Встроенные роли Microsoft Entra
В идентификаторе Microsoft Entra, если другим администратором или неадминистратором необходимо управлять ресурсами Microsoft Entra, вы назначаете им роль Microsoft Entra, которая предоставляет необходимые им разрешения. Например, можно назначить роли, позволяющие добавлять или изменять пользователей, сбрасывать пароли пользователей, управлять лицензиями пользователей или управлять доменными именами.
В этой статье перечислены встроенные роли Microsoft Entra, которые можно назначить, чтобы разрешить управление ресурсами Microsoft Entra. Сведения о назначении ролей см. в разделе "Назначение ролей Microsoft Entra пользователям". Если вы ищете роли для управления ресурсами Azure, ознакомьтесь со встроенными ролями Azure.
Все роли
Роль | Описание | Идентификатор шаблона |
---|---|---|
Администратор приложений | Может создавать и управлять всеми аспектами регистрации приложений и корпоративными приложениями. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Разработчик приложений | Может создавать регистрации приложений независимо от параметра "Пользователи могут регистрировать приложения". |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Автор полезных данных атаки | Может создавать полезные данные атаки, которые администратор может инициировать позже. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Администратор имитации атак | Может создавать и управлять всеми аспектами кампаний имитации атак. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Администратор назначения атрибутов | Назначьте пользовательские ключи и значения атрибутов безопасности поддерживаемым объектам Microsoft Entra. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Средство чтения назначений атрибутов | Чтение ключей и значений настраиваемых атрибутов безопасности для поддерживаемых объектов Microsoft Entra. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Администратор определения атрибутов | Определение настраиваемых атрибутов безопасности и управление ими. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Средство чтения определений атрибутов | Прочитайте определение настраиваемых атрибутов безопасности. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Администратор журнала атрибутов | Чтение журналов аудита и настройка параметров диагностики для событий, связанных с пользовательскими атрибутами безопасности. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Читатель журналов атрибутов | Чтение журналов аудита, связанных с настраиваемыми атрибутами безопасности. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
Администратор проверки подлинности | Может получить доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя, отличного от администратора. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Администратор расширения проверки подлинности | Настройте возможности входа и регистрации для пользователей, создавая пользовательские расширения проверки подлинности и управляя ими. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Администратор политики проверки подлинности | Может создавать и управлять политикой методов проверки подлинности, параметрами MFA на уровне клиента, политикой защиты паролей и проверяемыми учетными данными. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Администратор Azure DevOps | Может управлять политиками и параметрами Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Администратор Azure Information Protection | Может управлять всеми аспектами продукта Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
Администратор набора ключей B2C IEF | Может управлять секретами для федерации и шифрования в Платформе взаимодействия с удостоверениями (IEF). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
Администратор политики IEF B2C | Может создавать политики платформы доверия и управлять ими в IEF. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Администратор выставления счетов | Может выполнять распространенные задачи, связанные с выставлением счетов, например обновление сведений об оплате. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Администратор Cloud App Security | Может управлять всеми аспектами продукта Defender для облака Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Администратор облачных приложений | Может создавать и управлять всеми аспектами регистрации приложений и корпоративных приложений, кроме Прокси приложения. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Администратор облачных устройств | Ограниченный доступ к управлению устройствами в идентификаторе Microsoft Entra. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Администратор соответствия требованиям | Может читать конфигурацию соответствия требованиям и отчеты в идентификаторе Microsoft Entra и Microsoft 365 и управлять ими. | 17315797-102d-40b4-93e0-432062caca18 |
Администратор данных соответствия требованиям | Создает содержимое соответствия требованиям и управляет ими. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Администратор условного доступа | Может управлять возможностями условного доступа. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Утверждающий клиент LockBox Access | Может утвердить запросы на поддержку Майкрософт для доступа к данным организации клиента. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Администратор Аналитика компьютеров | Может получить доступ к средствам и службам управления настольными компьютерами и управлять ими. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Читатели каталогов | Может читать основные сведения о каталоге. Часто используется для предоставления доступа к доступу на чтение каталога приложениям и гостям. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
Учетные записи синхронизации каталогов | Используется только службой Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
Записи каталогов | Может читать и записывать основные сведения о каталоге. Предоставление доступа к приложениям, а не предназначено для пользователей. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Администратор доменного имени | Может управлять доменными именами в облаке и локальной среде. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Администратор Dynamics 365 | Может управлять всеми аспектами продукта Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
администратор центра бизнеса Dynamics 365 | Доступ и выполнение всех административных задач в средах Dynamics 365 Business Central. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Администратор пограничных вычислений | Управление всеми аспектами Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Администратор Exchange | Может управлять всеми аспектами продукта Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Администратор получателя Exchange | Может создавать или обновлять получателей Exchange Online в организации Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Администратор потока внешних идентификаторов | Может создавать и управлять всеми аспектами потоков пользователей. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Администратор атрибута внешнего потока идентификатора | Может создавать схему атрибутов, доступную всем потокам пользователей и управлять ими. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Администратор внешнего поставщика удостоверений | Может настроить поставщики удостоверений для использования в прямой федерации. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Администратор Структуры | Может управлять всеми аспектами продуктов Fabric и Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
Глобальный администратор | Может управлять всеми аспектами идентификатора Microsoft Entra и службы Майкрософт, использующих удостоверения Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
Глобальный читатель | Может прочитать все, что может глобальный администратор, но ничего не обновить. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
Глобальный администратор безопасного доступа | Создайте и управляйте всеми аспектами Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra, включая управление доступом к общедоступным и частным конечным точкам. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Администратор групп | Члены этой роли могут создавать и управлять группами, создавать и управлять параметрами групп, такими как политики именования и истечения срока действия, а также просматривать отчеты о действиях групп и аудита. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Приглашенный гостей | Может приглашать гостевых пользователей независимо от параметра "Участники могут приглашать гостей". | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Администратор службы технической поддержки | Может сбрасывать пароли для администраторов, не являющихся администраторами и администраторами службы технической поддержки. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Администратор гибридных удостоверений | Управление Active Directory для облачной подготовки Microsoft Entra, Microsoft Entra Connect, сквозной проверки подлинности (PTA), синхронизации хэша паролей (PHS), простого единого входа (простого единого входа) и параметров федерации. Не имеет доступа к управлению Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Администратор управления удостоверениями | Управление доступом с помощью идентификатора Microsoft Entra для сценариев управления удостоверениями. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Администратор Аналитики | Имеет административный доступ в приложении Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Аналитик аналитики аналитики | Доступ к аналитическим возможностям в Microsoft Viva Insights и выполнение пользовательских запросов. | 25df335f-86eb-4119-b717-0ff02de207e9 |
Руководитель бизнес-аналитики | Может просматривать и предоставлять общий доступ к панелям мониторинга и аналитическим сведениям с помощью приложения Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d2d |
Администратор Intune | Может управлять всеми аспектами продукта Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Администратор Kaizala | Может управлять параметрами Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Администратор знаний | Может настроить знания, обучение и другие интеллектуальные функции. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Диспетчер знаний | Может упорядочивать, создавать, управлять и продвигать темы и знания. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Администратор лицензии | Может управлять лицензиями на продукты для пользователей и групп. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Администратор рабочих процессов жизненного цикла | Создание всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла, и управление ими в идентификаторе Microsoft Entra. |
59d46f88-662b-457b-bceb-5c3809e5908f |
Читатель конфиденциальности Центра сообщений | Только в Центре сообщений Office 365 можно считывать сообщения системы безопасности и обновления. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Читатель Центра сообщений | Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Администратор миграции Microsoft 365 | Выполните все функции миграции для переноса содержимого в Microsoft 365 с помощью диспетчера миграции. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Локальный администратор устройства, присоединенный к Microsoft Entra | Пользователи, назначенные этой роли, добавляются в группу локальных администраторов на устройствах, присоединенных к Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Администратор гарантии оборудования Майкрософт | Создавайте и управляйте всеми аспектами утверждений и прав на оборудование, изготовленное корпорацией Майкрософт, например Surface и HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf333784f |
Специалист по гарантии оборудования Майкрософт | Создание и чтение утверждений о гарантии для оборудования, изготовленного корпорацией Майкрософт, например Surface и HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Администратор современной коммерции | Может управлять коммерческими покупками для компании, отдела или команды. | d24aef57-1500-4070-84db-2666f29cf9666 |
Администратор сети | Может управлять сетевыми расположениями и просматривать аналитические сведения о корпоративной сети для приложений Microsoft 365 Software в качестве службы. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Администратор приложений Office | Может управлять облачными службами Приложение Office, включая управление политиками и параметрами, и управлять возможностью выбора, отмены выбора и публикации содержимого компонента "новые возможности" на устройствах конечных пользователей. | 2b745bdf-0803-4d80-aa65-82c4493daac |
Администратор фирменной символики организации | Управление всеми аспектами фирменной символики организации в клиенте. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
Утверждающий организационные сообщения | Просмотр, утверждение или отклонение новых сообщений организации для доставки в Центр администрирования Microsoft 365 перед отправкой пользователям. | e48398e2-f4bb-4074-8f31-4586725e205b |
Запись сообщений организации | Запись, публикация, управление и проверка сообщений организации для конечных пользователей с помощью продуктов Майкрософт. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Поддержка уровня 1 партнера | Не используйте — не предназначено для общего использования. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Поддержка уровня 2 партнера | Не используйте — не предназначено для общего использования. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Администратор паролей | Может сбрасывать пароли для неадминистраторов и администраторов паролей. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Администратор управления разрешениями | Управление всеми аспектами Управление разрешениями Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Администратор Power Platform | Может создавать и управлять всеми аспектами Microsoft Dynamics 365, Power Apps и Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Администратор принтера | Может управлять всеми аспектами принтеров и соединителей принтера. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Специалист по принтеру | Может регистрировать и отменять регистрацию принтеров и обновлять состояние принтера. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Администратор привилегированной проверки подлинности | Может получить доступ к просмотру, настройке и сбросу сведений о методе проверки подлинности для любого пользователя (администратора или не администратора). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Администратор привилегированных ролей | Может управлять назначениями ролей в идентификаторе Microsoft Entra и всех аспектах управление привилегированными пользователями. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Средство чтения отчетов | Может читать отчеты о входе и аудите. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Администратор поиска | Может создавать и управлять всеми аспектами параметров Поиск (Майкрософт). | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Редактор поиска | Может создавать и управлять редакторским контентом, такими как закладки, Q и As, расположения, полплан. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Администратор безопасности | Может считывать сведения о безопасности и отчеты, а также управлять конфигурацией в идентификаторе Microsoft Entra и Office 365. |
194ae4cb-b126-40b2-bd5b-6091b38097d |
Оператор безопасности | Создает события безопасности и управляет ими. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Средство чтения безопасности | Может считывать сведения о безопасности и отчеты в идентификаторе Microsoft Entra и Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Администратор службы поддержки | Может читать сведения о работоспособности службы и управлять запросами в службу поддержки. | f023fd81-a637-4b56-95fd-791ac0226033 |
Администратор SharePoint | Может управлять всеми аспектами службы SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
Администратор SharePoint Embedded | Управление всеми аспектами контейнеров SharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
Администратор Skype для бизнеса | Может управлять всеми аспектами продукта Skype для бизнеса. | 75941009-915a-4869-abe7-691bff18279e |
Администратор Teams | Может управлять службой Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Администратор обмена данными Teams | Может управлять функциями звонков и собраний в службе Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Инженер службы поддержки коммуникаций Teams | Может устранять неполадки связи в Teams с помощью расширенных средств. | f70938a0-fc10-4177-9e90-2178f8765737 |
Специалист по поддержке коммуникаций Teams | Может устранять неполадки связи в Teams с помощью основных средств. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Администратор устройств Teams | Может выполнять связанные с управлением задачи на сертифицированных устройствах Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Администратор телефонии Teams | Управление функциями голосовой связи и телефонии и устранение неполадок связи в службе Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
Создатель клиента | Создайте новые клиенты Microsoft Entra или Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a6a |
Читатель сводных отчетов об использовании | Чтение отчетов об использовании и оценка внедрения, но не может получить доступ к сведениям о пользователе. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Администратор пользователей | Может управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Диспетчер успешности взаимодействия с пользователем | Просмотрите отзывы о продукте, результаты опроса и отчеты, чтобы найти возможности обучения и коммуникации. | 27460883-1df1-4691-b032-3b79643e5e63 |
Администратор виртуальных посещений | Управление сведениями о виртуальных посещениях и метриками из центров администрирования или приложения "Виртуальные визиты". | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Администратор целей Viva | Управление и настройка всех аспектов Microsoft Viva Targets. | 92b086b3-e367-4ef2-b869-1de128fb986e |
Администратор Viva Pulse | Может управлять всеми параметрами приложения Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Администратор Windows 365 | Может подготавливать и управлять всеми аспектами облачных компьютеров. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Администратор развертывания Обновл. Windows | Может создавать и управлять всеми аспектами развертывания Обновл. Windows с помощью службы развертывания Обновл. Windows для бизнеса. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Администратор Yammer | Управление всеми аспектами службы Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Администратор приложений
Это привилегированная роль. Пользователи этой роли могут создавать и управлять всеми аспектами корпоративных приложений, регистраций приложений и параметров прокси приложения. Обратите внимание, что пользователи, назначенные этой роли, не добавляются как владельцы при создании новых регистраций приложений или корпоративных приложений.
Эта роль также предоставляет возможность предоставления согласия на делегированные разрешения и разрешения приложения, за исключением разрешений приложений для Azure AD Graph и Microsoft Graph.
Важный
Это исключение означает, что вы по-прежнему можете предоставить согласие на разрешения приложений для других приложений (например, других приложений Майкрософт, сторонних приложений или зарегистрированных приложений). Вы по-прежнему можете запросить эти разрешения в рамках регистрации приложения, но предоставление (то есть предоставление согласия) для этих разрешений требуется более привилегированный администратор, например глобальный администратор.
Эта роль предоставляет возможность управления учетными данными приложения. Пользователи, которым назначена эта роль, могут добавлять учетные данные в приложение и использовать эти учетные данные для олицетворения удостоверения приложения. Если удостоверение приложения было предоставлено доступ к ресурсу, например возможность создания или обновления пользователей или других объектов, то пользователь, назначенный этой роли, может выполнять эти действия при олицетворении приложения. Эта возможность олицетворения удостоверения приложения может быть повышением привилегий над тем, что пользователь может сделать с помощью назначений ролей. Важно понимать, что назначение пользователя роли администратора приложений дает им возможность олицетворения удостоверения приложения.
