Peran bawaan Azure AD

Di Azure Active Directory (AAD), jika admin atau non-admin lain perlu mengelola sumber daya AAD, Anda perlu memberikan mereka peran AAD yang menyediakan izin yang mereka butuhkan. Misalnya, Anda dapat menetapkan peran untuk yang memungkinkan untuk menambahkan atau mengubah pengguna, menyetel ulang kata sandi pengguna, mengelola lisensi pengguna, atau mengelola nama domain.

Artikel ini mencantumkan peran bawaan AAD yang dapat Anda tetapkan untuk memungkinkan manajemen sumber daya AAD. Untuk informasi tentang cara menetapkan peran, lihat Menetapkan peran AAD kepada pengguna. Jika Anda mencari peran untuk mengelola sumber daya Azure, lihat peran bawaan Azure.

Semua peran

Peran Deskripsi ID Templat
Administrator Aplikasi Dapat membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Pengembang Aplikasi Dapat membuat pendaftaran aplikasi yang independen dari pengaturan 'Pengguna dapat mendaftarkan aplikasi'. cf1c38e5-3621-4004-a7cb-879624dced7c
Pembuat Payload Serangan Dapat membuat payload serangan yang dapat dimulai oleh admin nanti. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Admin Simulasi Serangan Dapat membuat dan mengelola semua aspek kampanye simulasi serangan. c430b396-e693-46cc-96f3-db01bf8bb62a
Administrator Tugas Atribut Tetapkan kunci dan nilai atribut keamanan kustom ke objek Azure AD yang didukung. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Pembaca Tugas Atribut Baca kunci dan nilai atribut keamanan kustom untuk objek Azure AD yang didukung. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrator Definisi Atribut Menentukan dan mengelola definisi atribut keamanan kustom. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Pembaca Definisi Atribut Baca definisi atribut keamanan kustom. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administrator Autentikasi Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk pengguna non-admin. c4e39bd9-1100-46d3-8c65-fb160da0071f
Admin Kebijakan Autentikasi Dapat membuat dan mengelola kebijakan metode autentikasi, pengaturan MFA di seluruh penyewa, kebijakan perlindungan kata sandi, dan kredensial yang dapat diverifikasi. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Admin Lokal Perangkat Gabungan Azure Active Directory Pengguna yang ditetapkan ke peran ini ditambahkan ke grup admin lokal di perangkat yang tergabung dengan AAD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Admin Azure DevOps Dapat mengelola kebijakan dan pengaturan Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Admin Perlindungan Informasi Azure Dapat mengelola semua aspek produk Perlindungan Informasi Azure. 7495fdc4-34c4-4d15-a289-98788ce399fd
Admin Keyset IEF B2C Dapat mengelola rahasia untuk federasi dan enkripsi di Identity Experience Framework (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Admin Kebijakan IEF B2C Dapat membuat dan mengelola kebijakan kerangka kerja kepercayaan di IEF. 3edaf663-341e-4475-9f94-5c398ef6c070
Admin Penagihan Dapat melakukan tugas terkait penagihan umum seperti memperbarui informasi pembayaran. b0f54661-2d74-4c50-afa3-1ec803f12efe
Administrator Microsoft Cloud App Security Dapat mengelola semua aspek produk Aplikasi Defender untuk Cloud. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrator Aplikasi Cloud Dapat membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan kecuali proksi aplikasi. 158c047a-c907-4556-b7ef-446551a6b5f7
Admin Perangkat Cloud Akses terbatas untuk mengelola perangkat di Azure Active Directory. 7698a772-787b-4ac8-901f-60d6b08affd2
Admin Kepatuhan Dapat membaca dan mengelola konfigurasi dan laporan kepatuhan di AAD dan Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Admin Data Kepatuhan Membuat dan mengelola konten kepatuhan. e6d1a23a-da11-4be4-9570-befc86d067a7
Admin Akses Bersyarat Dapat mengelola kemampuan Akses Bersyarat. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Pemberi Persetujuan Akses LockBox Pelanggan Dapat menyetujui permintaan dukungan Microsoft untuk mengakses data organisasi pelanggan. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Admin Analitik Desktop Dapat mengakses dan mengelola alat dan layanan manajemen Desktop. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Pembaca Direktori Dapat membaca informasi direktori dasar. Umum digunakan untuk memberikan akses baca direktori pada aplikasi dan tamu. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Akun Sinkronisasi Direktori Hanya digunakan oleh layanan Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Penulis Direktori Dapat membaca dan menulis informasi direktori dasar. Untuk memberikan akses ke aplikasi, tidak ditujukan untuk pengguna. 9360feb5-f418-4baa-8175-e2a00bac4301
Admin Nama Domain Dapat mengelola nama domain di cloud dan lokal. 8329153b-31d0-4727-b945-745eb3bc5f31
Admin Dynamics 365 Dapat mengelola semua aspek produk Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Administrator Edge Mengelola semua aspek Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Admin Exchange Dapat mengelola semua aspek produk Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Admin Penerima Exchange Dapat membuat atau memperbarui penerima Exchange Online dalam organisasi Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Admin Alur Pengguna ID Eksternal Dapat membuat dan mengelola semua aspek alur pengguna. 6e591065-9bad-43ed-90f3-e9424366d2f0
Admin Atribut Alur Pengguna ID Eksternal Dapat membuat dan mengelola skema atribut yang tersedia untuk semua alur pengguna. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Admin IdP Eksternal Mengonfigurasi IdP untuk digunakan dalam federasi langsung. be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrator Global Dapat mengelola semua aspek layanan AAD dan Microsoft yang menggunakan identitas AAD. 62e90394-69f5-4237-9190-012177145e10
Pembaca Global Dapat membaca semua yang dapat dibaca oleh Administrator Global, tetapi tidak memperbarui apa pun. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Admin Grup Anggota peran ini dapat membuat/mengelola grup, membuat/mengelola pengaturan grup seperti penamaan dan kebijakan kedaluwarsa, serta melihat aktivitas grup dan laporan audit. fdd7a751-b60b-444a-984c-02652fe8fa1c
Pengundang Tamu Dapat mengundang pengguna tamu yang independen dari pengaturan 'anggota dapat mengundang tamu'. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Admin Bantuan Teknis Dapat mengatur ulang kata sandi untuk non-admin dan admin Bantuan Teknis. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Admin Identitas Hibrid Dapat mengelola provisi cloud AD ke Azure AD, Azure AD Connect, Autentikasi Pass-through (PTA), Sinkronisasi hash kata sandi (PHS), Akses menyeluruh tanpa hambatan (SSO tanpa hambatan), dan pengaturan federasi. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrator Tata Kelola Identitas Mengelola akses menggunakan Azure Active Directory untuk skenario tata kelola identitas. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Admin Insight Memiliki akses administratif di aplikasi Insight Microsoft 365. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analis Insights Akses kemampuan analitik di Microsoft Viva Insights dan jalankan kueri kustom. 25df335f-86eb-4119-b717-0ff02de207e9
Pemimpin Bisnis Insight Dapat melihat dan berbagi dasbor dan wawasan melalui aplikasi Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Admin Intune Dapat mengelola semua aspek produk Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Admin Kaizala Dapat mengelola pengaturan untuk Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Admin Pengetahuan Dapat mengonfigurasi pengetahuan, pembelajaran, dan fitur cerdas lainnya. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Manajer Pengetahuan Dapat mengatur, membuat, mengelola, dan mempromosikan topik dan pengetahuan. 744ec460-397e-42ad-a462-8b3f9747a02c
Admin Lisensi Dapat mengelola lisensi produk pada pengguna dan grup. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Administrator Alur Kerja Siklus Hidup Buat dan kelola semua aspek alur kerja dan tugas yang terkait dengan Alur Kerja Siklus Hidup di Azure AD. 59d46f88-662b-457b-bceb-5c3809e5908f
Pembaca Privasi Pusat Pesan Dapat membaca pesan dan pembaruan keamanan hanya di Pusat Pesan Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Pembaca Pusat Pesan Dapat membaca pesan dan pembaruan untuk organisasi mereka hanya di Pusat Pesan Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft Administrator Garansi Perangkat Keras Buat dan kelola semua aspek klaim garansi dan hak untuk Microsoft perangkat keras yang diproduksi, seperti Surface dan HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft Spesialis Garansi Perangkat Keras Membuat dan membaca klaim garansi untuk Microsoft perangkat keras yang diproduksi, seperti Surface dan HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Pengguna Perdagangan Modern Dapat mengelola pembelian komersial untuk perusahaan, departemen, atau tim. d24aef57-1500-4070-84db-2666f29cf966
Admin Jaringan Dapat mengelola lokasi jaringan dan meninjau wawasan desain jaringan perusahaan untuk aplikasi SaaS Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Admin Aplikasi Office Dapat mengelola layanan cloud aplikasi Office, termasuk kebijakan dan manajemen pengaturan, serta mengelola kemampuan untuk memilih, membatalkan pilihan, dan menerbitkan konten fitur "yang baru" ke perangkat pengguna akhir. 2b745bdf-0803-4d80-aa65-822c4493daac
Penulis Pesan Organisasi Tulis, terbitkan, kelola, dan tinjau pesan organisasi untuk pengguna akhir melalui Microsoft permukaan produk. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Dukungan Mitra Tier1 Jangan gunakan - tidak dimaksudkan untuk penggunaan umum. 4ba39ca4-527c-499a-b93d-d9b492c50246
Dukungan Mitra Tier2 Jangan gunakan - tidak dimaksudkan untuk penggunaan umum. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Admin Kata Sandi Dapat mengatur ulang kata sandi untuk non-admin dan Admin Kata Sandi. 966707d0-3269-4727-9be2-8c3a10f19b9d
Administrator Manajemen Izin Kelola semua aspek Manajemen Izin Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Admin Power BI Dapat mengelola semua aspek produk Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Admin Microsoft Power Platform Dapat membuat dan mengelola semua aspek Microsoft Dynamics 365, Power Apps dan Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Admin Pencetak Dapat mengelola semua aspek printer dan konektor printer. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Teknisi Printer Dapat mendaftar dan membatalkan pendaftaran printer serta memperbarui status printer. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Admin Autentikasi Istimewa Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk semua pengguna (admin atau non-admin). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrator Peran Privileged Dapat mengelola penetapan peran di AAD, dan semua aspek PIM. e8611ab8-c189-46e8-94e1-60213ab1f814
Pembaca Laporan Dapat membaca laporan masuk dan audit. 4a5d8f65-41da-4de4-8968-e035b65339cf
Admin Pencarian Dapat membuat dan mengelola semua aspek pengaturan Microsoft Search. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Penyunting Pencarian Dapat membuat dan mengelola konten editorial seperti marka buku, Tanya-Jawab, lokasi, floorplan. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrator Keamanan Dapat membaca informasi dan laporan keamanan, dan mengelola konfigurasi di Azure Active Directory dan Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Operator Keamanan Membuat dan mengelola peristiwa keamanan. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Pembaca Keamanan Dapat membaca informasi dan laporan keamanan di Azure Active Directory dan Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Admin Dukungan Layanan Dapat membaca informasi kesehatan layanan dan mengelola tiket dukungan. f023fd81-a637-4b56-95fd-791ac0226033
Admin SharePoint Dapat mengelola semua aspek layanan SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Admin Skype for Business Dapat mengelola semua aspek produk Skype for Business. 75941009-915a-4869-abe7-691bff18279e
Admin Teams Dapat mengelola layanan Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Admin Komunikasi Teams Dapat mengelola fitur panggilan dan rapat dalam layanan Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teknisi Dukungan Komunikasi Teams Dapat memecahkan masalah komunikasi dalam Teams menggunakan alat tingkat lanjut. f70938a0-fc10-4177-9e90-2178f8765737
Spesialis Dukungan Komunikasi Teams Dapat memecahkan masalah komunikasi dalam Teams menggunakan alat dasar. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Admin Perangkat Teams Dapat melakukan tugas terkait manajemen pada perangkat bersertifikasi Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Pembuat Penyewa Buat penyewa Azure AD atau Azure AD B2C baru. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Pembaca Laporan Ringkasan Penggunaan Hanya dapat melihat agregat tingkat penyewa di Analitik Penggunaan Microsoft 365 dan Skor Produktivitas. 75934031-6c7e-415a-99d7-48dbd49e875e
Administrator Pengguna Dapat mengelola semua aspek pengguna dan grup, termasuk menyetel ulang kata sandi untuk admin terbatas. fe930be7-5e62-47db-91af-98c3a49a38b1
Administrator Kunjungan Virtual Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Administrator Windows 365 Dapat memprovisikan dan mengelola semua aspek PC Cloud. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Administrator Penerapan Windows Update Dapat membuat dan mengelola semua aspek penyebaran Windows Update melalui layanan penyebaran Windows Update untuk Bisnis. 32696413-001a-46ae-978c-ce0f6b3620d2
Administrator Yammer Kelola semua aspek layanan Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Admin Aplikasi

