Peran bawaan Microsoft Entra
Di ID Microsoft Entra, jika administrator lain atau non-administrator perlu mengelola sumber daya Microsoft Entra, Anda menetapkan peran Microsoft Entra kepada mereka yang menyediakan izin yang mereka butuhkan. Misalnya, Anda dapat menetapkan peran untuk yang memungkinkan untuk menambahkan atau mengubah pengguna, menyetel ulang kata sandi pengguna, mengelola lisensi pengguna, atau mengelola nama domain.
Artikel ini mencantumkan peran bawaan Microsoft Entra yang dapat Anda tetapkan untuk mengizinkan manajemen sumber daya Microsoft Entra. Untuk informasi tentang cara menetapkan peran, lihat Menetapkan peran Microsoft Entra kepada pengguna. Jika Anda mencari peran untuk mengelola sumber daya Azure, lihat peran bawaan Azure.
Semua peran
| Peran | Deskripsi | ID Template |
|---|---|---|
| Administrator Aplikasi | Dapat membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Pengembang Aplikasi | Dapat membuat pendaftaran aplikasi yang independen dari pengaturan 'Pengguna dapat mendaftarkan aplikasi'. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Pembuat Payload Serangan | Dapat membuat payload serangan yang dapat dimulai oleh admin nanti. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Admin Simulasi Serangan | Dapat membuat dan mengelola semua aspek kampanye simulasi serangan. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Administrator Tugas Atribut | Tetapkan kunci dan nilai atribut keamanan kustom ke objek Microsoft Entra yang didukung. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Pembaca Tugas Atribut | Baca kunci dan nilai atribut keamanan kustom untuk objek Microsoft Entra yang didukung. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Administrator Definisi Atribut | Menentukan dan mengelola definisi atribut keamanan kustom. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Pembaca Definisi Atribut | Baca definisi atribut keamanan kustom. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Administrator Log Atribut | Baca log audit dan konfigurasikan pengaturan diagnostik untuk peristiwa yang terkait dengan atribut keamanan kustom. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| Pembaca Log Atribut | Membaca log audit yang terkait dengan atribut keamanan kustom. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| Admin Autentikasi | Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk pengguna non-admin. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Administrator Ekstensibilitas Autentikasi | Kustomisasi pengalaman masuk dan daftar untuk pengguna dengan membuat dan mengelola ekstensi autentikasi kustom. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| Admin Kebijakan Autentikasi | Dapat membuat dan mengelola kebijakan metode autentikasi, pengaturan MFA di seluruh penyewa, kebijakan perlindungan kata sandi, dan kredensial yang dapat diverifikasi. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Admin Azure DevOps | Dapat mengelola kebijakan dan pengaturan Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Admin Perlindungan Informasi Azure | Dapat mengelola semua aspek produk Perlindungan Informasi Azure. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Admin Keyset IEF B2C | Dapat mengelola rahasia untuk federasi dan enkripsi di Identity Experience Framework (IEF). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Admin Kebijakan IEF B2C | Dapat membuat dan mengelola kebijakan kerangka kerja kepercayaan di IEF. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Admin Penagihan | Dapat melakukan tugas terkait penagihan umum seperti memperbarui informasi pembayaran. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Administrator Microsoft Cloud App Security | Dapat mengelola semua aspek produk Aplikasi Defender untuk Cloud. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Administrator Aplikasi Cloud | Dapat membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan kecuali proksi aplikasi. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Admin Perangkat Cloud | Akses terbatas untuk mengelola perangkat di ID Microsoft Entra. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Admin Kepatuhan | Dapat membaca dan mengelola konfigurasi dan laporan kepatuhan di ID Microsoft Entra dan Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Admin Data Kepatuhan | Membuat dan mengelola konten kepatuhan. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Admin Akses Bersyarat | Dapat mengelola kemampuan Akses Bersyarat. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Pemberi Persetujuan Akses LockBox Pelanggan | Dapat menyetujui permintaan dukungan Microsoft untuk mengakses data organisasi pelanggan. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Admin Analitik Desktop | Dapat mengakses dan mengelola alat dan layanan manajemen Desktop. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Pembaca Direktori | Dapat membaca informasi direktori dasar. Umum digunakan untuk memberikan akses baca direktori pada aplikasi dan tamu. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Akun Sinkronisasi Direktori | Hanya digunakan oleh layanan Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Penulis Direktori | Dapat membaca dan menulis informasi direktori dasar. Untuk memberikan akses ke aplikasi, tidak ditujukan untuk pengguna. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Admin Nama Domain | Dapat mengelola nama domain di cloud dan lokal. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
| Admin Dynamics 365 | Dapat mengelola semua aspek produk Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Dynamics 365 Business Central Administrator | Akses dan lakukan semua tugas administratif di lingkungan Dynamics 365 Business Central. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| Administrator Edge | Mengelola semua aspek Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Admin Exchange | Dapat mengelola semua aspek produk Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Admin Penerima Exchange | Dapat membuat atau memperbarui penerima Exchange Online dalam organisasi Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Admin Alur Pengguna ID Eksternal | Dapat membuat dan mengelola semua aspek alur pengguna. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Admin Atribut Alur Pengguna ID Eksternal | Dapat membuat dan mengelola skema atribut yang tersedia untuk semua alur pengguna. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Admin IdP Eksternal | Mengonfigurasi IdP untuk digunakan dalam federasi langsung. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Fabric Administrator | Dapat mengelola semua aspek produk Fabric dan Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Administrator Global | Dapat mengelola semua aspek ID Microsoft Entra dan layanan Microsoft yang menggunakan identitas Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
| Pembaca Global | Dapat membaca semua yang dapat dibaca oleh Administrator Global, tetapi tidak memperbarui apa pun. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Administrator Akses Aman Global | Buat dan kelola semua aspek Akses Internet Microsoft Entra dan Akses Privat Microsoft Entra, termasuk mengelola akses ke titik akhir publik dan privat. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Admin Grup | Anggota peran ini dapat membuat/mengelola grup, membuat/mengelola pengaturan grup seperti penamaan dan kebijakan kedaluwarsa, serta melihat aktivitas grup dan laporan audit. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Pengundang Tamu | Dapat mengundang pengguna tamu yang independen dari pengaturan 'anggota dapat mengundang tamu'. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Admin Bantuan Teknis | Dapat mengatur ulang kata sandi untuk non-admin dan admin Bantuan Teknis. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Admin Identitas Hibrid | Kelola Direktori Aktif ke provisi cloud Microsoft Entra, Microsoft Entra Connect, autentikasi pass-through (PTA), sinkronisasi hash kata sandi (PHS), akses menyeluruh tanpa hambatan (SSO tanpa hambatan), dan pengaturan federasi. Tidak memiliki akses untuk mengelola Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Administrator Tata Kelola Identitas | Mengelola akses menggunakan ID Microsoft Entra untuk skenario tata kelola identitas. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Admin Insight | Memiliki akses administratif di aplikasi Insight Microsoft 365. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Analis Insights | Akses kemampuan analitik di Microsoft Viva Insights dan jalankan kueri kustom. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Pemimpin Bisnis Insight | Dapat melihat dan berbagi dasbor dan wawasan melalui aplikasi Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Admin Intune | Dapat mengelola semua aspek produk Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Admin Kaizala | Dapat mengelola pengaturan untuk Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Admin Pengetahuan | Dapat mengonfigurasi pengetahuan, pembelajaran, dan fitur cerdas lainnya. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Manajer Pengetahuan | Dapat mengatur, membuat, mengelola, dan mempromosikan topik dan pengetahuan. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Admin Lisensi | Dapat mengelola lisensi produk pada pengguna dan grup. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Administrator Alur Kerja Siklus Hidup | Membuat dan mengelola semua aspek alur kerja dan tugas yang terkait dengan Alur Kerja Siklus Hidup di ID Microsoft Entra. |
59d46f88-662b-457b-bceb-5c3809e5908f |
| Pembaca Privasi Pusat Pesan | Dapat membaca pesan dan pembaruan keamanan hanya di Pusat Pesan Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Pembaca Pusat Pesan | Dapat membaca pesan dan pembaruan untuk organisasi mereka hanya di Pusat Pesan Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Administrator Migrasi Microsoft 365 | Lakukan semua fungsionalitas migrasi untuk memigrasikan konten ke Microsoft 365 menggunakan Migration Manager. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| Administrator Lokal Perangkat Yang Bergabung dengan Microsoft Entra | Pengguna yang ditetapkan ke peran ini ditambahkan ke grup administrator lokal di perangkat yang bergabung dengan Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Administrator Garansi Perangkat Keras Microsoft | Membuat dan mengelola semua aspek klaim garansi dan hak untuk perangkat keras yang diproduksi Microsoft, seperti Surface dan HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft Hardware Warranty Specialist | Membuat dan membaca klaim garansi untuk perangkat keras yang diproduksi Microsoft, seperti Surface dan HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Administrator Perdagangan Modern | Dapat mengelola pembelian komersial untuk perusahaan, departemen, atau tim. | d24aef57-1500-4070-84db-2666f29cf966 |
| Admin Jaringan | Dapat mengelola lokasi jaringan dan meninjau wawasan desain jaringan perusahaan untuk aplikasi SaaS Microsoft 365. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Admin Aplikasi Office | Dapat mengelola layanan cloud aplikasi Office, termasuk kebijakan dan manajemen pengaturan, serta mengelola kemampuan untuk memilih, membatalkan pilihan, dan menerbitkan konten fitur "yang baru" ke perangkat pengguna akhir. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Administrator Branding Organisasi | Mengelola semua aspek branding organisasi dalam penyewa. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| Pemberi Persetujuan Pesan Organisasi | Tinjau, setujui, atau tolak pesan organisasi baru untuk pengiriman di pusat admin Microsoft 365 sebelum dikirim ke pengguna. | e48398e2-f4bb-4074-8f31-4586725e205b |
| Penulis Pesan Organisasi | Tulis, terbitkan, kelola, dan tinjau pesan organisasi untuk pengguna akhir melalui permukaan produk Microsoft. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Dukungan Mitra Tier1 | Jangan gunakan - tidak dimaksudkan untuk penggunaan umum. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Dukungan Mitra Tier2 | Jangan gunakan - tidak dimaksudkan untuk penggunaan umum. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Admin Kata Sandi | Dapat mengatur ulang kata sandi untuk non-admin dan Admin Kata Sandi. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Administrator Manajemen Izin | Kelola semua aspek Manajemen Izin Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Admin Microsoft Power Platform | Dapat membuat dan mengelola semua aspek Microsoft Dynamics 365, Power Apps dan Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Admin Pencetak | Dapat mengelola semua aspek printer dan konektor printer. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Teknisi Printer | Dapat mendaftar dan membatalkan pendaftaran printer serta memperbarui status printer. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Admin Autentikasi Istimewa | Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk semua pengguna (admin atau non-admin). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Administrator Peran Privileged | Dapat mengelola penetapan peran di ID Microsoft Entra, dan semua aspek Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Pembaca Laporan | Dapat membaca laporan masuk dan audit. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Admin Pencarian | Dapat membuat dan mengelola semua aspek pengaturan Microsoft Search. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Penyunting Pencarian | Dapat membuat dan mengelola konten editorial seperti marka buku, Tanya-Jawab, lokasi, floorplan. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Administrator Keamanan | Dapat membaca informasi dan laporan keamanan, serta mengelola konfigurasi di ID Microsoft Entra dan Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Operator Keamanan | Membuat dan mengelola peristiwa keamanan. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Pembaca Keamanan | Bisa membaca informasi dan laporan keamanan di ID Microsoft Entra dan Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Admin Dukungan Layanan | Dapat membaca informasi kesehatan layanan dan mengelola tiket dukungan. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Administrator SharePoint | Dapat mengelola semua aspek layanan SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| SharePoint Embedded Administrator | Mengelola semua aspek kontainer SharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
| Admin Skype for Business | Dapat mengelola semua aspek produk Skype for Business. | 75941009-915a-4869-abe7-691bff18279e |
| Administrator Teams | Dapat mengelola layanan Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Admin Komunikasi Teams | Dapat mengelola fitur panggilan dan rapat dalam layanan Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Teknisi Dukungan Komunikasi Teams | Dapat memecahkan masalah komunikasi dalam Teams menggunakan alat tingkat lanjut. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Spesialis Dukungan Komunikasi Teams | Dapat memecahkan masalah komunikasi dalam Teams menggunakan alat dasar. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Admin Perangkat Teams | Dapat melakukan tugas terkait manajemen pada perangkat bersertifikasi Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Administrator Telepon Teams | Kelola fitur suara dan telepon dan pecahkan masalah komunikasi dalam layanan Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
| Pembuat Penyewa | Buat penyewa Microsoft Entra atau Azure AD B2C baru. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Pembaca Laporan Ringkasan Penggunaan | Baca Laporan penggunaan dan Skor Adopsi, tetapi tidak dapat mengakses detail pengguna. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Admin Pengguna | Dapat mengelola semua aspek pengguna dan grup, termasuk menyetel ulang kata sandi untuk admin terbatas. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Manajer Keberhasilan Pengalaman Pengguna | Lihat umpan balik produk, hasil survei, dan laporan untuk menemukan peluang pelatihan dan komunikasi. | 27460883-1df1-4691-b032-3b79643e5e63 |
| Administrator Kunjungan Virtual | Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Administrator Tujuan Viva | Mengelola dan mengonfigurasi semua aspek Tujuan Microsoft Viva. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse Administrator | Dapat mengelola semua pengaturan untuk aplikasi Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Administrator Windows 365 | Dapat memprovisikan dan mengelola semua aspek PC Cloud. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Administrator Penerapan Windows Update | Dapat membuat dan mengelola semua aspek penyebaran Windows Update melalui layanan penyebaran Windows Update untuk Bisnis. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Administrator Yammer | Kelola semua aspek layanan Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Administrator Aplikasi
Ini adalah peran istimewa. Pengguna dalam peran ini dapat membuat dan mengelola semua aspek aplikasi perusahaan, pendaftaran aplikasi, dan pengaturan proksi aplikasi. Perhatikan bahwa pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.
Peran ini juga memberikan kemampuan untuk menyetujui izin yang didelegasikan dan izin aplikasi, dengan pengecualian izin aplikasi untuk Azure AD Graph dan Microsoft Graph.
Penting
Pengecualian ini berarti Anda masih dapat menyetujui izin aplikasi untuk aplikasi lain (misalnya, aplikasi Microsoft lainnya, aplikasi pihak ketiga, atau aplikasi yang telah Anda daftarkan). Anda masih dapat meminta izin ini sebagai bagian dari pendaftaran aplikasi, tetapi memberikan (yaitu, menyetujui) izin ini memerlukan administrator yang lebih istimewa, seperti Administrator Peran Istimewa.
Peran ini memberikan kemampuan untuk mengelola info masuk aplikasi. Pengguna yang diberi peran ini dapat menambahkan info masuk ke aplikasi, dan menggunakan info masuk tersebut untuk meniru identitas aplikasi. Jika identitas aplikasi telah diberikan akses ke sumber daya, seperti kemampuan untuk membuat atau memperbarui Pengguna atau objek lain, maka pengguna yang ditetapkan untuk peran ini dapat melakukan tindakan tersebut saat meniru aplikasi. Kemampuan untuk meniru identitas aplikasi ini mungkin merupakan peningkatan hak istimewa atas apa yang dapat dilakukan pengguna melalui penetapan peran mereka. Penting untuk dipahami bahwa menetapkan pengguna ke peran Admin Aplikasi memberi mereka kemampuan untuk meniru identitas aplikasi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Mengelola kebijakan permintaan persetujuan admin di ID Microsoft Entra |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Membaca semua properti permintaan persetujuan untuk aplikasi yang terdaftar dengan ID Microsoft Entra |
| microsoft.directory/applicationPolicies/basic/perbarui | Memperbarui properti standar kebijakan aplikasi |
| microsoft.directory/applicationPolicies/create | Membuat kebijakan aplikasi |
| microsoft.directory/applicationPolicies/delete | Menghapus kebijakan aplikasi |
| microsoft.directory/applicationPolicies/para pemilik/baca | Membaca pemilik pada kebijakan aplikasi |
| microsoft.directory/applicationPolicies/para pemilik/perbarui | Memperbarui properti pemilik kebijakan aplikasi |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Membaca kebijakan aplikasi yang diterapkan ke daftar objek |
| microsoft.directory/applicationPolicies/standard/read | Membaca properti standar kebijakan aplikasi |
| microsoft.directory/applications/applicationProxyAuthentication/update | Memperbarui autentikasi pada semua jenis aplikasi |
| microsoft.directory/applications/applicationProxy/read | Membaca semua properti proksi aplikasi |
| microsoft.directory/applications/applicationProxySslCertificate/update | Memperbarui pengaturan sertifikat SSL untuk proksi aplikasi |
| microsoft.directory/applications/applicationProxy/update | Memperbarui semua properti proksi aplikasi |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Memperbarui pengaturan URL untuk proksi aplikasi |
| microsoft.directory/applications/appRoles/update | Memperbarui properti appRoles pada semua jenis aplikasi |
| microsoft.directory/applications/audience/update | Memperbarui properti audiens untuk aplikasi |
| microsoft.directory/applications/authentication/perbarui | Memperbarui autentikasi pada semua jenis aplikasi |
| microsoft.directory/applications/basic/update | Memperbarui properti dasar untuk aplikasi |
| microsoft.directory/applications/create | Membuat semua jenis aplikasi |
| microsoft.directory/applications/credentials/update | Memperbarui info masuk aplikasi |
| microsoft.directory/applications/delete | Menghapus semua jenis aplikasi |
| microsoft.directory/applications/extensionProperties/update | Memperbarui properti ekstensi pada aplikasi |
| microsoft.directory/applications/notes/update | Memperbarui catatan aplikasi |
| microsoft.directory/applications/owners/update | Memperbarui pemilik aplikasi |
| microsoft.directory/applications/permissions/update | Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi |
| microsoft.directory/applications/policies/update | Memperbarui kebijakan aplikasi |
| microsoft.directory/aplikasi/sinkronisasi/standar/baca | Membaca pengaturan provisi yang terkait dengan objek aplikasi |
| microsoft.directory/applications/tag/update | Memperbarui tag aplikasi |
| microsoft.directory/applications/verification/update | Memperbarui properti applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Membuat instans aplikasi galeri dari templat aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/connectorGroups/allProperties/read | Membaca semua properti grup konektor jaringan privat |
| microsoft.directory/connectorGroups/allProperties/update | Memperbarui semua properti grup konektor jaringan privat |
| microsoft.directory/connectorGroups/create | Membuat grup konektor jaringan privat |
| microsoft.directory/connectorGroups/delete | Menghapus grup konektor jaringan privat |
| microsoft.directory/connectors/allProperties/read | Membaca semua properti konektor jaringan privat |
| microsoft.directory/connector/create | Membuat konektor jaringan privat |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Buat dan Kelola ekstensi autentikasi kustom |
| microsoft.directory/deletedItems.applications/delete | Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi |
| microsoft.directory/deletedItems.applications/restore | Memulihkan aplikasi yang dihapus sementara ke keadaan asli |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/audience/perbarui | Memperbarui properti audiens pada perwakilan layanan |
| microsoft.directory/servicePrincipals/authentication/perbarui | Memperbarui properti autentikasi pada perwakilan layanan |
| microsoft.directory/servicePrincipals/basic/update | Memperbarui properti dasar pada perwakilan layanan |
| microsoft.directory/servicePrincipals/buat | Membuat prinsipal layanan |
| microsoft.directory/servicePrincipals/mandat/perbarui | Memperbarui info masuk perwakilan layanan |
| microsoft.directory/servicePrincipals/hapus | Menghapus perwakilan layanan |
| microsoft.directory/servicePrincipals/disable | Menonaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/aktifkan | Mengaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Memberikan persetujuan untuk izin aplikasi dan izin yang didelegasikan atas nama pengguna atau semua pengguna, kecuali untuk izin aplikasi untuk Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Memperbarui catatan perwakilan layanan |
| microsoft.directory/servicePrincipals/owners/update | Memperbarui pemilik perwakilan layanan |
| microsoft.directory/servicePrincipals/permissions/update | Memperbarui izin perwakilan layanan |
| microsoft.directory/servicePrincipals/policies/perbarui | Memperbarui kebijakan perwakilan layanan |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Kelola rahasia provisi aplikasi dan info masuk. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Mulai, mulai ulang, dan jeda pekerjaan sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Mengelola rahasia dan info masuk provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Memulai, memulai ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda |
| microsoft.directory/servicePrincipals/tag/perbarui | Memperbarui properti tag untuk perwakilan layanan |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Pengembang Aplikasi
Ini adalah peran istimewa. Pengguna dengan peran ini dapat membuat pendaftaran aplikasi saat pengaturan ‘Pengguna dapat mendaftarkan aplikasi’ diatur ke Tidak. Peran ini juga memberikan izin untuk menyetujui atas nama seseorang ketika pengaturan "Pengguna dapat menyetujui aplikasi yang mengakses data perusahaan atas nama mereka" diatur ke Tidak. Pengguna yang ditetapkan untuk peran ini ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/applications/createAsOwner | Membuat semua jenis aplikasi, dan pembuat ditambahkan sebagai pemilik pertama |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Membuat izin OAuth 2.0, dengan pembuat sebagai pemilik pertama |
| microsoft.directory/servicePrincipals/createAsOwner | Membuat perwakilan layanan, dengan pembuat sebagai pemilik pertama |
Pembuat Payload Serangan
Pengguna dalam peran ini dapat membuat payload serangan tetapi tidak benar-benar meluncurkan atau menjadwalkannya. Payload serangan kemudian tersedia untuk semua admin di penyewa yang dapat menggunakannya untuk membuat simulasi.
Untuk informasi selengkapnya, lihat izin Microsoft Defender untuk Office 365 di portal Pertahanan Microsoft 365 dan Izin di portal kepatuhan Microsoft Purview.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Membuat dan mengelola payload serangan di Simulator Serangan |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Membaca laporan simulasi serangan, respons, dan pelatihan terkait |
Admin Simulasi Serangan
Pengguna dalam peran ini dapat membuat dan mengelola semua aspek pembuatan simulasi serangan, peluncuran/penjadwalan simulasi, dan tinjauan hasil simulasi. Anggota peran ini memiliki akses ini untuk semua simulasi dalam penyewa.
Untuk informasi selengkapnya, lihat izin Microsoft Defender untuk Office 365 di portal Pertahanan Microsoft 365 dan Izin di portal kepatuhan Microsoft Purview.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Membuat dan mengelola payload serangan di Simulator Serangan |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Membaca laporan simulasi serangan, respons, dan pelatihan terkait |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Membuat dan mengelola templat simulasi serangan di Simulator Serangan |
Administrator Tugas Atribut
Pengguna dengan peran ini dapat menetapkan dan menghapus kunci dan nilai atribut keamanan kustom untuk objek Microsoft Entra yang didukung seperti pengguna, perwakilan layanan, dan perangkat.
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.
Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di ID Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Membaca semua properti set atribut |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk identitas terkelola Microsoft Entra |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Memperbarui nilai atribut keamanan kustom untuk identitas terkelola Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Membaca semua properti definisi atribut keamanan kustom |
| microsoft.directory/devices/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk perangkat |
| microsoft.directory/devices/customSecurityAttributes/update | Memperbarui nilai atribut keamanan kustom untuk perangkat |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk perwakilan layanan |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Memperbarui nilai atribut keamanan kustom untuk perwakilan layanan |
| microsoft.directory/users/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk pengguna |
| microsoft.directory/users/customSecurityAttributes/update | Memperbarui nilai atribut keamanan kustom untuk pengguna |
Pembaca Tugas Atribut
Pengguna dengan peran ini dapat membaca kunci dan nilai atribut keamanan kustom untuk objek Microsoft Entra yang didukung.
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.
Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di ID Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Membaca semua properti set atribut |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk identitas terkelola Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Membaca semua properti definisi atribut keamanan kustom |
| microsoft.directory/devices/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk perangkat |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk perwakilan layanan |
| microsoft.directory/users/customSecurityAttributes/read | Membaca nilai atribut keamanan kustom untuk pengguna |
Administrator Definisi Atribut
Pengguna dengan peran ini dapat menentukan sekumpulan atribut keamanan kustom yang valid yang dapat ditetapkan ke objek Microsoft Entra yang didukung. Peran ini juga dapat mengaktifkan dan menonaktifkan atribut keamanan kustom.
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.
Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di ID Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Mengelola semua aspek dari set atribut |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Mengelola semua aspek dari definisi atribut keamanan kustom |
Pembaca Definisi Atribut
Pengguna dengan peran ini dapat membaca definisi atribut keamanan kustom.
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.
Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di ID Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Membaca semua properti set atribut |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Membaca semua properti definisi atribut keamanan kustom |
Administrator Log Atribut
Tetapkan peran Pembaca Log Atribut kepada pengguna yang perlu melakukan tugas berikut:
- Membaca log audit untuk perubahan nilai atribut keamanan kustom
- Membaca log audit untuk perubahan dan penugasan definisi atribut keamanan kustom
- Mengonfigurasi pengaturan diagnostik untuk atribut keamanan kustom
Pengguna dengan peran ini tidak dapat membaca log audit untuk peristiwa lain.
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca log audit untuk atribut keamanan kustom. Untuk membaca log audit untuk atribut keamanan kustom, Anda harus diberi peran ini atau peran Pembaca Log Atribut.
Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di ID Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Mengonfigurasi semua aspek pengaturan diagnostik atribut keamanan kustom |
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Membaca log audit yang terkait dengan atribut keamanan kustom |
Pembaca Log Atribut
Tetapkan peran Pembaca Log Atribut kepada pengguna yang perlu melakukan tugas berikut:
- Membaca log audit untuk perubahan nilai atribut keamanan kustom
- Membaca log audit untuk perubahan dan penugasan definisi atribut keamanan kustom
Pengguna dengan peran ini tidak dapat melakukan tugas berikut:
- Mengonfigurasi pengaturan diagnostik untuk atribut keamanan kustom
- Membaca log audit untuk peristiwa lain
Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca log audit untuk atribut keamanan kustom. Untuk membaca log audit untuk atribut keamanan kustom, Anda harus diberi peran ini atau peran Administrator Log Atribut.
Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di ID Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Membaca log audit yang terkait dengan atribut keamanan kustom |
Admin Autentikasi
Ini adalah peran istimewa. Tetapkan peran Administrator Autentikasi kepada pengguna yang perlu melakukan hal berikut:
- Atur atau atur ulang metode autentikasi apa pun (termasuk kata sandi) untuk non-administrator dan beberapa peran. Untuk daftar peran yang dapat dibaca atau diperbarui metode autentikasinya oleh Administrator Autentikasi, lihat Siapa yang dapat mengatur ulang kata sandi.
- Mengharuskan pengguna yang bukan administrator atau ditetapkan ke beberapa peran untuk mendaftar ulang terhadap kredensial non-kata sandi yang ada (misalnya, MFA atau FIDO), dan juga dapat mencabut ingat MFA pada perangkat, yang meminta MFA pada rincian masuk berikutnya.
- Kelola pengaturan MFA di portal manajemen MFA warisan.
- Lakukan tindakan sensitif untuk beberapa pengguna. Untuk informasi selengkapnya, lihat Siapa yang bisa melakukan tindakan sensitif.
- Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365.
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat mengubah kredensial atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan peran.
- Tidak dapat mengelola token OATH Perangkat Keras.
Tabel berikut membandingkan kemampuan peran terkait autentikasi.
| Peran | Mengelola metode autentikasi pengguna | Mengelola autentikasi multifaktor per pengguna | Mengelola pengaturan autentikasi multifaktor | Mengelola kebijakan metode autentikasi | Mengelola kebijakan perlindungan kata sandi | Memperbarui properti sensitif | Menghapus dan memulihkan pengguna |
|---|---|---|---|---|---|---|---|
| Admin Autentikasi | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna | Ya | No | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
| Admin Autentikasi Istimewa | Ya untuk semua pengguna | Ya untuk semua pengguna | Tidak | No | Tidak | Ya untuk semua pengguna | Ya untuk semua pengguna |
| Admin Kebijakan Autentikasi | Tidak | Ya | Ya | Ya | Ya | No | Tidak |
| Admin Pengguna | Tidak | No | No | No | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
Penting
Pengguna dengan peran ini dapat mengubah kredensial bagi orang yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di dalam dan di luar ID Microsoft Entra. Mengubah info masuk pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:
- Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di ID Microsoft Entra dan di tempat lain yang tidak diberikan kepada Administrator Autentikasi. Melalui jalur ini, Admin Autentikasi dapat mengasumsikan identitas pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui info masuk untuk aplikasi.
- Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
- Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau privat atau konfigurasi penting di ID Microsoft Entra dan di tempat lain.
- Administrator di layanan lain di luar ID Microsoft Entra seperti Exchange Online, portal Pertahanan Microsoft 365, portal kepatuhan Microsoft Purview, dan sistem sumber daya manusia.
- Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/deletedItems.users/restore | Memulihkan pengguna yang dihapus sementara ke kondisi semula |
| microsoft.directory/users/authenticationMethods/basic/update | Memperbarui properti dasar metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/create | Memperbarui metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/delete | Menghapus metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Membaca properti standar metode autentikasi yang tidak menyertakan informasi pengidentifikasi pribadi bagi pengguna |
| microsoft.directory/users/basic/update | Memperbarui properti dasar pada pengguna |
| microsoft.directory/users/delete | Menghapus pengguna |
| microsoft.directory/users/disable | Menonaktifkan pengguna |
| microsoft.directory/users/enable | Mengaktifkan pengguna |
| microsoft.directory/users/invalidateAllRefreshTokens | Memaksa keluar dengan membatalkan validasi token refresh pengguna |
| microsoft.directory/users/manager/update | Memperbarui pengelola untuk pengguna |
| microsoft.directory/users/password/update | Mengatur ulang kata sandi untuk semua pengguna |
| microsoft.directory/users/restore | Memulihkan pengguna yang dihapus |
| microsoft.directory/users/userPrincipalName/update | Memperbarui Nama Prinsipal Pengguna milik pengguna |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Ekstensibilitas Autentikasi
Ini adalah peran istimewa. Tetapkan peran Administrator Ekstensibilitas Autentikasi kepada pengguna yang perlu melakukan tugas berikut:
- Membuat dan mengelola semua aspek ekstensi autentikasi kustom.
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat menetapkan ekstensi autentikasi kustom ke aplikasi untuk mengubah pengalaman autentikasi, dan tidak dapat menyetujui izin aplikasi atau membuat pendaftaran aplikasi yang terkait dengan ekstensi autentikasi kustom. Sebagai gantinya, Anda harus menggunakan peran Administrator Aplikasi, Pengembang Aplikasi, atau Administrator Aplikasi Cloud.
Ekstensi autentikasi kustom adalah titik akhir API yang dibuat oleh pengembang untuk peristiwa autentikasi dan terdaftar di ID Microsoft Entra. Administrator aplikasi dan pemilik aplikasi dapat menggunakan ekstensi autentikasi kustom untuk menyesuaikan pengalaman autentikasi aplikasi mereka, seperti masuk dan mendaftar, atau mengatur ulang kata sandi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Buat dan Kelola ekstensi autentikasi kustom |
Admin Kebijakan Autentikasi
Tetapkan peran Administrator Kebijakan Autentikasi kepada pengguna yang perlu melakukan hal berikut:
- Konfigurasikan kebijakan metode autentikasi, pengaturan MFA seluruh penyewa, dan kebijakan perlindungan kata sandi yang menentukan metode mana yang dapat didaftarkan dan digunakan oleh setiap pengguna.
- Mengelola pengaturan Perlindungan Kata Sandi: konfigurasi penguncian cerdas dan memperbarui daftar kata sandi terlarang kustom.
- Kelola pengaturan MFA di portal manajemen MFA warisan.
- Membuat dan mengelola kredensial yang dapat diverifikasi.
- Membuat dan mengelola tiket dukungan Azure.
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat memperbarui properti sensitif. Untuk informasi selengkapnya, lihat Siapa yang bisa melakukan tindakan sensitif.
- Tidak dapat menghapus atau memulihkan pengguna. Untuk informasi selengkapnya, lihat Siapa yang bisa melakukan tindakan sensitif.
- Tidak dapat mengelola token OATH Perangkat Keras.
Tabel berikut membandingkan kemampuan peran terkait autentikasi.
| Peran | Mengelola metode autentikasi pengguna | Mengelola autentikasi multifaktor per pengguna | Mengelola pengaturan autentikasi multifaktor | Mengelola kebijakan metode autentikasi | Mengelola kebijakan perlindungan kata sandi | Memperbarui properti sensitif | Menghapus dan memulihkan pengguna |
|---|---|---|---|---|---|---|---|
| Admin Autentikasi | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna | Ya | No | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
| Admin Autentikasi Istimewa | Ya untuk semua pengguna | Ya untuk semua pengguna | Tidak | No | Tidak | Ya untuk semua pengguna | Ya untuk semua pengguna |
| Admin Kebijakan Autentikasi | Tidak | Ya | Ya | Ya | Ya | No | Tidak |
| Admin Pengguna | Tidak | No | No | No | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/organization/strongAuthentication/allTasks | Mengelola semua aspek properti autentikasi yang kuat dari suatu organisasi |
| microsoft.directory/userCredentialPolicies/basic/update | Memperbarui kebijakan dasar untuk pengguna |
| microsoft.directory/userCredentialPolicies/create | Membuat kebijakan info masuk untuk pengguna |
| microsoft.directory/userCredentialPolicies/delete | Menghapus kebijakan info masuk untuk pengguna |
| microsoft.directory/userCredentialPolicies/owners/read | Membaca pemilik kebijakan info masuk untuk pengguna |
| microsoft.directory/userCredentialPolicies/owners/update | Memperbarui pemilik kebijakan info masuk untuk pengguna |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Membaca tautan navigasi policy.appliesTo |
| microsoft.directory/userCredentialPolicies/standard/read | Membaca properti standar kebijakan info masuk untuk pengguna |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Memperbarui properti policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Memperbarui konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Membaca kontrak kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Memperbarui kontrak kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Membaca kartu kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Mencabut kartu kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Membuat kontrak kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/create | Membuat konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/delete | Menghapus konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi dan menghapus semua kredensial yang dapat diverifikasi |
Admin Azure DevOps
Pengguna dengan peran ini dapat mengelola semua kebijakan Azure DevOps perusahaan, berlaku untuk semua organisasi Azure DevOps yang didukung oleh ID Microsoft Entra. Pengguna dalam peran ini dapat mengelola kebijakan ini dengan menavigasi ke organisasi Azure DevOps apa pun yang didukung oleh ID Microsoft Entra perusahaan. Selain itu, pengguna dalam peran ini dapat mengeklaim kepemilikan organisasi Azure DevOps tanpa sumber. Peran ini tidak memberikan izin khusus Azure DevOps lainnya (misalnya, Administrator Koleksi Proyek) di dalam salah satu organisasi Azure DevOps yang didukung oleh organisasi Microsoft Entra perusahaan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Membaca dan mengonfigurasi Azure DevOps |
Admin Perlindungan Informasi Azure
Pengguna dengan peran ini memiliki semua izin di layanan Perlindungan Informasi Azure. Peran ini memungkinkan konfigurasi label untuk kebijakan Perlindungan Informasi Azure, mengelola templat perlindungan, dan mengaktifkan perlindungan. Peran ini tidak memberikan izin apa pun di Microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, portal Pertahanan Microsoft 365, atau portal kepatuhan Microsoft Purview.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Mengelola semua aspek Perlindungan Informasi Azure |
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Keyset IEF B2C
Ini adalah peran istimewa. Pengguna dapat membuat dan mengelola kunci dan rahasia kebijakan untuk enkripsi token, tanda tangan token, dan mengklaim enkripsi/dekripsi. Dengan menambahkan kunci baru ke kontainer kunci yang ada, administrator terbatas ini dapat membuka rahasia sesuai kebutuhan tanpa memengaruhi aplikasi yang ada. Pengguna ini dapat melihat konten lengkap dari rahasia ini dan tanggal kedaluwarsa mereka bahkan setelah pembuatannya.
Penting
Ini adalah peran yang sensitif. Peran administrator set kunci harus diaudit dan ditugaskan dengan hati-hati selama pra-produksi dan produksi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Membaca dan mengonfigurasi set kunci di Azure Active Directory B2C |
Admin Kebijakan IEF B2C
Pengguna dalam peran ini memiliki kemampuan untuk membuat, membaca, memperbarui, dan menghapus semua kebijakan kustom di Azure AD B2C dan karenanya memiliki kontrol penuh atas IEF di organisasi Azure AD B2C yang relevan. Dengan menyunting kebijakan, pengguna ini dapat membentuk federasi langsung dengan IdP eksternal, mengubah skema direktori, mengubah semua konten yang berhubungan dengan pengguna (HTML, CSS, JavaScript), mengubah persyaratan untuk menyelesaikan sebuah autentikasi, membuat pengguna baru, mengirim data pengguna ke sistem eksternal termasuk migrasi penuh, dan mengedit semua informasi pengguna termasuk bidang sensitif seperti kata sandi dan nomor telepon. Sebaliknya, peran ini tidak dapat mengubah kunci enkripsi atau mengedit rahasia yang digunakan untuk federasi dalam organisasi.
Penting
Admin Kebijakan IEF B2 adalah peran yang sangat sensitif yang harus ditetapkan secara sangat terbatas untuk organisasi dalam produksi. Aktivitas oleh pengguna ini harus diaudit dengan cermat, terutama untuk organisasi dalam produksi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Membaca dan mengonfigurasi kebijakan kustom di Azure Active Directory B2C |
Administrator Tagihan
Melakukan pembelian, mengelola langganan, mengelola tiket dukungan, dan memantau kondisi layanan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Mengelola semua aspek tagihan Office 365 |
| microsoft.directory/organization/basic/update | Memperbarui properti dasar pada organisasi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Microsoft Cloud App Security
Pengguna dengan peran ini memiliki izin penuh di Aplikasi Defender untuk Cloud. Mereka dapat menambahkan administrator, menambahkan kebijakan dan pengaturan Aplikasi Microsoft Defender untuk Cloud, mengunggah log, dan melakukan tindakan pemerintahan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Aplikasi Cloud
Ini adalah peran istimewa. Pengguna dalam peran ini memiliki izin yang sama dengan peran Admin Aplikasi, kecuali kemampuan untuk mengelola proksi aplikasi. Peran ini memberikan kemampuan untuk membuat dan mengelola semua aspek aplikasi perusahaan dan pendaftaran aplikasi. Pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.
Peran ini juga memberikan kemampuan untuk menyetujui izin yang didelegasikan dan izin aplikasi, dengan pengecualian izin aplikasi untuk Azure AD Graph dan Microsoft Graph.
Penting
Pengecualian ini berarti Anda masih dapat menyetujui izin aplikasi untuk aplikasi lain (misalnya, aplikasi Microsoft lainnya, aplikasi pihak ketiga, atau aplikasi yang telah Anda daftarkan). Anda masih dapat meminta izin ini sebagai bagian dari pendaftaran aplikasi, tetapi memberikan (yaitu, menyetujui) izin ini memerlukan administrator yang lebih istimewa, seperti Administrator Peran Istimewa.
Peran ini memberikan kemampuan untuk mengelola info masuk aplikasi. Pengguna yang diberi peran ini dapat menambahkan info masuk ke aplikasi, dan menggunakan info masuk tersebut untuk meniru identitas aplikasi. Jika identitas aplikasi telah diberikan akses ke sumber daya, seperti kemampuan untuk membuat atau memperbarui Pengguna atau objek lain, maka pengguna yang ditetapkan untuk peran ini dapat melakukan tindakan tersebut saat meniru aplikasi. Kemampuan untuk meniru identitas aplikasi ini mungkin merupakan peningkatan hak istimewa atas apa yang dapat dilakukan pengguna melalui penetapan peran mereka. Penting untuk dipahami bahwa menetapkan pengguna ke peran Admin Aplikasi memberi mereka kemampuan untuk meniru identitas aplikasi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Mengelola kebijakan permintaan persetujuan admin di ID Microsoft Entra |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Membaca semua properti permintaan persetujuan untuk aplikasi yang terdaftar dengan ID Microsoft Entra |
| microsoft.directory/applicationPolicies/basic/perbarui | Memperbarui properti standar kebijakan aplikasi |
| microsoft.directory/applicationPolicies/create | Membuat kebijakan aplikasi |
| microsoft.directory/applicationPolicies/delete | Menghapus kebijakan aplikasi |
| microsoft.directory/applicationPolicies/para pemilik/baca | Membaca pemilik pada kebijakan aplikasi |
| microsoft.directory/applicationPolicies/para pemilik/perbarui | Memperbarui properti pemilik kebijakan aplikasi |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Membaca kebijakan aplikasi yang diterapkan ke daftar objek |
| microsoft.directory/applicationPolicies/standard/read | Membaca properti standar kebijakan aplikasi |
| microsoft.directory/applications/appRoles/update | Memperbarui properti appRoles pada semua jenis aplikasi |
| microsoft.directory/applications/audience/update | Memperbarui properti audiens untuk aplikasi |
| microsoft.directory/applications/authentication/perbarui | Memperbarui autentikasi pada semua jenis aplikasi |
| microsoft.directory/applications/basic/update | Memperbarui properti dasar untuk aplikasi |
| microsoft.directory/applications/create | Membuat semua jenis aplikasi |
| microsoft.directory/applications/credentials/update | Memperbarui info masuk aplikasi |
| microsoft.directory/applications/delete | Menghapus semua jenis aplikasi |
| microsoft.directory/applications/extensionProperties/update | Memperbarui properti ekstensi pada aplikasi |
| microsoft.directory/applications/notes/update | Memperbarui catatan aplikasi |
| microsoft.directory/applications/owners/update | Memperbarui pemilik aplikasi |
| microsoft.directory/applications/permissions/update | Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi |
| microsoft.directory/applications/policies/update | Memperbarui kebijakan aplikasi |
| microsoft.directory/aplikasi/sinkronisasi/standar/baca | Membaca pengaturan provisi yang terkait dengan objek aplikasi |
| microsoft.directory/applications/tag/update | Memperbarui tag aplikasi |
| microsoft.directory/applications/verification/update | Memperbarui properti applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Membuat instans aplikasi galeri dari templat aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/deletedItems.applications/delete | Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi |
| microsoft.directory/deletedItems.applications/restore | Memulihkan aplikasi yang dihapus sementara ke keadaan asli |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/audience/perbarui | Memperbarui properti audiens pada perwakilan layanan |
| microsoft.directory/servicePrincipals/authentication/perbarui | Memperbarui properti autentikasi pada perwakilan layanan |
| microsoft.directory/servicePrincipals/basic/update | Memperbarui properti dasar pada perwakilan layanan |
| microsoft.directory/servicePrincipals/buat | Membuat prinsipal layanan |
| microsoft.directory/servicePrincipals/mandat/perbarui | Memperbarui info masuk perwakilan layanan |
| microsoft.directory/servicePrincipals/hapus | Menghapus perwakilan layanan |
| microsoft.directory/servicePrincipals/disable | Menonaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/aktifkan | Mengaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Memberikan persetujuan untuk izin aplikasi dan izin yang didelegasikan atas nama pengguna atau semua pengguna, kecuali untuk izin aplikasi untuk Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Memperbarui catatan perwakilan layanan |
| microsoft.directory/servicePrincipals/owners/update | Memperbarui pemilik perwakilan layanan |
| microsoft.directory/servicePrincipals/permissions/update | Memperbarui izin perwakilan layanan |
| microsoft.directory/servicePrincipals/policies/perbarui | Memperbarui kebijakan perwakilan layanan |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Kelola rahasia provisi aplikasi dan info masuk. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Mulai, mulai ulang, dan jeda pekerjaan sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Mengelola rahasia dan info masuk provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Memulai, memulai ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda |
| microsoft.directory/servicePrincipals/tag/perbarui | Memperbarui properti tag untuk perwakilan layanan |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Cloud Device Administrator
Ini adalah peran istimewa. Pengguna dalam peran ini dapat mengaktifkan, menonaktifkan, dan menghapus perangkat di ID Microsoft Entra dan membaca kunci BitLocker Windows 10 (jika ada) di portal Azure. Peran ini tidak memberikan izin untuk mengelola properti lain pada perangkat.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/bitlockerKeys/key/read | Membaca metadata bitlocker dan kunci pada perangkat |
| microsoft.directory/deletedItems.devices/delete | Menghapus perangkat secara permanen, yang tidak dapat lagi dipulihkan |
| microsoft.directory/deletedItems.devices/restore | Memulihkan perangkat yang dihapus sementara ke status asli |
| microsoft.directory/deviceLocalCredentials/password/read | Membaca semua properti kredensial akun administrator lokal yang dicadangkan untuk perangkat yang bergabung dengan Microsoft Entra, termasuk kata sandi |
| microsoft.directory/deviceManagementPolicies/basic/update | Memperbarui properti dasar pada manajemen perangkat seluler dan kebijakan manajemen aplikasi seluler |
| microsoft.directory/deviceManagementPolicies/standard/read | Membaca properti standar pada manajemen perangkat seluler dan kebijakan manajemen aplikasi seluler |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Memperbarui properti dasar pada kebijakan pendaftaran perangkat |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Membaca properti standar tentang kebijakan pendaftaran perangkat |
| microsoft.directory/devices/delete | Menghapus perangkat dari ID Microsoft Entra |
| microsoft.directory/devices/disable | Menonaktifkan perangkat di ID Microsoft Entra |
| microsoft.directory/devices/enable | Mengaktifkan perangkat di ID Microsoft Entra |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
Administrator Kepatuhan
Pengguna dengan peran ini memiliki izin untuk mengelola fitur terkait kepatuhan di portal Pertahanan portal kepatuhan Microsoft Purview, pusat admin Microsoft 365, Azure, dan Microsoft 365. Penerima tugas juga dapat mengelola semua fitur dalam pusat admin Exchange dan membuat tiket dukungan untuk Azure dan Microsoft 365. Untuk informasi selengkapnya, lihat Peran dan grup peran di kepatuhan Microsoft Defender untuk Office 365 dan Microsoft Purview.
