以管理打印机和打印机连接器的所有方面。 | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| 打印机技术人员 | 可以注册和取消注册打印机,并更新打印机状态。 | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| 特权身份验证管理员 | 可有权查看、设置和重置任何用户(管理员或非管理员)的身份验证方法信息。
|
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| 特权角色管理员 | 可以在Microsoft Entra ID以及Privileged Identity Management的各个方面管理角色分配。
|
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Purview 工作负荷内容管理员 | 从Microsoft Purview 门户访问时,从Microsoft 365管理或清除数据。 | 3f04f91a-4ad7-4bd3-bcfa-49882ea1a88a |
| Purview 工作负荷内容读取器 | 从Microsoft Purview 门户访问时,从Microsoft 365读取数据。 | e07494ad-1654-4dd2-922e-6f81a71bf00f |
| Purview 工作负荷内容编写器 | 从Microsoft Purview 门户访问时,从Microsoft 365读取和编辑数据。 | 02d5655b-c1cf-4e5f-98da-5fb919085bf6 |
| 报表读取者 | 可以读取登录和审核报告。 | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| 搜索管理员 | 可以创建和管理Microsoft 搜索设置的所有方面。 | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| 搜索编辑器 | 可以创建和管理书签、问答、位置、平面布置图等编辑内容。 | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| 安全管理员 | 可以读取安全信息和报告,并在Microsoft Entra ID和Office 365中管理配置。
|
194ae4cb-b126-40b2-bd5b-6091b380977d |
| 安全操作员 | 创建和管理安全事件。
|
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| 安全读取器 | 可以在Microsoft Entra ID和Office 365中读取安全信息和报告。
|
5d6b6bb7-de71-4623-b4af-96380a352509 |
| 服务支持管理员 | 可以读取服务运行状况信息和管理支持票证。 | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint 管理员 | 可以管理SharePoint服务的各个方面。 | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| SharePoint 高级管理管理员 | 管理SharePoint 高级管理的各个方面。 | 99009C4a-3B3F-4957-82a9-9d35E12db77e |
| SharePoint备份管理员 | 备份和还原Microsoft 365 备份中SharePoint和OneDrive的内容(包括精细还原) | 9d3e04ba-3ee4-4d1b-a3a7-9aef423a09be |
| SharePoint嵌入式管理员 | 管理 SharePoint Embedded 容器的各个方面。 | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
| Skype for Business 管理员 | 可以管理Skype for Business产品的各个方面。 | 75941009-915a-4869-abe7-691bff18279e |
| Teams 管理员 | 可以管理Microsoft Teams服务。 | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams 通信管理员 | 可以在Microsoft Teams服务中管理通话和会议功能。 | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Teams 通信支持工程师 | 可以使用高级工具排查 Teams 中的通信问题。 | f70938a0-fc10-4177-9e90-2178f8765737 |
| Teams 通信支持专家 | 可以使用基本工具排查 Teams 中的通信问题。 | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams 设备管理员 | 可在 Teams 认证的设备上执行管理相关任务。 | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Teams 外部协作管理员 | 管理 Teams 的外部协作策略和设置,包括配置外部域并控制哪些组和用户可以与组织交互。 | 2fe872fb-daa8-4afc-8f6c-53c4565cfef4 |
| Teams 阅读器 | 阅读 Teams 管理中心的所有内容,但不更新任何内容。 | 1076ac91-f3d9-41a7-a339-dcdf5f480acc |
| Teams 电话服务管理员 | 管理语音和电话功能,并解决Microsoft Teams服务中的通信问题。 | aa38014f-0993-46e9-9b45-30501a20909d |
| 租户创建者 | 创建新的Microsoft Entra或Azure AD B2C 租户。 | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| 租户治理管理员 | 管理Microsoft Entra租户治理服务中的所有功能。 | 1981f584-96e9-4a6f-95b0-f522373f8fae |
| 租户治理读取者 | 可以读取所有租户治理数据。 | e0a4caa6-fe82-443f-b92f-d87341d17b2e |
| 租户治理关系管理员 | 可以启动治理关系并终止它们。 | b8e31d83-1534-480f-9b10-0338ded51b7e |
| 租户治理关系读取者 | 可以读取租户治理关系和相关对象。 | 124577f8-48ed-456a-839f-13b419002e33 |
| 使用情况摘要报表读取者 | 读取使用情况报告和采用分数,但无法访问用户详细信息。 | 75934031-6c7e-415a-99d7-48dbd49e875e |
| 用户管理员 | 可以管理用户和组的所有方面,包括重置有限管理员的密码。
|
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Virtual Visits 管理员 | 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标。 | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva Glint 租户管理员 | 在Microsoft 365 管理中心中管理和配置Microsoft Viva Glint设置。 | 0ec3f692-38d6-4d14-9e69-0377ca7797ad |
| Windows 365 管理员 | 可以预配和管理云电脑的所有方面。 | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows 更新部署管理员 | 可以通过适用于企业的部署服务的 Windows 更新 创建和管理Windows 更新部署的各个方面。 | 32696413-001a-46ae-978c-ce0f6b3620d2 |
代理 ID 管理员
将代理ID管理员角色分配给需要执行以下任务的用户:
- 管理租户中的代理标识、代理标识蓝图主体、代理标识蓝图和代理用户的完整生命周期
- 永久删除和还原已删除的代理标识、代理标识蓝图主体、代理标识蓝图和代理用户
- 管理许可证、使刷新令牌失效,以及撤销代理用户的登录会话
- 读取审核日志和登录报告的所有属性
- 读取组织的标准属性、策略、外部用户配置文件、隐藏的组成员和用户的批量作业
- 创建Microsoft 365组作为所有者
- 读取和配置Azure和Microsoft 365服务运行状况和支持票证
- 创建和管理Azure并Microsoft 365服务运行状况和支持票证
代理 ID 开发人员
将代理ID开发者角色分配给需要执行以下任务的用户:
- 在租户中创建代理标识蓝图及其代理标识蓝图主体。 用户将添加为已创建的代理标识蓝图及其代理标识蓝图主体的所有者。
| Actions | Description |
|---|---|
| microsoft.directory/agentIdentityBlueprints/createAsOwner | 创建代理标识蓝图,创建者将添加为第一个所有者 |
| microsoft.directory/servicePrincipals/standard/read | 读取服务主体的基本属性 |
代理注册管理员
将代理注册管理员角色分配给需要执行以下任务的用户:
- 在 Microsoft Entra ID 中管理 AI 代理的元数据
- 管理催收和代理的可见性
- 将代理注册表专用角色分配给其他用户或代理访问注册表
| Actions | Description |
|---|---|
| microsoft.agentRegistry/allEntities/allProperties/allTasks | 在 Microsoft Entra ID 中管理代理注册表的各个方面 |
AI 管理员
这是 特权角色。 将 AI 管理员角色分配给需要执行以下任务的用户:
- 管理智能 Microsoft 365 Copilot 副驾驶®的各个方面
- 从Microsoft 365 管理中心的“集成应用”页管理与 AI 相关的企业服务、扩展性和 copilot 代理
- 批准和发布业务线 Copilot 代理
- 允许用户安装应用或为组织中的用户安装应用(如果应用不需要权限)
- 读取和配置Azure和Microsoft 365服务运行状况仪表板
- 查看使用情况报告、采用见解和组织见解
- 在Azure和Microsoft 365 管理中心中创建和管理支持票证
AI 阅读器
将 AI 读取者角色分配给需要执行以下任务的用户:
- 阅读智能 智能 Microsoft 365 Copilot 副驾驶® 副驾驶®的各个方面
- 读取与 AI 相关的企业服务、扩展性和 copilot 代理
- 读取代理标识、代理标识蓝图主体和代理标识蓝图的所有属性
- 读取和配置Azure和Microsoft 365服务运行状况仪表板
应用程序管理员
这是 特权角色。 充当此角色的用户可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。 请注意,在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。
此角色还授予同意委派权限和应用程序权限的功能,但Azure AD Graph 和Microsoft Graph的应用程序权限除外。
Important
此异常意味着你仍可以同意应用(例如其他Microsoft应用、第三方应用或已注册的应用)的应用程序权限。 你仍然可以 请求 这些权限作为应用注册的一部分,但 授予 (即同意)这些权限需要更特权的管理员,例如特权角色管理员。
此角色授予管理应用程序凭据这一功能。 分配此角色的用户可以将凭据添加到应用程序,并使用这些凭据模拟应用程序的标识。 如果向应用程序标识授予了对资源的访问权限,例如创建或更新用户或其他对象的能力,则分配给此角色的用户可以在模拟应用程序时执行这些作。 模拟应用程序标识的能力可能是用户通过角色分配可以执行的作的特权提升。 请务必了解,将用户分配到应用程序管理员角色可让他们模拟应用程序的标识。
应用程序开发人员
这是 特权角色。 在将设置“用户可以注册应用程序”设置为“否”时,充当此角色的用户可以创建应用程序注册。 当“用户可以同意应用代表他们访问公司数据”设置设为“否”时,此角色还能够代表自己授权同意。 在创建新应用程序注册时,会将分配到此角色的用户添加为所有者。
攻击有效负载作者
拥有此角色的用户可以创建攻击有效负载,但不能实际启动或调度它们。 然后,租户中的所有管理员都可以使用攻击有效负载创建模拟。 对报告的访问权限仅限于用户执行的模拟,并且此角色不授予对聚合报告(如培训效能、重复罪犯、培训完成或用户覆盖范围)的访问权限。
有关详细信息,请参阅以下文章:
- 开始使用攻击模拟训练
- Microsoft Defender 门户中Microsoft Defender for Office 365权限
- /c0 中的Microsoft Purview 门户
| Actions | Description |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 在攻击模拟器中创建和管理攻击有效负载 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 读取有关攻击模拟、响应和相关培训的报告 |
攻击模拟管理员
拥有此角色的用户可以创建和管理攻击模拟创建的所有方面、启动/调度模拟以及查看模拟结果。 此角色的成员对租户中的所有模拟具有此访问权限。
有关详细信息,请参阅以下文章:
- Microsoft Defender 门户中Microsoft Defender for Office 365权限
- /c0 中的Microsoft Purview 门户
| Actions | Description |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 在攻击模拟器中创建和管理攻击有效负载 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 读取有关攻击模拟、响应和相关培训的报告 |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 在攻击模拟器中创建和管理攻击模拟模板 |
属性分配管理员
具有此角色的用户可以为受支持的Microsoft Entra对象(例如用户、服务主体和设备)分配和删除自定义安全属性密钥和值。
Important
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。
| Actions | Description |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 读取属性集的所有属性 |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | 读取Microsoft Entra托管标识的自定义安全属性值 |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | 更新Microsoft Entra托管标识的自定义安全属性值 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 读取自定义安全属性定义的所有属性 |
| microsoft.directory/devices/customSecurityAttributes/read | 读取设备的自定义安全属性值 |
| microsoft.directory/devices/customSecurityAttributes/update | 更新设备的自定义安全属性值 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | 读取服务主体的自定义安全属性值 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | 更新服务主体的自定义安全属性值 |
| microsoft.directory/users/customSecurityAttributes/read | 读取用户的自定义安全属性值 |
| microsoft.directory/users/customSecurityAttributes/update | 更新用户的自定义安全属性值 |
属性分配读取者
具有此角色的用户可以读取受支持Microsoft Entra对象的自定义安全属性密钥和值。
Important
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。
| Actions | Description |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 读取属性集的所有属性 |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | 读取Microsoft Entra托管标识的自定义安全属性值 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 读取自定义安全属性定义的所有属性 |
| microsoft.directory/devices/customSecurityAttributes/read | 读取设备的自定义安全属性值 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | 读取服务主体的自定义安全属性值 |
| microsoft.directory/users/customSecurityAttributes/read | 读取用户的自定义安全属性值 |
属性定义管理员
具有此角色的用户可以定义一组有效的自定义安全属性,这些属性可以分配给受支持的Microsoft Entra对象。 此角色还可以激活和停用自定义安全属性。
Important
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。
| Actions | Description |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | 管理属性集的所有方面 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | 管理自定义安全属性定义的所有方面 |
属性定义读取者
具有此角色的用户可以读取自定义安全属性的定义。
Important
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。
| Actions | Description |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 读取属性集的所有属性 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 读取自定义安全属性定义的所有属性 |
属性日志管理员
为需要执行以下任务的用户分配属性日志读取者角色:
- 读取自定义安全属性值更改的审核日志
- 读取自定义安全属性定义更改和分配的审核日志
- 为自定义安全属性配置诊断设置
具有此角色的用户 无法 读取其他事件的审核日志。
Important
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。
| Actions | Description |
|---|---|
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | 配置自定义安全属性诊断设置的所有方面 |
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 读取与自定义保密属性相关的审核日志 |
属性日志读取者
为需要执行以下任务的用户分配属性日志读取者角色:
- 读取自定义安全属性值更改的审核日志
- 读取自定义安全属性定义更改和分配的审核日志
具有此角色的用户 无法 执行以下任务:
- 为自定义安全属性配置诊断设置
- 读取其他事件的审核日志
Important
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅 Manage 访问 Microsoft Entra ID 中的自定义安全属性。
| Actions | Description |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 读取与自定义保密属性相关的审核日志 |
属性预配管理员
这是 特权角色。 将属性预配管理员角色分配给需要执行以下任务的用户:
- 在应用程序中预配时,读取和写入自定义安全属性的属性映射。
- 在应用程序中预配时,读取和写入自定义安全属性的预配和审核日志。
具有此角色的用户无法读取其他事件的审核日志。 此角色必须与云应用程序管理员或应用程序管理员角色(从最低到大多数特权)结合使用才能读取预配配置。
Important
此角色无法创建自定义安全属性集或直接分配或更新用户对象的自定义安全属性值。 此角色只能在预配应用中配置自定义安全属性的流。
属性预配读取器
这是 特权角色。 将属性预配读取者角色分配给需要执行以下任务的用户:
- 在应用程序中预配时,读取自定义安全属性的属性映射。
- 在应用程序中预配时,读取自定义安全属性的预配和审核日志。
具有此角色的用户无法读取其他事件的审核日志。 此角色必须与云应用程序管理员或应用程序管理员角色(从最低到大多数特权)一起使用,才能读取预配配置。
| Actions | Description |
|---|---|
| microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read | 读取同步架构中的所有自定义安全属性
|
身份验证管理员
这是 特权角色。 将身份验证管理员角色分配给需要执行以下任务的用户:
- 为非管理员和某些角色设置或重置任何身份验证方法(包括密码)。 有关身份验证管理员可以读取或更新身份验证方法的角色的列表,请参阅谁可以重置密码。
- 要求非管理员或分配给某些角色的用户重新注册现有非密码凭据(例如 MFA 或 FIDO),还可以撤销 设备上的 MFA,这会在下一次登录时提示 MFA。
- 在旧版 MFA 管理门户中管理 MFA 设置。
- 对某些用户执行敏感操作。 有关详细信息,请参阅谁可以执行敏感操作。
- 在Azure和Microsoft 365 管理中心中创建和管理支持票证。
具有此角色的用户 无法 执行以下作:
- 无法更改可 分配角色组的成员和所有者的凭据或重置 MFA。
- 无法管理硬件 OATH 令牌。
下表比较了与身份验证相关的角色的功能。
| Role | 管理用户的身份验证方法 | 管理每用户 MFA | 管理 MFA 设置 | 管理身份验证方法策略 | 管理密码保护策略 | 更新敏感属性 | 删除和还原用户 |
|---|---|---|---|---|---|---|---|
| 身份验证管理员 | 对某些用户是 | No | No | No | No | 对某些用户是 | 对某些用户是 |