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek aplikasi perusahaan, pendaftaran aplikasi, dan pengaturan proksi aplikasi. Perhatikan bahwa pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.

Peran ini juga memberikan kemampuan untuk menyetujui izin delegasi dan izin aplikasi, dengan pengecualian izin aplikasi untuk Microsoft Graph.

Penting

Pengecualian ini berarti Anda masih dapat menyetujui izin aplikasi untuk aplikasi lain (misalnya, aplikasi non-Microsoft atau aplikasi yang telah Anda daftarkan). Anda masih dapat meminta izin ini sebagai bagian dari pendaftaran aplikasi, tetapi memberikan (yaitu, menyetujui) izin ini memerlukan admin yang lebih istimewa, seperti Administrator Global.

Peran ini memberikan kemampuan untuk mengelola info masuk aplikasi. Pengguna yang diberi peran ini dapat menambahkan info masuk ke aplikasi, dan menggunakan info masuk tersebut untuk meniru identitas aplikasi. Jika identitas aplikasi telah diberikan akses ke sumber daya, seperti kemampuan untuk membuat atau memperbarui Pengguna atau objek lain, maka pengguna yang ditetapkan untuk peran ini dapat melakukan tindakan tersebut saat meniru aplikasi. Kemampuan untuk meniru identitas aplikasi ini mungkin merupakan peningkatan hak istimewa atas apa yang dapat dilakukan pengguna melalui penetapan peran mereka. Penting untuk dipahami bahwa menetapkan pengguna ke peran Admin Aplikasi memberi mereka kemampuan untuk meniru identitas aplikasi.

Tindakan Deskripsi
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Mengelola kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/create Membuat semua jenis aplikasi
microsoft.directory/applications/delete Menghapus semua jenis aplikasi
microsoft.directory/applications/applicationProxy/read Membaca semua properti proksi aplikasi
microsoft.directory/applications/applicationProxy/update Memperbarui semua properti proksi aplikasi
microsoft.directory/applications/applicationProxyAuthentication/update Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/applicationProxySslCertificate/update Memperbarui pengaturan sertifikat SSL untuk proksi aplikasi
microsoft.directory/applications/applicationProxyUrlSettings/update Memperbarui pengaturan URL untuk proksi aplikasi
microsoft.directory/applications/appRoles/update Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update Memperbarui info masuk aplikasi
microsoft.directory/applications/extensionProperties/update Memperbarui properti ekstensi pada aplikasi
microsoft.directory/applications/notes/update Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update Memperbarui tag aplikasi
microsoft.directory/applications/verification/update Memperbarui properti applicationsverification
microsoft.directory/applications/synchronization/standard/read Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/connector/create Membuat konektor proksi aplikasi
microsoft.directory/connectors/allProperties/read Membaca semua properti konektor proksi aplikasi
microsoft.directory/connectorGroups/create Membuat grup konektor proksi aplikasi
microsoft.directory/connectorGroups/delete Menghapus grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/read Membaca semua properti grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/update Memperbarui semua properti grup konektor proksi aplikasi
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Buat dan Kelola ekstensi autentikasi kustom
microsoft.directory/deletedItems.applications/delete Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.applications/restore Memulihkan aplikasi yang dihapus sementara ke keadaan asli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/applicationPolicies/create Membuat kebijakan aplikasi
microsoft.directory/applicationPolicies/delete Menghapus kebijakan aplikasi
microsoft.directory/applicationPolicies/standard/read Membaca properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/read Membaca pemilik pada kebijakan aplikasi
microsoft.directory/applicationPolicies/policyAppliedTo/read Membaca kebijakan aplikasi yang diterapkan ke daftar objek
microsoft.directory/applicationPolicies/basic/update Memperbarui properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/update Memperbarui properti pemilik kebijakan aplikasi
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/servicePrincipals/create Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/disable Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/enable Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Memberikan persetujuan untuk izin aplikasi dan izin yang didelegasikan atas nama pengguna atau semua pengguna, kecuali untuk izin aplikasi untuk Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/audience/update Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/credentials/update Memperbarui info masuk perwakilan layanan
microsoft.directory/servicePrincipals/notes/update Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update Memperbarui properti tag untuk perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pengembang Aplikasi

Pengguna dengan peran ini dapat membuat pendaftaran aplikasi saat pengaturan ‘Pengguna dapat mendaftarkan aplikasi’ diatur ke Tidak. Peran ini juga memberikan izin untuk menyetujui atas nama seseorang ketika pengaturan "Pengguna dapat menyetujui aplikasi yang mengakses data perusahaan atas nama mereka" diatur ke Tidak. Pengguna yang ditetapkan untuk peran ini ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru.