| Dalam | Dapat melakukan |
|---|---|
| Portal kepatuhan Microsoft Purview | Melindungi dan mengelola data organisasi Anda di seluruh layanan Microsoft 365 Mengelola pemberitahuan kepatuhan |
| Manajer Kepatuhan Microsoft Purview | Melacak, menetapkan, dan memverifikasi aktivitas kepatuhan terhadap peraturan organisasi Anda |
| Portal Pertahanan Microsoft 365 | Mengelola data pemerintahan Melakukan penyelidikan hukum dan data Mengelola Permintaan Subjek Data Peran ini memiliki izin yang sama dengan grup peran Administrator Kepatuhan di kontrol akses berbasis peran portal Pertahanan Microsoft 365. |
| Intune | Menampilkan semua data audit Intune |
| Aplikasi Microsoft Defender untuk Cloud | Memiliki izin baca-saja dan dapat mengelola pemberitahuan Dapat membuat dan mengubah kebijakan file dan mengizinkan tindakan file pemerintahan Dapat menampilkan semua laporan bawaan di bawah Manajemen Data |
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/entitlementManagement/allProperties/read | Membaca semua properti dalam pengelolaan pemberian hak Microsoft Entra |
| microsoft.office365.complianceManager/allEntities/allTasks | Mengelola semua aspek Manajer Kepatuhan Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Data Kepatuhan
Pengguna dengan peran ini dapat memiliki izin untuk melacak data di portal kepatuhan Microsoft Purview, pusat admin Microsoft 365, dan Azure. Pengguna juga dapat melacak data kepatuhan dalam pusat admin Exchange, Manajer Kepatuhan, dan pusat admin Teams & Skype for Business dan membuat tiket dukungan untuk Azure dan Microsoft 365. Untuk informasi selengkapnya tentang perbedaan antara Administrator Kepatuhan dan Administrator Data Kepatuhan, lihat Peran dan grup peran di Microsoft Defender untuk Office 365 dan kepatuhan Microsoft Purview.
| Dalam | Dapat melakukan |
|---|---|
| Portal kepatuhan Microsoft Purview | Memantau kebijakan terkait kepatuhan di seluruh layanan Microsoft 365 Mengelola pemberitahuan kepatuhan |
| Manajer Kepatuhan Microsoft Purview | Melacak, menetapkan, dan memverifikasi aktivitas kepatuhan terhadap peraturan organisasi Anda |
| Portal Pertahanan Microsoft 365 | Mengelola data pemerintahan Melakukan penyelidikan hukum dan data Mengelola Permintaan Subjek Data Peran ini memiliki izin yang sama dengan grup peran Administrator Data Kepatuhan di kontrol akses berbasis peran portal Pertahanan Microsoft 365. |
| Intune | Menampilkan semua data audit Intune |
| Aplikasi Microsoft Defender untuk Cloud | Memiliki izin baca-saja dan dapat mengelola pemberitahuan Dapat membuat dan mengubah kebijakan file dan mengizinkan tindakan file pemerintahan Dapat menampilkan semua laporan bawaan di bawah Manajemen Data |
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Mengelola semua aspek Perlindungan Informasi Azure |
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud |
| microsoft.office365.complianceManager/allEntities/allTasks | Mengelola semua aspek Manajer Kepatuhan Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Akses Bersyarat
Ini adalah peran istimewa. Pengguna dengan peran ini memiliki kemampuan untuk mengelola pengaturan Microsoft Entra Conditional Access.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/conditionalAccessPolicies/basic/update | Memperbarui properti dasar untuk kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/create | Membuat kebijakan Akses Bersyarat |
| microsoft.directory/conditionalAccessPolicies/delete | Menghapus kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/owners/read | Membaca pemilik kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/owners/update | Memperbarui pemilik untuk kebijakan Akses Bersyarah |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Baca properti "diterapkan ke" untuk kebijakan Akses Bersyarah |
| microsoft.directory/conditionalAccessPolicies/standard/read | Membaca Akses Bersyarah untuk kebijakan |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Memperbarui penyewa default untuk kebijakan Akses Bersyarah |
| microsoft.directory/namedLocations/basic/update | Perbarui properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/create | Buat aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/delete | Hapus aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/standard/read | Baca properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Memperbarui konteks autentikasi Akses Bersyarkat dari tindakan sumber daya kontrol akses berbasis peran (RBAC) Microsoft 365 |
Pemberi Izin Akses LockBox Pelanggan
Mengelola permintaan Microsoft Purview Customer Lockbox di organisasi Anda. Mereka menerima pemberitahuan surel untuk permintaan Customer Lockbox dan dapat menyetujui atau menolak permintaan dari pusat admin Microsoft 365. Mereka juga dapat mengaktifkan atau menonaktifkan fitur Customer Lockbox. Hanya Administrator Global yang dapat mengatur ulang kata sandi orang yang ditetapkan ke peran ini.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Mengelola semua aspek Customer Lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Analitik Desktop
Pengguna dalam peran ini dapat mengelola layanan Analitik Desktop. Ini mencakup kemampuan untuk melihat inventaris aset, membuat rencana penyebaran, dan melihat penyebaran dan status kesehatan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Mengelola semua aspek Analitik Desktop |
Pembaca Direktori
Pengguna dalam peran ini dapat membaca informasi direktori dasar. Peran ini harus digunakan untuk:
- Memberikan akses baca pada sekumpulan pengguna tamu tertentu alih-alih memberikan izin pada semua pengguna tamu.
- Memberikan sekumpulan pengguna non-admin tertentu akses ke pusat admin Microsoft Entra saat "Batasi akses ke pusat admin Microsoft Entra" diatur ke "Ya".
- Memberikan akses perwakilan layanan ke direktori saat Directory.Read.All tidak menjadi pilihan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/administrativeUnits/members/read | Membacakan anggota unit administratif |
| microsoft.directory/administrativeUnits/standard/read | Membaca properti dasar pada unit administratif |
| microsoft.directory/applicationPolicies/standard/read | Membaca properti standar kebijakan aplikasi |
| microsoft.directory/applications/owners/read | Membaca pemilik aplikasi |
| microsoft.directory/applications/policies/read | Membaca kebijakan aplikasi |
| microsoft.directory/applications/standard/read | Membaca properti standar aplikasi |
| microsoft.directory/contacts/memberOf/read | Membaca keanggotaan grup untuk semua kontak di ID Microsoft Entra |
| microsoft.directory/contacts/standard/read | Membaca properti dasar pada kontak di ID Microsoft Entra |
| microsoft.directory/contracts/standard/read | Membaca properti dasar pada kontrak mitra |
| microsoft.directory/devices/memberOf/read | Membaca keanggotaan perangkat |
| microsoft.directory/devices/registeredOwners/read | Membaca pemilik terdaftar perangkat |
| microsoft.directory/devices/registeredUsers/read | Membaca pengguna terdaftar perangkat |
| microsoft.directory/devices/standard/read | Membaca properti dasar pada perangkat |
| microsoft.directory/directoryRoles/eligibleMembers/read | Membaca anggota peran Microsoft Entra yang memenuhi syarat |
| microsoft.directory/directoryRoles/members/read | Membaca semua anggota peran Microsoft Entra |
| microsoft.directory/directoryRoles/standard/read | Membaca properti dasar peran Microsoft Entra |
| microsoft.directory/domains/standard/read | Membaca properti dasar pada domain |
| microsoft.directory/groups/appRoleAssignments/read | Membaca penetapan peran aplikasi grup |
| microsoft.directory/groupSettings/standard/read | Membaca properti dasar pada pengaturan grup |
| microsoft.directory/groupSettingTemplates/standard/read | Membaca properti dasar pada templat pengaturan grup |
| microsoft.directory/groups/memberOf/read | Baca properti memberOf grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/members/read | Membaca anggota grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/owners/read | Membaca pemilik grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/settings/read | Membaca pengaturan grup |
| microsoft.directory/groups/standard/read | Baca properti standar grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Membaca properti dasar tentang pemberian izin OAuth 2.0 |
| microsoft.directory/organization/standard/read | Membaca properti dasar pada organisasi |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Membaca otoritas sertifikat tepercaya untuk autentikasi tanpa kata sandi |
| microsoft.directory/roleAssignments/standard/read | Membaca properti dasar tentang penetapan peran |
| microsoft.directory/roleDefinitions/standard/read | Membaca properti dasar tentang definisi peran |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Membaca penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Membaca penetapan peran yang ditetapkan untuk perwakilan layanan |
| microsoft.directory/servicePrincipals/memberOf/read | Membaca keanggotaan grup pada perwakilan layanan |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/baca | Membaca pemberian izin yang didelegasikan pada perwakilan layanan |
| microsoft.directory/servicePrincipals/ownedObjects/read | Membaca objek yang dimiliki perwakilan layanan |
| microsoft.directory/servicePrincipals/para pemilik/baca | Membaca pemilik perwakilan layanan |
| microsoft.directory/servicePrincipals/policies/read | Membaca kebijakan perwakilan layanan |
| microsoft.directory/servicePrincipals/standard/read | Membaca properti dasar perwakilan layanan |
| microsoft.directory/subscribedSkus/standard/read | Membaca properti dasar pada langganan |
| microsoft.directory/users/appRoleAssignments/read | Membaca penetapan peran aplikasi untuk pengguna |
| microsoft.directory/users/deviceForResourceAccount/read | Membaca deviceForResourceAccount pengguna |
| microsoft.directory/users/directReports/read | Membaca laporan langsung untuk pengguna |
| microsoft.directory/users/invitedBy/read | Membaca pengguna yang mengundang pengguna eksternal ke penyewa |
| microsoft.directory/users/licenseDetails/read | Membaca detail lisensi pengguna |
| microsoft.directory/users/manager/read | Membaca manajer pengguna |
| microsoft.directory/users/memberOf/read | Membaca keanggotaan grup pengguna |
| microsoft.directory/users/oAuth2PermissionGrants/read | Membaca pemberian izin yang didelegasikan pada pengguna |
| microsoft.directory/users/ownedDevices/read | Membaca perangkat yang dimiliki pengguna |
| microsoft.directory/users/ownedObjects/read | Membaca objek yang dimiliki pengguna |
| microsoft.directory/users/photo/read | Membaca foto pengguna |
| microsoft.directory/users/registeredDevices/read | Membaca perangkat pengguna yang terdaftar |
| microsoft.directory/users/scopedRoleMemberOf/read | Membaca keanggotaan pengguna dari peran Microsoft Entra, yang tercakup ke unit administratif |
| microsoft.directory/users/sponsors/read | Membaca sponsor pengguna |
| microsoft.directory/users/standard/read | Membaca properti dasar pada pengguna |
Akun Sinkronisasi Direktori
Jangan gunakan. Peran ini secara otomatis ditetapkan ke layanan Microsoft Entra Connect, dan tidak dimaksudkan atau didukung untuk penggunaan lain.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/onPremisesSynchronization/standard/read | Membaca dan mengelola objek untuk mengaktifkan sinkronisasi direktori lokal |
Penulis Direktori
Ini adalah peran istimewa. Pengguna dalam peran ini dapat membaca dan memperbarui informasi dasar pengguna, grup, dan perwakilan layanan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Memperbarui properti ekstensi pada aplikasi |
| microsoft.directory/contacts/create | Membuat kontak |
| microsoft.directory/groups/assignLicense | Menetapkan lisensi produk ke grup untuk lisensi berbasis grup |
| microsoft.directory/groups/basic/update | Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/classification/update | Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/create | Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/dynamicMembershipRule/update | Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groupSettings/basic/update | Memperbarui properti dasar pada pengaturan grup |
| microsoft.directory/groupSettings/create | Membuat pengaturan grup |
| microsoft.directory/groupSettings/delete | Menghapus pengaturan grup |
| microsoft.directory/groups/groupType/update | Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/members/update | Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/onPremWriteBack/update | Memperbarui grup Microsoft Entra untuk ditulis kembali ke lokal dengan Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/reprocessLicenseAssignment | Memproses ulang penugasan lisensi untuk lisensi berbasis grup |
| microsoft.directory/groups/settings/update | Memperbarui pengaturan grup |
| microsoft.directory/groups/visibility/update | Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Memperbarui pemberian izin OAuth 2.0 |
| microsoft.directory/oAuth2PermissionGrants/create | Membuat pemberian izin OAuth 2.0 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Mengelola penyewa cloud ke rahasia dan kredensial provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Mulai, mulai ulang, dan jeda penyewa cloud ke pekerjaan sinkronisasi provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Membuat dan mengelola penyewa cloud ke pekerjaan dan skema sinkronisasi provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Kelola rahasia provisi aplikasi dan info masuk. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Mulai, mulai ulang, dan jeda pekerjaan sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Mengelola rahasia dan info masuk provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Memulai, memulai ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi |
| microsoft.directory/users/assignLicense | Mengelola lisensi pengguna |
| microsoft.directory/users/basic/update | Memperbarui properti dasar pada pengguna |
| microsoft.directory/users/create | Tambah pengguna |
| microsoft.directory/users/disable | Menonaktifkan pengguna |
| microsoft.directory/users/enable | Mengaktifkan pengguna |
| microsoft.directory/users/invalidateAllRefreshTokens | Memaksa keluar dengan membatalkan validasi token refresh pengguna |
| microsoft.directory/users/inviteGuest | Mengundang pengguna tamu |
| microsoft.directory/users/manager/update | Memperbarui pengelola untuk pengguna |
| microsoft.directory/users/photo/update | Memperbarui foto pengguna |
| microsoft.directory/users/reprocessLicenseAssignment | Memproses ulang penugasan lisensi untuk pengguna |
| microsoft.directory/users/sponsors/update | Memperbarui sponsor pengguna |
| microsoft.directory/users/userPrincipalName/update | Memperbarui Nama Prinsipal Pengguna milik pengguna |
Admin Nama Domain
Ini adalah peran istimewa. Pengguna dengan peran ini dapat mengelola (membaca, menambahkan, memverifikasi, memperbarui, dan menghapus) nama domain. Mereka juga dapat membaca informasi direktori tentang pengguna, grup, dan aplikasi, karena objek ini memiliki dependensi domain. Untuk lingkungan lokal, pengguna dengan peran ini dapat mengonfigurasi nama domain untuk federasi sehingga pengguna terkait selalu diautentikasi secara lokal. Pengguna ini kemudian dapat masuk ke layanan berbasis Microsoft Entra dengan kata sandi lokal mereka melalui akses menyeluruh. Pengaturan federasi perlu disinkronkan melalui Microsoft Entra Connect, sehingga pengguna juga memiliki izin untuk mengelola Microsoft Entra Connect.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Membuat dan menghapus domain, serta membaca dan memperbarui semua properti |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Dynamics 365
Pengguna dengan peran ini memiliki izin global dalam Microsoft Dynamics 365 Online, ketika layanan tersedia, serta kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan. Untuk informasi selengkapnya, lihat Menggunakan peran admin layanan untuk mengelola penyewa Anda.
Catatan
Di Microsoft Graph API dan Microsoft Graph PowerShell, peran ini diberi nama Dynamics 365 Administrator Layanan. Dalam portal Azure, nama Dynamics 365 Administrator.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.dynamics365/allEntities/allTasks | Mengelola semua aspek Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Dynamics 365 Business Central Administrator
Tetapkan peran Administrator Dynamics 365 Business Central kepada pengguna yang perlu melakukan tugas berikut:
- Mengakses lingkungan Pusat Bisnis Dynamics 365
- Melakukan semua tugas administratif pada lingkungan
- Mengelola siklus hidup lingkungan pelanggan
- Mengawasi ekstensi yang diinstal pada lingkungan
- Mengontrol peningkatan lingkungan
- Melakukan ekspor data lingkungan
- Membaca dan mengonfigurasi dasbor kesehatan layanan Azure dan Microsoft 365
Peran ini tidak memberikan izin apa pun untuk produk Dynamics 365 lainnya.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.directory/domains/standard/read | Membaca properti dasar pada domain |
| microsoft.directory/organization/standard/read | Membaca properti dasar pada organisasi |
| microsoft.directory/subscribedSkus/standard/read | Membaca properti dasar pada langganan |
| microsoft.directory/users/standard/read | Membaca properti dasar pada pengguna |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Mengelola semua aspek Dynamics 365 Business Central |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Edge
Pengguna dalam peran ini dapat membuat dan mengelola daftar situs perusahaan yang diperlukan untuk mode Internet Explorer di Microsoft Edge. Peran ini memberikan izin untuk membuat, mengedit, dan memublikasikan daftar situs dan juga memungkinkan akses untuk mengelola tiket dukungan. Pelajari lebih lanjut
| Tindakan | Deskripsi |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Exchange
Pengguna dengan peran ini memiliki izin global dalam Microsoft Exchange Online, ketika layanan tersedia. Juga memiliki kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan. Untuk informasi selengkapnya, lihat Tentang peran admin di pusat admin Microsoft 365.
Catatan
Di Microsoft Graph API dan Microsoft Graph PowerShell, peran ini diberi nama Administrator Layanan Exchange. Dalam portal Azure, nama administrator Exchange. Di pusat admin Exchange, nama admin Exchange Online.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Membuat dan mengelola kebijakan perlindungan Exchange Online di Microsoft 365 Backup |
| microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Membaca dan mengonfigurasi sesi pemulihan untuk Exchange Online di Microsoft 365 Backup |
| microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Mengelola semua titik pemulihan yang terkait dengan kotak surat Exchange Online yang dipilih di M365 Backup |
| microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Mengelola kotak surat yang ditambahkan ke kebijakan perlindungan Exchange Online di Microsoft 365 Backup |
| microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Mengelola kotak surat yang ditambahkan untuk memulihkan sesi untuk Exchange Online di Microsoft 365 Backup |
| microsoft.directory/groups/hiddenMembers/read | Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups.unified/basic/update | Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/create | Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/delete | Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/members/update | Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/owners/update | Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/restore | Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran |
| microsoft.office365.exchange/allEntities/basic/allTasks | Mengelola semua aspek Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Penerima Exchange
Pengguna dengan peran ini memiliki akses baca ke penerima dan akses menulis ke atribut penerima tersebut di Exchange Online. Untuk informasi selengkapnya, lihat Penerima di Server Exchange.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.exchange/migration/allProperties/allTasks | Mengelola semua tugas yang terkait dengan migrasi penerima di Exchange Online |
| microsoft.office365.exchange/recipients/allProperties/allTasks | Membuat dan menghapus semua penerima, serta membaca dan memperbarui semua properti penerima di Exchange Online |
Admin Alur Pengguna ID Eksternal
Pengguna dengan peran ini dapat membuat dan mengelola alur pengguna (juga disebut kebijakan "bawaan") di portal Microsoft Azure. Pengguna ini dapat menyesuaikan konten HTML/CSS/JavaScript, mengubah persyaratan MFA, memilih klaim dalam token, mengelola konektor API dan kredensial mereka, dan mengonfigurasi pengaturan sesi untuk semua alur pengguna di organisasi Microsoft Entra. Di sisi lain, peran ini tidak mencakup kemampuan untuk meninjau data pengguna atau membuat perubahan pada atribut yang disertakan dalam skema organisasi. Perubahan pada kebijakan IEF (juga dikenal sebagai kebijakan kustom) juga berada di luar cakupan peran ini.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Membaca dan mengonfigurasi alur pengguna di Azure Active Directory B2C |
Admin Atribut Alur Pengguna ID Eksternal
Pengguna dengan peran ini menambahkan atau menghapus atribut kustom yang tersedia untuk semua alur pengguna di organisasi Microsoft Entra. Dengan demikian, pengguna dengan peran ini dapat mengubah atau menambahkan elemen baru ke skema pengguna akhir dan memengaruhi perilaku semua alur pengguna dan secara tidak langsung mengakibatkan perubahan pada data apa yang mungkin diminta dari pengguna akhir dan akhirnya dikirim sebagai klaim ke aplikasi. Peran ini tidak dapat mengedit alur pengguna.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Membaca dan mengonfigurasi atribut pengguna di Azure Active Directory B2C |
Admin IdP Eksternal
Ini adalah peran istimewa. Administrator ini mengelola federasi antara organisasi Microsoft Entra dan penyedia identitas eksternal. Dengan peran ini, pengguna dapat menambahkan IdP baru dan mengonfigurasi semua pengaturan yang tersedia (misalnya jalur autentikasi, ID layanan, kontainer kunci yang ditetapkan). Pengguna ini dapat mengaktifkan organisasi Microsoft Entra untuk mempercayai autentikasi dari penyedia identitas eksternal. Dampak yang dihasilkan pada pengalaman pengguna akhir tergantung pada jenis organisasi:
- Organisasi Microsoft Entra untuk karyawan dan mitra: Penambahan federasi (misalnya dengan Gmail) akan segera berdampak pada semua undangan tamu yang belum ditukarkan. Lihat Menambahkan Google sebagai IdP untuk pengguna tamu B2B.
- Organisasi Azure Active Directory B2C: Penambahan federasi (misalnya, dengan Facebook, atau dengan organisasi Microsoft Entra lain) tidak segera memengaruhi alur pengguna akhir hingga penyedia identitas ditambahkan sebagai opsi dalam alur pengguna (juga disebut kebijakan bawaan). Lihat Mengonfigurasi akun Microsoft sebagai IdP sebagai contoh. Untuk mengubah alur pengguna, peran terbatas "Admin Aliran Pengguna B2C" diperlukan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/domains/federation/update | Memperbarui properti federasi domain |
| microsoft.directory/identityProviders/allProperties/allTasks | Membaca dan mengonfigurasi IdP di Azure Active Directory B2C |
Fabric Administrator
Pengguna dengan peran ini memiliki izin global dalam Microsoft Fabric dan Power BI, ketika layanan ada, serta kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan. Untuk informasi selengkapnya, lihat Memahami peran admin Fabric.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Mengelola semua aspek Fabric dan Power BI |
Administrator Global
Ini adalah peran istimewa. Pengguna dengan peran ini memiliki akses ke semua fitur administratif di ID Microsoft Entra, serta layanan yang menggunakan identitas Microsoft Entra seperti portal Pertahanan Microsoft 365, portal kepatuhan Microsoft Purview, Exchange Online, SharePoint Online, dan Skype for Business Online. Administrator Global dapat melihat log Aktivitas Direktori. Selain itu, Administrator Global dapat meningkatkan akses mereka untuk mengelola semua langganan dan grup manajemen Azure. Ini memungkinkan Administrator Global untuk mendapatkan akses penuh ke semua sumber daya Azure menggunakan penyewa Microsoft Entra masing-masing. Orang yang mendaftar ke organisasi Microsoft Entra menjadi Administrator Global. Mungkin ada lebih dari satu Administrator Global di perusahaan Anda. Administrator Global dapat mereset kata sandi untuk setiap pengguna dan semua admin lainnya. Administrator Global tidak dapat menghapus penetapan Administrator Global mereka sendiri. Ini untuk mencegah situasi di mana organisasi tidak memiliki Administrator Global.