Разработчик приложений
Это привилегированная роль. Пользователи в этой роли могут создавать регистрации приложений, если для параметра "Пользователи могут регистрировать приложения" задано значение "Нет". Эта роль также предоставляет разрешение на согласие от собственного имени, если для параметра "Пользователи могут предоставить согласие на доступ к корпоративным данным от имени" для параметра "Нет". Пользователи, назначенные этой роли, добавляются в качестве владельцев при создании новых регистраций приложений.
Автор полезных данных атаки
Пользователи этой роли могут создавать полезные данные атаки, но не запускать или планировать их. Затем полезные данные атаки доступны всем администраторам в клиенте, которые могут использовать их для создания имитации.
Дополнительные сведения см. в разделе Microsoft Defender для Office 365 разрешения на портале Microsoft 365 Defender и разрешениях в Портал соответствия требованиям Microsoft Purview.
Действия | Описание |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Создание полезных данных атак и управление ими в симуляторе атак |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Чтение отчетов об имитации атак, ответах и связанном обучении |
Администратор имитации атак
Пользователи этой роли могут создавать и управлять всеми аспектами создания имитации атак, запуска и планирования имитации и проверки результатов моделирования. Члены этой роли имеют этот доступ ко всем имитациям в клиенте.
Дополнительные сведения см. в разделе Microsoft Defender для Office 365 разрешения на портале Microsoft 365 Defender и разрешениях в Портал соответствия требованиям Microsoft Purview.
Действия | Описание |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Создание полезных данных атак и управление ими в симуляторе атак |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Чтение отчетов об имитации атак, ответах и связанном обучении |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Создание шаблонов имитации атак и управление ими в симуляторе атак |
Администратор назначения атрибутов
Пользователи с этой ролью могут назначать и удалять пользовательские ключи атрибутов безопасности и значения для поддерживаемых объектов Microsoft Entra, таких как пользователи, субъекты-службы и устройства.
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности. Чтобы работать с настраиваемыми атрибутами безопасности, необходимо назначить одну из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Действия | Описание |
---|---|
microsoft.directory/attributeSets/allProperties/read | Чтение всех свойств наборов атрибутов |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для управляемых удостоверений Microsoft Entra |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Обновление значений настраиваемых атрибутов безопасности для управляемых удостоверений Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Чтение всех свойств определений настраиваемых атрибутов безопасности |
microsoft.directory/devices/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для устройств |
microsoft.directory/devices/customSecurityAttributes/update | Обновление значений настраиваемых атрибутов безопасности для устройств |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для субъектов-служб |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Обновление значений настраиваемых атрибутов безопасности для субъектов-служб |
microsoft.directory/users/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для пользователей |
microsoft.directory/users/customSecurityAttributes/update | Обновление значений настраиваемых атрибутов безопасности для пользователей |
Средство чтения назначений атрибутов
Пользователи с этой ролью могут считывать пользовательские ключи и значения атрибутов безопасности для поддерживаемых объектов Microsoft Entra.
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности. Чтобы работать с настраиваемыми атрибутами безопасности, необходимо назначить одну из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Действия | Описание |
---|---|
microsoft.directory/attributeSets/allProperties/read | Чтение всех свойств наборов атрибутов |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для управляемых удостоверений Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Чтение всех свойств определений настраиваемых атрибутов безопасности |
microsoft.directory/devices/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для устройств |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для субъектов-служб |
microsoft.directory/users/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для пользователей |
Администратор определения атрибутов
Пользователи с этой ролью могут определить допустимый набор настраиваемых атрибутов безопасности, которые могут быть назначены поддерживаемым объектам Microsoft Entra. Эта роль также может активировать и деактивировать настраиваемые атрибуты безопасности.
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности. Чтобы работать с настраиваемыми атрибутами безопасности, необходимо назначить одну из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Действия | Описание |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Управление всеми аспектами наборов атрибутов |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Управление всеми аспектами определений настраиваемых атрибутов безопасности |
Средство чтения определений атрибутов
Пользователи с этой ролью могут читать определение настраиваемых атрибутов безопасности.
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение, определение или назначение настраиваемых атрибутов безопасности. Чтобы работать с настраиваемыми атрибутами безопасности, необходимо назначить одну из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Действия | Описание |
---|---|
microsoft.directory/attributeSets/allProperties/read | Чтение всех свойств наборов атрибутов |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Чтение всех свойств определений настраиваемых атрибутов безопасности |
Администратор журнала атрибутов
Назначьте роль читателя журналов атрибутов пользователям, которым необходимо выполнить следующие задачи:
- Чтение журналов аудита для изменения значений настраиваемых атрибутов безопасности
- Чтение журналов аудита для изменений и назначений настраиваемых атрибутов безопасности
- Настройка параметров диагностики для настраиваемых атрибутов безопасности
Пользователи с этой ролью не могут считывать журналы аудита для других событий.
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение журналов аудита для пользовательских атрибутов безопасности. Чтобы считывать журналы аудита для пользовательских атрибутов безопасности, необходимо назначить эту роль или роль читателя журналов атрибутов.
Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Действия | Описание |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Настройка всех аспектов параметров диагностики настраиваемых атрибутов безопасности |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Чтение журналов аудита, связанных с настраиваемыми атрибутами безопасности |
Читатель журналов атрибутов
Назначьте роль читателя журналов атрибутов пользователям, которым необходимо выполнить следующие задачи:
- Чтение журналов аудита для изменения значений настраиваемых атрибутов безопасности
- Чтение журналов аудита для изменений и назначений настраиваемых атрибутов безопасности
Пользователи с этой ролью не могут выполнять следующие задачи:
- Настройка параметров диагностики для настраиваемых атрибутов безопасности
- Чтение журналов аудита для других событий
По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение журналов аудита для пользовательских атрибутов безопасности. Чтобы считывать журналы аудита для пользовательских атрибутов безопасности, необходимо назначить эту роль или роль администратора журнала атрибутов.
Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.
Действия | Описание |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Чтение журналов аудита, связанных с настраиваемыми атрибутами безопасности |
Администратор проверки подлинности
Это привилегированная роль. Назначьте роль администратора проверки подлинности пользователям, которым необходимо выполнить следующие действия:
- Задайте или сбросьте любой метод проверки подлинности (включая пароли) для неадминистраторов и некоторых ролей. Список ролей, которые администратор проверки подлинности может считывать или обновлять методы проверки подлинности, см. в разделе "Кто может сбросить пароли".
- Требовать, чтобы пользователи, не являющиеся администраторами или назначенные некоторым ролям, повторно регистрировались в существующих учетных данных без пароля (например, MFA или FIDO), а также могут отозвать MFA на устройстве, что запрашивает MFA на следующем входе.
- Управление параметрами MFA на устаревшем портале управления MFA.
- Выполнение конфиденциальных действий для некоторых пользователей. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
- Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
- Не удается управлять токенами OATH оборудования.
В следующей таблице сравниваются возможности ролей, связанных с проверкой подлинности.
Роль | Управление методами проверки подлинности пользователя | Управление MFA для каждого пользователя | Управление параметрами MFA | Управление политикой метода проверки подлинности | Управление политикой защиты паролем | Обновление конфиденциальных свойств | Удаление и восстановление пользователей |
---|---|---|---|---|---|---|---|
Администратор проверки подлинности | Да для некоторых пользователей | Да для некоторых пользователей | Да | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Администратор привилегированной проверки подлинности | Да для всех пользователей | Да для всех пользователей | Нет | Нет | Нет | Да для всех пользователей | Да для всех пользователей |
Администратор политики проверки подлинности | Нет | Да | Да | Да | Да | Нет | Нет |
Администратор пользователей | Нет | Нет | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Важный
Пользователи с этой ролью могут изменять учетные данные для пользователей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение учетных данных пользователя может означать возможность предположить, что удостоверение и разрешения пользователя. Например:
- Регистрация приложений и владельцы корпоративных приложений, которые могут управлять учетными данными приложений, которыми они владеет. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам проверки подлинности. Через этот путь администратор проверки подлинности может предположить удостоверение владельца приложения, а затем принять удостоверение привилегированного приложения, обновив учетные данные для приложения.
- Владельцы подписок Azure, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации в Azure.
- Владельцы групп безопасности и microsoft 365, которые могут управлять членством в группах. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
- Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и систем кадров.
- Неадминистры, такие как руководители, юристы и сотрудники отдела кадров, которые могут иметь доступ к конфиденциальной или частной информации.
Администратор расширения проверки подлинности
Это привилегированная роль. Назначьте роль администратора расширяемости проверки подлинности пользователям, которым необходимо выполнить следующие задачи:
- Создайте и управляйте всеми аспектами пользовательских расширений проверки подлинности.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается назначить пользовательские расширения проверки подлинности приложениям, чтобы изменить интерфейс проверки подлинности, и не удается предоставить согласие на разрешения приложения или создать регистрации приложений, связанные с пользовательским расширением проверки подлинности. Вместо этого необходимо использовать роли администратора приложений, разработчика приложений или администратора облачных приложений.
Пользовательское расширение проверки подлинности — это конечная точка API, созданная разработчиком для событий проверки подлинности и зарегистрированная в идентификаторе Microsoft Entra. Администраторы приложений и владельцы приложений могут использовать пользовательские расширения проверки подлинности для настройки возможностей проверки подлинности приложения, таких как вход и регистрация, или сброс пароля.
Действия | Описание |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Создание пользовательских расширений проверки подлинности и управление ими |
Администратор политики проверки подлинности
Назначьте роль администратора политики проверки подлинности пользователям, которым необходимо выполнить следующие действия:
- Настройте политику методов проверки подлинности, параметры MFA на уровне клиента и политику защиты паролей, определяющие методы, которые могут регистрировать и использовать каждый пользователь.
- Управление параметрами защиты паролем: конфигурации смарт-блокировки и обновление списка настраиваемых запрещенных паролей.
- Управление параметрами MFA на устаревшем портале управления MFA.
- Создание и управление проверяемыми учетными данными.
- Создание билетов поддержка Azure и управление ими.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается обновить конфиденциальные свойства. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
- Не удается удалить или восстановить пользователей. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
- Не удается управлять токенами OATH оборудования.
В следующей таблице сравниваются возможности ролей, связанных с проверкой подлинности.
Роль | Управление методами проверки подлинности пользователя | Управление MFA для каждого пользователя | Управление параметрами MFA | Управление политикой метода проверки подлинности | Управление политикой защиты паролем | Обновление конфиденциальных свойств | Удаление и восстановление пользователей |
---|---|---|---|---|---|---|---|
Администратор проверки подлинности | Да для некоторых пользователей | Да для некоторых пользователей | Да | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Администратор привилегированной проверки подлинности | Да для всех пользователей | Да для всех пользователей | Нет | Нет | Нет | Да для всех пользователей | Да для всех пользователей |
Администратор политики проверки подлинности | Нет | Да | Да | Да | Да | Нет | Нет |
Администратор пользователей | Нет | Нет | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Действия | Описание |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/organization/strongAuthentication/allTasks | Управление всеми аспектами строгих свойств проверки подлинности организации |
microsoft.directory/userCredentialPolicies/basic/update | Обновление базовых политик для пользователей |
microsoft.directory/userCredentialPolicies/create | Создание политик учетных данных для пользователей |
microsoft.directory/userCredentialPolicies/delete | Удаление политик учетных данных для пользователей |
microsoft.directory/userCredentialPolicies/owners/read | Чтение владельцев политик учетных данных для пользователей |
microsoft.directory/userCredentialPolicies/owners/update | Обновление владельцев политик учетных данных для пользователей |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Ссылка на навигацию read policy.appliesTo |
microsoft.directory/userCredentialPolicies/standard/read | Чтение стандартных свойств политик учетных данных для пользователей |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Update policy.isOrganizationDefault property |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Конфигурация чтения, необходимая для создания проверяемых учетных данных и управления ими |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Обновление конфигурации, необходимой для создания проверяемых учетных данных и управления ими |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Чтение проверяемого контракта учетных данных |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Обновление проверяемого контракта учетных данных |
microsoft.directory/verifiableCredentials/configuration/contracts/card/allProperties/read | Чтение проверяемой карточки учетных данных |
microsoft.directory/verifiableCredentials/configuration/contracts/card/revoke | Отзыв проверяемой карточки учетных данных |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Создание проверяемого контракта учетных данных |
microsoft.directory/verifiableCredentials/configuration/create | Создание конфигурации, необходимой для создания проверяемых учетных данных и управления ими |
microsoft.directory/verifiableCredentials/configuration/delete | Удаление конфигурации, необходимой для создания проверяемых учетных данных и управления ими и удаления всех проверяемых учетных данных |
Администратор Azure DevOps
Пользователи с этой ролью могут управлять всеми корпоративными политиками Azure DevOps, применимыми ко всем организациям Azure DevOps, поддерживаемым идентификатором Microsoft Entra. Пользователи этой роли могут управлять этими политиками, перейдя к любой организации Azure DevOps, поддерживаемой идентификатором Microsoft Entra компании. Кроме того, пользователи этой роли могут претендовать на владение потерянными организациями Azure DevOps. Эта роль не предоставляет никаких других разрешений azure DevOps (например, администраторов коллекции проектов) в любой из организаций Azure DevOps, поддерживаемых организацией Microsoft Entra компании.
Действия | Описание |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Чтение и настройка Azure DevOps |
Администратор Azure Information Protection
Пользователи с этой ролью имеют все разрешения в службе Azure Information Protection. Эта роль позволяет настраивать метки для политики Azure Information Protection, управлять шаблонами защиты и активировать защиту. Эта роль не предоставляет никаких разрешений на Защита идентификации Microsoft Entra, управление привилегированными пользователями, мониторинг работоспособности служб Microsoft 365, портала Microsoft 365 Defender или Портал соответствия требованиям Microsoft Purview.
Действия | Описание |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Управление всеми аспектами Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор набора ключей B2C IEF
Это привилегированная роль. Пользователь может создавать ключи политики и секреты для шифрования маркеров, подписей маркеров и шифрования и расшифровки утверждений. Добавив новые ключи в существующие контейнеры ключей, этот ограниченный администратор может развернуть секреты по мере необходимости, не влияя на существующие приложения. Этот пользователь может видеть полное содержимое этих секретов и их срок действия даже после их создания.
Важный
Это конфиденциальная роль. Роль администратора набора ключей должна быть тщательно проверена и назначена с осторожностью во время предварительной и рабочей среды.