Tindakan Deskripsi
microsoft.directory/applications/createAsOwner Membuat semua jenis aplikasi, dan pembuat ditambahkan sebagai pemilik pertama
microsoft.directory/oAuth2PermissionGrants/createAsOwner Membuat izin OAuth 2.0, dengan pembuat sebagai pemilik pertama
microsoft.directory/servicePrincipals/createAsOwner Membuat perwakilan layanan, dengan pembuat sebagai pemilik pertama

Penulis Payload Serangan

Pengguna dalam peran ini dapat membuat payload serangan tetapi tidak benar-benar meluncurkan atau menjadwalkannya. Payload serangan kemudian tersedia untuk semua admin di penyewa yang dapat menggunakannya untuk membuat simulasi.

Tindakan Deskripsi
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Membuat dan mengelola payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Membaca laporan tanggapan simulasi serangan dan pelatihan terkait

Admin Simulasi Serangan

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek pembuatan simulasi serangan, peluncuran/penjadwalan simulasi, dan tinjauan hasil simulasi. Anggota peran ini memiliki akses ini untuk semua simulasi dalam penyewa.

Tindakan Deskripsi
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Membuat dan mengelola payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Membaca laporan tanggapan simulasi serangan dan pelatihan terkait
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Membuat dan mengelola templat simulasi serangan di Simulator Serangan

Administrator Tugas Atribut

Pengguna dengan peran ini dapat menetapkan dan menghapus kunci dan nilai atribut keamanan kustom untuk objek Azure AD yang didukung, seperti pengguna, perwakilan layanan, dan perangkat.

Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan Deskripsi
microsoft.directory/attributeSets/allProperties/read Membaca semua properti set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Membaca semua properti definisi atribut keamanan kustom
microsoft.directory/devices/customSecurityAttributes/read Membaca nilai atribut keamanan kustom untuk perangkat
microsoft.directory/devices/customSecurityAttributes/update Memperbarui nilai atribut keamanan kustom untuk perangkat
microsoft.directory/servicePrincipals/customSecurityAttributes/read Membaca nilai atribut keamanan kustom untuk perwakilan layanan
microsoft.directory/servicePrincipals/customSecurityAttributes/update Memperbarui nilai atribut keamanan kustom untuk perwakilan layanan
microsoft.directory/users/customSecurityAttributes/read Membaca nilai atribut keamanan kustom untuk pengguna
microsoft.directory/users/customSecurityAttributes/update Memperbarui nilai atribut keamanan kustom untuk pengguna

Pembaca Tugas Atribut

Pengguna dengan peran ini dapat membaca kunci dan nilai atribut keamanan kustom untuk objek Azure AD yang didukung.

Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan Deskripsi
microsoft.directory/attributeSets/allProperties/read Membaca semua properti set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Membaca semua properti definisi atribut keamanan kustom
microsoft.directory/devices/customSecurityAttributes/read Membaca nilai atribut keamanan kustom untuk perangkat
microsoft.directory/servicePrincipals/customSecurityAttributes/read Membaca nilai atribut keamanan kustom untuk perwakilan layanan
microsoft.directory/users/customSecurityAttributes/read Membaca nilai atribut keamanan kustom untuk pengguna

Administrator Definisi Atribut

Pengguna dengan peran ini dapat menentukan set valid atribut keamanan kustom yang dapat ditetapkan untuk objek Azure AD yang didukung. Peran ini juga dapat mengaktifkan dan menonaktifkan atribut keamanan kustom.

Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan Deskripsi
microsoft.directory/attributeSets/allProperties/allTasks Mengelola semua aspek dari set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Mengelola semua aspek dari definisi atribut keamanan kustom

Pembaca Definisi Atribut

Pengguna dengan peran ini dapat membaca definisi atribut keamanan kustom.

Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan Deskripsi
microsoft.directory/attributeSets/allProperties/read Membaca semua properti set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Membaca semua properti definisi atribut keamanan kustom

Administrator Autentikasi

Tetapkan peran Administrator Autentikasi kepada pengguna yang perlu melakukan hal berikut:

  • Atur atau atur ulang metode autentikasi apa pun (termasuk kata sandi) untuk non-administrator dan beberapa peran. Untuk daftar peran yang dapat dibaca atau diperbarui metode autentikasinya oleh Administrator Autentikasi, lihat Siapa yang dapat mengatur ulang kata sandi.
  • Mengharuskan pengguna yang bukan administrator atau ditugaskan ke beberapa peran untuk mendaftar ulang terhadap kredensial non-kata sandi yang ada (misalnya, MFA atau FIDO), dan juga dapat mencabut ingat MFA pada perangkat, yang meminta MFA pada rincian masuk berikutnya.
  • Lakukan tindakan sensitif untuk beberapa pengguna. Untuk informasi selengkapnya, lihat Siapa yang dapat melakukan tindakan sensitif.
  • Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365.

Pengguna dengan peran ini tidak dapat melakukan hal berikut:

  • Tidak dapat mengubah kredensial atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan peran.
  • Tidak dapat mengelola pengaturan MFA di portal manajemen MFA warisan atau token OATH Perangkat Keras. Fungsi yang sama dapat dicapai menggunakan modul Azure AD PowerShell commandlet Set-MsolUser.

Tabel berikut membandingkan kemampuan peran ini dengan peran terkait.

Peran Mengelola metode autentikasi pengguna Mengelola autentikasi multifaktor per pengguna Mengelola pengaturan autentikasi multifaktor Mengelola kebijakan metode autentikasi Mengelola kebijakan perlindungan kata sandi Memperbarui properti sensitif Menghapus dan memulihkan pengguna
Administrator Autentikasi Ya untuk beberapa pengguna Ya untuk beberapa pengguna Tidak Tidak Tidak Ya untuk beberapa pengguna Ya untuk beberapa pengguna
Admin Autentikasi Istimewa Ya untuk semua pengguna Ya untuk semua pengguna Tidak Tidak Tidak Ya untuk semua pengguna Ya untuk semua pengguna
Admin Kebijakan Autentikasi Tidak Tidak Ya Ya Ya Tidak Tidak
Administrator Pengguna Tidak Tidak Tidak Tidak Tidak Ya untuk beberapa pengguna Ya untuk beberapa pengguna

Penting

Pengguna dengan peran ini dapat mengubah info masuk bagi orang yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di dalam dan di luar Azure Active Directory. Mengubah info masuk pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:

  • Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di AAD dan di tempat lain yang tidak diberikan kepada Admin Autentikasi. Melalui jalur ini, Admin Autentikasi dapat mengasumsikan identitas pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui info masuk untuk aplikasi.
  • Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
  • Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
  • Administrator di layanan lain di luar Azure AD seperti Exchange Online, Pusat Keamanan & Kepatuhan Office 365, dan sistem sumber daya manusia.
  • Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.
Tindakan Deskripsi
microsoft.directory/users/authenticationMethods/create Membuat metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/delete Menghapus metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/standard/restrictedRead Membaca properti standar metode autentikasi yang tidak menyertakan informasi pengidentifikasi pribadi bagi pengguna
microsoft.directory/users/authenticationMethods/basic/update Memperbarui properti dasar metode autentikasi untuk pengguna
microsoft.directory/deletedItems.users/restore Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/users/delete Menghapus pengguna
microsoft.directory/users/disable Menonaktifkan pengguna
microsoft.directory/users/enable Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/userPrincipalName/update Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Kebijakan Autentikasi

Tetapkan peran Administrator Kebijakan Autentikasi kepada pengguna yang perlu melakukan hal berikut:

  • Konfigurasikan kebijakan metode autentikasi, pengaturan MFA seluruh penyewa, dan kebijakan perlindungan kata sandi yang menentukan metode mana yang dapat didaftarkan dan digunakan oleh setiap pengguna.
  • Mengelola pengaturan Perlindungan Kata Sandi: konfigurasi penguncian cerdas dan memperbarui daftar kata sandi terlarang kustom.
  • Membuat dan mengelola kredensial yang dapat diverifikasi.
  • Membuat dan mengelola tiket dukungan Azure.