Catatan
Sebagai praktik terbaik, Microsoft menyarankan agar Anda menetapkan peran Administrator Global menjadi kurang dari lima orang di organisasi Anda. Untuk informasi selengkapnya, lihat Praktik terbaik untuk peran Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Mengelola semua aspek Perlindungan Ancaman Tingkat Lanjut Azure |
| microsoft.azure.informationProtection/allEntities/allTasks | Mengelola semua aspek Perlindungan Informasi Azure |
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.backup/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft 365 Backup |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Mengelola semua aspek Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Mengelola semua aspek tagihan Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Membaca layanan pembelian di Pusat Admin M365. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Tidak digunakan lagi) Membuat dan menghapus tinjauan akses, membaca dan memperbarui semua properti tinjauan akses, dan mengelola tinjauan akses grup di ID Microsoft Entra |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Mengelola tinjauan akses semua sumber daya yang dapat ditinjau di ID Microsoft Entra |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Mengelola kebijakan permintaan persetujuan admin di ID Microsoft Entra |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Membuat dan mengelola unit administratif (termasuk anggota) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Membaca semua properti permintaan persetujuan untuk aplikasi yang terdaftar dengan ID Microsoft Entra |
| microsoft.directory/applications/allProperties/allTasks | Membuat dan menghapus aplikasi, serta membaca dan memperbarui semua properti |
| microsoft.directory/aplikasi/sinkronisasi/standar/baca | Membaca pengaturan provisi yang terkait dengan objek aplikasi |
| microsoft.directory/applicationTemplates/instantiate | Membuat instans aplikasi galeri dari templat aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Mengelola semua aspek kebijakan otorisasi |
| microsoft.directory/bitlockerKeys/key/read | Membaca metadata bitlocker dan kunci pada perangkat |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Mengelola semua properti kebijakan Akses Bersyar |
| microsoft.directory/connectorGroups/allProperties/read | Membaca semua properti grup konektor jaringan privat |
| microsoft.directory/connectorGroups/allProperties/update | Memperbarui semua properti grup konektor jaringan privat |
| microsoft.directory/connectorGroups/create | Membuat grup konektor jaringan privat |
| microsoft.directory/connectorGroups/delete | Menghapus grup konektor jaringan privat |
| microsoft.directory/connectors/allProperties/read | Membaca semua properti konektor jaringan privat |
| microsoft.directory/connector/create | Membuat konektor jaringan privat |
| microsoft.directory/contacts/allProperties/allTasks | Membuat dan menghapus kontak, serta membaca dan memperbarui semua properti |
| microsoft.directory/contracts/allProperties/allTasks | Membuat dan menghapus kontrak mitra, serta membaca dan memperbarui semua properti |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Perbarui pengaturan dasar kebijakan akses lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Memperbarui pengaturan kolaborasi Microsoft Entra B2B dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Memperbarui pengaturan koneksi langsung Microsoft Entra B2B dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Baca properti dasar kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Memperbarui pengaturan kolaborasi Microsoft Entra B2B dari kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Memperbarui pengaturan koneksi langsung Microsoft Entra B2B dari kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Buat kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Hapus kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Memperbarui pengaturan dasar kebijakan sinkronisasi lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Membuat kebijakan sinkronisasi lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Membaca properti dasar kebijakan sinkronisasi lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Membaca properti dasar kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Memperbarui templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Mengatur ulang templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa ke pengaturan default |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Membaca properti dasar templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Memperbarui templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Mengatur ulang templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa ke pengaturan default |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Membaca properti dasar templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Baca properti dasar kebijakan akses lintas penyewa |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Buat dan Kelola ekstensi autentikasi kustom |
| microsoft.directory/deletedItems/delete | Menghapus objek secara permanen, yang tidak dapat dipulihkan lagi |
| microsoft.directory/deletedItems/restore | Memulihkan objek yang dihapus sementara ke status asli |
| microsoft.directory/deviceLocalCredentials/password/read | Membaca semua properti kredensial akun administrator lokal yang dicadangkan untuk perangkat yang bergabung dengan Microsoft Entra, termasuk kata sandi |
| microsoft.directory/deviceManagementPolicies/basic/update | Memperbarui properti dasar pada manajemen perangkat seluler dan kebijakan manajemen aplikasi seluler |
| microsoft.directory/deviceManagementPolicies/standard/read | Membaca properti standar pada manajemen perangkat seluler dan kebijakan manajemen aplikasi seluler |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Memperbarui properti dasar pada kebijakan pendaftaran perangkat |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Membaca properti standar tentang kebijakan pendaftaran perangkat |
| microsoft.directory/devices/allProperties/allTasks | Membuat dan menghapus perangkat, serta membaca dan memperbarui semua properti |
| microsoft.directory/directoryRoles/allProperties/allTasks | Membuat dan menghapus peran direktori, serta membaca dan memperbarui semua properti |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Membuat dan menghapus templat peran Microsoft Entra, serta membaca dan memperbarui semua properti |
| microsoft.directory/domains/allProperties/allTasks | Membuat dan menghapus domain, serta membaca dan memperbarui semua properti |
| microsoft.directory/domains/federationConfiguration/basic/update | Memperbarui konfigurasi federasi dasar untuk domain |
| microsoft.directory/domains/federationConfiguration/create | Membuat konfigurasi federasi untuk domain |
| microsoft.directory/domains/federationConfiguration/delete | Menghapus konfigurasi federasi untuk domain |
| microsoft.directory/domains/federationConfiguration/standard/read | Membaca properti standar konfigurasi federasi untuk domain |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Microsoft Entra |
| microsoft.directory/externalUserProfiles/basic/update | Memperbarui properti dasar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/externalUserProfiles/delete | Menghapus profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/externalUserProfiles/standard/read | Membaca properti standar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/groups/allProperties/allTasks | Membuat dan menghapus grup, serta membaca dan memperbarui semua properti |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Memperbarui grup yang dapat diberikan peran |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Menetapkan lisensi ke grup yang dapat ditetapkan peran |
| microsoft.directory/groupsAssignableToRoles/create | Membuat grup yang dapat diberikan peran |
| microsoft.directory/groupsAssignableToRoles/delete | Menghapus grup yang dapat diberikan peran |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Memproses ulang penetapan lisensi ke grup yang dapat ditetapkan peran |
| microsoft.directory/groupsAssignableToRoles/restore | Memulihkan grup yang dapat diberikan peran |
| microsoft.directory/groupSettings/allProperties/allTasks | Membuat dan menghapus pengaturan grup, serta membaca dan memperbarui semua properti |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Membuat dan menghapus templat pengaturan grup, serta membaca dan memperbarui semua properti |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Mengelola kebijakan autentikasi hibrid di ID Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Microsoft Entra ID Protection |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Mengelola semua aspek alur kerja dan tugas siklus hidup di ID Microsoft Entra |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Membuat dan menghapus loginTenantBranding, serta membaca dan memperbarui semua properti |
| microsoft.directory/multiTenantOrganization/basic/update | Memperbarui properti dasar organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/create | Membuat organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Bergabung dengan organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Membaca properti permintaan gabungan organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/standard/read | Membaca properti dasar organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/create | Membuat penyewa di organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/delete | Menghapus penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Membaca detail organisasi penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Memperbarui properti dasar penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Membaca properti dasar penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/namedLocations/basic/update | Perbarui properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/create | Buat aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/delete | Hapus aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/standard/read | Baca properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti |
| microsoft.directory/onPremisesSynchronization/basic/update | Memperbarui informasi sinkronisasi direktori lokal dasar |
| microsoft.directory/onPremisesSynchronization/standard/read | Membaca informasi sinkronisasi direktori lokal standar |
| microsoft.directory/organization/allProperties/allTasks | Membaca dan memperbarui semua properti untuk suatu organisasi |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Mengelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di ID Microsoft Entra |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Memperbarui properti dasar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Membuat profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Menghapus profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Membaca properti standar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/permissionGrantPolicies/basic/update | Memperbarui properti dasar kebijakan pemberian izin |
| microsoft.directory/permissionGrantPolicies/create | Membuat kebijakan pemberian izin |
| microsoft.directory/permissionGrantPolicies/delete | Menghapus kebijakan pemberian izin |
| microsoft.directory/permissionGrantPolicies/standard/read | Membaca properti standar kebijakan pemberian izin |
| microsoft.directory/policies/allProperties/allTasks | Membuat dan menghapus kebijakan, serta membaca dan memperbarui semua properti |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Membaca semua sumber daya dalam Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Memperbarui konteks autentikasi Akses Bersyarkat dari tindakan sumber daya kontrol akses berbasis peran (RBAC) Microsoft 365 |
| microsoft.directory/roleAssignments/allProperties/allTasks | Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti |
| microsoft.directory/serviceAction/activateService | Dapat melakukan tindakan "aktifkan layanan" untuk layanan |
| microsoft.directory/serviceAction/disableDirectoryFeature | Dapat melakukan tindakan layanan "nonaktifkan fitur direktori". |
| microsoft.directory/serviceAction/enableDirectoryFeature | Dapat melakukan tindakan layanan "aktifkan fitur direktori" |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Dapat melakukan tindakan layanan getAvailableExtentionProperties |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Memperbarui properti dasar kebijakan pembuatan perwakilan layanan |
| microsoft.directory/servicePrincipalCreationPolicies/create | Membuat kebijakan pembuatan perwakilan layanan |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Menghapus kebijakan pembuatan perwakilan layanan |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Membaca properti standar kebijakan pembuatan perwakilan layanan |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Membuat dan menghapus perwakilan layanan, serta membaca dan memperbarui semua properti |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Memberikan persetujuan untuk izin apa pun untuk aplikasi apa pun |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Mengelola penyewa cloud ke rahasia dan kredensial provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Mulai, mulai ulang, dan jeda penyewa cloud ke pekerjaan sinkronisasi provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Membuat dan mengelola penyewa cloud ke pekerjaan dan skema sinkronisasi provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Kelola rahasia provisi aplikasi dan info masuk. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Mulai, mulai ulang, dan jeda pekerjaan sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Membeli dan mengelola langganan dan menghapus langganan |
| microsoft.directory/tenantManagement/tenants/create | Membuat penyewa baru di ID Microsoft Entra |
| microsoft.directory/users/allProperties/allTasks | Membuat dan menghapus pengguna, serta membaca dan memperbarui semua properti |
| microsoft.directory/users/authenticationMethods/basic/update | Memperbarui properti dasar metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/create | Memperbarui metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/delete | Menghapus metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/standard/read | Membaca properti standar metode autentikasi untuk pengguna |
| microsoft.directory/users/convertExternalToInternalMemberUser | Mengonversi pengguna eksternal ke pengguna internal |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Memperbarui konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Membaca kontrak kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Memperbarui kontrak kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Membaca kartu kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Mencabut kartu kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Membuat kontrak kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/create | Membuat konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/delete | Menghapus konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi dan menghapus semua kredensial yang dapat diverifikasi |
| microsoft.dynamics365/allEntities/allTasks | Mengelola semua aspek Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Mengelola semua aspek Microsoft Power Automate |
| microsoft.graph.dataConnect/allEntities/allProperties/allTasks | Mengelola aspek Microsoft Graph Data Connect |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Membuat, membaca, memperbarui, dan menghapus alamat pengiriman untuk klaim garansi perangkat keras Microsoft, termasuk alamat pengiriman yang dibuat oleh orang lain |
| microsoft.hardware.support/shippingStatus/allProperties/read | Membaca status pengiriman untuk klaim garansi perangkat keras Microsoft yang terbuka |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Membuat dan mengelola semua aspek klaim garansi perangkat keras Microsoft |
| microsoft.insights/allEntities/allProperties/allTasks | Mengelola semua aspek aplikasi Insights |
| microsoft.intune/allEntities/allTasks | Mengelola semua aspek Microsoft Intune |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft Entra Network Access |
| microsoft.office365.complianceManager/allEntities/allTasks | Mengelola semua aspek Manajer Kepatuhan Office 365 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Mengelola semua aspek Analitik Desktop |
| microsoft.office365.exchange/allEntities/basic/allTasks | Mengelola semua aspek Exchange Online |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Mengelola semua aspek kontainer SharePoint Embedded |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Membaca dan memperbarui semua properti pemahaman konten di pusat admin Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Membaca laporan analitik pemahaman konten di pusat admin Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Membaca dan memperbarui semua properti jaringan pengetahuan di pusat admin Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Mengelola visibilitas topik jaringan pengetahuan di pusat admin Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Mengelola sumber pembelajaran dan semua propertinya di Learning App. |
| microsoft.office365.lockbox/allEntities/allTasks | Mengelola semua aspek Customer Lockbox |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.messageCenter/securityMessages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Mengelola semua aspek migrasi Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Mengelola semua aspek penulisan Pesan Organisasi Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Mengelola semua aspek pusat Keamanan dan Kepatuhan |
| microsoft.office365.search/content/manage | Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Pusat Keamanan dan Kepatuhan Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Mengelola semua aspek Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Membaca dan memperbarui visibilitas pesan baru |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Mengelola semua aspek Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Mengelola semua aspek Manajemen Izin Microsoft Entra |
| microsoft.powerApps/allEntities/allTasks | Mengelola semua aspek Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Mengelola semua aspek Fabric dan Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Mengelola semua sumber daya di Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Mengelola semua aspek Tujuan Microsoft Viva |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft Viva Pulse |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Mengelola semua aspek Pertahanan Microsoft untuk Titik Akhir |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Membaca dan mengonfigurasikan semua aspek Layanan Windows Update |
Pembaca Global
Ini adalah peran istimewa. Pengguna dalam peran ini dapat membaca pengaturan dan informasi administratif di seluruh layanan Microsoft 365 tetapi tidak dapat mengambil tindakan manajemen. Pembaca Global adalah rekan baca-saja untuk Administrator Global. Tetapkan Pembaca Global alih-alih Administrator Global untuk perencanaan, audit, atau investigasi. Gunakan Pembaca Global dalam kombinasi dengan peran admin terbatas lainnya seperti Admin Exchange untuk mempermudah pekerjaan tanpa menetapkan peran Administrator Global. Pembaca Global bekerja dengan pusat admin Microsoft 365, pusat admin Exchange, pusat admin SharePoint, pusat admin Teams, portal Pertahanan Microsoft 365, portal kepatuhan Microsoft Purview, portal Azure, dan Manajemen Perangkat pusat admin.
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat mengakses area Layanan Pembelian di pusat admin Microsoft 365.
Catatan
Peran Pembaca Global memiliki batasan berikut:
- Pusat admin OneDrive - Pusat admin OneDrive tidak mendukung peran Pembaca Global
- Portal Pertahanan Microsoft 365 - Pembaca Global tidak dapat membaca log audit SCC, melakukan pencarian konten, atau melihat Skor Aman.
- Pusat admin Teams - Pembaca Global tidak dapat membaca siklus hidup Teams, Analitik & laporan, manajemen perangkat telepon IP, dan Katalog aplikasi. Untuk informasi selengkapnya, lihat Menggunakan peran administrator Microsoft Teams untuk mengelola Teams.
- Privileged Access Management tidak mendukung peran Pembaca Global.
- Perlindungan Informasi Azure - Pembaca Global hanya didukung untuk pelaporan pusat, dan saat organisasi Microsoft Entra Anda tidak berada di platform pelabelan terpadu.
- SharePoint - Pembaca Global memiliki akses baca ke cmdlet SharePoint Online PowerShell dan API Baca.
- Pusat admin Power Platform - Pusat admin Power Platform saat ini tidak mendukung Pembaca Global.
- Microsoft Purview tidak mendukung peran Pembaca Global.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.backup/allEntities/allProperties/read | Membaca semua aspek Microsoft 365 Backup |
| microsoft.cloudPC/allEntities/allProperties/read | Membaca semua aspek Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Membaca semua sumber daya tagihan Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Membaca layanan pembelian di Pusat Admin M365. |
| microsoft.directory/accessReviews/allProperties/read | (Tidak digunakan lagi) Baca semua properti ulasan akses |
| microsoft.directory/accessReviews/definitions/allProperties/read | Membaca semua properti tinjauan akses semua sumber daya yang dapat ditinjau di ID Microsoft Entra |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Membaca semua properti kebijakan permintaan persetujuan admin di ID Microsoft Entra |
| microsoft.directory/administrativeUnits/allProperties/read | Baca semua properti unit administratif, termasuk anggota |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Membaca semua properti permintaan persetujuan untuk aplikasi yang terdaftar dengan ID Microsoft Entra |
| microsoft.directory/applications/allProperties/read | Baca semua properti (termasuk properti istimewa) di semua jenis aplikasi |
| microsoft.directory/aplikasi/sinkronisasi/standar/baca | Membaca pengaturan provisi yang terkait dengan objek aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/bitlockerKeys/key/read | Membaca metadata bitlocker dan kunci pada perangkat |
| microsoft.directory/cloudAppSecurity/allProperties/read | Membaca semua properti untuk Aplikasi Defender untuk Cloud |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Membaca semua properti kebijakan Akses Bersyar |
| microsoft.directory/connectorGroups/allProperties/read | Membaca semua properti grup konektor jaringan privat |
| microsoft.directory/connectors/allProperties/read | Membaca semua properti konektor jaringan privat |
| microsoft.directory/contacts/allProperties/read | Membaca semua properti untuk kontak |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Baca properti dasar kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Membaca properti dasar kebijakan sinkronisasi lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Membaca properti dasar kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Membaca properti dasar templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Membaca properti dasar templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Baca properti dasar kebijakan akses lintas penyewa |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Baca ekstensi autentikasi kustom |
| microsoft.directory/deviceLocalCredentials/standard/read | Membaca semua properti kredensial akun administrator lokal yang dicadangkan untuk perangkat yang bergabung dengan Microsoft Entra, kecuali kata sandi |
| microsoft.directory/deviceManagementPolicies/standard/read | Membaca properti standar pada manajemen perangkat seluler dan kebijakan manajemen aplikasi seluler |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Membaca properti standar tentang kebijakan pendaftaran perangkat |
| microsoft.directory/devices/allProperties/read | Membaca semua properti perangkat |
| microsoft.directory/directoryRoles/allProperties/read | Membaca semua properti peran direktori |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Membaca semua properti templat peran direktori |
| microsoft.directory/domains/allProperties/read | Membaca semua properti domain |
| microsoft.directory/domains/federationConfiguration/standard/read | Membaca properti standar konfigurasi federasi untuk domain |
| microsoft.directory/entitlementManagement/allProperties/read | Membaca semua properti dalam pengelolaan pemberian hak Microsoft Entra |
| microsoft.directory/externalUserProfiles/standard/read | Membaca properti standar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/groups/allProperties/read | Baca semua properti (termasuk properti dengan hak istimewa) di grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groupSettings/allProperties/read | Membaca semua properti pengaturan grup |
| microsoft.directory/groupSettingTemplates/allProperties/read | Membaca semua properti templat pengaturan grup |
| microsoft.directory/identityProtection/allProperties/read | Membaca semua sumber daya di Microsoft Entra ID Protection |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Membaca semua properti alur kerja dan tugas siklus hidup di ID Microsoft Entra |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Membaca semua properti untuk halaman masuk bermerek organisasi Anda |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Membaca properti permintaan gabungan organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/standard/read | Membaca properti dasar organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Membaca detail organisasi penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Membaca properti dasar penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/namedLocations/standard/read | Baca properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Membaca semua properti pemberian izin OAuth 2.0 |
| microsoft.directory/organization/allProperties/read | Baca semua properti untuk suatu organisasi |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Membaca properti standar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Membaca properti standar kebijakan pemberian izin |
| microsoft.directory/policies/allProperties/read | Membaca semua properti kebijakan |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Membaca semua sumber daya dalam Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/roleAssignments/allProperties/read | Membaca semua properti penetapan peran |
| microsoft.directory/roleDefinitions/allProperties/read | Membaca semua properti definisi peran |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Melihat anggota di unit administratif |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Dapat melakukan tindakan layanan getAvailableExtentionProperties |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Membaca properti standar kebijakan pembuatan perwakilan layanan |
| microsoft.directory/servicePrincipals/allProperties/baca | Membaca semua properti (termasuk properti istimewa) pada servicePrincipals |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.directory/subscribedSkus/allProperties/read | Membaca semua properti langganan produk |
| microsoft.directory/users/allProperties/read | Membaca semua properti pengguna |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Membaca properti standar metode autentikasi yang tidak menyertakan informasi pengidentifikasi pribadi bagi pengguna |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Membaca kontrak kredensial yang dapat diverifikasi |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Membaca kartu kredensial yang dapat diverifikasi |
| microsoft.edge/allEntities/allProperties/read | Membaca semua aspek Microsoft Edge |
| microsoft.graph.dataConnect/allEntities/allProperties/read | Membaca aspek Microsoft Graph Data Connect |
| microsoft.hardware.support/shippingAddress/allProperties/read | Membaca alamat pengiriman untuk klaim garansi perangkat keras Microsoft, termasuk alamat pengiriman yang ada yang dibuat oleh orang lain |
| microsoft.hardware.support/shippingStatus/allProperties/read | Membaca status pengiriman untuk klaim garansi perangkat keras Microsoft yang terbuka |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Membaca klaim garansi perangkat keras Microsoft |
| microsoft.insights/allEntities/allProperties/read | Membaca semua aspek Insight Viva |
| microsoft.networkAccess/allEntities/allProperties/read | Membaca semua aspek Microsoft Entra Network Access |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/read | Membaca entitas dan izin kontainer SharePoint Embedded |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.messageCenter/securityMessages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Membaca semua aspek Pesan Organisasi Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Membaca semua properti di pusat Keamanan dan Kepatuhan |
| microsoft.office365.securityComplianceCenter/allEntities/read | Membaca properti standar di Pusat Keamanan dan Kepatuhan Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Membaca semua aspek Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Membaca semua aspek Manajemen Izin Microsoft Entra |
| microsoft.teams/allEntities/allProperties/read | Membaca semua properti Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Membaca semua aspek Kunjungan Virtual |
| microsoft.viva.goals/allEntities/allProperties/read | Membaca semua aspek Tujuan Microsoft Viva |
| microsoft.viva.pulse/allEntities/allProperties/read | Membaca semua aspek Microsoft Viva Pulse |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Baca semua aspek Layanan Windows Update |
Administrator Akses Aman Global
Tetapkan peran Administrator Akses Aman Global kepada pengguna yang perlu melakukan hal berikut:
- Membuat dan mengelola semua aspek Akses Internet Microsoft Entra dan Akses Privat Microsoft Entra
- Mengelola akses ke titik akhir publik dan privat
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat mengelola aplikasi perusahaan, pendaftaran aplikasi, Akses Bersyar, atau pengaturan proksi aplikasi
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/applicationPolicies/standard/read | Membaca properti standar kebijakan aplikasi |
| microsoft.directory/applications/applicationProxy/read | Membaca semua properti proksi aplikasi |
| microsoft.directory/applications/owners/read | Membaca pemilik aplikasi |
| microsoft.directory/applications/policies/read | Membaca kebijakan aplikasi |
| microsoft.directory/applications/standard/read | Membaca properti standar aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/conditionalAccessPolicies/standard/read | Membaca Akses Bersyarah untuk kebijakan |
| microsoft.directory/connectorGroups/allProperties/read | Membaca semua properti grup konektor jaringan privat |
| microsoft.directory/connectors/allProperties/read | Membaca semua properti konektor jaringan privat |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Baca properti dasar kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Membaca properti dasar kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Baca properti dasar kebijakan akses lintas penyewa |
| microsoft.directory/namedLocations/standard/read | Baca properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft Entra Network Access |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Grup
Pengguna dalam peran ini dapat membuat/mengelola grup dan pengaturannya seperti kebijakan penamaan dan kedaluwarsa. Penting untuk dipahami bahwa menetapkan pengguna untuk peran ini memberi mereka kemampuan untuk mengelola semua grup di organisasi di berbagai beban kerja seperti Teams, SharePoint, Yammer, dan Outlook. Pengguna juga akan dapat mengelola berbagai pengaturan grup di berbagai portal admin seperti Microsoft Admin Center, portal Microsoft Azure, serta beban kerja yang spesifik seperti pusat admin Teams dan SharePoint.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/deletedItems.groups/delete | Menghapus grup secara permanen, yang tidak dapat dipulihkan lagi |
| microsoft.directory/deletedItems.groups/restore | Memulihkan grup yang dihapus sementara ke status asli |
| microsoft.directory/groups/assignLicense | Menetapkan lisensi produk ke grup untuk lisensi berbasis grup |
| microsoft.directory/groups/basic/update | Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/classification/update | Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/create | Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/delete | Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/dynamicMembershipRule/update | Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/groupType/update | Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/hiddenMembers/read | Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/members/update | Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/onPremWriteBack/update | Memperbarui grup Microsoft Entra untuk ditulis kembali ke lokal dengan Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/reprocessLicenseAssignment | Memproses ulang penugasan lisensi untuk lisensi berbasis grup |
| microsoft.directory/groups/restore | Memulihkan grup dari kontainer yang dihapus dengan lembut |
| microsoft.directory/groups/settings/update | Memperbarui pengaturan grup |
| microsoft.directory/groups/visibility/update | Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Pengundang Tamu
Pengguna dalam peran ini dapat mengelola undangan pengguna tamu Microsoft Entra B2B saat Anggota dapat mengundang pengaturan pengguna diatur ke Tidak. Informasi selengkapnya tentang kolaborasi B2B di Tentang kolaborasi Microsoft Entra B2B. Ini tidak termasuk izin lainnya.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | Membaca penetapan peran aplikasi untuk pengguna |
| microsoft.directory/users/deviceForResourceAccount/read | Membaca deviceForResourceAccount pengguna |
| microsoft.directory/users/directReports/read | Membaca laporan langsung untuk pengguna |
| microsoft.directory/users/invitedBy/read | Membaca pengguna yang mengundang pengguna eksternal ke penyewa |
| microsoft.directory/users/inviteGuest | Mengundang pengguna tamu |
| microsoft.directory/users/licenseDetails/read | Membaca detail lisensi pengguna |
| microsoft.directory/users/manager/read | Membaca manajer pengguna |
| microsoft.directory/users/memberOf/read | Membaca keanggotaan grup pengguna |
| microsoft.directory/users/oAuth2PermissionGrants/read | Membaca pemberian izin yang didelegasikan pada pengguna |
| microsoft.directory/users/ownedDevices/read | Membaca perangkat yang dimiliki pengguna |
| microsoft.directory/users/ownedObjects/read | Membaca objek yang dimiliki pengguna |
| microsoft.directory/users/photo/read | Membaca foto pengguna |
| microsoft.directory/users/registeredDevices/read | Membaca perangkat pengguna yang terdaftar |
| microsoft.directory/users/scopedRoleMemberOf/read | Membaca keanggotaan pengguna dari peran Microsoft Entra, yang tercakup ke unit administratif |
| microsoft.directory/users/sponsors/read | Membaca sponsor pengguna |
| microsoft.directory/users/standard/read | Membaca properti dasar pada pengguna |
Administrator Bantuan Teknis
Ini adalah peran istimewa. Pengguna dengan peran ini dapat mengubah kata sandi, membatalkan token refresh, membuat dan mengelola permintaan dukungan dengan Microsoft untuk Azure dan layanan Microsoft 365, dan memantau kesehatan layanan. Membatalkan token refresh memaksa pengguna untuk masuk lagi. Apakah Admin Bantuan Teknis dapat mereset kata sandi pengguna dan membatalkan token refresh bergantung pada peran yang ditetapkan pengguna. Untuk daftar peran yang kata sandinya dapat diatur ulang dan validasi token refreshnya dapat dibatalkan oleh Administrator Helpdesk, lihat Siapa yang dapat mengatur ulang kata sandi.