Действия | Описание |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Чтение и настройка наборов ключей в Azure Active Directory B2C |
Администратор политики IEF B2C
Пользователи этой роли могут создавать, читать, обновлять и удалять все пользовательские политики в Azure AD B2C и, следовательно, иметь полный контроль над платформой удостоверений в соответствующей организации Azure AD B2C. Изменив политики, этот пользователь может установить прямую федерацию с внешними поставщиками удостоверений, изменить схему каталога, изменить все содержимое, доступное для пользователей (HTML, CSS, JavaScript), изменить требования для завершения проверки подлинности, создать новых пользователей, отправить данные пользователей во внешние системы, включая полную миграцию, и изменить всю информацию пользователя, включая конфиденциальные поля, такие как пароли и номера телефонов. И наоборот, эта роль не может изменить ключи шифрования или изменить секреты, используемые для федерации в организации.
Важный
Администратор политики IEF B2 является высокочувствительной ролью, которая должна быть назначена на очень ограниченной основе для организаций в рабочей среде. Действия этих пользователей должны быть тщательно проверены, особенно для организаций в рабочей среде.
Действия | Описание |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Чтение и настройка настраиваемых политик в Azure Active Directory B2C |
Администратор выставления счетов
Делает покупки, управляет подписками, управляет запросами в службу поддержки и отслеживает работоспособности служб.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Управление всеми аспектами выставления счетов Office 365 |
microsoft.directory/organization/basic/update | Обновление базовых свойств в организации |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор Cloud App Security
Пользователи с этой ролью имеют полные разрешения в Defender для облака Apps. Они могут добавлять администраторов, добавлять политики и параметры приложений Microsoft Defender для облака, отправлять журналы и выполнять действия управления.
Действия | Описание |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор облачных приложений
Это привилегированная роль. Пользователи этой роли имеют те же разрешения, что и роль администратора приложений, за исключением возможности управления прокси приложениями. Эта роль предоставляет возможность создавать и управлять всеми аспектами корпоративных приложений и регистраций приложений. Пользователи, назначенные этой роли, не добавляются как владельцы при создании новых регистраций приложений или корпоративных приложений.
Эта роль также предоставляет возможность предоставления согласия на делегированные разрешения и разрешения приложения, за исключением разрешений приложений для Azure AD Graph и Microsoft Graph.
Важный
Это исключение означает, что вы по-прежнему можете предоставить согласие на разрешения приложений для других приложений (например, других приложений Майкрософт, сторонних приложений или зарегистрированных приложений). Вы по-прежнему можете запросить эти разрешения в рамках регистрации приложения, но предоставление (то есть предоставление согласия) для этих разрешений требуется более привилегированный администратор, например глобальный администратор.
Эта роль предоставляет возможность управления учетными данными приложения. Пользователи, которым назначена эта роль, могут добавлять учетные данные в приложение и использовать эти учетные данные для олицетворения удостоверения приложения. Если удостоверение приложения было предоставлено доступ к ресурсу, например возможность создания или обновления пользователей или других объектов, то пользователь, назначенный этой роли, может выполнять эти действия при олицетворении приложения. Эта возможность олицетворения удостоверения приложения может быть повышением привилегий над тем, что пользователь может сделать с помощью назначений ролей. Важно понимать, что назначение пользователя роли администратора приложений дает им возможность олицетворения удостоверения приложения.
Администратор облачных устройств
Это привилегированная роль. Пользователи этой роли могут включать, отключать и удалять устройства в идентификаторе Microsoft Entra и читать ключи BitLocker Windows 10 (если они присутствуют) в портал Azure. Роль не предоставляет разрешения на управление другими свойствами на устройстве.
Администратор соответствия требованиям
Пользователи с этой ролью имеют разрешения на управление функциями, связанными с соответствием требованиям, на портале Портал соответствия требованиям Microsoft Purview, Центр администрирования Microsoft 365, Azure и Microsoft 365 Defender. Назначаемые также могут управлять всеми функциями в Центре администрирования Exchange и создавать запросы в службу поддержки Для Azure и Microsoft 365. Дополнительные сведения см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.
В | Может сделать |
---|---|
Портал соответствия требованиям Microsoft Purview | Защита данных организации и управление ими в службах Microsoft 365 Управление оповещениями о соответствии |
Диспетчер соответствия требованиям Microsoft Purview | Отслеживание, назначение и проверка нормативных действий вашей организации |
Портал Microsoft 365 Defender | Управление управлением данными Выполнение юридических и аналитических исследований данных Управление запросом субъекта данных Эта роль имеет те же разрешения, что и группа ролей администратора соответствия требованиям в службе управления доступом на портале Microsoft 365 Defender. |
Intune | Просмотр всех данных аудита Intune |
приложения Microsoft Defender для облака | Имеет разрешения только для чтения и может управлять оповещениями Может создавать и изменять политики файлов и разрешать действия управления файлами Можно просмотреть все встроенные отчеты в Управление данными |
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/entitlementManagement/allProperties/read | Чтение всех свойств в управлении правами Microsoft Entra |
microsoft.office365.complianceManager/allEntities/allTasks | Управление всеми аспектами диспетчера соответствия требованиям Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор данных соответствия требованиям
Пользователи с этой ролью имеют разрешения на отслеживание данных в Портал соответствия требованиям Microsoft Purview, Центр администрирования Microsoft 365 и Azure. Пользователи также могут отслеживать данные о соответствии в Центре администрирования Exchange, диспетчере соответствия требованиям и Teams и Skype для бизнеса центре администрирования и создавать запросы в службу поддержки для Azure и Microsoft 365. Дополнительные сведения о различиях между администратором соответствия требованиям и администратором данных соответствия требованиям см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.
В | Может сделать |
---|---|
Портал соответствия требованиям Microsoft Purview | Мониторинг политик соответствия требованиям в службах Microsoft 365 Управление оповещениями о соответствии |
Диспетчер соответствия требованиям Microsoft Purview | Отслеживание, назначение и проверка нормативных действий вашей организации |
Портал Microsoft 365 Defender | Управление управлением данными Выполнение юридических и аналитических исследований данных Управление запросом субъекта данных Эта роль имеет те же разрешения, что и группа ролей администратора данных соответствия требованиям в портале Microsoft 365 Defender на основе ролей. |
Intune | Просмотр всех данных аудита Intune |
приложения Microsoft Defender для облака | Имеет разрешения только для чтения и может управлять оповещениями Может создавать и изменять политики файлов и разрешать действия управления файлами Можно просмотреть все встроенные отчеты в Управление данными |
Действия | Описание |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | Управление всеми аспектами Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака |
microsoft.office365.complianceManager/allEntities/allTasks | Управление всеми аспектами диспетчера соответствия требованиям Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор условного доступа
Это привилегированная роль. Пользователи с этой ролью могут управлять параметрами условного доступа Microsoft Entra.
Утверждающий клиент LockBox Access
Управляет запросами microsoft Purview Customer Lockbox в вашей организации. Они получают Уведомления по электронной почте для запросов на блокировку клиента и могут утверждать и отклонять запросы от Центр администрирования Microsoft 365. Они также могут включить или отключить функцию блокировки клиента. Только глобальные администраторы могут сбрасывать пароли пользователей, назначенных этой роли.
Действия | Описание |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Управление всеми аспектами блокировки клиента |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор Аналитика компьютеров
Пользователи этой роли могут управлять службой Аналитика компьютеров. Это включает возможность просматривать инвентаризацию активов, создавать планы развертывания и просматривать состояние развертывания и работоспособности.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Управление всеми аспектами Аналитика компьютеров |
Читатели каталогов
Пользователи этой роли могут читать основные сведения о каталоге. Эта роль должна использоваться для:
- Предоставление определенного набора гостевых пользователей для чтения вместо предоставления доступа ко всем гостевым пользователям.
- Предоставление определенного набора пользователей, не являющихся администраторами, доступа к Центру администрирования Microsoft Entra, если для параметра "Ограничить доступ к Центру администрирования Microsoft Entra" задано значение "Да".
- Предоставление субъекту-службе доступа к каталогу, где Directory.Read.All не является параметром.
Действия | Описание |
---|---|
microsoft.directory/administrativeUnits/members/read | Чтение членов административных единиц |
microsoft.directory/administrativeUnits/standard/read | Чтение базовых свойств в административных единицах |
microsoft.directory/applicationPolicies/standard/read | Чтение стандартных свойств политик приложений |
microsoft.directory/applications/owners/read | Чтение владельцев приложений |
microsoft.directory/applications/policies/read | Чтение политик приложений |
microsoft.directory/applications/standard/read | Чтение стандартных свойств приложений |
microsoft.directory/contacts/memberOf/read | Чтение членства в группе для всех контактов в идентификаторе Microsoft Entra |
microsoft.directory/contacts/standard/read | Чтение базовых свойств контактов в идентификаторе Microsoft Entra |
microsoft.directory/contracts/standard/read | Чтение базовых свойств для партнерских контрактов |
microsoft.directory/devices/memberOf/read | Чтение членства устройств |
microsoft.directory/devices/registeredOwners/read | Чтение зарегистрированных владельцев устройств |
microsoft.directory/devices/registeredUsers/read | Чтение зарегистрированных пользователей устройств |
microsoft.directory/devices/standard/read | Чтение основных свойств на устройствах |
microsoft.directory/directoryRoles/eligibleMembers/read | Чтение соответствующих членов ролей Microsoft Entra |
microsoft.directory/directoryRoles/members/read | Чтение всех членов ролей Microsoft Entra |
microsoft.directory/directoryRoles/standard/read | Чтение основных свойств ролей Microsoft Entra |
microsoft.directory/domains/standard/read | Чтение базовых свойств в доменах |
microsoft.directory/groups/appRoleAssignments/read | Чтение назначений ролей приложения групп |
microsoft.directory/groupSettings/standard/read | Чтение базовых свойств параметров группы |
microsoft.directory/groupSettingTemplates/standard/read | Чтение базовых свойств шаблонов параметров группы |
microsoft.directory/groups/memberOf/read | Чтение свойства memberOf в группах безопасности и группах Microsoft 365, включая группы, назначаемые ролем. |
microsoft.directory/groups/members/read | Чтение членов групп безопасности и групп Microsoft 365, включая группы, назначаемые ролем |
microsoft.directory/groups/owners/read | Чтение владельцев групп безопасности и групп Microsoft 365, включая группы, назначаемые ролями |
microsoft.directory/groups/settings/read | Чтение параметров групп |
microsoft.directory/groups/standard/read | Чтение стандартных свойств групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
microsoft.directory/oAuth2PermissionGrants/standard/read | Чтение базовых свойств для предоставления разрешений OAuth 2.0 |
microsoft.directory/organization/standard/read | Чтение базовых свойств в организации |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Чтение доверенных центров сертификации для проверки подлинности без пароля |
microsoft.directory/roleAssignments/standard/read | Чтение базовых свойств для назначений ролей |
microsoft.directory/roleDefinitions/standard/read | Чтение основных свойств определений ролей |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Чтение назначений ролей субъекта-службы |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Чтение назначений ролей, назначенных субъектам-службам |
microsoft.directory/servicePrincipals/memberOf/read | Чтение членства в группах в субъектах-службах |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Чтение делегированных разрешений для субъектов-служб |
microsoft.directory/servicePrincipals/ownedObjects/read | Чтение принадлежащих объектов субъектов-служб |
microsoft.directory/servicePrincipals/owners/read | Чтение владельцев субъектов-служб |
microsoft.directory/servicePrincipals/policies/read | Чтение политик субъектов-служб |
microsoft.directory/servicePrincipals/standard/read | Чтение основных свойств субъектов-служб |
microsoft.directory/subscribedSkus/standard/read | Чтение базовых свойств для подписок |
microsoft.directory/users/appRoleAssignments/read | Чтение назначений ролей приложения для пользователей |
microsoft.directory/users/deviceForResourceAccount/read | Чтение устройстваForResourceAccount пользователей |
microsoft.directory/users/directReports/read | Чтение прямых отчетов для пользователей |
microsoft.directory/users/invitedBy/read | Чтение пользователя, приглашающего внешнего пользователя в клиент |
microsoft.directory/users/licenseDetails/read | Чтение сведений о лицензии пользователей |
microsoft.directory/users/manager/read | Диспетчер чтения пользователей |
microsoft.directory/users/memberOf/read | Чтение членства в группах пользователей |
microsoft.directory/users/oAuth2PermissionGrants/read | Предоставление делегированных разрешений для чтения для пользователей |
microsoft.directory/users/ownedDevices/read | Чтение собственных устройств пользователей |
microsoft.directory/users/ownedObjects/read | Чтение собственных объектов пользователей |
microsoft.directory/users/photo/read | Чтение фотографии пользователей |
microsoft.directory/users/registeredDevices/read | Чтение зарегистрированных устройств пользователей |
microsoft.directory/users/scopedRoleMemberOf/read | Чтение членства пользователя в роли Microsoft Entra, которая распространяется на административную единицу. |
microsoft.directory/users/sponsors/read | Чтение спонсоров пользователей |
microsoft.directory/users/standard/read | Чтение базовых свойств для пользователей |
Учетные записи синхронизации каталогов
Не используйте. Эта роль автоматически назначается службе Microsoft Entra Connect и не предназначена или не поддерживается для любого другого использования.
Действия | Описание |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | Чтение объектов и управление ими для включения синхронизации локальных каталогов |
Записи каталогов
Это привилегированная роль. Пользователи этой роли могут читать и обновлять основные сведения о пользователях, группах и субъектах-службах.
Администратор доменного имени
Это привилегированная роль. Пользователи с этой ролью могут управлять доменными именами (чтение, добавление, проверка, обновление и удаление). Они также могут читать сведения о каталогах о пользователях, группах и приложениях, так как эти объекты обладают зависимостями домена. Для локальных сред пользователи с этой ролью могут настроить доменные имена для федерации, чтобы связанные пользователи всегда прошли проверку подлинности в локальной среде. Затем эти пользователи могут войти в службы на основе Microsoft Entra с помощью локальных паролей с помощью единого входа. Параметры федерации необходимо синхронизировать с помощью Microsoft Entra Connect, поэтому у пользователей также есть разрешения на управление Microsoft Entra Connect.
Администратор Dynamics 365
Пользователи с этой ролью имеют глобальные разрешения в Microsoft Dynamics 365 Online, когда служба присутствует, а также возможность управлять запросами в службу поддержки и отслеживать работоспособности служб. Дополнительные сведения см. в статье "Использование ролей администратора службы для управления клиентом".