Pengguna dengan peran ini tidak dapat melakukan hal berikut:

Tabel berikut membandingkan kemampuan peran ini dengan peran terkait.

Peran Mengelola metode autentikasi pengguna Mengelola autentikasi multifaktor per pengguna Mengelola pengaturan autentikasi multifaktor Mengelola kebijakan metode autentikasi Mengelola kebijakan perlindungan kata sandi Memperbarui properti sensitif Menghapus dan memulihkan pengguna
Administrator Autentikasi Ya untuk beberapa pengguna Ya untuk beberapa pengguna Tidak Tidak Tidak Ya untuk beberapa pengguna Ya untuk beberapa pengguna
Admin Autentikasi Istimewa Ya untuk semua pengguna Ya untuk semua pengguna Tidak Tidak Tidak Ya untuk semua pengguna Ya untuk semua pengguna
Admin Kebijakan Autentikasi Tidak Tidak Ya Ya Ya Tidak Tidak
Administrator Pengguna Tidak Tidak Tidak Tidak Tidak Ya untuk beberapa pengguna Ya untuk beberapa pengguna
Tindakan Deskripsi
microsoft.directory/organization/strongAuthentication/allTasks Mengelola semua aspek properti autentikasi yang kuat dari suatu organisasi
microsoft.directory/userCredentialPolicies/create Membuat kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/delete Menghapus kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/standard/read Membaca properti standar kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/owners/read Membaca pemilik kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Membaca tautan navigasi policy.appliesTo
microsoft.directory/userCredentialPolicies/basic/update Memperbarui kebijakan dasar untuk pengguna
microsoft.directory/userCredentialPolicies/owners/update Memperbarui pemilik kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/tenantDefault/update Memperbarui properti policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Membaca kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Mencabut kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/create Membuat kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Membaca kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Memperbarui kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/create Membuat konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/delete Menghapus konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi dan menghapus semua kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/read Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/update Memperbarui konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure

Admin Lokal Perangkat Gabungan Azure Active Directory

Peran ini hanya tersedia untuk penetapan sebagai admin lokal tambahan di Pengaturan perangkat. Pengguna dengan peran ini menjadi admin komputer lokal di semua perangkat Windows 10 yang bergabung ke Azure Active Directory. Mereka tidak memiliki kemampuan untuk mengelola objek perangkat di Azure Active Directory.

Tindakan Deskripsi
microsoft.directory/groupSettings/standard/read Membaca properti dasar pada pengaturan grup
microsoft.directory/groupSettingTemplates/standard/read Membaca properti dasar pada templat pengaturan grup

Admin Azure DevOps

Pengguna dengan peran ini dapat mengelola semua kebijakan Azure DevOps perusahaan, berlaku untuk semua organisasi Azure DevOPS yang didukung oleh Azure AD. Pengguna dalam peran ini dapat mengelola kebijakan ini dengan menavigasi ke organisasi Azure DevOps yang didukung oleh Azure AD perusahaan. Selain itu, pengguna dalam peran ini dapat mengeklaim kepemilikan organisasi Azure DevOps tanpa sumber. Peran ini tidak memberikan izin khusus Azure DevOps lainnya (misalnya, Admin Koleksi Proyek) di dalam salah satu organisasi Azure DevOps yang didukung oleh organisasi AAD perusahaan.

Tindakan Deskripsi
microsoft.azure.devOps/allEntities/allTasks Membaca dan mengonfigurasi Azure DevOps

Admin Perlindungan Informasi Azure

Pengguna dengan peran ini memiliki semua izin di layanan Perlindungan Informasi Azure. Peran ini memungkinkan konfigurasi label untuk kebijakan Perlindungan Informasi Azure, mengelola templat perlindungan, dan mengaktifkan perlindungan. Peran ini tidak memberikan izin apa pun di Pusat Perlindungan Identitas, Privileged Identity Management, Service Health Microsoft 365 Monitor, atau Pusat Keamanan & Kepatuhan Office 365.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.azure.informationProtection/allEntities/allTasks Mengelola semua aspek Perlindungan Informasi Azure
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Keyset IEF B2C

Pengguna dapat membuat dan mengelola kunci dan rahasia kebijakan untuk enkripsi token, tanda tangan token, dan mengklaim enkripsi/dekripsi. Dengan menambahkan kunci baru ke kontainer kunci yang ada, administrator terbatas ini dapat membuka rahasia sesuai kebutuhan tanpa memengaruhi aplikasi yang ada. Pengguna ini dapat melihat konten lengkap dari rahasia ini dan tanggal kedaluwarsa mereka bahkan setelah pembuatannya.

Penting

Ini adalah peran yang sensitif. Peran administrator set kunci harus diaudit dan ditugaskan dengan hati-hati selama pra-produksi dan produksi.

Tindakan Deskripsi
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Membaca dan mengonfigurasi set kunci di Azure Active Directory B2C

Admin Kebijakan IEF B2C

Pengguna dalam peran ini memiliki kemampuan untuk membuat, membaca, memperbarui, dan menghapus semua kebijakan kustom di Azure AD B2C dan karenanya memiliki kontrol penuh atas IEF di organisasi Azure AD B2C yang relevan. Dengan menyunting kebijakan, pengguna ini dapat membentuk federasi langsung dengan IdP eksternal, mengubah skema direktori, mengubah semua konten yang berhubungan dengan pengguna (HTML, CSS, JavaScript), mengubah persyaratan untuk menyelesaikan sebuah autentikasi, membuat pengguna baru, mengirim data pengguna ke sistem eksternal termasuk migrasi penuh, dan mengedit semua informasi pengguna termasuk bidang sensitif seperti kata sandi dan nomor telepon. Sebaliknya, peran ini tidak dapat mengubah kunci enkripsi atau mengedit rahasia yang digunakan untuk federasi dalam organisasi.

Penting

Admin Kebijakan IEF B2 adalah peran yang sangat sensitif yang harus ditetapkan secara sangat terbatas untuk organisasi dalam produksi. Aktivitas oleh pengguna ini harus diaudit dengan cermat, terutama untuk organisasi dalam produksi.

Tindakan Deskripsi
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Membaca dan mengonfigurasi kebijakan kustom di Azure Active Directory B2C

Admin Penagihan

Melakukan pembelian, mengelola langganan, mengelola tiket dukungan, dan memantau kondisi layanan.

Tindakan Deskripsi
microsoft.directory/organization/basic/update Memperbarui properti dasar pada organisasi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Mengelola semua aspek tagihan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Microsoft Cloud App Security

Pengguna dengan peran ini memiliki izin penuh di Aplikasi Defender untuk Cloud. Mereka dapat menambahkan administrator, menambahkan kebijakan dan pengaturan Aplikasi Microsoft Defender untuk Cloud, mengunggah log, dan melakukan tindakan pemerintahan.

Tindakan Deskripsi
microsoft.directory/cloudAppSecurity/allProperties/allTasks Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Aplikasi Cloud

Pengguna dalam peran ini memiliki izin yang sama dengan peran Admin Aplikasi, kecuali kemampuan untuk mengelola proksi aplikasi. Peran ini memberikan kemampuan untuk membuat dan mengelola semua aspek aplikasi perusahaan dan pendaftaran aplikasi. Pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.

Peran ini juga memberikan kemampuan untuk menyetujui izin delegasi dan izin aplikasi, dengan pengecualian izin aplikasi untuk Microsoft Graph.

Penting

Pengecualian ini berarti Anda masih dapat menyetujui izin aplikasi untuk aplikasi lain (misalnya, aplikasi non-Microsoft atau aplikasi yang telah Anda daftarkan). Anda masih dapat meminta izin ini sebagai bagian dari pendaftaran aplikasi, tetapi memberikan (yaitu, menyetujui) izin ini memerlukan admin yang lebih istimewa, seperti Administrator Global.