| 特权身份验证管理员 | 对于所有用户为“是” | No | No | No | No | 对于所有用户为“是” | 对于所有用户为“是” |
| 身份验证策略管理员 | No | Yes | Yes | Yes | Yes | No | No |
| 用户管理员 | No | No | No | No | No | 对某些用户是 | 对某些用户是 |
Important
具有此角色的用户可以更改可能有权访问Microsoft Entra ID内外敏感或私有信息或关键配置的人员的凭据。 更改用户的凭据可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用在Microsoft Entra ID和其他地方可能具有特权权限,但未授予身份验证管理员权限。 通过此路径,身份验证管理员可以假定应用程序所有者的标识,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure订阅所有者,他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
- 安全组和Microsoft 365组所有者,他们可以管理组成员身份。 这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
- Microsoft Entra ID之外的其他服务(例如Exchange Online、Microsoft Defender XDR门户、Microsoft Purview 门户和人力资源系统)中的管理员。
- 非行政人员,如高管、法律顾问和人力资源员工,他们可能有权访问敏感信息或私人信息。
身份验证扩展性管理员
这是 特权角色。 将“身份验证扩展性管理员”角色分配给需要执行以下任务的用户:
- 创建并管理自定义身份验证扩展的所有方面。
具有此角色的用户 无法 执行以下作:
- 无法将自定义身份验证扩展分配给应用程序以修改身份验证体验,也无法同意应用程序权限或创建与自定义身份验证扩展关联的应用注册。 相反,你必须使用“应用程序管理员”、“应用程序开发人员”或“云应用程序管理员”角色。
自定义身份验证扩展是由开发人员为身份验证事件创建的 API 终结点,并在Microsoft Entra ID中注册。 应用程序管理员和应用程序所有者可以使用自定义身份验证扩展来自定义其应用程序的身份验证体验,例如登录和注册或密码重置。
| Actions | Description |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | 创建并管理自定义身份验证扩展
|
身份验证扩展性密码管理员
将身份验证扩展性密码管理员角色分配给需要执行以下任务的用户:
- 触发密码提交事件以进行自定义身份验证,将用户密码从外部标识系统迁移到Microsoft Entra 外部 ID。
| Actions | Description |
|---|---|
| microsoft.directory/onPasswordSubmitCustomAuthenticationExtension/allProperties/allTasks | 为 onPasswordSubmit 事件创建和管理自定义身份验证扩展
|
身份验证策略管理员
将身份验证策略管理员角色分配给需要执行以下任务的用户:
- 配置身份验证方法策略、租户范围的 MFA 设置及密码保护策略,用于确定每个用户可以注册和使用的方法。
- 管理密码保护设置:智能锁定配置及更新自定义受禁密码列表。
- 在旧版 MFA 管理门户中管理 MFA 设置。
- 创建和管理可验证凭据。
- 创建和管理Azure 支持票证。
具有此角色的用户 无法 执行以下作:
下表比较了与身份验证相关的角色的功能。
| Role | 管理用户的身份验证方法 | 管理每用户 MFA | 管理 MFA 设置 | 管理身份验证方法策略 | 管理密码保护策略 | 更新敏感属性 | 删除和还原用户 |
|---|---|---|---|---|---|---|---|
| 身份验证管理员 | 对某些用户是 | No | No | No | No | 对某些用户是 | 对某些用户是 |
| 特权身份验证管理员 | 对于所有用户为“是” | No | No | No | No | 对于所有用户为“是” | 对于所有用户为“是” |
| 身份验证策略管理员 | No | Yes | Yes | Yes | Yes | No | No |
| 用户管理员 | No | No | No | No | No | 对某些用户是 | 对某些用户是 |
| Actions | Description |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/organization/strongAuthentication/allTasks | 管理组织的强身份验证属性的所有方面 |
| microsoft.directory/userCredentialPolicies/basic/update | 更新用户的基本策略 |
| microsoft.directory/userCredentialPolicies/create | 创建用户的凭据策略 |
| microsoft.directory/userCredentialPolicies/delete | 删除用户的凭据策略 |
| microsoft.directory/userCredentialPolicies/owners/read | 读取用户凭据策略的所有者 |
| microsoft.directory/userCredentialPolicies/owners/update | 更新用户凭据策略的所有者 |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | 读取 policy.appliesTo 导航链接 |
| microsoft.directory/userCredentialPolicies/standard/read | 读取用户凭据策略的标准属性 |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | 更新 policy.isOrganizationDefault 属性 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 读取创建和管理可验证凭据所需的配置 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | 更新创建和管理可验证凭据所需的配置 |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 读取可验证凭据协定 |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 更新可验证凭据协定 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 读取可验证凭据卡 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 吊销可验证凭据卡 |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | 创建可验证凭据协定 |
| microsoft.directory/verifiableCredentials/configuration/create | 创建创建和管理可验证凭据所需的配置 |
| microsoft.directory/verifiableCredentials/configuration/delete | 删除创建和管理可验证凭据所需的配置,并删除其所有可验证凭据 |
Azure DevOps管理员
具有此角色的用户可以管理所有企业Azure DevOps策略,这些策略适用于Microsoft Entra ID支持的所有Azure DevOps组织。 此角色中的用户可以导航到公司Microsoft Entra ID支持的任何Azure DevOps组织来管理这些策略。 此外,此角色中的用户可以声明孤立Azure DevOps组织的所有权。 此角色不会授予公司Microsoft Entra组织支持的任何Azure DevOps组织内的任何其他特定于Azure DevOps的权限(例如Project集合管理员)。
| Actions | Description |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | 读取和配置Azure DevOps |
Azure 信息保护管理员
具有此角色的用户在 Azure 信息保护 服务中具有所有权限。 此角色允许为Azure 信息保护策略配置标签、管理保护模板和激活保护。 此角色不授予Microsoft Entra ID 保护、Privileged Identity Management、监视Microsoft 365服务运行状况、Microsoft Defender XDR门户或Microsoft Purview 门户。
| Actions | Description |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | 管理Azure 信息保护的各个方面 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
B2C IEF 密钥集管理员
这是 特权角色。 分配给此角色的用户可以创建和管理用于令牌加密、令牌签名和声明加密/解密的策略密钥和机密。 他们可以向现有密钥容器添加新密钥,从而启用机密滚动更新,而不会影响现有应用程序。 此外,此角色中的用户可以查看这些机密的完整详细信息,包括其到期日期,即使在创建后也是如此。
Important
这是一个敏感角色。 在预生产与生产期间,应仔细审核并分配密钥集管理员角色。
| Actions | Description |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | 在 Azure Active Directory B2C 中读取和配置密钥集
|
B2C IEF 策略管理员
此角色中的用户能够创建、读取、更新和删除 Azure AD B2C 中的所有自定义策略,因此可以完全控制相关Azure AD B2C 组织中的标识体验框架。 通过编辑策略,此用户可以直接与外部标识提供者建立联合、更改目录架构、更改所有面向用户的内容(HTML、CSS、JavaScript)、更改完成身份验证所需满足的要求、创建新用户、将用户数据发送到外部系统(包括完整迁移),以及编辑所有用户信息(包括密码和电话号码等敏感字段)。 相比之下,此角色无法更改加密密钥,也不能编辑组织中用于联合身份验证的机密。
Important
B2 IEF 策略管理员是一个高度敏感的角色,应该为生产中的组织分配非常有限的角色。 应该密切审核这些用户(尤其是生产环境中的组织的用户)的活动。
| Actions | Description |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | 在 Azure Active Directory B2C 中读取和配置自定义策略 |
计费管理员
进行采购、管理订阅、管理支持票证,以及监视服务运行状况。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | 管理Office 365计费的各个方面 |
| microsoft.directory/organization/basic/update | 更新组织的基本属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Cloud App Security 管理员
具有此角色的用户在Defender for Cloud Apps中具有完全权限。 他们可以添加管理员、添加Microsoft Defender for Cloud Apps策略和设置、上传日志和执行治理操作。
| Actions | Description |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 创建和删除所有资源,并在Microsoft Defender for Cloud Apps中读取和更新标准属性 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
云应用管理员
这是 特权角色。 充当此角色的用户具有与应用程序管理员角色相同的权限,但不包括管理应用程序代理的权限。 此角色授予创建和管理企业应用程序和应用程序注册的所有方面的权限。 在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。
此角色还授予同意委派权限和应用程序权限的功能,但Azure AD Graph 和Microsoft Graph的应用程序权限除外。
Important
此异常意味着你仍可以同意应用(例如其他Microsoft应用、第三方应用或已注册的应用)的应用程序权限。 你仍然可以 请求 这些权限作为应用注册的一部分,但 授予 (即同意)这些权限需要更特权的管理员,例如特权角色管理员。
此角色授予管理应用程序凭据这一功能。 分配此角色的用户可以将凭据添加到应用程序,并使用这些凭据模拟应用程序的标识。 如果向应用程序标识授予了对资源的访问权限,例如创建或更新用户或其他对象的能力,则分配给此角色的用户可以在模拟应用程序时执行这些作。 模拟应用程序标识的能力可能是用户通过角色分配可以执行的作的特权提升。 请务必了解,将用户分配到应用程序管理员角色可让他们模拟应用程序的标识。
云设备管理员
这是 特权角色。 此角色中的用户可以在Microsoft Entra ID中启用、禁用和删除设备,并在Azure门户中读取 Windows 10 BitLocker 密钥(如果存在)。 该角色不能授予设备上其他任何属性的管理权限。
合规性管理员
具有此角色的用户有权在Microsoft Purview 门户、Microsoft 365 管理中心、Azure和Microsoft Defender门户中管理与合规性相关的功能。 被分配者还可以管理Exchange 管理中心中的所有功能,并为Azure和Microsoft 365创建支持票证。 有关详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview0>Roles 和角色组。
| In | 允许事项 |
|---|---|
| Microsoft Purview 门户 | 跨 Microsoft 365 服务保护和管理组织的数据 管理合规性警报 |
| Microsoft Purview 合规性管理器 | 跟踪、分配并验证组织的法规合规性活动 |
| Microsoft Defender 门户 | 管理数据治理 执行法律和数据调查 管理数据主体请求 此角色具有与 Microsoft Defender 门户基于角色的访问控制中的 Compliance Administrator 角色组相同的权限。 |
| Intune | 查看所有 Intune 审核数据 |
| Microsoft Defender for Cloud Apps | 拥有只读权限,可以管理警报 可以创建和修改文件策略并允许执行文件管理操作 可以查看数据管理下的所有内置报表 |
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/entitlementManagement/allProperties/read | 读取Microsoft Entra权利管理中的所有属性 |
| microsoft.office365.complianceManager/allEntities/allTasks | 管理Office 365合规性管理器的各个方面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
符合性数据管理员
具有此角色的用户有权跟踪Microsoft Purview 门户、Microsoft 365 管理中心和Azure中的数据。 用户还可以跟踪Exchange 管理中心、合规性管理器和 Teams 中的合规性数据Skype for Business管理中心并为Azure和Microsoft 365创建支持票证。 有关合规性管理员与合规性数据管理员之间的差异的详细信息,请参阅Microsoft Defender for Office 365和Microsoft Purview合规性0>Roles 和角色组。
| In | 允许事项 |
|---|---|
| Microsoft Purview 门户 | 跨 Microsoft 365 服务监视与合规性相关的策略 管理合规性警报 |
| Microsoft Purview 合规性管理器 | 跟踪、分配并验证组织的法规合规性活动 |
| Microsoft 365 Defender 门户 | 管理数据治理 执行法律和数据调查 管理数据主体请求 此角色的权限与Microsoft 365 Defender门户基于角色的访问控制中的 Compliance Data Administrator 角色组相同。 |
| Intune | 查看所有 Intune 审核数据 |
| Microsoft Defender for Cloud Apps | 拥有只读权限,可以管理警报 可以创建和修改文件策略并允许执行文件管理操作 可以查看数据管理下的所有内置报表 |
| Actions | Description |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | 管理Azure 信息保护的各个方面 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 创建和删除所有资源,并在Microsoft Defender for Cloud Apps中读取和更新标准属性 |
| microsoft.office365.complianceManager/allEntities/allTasks | 管理Office 365合规性管理器的各个方面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
条件访问管理员
这是 特权角色。 具有此角色的用户能够管理Microsoft Entra 条件访问设置。
客户委派管理员关系管理员
将“客户委派管理员关系管理员”角色分配给需要执行以下任务的用户:
- 接受来自其租户的合作伙伴的精细委派管理员权限(GDAP)关系。
- 列出和查看与合作伙伴的 GDAP 关系。
- 终止与合作伙伴的 GDAP 关系。
| Actions | Description |
|---|---|
| microsoft.commerce.tenantRelationships/customerDelegatedAdminPrivileges/allProperties/allTasks | 管理客户租户中精细委派管理员权限(GDAP)关系的各个方面。 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
客户密码箱访问审批者
管理组织中的Microsoft Purview 客户密码箱请求。 他们收到客户密码箱请求的电子邮件通知,并且可以批准和拒绝来自Microsoft 365 管理中心的请求。 他们还可以开启或关闭客户密码箱功能。 只有全局管理员可以重置分配到此角色的用户的密码。
| Actions | Description |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | 管理客户密码箱的各个方面 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
桌面分析管理员
此角色中的用户可以管理桌面分析服务。 此权限包括查看资产库存、创建部署计划、查看部署和运行状况。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | 管理桌面分析的各个方面 |
目录读取器
充当此角色的用户可以读取基本的目录信息。 应将此角色用于:
- 为特定的一组来宾用户授予读取访问权限,而不是将此权限授予所有来宾用户。
- 将“限制对Microsoft Entra 管理中心的访问权限”设置为“是”时,授予对Microsoft Entra 管理中心的特定非管理员用户访问权限。
- 当“Directory.Read.All”不是选项时,为服务主体授予对目录的访问权限。
| Actions | Description |
|---|---|
| microsoft.directory/administrativeUnits/members/read | 读取管理单元的成员 |
| microsoft.directory/administrativeUnits/standard/read | 读取管理单元上的基本属性 |
| microsoft.directory/applicationPolicies/standard/read | 读取应用程序策略的标准属性 |
| microsoft.directory/applications/owners/read | 读取应用程序的所有者 |
| microsoft.directory/applications/policies/read | 读取应用程序策略 |
| microsoft.directory/applications/standard/read | 读取应用程序的标准属性 |
| microsoft.directory/contacts/memberOf/read | 读取Microsoft Entra ID中所有联系人的组成员身份 |
| microsoft.directory/contacts/standard/read | 读取Microsoft Entra ID中联系人的基本属性 |
| microsoft.directory/contracts/standard/read | 读取合作伙伴合同上的基本属性 |
| microsoft.directory/devices/memberOf/read | 读取设备成员身份 |
| microsoft.directory/devices/registeredOwners/read | 读取设备的已注册所有者 |
| microsoft.directory/devices/registeredUsers/read | 读取设备的已注册用户 |
| microsoft.directory/devices/standard/read | 读取设备上的基本属性 |
| microsoft.directory/directoryRoles/eligibleMembers/read | 读取Microsoft Entra角色的合格成员 |
| microsoft.directory/directoryRoles/members/read | 读取Microsoft Entra角色的所有成员 |
| microsoft.directory/directoryRoles/standard/read | 读取Microsoft Entra角色的基本属性 |
| microsoft.directory/domains/standard/read | 读取域上的基本属性 |
| microsoft.directory/groups/appRoleAssignments/read | 读取组的应用程序角色分配 |