Заметка
В API Microsoft Graph и Azure AD PowerShell эта роль называется администратором службы Dynamics 365. В портал Azure он называется администратором Dynamics 365.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.dynamics365/allEntities/allTasks | Управление всеми аспектами Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
администратор центра бизнеса Dynamics 365
Назначьте роль администратора Dynamics 365 Business Central пользователям, которым необходимо выполнить следующие задачи:
- Доступ к средам Dynamics 365 Business Central
- Выполнение всех административных задач в средах
- Управление жизненным циклом сред клиента
- Контроль расширений, установленных в средах
- Управление обновлениями сред
- Выполнение экспорта данных сред
- Чтение и настройка панелей мониторинга работоспособности служб Azure и Microsoft 365
Эта роль не предоставляет никаких разрешений для других продуктов Dynamics 365.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.directory/domains/standard/read | Чтение базовых свойств в доменах |
microsoft.directory/organization/standard/read | Чтение базовых свойств в организации |
microsoft.directory/subscribedSkus/standard/read | Чтение базовых свойств для подписок |
microsoft.directory/users/standard/read | Чтение базовых свойств для пользователей |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Управление всеми аспектами Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор пограничных вычислений
Пользователи этой роли могут создавать и управлять списком корпоративных сайтов, необходимым для режима Internet Explorer в Microsoft Edge. Эта роль предоставляет разрешения на создание, изменение и публикацию списка сайтов, а также позволяет управлять запросами в службу поддержки. Подробнее
Действия | Описание |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Управление всеми аспектами Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор Exchange
Пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online, когда служба присутствует. Кроме того, имеет возможность создавать и управлять всеми группами Microsoft 365, управлять запросами в службу поддержки и отслеживать работоспособности служб. Дополнительные сведения см. в разделе "Сведения о ролях администраторов" в Центр администрирования Microsoft 365.
Заметка
В API Microsoft Graph и Azure AD PowerShell эта роль называется администратором службы Exchange. В портал Azure он называется администратором Exchange. В Центре администрирования Exchange он называется администратором Exchange Online.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Создание политики защиты Exchange Online и управление ими в Microsoft 365 Backup |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Чтение и настройка сеанса восстановления для Exchange Online в Службе архивации Microsoft 365 |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Управление всеми точками восстановления, связанными с выбранными почтовыми ящиками Exchange Online в резервном копировании M365 |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Управление почтовыми ящиками, добавленными в политику защиты Exchange Online в Службе архивации Microsoft 365 |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Управление почтовыми ящиками, добавленными для восстановления сеанса для Exchange Online в Службе архивации Microsoft 365 |
microsoft.directory/groups/hiddenMembers/read | Чтение скрытых членов групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
microsoft.directory/groups.unified/basic/update | Обновление базовых свойств в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/members/update | Обновление членов групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп, назначаемых ролями |
microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленного контейнера, за исключением групп, назначаемых ролем |
microsoft.office365.exchange/allEntities/basic/allTasks | Управление всеми аспектами Exchange Online |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор получателя Exchange
Пользователи с этой ролью имеют доступ на чтение к получателям и доступ на запись к атрибутам этих получателей в Exchange Online. Дополнительные сведения см. в разделе "Получатели" в Exchange Server.
Действия | Описание |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | Управление всеми задачами, связанными с миграцией получателей в Exchange Online |
microsoft.office365.exchange/recipients/allProperties/allTasks | Создание и удаление всех получателей и чтение и обновление всех свойств получателей в Exchange Online |
Администратор потока внешних идентификаторов
Пользователи с этой ролью могут создавать потоки пользователей и управлять ими (также называемыми встроенными политиками) в портал Azure. Эти пользователи могут настраивать содержимое HTML/CSS/JavaScript, изменять требования MFA, выбирать утверждения в маркере, управлять соединителями API и их учетными данными, а также настраивать параметры сеанса для всех потоков пользователей в организации Microsoft Entra. С другой стороны, эта роль не включает возможность просматривать данные пользователей или вносить изменения в атрибуты, включенные в схему организации. Изменения политик платформы удостоверений (также известные как пользовательские политики) также находятся вне области этой роли.
Действия | Описание |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Чтение и настройка потока пользователей в Azure Active Directory B2C |
Администратор атрибута внешнего потока идентификатора
Пользователи с этой ролью добавляют или удаляют пользовательские атрибуты, доступные всем потокам пользователей в организации Microsoft Entra. Таким образом, пользователи с этой ролью могут изменять или добавлять новые элементы в схему конечных пользователей и влиять на поведение всех потоков пользователей и косвенно привести к изменениям в том, какие данные могут запрашиваться конечными пользователями и в конечном итоге отправляться в качестве утверждений приложениям. Эта роль не может изменять потоки пользователей.
Действия | Описание |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Чтение и настройка атрибута пользователя в Azure Active Directory B2C |
Администратор внешнего поставщика удостоверений
Это привилегированная роль. Этот администратор управляет федерацией между организациями Microsoft Entra и внешними поставщиками удостоверений. С помощью этой роли пользователи могут добавлять новых поставщиков удостоверений и настраивать все доступные параметры (например, путь проверки подлинности, идентификатор службы, назначенные контейнеры ключей). Этот пользователь может разрешить организации Microsoft Entra доверять аутентификации от внешних поставщиков удостоверений. Результирующее влияние на взаимодействие с конечными пользователями зависит от типа организации:
- Организации Microsoft Entra для сотрудников и партнеров: добавление федерации (например, с Gmail) сразу повлияет на все приглашения гостей, которые еще не активированы. См. статью "Добавление Google в качестве поставщика удостоверений для гостевых пользователей B2B".
- Организации Azure Active Directory B2C: добавление федерации (например, с Facebook или с другой организацией Microsoft Entra) не сразу влияет на потоки конечных пользователей, пока поставщик удостоверений не будет добавлен в поток пользователя (также называется встроенной политикой). См . пример настройки учетной записи Майкрософт в качестве поставщика удостоверений. Чтобы изменить потоки пользователей, требуется ограниченная роль "Администратор пользовательского потока B2C".
Администратор Структуры
Пользователи с этой ролью имеют глобальные разрешения в Microsoft Fabric и Power BI, когда служба присутствует, а также возможность управлять запросами в службу поддержки и отслеживать работоспособности служб. Дополнительные сведения см. в разделе "Общие сведения о ролях администратора Fabric".
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.powerApps.powerBI/allEntities/allTasks | Управление всеми аспектами Fabric и Power BI |
Глобальный администратор
Это привилегированная роль. Пользователи с этой ролью имеют доступ ко всем административным функциям в идентификаторе Microsoft Entra, а также службам, используюющим удостоверения Microsoft Entra, такие как портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview, Exchange Online, SharePoint Online и Skype для бизнеса Online. Глобальные администраторы могут просматривать журналы действий каталога. Кроме того, глобальные администраторы могут повысить уровень доступа для управления всеми подписками Azure и группами управления. Это позволяет глобальным администраторам получить полный доступ ко всем ресурсам Azure с помощью соответствующего клиента Microsoft Entra. Пользователь, который регистрируется в организации Microsoft Entra, становится глобальным администратором. В вашей компании может быть несколько глобальных администраторов. Глобальные администраторы могут сбрасывать пароль для любого пользователя и всех других администраторов. Глобальный администратор не может удалить собственное назначение глобального администратора. Это позволит предотвратить ситуацию, когда у организации нет глобальных администраторов.
Заметка
Корпорация Майкрософт рекомендует назначить роль глобального администратора менее пяти человек в организации. Дополнительные сведения см. в рекомендациях по ролям Microsoft Entra.
Глобальный читатель
Это привилегированная роль. Пользователи этой роли могут считывать параметры и административные сведения в службах Microsoft 365, но не могут выполнять действия по управлению. Глобальный читатель — это пользователь только для чтения для глобального администратора. Назначение глобального читателя вместо глобального администратора для планирования, аудита или расследований. Использование глобального читателя в сочетании с другими ограниченными ролями администратора, такими как администратор Exchange, чтобы упростить работу без назначения роли глобального администратора. Global Reader работает с Центр администрирования Microsoft 365, Центром администрирования Exchange, Центром администрирования SharePoint, Центром администрирования Teams, порталом Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview, портал Azure и Управление устройствами центре администрирования.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается получить доступ к области "Службы покупки" в Центр администрирования Microsoft 365.
Заметка
Роль глобального читателя имеет следующие ограничения:
- Центр администрирования OneDrive — Центр администрирования OneDrive не поддерживает роль глобального читателя
- Портал Microsoft 365 Defender . Глобальный читатель не может читать журналы аудита SCC, выполнять поиск контента или просматривать оценку безопасности.
- Центр администрирования Teams. Глобальный читатель не может читать жизненный цикл Teams, аналитику и отчеты, управление устройствами IP-телефонов и каталог приложений. Дополнительные сведения см. в статье "Использование ролей администратора Microsoft Teams для управления Teams".
- Управление привилегированным доступом не поддерживает роль глобального читателя.
- Azure Information Protection — глобальный читатель поддерживается только для централизованной отчетности , и если ваша организация Microsoft Entra не находится на единой платформе меток.
- SharePoint — глобальный читатель имеет доступ на чтение к командлетам PowerShell SharePoint Online и API чтения.
- Центр администрирования Power Platform — глобальный читатель пока не поддерживается в Центре администрирования Power Platform.
- Microsoft Purview не поддерживает роль глобального читателя.
Глобальный администратор безопасного доступа
Назначьте роль глобального администратора безопасного доступа пользователям, которым необходимо выполнить следующие действия:
- Создание и управление всеми аспектами Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra
- Управление доступом к общедоступным и частным конечным точкам
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается управлять корпоративными приложениями, регистрациями приложений, условным доступом или параметрами прокси приложения
Действия | Описание |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/applicationPolicies/standard/read | Чтение стандартных свойств политик приложений |
microsoft.directory/applications/applicationProxy/read | Чтение всех свойств прокси приложения |
microsoft.directory/applications/owners/read | Чтение владельцев приложений |
microsoft.directory/applications/policies/read | Чтение политик приложений |
microsoft.directory/applications/standard/read | Чтение стандартных свойств приложений |
microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности |
microsoft.directory/conditionalAccessPolicies/standard/read | Чтение условного доступа для политик |
microsoft.directory/connectorGroups/allProperties/read | Чтение всех свойств групп соединителей частной сети |
microsoft.directory/connectors/allProperties/read | Чтение всех свойств соединителей частной сети |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Чтение базовых свойств политики доступа между клиентами по умолчанию |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Чтение базовых свойств политики доступа между клиентами для партнеров |
microsoft.directory/crossTenantAccessPolicy/standard/read | Чтение базовых свойств политики доступа между клиентами |
microsoft.directory/namedLocations/standard/read | Чтение базовых свойств пользовательских правил, определяющих сетевые расположения |
microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчетов о входе, включая привилегированные свойства |
microsoft.networkAccess/allEntities/allProperties/allTasks | Управление всеми аспектами доступа к сети Microsoft Entra |
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор групп
Пользователи этой роли могут создавать группы и управлять ими, например политики именования и окончания срока действия. Важно понимать, что назначение пользователя этой роли дает им возможность управлять всеми группами в организации в различных рабочих нагрузках, таких как Teams, SharePoint, Yammer в дополнение к Outlook. Кроме того, пользователь сможет управлять различными параметрами групп на различных порталах администрирования, таких как Центр администрирования Майкрософт, портал Azure, а также определенные рабочие нагрузки, такие как Teams и центры администрирования SharePoint.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/deletedItems.groups/delete | Окончательное удаление групп, которые больше не могут быть восстановлены |
microsoft.directory/deletedItems.groups/restore | Восстановление обратимо удаленных групп в исходном состоянии |
microsoft.directory/groups/assignLicense | Назначение лицензий продукта группам для группового лицензирования |
microsoft.directory/groups/basic/update | Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп, назначаемых ролем. |
microsoft.directory/groups/classification/update | Обновление свойства классификации в группах безопасности и группах Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups/create | Создание групп безопасности и групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups/delete | Удаление групп безопасности и групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups/dynamicMembershipRule/update | Обновление правила динамического членства в группах безопасности и группах Microsoft 365, за исключением групп, назначаемых ролем. |
microsoft.directory/groups/groupType/update | Обновление свойств, влияющих на тип групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
microsoft.directory/groups/hiddenMembers/read | Чтение скрытых членов групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
microsoft.directory/groups/members/update | Обновление членов групп безопасности и групп Microsoft 365, за исключением групп, назначаемых ролем. |
microsoft.directory/groups/onPremWriteBack/update | Обновление групп Microsoft Entra для записи обратно в локальную среду с помощью Microsoft Entra Connect |
microsoft.directory/groups/owners/update | Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп, назначаемых ролями |
microsoft.directory/groups/reprocessLicenseAssignment | Повторная обработка назначений лицензий для группового лицензирования |
microsoft.directory/groups/restore | Восстановление групп из обратимо удаленного контейнера |
microsoft.directory/groups/settings/update | Обновление параметров групп |
microsoft.directory/groups/visibility/update | Обновление свойства видимости групп безопасности и групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Приглашенный гостей
Пользователи в этой роли могут управлять приглашениями гостевых пользователей Microsoft Entra B2B, когда участники могут приглашать параметр пользователя в значение No. Дополнительные сведения о совместной работе B2B см. в описании совместной работы Microsoft Entra B2B. Он не включает другие разрешения.
Действия | Описание |
---|---|
microsoft.directory/users/appRoleAssignments/read | Чтение назначений ролей приложения для пользователей |
microsoft.directory/users/deviceForResourceAccount/read | Чтение устройстваForResourceAccount пользователей |
microsoft.directory/users/directReports/read | Чтение прямых отчетов для пользователей |
microsoft.directory/users/invitedBy/read | Чтение пользователя, приглашающего внешнего пользователя в клиент |
microsoft.directory/users/inviteGuest | Приглашение гостевых пользователей |
microsoft.directory/users/licenseDetails/read | Чтение сведений о лицензии пользователей |
microsoft.directory/users/manager/read | Диспетчер чтения пользователей |
microsoft.directory/users/memberOf/read | Чтение членства в группах пользователей |
microsoft.directory/users/oAuth2PermissionGrants/read | Предоставление делегированных разрешений для чтения для пользователей |
microsoft.directory/users/ownedDevices/read | Чтение собственных устройств пользователей |
microsoft.directory/users/ownedObjects/read | Чтение собственных объектов пользователей |
microsoft.directory/users/photo/read | Чтение фотографии пользователей |
microsoft.directory/users/registeredDevices/read | Чтение зарегистрированных устройств пользователей |
microsoft.directory/users/scopedRoleMemberOf/read | Чтение членства пользователя в роли Microsoft Entra, которая распространяется на административную единицу. |
microsoft.directory/users/sponsors/read | Чтение спонсоров пользователей |
microsoft.directory/users/standard/read | Чтение базовых свойств для пользователей |
Администратор службы технической поддержки
Это привилегированная роль. Пользователи с этой ролью могут изменять пароли, отменять маркеры обновления, создавать запросы на поддержку и управлять ими с помощью служб Microsoft for Azure и Microsoft 365 и отслеживать работоспособности служб. Недопустимое выполнение маркера обновления заставляет пользователя снова входить в систему. Может ли администратор службы технической поддержки сбросить пароль пользователя и недопустимые маркеры обновления зависит от роли, которую назначает пользователь. Список ролей, для которых администратор службы поддержки может сбрасывать пароли и отклонять маркеры обновления, см. в разделе "Кто может сбросить пароли".