Peran ini memberikan kemampuan untuk mengelola info masuk aplikasi. Pengguna yang diberi peran ini dapat menambahkan info masuk ke aplikasi, dan menggunakan info masuk tersebut untuk meniru identitas aplikasi. Jika identitas aplikasi telah diberikan akses ke sumber daya, seperti kemampuan untuk membuat atau memperbarui Pengguna atau objek lain, maka pengguna yang ditetapkan untuk peran ini dapat melakukan tindakan tersebut saat meniru aplikasi. Kemampuan untuk meniru identitas aplikasi ini mungkin merupakan peningkatan hak istimewa atas apa yang dapat dilakukan pengguna melalui penetapan peran mereka. Penting untuk dipahami bahwa menetapkan pengguna ke peran Admin Aplikasi memberi mereka kemampuan untuk meniru identitas aplikasi.

Tindakan Deskripsi
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Mengelola kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/create Membuat semua jenis aplikasi
microsoft.directory/applications/delete Menghapus semua jenis aplikasi
microsoft.directory/applications/appRoles/update Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update Memperbarui info masuk aplikasi
microsoft.directory/applications/extensionProperties/update Memperbarui properti ekstensi pada aplikasi
microsoft.directory/applications/notes/update Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update Memperbarui tag aplikasi
microsoft.directory/applications/verification/update Memperbarui properti applicationsverification
microsoft.directory/applications/synchronization/standard/read Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/deletedItems.applications/delete Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.applications/restore Memulihkan aplikasi yang dihapus sementara ke keadaan asli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/applicationPolicies/create Membuat kebijakan aplikasi
microsoft.directory/applicationPolicies/delete Menghapus kebijakan aplikasi
microsoft.directory/applicationPolicies/standard/read Membaca properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/read Membaca pemilik pada kebijakan aplikasi
microsoft.directory/applicationPolicies/policyAppliedTo/read Membaca kebijakan aplikasi yang diterapkan ke daftar objek
microsoft.directory/applicationPolicies/basic/update Memperbarui properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/update Memperbarui properti pemilik kebijakan aplikasi
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/servicePrincipals/create Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/disable Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/enable Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Memberikan persetujuan untuk izin aplikasi dan izin yang didelegasikan atas nama pengguna atau semua pengguna, kecuali untuk izin aplikasi untuk Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/audience/update Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/credentials/update Memperbarui info masuk perwakilan layanan
microsoft.directory/servicePrincipals/notes/update Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update Memperbarui properti tag untuk perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Perangkat Cloud

Pengguna dalam peran ini dapat mengaktifkan, menonaktifkan, dan menghapus perangkat di Azure Active Directory dan membaca kunci BitLocker Windows 10 (jika ada) di portal Microsoft Azure. Peran ini tidak memberikan izin untuk mengelola properti lain pada perangkat.

Tindakan Deskripsi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/deletedItems.devices/delete Menghapus perangkat secara permanen, yang tidak lagi dapat dipulihkan
microsoft.directory/deletedItems.devices/restore Memulihkan perangkat yang dihapus sementara ke status asli
microsoft.directory/devices/delete Menghapus perangkat dari Azure Active Directory
microsoft.directory/devices/disable Menonaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/enable Mengaktifkan perangkat di Azure Active Directory
microsoft.directory/deviceManagementPolicies/standard/read Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceManagementPolicies/basic/update Memperbarui properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/deviceRegistrationPolicy/basic/update Memperbarui properti dasar pada kebijakan pendaftaran perangkat
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365

Admin Kepatuhan

Pengguna dengan peran ini dapat mengelola fitur terkait kepatuhan di portal kepatuhan Microsoft Purview, pusat admin Microsoft 365, Azure, dan Pusat Kepatuhan Office 365 Security &. Penerima tugas juga dapat mengelola semua fitur dalam pusat admin Exchange dan pusat admin Teams & Skype for Business dan membuat tiket dukungan untuk Azure dan Microsoft 365. Informasi selengkapnya tersedia di Tentang peran admin Microsoft 365.

Dalam Dapat melakukan
Portal kepatuhan Microsoft Purview Melindungi dan mengelola data organisasi Anda di seluruh layanan Microsoft 365Kelola pemberitahuan kepatuhan
Manajer Kepatuhan Melacak, menetapkan, dan memverifikasi aktivitas kepatuhan terhadap peraturan organisasi Anda
Pusat Keamanan & Kepatuhan Office 365 Mengelola tata kelola dataPerformasi hukum dan investigasi dataKelola Permintaan Subjek DataPeran ini memiliki izin yang sama dengan RoleGroup Administrator Kepatuhan di Office 365 kontrol akses berbasis peran Security & Compliance Center.
Intune Menampilkan semua data audit Intune
Microsoft Defender for Cloud Apps Memiliki izin baca-saja dan dapat mengelola pemberitahuanBisa membuat dan mengubah kebijakan file dan mengizinkan tindakan tata kelola fileBisa melihat semua laporan bawaan di bawah Manajemen Data
Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.directory/entitlementManagement/allProperties/read Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.office365.complianceManager/allEntities/allTasks Mengelola semua aspek Manajer Kepatuhan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Data Kepatuhan

Pengguna dengan peran ini dapat memiliki izin untuk melacak data di portal kepatuhan Microsoft Purview, pusat admin Microsoft 365, dan Azure. Pengguna juga dapat melacak data kepatuhan dalam pusat admin Exchange, Manajer Kepatuhan, dan pusat admin Teams & Skype for Business dan membuat tiket dukungan untuk Azure dan Microsoft 365. Dokumentasi ini memiliki detail tentang perbedaan antara Admin Kepatuhan dan Admin Data Kepatuhan.

Dalam Dapat melakukan
Portal kepatuhan Microsoft Purview Memantau kebijakan terkait kepatuhan di seluruh layanan Microsoft 365Kelola pemberitahuan kepatuhan
Manajer Kepatuhan Melacak, menetapkan, dan memverifikasi aktivitas kepatuhan terhadap peraturan organisasi Anda
Pusat Keamanan & Kepatuhan Office 365 Kelola tata kelola dataPerformasi hukum dan investigasi dataKelola Permintaan Subjek DataPeran ini memiliki izin yang sama dengan RoleGroup Administrator Data Kepatuhan di Office 365 & kontrol akses berbasis peran Security Compliance Center.
Intune Menampilkan semua data audit Intune
Microsoft Defender for Cloud Apps Memiliki izin baca-saja dan dapat mengelola pemberitahuanBisa membuat dan mengubah kebijakan file dan mengizinkan tindakan tata kelola fileBisa melihat semua laporan bawaan di bawah Manajemen Data
Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/cloudAppSecurity/allProperties/allTasks Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud
microsoft.azure.informationProtection/allEntities/allTasks Mengelola semua aspek Perlindungan Informasi Azure
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.complianceManager/allEntities/allTasks Mengelola semua aspek Manajer Kepatuhan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Akses Bersyarat

Pengguna dengan peran ini memiliki kemampuan untuk mengelola pengaturan Akses Bersyarat Azure Active Directory.

Tindakan Deskripsi
microsoft.directory/namedLocations/create Buat aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/delete Hapus aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/standard/read Baca properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/basic/update Perbarui properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/conditionalAccessPolicies/create Membuat kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/delete Menghapus kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/standard/read Membaca akses bersyarat untuk kebijakan
microsoft.directory/conditionalAccessPolicies/owners/read Membaca pemilik kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Membaca properti "diterapkan ke" untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/basic/update Memperbarui properti dasar untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/owners/update Memperbarui pemilik untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Memperbarui penyewa default untuk kebijakan akses bersyarat

Pemberi Izin Akses Customer LockBox

Mengelola permintaan Customer Lockbox di organisasi Anda. Mereka menerima pemberitahuan surel untuk permintaan Customer Lockbox dan dapat menyetujui atau menolak permintaan dari pusat admin Microsoft 365. Mereka juga dapat mengaktifkan atau menonaktifkan fitur Customer Lockbox. Hanya Administrator Global yang dapat mengatur ulang kata sandi orang yang ditetapkan ke peran ini.