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat mengubah kredensial atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan peran.
Penting
Pengguna dengan peran ini dapat mengubah kata sandi untuk orang yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di dalam dan di luar ID Microsoft Entra. Mengubah kata sandi seorang pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:
- Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di ID Microsoft Entra dan di tempat lain yang tidak diberikan kepada Administrator Helpdesk. Melalui jalur ini, seorang Admin Helpdesk mungkin dapat mengasumsikan identitas seorang pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui informasi masuk untuk aplikasinya.
- Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di Azure.
- Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau privat atau konfigurasi penting di ID Microsoft Entra dan di tempat lain.
- Administrator di layanan lain di luar ID Microsoft Entra seperti Exchange Online, portal Pertahanan Microsoft 365, portal kepatuhan Microsoft Purview, dan sistem sumber daya manusia.
- Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.
Mendelegasikan izin administratif atas subkumpulan pengguna dan menerapkan kebijakan ke subkumpulan pengguna dimungkinkan dengan Unit Administratif.
Peran ini sebelumnya bernama Administrator Kata Sandi di portal Azure. Nama ini diganti namanya menjadi Administrator Helpdesk untuk menyelaraskan dengan nama yang ada di Microsoft Graph API dan Microsoft Graph PowerShell.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/bitlockerKeys/key/read | Membaca metadata bitlocker dan kunci pada perangkat |
| microsoft.directory/deviceLocalCredentials/standard/read | Membaca semua properti kredensial akun administrator lokal yang dicadangkan untuk perangkat yang bergabung dengan Microsoft Entra, kecuali kata sandi |
| microsoft.directory/users/invalidateAllRefreshTokens | Memaksa keluar dengan membatalkan validasi token refresh pengguna |
| microsoft.directory/users/password/update | Mengatur ulang kata sandi untuk semua pengguna |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Identitas Hibrid
Ini adalah peran istimewa. Pengguna dalam peran ini dapat membuat, mengelola, dan menyebarkan penyiapan konfigurasi provisi dari Direktori Aktif ke ID Microsoft Entra menggunakan Provisi Cloud serta mengelola Microsoft Entra Connect, autentikasi pass-through (PTA), sinkronisasi hash kata sandi (PHS), akses menyeluruh tanpa hambatan (SSO tanpa hambatan), dan pengaturan federasi. Tidak memiliki akses untuk mengelola Microsoft Entra Connect Health. Pengguna juga dapat memecahkan masalah dan memantau log menggunakan peran ini.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/applications/appRoles/update | Memperbarui properti appRoles pada semua jenis aplikasi |
| microsoft.directory/applications/audience/update | Memperbarui properti audiens untuk aplikasi |
| microsoft.directory/applications/authentication/perbarui | Memperbarui autentikasi pada semua jenis aplikasi |
| microsoft.directory/applications/basic/update | Memperbarui properti dasar untuk aplikasi |
| microsoft.directory/applications/create | Membuat semua jenis aplikasi |
| microsoft.directory/applications/delete | Menghapus semua jenis aplikasi |
| microsoft.directory/applications/notes/update | Memperbarui catatan aplikasi |
| microsoft.directory/applications/owners/update | Memperbarui pemilik aplikasi |
| microsoft.directory/applications/permissions/update | Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi |
| microsoft.directory/applications/policies/update | Memperbarui kebijakan aplikasi |
| microsoft.directory/aplikasi/sinkronisasi/standar/baca | Membaca pengaturan provisi yang terkait dengan objek aplikasi |
| microsoft.directory/applications/tag/update | Memperbarui tag aplikasi |
| microsoft.directory/applicationTemplates/instantiate | Membuat instans aplikasi galeri dari templat aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Membaca dan mengonfigurasi semua properti layanan provisi cloud Microsoft Entra. |
| microsoft.directory/deletedItems.applications/delete | Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi |
| microsoft.directory/deletedItems.applications/restore | Memulihkan aplikasi yang dihapus sementara ke keadaan asli |
| microsoft.directory/domains/allProperties/read | Membaca semua properti domain |
| microsoft.directory/domains/federationConfiguration/basic/update | Memperbarui konfigurasi federasi dasar untuk domain |
| microsoft.directory/domains/federationConfiguration/create | Membuat konfigurasi federasi untuk domain |
| microsoft.directory/domains/federationConfiguration/delete | Menghapus konfigurasi federasi untuk domain |
| microsoft.directory/domains/federationConfiguration/standard/read | Membaca properti standar konfigurasi federasi untuk domain |
| microsoft.directory/domains/federation/update | Memperbarui properti federasi domain |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Mengelola kebijakan autentikasi hibrid di ID Microsoft Entra |
| microsoft.directory/onPremisesSynchronization/basic/update | Memperbarui informasi sinkronisasi direktori lokal dasar |
| microsoft.directory/onPremisesSynchronization/standard/read | Membaca informasi sinkronisasi direktori lokal standar |
| microsoft.directory/organization/dirSync/update | Memperbarui properti sinkronisasi direktori organisasi |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Mengelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di ID Microsoft Entra |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/audience/perbarui | Memperbarui properti audiens pada perwakilan layanan |
| microsoft.directory/servicePrincipals/authentication/perbarui | Memperbarui properti autentikasi pada perwakilan layanan |
| microsoft.directory/servicePrincipals/basic/update | Memperbarui properti dasar pada perwakilan layanan |
| microsoft.directory/servicePrincipals/buat | Membuat prinsipal layanan |
| microsoft.directory/servicePrincipals/hapus | Menghapus perwakilan layanan |
| microsoft.directory/servicePrincipals/disable | Menonaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/aktifkan | Mengaktifkan perwakilan layanan |
| microsoft.directory/servicePrincipals/notes/update | Memperbarui catatan perwakilan layanan |
| microsoft.directory/servicePrincipals/owners/update | Memperbarui pemilik perwakilan layanan |
| microsoft.directory/servicePrincipals/permissions/update | Memperbarui izin perwakilan layanan |
| microsoft.directory/servicePrincipals/policies/perbarui | Memperbarui kebijakan perwakilan layanan |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Mengelola penyewa cloud ke rahasia dan kredensial provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | Mulai, mulai ulang, dan jeda penyewa cloud ke pekerjaan sinkronisasi provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | Membuat dan mengelola penyewa cloud ke pekerjaan dan skema sinkronisasi provisi aplikasi penyewa cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Kelola rahasia provisi aplikasi dan info masuk. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Mulai, mulai ulang, dan jeda pekerjaan sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Mengelola rahasia dan info masuk provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Memulai, memulai ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda |
| microsoft.directory/servicePrincipals/tag/perbarui | Memperbarui properti tag untuk perwakilan layanan |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.directory/users/authorizationInfo/update | Memperbarui properti ID pengguna Sertifikat multiniorasi pengguna |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Tata Kelola Identitas
Pengguna dengan peran ini dapat mengelola konfigurasi Tata Kelola ID Microsoft Entra, termasuk paket akses, tinjauan akses, katalog dan kebijakan, memastikan akses disetujui dan ditinjau dan pengguna tamu yang tidak lagi memerlukan akses dihapus.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Tidak digunakan lagi) Membuat dan menghapus tinjauan akses, membaca dan memperbarui semua properti tinjauan akses, dan mengelola tinjauan akses grup di ID Microsoft Entra |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Mengelola tinjauan akses penetapan peran aplikasi di ID Microsoft Entra |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Kelola tinjauan akses untuk penetapan paket akses dalam pengelolaan pemberian hak |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Perbarui semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, tidak termasuk grup yang dapat ditetapkan peran. |
| microsoft.directory/accessReviews/definitions.groups/create | Buat ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Hapus ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365. |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Microsoft Entra |
| microsoft.directory/groups/members/update | Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
Administrator Insight
Pengguna dalam peran ini dapat mengakses set lengkap kemampuan administratif di aplikasi Microsoft Viva Insights. Peran ini memiliki kemampuan untuk membaca informasi direktori, memantau kesehatan layanan, mengajukan tiket dukungan, dan mengakses aspek pengaturan Administrator Insights.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.insights/allEntities/allProperties/allTasks | Mengelola semua aspek aplikasi Insights |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Analis Insights
Tetapkan peran Analis Insights kepada pengguna yang perlu melakukan hal berikut:
- Menganalisis data di aplikasi Microsoft Viva Insights, tetapi tidak dapat mengelola pengaturan konfigurasi apa pun
- Buat, kelola, dan jalankan kueri
- Melihat pengaturan dan laporan dasar di pusat admin Microsoft 365
- Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365
| Tindakan | Deskripsi |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Menjalankan dan mengelola kueri di Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Pemimpin Bisnis Insights
Pengguna dalam peran ini dapat mengakses set dasbor dan insight melalui aplikasi Microsoft Viva Insights. Hal ini termasuk akses penuh ke semua dasbor serta insight yang disediakan dan fungsi eksplorasi data. Pengguna dalam peran ini tidak memiliki akses ke pengaturan konfigurasi produk, yang merupakan tanggung jawab peran Administrator Insights.
| Tindakan | Deskripsi |
|---|---|
| microsoft.insights/programs/allProperties/update | Menyebarkan dan mengelola program di aplikasi Insights |
| microsoft.insights/reports/allProperties/read | Melihat laporan dan dasbor di aplikasi Insights |
Admin Intune
Ini adalah peran istimewa. Pengguna dengan peran ini memiliki izin global dalam Microsoft Intune Online, ketika layanan tersedia. Selain itu, peran ini memiliki kemampuan untuk mengelola pengguna dan perangkat untuk mengaitkan kebijakan, serta membuat dan mengelola grup. Untuk informasi selengkapnya, lihat Kontrol administrasi berbasis peran (RBAC) dengan Microsoft Intune.
Peran ini dapat membuat dan mengelola semua grup keamanan. Namun, Administrator Intune tidak memiliki hak admin atas grup Office. Itu berarti admin tidak bisa memperbarui pemilik atau keanggotaan semua grup Office dalam organisasi. Namun, dia dapat mengelola grup Office yang dibuatnya yang menjadi sebagai bagian dari hak istimewa pengguna akhir. Jadi, setiap grup Office (bukan grup keamanan) yang dibuatnya harus dihitung berdasarkan kuota 250 miliknya.
Catatan
Di Microsoft Graph API dan Microsoft Graph PowerShell, peran ini diberi nama Administrator Layanan Intune. Dalam portal Azure, nama ini bernama Administrator Intune.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Mengelola semua aspek Windows 365 |
| microsoft.directory/bitlockerKeys/key/read | Membaca metadata bitlocker dan kunci pada perangkat |
| microsoft.directory/contacts/basic/update | Memperbarui properti dasar pada kontak |
| microsoft.directory/contacts/create | Membuat kontak |
| microsoft.directory/contacts/delete | Menghapus kontak |
| microsoft.directory/deletedItems.devices/delete | Menghapus perangkat secara permanen, yang tidak dapat lagi dipulihkan |
| microsoft.directory/deletedItems.devices/restore | Memulihkan perangkat yang dihapus sementara ke status asli |
| microsoft.directory/deviceLocalCredentials/password/read | Membaca semua properti kredensial akun administrator lokal yang dicadangkan untuk perangkat yang bergabung dengan Microsoft Entra, termasuk kata sandi |
| microsoft.directory/deviceManagementPolicies/standard/read | Membaca properti standar pada manajemen perangkat seluler dan kebijakan manajemen aplikasi seluler |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Membaca properti standar tentang kebijakan pendaftaran perangkat |
| microsoft.directory/devices/basic/update | Memperbarui properti dasar pada perangkat |
| microsoft.directory/devices/create | Membuat perangkat (mendaftar di ID Microsoft Entra) |
| microsoft.directory/devices/delete | Menghapus perangkat dari ID Microsoft Entra |
| microsoft.directory/devices/disable | Menonaktifkan perangkat di ID Microsoft Entra |
| microsoft.directory/devices/enable | Mengaktifkan perangkat di ID Microsoft Entra |
| microsoft.directory/devices/extensionAttributeSet1/update | Memperbarui extensionAttribute1 ke properti extensionAttribute5 di perangkat |
| microsoft.directory/devices/extensionAttributeSet2/update | Memperbarui extensionAttribute6 ke properti extensionAttribute10 di perangkat |
| microsoft.directory/devices/extensionAttributeSet3/update | Memperbarui extensionAttribute11 ke properti extensionAttribute15 di perangkat |
| microsoft.directory/devices/registeredOwners/update | Memperbarui pemilik terdaftar perangkat |
| microsoft.directory/devices/registeredUsers/update | Memperbarui pengguna terdaftar perangkat |
| microsoft.directory/groups/hiddenMembers/read | Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups.security/basic/update | Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/classification/update | Memperbarui properti klasifikasi grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/create | Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/delete | Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Memperbarui aturan keanggotaan dinamis dalam Kelompok keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/members/update | Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/owners/update | Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/visibility/update | Memperbarui properti visibilitas grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/users/basic/update | Memperbarui properti dasar pada pengguna |
| microsoft.directory/users/manager/update | Memperbarui pengelola untuk pengguna |
| microsoft.directory/users/photo/update | Memperbarui foto pengguna |
| microsoft.intune/allEntities/allTasks | Mengelola semua aspek Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Membaca semua aspek Pesan Organisasi Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Kaizala
Pengguna dengan peran ini memiliki izin global untuk mengelola pengaturan dalam Microsoft Kaizala, saat layanan tersedia, serta kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan. Selain itu, pengguna dapat mengakses laporan yang terkait dengan adopsi dan penggunaan Kaizala oleh anggota Organisasi dan laporan bisnis yang dihasilkan menggunakan tindakan Kaizala.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Pengetahuan
Pengguna dalam peran ini memiliki akses penuh ke semua pengetahuan, pembelajaran, dan fitur cerdas di pusat admin Microsoft 365. Mereka memiliki pemahaman umum tentang rangkaian produk, detail lisensi, dan memiliki tanggung jawab untuk mengontrol akses. Administrator pengetahuan dapat membuat dan mengelola konten, seperti topik, akronim, dan sumber pembelajaran. Selain itu, pengguna ini dapat membuat pusat konten, memantau kesehatan layanan, dan membuat permintaan layanan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/groups.security/basic/update | Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/create | Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/createAsOwner | Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran. Pembuat ditambahkan sebagai pemilik pertama. |
| microsoft.directory/groups.security/delete | Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/members/update | Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/owners/update | Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Membaca dan memperbarui semua properti pemahaman konten di pusat admin Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Membaca dan memperbarui semua properti jaringan pengetahuan di pusat admin Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Mengelola sumber pembelajaran dan semua propertinya di Learning App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Membaca semua properti label sensitivitas dalam Pusat Keamanan dan Kepatuhan |
| microsoft.office365.sharePoint/allEntities/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Manajer Pengetahuan
Pengguna dalam peran ini dapat membuat dan mengelola konten, seperti topik, akronim, dan konten pembelajaran. Pengguna ini terutama bertanggung jawab atas kualitas dan struktur pengetahuan. Pengguna ini memiliki hak penuh atas tindakan manajemen topik untuk mengonfirmasi topik, menyetujui pengeditan, atau menghapus topik. Peran ini juga dapat mengelola taksonomi sebagai bagian dari alat manajemen penyimpanan istilah dan membuat pusat konten.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/groups.security/basic/update | Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/create | Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/createAsOwner | Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran. Pembuat ditambahkan sebagai pemilik pertama. |
| microsoft.directory/groups.security/delete | Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/members/update | Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/owners/update | Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Membaca laporan analitik pemahaman konten di pusat admin Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Mengelola visibilitas topik jaringan pengetahuan di pusat admin Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Lisensi
Pengguna dalam peran ini dapat membaca, menambahkan, menghapus, dan memperbarui penetapan lisensi pada pengguna, grup (menggunakan lisensi berbasis grup), dan mengelola lokasi penggunaan pada pengguna. Peran ini tidak memberikan kemampuan untuk membeli atau mengelola langganan, membuat atau mengelola grup, atau membuat atau mengelola pengguna di luar lokasi penggunaan. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/groups/assignLicense | Menetapkan lisensi produk ke grup untuk lisensi berbasis grup |
| microsoft.directory/groups/reprocessLicenseAssignment | Memproses ulang penugasan lisensi untuk lisensi berbasis grup |
| microsoft.directory/users/assignLicense | Mengelola lisensi pengguna |
| microsoft.directory/users/reprocessLicenseAssignment | Memproses ulang penugasan lisensi untuk pengguna |
| microsoft.directory/users/usageLocation/update | Memperbarui lokasi penggunaan pengguna |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Alur Kerja Siklus Hidup
Ini adalah peran istimewa. Tetapkan peran Administrator Alur Kerja Siklus Hidup kepada pengguna yang perlu melakukan tugas-tugas berikut:
- Membuat dan mengelola semua aspek alur kerja dan tugas yang terkait dengan Alur Kerja Siklus Hidup di ID Microsoft Entra
- Memeriksa eksekusi alur kerja terjadwal
- Meluncurkan eksekusi alur kerja sesuai permintaan
- Memeriksa log eksekusi alur kerja
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Mengelola semua aspek alur kerja dan tugas siklus hidup di ID Microsoft Entra |
| microsoft.directory/organization/strongAuthentication/read | Membaca properti autentikasi organisasi yang kuat |
| microsoft.directory/users/lifeCycleInfo/read | Membaca informasi siklus hidup pengguna, seperti employeeLeaveDateTime |
Pembaca Privasi Pusat Pesan
Pengguna dalam peran ini dapat memantau semua pemberitahuan di Pusat Pesan, termasuk pesan privasi data. Pembaca Privasi Pusat Pesan mendapatkan pemberitahuan email termasuk yang terkait dengan privasi data dan mereka dapat berhenti berlangganan menggunakan Preferensi Pusat Pesan. Hanya Administrator Global dan Pembaca Privasi Pusat Pesan yang dapat membaca pesan privasi data. Selain itu, peran ini memiliki kemampuan untuk menampilkan grup, domain, dan langganan. Peran ini tidak memiliki izin untuk melihat, membuat, atau mengelola permintaan layanan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.messageCenter/securityMessages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Pembaca Pusat Pesan
Pengguna dalam peran ini dapat memantau pemberitahuan dan pembaruan kesehatan penasihat di Pusat pesan untuk organisasi mereka pada layanan yang dikonfigurasi seperti Exchange, Intune, dan Microsoft Teams. Pembaca Pusat Pesan menerima hash email mingguan berupa posting, pembaruan, dan dapat berbagi posting pusat pesan di Microsoft 365. Di ID Microsoft Entra, pengguna yang ditetapkan ke peran ini hanya akan memiliki akses baca-saja di layanan Microsoft Entra seperti pengguna dan grup. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Migrasi Microsoft 365
Tetapkan peran Administrator Migrasi Microsoft 365 kepada pengguna yang perlu melakukan tugas berikut:
- Gunakan Migration Manager di pusat admin Microsoft 365 untuk mengelola migrasi konten ke Microsoft 365, termasuk situs Teams, OneDrive for Business, dan SharePoint, dari Google Drive, Dropbox, Box, dan Egnyte
- Pilih sumber migrasi, buat inventori migrasi (seperti daftar pengguna Google Drive), jadwalkan dan jalankan migrasi, dan unduh laporan
- Buat situs SharePoint baru jika situs tujuan belum ada, buat daftar SharePoint di bawah situs admin SharePoint, dan buat dan perbarui item di daftar SharePoint
- Mengelola pengaturan proyek migrasi dan siklus hidup migrasi untuk tugas
- Mengelola pemetaan izin dari sumber ke tujuan
Catatan
Peran ini tidak memungkinkan Anda untuk bermigrasi dari sumber berbagi file menggunakan pusat admin SharePoint. Anda bisa menggunakan peran Administrator SharePoint untuk bermigrasi dari sumber berbagi file.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Mengelola semua aspek migrasi Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Lokal Perangkat Yang Bergabung dengan Microsoft Entra
Peran ini hanya tersedia untuk penetapan sebagai admin lokal tambahan di Pengaturan perangkat. Pengguna dengan peran ini menjadi administrator komputer lokal di semua perangkat Windows 10 yang bergabung ke ID Microsoft Entra. Mereka tidak memiliki kemampuan untuk mengelola objek perangkat di ID Microsoft Entra.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/groupSettings/standard/read | Membaca properti dasar pada pengaturan grup |
| microsoft.directory/groupSettingTemplates/standard/read | Membaca properti dasar pada templat pengaturan grup |
Administrator Garansi Perangkat Keras Microsoft
Tetapkan peran Administrator Garansi Perangkat Keras Microsoft kepada pengguna yang perlu melakukan tugas berikut:
- Buat klaim garansi baru untuk perangkat keras yang diproduksi Microsoft, seperti Surface dan HoloLens
- Mencari dan membaca klaim garansi yang dibuka atau ditutup
- Mencari dan membaca klaim garansi berdasarkan nomor seri
- Membuat, membaca, memperbarui, dan menghapus alamat pengiriman
- Membaca status pengiriman untuk klaim garansi terbuka
- Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365
- Baca Pengumuman pusat pesan di pusat admin Microsoft 365
Klaim garansi adalah permintaan untuk memperbaiki atau mengganti perangkat keras sesuai dengan ketentuan garansi. Untuk informasi selengkapnya, lihat Melayani sendiri garansi Permukaan & permintaan layanan Anda.