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
Важный
Пользователи с этой ролью могут изменять пароли для людей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение пароля пользователя может означать возможность предполагать, что удостоверение и разрешения пользователя. Например:
- Регистрация приложений и владельцы корпоративных приложений, которые могут управлять учетными данными приложений, которыми они владеет. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам Helpdesk. Через этот путь администратор службы поддержки может принять удостоверение владельца приложения, а затем дополнительно предположить удостоверение привилегированного приложения, обновив учетные данные для приложения.
- Владельцы подписок Azure, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации в Azure.
- Владельцы групп безопасности и microsoft 365, которые могут управлять членством в группах. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
- Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и систем кадров.
- Неадминистры, такие как руководители, юристы и сотрудники отдела кадров, которые могут иметь доступ к конфиденциальной или частной информации.
Делегирование административных разрешений по подмножествам пользователей и применение политик к подмножествам пользователей возможно с помощью административных единиц.
Эта роль ранее была названа администратором паролей в портал Azure. Он был переименован в службу "Администратор службы поддержки", чтобы выровнять существующее имя в API Microsoft Graph и Azure AD PowerShell.
Администратор гибридных удостоверений
Это привилегированная роль. Пользователи этой роли могут создавать, администрировать и развертывать настройку конфигурации подготовки из Active Directory в идентификатор Microsoft Entra ID с помощью облачной подготовки, а также управлять Microsoft Entra Connect, сквозной проверкой подлинности (PTA), синхронизацией хэша паролей (PHS), простым единым входом (простой единый вход) и параметрами федерации. Не имеет доступа к управлению Microsoft Entra Connect Health. Пользователи также могут устранять неполадки и отслеживать журналы с помощью этой роли.
Администратор управления удостоверениями
Пользователи с этой ролью могут управлять конфигурацией Управление идентификацией Microsoft Entra, включая пакеты доступа, проверки доступа, каталоги и политики, обеспечивая утверждение и проверку доступа, а также гостевых пользователей, которые больше не нуждаются в доступе, удаляются.
Действия | Описание |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (не рекомендуется) Создание и удаление проверок доступа, чтение и обновление всех свойств проверок доступа и управление проверками доступа групп в идентификаторе Microsoft Entra |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Управление проверками доступа назначений ролей приложения в идентификаторе Microsoft Entra |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Управление проверками доступа для назначений пакетов доступа в управлении правами |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Прочитайте все свойства проверок доступа для членства в группах Security и Microsoft 365, включая группы, назначаемые ролем. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Обновите все свойства проверок доступа для членства в группах Security и Microsoft 365, за исключением групп, назначаемых ролем. |
microsoft.directory/accessReviews/definitions.groups/create | Создание проверок доступа для членства в группах Security и Microsoft 365. |
microsoft.directory/accessReviews/definitions.groups/delete | Удаление проверок доступа для членства в группах Security и Microsoft 365. |
microsoft.directory/entitlementManagement/allProperties/allTasks | Создание и удаление ресурсов, а также чтение и обновление всех свойств в управлении правами Microsoft Entra |
microsoft.directory/groups/members/update | Обновление членов групп безопасности и групп Microsoft 365, за исключением групп, назначаемых ролем. |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей субъекта-службы |
Администратор Аналитики
Пользователи этой роли могут получить доступ к полному набору административных возможностей в приложении Microsoft Viva Insights. Эта роль имеет возможность считывать сведения о каталоге, отслеживать работоспособность службы, запросы в службу поддержки файлов и получать доступ к параметрам администратора Аналитики.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.insights/allEntities/allProperties/allTasks | Управление всеми аспектами приложения Insights |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Аналитик аналитики аналитики
Назначьте роль аналитика Аналитики аналитики аналитики для пользователей, которым необходимо выполнить следующие действия:
- Анализ данных в приложении Microsoft Viva Insights, но не может управлять параметрами конфигурации.
- Создание, управление и выполнение запросов
- Просмотр основных параметров и отчетов в Центр администрирования Microsoft 365
- Создание запросов служб и управление ими в Центр администрирования Microsoft 365
Действия | Описание |
---|---|
microsoft.insights/queries/allProperties/allTasks | Выполнение запросов и управление ими в Viva Insights |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Руководитель бизнес-аналитики
Пользователи этой роли могут получить доступ к набору панелей мониторинга и аналитических сведений с помощью приложения Microsoft Viva Insights. Сюда входит полный доступ ко всем панелям мониторинга и представлены аналитические сведения и функции исследования данных. Пользователи этой роли не имеют доступа к параметрам конфигурации продукта, который несет ответственность за роль администратора Аналитики.
Действия | Описание |
---|---|
microsoft.insights/programs/allProperties/update | Развертывание программ и управление ими в приложении Insights |
microsoft.insights/reports/allProperties/read | Просмотр отчетов и панелей мониторинга в приложении Insights |
Администратор Intune
Это привилегированная роль. Пользователи с этой ролью имеют глобальные разрешения в Microsoft Intune Online, когда служба присутствует. Кроме того, эта роль содержит возможность управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими. Дополнительные сведения см. в разделе управления администрированием на основе ролей (RBAC) с помощью Microsoft Intune.
Эта роль может создавать и управлять всеми группами безопасности. Однако администратор Intune не имеет прав администратора в группах Office. Это означает, что администратор не может обновить владельцев или членства всех групп Office в организации. Тем не менее, он может управлять группой Office, которую он создает, которая входит в его привилегии конечных пользователей. Таким образом, любая группа Office (а не группа безопасности), которую он/она создает, должна быть подсчитана в отношении его квоты 250.
Заметка
В API Microsoft Graph и Azure AD PowerShell эта роль называется администратором службы Intune. В портал Azure он называется администратором Intune.
Администратор Kaizala
Пользователи с этой ролью имеют глобальные разрешения на управление параметрами в Microsoft Kaizala, когда служба присутствует, а также возможность управлять запросами в службу поддержки и отслеживать работоспособности служб. Кроме того, пользователь может получить доступ к отчетам, связанным с внедрением и использованием Kaizala членами организации и бизнес-отчетами, созданными с помощью действий Kaizala.
Действия | Описание |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор знаний
Пользователи этой роли имеют полный доступ ко всем знаниям, обучению и интеллектуальным параметрам функций в Центр администрирования Microsoft 365. Они имеют общее представление о наборе продуктов, сведений о лицензировании и несут ответственность за контроль доступа. Администратор знаний может создавать и управлять контентом, например темами, акронимами и ресурсами обучения. Кроме того, эти пользователи могут создавать центры содержимого, отслеживать работоспособности служб и создавать запросы на обслуживание.
Действия | Описание |
---|---|
microsoft.directory/groups.security/basic/update | Обновление базовых свойств в группах безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/createAsOwner | Создайте группы безопасности, за исключением групп, назначаемых ролем. Создатель добавляется в качестве первого владельца. |
microsoft.directory/groups.security/delete | Удаление групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/members/update | Обновление членов групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/owners/update | Обновление владельцев групп безопасности, за исключением групп, назначаемых ролями |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Чтение и обновление всех свойств понимания содержимого в Центр администрирования Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Чтение и обновление всех свойств сети знаний в Центр администрирования Microsoft 365 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Управление источниками обучения и всеми их свойствами в приложении обучения. |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Чтение всех свойств меток конфиденциальности в центрах безопасности и соответствия требованиям |
microsoft.office365.sharePoint/allEntities/allTasks | Создание и удаление всех ресурсов, чтение и обновление стандартных свойств в SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Диспетчер знаний
Пользователи этой роли могут создавать содержимое и управлять ими, например темы, акронимы и содержимое обучения. Эти пользователи в первую очередь отвечают за качество и структуру знаний. Этот пользователь имеет полные права на действия по управлению разделами, чтобы подтвердить раздел, утвердить изменения или удалить раздел. Эта роль также может управлять таксономиями в рамках средства управления хранилищем терминов и создавать центры содержимого.
Действия | Описание |
---|---|
microsoft.directory/groups.security/basic/update | Обновление базовых свойств в группах безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/createAsOwner | Создайте группы безопасности, за исключением групп, назначаемых ролем. Создатель добавляется в качестве первого владельца. |
microsoft.directory/groups.security/delete | Удаление групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/members/update | Обновление членов групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/owners/update | Обновление владельцев групп безопасности, за исключением групп, назначаемых ролями |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Чтение отчетов аналитики о понимании содержимого в Центр администрирования Microsoft 365 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Управление видимостью темы для сети знаний в Центр администрирования Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Создание и удаление всех ресурсов, чтение и обновление стандартных свойств в SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор лицензии
Пользователи этой роли могут читать, добавлять, удалять и обновлять назначения лицензий для пользователей, групп (с помощью группового лицензирования) и управлять расположением использования для пользователей. Роль не предоставляет возможность приобретать подписки или управлять ими, создавать группы или управлять ими, а также создавать пользователей за пределами расположения использования или управлять ими. Эта роль не имеет доступа к просмотру, созданию или управлению запросами в службу поддержки.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.directory/groups/assignLicense | Назначение лицензий продукта группам для группового лицензирования |
microsoft.directory/groups/reprocessLicenseAssignment | Повторная обработка назначений лицензий для группового лицензирования |
microsoft.directory/users/assignLicense | Управление лицензиями пользователей |
microsoft.directory/users/reprocessLicenseAssignment | Повторная обработка назначений лицензий для пользователей |
microsoft.directory/users/usageLocation/update | Обновление расположения пользователей |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор рабочих процессов жизненного цикла
Это привилегированная роль. Назначьте роль администратора рабочих процессов жизненного цикла пользователям, которым необходимо выполнить следующие задачи:
- Создание всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла, и управление ими в идентификаторе Microsoft Entra
- Проверка выполнения запланированных рабочих процессов
- Запуск рабочего процесса по запросу
- Проверка журналов выполнения рабочего процесса
Читатель конфиденциальности Центра сообщений
Пользователи этой роли могут отслеживать все уведомления в Центре сообщений, включая сообщения о конфиденциальности данных. Читатели конфиденциальности Центра сообщений получают Уведомления по электронной почте включая те, которые связаны с конфиденциальностью данных, и они могут отменить подписку с помощью параметров Центра сообщений. Только глобальный администратор и читатель конфиденциальности Центра сообщений могут читать сообщения о конфиденциальности данных. Кроме того, эта роль содержит возможность просматривать группы, домены и подписки. Эта роль не имеет разрешения на просмотр, создание и управление запросами на обслуживание.
Действия | Описание |
---|---|
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.messageCenter/securityMessages/read | Чтение сообщений системы безопасности в Центре сообщений в Центр администрирования Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Читатель Центра сообщений
Пользователи этой роли могут отслеживать уведомления и обновления работоспособности рекомендаций в Центре сообщений для своей организации в настроенных службах, таких как Exchange, Intune и Microsoft Teams. Читатели Центра сообщений получают еженедельные дайджесты сообщений о записях, обновлениях и могут предоставлять общий доступ к сообщениям центра сообщений в Microsoft 365. В идентификаторе Microsoft Entra пользователи, назначенные этой роли, будут иметь доступ только для чтения в службах Microsoft Entra, таких как пользователи и группы. Эта роль не имеет доступа к просмотру, созданию или управлению запросами в службу поддержки.
Действия | Описание |
---|---|
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор миграции Microsoft 365
Назначьте роль администратора миграции Microsoft 365 пользователям, которым необходимо выполнить следующие задачи:
- Используйте диспетчер миграции в Центр администрирования Microsoft 365 для управления миграцией содержимого в Microsoft 365, включая Teams, OneDrive для бизнеса и сайты SharePoint, из Google Drive, Dropbox, Box и Egnyte
- Выбор источников миграции, создание инвентаризаций миграции (например, списки пользователей Google Drive), планирование и выполнение миграции и скачивание отчетов
- Создание новых сайтов SharePoint, если целевые сайты еще не существуют, создайте списки SharePoint на сайтах администрирования SharePoint и создайте и обновите элементы в списках SharePoint.
- Управление параметрами проекта миграции и жизненным циклом миграции для задач
- Управление сопоставлениями разрешений из источника в назначение
Заметка
Эта роль не позволяет выполнять миграцию из источников общей папки с помощью Центра администрирования SharePoint. Роль администратора SharePoint можно использовать для миграции из источников общей папки.
Действия | Описание |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Управление всеми аспектами миграции Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Локальный администратор устройства, присоединенный к Microsoft Entra
Эта роль доступна только для назначения в качестве дополнительного локального администратора в параметрах устройства. Пользователи с этой ролью становятся локальными администраторами компьютеров на всех устройствах Windows 10, присоединенных к идентификатору Microsoft Entra. У них нет возможности управлять объектами устройств в идентификаторе Microsoft Entra.
Действия | Описание |
---|---|
microsoft.directory/groupSettings/standard/read | Чтение базовых свойств параметров группы |
microsoft.directory/groupSettingTemplates/standard/read | Чтение базовых свойств шаблонов параметров группы |
Администратор гарантии оборудования Майкрософт
Назначьте роль администратора гарантии оборудования Майкрософт пользователям, которым необходимо выполнить следующие задачи:
- Создание новых утверждений о гарантии для оборудования, изготовленного корпорацией Майкрософт, например Surface и HoloLens
- Поиск и чтение открытых или закрытых утверждений гарантии
- Поиск и чтение утверждений гарантии по серийным номерам
- Создание, чтение, обновление и удаление адресов доставки
- Чтение состояния доставки для открытых утверждений гарантии
- Создание запросов служб и управление ими в Центр администрирования Microsoft 365
- Чтение объявлений центра сообщений в Центр администрирования Microsoft 365
Утверждение гарантии — это запрос на ремонт оборудования или замена в соответствии с условиями гарантии. Дополнительные сведения см. в разделе "Самообслуживание" для запросов на обслуживание и гарантии Surface.
