Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Разрешения управления группами можно использовать в определениях пользовательских ролей в идентификаторе Microsoft Entra для предоставления точного доступа, например следующего:
- Управление свойствами группы, такими как имя и описание
- Управление членами и владельцами
- Создание или удаление групп
- Чтение журналов аудита
- Управление группой определенного типа
В этой статье перечислены разрешения, которые можно использовать в настраиваемых ролях для различных сценариев управления группами. Сведения о создании пользовательских ролей см. в статье Создание настраиваемой роли видентификатора Microsoft Entra.
Требования к лицензиям
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
Как интерпретировать разрешения на управление группами
Чтобы интерпретировать разрешения на управление группами, необходимо понимать, что означают различные подтипы разрешений.
| Подтип разрешений | Описание подтипа разрешения |
|---|---|
| группы | Управление группами безопасности и группами Microsoft 365, за исключением групп с возможностью назначения ролей |
| groups.unified | Управление группами Microsoft 365 как динамического, так и назначенного типа членства, за исключением групп с возможностью назначения ролей |
| groups.unified.assignedMembership | Управление группами Microsoft 365 только с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| groups.security | Управление группами безопасности как динамического, так и назначенного типа членства, за исключением групп с возможностью назначения ролей |
| groups.security.assignedMembership | Управление группами безопасности только с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
В следующей таблице указаны примеры разрешений для обновления членов группы различных подтипов.
| Пример разрешения | Описание разрешения |
|---|---|
| microsoft.directory/groups/members/update | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/members/update | Обновление членов групп Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/members/update | Обновление членов групп безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
Чтение сведений о группах
Для чтения свойств, членов и владельцев групп доступны следующие разрешения.
| Разрешение | Описание |
|---|---|
| microsoft.directory/groups/allProperties/read | Чтение всех свойств (включая привилегированные) для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/standard/read | Чтение стандартных свойств групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/members/read | Чтение данных о членстве в группах безопасности и группах Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/memberOf/read | Чтение свойств memberOf для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/owners/read | Чтение данных о владельцах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
Создание групп
Для создания групп различных типов доступны следующие разрешения.
| Разрешение | Описание |
|---|---|
| microsoft.directory/groups/create | Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/create | Создание групп Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/create | Создание групп безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/createAsOwner | Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей. Первым владельцем назначается создатель. |
| microsoft.directory/groups.unified/createAsOwner | Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей. Первым владельцем назначается создатель. |
| microsoft.directory/groups.unified.assignedMembership/createAsOwner | Создание групп Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей. Первым владельцем назначается создатель. |
| microsoft.directory/groups.security/createAsOwner | Создание групп безопасности, за исключением групп с возможностью назначения ролей Первым владельцем назначается создатель. |
| microsoft.directory/groups.security.assignedMembership/createAsOwner | Создание групп безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей. Первым владельцем назначается создатель. |
Обновление сведений о группах
Для обновления свойств и членов групп доступны следующие разрешения.
| Разрешение | Описание |
|---|---|
| microsoft.directory/groups/allProperties/update | Обновление всех свойств (включая привилегированные) для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/allProperties/update | Обновление всех свойств (включая привилегированные) для групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/allProperties/update | Обновление всех свойств (включая привилегированные) в группах Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/allProperties/update | Обновление всех свойств (включая привилегированные) для групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/allProperties/update | Обновление всех свойств (включая привилегированные) в группах безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/basic/update | Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/basic/update | Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/basic/update | Изменение базовых свойств в группах Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/basic/update | Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/basic/update | Обновление базовых свойств в группах безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/classification/update | Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/classification/update | Обновление свойства классификации для групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/classification/update | Обновление свойства классификации для групп Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/classification/update | Обновление свойств классификации для групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/classification/update | Обновление свойства классификации для групп безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/dynamicMembershipRule/update | Обновление правила для динамических групп членства в группах безопасности и группах Microsoft 365, за исключением групп, назначаемых ролем. |
| microsoft.directory/groups.unified/dynamicMembershipRule/update | Обновление правила для динамических групп членства в группах Microsoft 365, за исключением групп, назначаемых ролем. |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Обновление правила для динамических групп членства в группах безопасности, за исключением групп, назначаемых ролем. |
| microsoft.директория/группы/участники/обновить | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/members/update | Обновление членов групп Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/members/update | Обновление членов групп безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
Обновление членов разных типов групп
Для обновления членов разных типов групп доступны следующие разрешения.
| Разрешение | Описание |
|---|---|
| microsoft.директория/группы/участники/обновить | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/members/update | Обновление членов групп Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/members/update | Обновление членов групп безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
Удаление групп
Для удаления групп доступны следующие разрешения.
| Разрешение | Описание |
|---|---|
| microsoft.directory/группы/удалить | Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified.assignedMembership/members/update | Обновление членов групп Microsoft 365 с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security.assignedMembership/members/update | Обновление членов групп безопасности с назначаемым типом членства, за исключением групп с возможностью назначения ролей |
Следующие шаги
- создание настраиваемой роли в идентификатора Microsoft Entra
- Вывод списка назначений ролей Microsoft Entra