Tindakan Deskripsi
microsoft.office365.lockbox/allEntities/allTasks Mengelola semua aspek Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Analitik Desktop

Pengguna dalam peran ini dapat mengelola layanan Analitik Desktop. Ini mencakup kemampuan untuk melihat inventaris aset, membuat rencana penyebaran, dan melihat penyebaran dan status kesehatan.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks Mengelola semua aspek Analitik Desktop

Pembaca Direktori

Pengguna dalam peran ini dapat membaca informasi direktori dasar. Peran ini harus digunakan untuk:

  • Memberikan akses baca pada sekumpulan pengguna tamu tertentu alih-alih memberikan izin pada semua pengguna tamu.
  • Memberikan akses pada sekumpulan pengguna non-admin tertentu ke portal Microsoft Azure saat "Batasi akses ke portal Azure Active Directory hanya untuk admin" diatur ke "Ya".
  • Memberikan akses perwakilan layanan ke direktori saat Directory.Read.All tidak menjadi pilihan.
Tindakan Deskripsi
microsoft.directory/administrativeUnits/standard/read Membaca properti dasar pada unit administratif
microsoft.directory/administrativeUnits/members/read Membacakan anggota unit administratif
microsoft.directory/applications/standard/read Membaca properti standar aplikasi
microsoft.directory/applications/owners/read Membaca pemilik aplikasi
microsoft.directory/applications/policies/read Membaca kebijakan aplikasi
microsoft.directory/contacts/standard/read Membaca properti dasar pada kontak di Azure Active Directory
microsoft.directory/contacts/memberOf/read Membaca keanggotaan grup untuk semua kontak di Azure Active Directory
microsoft.directory/contracts/standard/read Membaca properti dasar pada kontrak mitra
microsoft.directory/devices/standard/read Membaca properti dasar pada perangkat
microsoft.directory/devices/memberOf/read Membaca keanggotaan perangkat
microsoft.directory/devices/registeredOwners/read Membaca pemilik terdaftar perangkat
microsoft.directory/devices/registeredUsers/read Membaca pengguna terdaftar perangkat
microsoft.directory/directoryRoles/standard/read Membaca properti dasar dalam peran Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Membaca peran Azure Active Directory yang memenuhi syarat
microsoft.directory/directoryRoles/members/read Membaca semua anggota peran Azure Active Directory
microsoft.directory/domains/standard/read Membaca properti dasar pada domain
microsoft.directory/groups/standard/read Baca properti standar grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/appRoleAssignments/read Membaca penetapan peran aplikasi grup
microsoft.directory/groups/memberOf/read Baca properti memberOf grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/members/read Membaca anggota grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/owners/read Membaca pemilik grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/read Membaca pengaturan grup
microsoft.directory/groupSettings/standard/read Membaca properti dasar pada pengaturan grup
microsoft.directory/groupSettingTemplates/standard/read Membaca properti dasar pada templat pengaturan grup
microsoft.directory/oAuth2PermissionGrants/standard/read Membaca properti dasar tentang pemberian izin OAuth 2.0
microsoft.directory/organization/standard/read Membaca properti dasar pada organisasi
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Membaca otoritas sertifikat tepercaya untuk autentikasi tanpa kata sandi
microsoft.directory/applicationPolicies/standard/read Membaca properti standar kebijakan aplikasi
microsoft.directory/roleAssignments/standard/read Membaca properti dasar tentang penetapan peran
microsoft.directory/roleDefinitions/standard/read Membaca properti dasar tentang definisi peran
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Membaca penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignments/read Membaca penetapan peran yang ditetapkan untuk perwakilan layanan
microsoft.directory/servicePrincipals/standard/read Membaca properti dasar perwakilan layanan
microsoft.directory/servicePrincipals/memberOf/read Membaca keanggotaan grup pada perwakilan layanan
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Membaca pemberian izin yang didelegasikan pada perwakilan layanan
microsoft.directory/servicePrincipals/owners/read Membaca pemilik perwakilan layanan
microsoft.directory/servicePrincipals/ownedObjects/read Membaca objek yang dimiliki perwakilan layanan
microsoft.directory/servicePrincipals/policies/read Membaca kebijakan perwakilan layanan
microsoft.directory/subscribedSkus/standard/read Membaca properti dasar pada langganan
microsoft.directory/users/standard/read Membaca properti dasar pada pengguna
microsoft.directory/users/appRoleAssignments/read Membaca penetapan peran aplikasi untuk pengguna
microsoft.directory/users/deviceForResourceAccount/read Membaca deviceForResourceAccount pengguna
microsoft.directory/users/directReports/read Membaca laporan langsung untuk pengguna
microsoft.directory/users/licenseDetails/read Membaca detail lisensi pengguna
microsoft.directory/users/manager/read Membaca manajer pengguna
microsoft.directory/users/memberOf/read Membaca keanggotaan grup pengguna
microsoft.directory/users/oAuth2PermissionGrants/read Membaca pemberian izin yang didelegasikan pada pengguna
microsoft.directory/users/ownedDevices/read Membaca perangkat yang dimiliki pengguna
microsoft.directory/users/ownedObjects/read Membaca objek yang dimiliki pengguna
microsoft.directory/users/photo/read Membaca foto pengguna
microsoft.directory/users/registeredDevices/read Membaca perangkat pengguna yang terdaftar
microsoft.directory/users/scopedRoleMemberOf/read Membaca keanggotaan pengguna dari peran Microsoft Azure Active Directory, yang dicakup ke unit administratif

Akun Sinkronisasi Direktori

Jangan gunakan. Peran ini secara otomatis ditetapkan ke layanan Azure AD Connect, dan tidak ditujukan atau didukung untuk penggunaan lain.

Tindakan Deskripsi
microsoft.directory/applications/create Membuat semua jenis aplikasi
microsoft.directory/applications/delete Menghapus semua jenis aplikasi
microsoft.directory/applications/appRoles/update Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update Memperbarui info masuk aplikasi
microsoft.directory/applications/notes/update Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update Memperbarui tag aplikasi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Kelola kebijakan autentikasi hibrid di Azure AD
microsoft.directory/organization/dirSync/update Memperbarui properti sinkronisasi direktori organisasi
microsoft.directory/passwordHashSync/allProperties/allTasks Kelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di Azure AD
microsoft.directory/policies/create Membuat kebijakan di Azure Active Directory
microsoft.directory/policies/delete Menghapus kebijakan di Azure Active Directory
microsoft.directory/policies/standard/read Membaca properti dasar pada kebijakan
microsoft.directory/policies/owners/read Membaca pemilik kebijakan
microsoft.directory/policies/policyAppliedTo/read Membaca properti policies.policyAppliedTo
microsoft.directory/policies/basic/update Memperbarui properti dasar pada kebijakan
microsoft.directory/policies/owners/update Memperbarui pemilik kebijakan
microsoft.directory/policies/tenantDefault/update Memperbarui kebijakan organisasi default
microsoft.directory/servicePrincipals/create Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/enable Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/disable Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Membaca penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignments/read Membaca penetapan peran yang ditetapkan untuk perwakilan layanan
microsoft.directory/servicePrincipals/standard/read Membaca properti dasar perwakilan layanan
microsoft.directory/servicePrincipals/memberOf/read Membaca keanggotaan grup pada perwakilan layanan
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Membaca pemberian izin yang didelegasikan pada perwakilan layanan
microsoft.directory/servicePrincipals/owners/read Membaca pemilik perwakilan layanan
microsoft.directory/servicePrincipals/ownedObjects/read Membaca objek yang dimiliki perwakilan layanan
microsoft.directory/servicePrincipals/policies/read Membaca kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/audience/update Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/credentials/update Memperbarui info masuk perwakilan layanan
microsoft.directory/servicePrincipals/notes/update Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update Memperbarui properti tag untuk perwakilan layanan

Penulis Direktori

Pengguna dalam peran ini dapat membaca dan memperbarui informasi dasar pengguna, grup, dan perwakilan layanan.

Tindakan Deskripsi
microsoft.directory/applications/extensionProperties/update Memperbarui properti ekstensi pada aplikasi
microsoft.directory/contacts/create Membuat kontak
microsoft.directory/groups/assignLicense Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/create Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/reprocessLicenseAssignment Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/groups/basic/update Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/classification/update Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/dynamicMembershipRule/update Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/groupType/update Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/members/update Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/onPremWriteBack/update Memperbarui grup Azure Active Directory untuk ditulis kembali ke lokal dengan Azure Active Directory Connect
microsoft.directory/groups/owners/update Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/update Memperbarui pengaturan grup
microsoft.directory/groups/visibility/update Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groupSettings/create Membuat pengaturan grup
microsoft.directory/groupSettings/delete Menghapus pengaturan grup
microsoft.directory/groupSettings/basic/update Memperbarui properti dasar pada pengaturan grup
microsoft.directory/oAuth2PermissionGrants/create Membuat pemberian izin OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/basic/update Memperbarui pemberian izin OAuth 2.0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/users/assignLicense Mengelola lisensi pengguna
microsoft.directory/users/create Menambahkan pengguna
microsoft.directory/users/disable Menonaktifkan pengguna
microsoft.directory/users/enable Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/inviteGuest Mengundang pengguna tamu
microsoft.directory/users/reprocessLicenseAssignment Memproses ulang penugasan lisensi untuk pengguna
microsoft.directory/users/basic/update Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update Memperbarui pengelola untuk pengguna
microsoft.directory/users/photo/update Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update Memperbarui Nama Prinsipal Pengguna milik pengguna

Admin Nama Domain

Pengguna dengan peran ini dapat mengelola (membaca, menambahkan, memverifikasi, memperbarui, dan menghapus) nama domain. Mereka juga dapat membaca informasi direktori tentang pengguna, grup, dan aplikasi, karena objek ini memiliki dependensi domain. Untuk lingkungan lokal, pengguna dengan peran ini dapat mengonfigurasi nama domain untuk federasi sehingga pengguna terkait selalu diautentikasi secara lokal. Pengguna ini kemudian dapat masuk ke layanan berbasis Azure Active Directory dengan kata sandi lokal mereka melalui akses menyeluruh. Pengaturan federasi perlu disinkronkan melalui Azure Active Directory Connect, sehingga pengguna juga memiliki izin untuk mengelola Azure Active Directory Connect.