Действия | Описание |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Создание, чтение, обновление и удаление адресов доставки для утверждений гарантии оборудования Майкрософт, включая адреса доставки, созданные другими пользователями |
microsoft.hardware.support/shippingStatus/allProperties/read | Чтение состояния доставки для открытых утверждений о гарантии оборудования Майкрософт |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Создание и управление всеми аспектами утверждений на гарантии оборудования Майкрософт |
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Специалист по гарантии оборудования Майкрософт
Назначьте роль специалиста по гарантии оборудования Майкрософт пользователям, которым необходимо выполнить следующие задачи:
- Создание новых утверждений о гарантии для оборудования, изготовленного корпорацией Майкрософт, например Surface и HoloLens
- Чтение утверждений о гарантии, которые они создали
- Чтение и обновление существующих адресов доставки
- Чтение состояния доставки для открытых утверждений о гарантии, которые они создали
- Создание запросов служб и управление ими в Центр администрирования Microsoft 365
Утверждение гарантии — это запрос на ремонт оборудования или замена в соответствии с условиями гарантии. Дополнительные сведения см. в разделе "Самообслуживание" для запросов на обслуживание и гарантии Surface.
Действия | Описание |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Чтение адресов доставки для утверждений о гарантии оборудования Майкрософт, включая существующие адреса доставки, созданные другими пользователями |
microsoft.hardware.support/warrantyClaims/createAsOwner | Создание утверждений о гарантии оборудования Майкрософт, где создатель является владельцем |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.hardware.support/shippingStatus/allProperties/read | Чтение состояния доставки для открытых утверждений о гарантии оборудования Майкрософт |
microsoft.hardware.support/warrantyClaims/allProperties/read | Чтение утверждений о гарантии оборудования Майкрософт |
Администратор современной коммерции
Не используйте. Эта роль автоматически назначается из коммерческой торговли и не предназначена или не поддерживается для любого другого использования. Дополнительные сведения см. ниже.
Роль "Администратор современной коммерции" предоставляет определенным пользователям разрешение на доступ к Центр администрирования Microsoft 365 и просматривать слева записи навигации для дома, выставления счетов и поддержки. Содержимое, доступное в этих областях, контролируется ролями, назначенными пользователям для управления продуктами, приобретенными для себя или вашей организации. Это может включать такие задачи, как оплата счетов или доступ к учетным записям выставления счетов и профилям выставления счетов.
Пользователи с ролью администратора современной коммерции обычно имеют административные разрешения в других системах приобретения Майкрософт, но не имеют роли глобального администратора или администратора выставления счетов, используемые для доступа к центру администрирования.
Когда назначена роль администратора современной коммерции?
- Самостоятельная покупка в Центр администрирования Microsoft 365 — самостоятельная покупка дает пользователям возможность попробовать новые продукты, покупая или подписываясь на них самостоятельно. Эти продукты управляются в Центре администрирования. Пользователи, которые делают самостоятельную покупку, назначают роль в коммерческой системе и роль администратора современной коммерции, чтобы они могли управлять своими покупками в центре администрирования. Администраторы могут блокировать самостоятельные покупки (для Fabric, Power BI, Power Apps, Power Automate) с помощью PowerShell. Дополнительные сведения см. в разделе "Вопросы и ответы о самостоятельной покупке".
- Покупки из коммерческой платформы Майкрософт— аналогично самостоятельной покупке, когда пользователь покупает продукт или службу из Microsoft AppSource или Azure Marketplace, роль администратора современной коммерции назначается, если у них нет роли глобального администратора или администратора выставления счетов. В некоторых случаях пользователям может быть заблокировано выполнение этих покупок. Дополнительные сведения см. в коммерческой платформе Майкрософт.
- Предложения корпорации Майкрософт — это официальное предложение от Корпорации Майкрософт для вашей организации, чтобы купить продукты и услуги Майкрософт. Когда пользователь, принимающий предложение, не имеет роли глобального администратора или администратора выставления счетов в идентификаторе Microsoft Entra ID, они назначаются как для выполнения предложения, так и роли администратора современной коммерции для доступа к центру администрирования. Когда они получают доступ к Центру администрирования, они могут использовать только функции, авторизованные своей коммерческой ролью.
- Роли, относящиеся к коммерции. Некоторые пользователи назначают роли для конкретной коммерции. Если пользователь не является глобальным администратором или администратором выставления счетов, он получает роль администратора современной коммерции, чтобы получить доступ к центру администрирования.
Если роль администратора современной коммерции не назначена от пользователя, они теряют доступ к Центр администрирования Microsoft 365. Если они управляют любыми продуктами, либо для себя, либо для вашей организации, они не смогут управлять ими. Это может включать назначение лицензий, изменение методов оплаты, оплаты счетов или других задач для управления подписками.
Действия | Описание |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Управление всеми аспектами Центра обслуживания корпоративного лицензирования |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/basic/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор сети
Пользователи этой роли могут просматривать рекомендации по архитектуре периметра сети от Корпорации Майкрософт, основанные на телеметрии сети из их расположений пользователей. Производительность сети для Microsoft 365 зависит от тщательной архитектуры периметра сети клиента предприятия, которая обычно относится к расположению пользователя. Эта роль позволяет изменять обнаруженные расположения пользователей и конфигурацию сетевых параметров для этих расположений, чтобы упростить улучшенные измерения телеметрии и рекомендации по проектированию
Действия | Описание |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Управление всеми аспектами сетевых расположений |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор приложений Office
Пользователи этой роли могут управлять облачными параметрами приложений Microsoft 365. Это включает управление облачными политиками, самостоятельное управление загрузкой и возможность просмотра Приложение Office связанных отчетов. Эта роль также предоставляет возможность управлять запросами в службу поддержки и отслеживать работоспособности служб в главном центре администрирования. Пользователи, назначенные этой роли, также могут управлять взаимодействием с новыми функциями в Приложение Office.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.userCommunication/allEntities/allTasks | Чтение и обновление новых сведений о видимости сообщений |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор фирменной символики организации
Назначьте роль администратора фирменной символики организации пользователям, которым необходимо выполнить следующие задачи:
- Управление всеми аспектами фирменной символики организации в клиенте
- Чтение, создание, обновление и удаление тем фирменной символики
- Управление темой фирменной символики по умолчанию и всеми темами локализации фирменной символики
Действия | Описание |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Создание и удаление имени входаTenantBranding, чтение и обновление всех свойств |
Утверждающий организационные сообщения
Назначьте роль утверждающего сообщений организации пользователям, которым необходимо выполнить следующие задачи:
- Просмотр, утверждение или отклонение новых сообщений организации для доставки в Центр администрирования Microsoft 365 перед отправкой пользователям с помощью платформы сообщений организации Microsoft 365
- Чтение всех аспектов сообщений организации
- Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365
Действия | Описание |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Чтение всех аспектов сообщений организации Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | Утверждение или отклонение новых сообщений организации для доставки в Центр администрирования Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Запись сообщений организации
Назначьте роль записи сообщений организации пользователям, которым необходимо выполнить следующие задачи:
- Запись, публикация и удаление сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
- Управление параметрами доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
- Чтение результатов доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
- Просмотр отчетов об использовании и большинства параметров в Центр администрирования Microsoft 365, но не может вносить изменения.
Действия | Описание |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Управление всеми аспектами разработки сообщений организации Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Чтение статистических отчетов об использовании Office 365 на уровне клиента |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Поддержка уровня 1 партнера
Это привилегированная роль. Не используйте. Эта роль устарела и будет удалена из идентификатора Microsoft Entra в будущем. Эта роль предназначена для использования небольшим количеством партнеров по перепродаже Майкрософт и не предназначена для общего использования.
Важный
Эта роль может сбрасывать пароли и отменять маркеры обновления только для неадминистраторов. Эта роль не должна использоваться, так как она не рекомендуется.
Поддержка уровня 2 партнера
Это привилегированная роль. Не используйте. Эта роль устарела и будет удалена из идентификатора Microsoft Entra в будущем. Эта роль предназначена для использования небольшим количеством партнеров по перепродаже Майкрософт и не предназначена для общего использования.
Важный
Эта роль может сбрасывать пароли и отменять маркеры обновления для всех неадминистраторов и администраторов (включая глобальных администраторов). Эта роль не должна использоваться, так как она не рекомендуется.
Администратор паролей
Это привилегированная роль. Пользователи с этой ролью имеют ограниченные возможности управления паролями. Эта роль не предоставляет возможность управлять запросами служб или отслеживать работоспособности служб. Может ли администратор паролей сбросить пароль пользователя, зависит от роли, которую назначает пользователь. Список ролей, для которых администратор паролей может сбрасывать пароли, см. в разделе "Кто может сбросить пароли".
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
Администратор управления разрешениями
Назначьте роль администратора управления разрешениями пользователям, которым необходимо выполнить следующие задачи:
- Управление всеми аспектами Управление разрешениями Microsoft Entra, когда служба присутствует
Дополнительные сведения о ролях и политиках управления разрешениями см. в разделе "Просмотр сведений о ролях и политиках".
Действия | Описание |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Управление всеми аспектами Управление разрешениями Microsoft Entra |
Администратор Power Platform
Пользователи этой роли могут создавать и управлять всеми аспектами сред, Power Apps, Потоков, защиты от потери данных. Кроме того, пользователи с этой ролью могут управлять запросами в службу поддержки и отслеживать работоспособности служб.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.dynamics365/allEntities/allTasks | Управление всеми аспектами Dynamics 365 |
microsoft.flow/allEntities/allTasks | Управление всеми аспектами Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.powerApps/allEntities/allTasks | Управление всеми аспектами Power Apps |
Администратор принтера
Пользователи этой роли могут регистрировать принтеры и управлять всеми аспектами всех конфигураций принтера в решении Универсальной печати Майкрософт, включая параметры универсального соединителя печати. Они могут предоставить согласие всем делегированным запросам на разрешение печати. Администраторы принтеров также имеют доступ к отчетам о печати.
Действия | Описание |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Создание и удаление принтеров и соединителей, а также чтение и обновление всех свойств в Microsoft Print |
Специалист по принтеру
Пользователи с этой ролью могут зарегистрировать принтеры и управлять состоянием принтера в решении Microsoft Universal Print. Они также могут считывать все сведения о соединителе. Ключевая задача, с помощью технического специалиста по принтерам не удается задать разрешения пользователей на принтерах и общий доступ к принтерам.
Действия | Описание |
---|---|
microsoft.azure.print/connectors/allProperties/read | Чтение всех свойств соединителей в Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Чтение всех свойств принтеров в Microsoft Print |
microsoft.azure.print/printers/basic/update | Обновление основных свойств принтеров в Microsoft Print |
microsoft.azure.print/printers/register | Регистрация принтеров в Microsoft Print |
microsoft.azure.print/printers/unregister | Отмена регистрации принтеров в Microsoft Print |
Администратор привилегированной проверки подлинности
Это привилегированная роль. Назначьте роль администратора привилегированной проверки подлинности пользователям, которым необходимо выполнить следующие действия:
- Задайте или сбросьте любой метод проверки подлинности (включая пароли) для любого пользователя, включая глобальных администраторов.
- Удалите или восстановите всех пользователей, включая глобальных администраторов. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
- Принудительно заставить пользователей повторно зарегистрировать существующие учетные данные без пароля (например, MFA или FIDO) и отозвать MFA на устройстве, запрашивая MFA на следующем входе всех пользователей.
- Обновите конфиденциальные свойства для всех пользователей. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
- Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается управлять MFA для каждого пользователя на устаревшем портале управления MFA.
В следующей таблице сравниваются возможности ролей, связанных с проверкой подлинности.
Роль | Управление методами проверки подлинности пользователя | Управление MFA для каждого пользователя | Управление параметрами MFA | Управление политикой метода проверки подлинности | Управление политикой защиты паролем | Обновление конфиденциальных свойств | Удаление и восстановление пользователей |
---|---|---|---|---|---|---|---|
Администратор проверки подлинности | Да для некоторых пользователей | Да для некоторых пользователей | Да | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Администратор привилегированной проверки подлинности | Да для всех пользователей | Да для всех пользователей | Нет | Нет | Нет | Да для всех пользователей | Да для всех пользователей |
Администратор политики проверки подлинности | Нет | Да | Да | Да | Да | Нет | Нет |
Администратор пользователей | Нет | Нет | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Важный
Пользователи с этой ролью могут изменять учетные данные для пользователей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение учетных данных пользователя может означать возможность предположить, что удостоверение и разрешения пользователя. Например:
- Регистрация приложений и владельцы корпоративных приложений, которые могут управлять учетными данными приложений, которыми они владеет. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам проверки подлинности. Через этот путь администратор проверки подлинности может предположить удостоверение владельца приложения, а затем принять удостоверение привилегированного приложения, обновив учетные данные для приложения.
- Владельцы подписок Azure, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации в Azure.
- Владельцы групп безопасности и microsoft 365, которые могут управлять членством в группах. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
- Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, а также Портал соответствия требованиям Microsoft Purview и систем кадровых ресурсов.
- Неадминистры, такие как руководители, юристы и сотрудники отдела кадров, которые могут иметь доступ к конфиденциальной или частной информации.
Администратор привилегированных ролей
Это привилегированная роль. Пользователи с этой ролью могут управлять назначениями ролей в идентификаторе Microsoft Entra, а также в управление привилегированными пользователями Microsoft Entra. Они могут создавать группы и управлять ими, которые могут быть назначены ролям Microsoft Entra. Кроме того, эта роль позволяет управлять всеми аспектами управление привилегированными пользователями и административных единиц.
Важный
Эта роль предоставляет возможность управлять назначениями для всех ролей Microsoft Entra, включая роль глобального администратора. Эта роль не включает другие привилегированные возможности в идентификатор Microsoft Entra, например создание или обновление пользователей. Однако пользователи, назначенные этой роли, могут предоставить себе или другим дополнительным привилегиям, назначив дополнительные роли.
Средство чтения отчетов
Пользователи с этой ролью могут просматривать данные отчетов об использовании и панель мониторинга отчетов в Центр администрирования Microsoft 365 и пакет контекста внедрения в Fabric и Power BI. Кроме того, роль предоставляет доступ ко всем журналам входа, журналам аудита и отчетам о действиях в идентификаторе и данных Microsoft Graph, возвращаемых API отчетов Microsoft Graph. Пользователь, назначенный роли читателя отчетов, может получить доступ только к соответствующим метрикам использования и внедрения. У них нет разрешений администратора для настройки параметров или доступа к центрам администрирования для конкретного продукта, таким как Exchange. Эта роль не имеет доступа к просмотру, созданию или управлению запросами в службу поддержки.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности |
microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки |
microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчетов о входе, включая привилегированные свойства |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор поиска
Пользователи этой роли имеют полный доступ ко всем функциям управления Поиск (Майкрософт) в Центр администрирования Microsoft 365. Кроме того, эти пользователи могут просматривать центр сообщений, отслеживать работоспособности службы и создавать запросы на обслуживание.