| microsoft.directory/groups/memberOf/read | 读取安全组和Microsoft 365组上的 memberOf 属性,包括可分配角色的组 |
| microsoft.directory/groups/members/read | 读取安全组和Microsoft 365组的成员,包括可分配角色的组 |
| microsoft.directory/groups/owners/read | 读取安全组和Microsoft 365组的所有者,包括可分配角色的组 |
| microsoft.directory/groups/settings/read | 读取组的设置 |
| microsoft.directory/groups/standard/read | 读取安全组和Microsoft 365组的标准属性,包括可分配角色的组 |
| microsoft.directory/groupSettings/standard/read | 读取组设置的基本属性 |
| microsoft.directory/groupSettingTemplates/standard/read | 读取组设置模板的基本属性 |
| microsoft.directory/oAuth2PermissionGrants/standard/read | 读取 OAuth 2.0 权限授予的基本属性 |
| microsoft.directory/organization/standard/read | 更新组织的基本属性 |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | 读取无密码身份验证的受信任的证书颁发机构 |
| microsoft.directory/roleAssignments/standard/read | 读取角色分配的基本属性 |
| microsoft.directory/roleDefinitions/standard/read | 读取角色定义的基本属性 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 读取服务主体角色分配 |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | 读取分配给服务主体的角色分配 |
| microsoft.directory/servicePrincipals/memberOf/read | 读取服务主体的组成员身份 |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 读取服务主体的委托权限授予 |
| microsoft.directory/servicePrincipals/ownedObjects/read | 读取服务主体的拥有对象 |
| microsoft.directory/servicePrincipals/owners/read | 读取服务主体的所有者 |
| microsoft.directory/servicePrincipals/policies/read | 读取服务主体的策略 |
| microsoft.directory/servicePrincipals/standard/read | 读取服务主体的基本属性 |
| microsoft.directory/subscribedSkus/standard/read | 读取订阅的基本属性 |
| microsoft.directory/users/appRoleAssignments/read | 读取用户的应用程序角色分配 |
| microsoft.directory/users/deviceForResourceAccount/read | 读取用户的资源帐户设备 |
| microsoft.directory/users/directReports/read | 读取用户的直接下属 |
| microsoft.directory/users/invitedBy/read | 读取邀请外部用户加入租户的用户 |
| microsoft.directory/users/licenseDetails/read | 读取用户的许可证详细信息 |
| microsoft.directory/users/manager/read | 读取用户的管理员 |
| microsoft.directory/users/memberOf/read | 读取用户的组成员身份 |
| microsoft.directory/users/oAuth2PermissionGrants/read | 读取用户的委托权限授予 |
| microsoft.directory/users/ownedDevices/read | 读取用户拥有的设备 |
| microsoft.directory/users/ownedObjects/read | 读取用户拥有的对象 |
| microsoft.directory/users/photo/read | 读取用户的照片 |
| microsoft.directory/users/registeredDevices/read | 读取用户已注册的设备 |
| microsoft.directory/users/scopedRoleMemberOf/read | 读取Microsoft Entra角色的成员身份,该角色的范围限定为管理单元 |
| microsoft.directory/users/sponsorOf/read | 读取用户发起的所有代理或应用程序 |
| microsoft.directory/users/sponsors/read | 读取用户的发起人 |
| microsoft.directory/users/standard/read | 读取用户的基本属性 |
目录同步帐户
请勿使用。 此角色会自动分配给 Microsoft Entra Connect 服务,并且不会用于任何其他用途或不受支持。
| Actions | Description |
|---|---|
| microsoft.directory/onPremisesSynchronization/standard/read | 读取标准本地目录同步信息 |
目录作者
这是 特权角色。 此角色中的用户可以读取和更新用户、组和服务主体的基本信息。
域名管理员
这是 特权角色。 具有此角色的用户可以管理(读取、添加、验证、更新和删除)域名。 他们还可以读取有关用户、组和应用程序的目录信息,因为这些对象拥有域依赖项。 对于本地环境,具有此角色的用户可以配置联合身份验证的域名,以便始终在本地对关联的用户进行身份验证。 然后,这些用户可以通过单一登录使用其本地密码登录到基于Microsoft Entra的服务。 需要通过 Microsoft Entra Connect 同步联合身份验证设置,因此用户也有权管理 Microsoft Entra Connect。
龙管理员
将 Dragon 管理员角色分配给需要执行以下任务的用户:
- 在 Dragon 管理中心管理管理管理体验的各个方面
- 预配临床应用程序
- 创建和管理组织层次结构
- 监督医疗保健组
- 管理电子健康记录(EHR)系统中嵌入的各种临床应用程序的经验
- 配置临床应用程序,例如管理设置、查看分析和处理库对象
- 在 Dragon 管理中心为其组织创建、管理和查看其组织的支持票证
- 为组织购买的许可证创建、查看、管理和监视计费计划(可能需要其他角色)
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.healthPlatform/allEntities/allProperties/allTasks | 管理 Microsoft Dragon 管理中心的各个方面 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Dynamics 365管理员
将Dynamics 365管理员角色分配给需要管理Dynamics 365服务的各个方面(包括配置、用户管理和支持票证)的用户。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.dynamics365/allEntities/allTasks | 管理Dynamics 365的各个方面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Dynamics 365 Business Central管理员
将Dynamics 365 Business Central管理员角色分配给需要执行以下任务的用户:
- 访问Dynamics 365 Business Central环境
- 在环境中执行所有管理任务
- 管理客户的环境的生命周期
- 监督环境中安装的扩展
- 控制环境的升级
- 执行环境的数据导出
- 读取和配置Azure和Microsoft 365服务运行状况仪表板
此角色不提供其他Dynamics 365产品的任何权限。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.directory/domains/standard/read | 读取域上的基本属性 |
| microsoft.directory/organization/standard/read | 更新组织的基本属性 |
| microsoft.directory/subscribedSkus/standard/read | 读取订阅的基本属性 |
| microsoft.directory/users/standard/read | 读取用户的基本属性 |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | 管理Dynamics 365 Business Central的各个方面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
边缘管理员
此角色中的用户可以创建和管理Microsoft Edge上Internet Explorer模式所需的企业站点列表。 此角色授予创建、编辑和发布站点列表的权限,此外还允许访问管理支持票证。
| Actions | Description |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | 管理Microsoft Edge的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Entra备份管理员
将 Entra 备份管理员角色分配给需要执行以下任务的用户:
- 列出租户中的所有快照
- 创建过去备份的差异报表(预览作业),并选择性地包括范围筛选器
- 比较备份和恢复范围内已更改的目录对象的状态
- 筛选支持的范围筛选器的目录对象
- 作业的读取状态
- 列出所有作业,包括预览作业和恢复作业
- 触发恢复作业,并选择性地包括范围筛选器
| Actions | Description |
|---|---|
| microsoft.directory/auditLogs/standard/read | 读取审核日志上的标准属性,不包括自定义安全属性审核日志 |
| microsoft.directory/backup/preview/cancel | 取消Microsoft Entra备份操作,将备份快照与当前状态进行比较。 |
| microsoft.directory/backup/preview/create | 创建Microsoft Entra备份操作,允许用户将备份快照与当前状态进行比较。 |
| microsoft.directory/backup/recovery/cancel | 取消Microsoft Entra恢复操作以恢复备份快照的内容 |
| microsoft.directory/backup/recovery/create | 创建Microsoft Entra恢复操作,允许用户恢复备份快照的内容。 |
| microsoft.directory/backup/standard/read | 列出Microsoft Entra备份(例如备份 ID 和时间戳)、查看差异报告以及列出恢复作业及其关联属性。 |
Entra备份读取器
将 Entra 备份读取者角色分配给需要执行以下任务的用户:
- 列出租户中的所有快照
- 创建过去备份的差异报表(预览作业),并选择性地包括范围筛选器
- 比较备份和恢复范围内已更改的目录对象的状态
- 筛选支持的范围筛选器的目录对象
- 作业的读取状态
- 查看所有作业,包括预览作业和恢复作业
| Actions | Description |
|---|---|
| microsoft.directory/auditLogs/standard/read | 读取审核日志上的标准属性,不包括自定义安全属性审核日志 |
| microsoft.directory/backup/preview/cancel | 取消Microsoft Entra备份操作,将备份快照与当前状态进行比较。 |
| microsoft.directory/backup/preview/create | 创建Microsoft Entra备份操作,允许用户将备份快照与当前状态进行比较。 |
| microsoft.directory/backup/standard/read | 列出Microsoft Entra备份(例如备份 ID 和时间戳)、查看差异报告以及列出恢复作业及其关联属性。 |
Exchange管理员
当服务存在时,具有此角色的用户在Microsoft Exchange Online具有全局权限。 此外,还可以创建和管理所有Microsoft 365组、管理支持票证和监视服务运行状况。 有关详细信息,请参阅 Microsoft 365 管理中心 中的
Note
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色Exchange服务管理员命名。 在 Azure 门户中,它命名为Exchange管理员。 在 Exchange 管理中心 中,它命名为Exchange Online管理员。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理Exchange Online保护策略 |
| microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中Exchange Online的还原会话 |
| microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | 在 M365 备份中管理与所选Exchange Online邮箱关联的所有还原点 |
| microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到Exchange Online保护策略的邮箱 |
| microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中Exchange Online还原会话的邮箱 |
| microsoft.directory/contacts/allProperties/read | 读取联系人的所有属性 |
| microsoft.directory/contacts/memberOf/read | 读取Microsoft Entra ID中所有联系人的组成员身份 |
| microsoft.directory/contacts/standard/read | 读取Microsoft Entra ID中联系人的基本属性 |
| microsoft.directory/groups.unified/assignedLabels/update | 更新分配的成员身份类型的Microsoft 365组的分配标签属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/basic/update | 更新Microsoft 365组的基本属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/create | 创建Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/delete | 删除Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新Microsoft 365组的成员,不包括可分配角色的组 |
| microsoft.directory/groups.unified/owners/update | 更新Microsoft 365组的所有者,不包括可分配角色的组 |
| microsoft.directory/groups.unified/restore | 从软删除的容器还原Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups/hiddenMembers/read | 读取安全组和Microsoft 365组的隐藏成员,包括可分配角色的组 |
| microsoft.directory/onPremisesSynchronization/standard/read | 读取标准本地目录同步信息 |
| microsoft.office365.exchange/allEntities/basic/allTasks | 管理Exchange Online的各个方面 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Exchange备份管理员
将Exchange备份管理员角色分配给需要执行以下任务的用户:
- 管理Exchange Online Microsoft 365 备份的各个方面
- 备份和还原内容,包括Exchange Online的精细还原
- 为Exchange Online创建、编辑和管理备份配置策略
- 为Exchange Online执行还原操作
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理Exchange Online保护策略 |
| microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中Exchange Online的还原会话 |
| microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | 在 M365 备份中管理与所选Exchange Online邮箱关联的所有还原点 |
| microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到Exchange Online保护策略的邮箱 |
| microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中Exchange Online还原会话的邮箱 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Exchange收件人管理员
具有此角色的用户对收件人具有读取访问权限,并且对Exchange Online中这些收件人的属性具有写入访问权限。 有关详细信息,请参阅 Exchange Server0>recipients。
| Actions | Description |
|---|---|
| microsoft.office365.exchange/migration/allProperties/allTasks | 管理与Exchange Online中收件人迁移相关的所有任务 |
| microsoft.office365.exchange/recipients/allProperties/allTasks | 创建和删除所有收件人,并在Exchange Online中读取和更新收件人的所有属性 |
外部 ID 用户流管理员
具有此角色的用户可以在Azure门户中创建和管理用户流(也称为“内置”策略)。 这些用户可以自定义 HTML/CSS/JavaScript 内容、更改 MFA 要求、在令牌中选择声明、管理 API 连接器及其凭据,并为Microsoft Entra组织中的所有用户流配置会话设置。 但是,此角色无法查看用户数据,也无法对组织架构中包含的属性进行更改。 对 Identity Experience Framework 策略(也称为自定义策略)的更改也超出了此角色的权限范围。
| Actions | Description |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | 在 Azure Active Directory B2C 中读取和配置用户流 |
外部 ID 用户流属性管理员
具有此角色的用户添加或删除Microsoft Entra组织中的所有用户流可用的自定义属性。 因此,具有此角色的用户可以更改或向最终用户架构添加新元素,并影响所有用户流的行为,并间接导致对最终用户可能要求的数据进行更改,并最终作为声明发送到应用程序。 此角色无法编辑用户流。
| Actions | Description |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | 在 Azure Active Directory B2C 中读取和配置用户属性 |
外部标识提供者管理员
这是 特权角色。 此管理员管理Microsoft Entra组织和外部标识提供者之间的联合身份验证。 用户可以使用此角色添加新的标识提供者及配置所有可用设置(例如身份验证路径、服务 ID 和分配的密钥容器)。 此用户可以使Microsoft Entra组织能够信任来自外部标识提供者的身份验证。 对最终用户体验造成的影响取决于组织类型:
- Microsoft Entra员工和合作伙伴的组织:添加联合身份验证(例如 Gmail)将立即影响尚未兑换的所有来宾邀请。
- Azure Active Directory B2C 组织:添加联合身份验证(例如,与另一个Microsoft Entra组织)不会立即影响最终用户流,直到在用户流中添加标识提供者作为选项(也称为内置策略)。 若要更改用户流,需要使用受限角色“B2C 用户流管理员”。
| Actions | Description |
|---|---|
| microsoft.directory/domains/federation/update | 更新域的联合属性
|
| microsoft.directory/identityProviders/allProperties/allTasks | 在 Azure Active Directory B2C 中读取和配置标识提供者
|
Fabric管理员
具有此角色的用户在Microsoft Fabric和Power BI中具有全局权限,当服务存在时,以及管理支持票证和监视服务运行状况的功能。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.powerApps.powerBI/allEntities/allTasks | 管理Fabric和Power BI的各个方面 |
全局管理员