Tindakan Deskripsi
microsoft.directory/domains/allProperties/allTasks Membuat dan menghapus domain, serta membaca dan memperbarui semua properti
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Dynamics 365

Pengguna dengan peran ini memiliki izin global dalam Microsoft Dynamics 365 Online, ketika layanan tersedia, serta kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan. Informasi selengkapnya dalam Menggunakan peran admin layanan untuk mengelola organisasi Azure Active Directory Anda.

Catatan

Dalam Microsoft Graph API dan Azure AD PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Dynamics 365."Itu adalah "Administrator Dynamics 365." dalam portal Azure.

Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.dynamics365/allEntities/allTasks Mengelola semua aspek Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Edge

Pengguna dalam peran ini dapat membuat dan mengelola daftar situs perusahaan yang diperlukan untuk mode Internet Explorer di Microsoft Edge. Peran ini memberikan izin untuk membuat, mengedit, dan memublikasikan daftar situs dan juga memungkinkan akses untuk mengelola tiket dukungan. Pelajari lebih lanjut

Tindakan Deskripsi
microsoft.edge/allEntities/allProperties/allTasks Mengelola semua aspek Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Exchange

Pengguna dengan peran ini memiliki izin global dalam Microsoft Exchange Online, ketika layanan tersedia. Juga memiliki kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan. Informasi selengkapnya di Tentang peran admin Microsoft 365.

Catatan

Dalam Microsoft Graph API dan Azure AD PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Exchange." Ini adalah "Administrator Exchange" dalam portal Azure. Peran ini disebut "admin Exchange Online" di pusat admin Exchange.

Tindakan Deskripsi
microsoft.directory/groups/hiddenMembers/read Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.unified/create Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/delete Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/restore Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran
microsoft.directory/groups.unified/basic/update Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/members/update Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/owners/update Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.exchange/allEntities/basic/allTasks Mengelola semua aspek Exchange Online
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Penerima Exchange

Pengguna dengan peran ini memiliki akses baca ke penerima dan akses menulis ke atribut penerima tersebut di Exchange Online. Informasi selengkapnya di Penerima Exchange.

Tindakan Deskripsi
microsoft.office365.exchange/recipients/allProperties/allTasks Membuat dan menghapus semua penerima, serta membaca dan memperbarui semua properti penerima di Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Mengelola semua tugas yang terkait dengan migrasi penerima di Exchange Online

Admin Alur Pengguna ID Eksternal

Pengguna dengan peran ini dapat membuat dan mengelola alur pengguna (juga disebut kebijakan "bawaan") di portal Microsoft Azure. Pengguna ini dapat menyesuaikan konten HTML/CSS/JavaScript, mengubah persyaratan MFA, memilih klaim di token, mengelola konektor API dan info masuknya, serta mengonfigurasi pengaturan sesi untuk semua alur pengguna di organisasi Azure AD. Di sisi lain, peran ini tidak mencakup kemampuan untuk meninjau data pengguna atau membuat perubahan pada atribut yang disertakan dalam skema organisasi. Perubahan pada kebijakan IEF (juga dikenal sebagai kebijakan kustom) juga berada di luar cakupan peran ini.

Tindakan Deskripsi
microsoft.directory/b2cUserFlow/allProperties/allTasks Membaca dan mengonfigurasi alur pengguna di Azure Active Directory B2C

Admin Atribut Alur Pengguna ID Eksternal

Pengguna dengan peran ini menambahkan atau menghapus atribut kustom yang tersedia untuk semua alur pengguna di organisasi Azure Active Directory. Dengan demikian, pengguna dengan peran ini dapat mengubah atau menambahkan elemen baru ke skema pengguna akhir dan memengaruhi perilaku semua alur pengguna dan secara tidak langsung mengakibatkan perubahan pada data apa yang mungkin diminta dari pengguna akhir dan akhirnya dikirim sebagai klaim ke aplikasi. Peran ini tidak dapat mengedit alur pengguna.

Tindakan Deskripsi
microsoft.directory/b2cUserAttribute/allProperties/allTasks Membaca dan mengonfigurasi atribut pengguna di Azure Active Directory B2C

Admin IdP Eksternal

Admin ini mengelola federasi antara organisasi Azure Active Directory dan IdP eksternal. Dengan peran ini, pengguna dapat menambahkan IdP baru dan mengonfigurasi semua pengaturan yang tersedia (misalnya jalur autentikasi, ID layanan, kontainer kunci yang ditetapkan). Pengguna ini dapat mengaktifkan organisasi Azure Active Directory untuk mempercayai autentikasi dari IdP eksternal. Dampak yang dihasilkan pada pengalaman pengguna akhir tergantung pada jenis organisasi:

  • Organisasi Azure Active Directory untuk karyawan dan mitra: Penambahan federasi (misalnya dengan Gmail) akan segera memengaruhi semua undangan tamu yang belum ditukarkan. Lihat Menambahkan Google sebagai IdP untuk pengguna tamu B2B.
  • Organisasi Azure Active Directory B2C: Penambahan federasi (misalnya, dengan Facebook, atau dengan organisasi Azure Active Directory lainnya) tidak segera memengaruhi alur pengguna akhir hingga IdP ditambahkan sebagai opsi dalam alur pengguna (juga disebut kebijakan bawaan). Lihat Mengonfigurasi akun Microsoft sebagai IdP sebagai contoh. Untuk mengubah alur pengguna, peran terbatas "Admin Aliran Pengguna B2C" diperlukan.
Tindakan Deskripsi
microsoft.directory/domains/federation/update Memperbarui properti federasi domain
microsoft.directory/identityProviders/allProperties/allTasks Membaca dan mengonfigurasi IdP di Azure Active Directory B2C

Administrator Global

Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Azure Active Directory serta layanan yang menggunakan identitas Azure Active Directory, seperti portal Microsoft 365 Defender, portal kepatuhan Microsoft Purview, Exchange Online, SharePoint Online, dan Skype untuk Bisnis Online. Selain itu, Administrator Global dapat meningkatkan akses mereka untuk mengelola semua langganan dan grup manajemen Azure. Hal ini memungkinkan Administrator Global untuk mendapatkan akses penuh ke semua sumber daya Azure menggunakan Penyewa Azure Active Directory masing-masing Admin. Orang yang mendaftar ke organisasi Azure Active Directory menjadi Administrator Global. Mungkin ada lebih dari satu Administrator Global di perusahaan Anda. Administrator Global dapat mereset kata sandi untuk setiap pengguna dan semua admin lainnya.

Catatan

Sebagai praktik terbaik, Microsoft menyarankan agar Anda menetapkan peran Administrator Global menjadi kurang dari lima orang di organisasi Anda. Untuk informasi selengkapnya, lihat Praktik terbaik untuk peran Azure Active Directory.