| Tindakan | Deskripsi |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Membuat, membaca, memperbarui, dan menghapus alamat pengiriman untuk klaim garansi perangkat keras Microsoft, termasuk alamat pengiriman yang dibuat oleh orang lain |
| microsoft.hardware.support/shippingStatus/allProperties/read | Membaca status pengiriman untuk klaim garansi perangkat keras Microsoft yang terbuka |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Membuat dan mengelola semua aspek klaim garansi perangkat keras Microsoft |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Microsoft Hardware Warranty Specialist
Tetapkan peran Microsoft Hardware Warranty Specialist kepada pengguna yang perlu melakukan tugas berikut:
- Buat klaim garansi baru untuk perangkat keras yang diproduksi Microsoft, seperti Surface dan HoloLens
- Membaca klaim garansi yang mereka buat
- Membaca dan memperbarui alamat pengiriman yang ada
- Membaca status pengiriman untuk klaim garansi terbuka yang mereka buat
- Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365
Klaim garansi adalah permintaan untuk memperbaiki atau mengganti perangkat keras sesuai dengan ketentuan garansi. Untuk informasi selengkapnya, lihat Melayani sendiri garansi Permukaan & permintaan layanan Anda.
| Tindakan | Deskripsi |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Membaca alamat pengiriman untuk klaim garansi perangkat keras Microsoft, termasuk alamat pengiriman yang ada yang dibuat oleh orang lain |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Membuat klaim garansi perangkat keras Microsoft di mana pembuat adalah pemiliknya |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.hardware.support/shippingStatus/allProperties/read | Membaca status pengiriman untuk klaim garansi perangkat keras Microsoft yang terbuka |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Membaca klaim garansi perangkat keras Microsoft |
Administrator Perdagangan Modern
Jangan gunakan. Peran ini secara otomatis ditetapkan dari Perdagangan, dan tidak dimaksudkan atau didukung untuk penggunaan lain. Lihat detail di bawah ini.
Peran Administrator Perdagangan Modern memberi pengguna tertentu izin untuk mengakses pusat admin Microsoft 365 dan melihat entri navigasi kiri untuk Beranda, Penagihan, dan Dukungan. Konten yang tersedia di area ini dikendalikan oleh peran khusus perdagangan yang ditetapkan kepada pengguna untuk mengelola produk yang mereka beli sendiri atau untuk organisasi Anda. Ini mungkin termasuk tugas seperti membayar tagihan, atau untuk akses ke akun penagihan dan profil penagihan.
Pengguna dengan peran Administrator Perdagangan Modern biasanya memiliki izin administratif di sistem pembelian Microsoft lainnya, tetapi tidak memiliki peran Administrator Global atau Administrator Penagihan yang digunakan untuk mengakses pusat admin.
Kapan peran Administrator Perdagangan Modern ditetapkan?
- Pembelian layanan mandiri di pusat admin Microsoft 365 - Pembelian layanan mandiri memberi pengguna kesempatan untuk mencoba produk baru dengan membeli atau mendaftar untuk mereka sendiri. Produk-produk ini dikelola di pusat admin. Pengguna yang melakukan pembelian layanan mandiri diberi peran dalam sistem perdagangan, dan peran Administrator Perdagangan Modern sehingga mereka dapat mengelola pembelian mereka di pusat admin. Admin dapat memblokir pembelian layanan mandiri (untuk Fabric, Power BI, Power Apps, Power Apps, Power automate) melalui PowerShell. Untuk informasi selengkapnya, lihat Tanya Jawab Umum pembelian mandiri.
- Pembelian dari marketplace komersial Microsoft – Mirip dengan pembelian layanan mandiri, saat pengguna membeli produk atau layanan dari Microsoft AppSource atau Marketplace Azure, peran Administrator Perdagangan Modern ditetapkan jika mereka tidak memiliki peran Administrator Global atau Administrator Penagihan. Dalam beberapa kasus, pengguna mungkin diblokir untuk melakukan pembelian ini. Untuk informasi selengkapnya, lihat Marketplace komersial Microsoft.
- Proposal dari Microsoft - Proposal adalah penawaran resmi dari Microsoft untuk organisasi Anda untuk membeli produk dan layanan Microsoft. Ketika orang yang menerima proposal tidak memiliki peran Administrator Global atau Administrator Penagihan dalam ID Microsoft Entra, mereka diberi peran khusus perdagangan untuk menyelesaikan proposal dan peran Administrator Perdagangan Modern untuk mengakses pusat admin. Ketika mereka mengakses pusat admin, mereka hanya dapat menggunakan fitur yang diotorisasi oleh peran khusus perdagangan mereka.
- Peran khusus perdagangan - Beberapa pengguna diberi peran khusus perdagangan. Jika pengguna bukan Administrator Global atau Administrator Penagihan, mereka mendapatkan peran Administrator Perdagangan Modern sehingga mereka dapat mengakses pusat admin.
Jika peran Administrator Perdagangan Modern tidak ditetapkan dari pengguna, mereka kehilangan akses ke pusat admin Microsoft 365. Jika mereka mengelola produk apa pun, baik untuk diri mereka sendiri atau untuk organisasi Anda, mereka tidak akan dapat mengelolanya. Ini mungkin termasuk menetapkan lisensi, mengubah metode pembayaran, membayar tagihan, atau tugas lain untuk mengelola langganan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Mengelola semua aspek Pusat Layanan Lisensi Volume |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/basic/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Jaringan
Pengguna dalam peran ini dapat meninjau rekomendasi arsitektur perimeter jaringan dari Microsoft yang didasarkan pada telemetri jaringan dari lokasi pengguna mereka. Performa jaringan untuk Microsoft 365 bergantung pada cermatnya arsitektur perimeter jaringan pelanggan perusahaan yang umumnya bersifat spesifik ke lokasi pengguna. Peran ini memungkinkan pengeditan lokasi pengguna yang ditemukan dan konfigurasi parameter jaringan untuk lokasi tersebut untuk memfasilitasi pengukuran telemetri yang ditingkatkan dan rekomendasi desain
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Mengelola semua aspek lokasi jaringan |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Aplikasi Office
Pengguna dalam peran ini dapat mengelola pengaturan cloud aplikasi Microsoft 365. Ini termasuk mengelola kebijakan cloud, manajemen unduhan layanan mandiri dan kemampuan untuk menampilkan laporan terkait aplikasi Office. Peran ini juga memberikan kemampuan untuk mengelola tiket dukungan, dan memantau kesehatan layanan di pusat admin utama. Pengguna yang ditetapkan untuk peran ini juga dapat mengelola komunikasi fitur baru di aplikasi Office.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Membaca dan memperbarui visibilitas pesan baru |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Branding Organisasi
Tetapkan peran Administrator Branding Organisasi kepada pengguna yang perlu melakukan tugas berikut:
- Mengelola semua aspek branding organisasi dalam penyewa
- Membaca, membuat, memperbarui, dan menghapus tema branding
- Mengelola tema branding default dan semua tema pelokalan branding
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Membuat dan menghapus loginTenantBranding, serta membaca dan memperbarui semua properti |
Pemberi Persetujuan Pesan Organisasi
Tetapkan peran Pemberi Persetujuan Pesan Organisasi kepada pengguna yang perlu melakukan tugas berikut:
- Meninjau, menyetujui, atau menolak pesan organisasi baru untuk pengiriman di pusat admin Microsoft 365 sebelum dikirim ke pengguna menggunakan platform Pesan Organisasi Microsoft 365
- Membaca semua aspek pesan organisasi
- Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Membaca semua aspek Pesan Organisasi Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | Menyetujui atau menolak pesan organisasi baru untuk pengiriman di pusat admin Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Penulis Pesan Organisasi
Tetapkan peran Penulis Pesan Organisasi kepada pengguna yang perlu melakukan tugas berikut:
- Menulis, menerbitkan, dan menghapus pesan organisasi menggunakan pusat admin Microsoft 365 atau Microsoft Intune
- Mengelola opsi pengiriman pesan organisasi menggunakan pusat admin Microsoft 365 atau Microsoft Intune
- Membaca hasil pengiriman pesan organisasi menggunakan pusat admin Microsoft 365 atau Microsoft Intune
- Menampilkan laporan penggunaan dan sebagian besar pengaturan di pusat admin Microsoft 365, tetapi tidak dapat membuat perubahan
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Mengelola semua aspek penulisan Pesan Organisasi Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Membaca laporan penggunaan agregat Office 365 tingkat penyewa |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Dukungan Mitra Tingkat1
Ini adalah peran istimewa. Jangan gunakan. Peran ini tidak digunakan lagi dan akan dihapus dari ID Microsoft Entra di masa mendatang. Peran ini ditujukan untuk penggunaan oleh sejumlah kecil mitra penjual kembali Microsoft, dan tidak dimaksudkan untuk penggunaan umum.
Penting
Peran ini dapat mengatur ulang kata sandi dan membatalkan token refresh hanya untuk non-administrator. Peran ini tidak boleh digunakan karena tidak digunakan lagi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/applications/appRoles/update | Memperbarui properti appRoles pada semua jenis aplikasi |
| microsoft.directory/applications/audience/update | Memperbarui properti audiens untuk aplikasi |
| microsoft.directory/applications/authentication/perbarui | Memperbarui autentikasi pada semua jenis aplikasi |
| microsoft.directory/applications/basic/update | Memperbarui properti dasar untuk aplikasi |
| microsoft.directory/applications/credentials/update | Memperbarui info masuk aplikasi |
| microsoft.directory/applications/notes/update | Memperbarui catatan aplikasi |
| microsoft.directory/applications/owners/update | Memperbarui pemilik aplikasi |
| microsoft.directory/applications/permissions/update | Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi |
| microsoft.directory/applications/policies/update | Memperbarui kebijakan aplikasi |
| microsoft.directory/applications/tag/update | Memperbarui tag aplikasi |
| microsoft.directory/contacts/basic/update | Memperbarui properti dasar pada kontak |
| microsoft.directory/contacts/create | Membuat kontak |
| microsoft.directory/contacts/delete | Menghapus kontak |
| microsoft.directory/deletedItems.groups/restore | Memulihkan grup yang dihapus sementara ke status asli |
| microsoft.directory/deletedItems.users/restore | Memulihkan pengguna yang dihapus sementara ke kondisi semula |
| microsoft.directory/groups/create | Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/delete | Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/members/update | Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/owners/update | Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/restore | Memulihkan grup dari kontainer yang dihapus dengan lembut |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/users/assignLicense | Mengelola lisensi pengguna |
| microsoft.directory/users/basic/update | Memperbarui properti dasar pada pengguna |
| microsoft.directory/users/create | Tambah pengguna |
| microsoft.directory/users/delete | Menghapus pengguna |
| microsoft.directory/users/disable | Menonaktifkan pengguna |
| microsoft.directory/users/enable | Mengaktifkan pengguna |
| microsoft.directory/users/invalidateAllRefreshTokens | Memaksa keluar dengan membatalkan validasi token refresh pengguna |
| microsoft.directory/users/manager/update | Memperbarui pengelola untuk pengguna |
| microsoft.directory/users/password/update | Mengatur ulang kata sandi untuk semua pengguna |
| microsoft.directory/users/photo/update | Memperbarui foto pengguna |
| microsoft.directory/users/restore | Memulihkan pengguna yang dihapus |
| microsoft.directory/users/userPrincipalName/update | Memperbarui Nama Prinsipal Pengguna milik pengguna |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Dukungan Mitra Tingkat2
Ini adalah peran istimewa. Jangan gunakan. Peran ini tidak digunakan lagi dan akan dihapus dari ID Microsoft Entra di masa mendatang. Peran ini ditujukan untuk penggunaan oleh sejumlah kecil mitra penjual kembali Microsoft, dan tidak dimaksudkan untuk penggunaan umum.
Penting
Peran ini dapat mengatur ulang kata sandi dan membatalkan token refresh untuk semua non-admin dan admin (termasuk Administrator Global). Peran ini tidak boleh digunakan karena tidak digunakan lagi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/applications/appRoles/update | Memperbarui properti appRoles pada semua jenis aplikasi |
| microsoft.directory/applications/audience/update | Memperbarui properti audiens untuk aplikasi |
| microsoft.directory/applications/authentication/perbarui | Memperbarui autentikasi pada semua jenis aplikasi |
| microsoft.directory/applications/basic/update | Memperbarui properti dasar untuk aplikasi |
| microsoft.directory/applications/credentials/update | Memperbarui info masuk aplikasi |
| microsoft.directory/applications/notes/update | Memperbarui catatan aplikasi |
| microsoft.directory/applications/owners/update | Memperbarui pemilik aplikasi |
| microsoft.directory/applications/permissions/update | Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi |
| microsoft.directory/applications/policies/update | Memperbarui kebijakan aplikasi |
| microsoft.directory/applications/tag/update | Memperbarui tag aplikasi |
| microsoft.directory/contacts/basic/update | Memperbarui properti dasar pada kontak |
| microsoft.directory/contacts/create | Membuat kontak |
| microsoft.directory/contacts/delete | Menghapus kontak |
| microsoft.directory/deletedItems.groups/restore | Memulihkan grup yang dihapus sementara ke status asli |
| microsoft.directory/deletedItems.users/restore | Memulihkan pengguna yang dihapus sementara ke kondisi semula |
| microsoft.directory/domains/allProperties/allTasks | Membuat dan menghapus domain, serta membaca dan memperbarui semua properti |
| microsoft.directory/groups/create | Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/delete | Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/members/update | Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/owners/update | Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/restore | Memulihkan grup dari kontainer yang dihapus dengan lembut |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti |
| microsoft.directory/organization/basic/update | Memperbarui properti dasar pada organisasi |
| microsoft.directory/roleAssignments/allProperties/allTasks | Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/subscribedSkus/standard/read | Membaca properti dasar pada langganan |
| microsoft.directory/users/assignLicense | Mengelola lisensi pengguna |
| microsoft.directory/users/basic/update | Memperbarui properti dasar pada pengguna |
| microsoft.directory/users/create | Tambah pengguna |
| microsoft.directory/users/delete | Menghapus pengguna |
| microsoft.directory/users/disable | Menonaktifkan pengguna |
| microsoft.directory/users/enable | Mengaktifkan pengguna |
| microsoft.directory/users/invalidateAllRefreshTokens | Memaksa keluar dengan membatalkan validasi token refresh pengguna |
| microsoft.directory/users/manager/update | Memperbarui pengelola untuk pengguna |
| microsoft.directory/users/password/update | Mengatur ulang kata sandi untuk semua pengguna |
| microsoft.directory/users/photo/update | Memperbarui foto pengguna |
| microsoft.directory/users/restore | Memulihkan pengguna yang dihapus |
| microsoft.directory/users/userPrincipalName/update | Memperbarui Nama Prinsipal Pengguna milik pengguna |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Kata Sandi
Ini adalah peran istimewa. Pengguna dengan peran ini memiliki kemampuan terbatas untuk mengelola kata sandi. Peran ini tidak memberikan kemampuan untuk mengelola permintaan layanan atau memantau kesehatan layanan. Apakah Admin Kata Sandi dapat mengatur ulang kata sandi pengguna tergantung pada peran yang ditetapkan pada pengguna. Untuk daftar peran yang kata sandinya dapat diatur ulang oleh Administrator Kata Sandi, lihat Siapa yang dapat mengatur ulang kata sandi.
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat mengubah kredensial atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan peran.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/users/password/update | Mengatur ulang kata sandi untuk semua pengguna |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Manajemen Izin
Tetapkan peran Administrator Manajemen Izin kepada pengguna yang perlu melakukan tugas berikut:
- Mengelola semua aspek Manajemen Izin Microsoft Entra, saat layanan ada
Pelajari selengkapnya tentang peran manajemen izin dan polisi di Melihat informasi tentang peran/kebijakan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Mengelola semua aspek Manajemen Izin Microsoft Entra |
Administrator Power Platform
Pengguna dalam peran ini dapat membuat dan mengelola semua aspek lingkungan, Power Apps, Alur, kebijakan Pencegahan Kehilangan Data. Selain itu, pengguna dengan peran ini memiliki kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.dynamics365/allEntities/allTasks | Mengelola semua aspek Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Mengelola semua aspek Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Mengelola semua aspek Power Apps |
Administrator Printer
Pengguna dalam peran ini dapat mendaftarkan printer dan mengelola semua aspek semua konfigurasi printer di solusi Microsoft Universal Print, termasuk pengaturan Universal Print Connector. Mereka dapat menyetujui semua permintaan izin cetak yang didelegasikan. Admin Printer juga memiliki akses untuk mencetak laporan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Membuat dan menghapus printer dan konektor, serta membaca dan memperbarui semua properti di Microsoft Print |
Teknisi Printer
Pengguna dengan peran ini dapat mendaftarkan printer dan mengelola status printer dalam solusi Microsoft Universal Print. Mereka juga dapat membaca semua informasi konektor. Tugas utama yang tidak bisa dilakukan Teknisi Printer adalah mengatur ijin pengguna pada printer dan printer berbagi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Membaca semua properti konektor di Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Membaca semua properti printer di Microsoft Print |
| microsoft.azure.print/printers/basic/update | Memperbarui properti dasar printer di Microsoft Print |
| microsoft.azure.print/printers/register | Mendaftarkan printer di Microsoft Print |
| microsoft.azure.print/printers/unregister | Membatalkan pendaftaran printer di Microsoft Print |
Administrator Autentikasi dengan Hak Istimewa
Ini adalah peran istimewa. Tetapkan peran Administrator Autentikasi Istimewa kepada pengguna yang perlu melakukan hal berikut:
- Atur atau atur ulang metode autentikasi apa pun (termasuk kata sandi) untuk setiap pengguna, termasuk Administrator Global.
- Hapus atau pulihkan pengguna apa pun, termasuk Administrator Global. Untuk informasi selengkapnya, lihat Siapa yang bisa melakukan tindakan sensitif.
- Paksa pengguna untuk mendaftar ulang terhadap kredensial non-kata sandi yang ada (seperti MFA atau FIDO) dan mencabut ingat MFA pada perangkat, meminta MFA pada rincian masuk berikutnya dari semua pengguna.
- Memperbarui properti sensitif untuk semua pengguna. Untuk informasi selengkapnya, lihat Siapa yang bisa melakukan tindakan sensitif.
- Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365.
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat mengelola MFA per pengguna di portal manajemen MFA warisan.
Tabel berikut membandingkan kemampuan peran terkait autentikasi.
| Peran | Mengelola metode autentikasi pengguna | Mengelola autentikasi multifaktor per pengguna | Mengelola pengaturan autentikasi multifaktor | Mengelola kebijakan metode autentikasi | Mengelola kebijakan perlindungan kata sandi | Memperbarui properti sensitif | Menghapus dan memulihkan pengguna |
|---|---|---|---|---|---|---|---|
| Admin Autentikasi | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna | Ya | No | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
| Admin Autentikasi Istimewa | Ya untuk semua pengguna | Ya untuk semua pengguna | Tidak | No | Tidak | Ya untuk semua pengguna | Ya untuk semua pengguna |
| Admin Kebijakan Autentikasi | Tidak | Ya | Ya | Ya | Ya | No | Tidak |
| Admin Pengguna | Tidak | No | No | No | Tidak | Ya untuk beberapa pengguna | Ya untuk beberapa pengguna |
Penting
Pengguna dengan peran ini dapat mengubah kredensial bagi orang yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di dalam dan di luar ID Microsoft Entra. Mengubah info masuk pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:
- Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di ID Microsoft Entra dan di tempat lain yang tidak diberikan kepada Administrator Autentikasi. Melalui jalur ini, Admin Autentikasi dapat mengasumsikan identitas pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui info masuk untuk aplikasi.
- Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
- Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau privat atau konfigurasi penting di ID Microsoft Entra dan di tempat lain.
- Administrator di layanan lain di luar ID Microsoft Entra seperti Exchange Online, portal Pertahanan Microsoft 365, dan portal kepatuhan Microsoft Purview, dan sistem sumber daya manusia.
- Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/deletedItems.users/restore | Memulihkan pengguna yang dihapus sementara ke kondisi semula |
| microsoft.directory/users/authenticationMethods/basic/update | Memperbarui properti dasar metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/create | Memperbarui metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/delete | Menghapus metode autentikasi untuk pengguna |
| microsoft.directory/users/authenticationMethods/standard/read | Membaca properti standar metode autentikasi untuk pengguna |
| microsoft.directory/users/authorizationInfo/update | Memperbarui properti ID pengguna Sertifikat multiniorasi pengguna |
| microsoft.directory/users/basic/update | Memperbarui properti dasar pada pengguna |
| microsoft.directory/users/delete | Menghapus pengguna |
| microsoft.directory/users/disable | Menonaktifkan pengguna |
| microsoft.directory/users/enable | Mengaktifkan pengguna |
| microsoft.directory/users/invalidateAllRefreshTokens | Memaksa keluar dengan membatalkan validasi token refresh pengguna |
| microsoft.directory/users/manager/update | Memperbarui pengelola untuk pengguna |
| microsoft.directory/users/password/update | Mengatur ulang kata sandi untuk semua pengguna |
| microsoft.directory/users/restore | Memulihkan pengguna yang dihapus |
| microsoft.directory/users/userPrincipalName/update | Memperbarui Nama Prinsipal Pengguna milik pengguna |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Peran Privileged
Ini adalah peran istimewa. Pengguna dengan peran ini dapat mengelola penetapan peran di ID Microsoft Entra, serta dalam Microsoft Entra Privileged Identity Management. Mereka dapat membuat dan mengelola grup yang dapat ditetapkan ke peran Microsoft Entra. Selain itu, peran ini memungkinkan pengelolaan semua aspek Privileged Identity Management dan unit administratif.
Penting
Peran ini memberikan kemampuan untuk mengelola tugas untuk semua peran Microsoft Entra termasuk peran Administrator Global. Peran ini tidak menyertakan kemampuan istimewa lainnya dalam ID Microsoft Entra seperti membuat atau memperbarui pengguna. Namun, pengguna yang ditetapkan untuk peran ini dapat memberikan hak istimewa tambahan kepada diri mereka sendiri atau orang lain dengan menetapkan peran tambahan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Membaca semua properti tinjauan akses penetapan peran aplikasi di ID Microsoft Entra |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Mengelola tinjauan akses untuk penetapan peran Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran. |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Memperbarui semua properti tinjauan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Membuat tinjauan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Menghapus tinjauan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Microsoft Entra |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Membuat dan mengelola unit administratif (termasuk anggota) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Mengelola semua aspek kebijakan otorisasi |
| microsoft.directory/directoryRoles/allProperties/allTasks | Membuat dan menghapus peran direktori, serta membaca dan memperbarui semua properti |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Memperbarui grup yang dapat diberikan peran |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Menetapkan lisensi ke grup yang dapat ditetapkan peran |
| microsoft.directory/groupsAssignableToRoles/create | Membuat grup yang dapat diberikan peran |
| microsoft.directory/groupsAssignableToRoles/delete | Menghapus grup yang dapat diberikan peran |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Memproses ulang penetapan lisensi ke grup yang dapat ditetapkan peran |
| microsoft.directory/groupsAssignableToRoles/restore | Memulihkan grup yang dapat diberikan peran |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti |
| microsoft.directory/permissionGrantPolicies/allProperties/read | Membaca semua properti kebijakan pemberian izin |
| microsoft.directory/permissionGrantPolicies/allProperties/update | Memperbarui semua properti kebijakan pemberian izin |
| microsoft.directory/permissionGrantPolicies/create | Membuat kebijakan pemberian izin |
| microsoft.directory/permissionGrantPolicies/delete | Menghapus kebijakan pemberian izin |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar dalam Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Memberikan persetujuan untuk izin apa pun untuk aplikasi apa pun |
| microsoft.directory/servicePrincipals/permissions/update | Memperbarui izin perwakilan layanan |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Pembaca Laporan
Pengguna dengan peran ini dapat melihat data pelaporan penggunaan dan dasbor laporan di pusat admin Microsoft 365 dan paket konteks adopsi di Fabric dan Power BI. Selain itu, peran ini menyediakan akses ke semua log masuk, log audit, dan laporan aktivitas di ID Microsoft Entra dan data yang dikembalikan oleh API pelaporan Microsoft Graph. Pengguna yang ditetapkan ke peran Pembaca Laporan hanya dapat mengakses metrik penggunaan dan adopsi yang relevan. Mereka tidak memiliki izin admin untuk mengonfigurasi pengaturan atau mengakses pusat admin khusus produk seperti Exchange. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Pencarian
Pengguna dalam peran ini memiliki akses penuh ke semua fitur manajemen Microsoft Search di pusat admin Microsoft 365. Selain itu, pengguna ini dapat melihat pusat pesan, memantau kesehatan layanan, dan membuat permintaan layanan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.search/content/manage | Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Penyunting Pencarian
Pengguna dalam peran ini dapat membuat, mengelola, dan menghapus konten untuk Microsoft Search di pusat admin Microsoft 365, termasuk marka buku, Q&A, dan lokasi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.search/content/manage | Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Keamanan
Ini adalah peran istimewa. Pengguna dengan peran ini memiliki izin untuk mengelola fitur terkait keamanan di portal Pertahanan Microsoft 365, Perlindungan ID Microsoft Entra, Autentikasi Microsoft Entra, Perlindungan Informasi Azure, dan portal kepatuhan Microsoft Purview. Untuk informasi selengkapnya tentang izin Office 365, lihat Peran dan grup peran di Microsoft Defender untuk Office 365 dan kepatuhan Microsoft Purview.
| Dalam | Dapat melakukan |
|---|---|
| Portal Pertahanan Microsoft 365 | Memantau kebijakan terkait keamanan di seluruh layanan Microsoft 365 Mengelola ancaman keamanan dan pemberitahuan Melihat laporan |
| Perlindungan ID Microsoft Entra | Semua izin peran Pembaca Keamanan Lakukan semua operasi Perlindungan ID kecuali untuk mereset kata sandi |
| Privileged Identity Management | Semua izin peran Pembaca Keamanan Tidak dapat mengelola penetapan atau pengaturan peran Microsoft Entra |
| Portal kepatuhan Microsoft Purview | Mengelola kebijakan keamanan Melihat, menyelidiki, dan menanggapi ancaman keamanan Melihat laporan |
| Azure Advanced Threat Protection | Memantau dan menanggapi aktivitas keamanan yang mencurigakan |
| Microsoft Defender untuk Titik Akhir | Menetapkan peran Mengelola grup komputer Mengonfigurasi deteksi ancaman titik akhir dan remediasi otomatis Melihat, menyelidiki, dan menanggapi pemberitahuan Melihat inventaris mesin/perangkat |
| Intune | Memetakan ke peran Intune Endpoint Security Manager |
| Aplikasi Microsoft Defender untuk Cloud | Menambahkan admin, menambahkan kebijakan dan pengaturan, mengunggah log, dan melakukan tindakan pemerintahan |
| Kesehatan layanan Microsoft 365 | Melihat kesehatan layanan Microsoft 365 |
| Penguncian cerdas | Mendefinisikan ambang dan durasi penguncian saat kejadian rincian masuk yang gagal terjadi. |
| Perlindungan Kata Sandi | Mengonfigurasi daftar kata sandi kustom yang dilarang atau perlindungan kata sandi lokal. |
| Sinkronisasi lintas penyewa | Konfigurasikan pengaturan akses lintas penyewa untuk pengguna di penyewa lain. Administrator Keamanan tidak dapat langsung membuat dan menghapus pengguna, tetapi secara tidak langsung dapat membuat dan menghapus pengguna yang disinkronkan dari penyewa lain saat kedua penyewa dikonfigurasi untuk sinkronisasi lintas penyewa, yang merupakan izin istimewa. |
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/applications/policies/update | Memperbarui kebijakan aplikasi |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/bitlockerKeys/key/read | Membaca metadata bitlocker dan kunci pada perangkat |
| microsoft.directory/conditionalAccessPolicies/basic/update | Memperbarui properti dasar untuk kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/create | Membuat kebijakan Akses Bersyarat |
| microsoft.directory/conditionalAccessPolicies/delete | Menghapus kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/owners/read | Membaca pemilik kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/owners/update | Memperbarui pemilik untuk kebijakan Akses Bersyarah |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Baca properti "diterapkan ke" untuk kebijakan Akses Bersyarah |
| microsoft.directory/conditionalAccessPolicies/standard/read | Membaca Akses Bersyarah untuk kebijakan |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Memperbarui penyewa default untuk kebijakan Akses Bersyarah |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Perbarui pengaturan dasar kebijakan akses lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Memperbarui pengaturan kolaborasi Microsoft Entra B2B dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Memperbarui pengaturan koneksi langsung Microsoft Entra B2B dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Baca properti dasar kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Memperbarui pengaturan kolaborasi Microsoft Entra B2B dari kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Memperbarui pengaturan koneksi langsung Microsoft Entra B2B dari kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Buat kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Hapus kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Memperbarui pengaturan dasar kebijakan sinkronisasi lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Membuat kebijakan sinkronisasi lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Membaca properti dasar kebijakan sinkronisasi lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Membaca properti dasar kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Memperbarui templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Mengatur ulang templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa ke pengaturan default |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Membaca properti dasar templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Memperbarui templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Mengatur ulang templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa ke pengaturan default |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Membaca properti dasar templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Baca properti dasar kebijakan akses lintas penyewa |
| microsoft.directory/deviceLocalCredentials/standard/read | Membaca semua properti kredensial akun administrator lokal yang dicadangkan untuk perangkat yang bergabung dengan Microsoft Entra, kecuali kata sandi |
| microsoft.directory/domains/federationConfiguration/basic/update | Memperbarui konfigurasi federasi dasar untuk domain |
| microsoft.directory/domains/federationConfiguration/create | Membuat konfigurasi federasi untuk domain |
| microsoft.directory/domains/federationConfiguration/delete | Menghapus konfigurasi federasi untuk domain |
| microsoft.directory/domains/federationConfiguration/standard/read | Membaca properti standar konfigurasi federasi untuk domain |
| microsoft.directory/domains/federation/update | Memperbarui properti federasi domain |
| microsoft.directory/entitlementManagement/allProperties/read | Membaca semua properti dalam pengelolaan pemberian hak Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Membaca semua sumber daya di Microsoft Entra ID Protection |
| microsoft.directory/identityProtection/allProperties/update | Memperbarui semua sumber daya di Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/basic/update | Memperbarui properti dasar organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/create | Membuat organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Bergabung dengan organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Membaca properti permintaan gabungan organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/standard/read | Membaca properti dasar organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/create | Membuat penyewa di organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/delete | Menghapus penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Membaca detail organisasi penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Memperbarui properti dasar penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Membaca properti dasar penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/namedLocations/basic/update | Perbarui properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/create | Buat aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/delete | Hapus aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/namedLocations/standard/read | Baca properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/policies/basic/update | Memperbarui properti dasar pada kebijakan |
| microsoft.directory/policies/create | Membuat kebijakan di ID Microsoft Entra |
| microsoft.directory/policies/delete | Menghapus kebijakan di ID Microsoft Entra |
| microsoft.directory/policies/owners/update | Memperbarui pemilik kebijakan |
| microsoft.directory/policies/tenantDefault/update | Memperbarui kebijakan organisasi default |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Membaca semua sumber daya dalam Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Memperbarui konteks autentikasi Akses Bersyarkat dari tindakan sumber daya kontrol akses berbasis peran (RBAC) Microsoft 365 |
| microsoft.directory/servicePrincipals/policies/perbarui | Memperbarui kebijakan perwakilan layanan |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft Entra Network Access |
| microsoft.office365.protectionCenter/allEntities/basic/update | Memperbarui properti dasar semua sumber daya di pusat Keamanan dan Kepatuhan |
| microsoft.office365.protectionCenter/allEntities/standard/read | Membaca properti standar semua sumber daya di pusat Keamanan dan Kepatuhan |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Membuat dan mengelola payload serangan di Simulator Serangan |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Membaca laporan simulasi serangan, respons, dan pelatihan terkait |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Membuat dan mengelola templat simulasi serangan di Simulator Serangan |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Operator Keamanan
Ini adalah peran istimewa. Pengguna dengan peran ini dapat mengelola pemberitahuan dan memiliki akses baca-saja global pada fitur terkait keamanan, termasuk semua informasi di portal Pertahanan Microsoft 365, Microsoft Entra ID Protection, Privileged Identity Management, dan portal kepatuhan Microsoft Purview. Untuk informasi selengkapnya tentang izin Office 365, lihat Peran dan grup peran di Microsoft Defender untuk Office 365 dan kepatuhan Microsoft Purview.
| Dalam | Dapat melakukan |
|---|---|
| Portal Pertahanan Microsoft 365 | Semua izin peran Pembaca Keamanan Melihat, menyelidiki, dan menanggapi pemberitahuan ancaman keamanan Mengelola pengaturan keamanan di portal Pertahanan Microsoft 365 |
| Perlindungan ID Microsoft Entra | Semua izin peran Pembaca Keamanan Lakukan semua operasi Perlindungan ID kecuali untuk mengonfigurasi atau mengubah kebijakan berbasis risiko, mengatur ulang kata sandi, dan mengonfigurasi email pemberitahuan. |
| Privileged Identity Management | Semua izin peran Pembaca Keamanan |
| Portal kepatuhan Microsoft Purview | Semua izin peran Pembaca Keamanan Melihat, menyelidiki, dan menanggapi pemberitahuan keamanan |
| Microsoft Defender untuk Titik Akhir | Semua izin peran Pembaca Keamanan Melihat, menyelidiki, dan menanggapi pemberitahuan keamanan Saat Anda mengaktifkan kontrol akses berbasis peran di Microsoft Defender untuk Titik Akhir, pengguna dengan izin baca-saja seperti peran Pembaca Keamanan kehilangan akses hingga mereka diberi peran Microsoft Defender untuk Titik Akhir. |
| Intune | Semua izin peran Pembaca Keamanan |
| Aplikasi Microsoft Defender untuk Cloud | Semua izin peran Pembaca Keamanan Melihat, menyelidiki, dan menanggapi pemberitahuan keamanan |
| Kesehatan layanan Microsoft 365 | Melihat kesehatan layanan Microsoft 365 |
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Mengelola semua aspek Perlindungan Ancaman Tingkat Lanjut Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud |
| microsoft.directory/identityProtection/allProperties/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Microsoft Entra ID Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Membaca semua sumber daya dalam Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.intune/allEntities/read | Membaca semua sumber daya di Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Pusat Keamanan dan Kepatuhan Office 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Mengelola semua aspek Pertahanan Microsoft untuk Titik Akhir |
Pembaca Keamanan
Ini adalah peran istimewa. Pengguna dengan peran ini memiliki akses baca-saja global pada fitur terkait keamanan, termasuk semua informasi di portal Pertahanan Microsoft 365, Perlindungan ID Microsoft Entra, Privileged Identity Management, serta kemampuan untuk membaca laporan masuk dan log audit Microsoft Entra, dan di portal kepatuhan Microsoft Purview. Untuk informasi selengkapnya tentang izin Office 365, lihat Peran dan grup peran di Microsoft Defender untuk Office 365 dan kepatuhan Microsoft Purview.
| Dalam | Dapat melakukan |
|---|---|
| Portal Pertahanan Microsoft 365 | Melihat kebijakan terkait keamanan di seluruh layanan Microsoft 365 Melihat ancaman keamanan dan pemberitahuan Melihat laporan |
| Perlindungan ID Microsoft Entra | Lihat semua laporan dan Gambaran Umum Perlindungan ID |
| Privileged Identity Management | Memiliki akses baca-saja ke semua informasi yang muncul di Microsoft Entra Privileged Identity Management: Kebijakan dan laporan untuk penetapan peran Microsoft Entra dan tinjauan keamanan. Tidak dapat mendaftar ke Microsoft Entra Privileged Identity Management atau membuat perubahan apa pun padanya. Di portal Privileged Identity Management atau melalui PowerShell, seseorang dalam peran ini dapat mengaktifkan peran tambahan (misalnya, Administrator Peran Istimewa), jika pengguna memenuhi syarat untuk mereka. |
| Portal kepatuhan Microsoft Purview | Melihat kebijakan keamanan Melihat dan menyelidiki ancaman keamanan Melihat laporan |
| Microsoft Defender untuk Titik Akhir | Melihat dan menyelidiki pemberitahuan Saat Anda mengaktifkan kontrol akses berbasis peran di Microsoft Defender untuk Titik Akhir, pengguna dengan izin baca-saja seperti peran Pembaca Keamanan kehilangan akses hingga mereka diberi peran Microsoft Defender untuk Titik Akhir. |
| Intune | Melihat informasi pengguna, perangkat, pendaftaran, konfigurasi, dan aplikasi. Tidak dapat membuat perubahan pada Intune. |
| Aplikasi Microsoft Defender untuk Cloud | Memiliki izin baca. |
| Kesehatan layanan Microsoft 365 | Melihat kesehatan layanan Microsoft 365 |
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.directory/accessReviews/definitions/allProperties/read | Membaca semua properti tinjauan akses semua sumber daya yang dapat ditinjau di ID Microsoft Entra |
| microsoft.directory/auditLogs/allProperties/read | Membaca semua properti pada log audit, tidak termasuk log audit atribut keamanan kustom |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/bitlockerKeys/key/read | Membaca metadata bitlocker dan kunci pada perangkat |
| microsoft.directory/conditionalAccessPolicies/owners/read | Membaca pemilik kebijakan Akses Bersyar |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Baca properti "diterapkan ke" untuk kebijakan Akses Bersyarah |
| microsoft.directory/conditionalAccessPolicies/standard/read | Membaca Akses Bersyarah untuk kebijakan |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Membaca properti dasar templat kebijakan sinkronisasi lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Membaca properti dasar templat kebijakan akses lintas penyewa untuk organisasi multi-penyewa |
| microsoft.directory/deviceLocalCredentials/standard/read | Membaca semua properti kredensial akun administrator lokal yang dicadangkan untuk perangkat yang bergabung dengan Microsoft Entra, kecuali kata sandi |
| microsoft.directory/domains/federationConfiguration/standard/read | Membaca properti standar konfigurasi federasi untuk domain |
| microsoft.directory/entitlementManagement/allProperties/read | Membaca semua properti dalam pengelolaan pemberian hak Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Membaca semua sumber daya di Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Membaca properti permintaan gabungan organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/standard/read | Membaca properti dasar organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Membaca detail organisasi penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Membaca properti dasar penyewa yang berpartisipasi dalam organisasi multi-penyewa |
| microsoft.directory/namedLocations/standard/read | Baca properti dasar aturan kustom yang menentukan lokasi jaringan |
| microsoft.directory/policies/owners/read | Membaca pemilik kebijakan |
| microsoft.directory/policies/policyAppliedTo/read | Membaca properti policies.policyAppliedTo |
| microsoft.directory/policies/standard/read | Membaca properti dasar pada kebijakan |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Membaca semua sumber daya dalam Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Membaca semua properti log provisi |
| microsoft.directory/signInReports/allProperties/read | Membaca semua properti pada laporan masuk, termasuk properti istimewa |
| microsoft.networkAccess/allEntities/allProperties/read | Membaca semua aspek Microsoft Entra Network Access |
| microsoft.office365.protectionCenter/allEntities/standard/read | Membaca properti standar semua sumber daya di pusat Keamanan dan Kepatuhan |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Membaca semua properti payload serangan di Simulator Serangan |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Membaca laporan simulasi serangan, respons, dan pelatihan terkait |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Membaca semua properti templat simulasi serangan di Simulator Serangan |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Dukungan Layanan
Pengguna dengan peran ini dapat membuka permintaan dukungan dengan layanan Microsoft untuk Azure dan Microsoft 365, serta melihat dasbor layanan dan pusat pesan di portal Azure dan pusat admin Microsoft 365. Untuk informasi selengkapnya, lihat Tentang peran admin di pusat admin Microsoft 365.
Catatan
Peran ini sebelumnya bernama Administrator Layanan di portal Azure dan pusat admin Microsoft 365. Nama ini diganti namanya menjadi Administrator Dukungan Layanan untuk menyelaraskan dengan nama yang ada di Microsoft Graph API dan Microsoft Graph PowerShell.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator SharePoint
Pengguna dengan peran ini memiliki izin global dalam Microsoft SharePoint Online, ketika layanannya hadir, serta kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan. Untuk informasi selengkapnya, lihat Tentang peran admin di pusat admin Microsoft 365.
Catatan
Di Microsoft Graph API dan Microsoft Graph PowerShell, peran ini diberi nama Administrator Layanan SharePoint. Dalam portal Azure, nama administrator SharePoint.
Catatan
Peran ini juga memberikan izin yang dicakup ke Microsoft Graph API untuk Microsoft Intune, yang memungkinkan pengelolaan dan konfigurasi kebijakan yang terkait dengan sumber daya SharePoint dan OneDrive.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Membuat dan mengelola kebijakan perlindungan OneDrive di Microsoft 365 Backup |
| microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Membaca dan mengonfigurasi sesi pemulihan untuk OneDrive di Microsoft 365 Backup |
| microsoft.backup/restorePoints/sites/allProperties/allTasks | Mengelola semua titik pemulihan yang terkait dengan situs SharePoint yang dipilih di M365 Backup |
| microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Mengelola semua titik pemulihan yang terkait dengan akun OneDrive yang dipilih di M365 Backup |
| microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Membuat dan mengelola kebijakan perlindungan SharePoint di Microsoft 365 Backup |
| microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Membaca dan mengonfigurasi sesi pemulihan untuk SharePoint di Microsoft 365 Backup |
| microsoft.backup/siteProtectionUnits/allProperties/allTasks | Mengelola situs yang ditambahkan ke kebijakan perlindungan SharePoint di Microsoft 365 Backup |
| microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Kelola situs yang ditambahkan untuk memulihkan sesi untuk SharePoint di Microsoft 365 Backup |
| microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Mengelola akun yang ditambahkan ke kebijakan perlindungan OneDrive di Microsoft 365 Backup |
| microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Mengelola akun yang ditambahkan untuk memulihkan sesi untuk OneDrive di Microsoft 365 Backup |
| microsoft.directory/groups/hiddenMembers/read | Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups.unified/basic/update | Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/create | Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/delete | Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/members/update | Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/owners/update | Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/restore | Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Mengelola semua aspek migrasi Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
SharePoint Embedded Administrator
Tetapkan peran Administrator Tersemat SharePoint kepada pengguna yang perlu melakukan tugas berikut:
- Melakukan semua tugas menggunakan PowerShell, Microsoft Graph API, atau pusat admin SharePoint
- Mengelola, mengonfigurasi, dan memelihara kontainer SharePoint Embedded
- Menghitung dan mengelola kontainer SharePoint Embedded
- Menghitung dan mengelola izin untuk kontainer SharePoint Embedded
- Mengelola penyimpanan kontainer SharePoint Embedded dalam penyewa
- Menetapkan kebijakan keamanan dan kepatuhan pada kontainer SharePoint Embedded
- Menerapkan kebijakan keamanan dan kepatuhan pada kontainer SharePoint Embedded dalam penyewa
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Mengelola semua aspek kontainer SharePoint Embedded |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Skype for Business
Pengguna dengan peran ini memiliki izin global dalam Microsoft Skype for Business, saat layanan ada, serta mengelola atribut pengguna khusus Skype di ID Microsoft Entra. Selain itu, peran ini memberikan kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan, dan untuk mengakses pusat admin Teams dan Skype for Business. Akun juga harus dilisensikan untuk Teams atau itu tidak dapat menjalankan cmdlet Teams PowerShell. Untuk informasi selengkapnya, lihat Informasi lisensi Admin skype for Business Online dan Teams di lisensi add-on Skype for Business.