这是 特权角色。 具有此角色的用户有权访问Microsoft Entra ID中的所有管理功能,以及使用Microsoft Entra标识的服务(如Microsoft Defender门户、Microsoft Purview 门户)Exchange Online、SharePoint Online 和 Skype for Business Online。 全局管理员可以查看目录活动日志。 此外,全局管理员可以删除其访问权限来管理所有Azure订阅和管理组。 这样,全局管理员就可以使用相应的Microsoft Entra租户来完全访问所有Azure资源。 注册Microsoft Entra组织的人员将成为全局管理员。 公司中可以有多个全局管理员。 全局管理员可以为任何用户和所有其他管理员重置密码。 全局管理员无法删除其自己的全局管理员分配。 这是为了防止组织无全局管理员的情况。
Note
最佳做法是,Microsoft建议将全局管理员角色分配给组织中少于 5 个人。 有关详细信息,请参阅有关Microsoft Entra角色的最佳做法。
全球阅读器
这是 特权角色。 此角色中的用户可以跨Microsoft 365服务读取设置和管理信息,但无法执行管理操作。 全局读取者是对应于全局管理员的只读角色。 满足规划、审核或调查目的时,请分配全局读取者,而不要分配全局管理员。 将全局读取者与其他受限管理员角色(如 Exchange 管理员)结合使用,以便更轻松地完成工作,而无需分配全局管理员角色。 全局读取者适用于 Microsoft 365 管理中心、Exchange 管理中心、SharePoint 管理中心、Teams 管理中心、Microsoft Defender 门户、Microsoft Purview 门户、Azure 门户和设备管理管理中心。
具有此角色的用户 无法 执行以下作:
- 无法访问Microsoft 365 管理中心中的“购买服务”区域。
Note
全局读取者角色具有以下限制:
- OneDrive管理中心 - OneDrive管理中心不支持全局读取者角色
- Microsoft Defender门户 - 全局读取者无法执行内容搜索或查看安全功能分数。
- Teams 管理中心 - 全局读取者无法读取“Teams 生命周期”、“分析和报告”、“IP 电话设备管理”和“应用目录”。 有关详细信息,请参阅 使用Microsoft Teams管理员角色来管理 Teams。
- Privileged Access Management 不支持全局读取者角色。
Azure 信息保护 - 仅当Microsoft Entra组织不在统一标记平台 >。- SharePoint - 全局读取者对 SharePoint Online PowerShell cmdlet 和读取 API 具有读取访问权限。
- Power Platform 管理中心 - Power Platform 管理中心尚不支持全局读取者。
- Microsoft Purview不支持全局读取者角色。
全局安全访问管理员
将全局安全访问管理员角色分配给需要执行以下操作的用户:
- 创建和管理Microsoft Entra Internet 访问和Microsoft Entra 专用访问的各个方面
- 管理对公共终结点和专用终结点的访问
具有此角色的用户 无法 执行以下作:
- 无法管理企业应用程序、应用程序注册、条件访问或应用程序代理设置
| Actions | Description |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/applicationPolicies/standard/read | 读取应用程序策略的标准属性 |
| microsoft.directory/applications/applicationProxy/read | 读取所有应用程序代理属性 |
| microsoft.directory/applications/owners/read | 读取应用程序的所有者 |
| microsoft.directory/applications/policies/read | 读取应用程序策略 |
| microsoft.directory/applications/standard/read | 读取应用程序的标准属性 |
| microsoft.directory/auditLogs/allProperties/read | 读取审核日志上的所有属性,不包括自定义安全属性审核日志 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 读取条件访问策略 |
| microsoft.directory/connectorGroups/allProperties/read | 读取应用程序代理连接器组的所有属性 |
| microsoft.directory/connectors/allProperties/read | 读取应用程序代理连接器的所有属性 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 读取默认跨租户访问策略的基本属性 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 读取合作伙伴的跨租户访问策略的基本属性 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 读取跨租户访问策略的基本属性 |
| microsoft.directory/namedLocations/standard/read | 读取定义网络位置的自定义规则的基本属性 |
| microsoft.directory/signInReports/allProperties/read | 读取登录报告上的所有属性,包括特权属性 |
| microsoft.networkAccess/allEntities/allProperties/allTasks | 管理Microsoft Entra网络访问的各个方面 |
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
全局安全访问日志读取器
将全局安全访问日志读取者角色分配给需要执行以下作的用户:
- 读取Microsoft Entra Internet 访问和Microsoft Entra 专用访问中的网络流量日志以供指定安全人员分析
- 查看日志详细信息,例如会话、连接和事务
- 根据 IP 地址和域等条件筛选日志
| Actions | Description |
|---|---|
| microsoft.networkAccess/trafficLogs/standard/read | 读取流量日志的标准属性,例如 DeviceId、DestinationIp 和 PolicyRuleId |
组管理员
此角色中的用户可以创建/管理组及其设置,如命名和过期策略。 请务必了解,将用户分配到此角色后,除了Outlook之外,还能够跨 Teams、SharePoint、Yammer 等各种工作负荷管理组织中的所有组。 此外,用户将能够跨各种管理门户(例如Microsoft管理中心、Azure门户以及特定于工作负荷的组设置(如 Teams 和SharePoint管理中心)管理各种组设置。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/bulkJobs.groups/basic/update | 更新与组相关的批量作业 |
| microsoft.directory/bulkJobs.groups/create | 创建与组相关的批量作业 |
| microsoft.directory/bulkJobs.groups/standard/read | 读取与组相关的批量作业 |
| microsoft.directory/deletedItems.groups/delete | 永久删除无法再还原的组 |
| microsoft.directory/deletedItems.groups/restore | 将软删除的组还原到原始状态 |
| microsoft.directory/groups/assignedLabels/update | 更新分配的成员身份类型的组的分配标签属性,不包括可分配角色的组 |
| microsoft.directory/groups/assignLicense | 将产品许可证分配给组以执行基于组的许可 |
| microsoft.directory/groups/basic/update | 更新安全组和Microsoft 365组的基本属性,不包括可分配角色的组 |
| microsoft.directory/groups/classification/update | 更新安全组和Microsoft 365组的分类属性,不包括可分配角色的组 |
| microsoft.directory/groups/create | 创建安全组和Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups/delete | 删除安全组和Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups/dynamicMembershipRule/update | 更新安全组和Microsoft 365组的动态成员身份规则,不包括可分配角色的组 |
| microsoft.directory/groups/groupType/update | 更新会影响安全组和Microsoft 365组的组类型的属性,不包括可分配角色的组 |
| microsoft.directory/groups/hiddenMembers/read | 读取安全组和Microsoft 365组的隐藏成员,包括可分配角色的组 |
| microsoft.directory/groups/members/update | 更新安全组和Microsoft 365组的成员,不包括可分配角色的组 |
| microsoft.directory/groups/onPremWriteBack/update | 使用 Microsoft Entra Connect 更新要写回本地的Microsoft Entra组 |
| microsoft.directory/groups/owners/update | 更新安全组和Microsoft 365组的所有者,不包括可分配角色的组 |
| microsoft.directory/groups/reprocessLicenseAssignment | 重新处理基于组的许可的许可证分配 |
| microsoft.directory/groups/restore | 从软删除的容器中还原组 |
| microsoft.directory/groups/settings/update | 更新组的设置 |
| microsoft.directory/groups/visibility/update | 更新安全组和Microsoft 365组的可见性属性,不包括可分配角色的组 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
邀请来宾的人
当 Members 可以邀请用户设置设置为“否”时,此角色中的用户可以管理Microsoft Entra B2B 来宾用户邀请。 它不包括任何其他权限。
| Actions | Description |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | 读取用户的应用程序角色分配 |
| microsoft.directory/users/deviceForResourceAccount/read | 读取用户的资源帐户设备 |
| microsoft.directory/users/directReports/read | 读取用户的直接下属 |
| microsoft.directory/users/invitedBy/read | 读取邀请外部用户加入租户的用户 |
| microsoft.directory/users/inviteGuest | 邀请来宾用户 |
| microsoft.directory/users/licenseDetails/read | 读取用户的许可证详细信息 |
| microsoft.directory/users/manager/read | 读取用户的管理员 |
| microsoft.directory/users/memberOf/read | 读取用户的组成员身份 |
| microsoft.directory/users/oAuth2PermissionGrants/read | 读取用户的委托权限授予 |
| microsoft.directory/users/ownedDevices/read | 读取用户拥有的设备 |
| microsoft.directory/users/ownedObjects/read | 读取用户拥有的对象 |
| microsoft.directory/users/photo/read | 读取用户的照片 |
| microsoft.directory/users/registeredDevices/read | 读取用户已注册的设备 |
| microsoft.directory/users/scopedRoleMemberOf/read | 读取Microsoft Entra角色的成员身份,该角色的范围限定为管理单元 |
| microsoft.directory/users/sponsorOf/read | 读取用户发起的所有代理或应用程序 |
| microsoft.directory/users/sponsors/read | 读取用户的发起人 |
| microsoft.directory/users/standard/read | 读取用户的基本属性 |
服务台管理员
这是 特权角色。 具有此角色的用户可以更改密码、使刷新令牌失效、使用Azure和Microsoft 365服务Microsoft创建和管理支持请求,以及监视服务运行状况。 使刷新令牌失效会强制用户重新登录。 支持管理员是否可以重置用户的密码和使刷新令牌失效取决于分配给用户的角色。 有关支持管理员可以为其重置密码和使刷新令牌失效的角色的列表,请参阅谁可以重置密码。
具有此角色的用户 无法 执行以下作:
- 无法更改可 分配角色组的成员和所有者的凭据或重置 MFA。
Important
具有此角色的用户可以更改可能有权访问Microsoft Entra ID内外敏感或私有信息或关键配置的人员的密码。 更改用户的密码可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用可能在Microsoft Entra ID和未授予支持管理员的其他位置的特权权限。 通过此路径,支持人员管理员可能能够假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure订阅所有者,他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
- 安全组和Microsoft 365组所有者,他们可以管理组成员身份。 这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
- Microsoft Entra ID之外的其他服务的管理员,例如Exchange Online、Microsoft Defender门户、Microsoft Purview 门户和人力资源系统。
- 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
可以通过 管理单元将管理权限委派给部分用户,并将策略应用到一部分用户。
此角色以前在 Azure 门户中名为密码管理员。 它已重命名为支持管理员,使其与 Microsoft Graph API 中的现有名称保持一致,并Microsoft Graph PowerShell。
混合标识管理员
这是 特权角色。 具有此角色的用户可以使用云预配系统创建、管理和部署从 Active Directory 到 Microsoft Entra ID 的预配配置设置,还可管理 Microsoft Entra Connect、直通身份验证 (PTA)、密码哈希同步 (PHS)、无缝单一登录(无缝 SSO)和联合设置。 无权管理 Microsoft Entra Connect Health。 用户还可以使用此角色对日志进行故障排除和监视。
Identity Governance 管理员
具有此角色的用户可以管理Microsoft Entra ID 治理配置,包括访问包、访问评审、目录和策略,确保已批准和评审访问权限,以及不再需要访问权限的来宾用户。
Insights 管理员
此角色中的用户可以访问Microsoft Viva Insights应用中的完整管理功能集。 此角色能够读取目录信息,监视服务运行状况,提交支持票证,并访问 Insights 各方面的管理员设置。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.insights/allEntities/allProperties/allTasks | 管理 Insights 应用的各个方面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Insights 分析师
将 Insights 分析师角色分配给需要执行以下任务的用户:
- 分析Microsoft Viva Insights应用中的数据,但无法管理任何配置设置
- 创建、管理和运行测试
- 在Microsoft 365 管理中心中查看基本设置和报表
- 在Microsoft 365 管理中心中创建和管理服务请求
| Actions | Description |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | 在 Viva Insights 中运行和管理查询 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Insights 业务主管
此角色中的用户可以通过Microsoft Viva Insights应用访问一组仪表板和见解。 其中包括对所有仪表板以及提供的见解和数据探索功能的完全访问权限。 具有此角色的用户无权访问由 Insights 管理员角色负责的产品配置设置。
| Actions | Description |
|---|---|
| microsoft.insights/programs/allProperties/update | 在 Insights 应用中部署和管理计划 |
| microsoft.insights/reports/allProperties/read | 在 Insights 应用中查看报表和面板 |
Intune 管理员
这是 特权角色。 当存在服务时,具有此角色的用户在 Microsoft Intune Online 中具有全局权限。 此外,此角色包含管理以关联策略,以及创建和管理组的用户和设备的能力。 有关详细信息,请参阅基于 RBAC 的管理控制(RBAC),其中包含 Microsoft Intune。
此角色可创建和管理所有安全组。 但是,Intune 管理员对Microsoft 365组没有管理员权限。 这意味着管理员无法更新组织中所有Microsoft 365组的所有者或成员身份。 但是,他/她可以管理他创建的Microsoft 365组,作为其最终用户特权的一部分。 因此,他/她创建的任何Microsoft 365组(而不是安全组)都应计入其 250 的配额。
Note
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色名为 Intune 服务管理员。 在 Azure 门户中,它名为 Intune 管理员。
IoT 设备管理员
将 IoT 设备管理员角色分配给需要执行以下任务的用户:
- 使用设备模板预配新的 IoT 设备
- 管理 IoT 设备的生命周期
- 配置用于 IoT 设备身份验证的证书
- 管理 IoT 设备模板的生命周期
| Actions | Description |
|---|---|
| microsoft.directory/certificateBasedDeviceAuthConfigurations/create | 为 IoT 设备信任和身份验证创建证书颁发机构配置 |
| microsoft.directory/certificateBasedDeviceAuthConfigurations/credentials/update | 更新物联网(IoT)设备信任和身份验证的证书颁发机构配置上的信条相关属性 |
| microsoft.directory/certificateBasedDeviceAuthConfigurations/delete | 删除物联网(IoT)设备的证书颁发机构配置 |
| microsoft.directory/certificateBasedDeviceAuthConfigurations/standard/read | 读取物联网(IoT)设备信任和身份验证的证书颁发机构配置的标准属性 |
| microsoft.directory/deviceTemplates/create | 创建物联网(IoT)设备模板 |
| microsoft.directory/deviceTemplates/createDeviceFromTemplate | 从物联网(IoT)设备模板创建 IoT 设备 |
| microsoft.directory/deviceTemplates/delete | 删除物联网(IoT)设备模板 |
| microsoft.directory/deviceTemplates/deviceInstances/read | 从物联网(IoT)设备链接读取设备实例 |
| microsoft.directory/deviceTemplates/owners/read | 读取物联网(IoT)设备模板上的所有者 |
| microsoft.directory/deviceTemplates/owners/update | 更新物联网(IoT)设备模板上的所有者 |
Kaizala 管理员
具有此角色的用户具有全局权限来管理Microsoft Kaizala内的设置(当服务存在时),以及管理支持票证和监视服务运行状况的功能。 此外,用户还可以访问与组织成员采用和使用 Kaizala 有关的报告,以及使用 Kaizala 操作生成的业务报告。
| Actions | Description |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
知识管理员
此角色中的用户可以完全访问Microsoft 365 管理中心中的所有知识、学习和智能功能设置。 用户大致了解产品套件、许可详细信息,并负责控制访问权限。 知识管理员可创建和管理内容,例如主题、首字母缩写词和学习资源。 此外,这些用户可以创建内容中心、监视服务运行状况和创建服务请求。
| Actions | Description |
|---|---|
| microsoft.directory/groups.security/basic/update | 更新安全组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups.security/create | 创建安全组(不包括可分配角色的组) |
| microsoft.directory/groups.security/createAsOwner | 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。 |
| microsoft.directory/groups.security/delete | 删除安全组(不包括可分配角色的组) |
| microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security/owners/update | 更新安全组(不包括可分配角色的组)的所有者 |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | 读取和更新Microsoft 365 管理中心中内容理解的所有属性 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | 读取和更新Microsoft 365 管理中心中知识网络的所有属性 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | 在学习应用中管理学习资源及其所有属性。 |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | 在安全与合规中心读取敏感度标签的所有属性 |
| microsoft.office365.sharePoint/allEntities/allTasks | 创建和删除所有资源,并在SharePoint中读取和更新标准属性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
知识管理器
具有此角色的用户可以创建和管理内容,例如主题、首字母缩写词和学习内容。 这些用户主要负责知识的质量和结构。 此用户对主题管理操作具有完整权限,可确认主题、批准编辑或删除主题。 此角色还可以管理作为术语库管理工具的一部分的分类并创建内容中心。
| Actions | Description |
|---|---|
| microsoft.directory/groups.security/basic/update | 更新安全组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups.security/create | 创建安全组(不包括可分配角色的组) |
| microsoft.directory/groups.security/createAsOwner | 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。 |
| microsoft.directory/groups.security/delete | 删除安全组(不包括可分配角色的组) |
| microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security/owners/update | 更新安全组(不包括可分配角色的组)的所有者 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | 在 Microsoft 365 管理中心 中读取内容理解的分析报告 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | 管理Microsoft 365 管理中心中知识网络的主题可见性 |
| microsoft.office365.sharePoint/allEntities/allTasks | 创建和删除所有资源,并在SharePoint中读取和更新标准属性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
许可证管理员
具有此角色的用户可以读取、添加、删除和更新用户、组(使用基于组的许可)的许可证分配,以及管理用户的使用位置。 该角色不授予在使用位置之外购买或管理订阅、创建或管理组,或者创建或管理用户的权限。 此角色无权查看、创建或管理支持票证。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.directory/groups/assignLicense | 将产品许可证分配给组以执行基于组的许可 |
| microsoft.directory/groups/reprocessLicenseAssignment | 重新处理基于组的许可的许可证分配 |
| microsoft.directory/users/assignLicense | 管理用户许可证 |
| microsoft.directory/users/reprocessLicenseAssignment | 重新处理用户的许可证分配 |
| microsoft.directory/users/usageLocation/update | 更新用户的使用位置 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
生命周期工作流管理员
这是 特权角色。 将生命周期工作流管理员角色分配给需要执行以下任务的用户:
- 在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的各个方面
- 检查计划工作流的执行情况
- 按需启动工作流运行
- 检查工作流执行日志
消息中心隐私读取者
充当此角色的用户可以监视消息中心的所有通知,包括数据隐私消息。 消息中心隐私读取者会收到电子邮件通知(包括与数据隐私相关的通知),并可以使用邮件中心首选项取消订阅。 只有全局管理员和消息中心隐私读取者才能阅读数据隐私消息。 此外,此角色还能查看组、域和订阅。 此角色无权查看、创建或管理服务请求。
| Actions | Description |
|---|---|
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.messageCenter/securityMessages/read | 在Microsoft 365 管理中心的消息中心读取安全消息 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
消息中心读取者
此角色中的用户可以在 Message 中心监视其组织的已配置服务(如 Exchange、Intune 和 Microsoft Teams)中的通知和咨询运行状况更新。 消息中心读者每周收到文章、更新的电子邮件摘要,并且可以在Microsoft 365中共享消息中心文章。 在Microsoft Entra ID中,分配给此角色的用户仅对Microsoft Entra服务(如用户和组)具有只读访问权限。 此角色无权查看、创建或管理支持票证。
| Actions | Description |
|---|---|
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Microsoft 365 备份管理员
将Microsoft 365 备份管理员角色分配给需要执行以下任务的用户:
- 管理Microsoft 365 备份的各个方面
- 为SharePoint、OneDrive和Exchange Online创建、编辑和管理备份配置策略
- 对备份SharePoint站点、OneDrive帐户和Exchange邮箱执行还原操作
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.backup/allEntities/allProperties/allTasks | 管理Microsoft 365 备份的各个方面 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Microsoft 365迁移管理员
将Microsoft 365迁移管理员角色分配给需要执行以下任务的用户:
- 使用Microsoft 365 管理中心中的迁移管理器管理从 Google Drive、Dropbox、Box 和 Egnyte 到 Microsoft 365 的内容迁移,包括 Teams、OneDrive for Business 和 SharePoint 网站
- 选择迁移源、创建迁移清单(如 Google Drive 用户列表)、计划和执行迁移,下载报告
- 如果目标网站尚不存在,请创建新的SharePoint网站,在SharePoint管理网站下创建SharePoint列表,并在SharePoint列表中创建和更新项目
- 管理任务的迁移项目设置和迁移生命周期
- 管理从源到目标的权限映射
Note
此角色不允许使用SharePoint 管理中心从文件共享源迁移。 可以使用SharePoint管理员角色从文件共享源迁移。
| Actions | Description |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理Microsoft 365迁移的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
已加入Microsoft Entra设备本地管理员
此角色仅适用于 在设备设置中作为其他本地管理员进行分配。 具有此角色的用户将成为已加入Microsoft Entra ID的所有Windows 10或更新设备上的本地计算机管理员。 它们无法管理Microsoft Entra ID中的设备对象。
| Actions | Description |
|---|---|
| microsoft.directory/groupSettings/standard/read | 读取组设置的基本属性 |
| microsoft.directory/groupSettingTemplates/standard/read | 读取组设置模板的基本属性 |
Microsoft Graph Data Connect 管理员
将 Microsoft Graph Data Connect 管理员角色分配给需要执行以下任务的用户:
- 访问 Microsoft Graph Data Connect 的完整管理功能集
- 管理租户中的Microsoft Graph数据连接设置
- 启用或禁用Microsoft Graph数据连接服务
- 在 Microsoft Graph Data Connect 中配置数据集工作负荷选择
- 在 Microsoft Graph Data Connect 中配置跨租户数据移动设置
- 查看、批准或拒绝Microsoft Graph数据连接的应用程序授权请求
- 查看、创建、更新或删除Microsoft Graph数据连接的应用程序注册
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.graph.dataConnect/allEntities/allProperties/allTasks | 管理Microsoft Graph数据连接的各个方面 |
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
网络管理员
此角色中的用户可以查看来自Microsoft的网络外围体系结构建议,这些建议基于来自其用户位置的网络遥测数据。 Microsoft 365的网络性能依赖于谨慎的企业客户网络外围体系结构,该体系结构通常特定于用户位置。 此角色允许编辑这些位置的已发现用户位置和网络参数配置,以便改进遥测度量和设计建议。
| Actions | Description |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | 管理网络位置的各个方面 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Office 应用管理员
此角色中的用户可以管理Microsoft 365应用的云设置。 这包括云策略管理、自助下载管理,以及查看与 Office 应用相关的报表的功能。 此外,该角色还可以在主管理中心管理支持票证和监视服务运行状况。 分配了此角色的用户还可以管理 Office 应用中新功能的通信。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.userCommunication/allEntities/allTasks | 读取和更新新增功能消息的可见性 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
组织品牌打造管理员
将组织品牌打造管理员角色分配给需要执行以下任务的用户:
- 管理租户中组织品牌打造的各个方面
- 读取、创建、更新和删除品牌打造主题
- 管理默认品牌打造主题和所有品牌打造本地化主题
| Actions | Description |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | 创建和删除 loginTenantBranding,读取和更新所有属性 |
组织数据源管理员
将组织数据源管理员角色分配给需要执行以下任务的用户:
- 管理与引入和管理Microsoft 365和Microsoft Viva应用程序的组织数据相关的设置
- 在Microsoft 365和Microsoft Viva应用程序中上传、更新和删除引入的组织数据
- 从授权的应用程序导出组织数据
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.microsoft365.organizationalData/allEntities/allProperties/allTasks | 在 Microsoft 365 中管理组织数据的各个方面 |
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
组织消息审批者
将组织消息审批者角色分配给需要执行以下任务的用户:
- 使用 Microsoft 365 组织消息平台将新组织消息发送到用户之前,先查看、批准或拒绝新组织邮件以在Microsoft 365 管理中心中传递
- 读取组织消息的各个方面
- 读取Microsoft 365 管理中心中所有资源的基本属性
| Actions | Description |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | 阅读Microsoft 365组织消息的各个方面 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | 批准或拒绝Microsoft 365 管理中心中传递的新组织邮件 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
组织消息编写者
将组织消息编写者角色分配给需要执行以下任务的用户:
- 使用Microsoft 365 管理中心或Microsoft Intune编写、发布和删除组织消息
- 使用Microsoft 365 管理中心或Microsoft Intune管理组织邮件传递选项
- 使用Microsoft 365 管理中心或Microsoft Intune读取组织邮件传递结果
- 查看Microsoft 365 管理中心中的使用情况报告和大多数设置,但无法进行更改
| Actions | Description |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | 管理Microsoft 365组织消息的所有创作方面 |
| microsoft.office365.usageReports/allEntities/standard/read | 读取租户级聚合Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
密码管理员
这是 特权角色。 具有此角色的用户可以管理密码,但权限受限。 此角色不会授予管理服务请求或监视服务运行状况的能力。 密码管理员是否可以重置用户的密码取决于分配给用户的角色。 有关密码管理员可以为其重置密码的角色的列表,请参阅谁可以重置密码。
具有此角色的用户 无法 执行以下作:
- 无法更改可 分配角色组的成员和所有者的凭据或重置 MFA。
| Actions | Description |
|---|---|
| microsoft.directory/users/password/update | 重置所有用户的密码
|
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
人员管理员
将“人员管理员”角色分配给需要执行以下任务的用户:
- 更新所有用户(包括管理员)的个人资料照片
- 更新所有用户的人员设置,例如代词、姓名发音和个人资料卡设置
| Actions | Description |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.people/users/photo/read | 读取用户的个人资料照片 |
| microsoft.people/users/photo/update | 更新用户的个人资料照片 |
| microsoft.peopleAdmin/organization/allProperties/read | 读取用户的人员设置,例如代词、姓名发音和个人资料卡设置 |
| microsoft.peopleAdmin/organization/allProperties/update | 更新用户的人员设置,例如代词、姓名发音和个人资料卡设置 |
放置管理员
将“位置管理员”角色分配给需要执行以下任务的用户:
- 管理 Microsoft Places 服务的各个方面
- 配置和管理建筑物、楼层、房间和办公桌
- 监督和管理关联的预订策略
| Actions | Description |
|---|---|
| microsoft.places/allEntities/allProperties/allTasks | 管理 Microsoft Places 服务的各个方面 |
Power Platform 管理员
此角色中的用户可以创建和管理环境的各个方面,Power Apps、流、数据丢失防护策略。 另外,具有此角色的用户可以管理支持票证并监视服务运行状况。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.dynamics365/allEntities/allTasks | 管理Dynamics 365的各个方面 |
| microsoft.flow/allEntities/allTasks | 管理Microsoft Power Automate的各个方面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.powerApps/allEntities/allTasks | 管理Power Apps的各个方面 |
打印机管理员
此角色中的用户可以注册打印机并管理Microsoft 通用打印解决方案中所有打印机配置的各个方面,包括通用打印连接器设置。 他们可以同意所有委托的打印权限请求。 打印机管理员还有权访问打印报告。
| Actions | Description |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | 创建和删除打印机和连接器,并读取和更新Microsoft打印中的所有属性 |
打印机技术人员
具有此角色的用户可以在Microsoft 通用打印解决方案中注册打印机和管理打印机状态。 他们还可以读取所有连接器信息。 打印机技术人员无法执行的重要任务是设置用户对打印机的权限以及共享打印机。
| Actions | Description |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | 读取 Microsoft Print 中连接器的所有属性 |
| microsoft.azure.print/printers/allProperties/read | 读取Microsoft打印中打印机的所有属性 |
| microsoft.azure.print/printers/basic/update | 在 Microsoft Print 中更新打印机的基本属性 |
| microsoft.azure.print/printers/register | 在Microsoft打印中注册打印机 |
| microsoft.azure.print/printers/unregister | 在 Microsoft Print 中注销打印机 |
特权身份验证管理员
这是 特权角色。 将特权身份验证管理员角色分配给需要执行以下任务的用户:
- 为任何用户(包括全局管理员)设置或重置身份验证方法(包括密码)。
- 删除或还原任何用户,包括全局管理员。 有关详细信息,请参阅谁可以执行敏感操作。
- 强制用户重新注册现有非密码凭据(例如 MFA 或 FIDO2),以及撤销“在设备上记住 MFA”(所有用户下次登录时系统会提示其执行 MFA)。
- 为所有用户更新敏感属性。 有关详细信息,请参阅谁可以执行敏感操作。
- 在Azure和Microsoft 365 管理中心中创建和管理支持票证。
- 使用基于 PKI 的信任存储配置证书颁发机构(预览)
具有此角色的用户 无法 执行以下作:
- 无法管理旧版 MFA 管理门户中的每用户 MFA。
下表比较了与身份验证相关的角色的功能。
| Role | 管理用户的身份验证方法 | 管理每用户 MFA | 管理 MFA 设置 | 管理身份验证方法策略 | 管理密码保护策略 | 更新敏感属性 | 删除和还原用户 |
|---|---|---|---|---|---|---|---|
| 身份验证管理员 | 对某些用户是 | No | No | No | No | 对某些用户是 | 对某些用户是 |
| 特权身份验证管理员 | 对于所有用户为“是” | No | No | No | No | 对于所有用户为“是” | 对于所有用户为“是” |
| 身份验证策略管理员 | No | Yes | Yes | Yes | Yes | No | No |
| 用户管理员 | No | No | No | No | No | 对某些用户是 | 对某些用户是 |
Important
具有此角色的用户可以更改可能有权访问Microsoft Entra ID内外敏感或私有信息或关键配置的人员的凭据。 更改用户的凭据可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用在Microsoft Entra ID和其他地方可能具有特权权限,但未授予身份验证管理员权限。 通过此路径,身份验证管理员可以假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure订阅所有者,他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
- 安全组和Microsoft 365组所有者,他们可以管理组成员身份。 这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
- Microsoft Entra ID以外的其他服务的管理员,例如Exchange Online、Microsoft Defender门户、Microsoft Purview 门户和人力资源系统。
- 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
特权角色管理员
这是 特权角色。 具有此角色的用户可以在Microsoft Entra ID以及Microsoft Entra Privileged Identity Management内管理角色分配。 他们可以创建和管理可分配给Microsoft Entra角色的组。 此外,此角色允许管理Privileged Identity Management和管理单元的各个方面。