Действия | Описание |
---|---|
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.search/content/manage | Создание и удаление содержимого, а также чтение и обновление всех свойств в Поиск (Майкрософт) |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Редактор поиска
Пользователи этой роли могут создавать, управлять и удалять содержимое для Поиск (Майкрософт) в Центр администрирования Microsoft 365, включая закладки, Q&As и расположения.
Действия | Описание |
---|---|
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.search/content/manage | Создание и удаление содержимого, а также чтение и обновление всех свойств в Поиск (Майкрософт) |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор безопасности
Это привилегированная роль. Пользователи с этой ролью имеют разрешения на управление функциями, связанными с безопасностью, на портале Microsoft 365 Defender, Защита идентификации Microsoft Entra, аутентификации Microsoft Entra Authentication, Azure Information Protection и Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.
В | Может сделать |
---|---|
Портал Microsoft 365 Defender | Мониторинг политик, связанных с безопасностью, в службах Microsoft 365 Управление угрозами безопасности и оповещениями Просмотр отчетов |
Защита идентификации Microsoft Entra | Все разрешения роли читателя безопасности Выполнение всех операций защиты идентификаторов, за исключением сброса паролей |
управление привилегированными пользователями | Все разрешения роли читателя безопасности Не удается управлять назначениями ролей и параметрами ролей Microsoft Entra |
Портал соответствия требованиям Microsoft Purview | Управление политиками безопасности Просмотр, исследование и реагирование на угрозы безопасности Просмотр отчетов |
Расширенная защита от угроз Azure | Мониторинг и реагирование на подозрительные действия безопасности |
Microsoft Defender для конечной точки | Назначение ролей Управление группами компьютеров Настройка обнаружения угроз конечной точки и автоматического исправления Просмотр, исследование и реагирование на оповещения Просмотр компьютеров и инвентаризации устройств |
Intune | Сопоставляется с ролью Диспетчера безопасности конечных точек Intune |
приложения Microsoft Defender для облака | Добавление администраторов, добавление политик и параметров, отправка журналов и выполнение действий управления |
Работоспособности служб Microsoft 365 | Просмотр работоспособности служб Microsoft 365 |
Смарт-блокировка | Определите пороговое значение и длительность блокировки при сбое входа в систему. |
Защита паролей | Настройте настраиваемый список запрещенных паролей или локальную защиту паролей. |
Синхронизация между клиентами | Настройка параметров доступа между клиентами для пользователей в другом клиенте. Администраторы безопасности не могут напрямую создавать и удалять пользователей, но могут косвенно создавать и удалять синхронизированных пользователей из другого клиента, если оба клиента настроены для синхронизации между клиентами, что является привилегированным разрешением. |
Оператор безопасности
Это привилегированная роль. Пользователи с этой ролью могут управлять оповещениями и иметь глобальный доступ только для чтения для функций, связанных с безопасностью, включая все сведения на портале Microsoft 365 Defender, Защита идентификации Microsoft Entra, управление привилегированными пользователями и Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.
В | Может сделать |
---|---|
Портал Microsoft 365 Defender | Все разрешения роли читателя безопасности Просмотр, исследование и реагирование на оповещения об угрозах безопасности Управление параметрами безопасности на портале Microsoft 365 Defender |
Защита идентификации Microsoft Entra | Все разрешения роли читателя безопасности Выполняйте все операции защиты идентификаторов, за исключением настройки или изменения политик на основе рисков, сброса паролей и настройки сообщений электронной почты оповещений. |
управление привилегированными пользователями | Все разрешения роли читателя безопасности |
Портал соответствия требованиям Microsoft Purview | Все разрешения роли читателя безопасности Просмотр, исследование и реагирование на оповещения системы безопасности |
Microsoft Defender для конечной точки | Все разрешения роли читателя безопасности Просмотр, исследование и реагирование на оповещения системы безопасности Если включить управление доступом на основе ролей в Microsoft Defender для конечной точки, пользователи с разрешениями только для чтения, такими как роль читателя безопасности, теряют доступ, пока они не будут назначены Microsoft Defender для конечной точки роли. |
Intune | Все разрешения роли читателя безопасности |
приложения Microsoft Defender для облака | Все разрешения роли читателя безопасности Просмотр, исследование и реагирование на оповещения системы безопасности |
Работоспособности служб Microsoft 365 | Просмотр работоспособности служб Microsoft 365 |
Средство чтения безопасности
Это привилегированная роль. Пользователи с этой ролью имеют глобальный доступ только для чтения для функций, связанных с безопасностью, включая все сведения на портале Microsoft 365 Defender, Защита идентификации Microsoft Entra, управление привилегированными пользователями, а также возможность читать отчеты о входе в Microsoft Entra и журналы аудита, а также в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.
В | Может сделать |
---|---|
Портал Microsoft 365 Defender | Просмотр политик, связанных с безопасностью, в службах Microsoft 365 Просмотр угроз безопасности и оповещений Просмотр отчетов |
Защита идентификации Microsoft Entra | Просмотр всех отчетов защиты идентификаторов и обзор |
управление привилегированными пользователями | Имеет доступ только для чтения ко всем сведениям, представленным в Microsoft Entra управление привилегированными пользователями: политики и отчеты для назначений ролей Microsoft Entra и проверок безопасности. Не удается зарегистрироваться для Microsoft Entra управление привилегированными пользователями или внести в него какие-либо изменения. На портале управление привилегированными пользователями или с помощью PowerShell пользователь в этой роли может активировать дополнительные роли (например, глобальный администратор или администратор привилегированных ролей), если пользователь имеет право на их использование. |
Портал соответствия требованиям Microsoft Purview | Просмотр политик безопасности Просмотр и исследование угроз безопасности Просмотр отчетов |
Microsoft Defender для конечной точки | Просмотр оповещений и изучение их Если включить управление доступом на основе ролей в Microsoft Defender для конечной точки, пользователи с разрешениями только для чтения, такими как роль читателя безопасности, теряют доступ, пока они не будут назначены Microsoft Defender для конечной точки роли. |
Intune | Просматривает сведения о пользователях, устройствах, регистрации, конфигурации и приложениях. Не удается внести изменения в Intune. |
приложения Microsoft Defender для облака | Имеет разрешения на чтение. |
Работоспособности служб Microsoft 365 | Просмотр работоспособности служб Microsoft 365 |
Администратор службы поддержки
Пользователи с этой ролью могут создавать запросы на поддержку и управлять ими с помощью служб Microsoft для Azure и Microsoft 365, а также просматривать панель мониторинга службы и центр сообщений в портал Azure и Центр администрирования Microsoft 365. Дополнительные сведения см. в разделе "Сведения о ролях администраторов" в Центр администрирования Microsoft 365.
Заметка
Эта роль ранее была названа администратором службы в портал Azure и Центр администрирования Microsoft 365. Она была переименована в администратора службы поддержки, чтобы выровнять существующее имя в API Microsoft Graph и Azure AD PowerShell.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор SharePoint
Пользователи с этой ролью имеют глобальные разрешения в Microsoft Office SharePoint Online, когда служба присутствует, а также возможность создавать и управлять всеми группами Microsoft 365, управлять запросами в службу поддержки и отслеживать работоспособности служб. Дополнительные сведения см. в разделе "Сведения о ролях администраторов" в Центр администрирования Microsoft 365.
Заметка
В API Microsoft Graph и Azure AD PowerShell эта роль называется администратором службы SharePoint. В портал Azure он называется администратором SharePoint.
Заметка
Эта роль также предоставляет ограниченные разрешения API Microsoft Graph для Microsoft Intune, позволяя управлять и настраивать политики, связанные с ресурсами SharePoint и OneDrive.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Создание политики защиты OneDrive и управление ими в Microsoft 365 Backup |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Чтение и настройка сеанса восстановления для OneDrive в Службе архивации Microsoft 365 |
microsoft.backup/restorePoints/sites/allProperties/allTasks | Управление всеми точками восстановления, связанными с выбранными сайтами SharePoint в резервном копировании M365 |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Управление всеми точками восстановления, связанными с выбранными учетными записями OneDrive в резервном копировании M365 |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Создание политики защиты SharePoint и управление ими в Microsoft 365 Backup |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Чтение и настройка сеанса восстановления для SharePoint в Microsoft 365 Backup |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | Управление сайтами, добавленными в политику защиты SharePoint в Службе архивации Microsoft 365 |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Управление сайтами, добавленными для восстановления сеанса для SharePoint в Службе архивации Microsoft 365 |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Управление учетными записями, добавленными в политику защиты OneDrive в Службе архивации Microsoft 365 |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Управление учетными записями, добавленными для восстановления сеанса для OneDrive в Службе архивации Microsoft 365 |
microsoft.directory/groups/hiddenMembers/read | Чтение скрытых членов групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
microsoft.directory/groups.unified/basic/update | Обновление базовых свойств в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/members/update | Обновление членов групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп, назначаемых ролями |
microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленного контейнера, за исключением групп, назначаемых ролем |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Управление всеми аспектами миграции Microsoft 365 |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Создание и удаление всех ресурсов, чтение и обновление стандартных свойств в SharePoint |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор SharePoint Embedded
Назначьте роль администратора SharePoint Embedded пользователям, которым необходимо выполнить следующие задачи:
- Выполнение всех задач с помощью PowerShell, API Microsoft Graph или Центра администрирования SharePoint
- Управление, настройка и обслуживание контейнеров SharePoint Embedded
- Перечисление контейнеров SharePoint Embedded и управление ими
- Перечисление разрешений и управление ими для контейнеров SharePoint Embedded
- Управление хранилищем контейнеров SharePoint Embedded в клиенте
- Назначение политик безопасности и соответствия контейнерам SharePoint Embedded
- Применение политик безопасности и соответствия контейнерам SharePoint Embedded в клиенте
Действия | Описание |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Управление всеми аспектами контейнеров SharePoint Embedded |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор Skype для бизнеса
Пользователи с этой ролью имеют глобальные разрешения в Microsoft Skype для бизнеса, когда служба присутствует, а также управление атрибутами пользователей skype в идентификаторе Microsoft Entra ID. Кроме того, эта роль предоставляет возможность управлять запросами в службу поддержки и отслеживать работоспособности служб, а также получать доступ к Teams и Skype для бизнеса центру администрирования. Учетная запись также должна быть лицензирована для Teams или не может запускать командлеты PowerShell Teams. Дополнительные сведения см. в статье Skype для бизнеса Сведения о лицензировании администратора Online и Teams по Skype для бизнеса лицензированию надстроек.
Заметка
В API Microsoft Graph и Azure AD PowerShell эта роль называется администратором службы Lync. В портал Azure он называется администратором Skype для бизнеса.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор Teams
Пользователи этой роли могут управлять всеми аспектами рабочей нагрузки Microsoft Teams с помощью Центра администрирования Microsoft Teams и Skype для бизнеса и соответствующих модулей PowerShell. К ним относятся, среди прочего, все средства управления, связанные с телефонией, обмен сообщениями, собраниями и командами. Эта роль также предоставляет возможность создавать и управлять всеми группами Microsoft 365, управлять запросами в службу поддержки и отслеживать работоспособности служб.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Обновление разрешенных облачных конечных точек политики доступа между клиентами |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Обновление параметров собраний в нескольких облаках Teams политики доступа между клиентами по умолчанию |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Чтение базовых свойств политики доступа между клиентами по умолчанию |
microsoft.directory/crossTenantAccessPolicy/partners/create | Создание политики доступа между клиентами для партнеров |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Обновление параметров собраний между облаками Teams для партнеров |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Чтение базовых свойств политики доступа между клиентами для партнеров |
microsoft.directory/crossTenantAccessPolicy/standard/read | Чтение базовых свойств политики доступа между клиентами |
microsoft.directory/externalUserProfiles/basic/update | Обновление основных свойств профилей внешних пользователей в расширенном каталоге для Teams |
microsoft.directory/externalUserProfiles/delete | Удаление профилей внешних пользователей в расширенном каталоге для Teams |
microsoft.directory/externalUserProfiles/standard/read | Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams |
microsoft.directory/groups/hiddenMembers/read | Чтение скрытых членов групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
microsoft.directory/groups.unified/basic/update | Обновление базовых свойств в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/members/update | Обновление членов групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп, назначаемых ролями |
microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленного контейнера, за исключением групп, назначаемых ролем |
microsoft.directory/pendingExternalUserProfiles/basic/update | Обновление основных свойств профилей внешних пользователей в расширенном каталоге для Teams |
microsoft.directory/pendingExternalUserProfiles/create | Создание профилей внешних пользователей в расширенном каталоге для Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Удаление профилей внешних пользователей в расширенном каталоге для Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Чтение стандартных свойств политик предоставления разрешений |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.teams/allEntities/allProperties/allTasks | Управление всеми ресурсами в Teams |
Администратор обмена данными Teams
Пользователи этой роли могут управлять аспектами рабочей нагрузки Microsoft Teams, связанной с голосовой связью и телефонией. Сюда входят средства управления для назначения телефонных номеров, политик голосовой связи и собраний, а также полный доступ к набору инструментов аналитики звонков.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Чтение всех данных на панели мониторинга качества звонков (CQD) |
microsoft.teams/meetings/allProperties/allTasks | Управление собраниями, включая политики собраний, конфигурации и мосты конференций |
microsoft.teams/voice/allProperties/allTasks | Управление голосовой связью, включая политики звонков и инвентаризацию номеров телефонов и назначение |
Инженер службы поддержки коммуникаций Teams
Пользователи этой роли могут устранять неполадки связи в Microsoft Teams и Skype для бизнеса с помощью средств устранения неполадок с вызовами пользователей в Центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи этой роли могут просматривать полные сведения о записи звонков для всех участников. Эта роль не имеет доступа к просмотру, созданию или управлению запросами в службу поддержки.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Чтение всех данных на панели мониторинга качества звонков (CQD) |
Специалист по поддержке коммуникаций Teams
Пользователи этой роли могут устранять неполадки связи в Microsoft Teams и Skype для бизнеса с помощью средств устранения неполадок с вызовами пользователей в Центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи в этой роли могут просматривать только сведения о пользователях в вызове для конкретного пользователя, который они искали. Эта роль не имеет доступа к просмотру, созданию или управлению запросами в службу поддержки.