Catatan
Di Microsoft Graph API dan Microsoft Graph PowerShell, peran ini diberi nama Administrator Layanan Lync. Di portal Azure, nama admin Skype for Business dinamai Admin Skype for Business.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Mengelola semua aspek Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Teams
Pengguna dalam peran ini dapat mengelola semua aspek beban kerja Microsoft Teams melalui pusat admin Microsoft Teams & Skype for Business dan modul PowerShell masing-masing. Ini termasuk, di antara bidang-bidang lain, semua alat manajemen yang terkait dengan telepon, Olahpesan, rapat, dan tim itu sendiri. Peran ini juga memberikan kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Baca properti dasar kebijakan akses lintas penyewa default |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Buat kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Membaca properti dasar kebijakan akses lintas penyewa untuk mitra |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Baca properti dasar kebijakan akses lintas penyewa |
| microsoft.directory/externalUserProfiles/basic/update | Memperbarui properti dasar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/externalUserProfiles/delete | Menghapus profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/externalUserProfiles/standard/read | Membaca properti standar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/groups/hiddenMembers/read | Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups.unified/basic/update | Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/create | Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/delete | Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/members/update | Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/owners/update | Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/restore | Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Memperbarui properti dasar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Membuat profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Menghapus profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Membaca properti standar profil pengguna eksternal di direktori yang diperluas untuk Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Membaca properti standar kebijakan pemberian izin |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Mengelola semua aspek Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Mengelola semua sumber daya di Teams |
Administrator Komunikasi Teams
Pengguna dalam peran ini dapat mengelola aspek beban kerja Microsoft Teams yang terkait dengan suara & telepon. Ini termasuk alat manajemen untuk penugasan nomor telepon, kebijakan suara dan rapat, dan akses penuh ke toolset analitik panggilan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Mengelola semua aspek Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Membaca semua data di Dasbor Kualitas Panggilan (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | Mengelola rapat termasuk kebijakan rapat, konfigurasi, dan jembatan konferensi |
| microsoft.teams/voice/allProperties/allTasks | Mengelola suara termasuk kebijakan panggilan dan inventaris nomor telepon dan penugasan |
Teknisi Dukungan Komunikasi Teams
Pengguna dalam peran ini dapat memecahkan masalah komunikasi dalam Microsoft Teams & Skype for Business menggunakan alat pemecahan masalah panggilan pengguna di pusat admin Microsoft Teams & Skype for Business. Pengguna dalam peran ini dapat melihat informasi rekaman panggilan penuh untuk semua peserta yang terlibat. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Mengelola semua aspek Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Membaca semua data di Dasbor Kualitas Panggilan (CQD) |
Spesialis Dukungan Komunikasi Teams
Pengguna dalam peran ini dapat memecahkan masalah komunikasi dalam Microsoft Teams & Skype for Business menggunakan alat pemecahan masalah panggilan pengguna di pusat admin Microsoft Teams & Skype for Business. Pengguna dalam peran ini hanya dapat melihat detail pengguna dalam panggilan untuk pengguna tertentu yang telah mereka cari. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Mengelola semua aspek Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Membaca data dasar di Dasbor Kualitas Panggilan (CQD) |
Administrator Perangkat Teams
Pengguna dengan peran ini dapat mengelola perangkat bersertifikasi Teams dari pusat admin Teams. Peran ini memungkinkan melihat semua perangkat secara sekilas, dengan kemampuan untuk mencari dan memfilter perangkat. Pengguna dapat memeriksa detail setiap perangkat termasuk akun yang masuk, pembuat dan model perangkat. Pengguna dapat mengubah pengaturan pada perangkat dan memperbarui versi perangkat lunak. Peran ini tidak memberikan izin untuk memeriksa aktivitas Teams dan kualitas panggilan perangkat.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.teams/devices/standard/read | Mengelola semua aspek perangkat bersertifikat Teams termasuk kebijakan konfigurasi |
Administrator Telepon Teams
Tetapkan peran Administrator Telepon Teams kepada pengguna yang perlu melakukan tugas berikut:
- Mengelola suara dan telepon, termasuk kebijakan panggilan, manajemen dan penugasan nomor telepon, dan aplikasi suara
- Akses hanya ke laporan penggunaan Public Switched Telephone Network (PSTN) dari pusat admin Teams
- Lihat halaman profil pengguna
- Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/authorizationPolicy/standard/read | Baca properti standar kebijakan otorisasi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Mengelola semua aspek Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Membaca semua data di Dasbor Kualitas Panggilan (CQD) |
| microsoft.teams/voice/allProperties/allTasks | Mengelola suara termasuk kebijakan panggilan dan inventaris nomor telepon dan penugasan |
Pembuat Penyewa
Tetapkan peran Pembuat Penyewa kepada pengguna yang perlu melakukan tugas berikut:
- Buat penyewa Microsoft Entra dan Azure Active Directory B2C meskipun pengalih pembuatan penyewa dinonaktifkan di pengaturan pengguna
Catatan
Pembuat penyewa akan diberi peran Administrator Global pada penyewa baru yang mereka buat.
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Membuat penyewa baru di ID Microsoft Entra |
Pembaca Laporan Ringkasan Penggunaan
Tetapkan peran Pembaca Laporan Ringkasan Penggunaan kepada pengguna yang perlu melakukan tugas berikut di pusat admin Microsoft 365:
- Menampilkan laporan Penggunaan dan Skor Adopsi
- Membaca wawasan organisasi, tetapi bukan informasi identitas pribadi (PII) pengguna
Peran ini hanya memungkinkan pengguna untuk melihat data tingkat organisasi dengan pengecualian berikut:
- Pengguna anggota dapat melihat data dan pengaturan manajemen pengguna.
- Pengguna tamu yang diberi peran ini tidak dapat melihat data dan pengaturan manajemen pengguna.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Membaca laporan penggunaan agregat Office 365 tingkat penyewa |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Admin Pengguna
Ini adalah peran istimewa. Tetapkan peran Administrator Pengguna kepada pengguna yang perlu melakukan hal berikut:
| Izin | Informasi selengkapnya |
|---|---|
| Membuat pengguna | |
| Memperbarui sebagian besar properti pengguna untuk semua pengguna, termasuk semua administrator | Siapa yang dapat melakukan tindakan sensitif |
| Memperbarui properti sensitif (termasuk nama prinsipal pengguna) untuk beberapa pengguna | Siapa yang dapat melakukan tindakan sensitif |
| Menonaktifkan atau mengaktifkan beberapa pengguna | Siapa yang dapat melakukan tindakan sensitif |
| Menghapus atau memulihkan beberapa pengguna | Siapa yang dapat melakukan tindakan sensitif |
| Membuat dan mengelola tampilan pengguna | |
| Membuat dan mengelola semua grup | |
| Menetapkan dan membaca lisensi untuk semua pengguna, termasuk semua administrator | |
| Atur ulang kata sandi | Siapa yang dapat mengatur ulang kata sandi |
| Membatalkan token refresh | Siapa yang dapat mengatur ulang kata sandi |
| Memperbarui kunci perangkat (FIDO) | |
| Memperbarui kebijakan kedaluwarsa kata sandi | |
| Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365 | |
| Memantau kondisi layanan |
Pengguna dengan peran ini tidak dapat melakukan hal berikut:
- Tidak dapat mengelola MFA.
- Tidak dapat mengubah kredensial atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan peran.
- Tidak dapat mengelola kotak surat bersama.
- Tidak dapat mengubah pertanyaan keamanan untuk operasi reset kata sandi.
Penting
Pengguna dengan peran ini dapat mengubah kata sandi untuk orang yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di dalam dan di luar ID Microsoft Entra. Mengubah kata sandi seorang pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:
- Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di ID Microsoft Entra dan di tempat lain yang tidak diberikan kepada Administrator Pengguna. Melalui jalur ini, seorang Admin Pengguna mungkin dapat mengasumsikan identitas seorang pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui informasi masuk untuk aplikasinya.
- Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
- Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau privat atau konfigurasi penting di ID Microsoft Entra dan di tempat lain.
- Administrator di layanan lain di luar ID Microsoft Entra seperti Exchange Online, portal Pertahanan Microsoft 365, portal kepatuhan Microsoft Purview, dan sistem sumber daya manusia.
- Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Azure Service Health |
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Mengelola tinjauan akses penetapan peran aplikasi di ID Microsoft Entra |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Membaca semua properti tinjauan akses untuk penetapan peran Microsoft Entra |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Kelola tinjauan akses untuk penetapan paket akses dalam pengelolaan pemberian hak |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Perbarui semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, tidak termasuk grup yang dapat ditetapkan peran. |
| microsoft.directory/accessReviews/definitions.groups/create | Buat ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Hapus ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365. |
| microsoft.directory/contacts/basic/update | Memperbarui properti dasar pada kontak |
| microsoft.directory/contacts/create | Membuat kontak |
| microsoft.directory/contacts/delete | Menghapus kontak |
| microsoft.directory/deletedItems.groups/restore | Memulihkan grup yang dihapus sementara ke status asli |
| microsoft.directory/deletedItems.users/restore | Memulihkan pengguna yang dihapus sementara ke kondisi semula |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Microsoft Entra |
| microsoft.directory/groups/assignLicense | Menetapkan lisensi produk ke grup untuk lisensi berbasis grup |
| microsoft.directory/groups/basic/update | Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/classification/update | Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/create | Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/delete | Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran |
| microsoft.directory/groups/dynamicMembershipRule/update | Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/groupType/update | Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups/hiddenMembers/read | Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/members/update | Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/onPremWriteBack/update | Memperbarui grup Microsoft Entra untuk ditulis kembali ke lokal dengan Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups/reprocessLicenseAssignment | Memproses ulang penugasan lisensi untuk lisensi berbasis grup |
| microsoft.directory/groups/restore | Memulihkan grup dari kontainer yang dihapus dengan lembut |
| microsoft.directory/groups/settings/update | Memperbarui pengaturan grup |
| microsoft.directory/groups/visibility/update | Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti |
| microsoft.directory/policies/standard/read | Membaca properti dasar pada kebijakan |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/perbarui | Memperbarui penetapan peran perwakilan layanan |
| microsoft.directory/users/assignLicense | Mengelola lisensi pengguna |
| microsoft.directory/users/basic/update | Memperbarui properti dasar pada pengguna |
| microsoft.directory/users/convertExternalToInternalMemberUser | Mengonversi pengguna eksternal ke pengguna internal |
| microsoft.directory/users/create | Tambah pengguna |
| microsoft.directory/users/delete | Menghapus pengguna |
| microsoft.directory/users/disable | Menonaktifkan pengguna |
| microsoft.directory/users/enable | Mengaktifkan pengguna |
| microsoft.directory/users/invalidateAllRefreshTokens | Memaksa keluar dengan membatalkan validasi token refresh pengguna |
| microsoft.directory/users/inviteGuest | Mengundang pengguna tamu |
| microsoft.directory/users/manager/update | Memperbarui pengelola untuk pengguna |
| microsoft.directory/users/password/update | Mengatur ulang kata sandi untuk semua pengguna |
| microsoft.directory/users/photo/update | Memperbarui foto pengguna |
| microsoft.directory/users/reprocessLicenseAssignment | Memproses ulang penugasan lisensi untuk pengguna |
| microsoft.directory/users/restore | Memulihkan pengguna yang dihapus |
| microsoft.directory/users/sponsors/update | Memperbarui sponsor pengguna |
| microsoft.directory/users/usageLocation/update | Memperbarui lokasi penggunaan pengguna |
| microsoft.directory/users/userPrincipalName/update | Memperbarui Nama Prinsipal Pengguna milik pengguna |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Manajer Keberhasilan Pengalaman Pengguna
Tetapkan peran Manajer Keberhasilan Pengalaman Pengguna kepada pengguna yang perlu melakukan tugas berikut:
- Membaca laporan penggunaan tingkat organisasi untuk Aplikasi Microsoft 365 dan layanan, tetapi bukan detail pengguna
- Lihat umpan balik produk organisasi Anda, hasil survei Net Promoter Score (NPS), dan bantu tampilan artikel untuk mengidentifikasi peluang komunikasi dan pelatihan
- Membaca postingan pusat pesan dan data kesehatan layanan
| Tindakan | Deskripsi |
|---|---|
| microsoft.commerce.billing/purchases/standard/read | Membaca layanan pembelian di Pusat Admin M365. |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Membaca semua aspek Pesan Organisasi Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Membaca laporan penggunaan agregat Office 365 tingkat penyewa |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Kunjungan Virtual
Pengguna dengan peran ini dapat melakukan tugas berikut:
- Mengelola dan mengonfigurasi semua aspek Kunjungan Virtual di Bookings di pusat admin Microsoft 365, dan di konektor EHR Teams
- Menampilkan laporan penggunaan untuk Kunjungan Virtual di pusat admin Teams, pusat admin Microsoft 365, Fabric, dan Power BI
- Menampilkan fitur dan pengaturan di pusat admin Microsoft 365, tetapi tidak dapat mengedit pengaturan apa pun
Kunjungan Virtual adalah cara sederhana untuk menjadwalkan dan mengelola janji temu online dan video untuk staf dan peserta. Misalnya, pelaporan penggunaan dapat menunjukkan cara mengirim pesan teks SMS sebelum janji temu dapat mengurangi jumlah orang yang tidak muncul untuk janji temu.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual |
Administrator Tujuan Viva
Tetapkan peran Administrator Tujuan Viva kepada pengguna yang perlu melakukan tugas berikut:
- Mengelola dan mengonfigurasi semua aspek aplikasi Microsoft Viva Goals
- Mengonfigurasi pengaturan admin Tujuan Microsoft Viva
- Membaca informasi penyewa Microsoft Entra
- Memantau kesehatan layanan Microsoft 365
- Membuat dan mengelola permintaan layanan Microsoft 365
Untuk informasi selengkapnya, lihat Peran dan izin di Tujuan viva dan Pengenalan Tujuan Microsoft Viva.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Mengelola semua aspek Tujuan Microsoft Viva |
Viva Pulse Administrator
Tetapkan peran Administrator Viva Pulse kepada pengguna yang perlu melakukan tugas berikut:
- Membaca dan mengonfigurasi semua pengaturan Viva Pulse
- Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
- Membaca dan mengonfigurasi Azure Service Health
- Membuat dan mengelola tiket dukungan Azure
- Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
- Membaca laporan penggunaan di pusat admin Microsoft 365
Untuk informasi selengkapnya, lihat Menetapkan admin Viva Pulse di pusat admin Microsoft 365.
| Tindakan | Deskripsi |
|---|---|
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Mengelola semua aspek Microsoft Viva Pulse |
Administrator Windows 365
Pengguna dengan peran ini memiliki izin global pada Windows 365 sumber daya, ketika layanan ada. Selain itu, peran ini memiliki kemampuan untuk mengelola pengguna dan perangkat untuk mengaitkan kebijakan, serta membuat dan mengelola grup.
Peran ini dapat membuat dan mengelola kelompok keamanan, tetapi tidak memiliki hak administrator atas Microsoft 365 grup. Itu berarti administrator tidak dapat memperbarui pemilik atau keanggotaan grup Microsoft 365 dalam organisasi. Namun, mereka dapat mengelola grup Microsoft 365 yang mereka buat, yang merupakan bagian dari hak istimewa pengguna akhir mereka. Jadi, setiap kelompok Microsoft 365 (bukan kelompok keamanan) yang mereka buat dihitung berdasarkan kuota mereka sebesar 250.
Tetapkan peran Administrator Windows 365 kepada pengguna yang perlu melakukan tugas-tugas berikut:
- Mengelola Windows 365 PC Cloud di Microsoft Intune
- Mendaftarkan dan mengelola perangkat di ID Microsoft Entra, termasuk menetapkan pengguna dan kebijakan
- Membuat dan mengelola kelompok keamanan, tetapi bukan grup yang dapat ditetapkan peran
- Melihat properti dasar di pusat admin Microsoft 365
- Membaca laporan penggunaan di pusat admin Microsoft 365
- Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365
| Tindakan | Deskripsi |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Membuat dan mengelola tiket dukungan Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Mengelola semua aspek Windows 365 |
| microsoft.directory/deletedItems.devices/delete | Menghapus perangkat secara permanen, yang tidak dapat lagi dipulihkan |
| microsoft.directory/deletedItems.devices/restore | Memulihkan perangkat yang dihapus sementara ke status asli |
| microsoft.directory/deviceManagementPolicies/standard/read | Membaca properti standar pada manajemen perangkat seluler dan kebijakan manajemen aplikasi seluler |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Membaca properti standar tentang kebijakan pendaftaran perangkat |
| microsoft.directory/devices/basic/update | Memperbarui properti dasar pada perangkat |
| microsoft.directory/devices/create | Membuat perangkat (mendaftar di ID Microsoft Entra) |
| microsoft.directory/devices/delete | Menghapus perangkat dari ID Microsoft Entra |
| microsoft.directory/devices/disable | Menonaktifkan perangkat di ID Microsoft Entra |
| microsoft.directory/devices/enable | Mengaktifkan perangkat di ID Microsoft Entra |
| microsoft.directory/devices/extensionAttributeSet1/update | Memperbarui extensionAttribute1 ke properti extensionAttribute5 di perangkat |
| microsoft.directory/devices/extensionAttributeSet2/update | Memperbarui extensionAttribute6 ke properti extensionAttribute10 di perangkat |
| microsoft.directory/devices/extensionAttributeSet3/update | Memperbarui extensionAttribute11 ke properti extensionAttribute15 di perangkat |
| microsoft.directory/devices/registeredOwners/update | Memperbarui pemilik terdaftar perangkat |
| microsoft.directory/devices/registeredUsers/update | Memperbarui pengguna terdaftar perangkat |
| microsoft.directory/groups.security/basic/update | Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/classification/update | Memperbarui properti klasifikasi grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/create | Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/delete | Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Memperbarui aturan keanggotaan dinamis dalam Kelompok keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/members/update | Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/owners/update | Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.security/visibility/update | Memperbarui properti visibilitas grup Keamanan, tidak termasuk grup yang dapat diberikan peran |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
Administrator Penerapan Windows Update
Pengguna dalam peran ini dapat membuat dan mengelola semua aspek penerapan Pembaruan Windows melalui layanan penerapan Windows Update for Business. Layanan penyebaran memungkinkan pengguna menentukan pengaturan waktu dan cara pembaruan disebarkan, dan menentukan pembaruan mana yang ditawarkan kepada grup perangkat di penyewa mereka. Ini juga memungkinkan pengguna untuk memantau kemajuan pembaruan.
| Tindakan | Deskripsi |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Membaca dan mengonfigurasikan semua aspek Layanan Windows Update |
Administrator Yammer
Tetapkan peran Administrator Yammer kepada pengguna yang perlu melakukan tugas-tugas berikut:
- Mengelola semua aspek Yammer
- Membuat, mengelola, dan memulihkan Grup Microsoft 365, tetapi bukan grup yang dapat ditetapkan peran
- Melihat anggota tersembunyi grup Keamanan dan grup Microsoft 365, termasuk grup yang dapat ditetapkan peran
- Membaca laporan penggunaan di pusat admin Microsoft 365
- Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365
- Menampilkan pengumuman di Pusat pesan, tetapi bukan pengumuman keamanan
- Lihat kesehatan layanan
| Tindakan | Deskripsi |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan |
| microsoft.directory/groups.unified/basic/update | Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/create | Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/delete | Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/members/update | Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/owners/update | Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran |
| microsoft.directory/groups.unified/restore | Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran |
| microsoft.office365.messageCenter/messages/read | Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan |
| microsoft.office365.network/performance/allProperties/read | Membaca semua properti performa jaringan di pusat admin Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Membuat dan mengelola permintaan layanan Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Membaca laporan penggunaan Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Mengelola semua aspek Yammer |
Peran yang tidak digunakan lagi
Peran berikut tidak boleh digunakan. Mereka telah ditolak dan akan dihapus dari ID Microsoft Entra di masa mendatang.
- Admin Lisensi AdHoc
- Bergabung dengan Perangkat
- Pengelola Perangkat
- Pengguna Perangkat
- Pembuat Pengguna Terverifikasi Email
- Admin Kotak Surat
- Bergabung dengan Perangkat Tempat Kerja
Peran yang tidak ditampilkan di portal
Tidak setiap peran yang dikembalikan oleh PowerShell atau MS Graph API terlihat di portal Microsoft Azure. Tabel berikut ini mengatur perbedaan tersebut.
| Nama API | Nama portal Microsoft Azure | Catatan |
|---|---|---|
| Bergabung dengan Perangkat | Tidak digunakan lagi | Dokumentasi peran yang tidak digunakan lagi |
| Pengelola Perangkat | Tidak digunakan lagi | Dokumentasi peran yang tidak digunakan lagi |
| Pengguna Perangkat | Tidak digunakan lagi | Dokumentasi peran yang tidak digunakan lagi |
| Akun Sinkronisasi Direktori | Tidak ditampilkan karena seharusnya tidak digunakan | Dokumentasi Akun Sinkronisasi Direktori |
| Pengguna Tamu | Tidak ditampilkan karena tidak dapat digunakan | NA |
| Dukungan Mitra Tingkat 1 | Tidak ditampilkan karena seharusnya tidak digunakan | Dokumentasi Dukungan Mitra Tier1 |
| Dukungan Mitra Tingkat 2 | Tidak ditampilkan karena seharusnya tidak digunakan | Dokumentasi Dukungan Mitra Tier2 |
| Pengguna Tamu Terbatas | Tidak ditampilkan karena tidak dapat digunakan | NA |
| Pengguna | Tidak ditampilkan karena tidak dapat digunakan | NA |
| Bergabung dengan Perangkat Tempat Kerja | Tidak digunakan lagi | Dokumentasi peran yang tidak digunakan lagi |