Important
此角色授予管理所有Microsoft Entra角色(包括全局管理员角色)的分配的能力。 此角色不包括Microsoft Entra ID的任何其他特权功能,例如创建或更新用户。 但是,分配到此角色的用户可通过分配其他角色,授予自己或其他人额外的特权。
Purview 工作负载内容管理员
将 Purview 工作负荷内容管理员角色分配给需要执行以下任务的用户:
- 从Microsoft Purview 门户访问时管理或清除Microsoft 365数据(例如SharePoint、Teams、OneDrive或Exchange)
Important
通过Microsoft Purview 门户分配此角色。 如果尝试使用Microsoft Entra 管理中心分配此角色,可能会覆盖该角色。
Microsoft Purview使用角色组来限制用户可以在Microsoft Purview 门户中执行的任务。
Purview 工作负载内容读取器
将 Purview 工作负荷内容读取者角色分配给需要执行以下任务的用户:
- 在处理从Microsoft Purview 门户提交的长时间运行的操作时,从Microsoft 365读取数据(例如SharePoint、Teams、OneDrive或Exchange)。
Important
通过Microsoft Purview 门户分配此角色。 如果尝试使用Microsoft Entra 管理中心分配此角色,可能会覆盖该角色。
Microsoft Purview使用角色组来限制用户可以在Microsoft Purview 门户中执行的任务。
Purview 工作负载内容编写器
将 Purview 工作负荷内容编写器角色分配给需要执行以下任务的用户:
- 从Microsoft Purview 门户访问时读取和编辑Microsoft 365数据(如 SharePoint、Teams、OneDrive 或 Exchange)
Important
通过Microsoft Purview 门户分配此角色。 如果尝试使用Microsoft Entra 管理中心分配此角色,可能会覆盖该角色。
Microsoft Purview使用角色组来限制用户可以在Microsoft Purview 门户中执行的任务。
报告读取者
具有此角色的用户可以查看Microsoft 365 管理中心中的使用情况报告数据和报表仪表板,以及Fabric和Power BI中的采用上下文包。 此外,该角色还提供对Microsoft Graph报告 API 返回Microsoft Entra ID中的所有登录日志、审核日志和活动报告的访问权限。 分配到“报告读者”角色的用户只能访问相关使用情况和采用指标。 他们没有任何管理员权限来配置设置或访问特定于产品的管理中心,例如Exchange。 此角色无权查看、创建或管理支持票证。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.directory/auditLogs/allProperties/read | 读取审核日志上的所有属性,不包括自定义安全属性审核日志 |
| microsoft.directory/signInReports/allProperties/read | 读取登录报告上的所有属性,包括特权属性 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
搜索管理员
此角色中的用户对Microsoft 365 管理中心中的所有Microsoft 搜索管理功能具有完全访问权限。 此外,这些用户可以查看消息中心、监视服务运行状况和创建服务请求。
| Actions | Description |
|---|---|
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.search/content/manage | 创建和删除内容,并读取和更新Microsoft 搜索中的所有属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
搜索编辑器
此角色中的用户可以为Microsoft 365 管理中心中的Microsoft 搜索创建、管理和删除内容,包括书签、问答As 和 locations。
| Actions | Description |
|---|---|
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.search/content/manage | 创建和删除内容,并读取和更新Microsoft 搜索中的所有属性 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
安全管理员
这是 特权角色。 具有此角色的用户有权管理Microsoft Defender门户中的安全相关功能、Microsoft Entra身份验证、Azure 信息保护和Microsoft Purview 门户。 有关Office 365权限的详细信息,请参阅Microsoft Defender for Office 365和Microsoft Purview符合性的角色组。
| In | 允许事项 |
|---|---|
| Microsoft Defender 门户 | 跨 Microsoft 365 服务监视与安全相关的策略 管理安全威胁和警报 查看报表 |
| Privileged Identity Management | 安全读取者角色的所有权限 Cannot管理Microsoft Entra角色分配或设置 |
| Microsoft Purview 门户 | 管理安全策略 查看、调查和响应安全威胁 查看报表 |
| Azure 高级威胁防护 | 监视和响应可疑安全活动 |
| Microsoft Defender for Endpoint | 分配角色 管理计算机组 配置终结点威胁检测和自动修正 查看、调查并响应警报 查看计算机/设备清单 |
| Intune | 映射到 Intune 终结点安全管理员角色 |
| Microsoft Defender for Cloud Apps | 添加管理员、添加策略和设置、上传日志以及执行管理操作 |
| Microsoft 365服务运行状况 | 查看Microsoft 365服务的运行状况 |
| 智能锁定 | 定义在发生登录失败事件时实施锁定的阈值和持续时间。 |
| 密码保护 | 配置自定义受禁密码列表或本地密码保护。 |
| 跨租户同步 | 为另一租户中的用户配置跨租户访问设置。 安全管理员不能直接创建和删除用户,但当两个租户都配置为跨租户同步(一种特权)时,可以从另一个租户间接创建和删除已同步的用户。 |
安全操作员
这是 特权角色。 具有此角色的用户可以管理警报,并在安全相关功能上具有全局只读访问权限,包括Microsoft Defender门户中的所有信息、Privileged Identity Management和Microsoft Purview 门户。 有关Office 365权限的详细信息,请参阅Microsoft Defender for Office 365和Microsoft Purview符合性的角色组。
| In | 允许事项 |
|---|---|
| Microsoft Defender 门户 | 安全读取者角色的所有权限 查看、调查和响应安全威胁警报 在 Microsoft Defender 门户中管理安全设置 |
| Privileged Identity Management | 安全读取者角色的所有权限 |
| Microsoft Purview 门户 | 安全读取者角色的所有权限 查看、调查和响应安全警报 |
| Microsoft Defender for Endpoint | 安全读取者角色的所有权限 查看、调查和响应安全警报 在Microsoft Defender for Endpoint中启用基于角色的访问控制时,具有只读权限(例如安全读取者角色)的用户将失去访问权限,直到他们分配了Microsoft Defender for Endpoint角色。 |
| Intune | 安全读取者角色的所有权限 |
| Microsoft Defender for Cloud Apps | 安全读取者角色的所有权限 查看、调查和响应安全警报 |
| Microsoft 365服务运行状况 | 查看Microsoft 365服务的运行状况 |
| Actions | Description |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | 管理Azure Advanced Threat Protection的各个方面 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/auditLogs/allProperties/read | 读取审核日志上的所有属性,不包括自定义安全属性审核日志 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 创建和删除所有资源,并在Microsoft Defender for Cloud Apps中读取和更新标准属性 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | 读取Privileged Identity Management中的所有资源 |
| microsoft.directory/provisioningLogs/allProperties/read | 读取预配日志的所有属性 |
| microsoft.directory/signInReports/allProperties/read | 读取登录报告上的所有属性,包括特权属性 |
| microsoft.intune/allEntities/read | 读取Microsoft Intune中的所有资源 |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | 创建和删除所有资源,并在Microsoft 365安全与合规中心读取和更新标准属性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | 管理Microsoft Defender for Endpoint的各个方面 |
安全读取器
这是 特权角色。 具有此角色的用户对安全相关的功能具有全局只读访问权限,包括Microsoft Defender门户中的所有信息、Privileged Identity Management以及读取Microsoft Entra登录报告和审核日志的功能,以及Microsoft Purview 门户。 有关Office 365权限的详细信息,请参阅Microsoft Defender for Office 365和Microsoft Purview符合性的角色组。
| In | 允许事项 |
|---|---|
| Microsoft Defender 门户 | 跨 Microsoft 365 服务查看与安全相关的策略 查看安全威胁和警报 查看报表 |
| Privileged Identity Management | 对Microsoft Entra Privileged Identity Management中显示的所有信息的只读访问权限:有关Microsoft Entra角色分配和安全评审的策略和报表。 Cannot注册Microsoft Entra Privileged Identity Management或对其进行任何更改。 在Privileged Identity Management门户中或通过 PowerShell,如果用户有资格激活其他角色(例如特权角色管理员),则此角色中的某人可以激活其他角色。 |
| Microsoft Purview 门户 | 查看安全策略 查看并调查安全威胁 查看报表 |
| Microsoft Defender for Endpoint | 查看并调查警报 在Microsoft Defender for Endpoint中启用基于角色的访问控制时,具有只读权限(例如安全读取者角色)的用户将失去访问权限,直到他们分配了Microsoft Defender for Endpoint角色。 |
| Intune | 视图用户、设备、注册、配置和应用程序信息。 无法对 Intune 进行更改。 |
| Microsoft Defender for Cloud Apps | 具有读取权限。 |
| Microsoft 365服务运行状况 | 查看Microsoft 365服务的运行状况 |
服务支持管理员
具有此角色的用户可以使用Azure和Microsoft 365服务的Microsoft创建和管理支持请求,并在 Azure 门户和 Microsoft 365 管理中心中查看服务仪表板和消息中心。 有关详细信息,请参阅 Microsoft 365 管理中心 中的
Note
此角色以前在 Azure 门户和 Microsoft 365 管理中心 中命名为服务管理员。 它已重命名为服务支持管理员,使其与 Microsoft Graph API 中的现有名称保持一致,并Microsoft Graph PowerShell。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
SharePoint管理员
具有此角色的用户在Microsoft Office SharePoint Online具有全局权限,当服务存在时,以及创建和管理所有Microsoft 365组、管理支持票证和监视服务运行状况的功能。 有关详细信息,请参阅 Microsoft 365 管理中心 中的
Note
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色SharePoint服务管理员命名。 在 Azure 门户中,它命名为SharePoint管理员。
Note
此角色还向Microsoft Intune的Microsoft 图形 API授予范围权限,从而允许管理和配置与SharePoint和OneDrive资源相关的策略。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理OneDrive保护策略 |
| microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中OneDrive的还原会话 |
| microsoft.backup/restorePoints/sites/allProperties/allTasks | 在Microsoft 365 备份中管理与所选SharePoint网站关联的所有还原点 |
| microsoft.backup/restorePoints/userDrives/allProperties/allTasks | 在Microsoft 365 备份中管理与所选OneDrive帐户关联的所有还原点 |
| microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理SharePoint保护策略 |
| microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中SharePoint的还原会话 |
| microsoft.backup/siteProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到SharePoint保护策略的网站 |
| microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中SharePoint还原会话的网站 |
| microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到OneDrive保护策略的帐户 |
| microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中OneDrive还原会话的帐户 |
| microsoft.directory/groups.unified/assignedLabels/update | 更新分配的成员身份类型的Microsoft 365组的分配标签属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/basic/update | 更新Microsoft 365组的基本属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/create | 创建Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/delete | 删除Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新Microsoft 365组的成员,不包括可分配角色的组 |
| microsoft.directory/groups.unified/owners/update | 更新Microsoft 365组的所有者,不包括可分配角色的组 |
| microsoft.directory/groups.unified/restore | 从软删除的容器还原Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups/hiddenMembers/read | 读取安全组和Microsoft 365组的隐藏成员,包括可分配角色的组 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理Microsoft 365迁移的各个方面 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.sharePoint/allEntities/allTasks | 创建和删除所有资源,并在SharePoint中读取和更新标准属性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
SharePoint 高级管理管理员
将SharePoint 高级管理管理员角色分配给需要执行以下任务的用户:
- 执行可用于SharePoint管理员的所有操作,包括全局管理 SharePoint Online、支持票证处理和服务运行状况监视
- 在SharePoint网站中查看文件、文件夹、库、文档和列表的名称、路径和 URL,而无需访问文件或项内容
- 从SharePoint网站中的文件、文件夹、库、文档和列表中删除权限
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理OneDrive保护策略 |
| microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中OneDrive的还原会话 |
| microsoft.backup/restorePoints/sites/allProperties/allTasks | 在Microsoft 365 备份中管理与所选SharePoint网站关联的所有还原点 |
| microsoft.backup/restorePoints/userDrives/allProperties/allTasks | 在Microsoft 365 备份中管理与所选OneDrive帐户关联的所有还原点 |
| microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理SharePoint保护策略 |
| microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中SharePoint的还原会话 |
| microsoft.backup/siteProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到SharePoint保护策略的网站 |
| microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中SharePoint还原会话的网站 |
| microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到OneDrive保护策略的帐户 |
| microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中OneDrive还原会话的帐户 |
| microsoft.directory/groups.unified/assignedLabels/update | 更新分配的成员身份类型的Microsoft 365组的分配标签属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/basic/update | 更新Microsoft 365组的基本属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/create | 创建Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/delete | 删除Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新Microsoft 365组的成员,不包括可分配角色的组 |
| microsoft.directory/groups.unified/owners/update | 更新Microsoft 365组的所有者,不包括可分配角色的组 |
| microsoft.directory/groups.unified/restore | 从软删除的容器还原Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups/hiddenMembers/read | 读取安全组和Microsoft 365组的隐藏成员,包括可分配角色的组 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理Microsoft 365迁移的各个方面 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.sharePoint/allEntities/allTasks | 创建和删除所有资源,并在SharePoint中读取和更新标准属性 |
| microsoft.office365.sharePointAdvancedManagement/allEntities/allProperties/allTasks | 管理SharePoint 高级管理的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
SharePoint备份管理员
将SharePoint备份管理员角色分配给需要执行以下任务的用户:
- 管理SharePoint和OneDrive Microsoft 365 备份的各个方面
- 备份和还原内容,包括跨SharePoint和OneDrive的精细还原
- 为SharePoint和OneDrive创建、编辑和管理备份配置策略
- 为SharePoint和OneDrive执行还原操作
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理OneDrive保护策略 |
| microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中OneDrive的还原会话 |
| microsoft.backup/restorePoints/sites/allProperties/allTasks | 在Microsoft 365 备份中管理与所选SharePoint网站关联的所有还原点 |
| microsoft.backup/restorePoints/userDrives/allProperties/allTasks | 在Microsoft 365 备份中管理与所选OneDrive帐户关联的所有还原点 |
| microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份 中创建和管理SharePoint保护策略 |
| microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | 读取和配置Microsoft 365 备份中SharePoint的还原会话 |
| microsoft.backup/siteProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到SharePoint保护策略的网站 |
| microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中SharePoint还原会话的网站 |
| microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份 中管理添加到OneDrive保护策略的帐户 |
| microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | 管理添加到Microsoft 365 备份中OneDrive还原会话的帐户 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
SharePoint嵌入式管理员
将SharePoint嵌入式管理员角色分配给需要执行以下任务的用户:
- 使用 PowerShell、Microsoft 图形 API 或SharePoint 管理中心执行所有任务
- 管理、配置和维护 SharePoint Embedded 容器
- 枚举和管理SharePoint嵌入式容器
- 枚举和管理 SharePoint Embedded 容器的权限
- 管理租户中SharePoint嵌入式容器的存储
- 在 SharePoint Embedded 容器上分配安全性和符合性策略
- 在租户中SharePoint嵌入式容器上应用安全性和符合性策略
| Actions | Description |
|---|---|
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | 管理 SharePoint Embedded 容器的各个方面 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Skype for Business管理员
具有此角色的用户在Microsoft Skype for Business具有全局权限,当服务存在时,以及在Microsoft Entra ID中管理特定于Skype的用户属性。 此外,此角色授予管理支持票证和监视服务运行状况以及访问 Teams 和Skype for Business管理中心的能力。 帐户必须获取 Teams 许可证,否则无法运行 Teams PowerShell cmdlet。 有关详细信息,请参阅 <
Note
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色名为 Lync 服务管理员。 在 Azure 门户中,它命名为Skype for Business管理员。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Teams 管理员
此角色中的用户可以通过 Microsoft Teams > 管理Microsoft Teams工作负荷的各个方面Skype for Business管理中心和相应的 PowerShell 模块。 这包括(但不限于)与电话、消息、会议和 Teams 自身相关的所有管理工具。 此角色还授予创建和管理所有Microsoft 365组、管理支持票证和监视服务运行状况的能力。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新跨租户访问策略的允许的云终结点 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新默认跨租户访问策略的跨云 Teams 会议 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 读取默认跨租户访问策略的基本属性 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 为合作伙伴创建跨租户访问策略 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作伙伴的跨租户访问策略的跨云 Teams 会议 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 读取合作伙伴的跨租户访问策略的基本属性 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 读取跨租户访问策略的基本属性 |
| microsoft.directory/externalUserProfiles/basic/update | 在 Teams 的扩展目录中更新外部用户配置文件的基本属性 |
| microsoft.directory/externalUserProfiles/delete | 删除 Teams 扩展目录中的外部用户配置文件 |
| microsoft.directory/externalUserProfiles/standard/read | 在 Teams 的扩展目录中读取外部用户配置文件的标准属性 |
| microsoft.directory/groups.unified/assignedLabels/update | 更新分配的成员身份类型的Microsoft 365组的分配标签属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/basic/update | 更新Microsoft 365组的基本属性,不包括可分配角色的组 |
| microsoft.directory/groups.unified/create | 创建Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/delete | 删除Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups.unified/members/update | 更新Microsoft 365组的成员,不包括可分配角色的组 |
| microsoft.directory/groups.unified/owners/update | 更新Microsoft 365组的所有者,不包括可分配角色的组 |
| microsoft.directory/groups.unified/restore | 从软删除的容器还原Microsoft 365组,不包括可分配角色的组 |
| microsoft.directory/groups/hiddenMembers/read | 读取安全组和Microsoft 365组的隐藏成员,包括可分配角色的组 |
| microsoft.directory/pendingExternalUserProfiles/basic/update | 在 Teams 的扩展目录中更新外部用户配置文件的基本属性 |
| microsoft.directory/pendingExternalUserProfiles/create | 在 Teams 的扩展目录中创建外部用户配置文件 |
| microsoft.directory/pendingExternalUserProfiles/delete | 删除 Teams 扩展目录中的外部用户配置文件 |
| microsoft.directory/pendingExternalUserProfiles/standard/read | 在 Teams 的扩展目录中读取外部用户配置文件的标准属性 |
| microsoft.directory/permissionGrantPolicies/standard/read | 读取权限授予策略的标准属性 |
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/allEntities/allProperties/allTasks | 管理 Teams 中的所有资源 |
Teams 通信管理员
此角色中的用户可以管理与语音和电话相关的Microsoft Teams工作负载的各个方面。 这包括用于分配电话号码的管理工具、语音和会议策略,以及通话分析工具集的完全访问权限。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/callQuality/allProperties/read | 读取通话质量仪表板 (CQD) 中的所有数据 |
| microsoft.teams/meetings/allProperties/allTasks | 管理会议,包括会议策略、配置和会议网桥 |
| microsoft.teams/voice/allProperties/allTasks | 管理语音,包括呼叫策略以及电话号码清单和分配 |
Teams 通信支持工程师
此角色中的用户可以排查 Microsoft Teams > 中的通信问题使用 Microsoft Teams & 中的用户呼叫故障排除工具Skype for BusinessSkype for Business管理中心。 充当此角色的用户可以查看所有参与方的完整通话记录信息。 此角色无权查看、创建或管理支持票证。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/callQuality/allProperties/read | 读取通话质量仪表板 (CQD) 中的所有数据 |
Teams 通信支持专家
此角色中的用户可以排查 Microsoft Teams > 中的通信问题使用 Microsoft Teams & 中的用户呼叫故障排除工具Skype for BusinessSkype for Business管理中心。 充当此角色的用户只能查看他们所查找的特定用户的通话中的用户详细信息。 此角色无权查看、创建或管理支持票证。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/callQuality/standard/read | 读取通话质量仪表板 (CQD) 中的基本数据 |
Teams 设备管理员
具有此角色的用户可以从 Teams 管理中心管理 Teams 认证的设备 。 此角色允许同时查看所有设备,并能够搜索和筛选设备。 用户可以检查每个设备的详细信息,包括设备的登录帐户、品牌和型号。 用户可以更改设备上的设置并更新软件版本。 此角色不会授权检查 Teams 活动和设备的通话质量。
| Actions | Description |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/devices/standard/read | 管理经 Teams 认证的设备的各个方面,包括配置策略 |
Teams 外部协作管理员
将 Teams 外部协作管理员角色分配给需要执行以下任务的用户:
- 在聊天、会议和通话中管理组织的与外部用户的交互的 Teams 外部协作设置。
- 配置外部域,包括创建、编辑和删除指定用户如何与外部组织互动的域条目。
- 在用户和组级别建立和管理用于外部协作的允许列表和阻止列表策略。
- 控制哪些外部域和用户可以与组织协作以确保安全且合规的外部协作。
| Actions | Description |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/policies/externalAccessPolicy/allTasks | 创建和管理管理管理外部访问的策略。 |
Teams 阅读器
将 Teams 读者角色分配给需要执行以下任务的用户:
- 读取 Teams 管理中心中的设置和管理信息,但不执行任何管理作
- 读取Microsoft通话质量仪表板(CQD),但无法访问任何故障排除功能
具有此角色的用户 无法 执行以下任务:
- 无法查看 Teams 管理
- 无法访问用户的会议和通话详细信息
- 无法访问通知和规则管理
- 无法访问 Frontline 辅助角色部署管理
- 无法访问高级协作见解仪表板
| Actions | Description |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/allEntities/allProperties/read | 读取Microsoft Teams的所有属性 |
Teams 电话服务管理员
将 Teams 电话服务管理员角色分配给需要执行以下任务的用户:
- 管理语音和电话服务,包括通话策略、电话号码管理和分配,以及语音应用程序
- 在 Teams 管理中心只能访问公用电话交换网 (PSTN) 使用报告
- 查看用户个人资料页
- 在Azure和Microsoft 365 管理中心中创建和管理支持票证
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在Microsoft 365 管理中心中读取和配置服务运行状况 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.teams/callQuality/allProperties/read | 读取通话质量仪表板 (CQD) 中的所有数据 |
| microsoft.teams/voice/allProperties/allTasks | 管理语音,包括呼叫策略以及电话号码清单和分配 |
租户创建者
为需要执行以下任务的用户分配租户创建者角色:
- 创建Microsoft Entra和Azure Active Directory B2C 租户,即使租户创建切换在用户设置中处于关闭状态
Note
将为租户创建者分配他们所创建的新租户的全局管理员角色。
| Actions | Description |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | 在 Microsoft Entra ID 中创建新租户 |
租户治理管理员
将租户治理管理员角色分配给需要执行以下任务的用户:
- 管理Microsoft Entra租户治理服务中的所有功能
| Actions | Description |
|---|---|
| microsoft.directory/crossTenantAccessPolicy/basic/update | 更新跨租户访问策略的基本设置 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 读取默认跨租户访问策略的基本属性 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 为合作伙伴创建跨租户访问策略 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 删除合作伙伴的跨租户访问策略 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 读取合作伙伴的跨租户访问策略的基本属性 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 读取跨租户访问策略的基本属性 |
| microsoft.directory/tenantGovernance/invitations/create | 创建租户治理邀请 |
| microsoft.directory/tenantGovernance/invitations/delete | 删除租户治理邀请 |
| microsoft.directory/tenantGovernance/invitations/standard/read | 读取租户治理邀请 |
| microsoft.directory/tenantGovernance/policyTemplates/allProperties/update | 更新租户治理策略模板 |
| microsoft.directory/tenantGovernance/policyTemplates/create | 创建租户治理策略模板 |
| microsoft.directory/tenantGovernance/policyTemplates/delete | 删除租户治理策略模板 |
| microsoft.directory/tenantGovernance/policyTemplates/standard/read | 读取租户治理策略模板 |
| microsoft.directory/tenantGovernance/relatedTenants/refresh | 触发有关Microsoft Entra租户治理服务发现的相关租户的数据刷新 |
| microsoft.directory/tenantGovernance/relatedTenants/standard/read | 读取有关Microsoft Entra租户治理服务发现的相关租户的数据 |
| microsoft.directory/tenantGovernance/relationships/allProperties/update | 更新治理关系的状态 |
| microsoft.directory/tenantGovernance/relationships/create | 创建租户治理关系 |
| microsoft.directory/tenantGovernance/relationships/standard/read | 读取租户治理关系 |
| microsoft.directory/tenantGovernance/requests/allProperties/update | 更新租户治理请求的状态 |
| microsoft.directory/tenantGovernance/requests/create | 创建租户治理请求 |
| microsoft.directory/tenantGovernance/requests/standard/read | 读取租户治理请求 |
| microsoft.directory/tenantGovernance/settings/allProperties/update | 管理Microsoft Entra租户治理设置 |
| microsoft.directory/tenantGovernance/settings/standard/read | 读取租户治理设置 |
租户治理读取者
将租户治理读取者角色分配给需要执行以下任务的用户:
- 读取所有租户治理数据
| Actions | Description |
|---|---|
| microsoft.directory/tenantGovernance/invitations/standard/read | 读取租户治理邀请 |
| microsoft.directory/tenantGovernance/policyTemplates/standard/read | 读取租户治理策略模板 |
| microsoft.directory/tenantGovernance/relatedTenants/standard/read | 读取有关Microsoft Entra租户治理服务发现的相关租户的数据 |
| microsoft.directory/tenantGovernance/relationships/standard/read | 读取租户治理关系 |
| microsoft.directory/tenantGovernance/requests/standard/read | 读取租户治理请求 |
| microsoft.directory/tenantGovernance/settings/standard/read | 读取租户治理设置 |
租户治理关系管理员
将租户治理关系管理员角色分配给需要执行以下任务的用户:
- 管理租户治理关系的各个方面,但接受请求除外
| Actions | Description |
|---|---|
| microsoft.directory/tenantGovernance/invitations/standard/read | 读取租户治理邀请 |
| microsoft.directory/tenantGovernance/policyTemplates/allProperties/update | 更新租户治理策略模板 |
| microsoft.directory/tenantGovernance/policyTemplates/create | 创建租户治理策略模板 |
| microsoft.directory/tenantGovernance/policyTemplates/delete | 删除租户治理策略模板 |
| microsoft.directory/tenantGovernance/policyTemplates/standard/read | 读取租户治理策略模板 |
| microsoft.directory/tenantGovernance/relatedTenants/standard/read | 读取有关Microsoft Entra租户治理服务发现的相关租户的数据 |
| microsoft.directory/tenantGovernance/relationships/allProperties/update | 更新治理关系的状态 |
| microsoft.directory/tenantGovernance/relationships/create | 创建租户治理关系 |
| microsoft.directory/tenantGovernance/relationships/standard/read | 读取租户治理关系 |
| microsoft.directory/tenantGovernance/requests/create | 创建租户治理请求 |
| microsoft.directory/tenantGovernance/requests/standard/read | 读取租户治理请求 |
| microsoft.directory/tenantGovernance/settings/standard/read | 读取租户治理设置 |
租户治理关系读取器
将租户治理关系读取者角色分配给需要执行以下任务的用户:
- 读取租户治理关系和相关对象
| Actions | Description |
|---|---|
| microsoft.directory/tenantGovernance/invitations/standard/read | 读取租户治理邀请 |