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.teams/callQuality/standard/read | Чтение базовых данных на панели мониторинга качества вызовов (CQD) |
Администратор устройств Teams
Пользователи с этой ролью могут управлять устройствами , сертифицированными в Teams, из Центра администрирования Teams. Эта роль позволяет просматривать все устройства на одном взгляде с возможностью поиска и фильтрации устройств. Пользователь может проверить сведения о каждом устройстве, включая учетную запись входа, сделать и модель устройства. Пользователь может изменить параметры на устройстве и обновить версии программного обеспечения. Эта роль не предоставляет разрешения для проверки активности Teams и качества вызова устройства.
Действия | Описание |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.teams/devices/standard/read | Управление всеми аспектами сертифицированных в Teams устройств, включая политики конфигурации |
Администратор телефонии Teams
Назначьте роль администратора телефонии Teams пользователям, которым необходимо выполнить следующие задачи:
- Управление голосовой связью и телефонией, включая политики звонков, управление номерами телефонов и назначение, а также голосовые приложения
- Доступ только к отчетам об использовании общедоступной телефонной сети (ТСОП) из Центра администрирования Teams
- Просмотр страницы профиля пользователя
- Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365
Действия | Описание |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб Azure |
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.teams/callQuality/allProperties/read | Чтение всех данных на панели мониторинга качества звонков (CQD) |
microsoft.teams/voice/allProperties/allTasks | Управление голосовой связью, включая политики звонков и инвентаризацию номеров телефонов и назначение |
Создатель клиента
Назначьте роль создателя клиента пользователям, которым необходимо выполнить следующие задачи:
- Создание клиентов Microsoft Entra и Azure Active Directory B2C, даже если переключатель создания клиента отключен в параметрах пользователя
Заметка
Создатели клиента будут назначены роли глобального администратора для новых клиентов, которые они создают.
Действия | Описание |
---|---|
microsoft.directory/tenantManagement/tenants/create | Создание новых клиентов в идентификаторе Microsoft Entra |
Читатель сводных отчетов об использовании
Назначьте роль читателя сводных отчетов об использовании пользователям, которым необходимо выполнить следующие задачи в Центр администрирования Microsoft 365:
- Просмотр отчетов об использовании и оценка внедрения
- Чтение аналитических сведений организации, но не личных сведений (PII) пользователей
Эта роль позволяет пользователям просматривать данные уровня организации со следующими исключениями:
- Пользователи-члены могут просматривать данные и параметры управления пользователями.
- Гостевые пользователи, назначенные этой роли, не могут просматривать данные и параметры управления пользователями.
Действия | Описание |
---|---|
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Чтение статистических отчетов об использовании Office 365 на уровне клиента |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор пользователей
Это привилегированная роль. Назначьте роль администратора пользователей пользователям, которым необходимо выполнить следующие действия:
Разрешение | Дополнительные сведения |
---|---|
Создание пользователей | |
Обновление большинства свойств пользователей для всех пользователей, включая всех администраторов | Кто может выполнять конфиденциальные действия |
Обновление конфиденциальных свойств (включая имя участника-пользователя) для некоторых пользователей | Кто может выполнять конфиденциальные действия |
Отключение или включение некоторых пользователей | Кто может выполнять конфиденциальные действия |
Удаление или восстановление некоторых пользователей | Кто может выполнять конфиденциальные действия |
Создание представлений пользователей и управление ими | |
Создание всех групп и управление ими | |
Назначение и чтение лицензий для всех пользователей, включая всех администраторов | |
Сброс паролей | Кто может сбросить пароли |
Недопустимые маркеры обновления | Кто может сбросить пароли |
Обновление ключей устройств (FIDO) | |
Обновление политик срока действия пароля | |
Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365 | |
Мониторинг работоспособности службы |
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается управлять MFA.
- Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
- Не удается управлять общими почтовыми ящиками.
- Не удается изменить вопросы безопасности для операции сброса пароля.
Важный
Пользователи с этой ролью могут изменять пароли для людей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение пароля пользователя может означать возможность предполагать, что удостоверение и разрешения пользователя. Например:
- Регистрация приложений и владельцы корпоративных приложений, которые могут управлять учетными данными приложений, которыми они владеет. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам пользователей. Через этот путь администратор пользователя может принять удостоверение владельца приложения, а затем принять удостоверение привилегированного приложения, обновив учетные данные для приложения.
- Владельцы подписок Azure, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации в Azure.
- Владельцы групп безопасности и microsoft 365, которые могут управлять членством в группах. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
- Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и систем кадров.
- Неадминистры, такие как руководители, юристы и сотрудники отдела кадров, которые могут иметь доступ к конфиденциальной или частной информации.
Диспетчер успешности взаимодействия с пользователем
Назначьте роль диспетчера успешного взаимодействия пользователей пользователям, которым необходимо выполнить следующие задачи:
- Чтение отчетов об использовании на уровне организации для Приложения Microsoft 365 и служб, но не сведений о пользователях
- Просмотр отзывов о продуктах вашей организации, результатов опроса Net Promoter Score (NPS) и справки по выявлению возможностей для взаимодействия и обучения
- Чтение записей центра сообщений и данных о работоспособности служб
Действия | Описание |
---|---|
microsoft.commerce.billing/purchases/standard/read | Чтение служб покупки в Центре администрирования M365. |
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | Чтение всех аспектов сообщений организации Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.usageReports/allEntities/standard/read | Чтение статистических отчетов об использовании Office 365 на уровне клиента |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор виртуальных посещений
Пользователи с этой ролью могут выполнять следующие задачи:
- Управление и настройка всех аспектов виртуальных посещений в Bookings в Центр администрирования Microsoft 365 и в соединителе EHR Teams
- Просмотр отчетов об использовании для виртуальных посещений в Центре администрирования Teams, Центр администрирования Microsoft 365, Fabric и Power BI
- Просмотр функций и параметров в Центр администрирования Microsoft 365, но не может изменять параметры.
Виртуальные визиты — это простой способ планирования и управления онлайн и видео встречи для сотрудников и участников. Например, отчеты об использовании могут показать, как отправлять текстовые сообщения SMS до встреч может уменьшить количество людей, которые не отображаются для встреч.
Действия | Описание |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.virtualVisits/allEntities/allProperties/allTasks | Управление сведениями о виртуальных посещениях и метриками из центров администрирования или приложения "Виртуальные визиты" |
Администратор целей Viva
Назначьте роль администратора Viva Goals пользователям, которым необходимо выполнить следующие задачи:
- Управление и настройка всех аспектов приложения Microsoft Viva Goals
- Настройка параметров администратора Microsoft Viva Goals
- Чтение сведений о клиенте Microsoft Entra
- Мониторинг работоспособности службы Microsoft 365
- Создание запросов на обслуживание Microsoft 365 и управление ими
Дополнительные сведения см. в разделе "Роли и разрешения" в разделе "Цели Viva" и "Введение в цели Microsoft Viva".
Действия | Описание |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.viva.goals/allEntities/allProperties/allTasks | Управление всеми аспектами целей Microsoft Viva |
Администратор Viva Pulse
Назначьте роль администратора Viva Pulse пользователям, которым необходимо выполнить следующие задачи:
- Чтение и настройка всех параметров Viva Pulse
- Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365
- Чтение и настройка работоспособности служб Azure
- Создание билетов поддержка Azure и управление ими
- Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности
- Чтение отчетов об использовании в Центр администрирования Microsoft 365
Дополнительные сведения см. в разделе "Назначение администратора Viva Pulse" в Центр администрирования Microsoft 365.
Действия | Описание |
---|---|
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Управление всеми аспектами Microsoft Viva Pulse |
Администратор Windows 365
При наличии службы пользователи с этой ролью имеют глобальные разрешения на ресурсы Windows 365. Кроме того, эта роль содержит возможность управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими.
Эта роль может создавать группы безопасности и управлять ими, но не имеет прав администратора над группами Microsoft 365. Это означает, что администраторы не могут обновлять владельцев или членства в группах Microsoft 365 в организации. Однако они могут управлять создаваемой группой Microsoft 365, которая является частью своих привилегий конечных пользователей. Таким образом, любая группа Microsoft 365 (а не группа безопасности), созданная им, учитывается в квоте 250.
Назначьте роль администратора Windows 365 пользователям, которым необходимо выполнить следующие задачи:
- Управление Облачный компьютер Windows 365 в Microsoft Intune
- Регистрация устройств и управление ими в идентификаторе Microsoft Entra, включая назначение пользователей и политик
- Создание групп безопасности и управление ими, но не группы, назначаемые ролем
- Просмотр основных свойств в Центр администрирования Microsoft 365
- Чтение отчетов об использовании в Центр администрирования Microsoft 365
- Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365
Действия | Описание |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Создание билетов поддержка Azure и управление ими |
microsoft.cloudPC/allEntities/allProperties/allTasks | Управление всеми аспектами Windows 365 |
microsoft.directory/deletedItems.devices/delete | Окончательное удаление устройств, которые больше не могут быть восстановлены |
microsoft.directory/deletedItems.devices/restore | Восстановление обратимо удаленных устройств в исходном состоянии |
microsoft.directory/deviceManagementPolicies/standard/read | Чтение стандартных свойств в политиках управления мобильными устройствами и мобильных приложений |
microsoft.directory/deviceRegistrationPolicy/standard/read | Чтение стандартных свойств политик регистрации устройств |
microsoft.directory/devices/basic/update | Обновление базовых свойств на устройствах |
microsoft.directory/devices/create | Создание устройств (регистрация в идентификаторе Microsoft Entra) |
microsoft.directory/devices/delete | Удаление устройств из идентификатора Microsoft Entra |
microsoft.directory/devices/disable | Отключение устройств в идентификаторе Microsoft Entra |
microsoft.directory/devices/enable | Включение устройств в идентификаторе Microsoft Entra |
microsoft.directory/devices/extensionAttributeSet1/update | Обновление расширенияAttribute1 до свойств extensionAttribute5 на устройствах |
microsoft.directory/devices/extensionAttributeSet2/update | Обновление расширенияAttribute6 до свойств extensionAttribute10 на устройствах |
microsoft.directory/devices/extensionAttributeSet3/update | Обновление расширенияAttribute11 до свойств extensionAttribute15 на устройствах |
microsoft.directory/devices/registeredOwners/update | Обновление зарегистрированных владельцев устройств |
microsoft.directory/devices/registeredUsers/update | Обновление зарегистрированных пользователей устройств |
microsoft.directory/groups.security/basic/update | Обновление базовых свойств в группах безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/classification/update | Обновление свойства классификации в группах безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/delete | Удаление групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/dynamicMembershipRule/update | Обновление правила динамического членства в группах безопасности, за исключением групп, назначаемых ролем. |
microsoft.directory/groups.security/members/update | Обновление членов групп безопасности, за исключением групп, назначаемых ролем |
microsoft.directory/groups.security/owners/update | Обновление владельцев групп безопасности, за исключением групп, назначаемых ролями |
microsoft.directory/groups.security/visibility/update | Обновление свойства видимости в группах безопасности, за исключением групп с возможностью назначения ролей |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
Администратор развертывания Обновл. Windows
Пользователи этой роли могут создавать и управлять всеми аспектами развертывания Обновл. Windows с помощью службы развертывания Обновл. Windows для бизнеса. Служба развертывания позволяет пользователям определять параметры того, когда и как развертываются обновления, а также указывать, какие обновления предлагаются группам устройств в клиенте. Он также позволяет пользователям отслеживать ход обновления.
Действия | Описание |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Чтение и настройка всех аспектов службы Обновл. Windows |
Администратор Yammer
Назначьте роль администратора Yammer пользователям, которым необходимо выполнить следующие задачи:
- Управление всеми аспектами Yammer
- Создание, управление и восстановление Группы Microsoft 365, но не группы с возможностью назначения ролей
- Просмотр скрытых членов групп безопасности и групп Microsoft 365, включая группы, назначаемые ролью
- Чтение отчетов об использовании в Центр администрирования Microsoft 365
- Создание запросов служб и управление ими в Центр администрирования Microsoft 365
- Просмотр объявлений в центре сообщений, но не объявлений о безопасности
- Просмотр работоспособности службы
Действия | Описание |
---|---|
microsoft.directory/groups/hiddenMembers/read | Чтение скрытых членов групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
microsoft.directory/groups.unified/basic/update | Обновление базовых свойств в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/members/update | Обновление членов групп Microsoft 365, за исключением групп, назначаемых ролем |
microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп, назначаемых ролями |
microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленного контейнера, за исключением групп, назначаемых ролем |
microsoft.office365.messageCenter/messages/read | Чтение сообщений в Центре сообщений в Центр администрирования Microsoft 365, за исключением сообщений безопасности |
microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центр администрирования Microsoft 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Чтение и настройка работоспособности служб в Центр администрирования Microsoft 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Чтение базовых свойств для всех ресурсов в Центр администрирования Microsoft 365 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Управление всеми аспектами Yammer |
Устаревшие роли
Не следует использовать следующие роли. Они устарели и будут удалены из идентификатора Microsoft Entra в будущем.
- Администратор лицензии AdHoc
- Присоединение устройства
- диспетчер устройств
- Пользователи устройств
- Создатель проверенного пользователя электронной почты
- Администратор почтовых ящиков
- Присоединение к рабочему устройству
Роли, не отображаемые на портале
Не каждая роль, возвращаемая API PowerShell или MS Graph, отображается в портал Azure. Следующая таблица упорядочивает эти различия.
Имя API | имя портал Azure | Примечания |
---|---|---|
Присоединение устройства | Устаревшие | Документация по устаревшим ролям |
диспетчер устройств | Устаревшие | Документация по устаревшим ролям |
Пользователи устройств | Устаревшие | Документация по устаревшим ролям |
Учетные записи синхронизации каталогов | Не отображается, так как он не должен использоваться | Документация по учетным записям синхронизации каталогов |
Гостевой пользователь | Не отображается, так как его нельзя использовать | NA |
Поддержка уровня 1 партнера | Не отображается, так как он не должен использоваться | Документация по поддержке уровня 1 партнера |
Поддержка уровня 2 партнера | Не отображается, так как он не должен использоваться | Документация по поддержке уровня 2 партнеров |
Ограниченный гостевой пользователь | Не отображается, так как его нельзя использовать | NA |
Пользователь | Не отображается, так как его нельзя использовать | NA |
Присоединение к рабочему устройству | Устаревшие | Документация по устаревшим ролям |