| microsoft.directory/tenantGovernance/policyTemplates/standard/read | 读取租户治理策略模板 |
| microsoft.directory/tenantGovernance/relationships/standard/read | 读取租户治理关系 |
| microsoft.directory/tenantGovernance/requests/standard/read | 读取租户治理请求 |
| microsoft.directory/tenantGovernance/settings/standard/read | 读取租户治理设置 |
使用情况摘要报表读取者
将使用情况摘要报告读取者角色分配给需要在Microsoft 365 管理中心中执行以下任务的用户:
- 查看使用情况报告和采用分数
- 读取组织见解,但不读取用户的个人身份信息 (PII)
此角色仅允许用户查看组织级数据,但存在以下例外情况:
- 成员用户可以查看用户管理数据和设置。
- 分配了此角色的来宾用户无法查看用户管理数据和设置。
| Actions | Description |
|---|---|
| microsoft.office365.network/performance/allProperties/read | 读取Microsoft 365 管理中心中的所有网络性能属性 |
| microsoft.office365.usageReports/allEntities/standard/read | 读取租户级聚合Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
用户管理员
这是 特权角色。 将用户管理员角色分配给需要执行以下操作的用户:
| Permission | 详细信息 |
|---|---|
| 创建用户 | |
| 为所有用户更新大多数用户属性,包括所有管理员 | 谁可以执行敏感操作 |
| 为某些用户更新敏感属性(包括用户主体名称) | 谁可以执行敏感操作 |
| 禁用或启用某些用户 | 谁可以执行敏感操作 |
| 删除或还原某些用户 | 谁可以执行敏感操作 |
| 创建和管理用户视图 | |
| 创建和管理所有组 | |
| 分配和读取所有用户(包括所有管理员)的许可证 | |
| 重置密码 | 谁可以重置密码 |
| 使刷新令牌失效 | 谁可以重置密码 |
| 更新 (FIDO) 设备密钥 | |
| 更新密码过期策略 | |
| 在Azure和Microsoft 365 管理中心中创建和管理支持票证 | |
| 监视服务运行状况 |
具有此角色的用户 无法 执行以下作:
- 无法管理 MFA。
- 无法更改可 分配角色组的成员和所有者的凭据或重置 MFA。
- 无法管理共享邮箱。
- 无法修改密码重置操作的安全问题。
Important
具有此角色的用户可以更改可能有权访问Microsoft Entra ID内外敏感或私有信息或关键配置的人员的密码。 更改用户的密码可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用可能在Microsoft Entra ID和未授予用户管理员的其他位置的特权权限。 通过此路径,用户管理员可能能够假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure订阅所有者,他们可能有权访问Azure中的敏感信息或私有信息或关键配置。
- 安全组和Microsoft 365组所有者,他们可以管理组成员身份。 这些组可以在Microsoft Entra ID和其他地方授予对敏感信息或私有信息或关键配置的访问权限。
- Microsoft Entra ID之外的其他服务的管理员,例如Exchange Online、Microsoft Defender门户、Microsoft Purview 门户和人力资源系统。
- 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
Virtual Visits 管理员
具有此角色的用户可执行以下任务:
- 在 bookings 中管理和配置Microsoft 365 管理中心和 Teams EHR 连接器中的虚拟访问的所有方面
- 在 Teams 管理中心、Microsoft 365 管理中心、Fabric和Power BI中查看虚拟访问使用情况报告
- 在Microsoft 365 管理中心中查看功能和设置,但无法编辑任何设置
Virtual Visits 是一种用于为员工和与会者安排和管理在线和视频会议的简单方法。 例如,使用情况报告可以显示在会议之前如何发送短信可减少不参加会议的人数。
| Actions | Description |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标 |
| Actions | Description |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标 |
Viva Glint租户管理员
将Viva Glint租户管理员角色分配给需要执行以下任务的用户:
- 读取和配置Microsoft 365 管理中心中的Viva Glint设置
- 分配或删除Viva Glint服务管理员
- 创建和管理Viva功能访问管理策略
- 查看和管理Viva Glint体验(如果适用)
- 创建和管理Azure 支持票证
有关详细信息,请参阅 key roles for Viva Glint and Assign Viva Glint Tenant and Service Administrators。
| Actions | Description |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置Azure 服务运行状况 |
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.office365.messageCenter/messages/read | 在Microsoft 365 管理中心的消息中心读取消息,不包括安全消息 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
| microsoft.viva.glint/allEntities/allProperties/allTasks | 管理和配置Microsoft 365 管理中心中的所有Microsoft Viva Glint设置 |
Windows 365管理员
当服务存在时,具有此角色的用户对Windows 365资源具有全局权限。 此外,此角色包含管理以关联策略,以及创建和管理组的用户和设备的能力。
此角色可以创建和管理安全组,但对Microsoft 365组没有管理员权限。 这意味着管理员无法更新组织中Microsoft 365组的所有者或成员身份。 但是,他们可以管理他们创建的Microsoft 365组,这是其最终用户特权的一部分。 因此,他们创建的任何Microsoft 365组(而不是安全组)将计入其配额为 250。
将Windows 365管理员角色分配给需要执行以下任务的用户:
- 在 Microsoft Intune 中管理Windows 365云电脑
- 在Microsoft Entra ID中注册和管理设备,包括分配用户和策略
- 创建和管理安全组,但不是可分配角色的组
- 在Microsoft 365 管理中心中查看基本属性
- 读取Microsoft 365 管理中心中的使用情况报告
- 在Azure和Microsoft 365 管理中心中创建和管理支持票证
| Actions | Description |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理Azure 支持票证 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | 管理Windows 365的各个方面 |
| microsoft.directory/deletedItems.devices/delete | 永久删除无法再还原的设备 |
| microsoft.directory/deletedItems.devices/restore | 将软删除的设备还原到原始状态 |
| microsoft.directory/deviceManagementPolicies/standard/read | 读取有关移动设备管理和移动应用管理策略的标准属性 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 读取设备注册策略上的标准属性 |
| microsoft.directory/devices/basic/update | 更新设备上的基本属性 |
| microsoft.directory/devices/create | 创建设备(注册Microsoft Entra ID) |
| microsoft.directory/devices/delete | 从Microsoft Entra ID中删除设备 |
| microsoft.directory/devices/disable | 禁用Microsoft Entra ID中的设备 |
| microsoft.directory/devices/enable | 在 Microsoft Entra ID 中启用设备 |
| microsoft.directory/devices/extensionAttributeSet1/update | 在设备上更新 extensionAttribute1 到 extensionAttribute5 属性 |
| microsoft.directory/devices/extensionAttributeSet2/update | 在设备上更新 extensionAttribute6 到 extensionAttribute10 属性 |
| microsoft.directory/devices/extensionAttributeSet3/update | 在设备上更新 extensionAttribute11 到 extensionAttribute15 属性 |
| microsoft.directory/devices/registeredOwners/update | 更新设备的已注册所有者 |
| microsoft.directory/devices/registeredUsers/update | 更新设备的已注册用户 |
| microsoft.directory/groups.security/assignedLabels/update | 更新分配的成员身份类型的安全组上的分配标签属性,不包括可分配角色的组 |
| microsoft.directory/groups.security/basic/update | 更新安全组(不包括可分配角色的组)的基本属性 |
| microsoft.directory/groups.security/classification/update | 更新安全组(不包括可分配角色的组)的分类属性 |
| microsoft.directory/groups.security/create | 创建安全组(不包括可分配角色的组) |
| microsoft.directory/groups.security/delete | 删除安全组(不包括可分配角色的组) |
| microsoft.directory/groups.security/dynamicMembershipRule/update | 更新安全组(不包括可分配角色的组)的动态成员身份规则 |
| microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
| microsoft.directory/groups.security/owners/update | 更新安全组(不包括可分配角色的组)的所有者 |
| microsoft.directory/groups.security/visibility/update | 更新安全组(不包括可分配角色的组)的可见性属性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 读取Office 365使用情况报告 |
| microsoft.office365.webPortal/allEntities/standard/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |
Windows 更新部署管理员
此角色中的 UUsers 可以通过适用于企业的部署服务Windows 更新创建和管理Windows 更新部署的各个方面。 利用该部署服务,用户可以定义部署更新的时间和方式的相关设置,并指定向其租户中的设备组提供哪些更新。 该服务还允许用户监视更新进度。
| Actions | Description |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | 读取和配置 Windows 更新 服务的各个方面 |
弃用的角色
不应使用以下角色。 它们已被弃用,将来将从Microsoft Entra ID中删除。
- 即席许可证管理员
- 设备加入
- 设备管理器
- 设备用户
- 经电子邮件验证的用户创建者
- 邮箱管理员
- 工作区设备联接
门户中未显示的角色
PowerShell 或Microsoft 图形 API返回的每个角色都不在Microsoft Entra角色接口中可见。 下表整理了这些差异。
| API 名称 | Microsoft Entra 管理中心门户名称 | Notes |
|---|---|---|
| 代理用户 | 没有显示,因为它默认分配给代理用户 | NA |
| 设备加入 | Deprecated | 已弃用角色的文档 |
| 设备管理器 | Deprecated | 已弃用角色的文档 |
| 设备用户 | Deprecated | 已弃用角色的文档 |
| 目录同步帐户 | 未显示,因为不应使用它 | 目录同步帐户文档 |
| 来宾用户 | 未显示,因为无法使用它 | NA |
| Microsoft 365支持工程师 | 未显示,因为不应使用它 | Microsoft 365支持工程师文档 |
| 现代商务管理员 | 未显示,因为无法使用它 | 现代商务管理员 |
| 合作伙伴层 1 支持 | 未显示,因为不应使用它 | 合作伙伴一线支持人员文档 |
| 合作伙伴层 2 支持 | 未显示,因为不应使用它 | 合作伙伴二线支持人员文档 |
| 受限来宾用户 | 未显示,因为无法使用它 | NA |
| User | 未显示,因为无法使用它 | NA |
| 工作区设备联接 | Deprecated | 已弃用角色的文档 |
Microsoft 365支持工程师
模板 ID:00cf5c54-4693-4f59-a0ac-ab79ef0a974d
不要使用 - 不适用于常规用途。
| Actions | Description |
|---|---|
| microsoft.directory/applications/allProperties/read | 读取所有应用程序类型上的所有属性(包括特权属性) |
| microsoft.directory/auditLogs/allProperties/read | 读取审核日志上的所有属性,不包括自定义安全属性审核日志 |
| microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 读取条件访问策略 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 读取默认跨租户访问策略的基本属性 |
| microsoft.directory/deviceManagementPolicies/standard/read | 读取有关移动设备管理和移动应用管理策略的标准属性 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 读取设备注册策略上的标准属性 |
| microsoft.directory/devices/standard/read | 读取设备上的基本属性 |
| microsoft.directory/directoryRoles/allProperties/read | 读取目录角色的所有属性 |
| microsoft.directory/directoryRoles/members/read | 读取Microsoft Entra角色的所有成员 |
| microsoft.directory/domains/allProperties/read | 读取域的所有属性 |
| microsoft.directory/domains/standard/read | 读取域上的基本属性 |
| microsoft.directory/groups/allProperties/read | 读取安全组和Microsoft 365组上的所有属性(包括特权属性),包括可分配角色的组 |
| microsoft.directory/groupSettings/allProperties/read | 读取组设置的所有属性 |
| microsoft.directory/groups/members/read | 读取安全组和Microsoft 365组的成员,包括可分配角色的组 |
| microsoft.directory/groups/owners/read | 读取安全组和Microsoft 365组的所有者,包括可分配角色的组 |
| microsoft.directory/groups/standard/read | 读取安全组和Microsoft 365组的标准属性,包括可分配角色的组 |
| microsoft.directory/organization/allProperties/read | 读取组织的所有属性 |
| microsoft.directory/policies/standard/read | 读取策略的基本属性 |
| microsoft.directory/securityRiskPolicy/standard/read | 读取安全风险策略的基本属性,其中包括Microsoft Entra安全默认值、强身份验证和帐户泄露 |
| microsoft.directory/servicePrincipals/allProperties/read | 读取服务主体上的所有属性(包括特权属性) |
| microsoft.directory/servicePrincipals/appRoleAssignments/limitedRead | 读取分配给特定服务主体的应用程序角色,但无法枚举服务主体 |
| microsoft.directory/servicePrincipals/standard/read | 读取服务主体的基本属性 |
| microsoft.directory/subscribedSkus/allProperties/read | 读取产品订阅的所有属性 |
| microsoft.directory/users/directReports/read | 读取用户的直接下属 |
| microsoft.directory/users/licenseDetails/read | 读取用户的许可证详细信息 |
| microsoft.directory/users/manager/read | 读取用户的管理员 |
| microsoft.directory/users/memberOf/read | 读取用户的组成员身份 |
| microsoft.directory/users/registeredDevices/read | 读取用户已注册的设备 |
| microsoft.directory/users/standard/read | 读取用户的基本属性 |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | 读取攻击模拟器中攻击有效负载的所有属性 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 读取有关攻击模拟、响应和相关培训的报告 |
| microsoft.teams/allEntities/allProperties/read | 读取Microsoft Teams的所有属性 |
现代商务管理员
模板 ID:d24aef57-1500-4070-84db-2666f29cf966
请勿使用。 PowerShell 或Microsoft 图形 API不会返回此角色。 它会自动从商务分配,并且不会用于任何其他用途或不受支持。
现代商务管理员角色为某些用户授予访问Microsoft 365 管理中心的权限,并查看 Home、Billing 和 Support 的左侧导航条目。 这些区域中提供的内容由分配给用户的 特定于商业的角色 控制,这些角色用于管理自己或组织购买的产品。 这可能包括各种任务,例如支付账单,或访问计费帐户和计费配置文件。
具有现代商务管理员角色的用户通常在其他Microsoft购买系统中具有管理权限,但没有用于访问管理中心的全局管理员或计费管理员角色。
在什么情况下会分配现代商务管理员角色?
-
自助购买Microsoft 365 管理中心 - 自助购买使用户有机会通过自行购买或注册新产品来试用新产品。 这些产品在管理中心进行管理。 进行自助购买的用户将分配到商务系统中的某个角色和现代商务管理员角色,因此他们可以在管理中心管理其购买内容。 管理员可以通过
PowerShell 0 阻止自助购买(适用于Fabric、Power BI、Power Apps、Power Automate)。 有关详细信息,请参阅自助购买常见问题解答。 - 从 Microsoft 商业市场 - 当用户从Microsoft AppSource或Azure 市场购买产品或服务时,类似于自助购买如果现代商务管理员角色没有全局管理员或计费管理员角色,则会分配这些角色。 在某些情况下,可能会阻止用户进行此类购买。 有关详细信息,请参阅 Microsoft 商业市场。
- 来自 Microsoft 的Proposals - 建议是组织购买Microsoft产品和服务的Microsoft正式报价。 当接受该建议的人员在Microsoft Entra ID中没有全局管理员或计费管理员角色时,他们将分配一个特定于商业的角色来完成该建议和现代商务管理员角色以访问管理中心。 当他们访问管理中心时,他们只能使用其商业特定角色授权的功能。
- 特定于商务的角色 - 某些用户分配了特定于商务的角色。 如果用户不是全局管理员或计费管理员,将为其分配现代商业管理员角色以访问管理中心。
如果新式商务管理员角色未从用户分配,他们将失去对Microsoft 365 管理中心的访问权限。 如果他们自己或组织管理任何产品,他们将无法管理它们。 这些任务可能包括分配许可证、更改付款方式、支付账单或其他订阅管理任务。
| Actions | Description |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | 管理批量许可服务中心的各个方面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理Microsoft 365服务请求 |
| microsoft.office365.webPortal/allEntities/basic/read | 读取Microsoft 365 管理中心中所有资源的基本属性 |