Tindakan Deskripsi
microsoft.directory/accessReviews/allProperties/allTasks (Tidak digunakan lagi) Membuat dan menghapus ulasan akses, membaca dan memperbarui semua properti ulasan akses, dan mengelola ulasan akses grup di Azure AD
microsoft.directory/accessReviews/definitions/allProperties/allTasks Mengelola ulasan akses semua sumber daya yang dapat ditinjau di Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Mengelola kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Membuat dan mengelola unit administratif (termasuk anggota)
microsoft.directory/appConsent/appConsentRequests/allProperties/read Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/allProperties/allTasks Membuat dan menghapus aplikasi, serta membaca dan memperbarui semua properti
microsoft.directory/applications/synchronization/standard/read Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/users/authenticationMethods/create Membuat metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/delete Menghapus metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/standard/read Membaca properti standar metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/basic/update Memperbarui properti dasar metode autentikasi untuk pengguna
microsoft.directory/authorizationPolicy/allProperties/allTasks Mengelola semua aspek kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/cloudAppSecurity/allProperties/allTasks Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud
microsoft.directory/connector/create Membuat konektor proksi aplikasi
microsoft.directory/connectors/allProperties/read Membaca semua properti konektor proksi aplikasi
microsoft.directory/connectorGroups/create Membuat grup konektor proksi aplikasi
microsoft.directory/connectorGroups/delete Menghapus grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/read Membaca semua properti grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/update Memperbarui semua properti grup konektor proksi aplikasi
microsoft.directory/contacts/allProperties/allTasks Membuat dan menghapus kontak, serta membaca dan memperbarui semua properti
microsoft.directory/contracts/allProperties/allTasks Membuat dan menghapus kontrak mitra, serta membaca dan memperbarui semua properti
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Buat dan Kelola ekstensi autentikasi kustom
microsoft.directory/deletedItems/delete Menghapus objek secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems/restore Memulihkan objek yang dihapus sementara ke status asli
microsoft.directory/devices/allProperties/allTasks Membuat dan menghapus perangkat, serta membaca dan memperbarui semua properti
microsoft.directory/namedLocations/create Buat aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/delete Hapus aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/standard/read Baca properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/basic/update Perbarui properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/deviceManagementPolicies/standard/read Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceManagementPolicies/basic/update Memperbarui properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/deviceRegistrationPolicy/basic/update Memperbarui properti dasar pada kebijakan pendaftaran perangkat
microsoft.directory/directoryRoles/allProperties/allTasks Membuat dan menghapus peran direktori, serta membaca dan memperbarui semua properti
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Membuat dan menghapus templat peran Azure Active Directory, serta membaca dan memperbarui semua properti
microsoft.directory/domains/allProperties/allTasks Membuat dan menghapus domain, serta membaca dan memperbarui semua properti
microsoft.directory/entitlementManagement/allProperties/allTasks Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/allProperties/allTasks Membuat dan menghapus grup, serta membaca dan memperbarui semua properti
microsoft.directory/groupsAssignableToRoles/create Membuat grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/delete Menghapus grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/restore Memulihkan grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/allProperties/update Memperbarui grup yang dapat diberikan peran
microsoft.directory/groupSettings/allProperties/allTasks Membuat dan menghapus pengaturan grup, serta membaca dan memperbarui semua properti
microsoft.directory/groupSettingTemplates/allProperties/allTasks Membuat dan menghapus templat pengaturan grup, serta membaca dan memperbarui semua properti
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Kelola kebijakan autentikasi hibrid di Azure AD
microsoft.directory/identityProtection/allProperties/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Azure Active Directory Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Membuat dan menghapus loginTenantBranding, serta membaca dan memperbarui semua properti
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/organization/allProperties/allTasks Membaca dan memperbarui semua properti untuk suatu organisasi
microsoft.directory/passwordHashSync/allProperties/allTasks Kelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di Azure AD
microsoft.directory/policies/allProperties/allTasks Membuat dan menghapus kebijakan, serta membaca dan memperbarui semua properti
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Mengelola semua properti kebijakan akses bersyarat
microsoft.directory/crossTenantAccessPolicy/standard/read Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/basic/update Perbarui pengaturan dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Perbarui pengaturan kolaborasi B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/create Buat kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/delete Hapus kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Perbarui pengaturan kolaborasi B2B Azure AD kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra
microsoft.directory/privilegedIdentityManagement/allProperties/read Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/roleAssignments/allProperties/allTasks Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/allTasks Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti
microsoft.directory/serviceAction/activateService Dapat melakukan tindakan "aktifkan layanan" untuk layanan
microsoft.directory/serviceAction/disableDirectoryFeature Dapat melakukan tindakan layanan "nonaktifkan fitur direktori".
microsoft.directory/serviceAction/enableDirectoryFeature Dapat melakukan tindakan layanan "aktifkan fitur direktori"
microsoft.directory/serviceAction/getAvailableExtentionProperties Dapat melakukan tindakan layanan getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks Membuat dan menghapus perwakilan layanan, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Memberikan persetujuan untuk izin apa pun untuk aplikasi apa pun
microsoft.directory/servicePrincipals/synchronization/standard/read Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.directory/subscribedSkus/allProperties/allTasks Membeli dan mengelola langganan dan menghapus langganan
microsoft.directory/users/allProperties/allTasks Membuat dan menghapus pengguna, serta membaca dan memperbarui semua properti
microsoft.directory/permissionGrantPolicies/create Membuat kebijakan pemberian izin
microsoft.directory/permissionGrantPolicies/delete Menghapus kebijakan pemberian izin
microsoft.directory/permissionGrantPolicies/standard/read Membaca properti standar kebijakan pemberian izin
microsoft.directory/permissionGrantPolicies/basic/update Memperbarui properti dasar kebijakan pemberian izin
microsoft.directory/servicePrincipalCreationPolicies/create Membuat kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipalCreationPolicies/delete Menghapus kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipalCreationPolicies/standard/read Membaca properti standar kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipalCreationPolicies/basic/update Memperbarui properti dasar kebijakan pembuatan perwakilan layanan
microsoft.directory/tenantManagement/tenants/create Membuat penyewa baru di Azure Active Directory
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Membaca kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Mencabut kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/create Membuat kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Membaca kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Memperbarui kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/create Membuat konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/delete Menghapus konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi dan menghapus semua kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/read Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/update Memperbarui konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Mengelola semua aspek alur kerja dan tugas siklus hidup di Azure AD
microsoft.azure.advancedThreatProtection/allEntities/allTasks Mengelola semua aspek Perlindungan Ancaman Tingkat Lanjut Azure
microsoft.azure.informationProtection/allEntities/allTasks Mengelola semua aspek Perlindungan Informasi Azure
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Mengelola semua aspek Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Mengelola semua aspek tagihan Office 365
microsoft.dynamics365/allEntities/allTasks Mengelola semua aspek Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Mengelola semua aspek Microsoft Edge
microsoft.flow/allEntities/allTasks Mengelola semua aspek Microsoft Power Automate
microsoft.insights/allEntities/allProperties/allTasks Mengelola semua aspek aplikasi Insights
microsoft.intune/allEntities/allTasks Mengelola semua aspek Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Mengelola semua aspek Manajer Kepatuhan Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Mengelola semua aspek Analitik Desktop
microsoft.office365.exchange/allEntities/basic/allTasks Mengelola semua aspek Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Membaca dan memperbarui semua properti pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Membaca laporan analitik pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Membaca dan memperbarui semua properti jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Mengelola visibilitas topik jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Mengelola sumber pembelajaran dan semua propertinya di Learning App.
microsoft.office365.lockbox/allEntities/allTasks Mengelola semua aspek Customer Lockbox
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.messageCenter/securityMessages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Mengelola semua aspek penulisan Microsoft 365 Pesan Organisasi
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Mengelola semua aspek pusat Keamanan dan Kepatuhan
microsoft.office365.search/content/manage Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Pusat Keamanan & Kepatuhan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.userCommunication/allEntities/allTasks Membaca dan memperbarui visibilitas pesan baru
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Mengelola semua aspek Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Mengelola semua aspek Manajemen Izin Entra
microsoft.powerApps/allEntities/allTasks Mengelola semua aspek Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Mengelola semua aspek Power BI
microsoft.teams/allEntities/allProperties/allTasks Mengelola semua sumber daya di Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Mengelola semua aspek Pertahanan Microsoft untuk Titik Akhir
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Membaca dan mengonfigurasikan semua aspek Layanan Windows Update

Pembaca Global

Pengguna dalam peran ini dapat membaca pengaturan dan informasi administratif di seluruh layanan Microsoft 365 tetapi tidak dapat mengambil tindakan manajemen. Pembaca Global adalah rekan baca-saja untuk Administrator Global. Tetapkan Pembaca Global alih-alih Administrator Global untuk perencanaan, audit, atau investigasi. Gunakan Pembaca Global dalam kombinasi dengan peran admin terbatas lainnya seperti Admin Exchange untuk mempermudah pekerjaan tanpa menetapkan peran Administrator Global. Pembaca Global bekerja dengan pusat admin Microsoft 365, pusat admin Exchange, pusat admin SharePoint, pusat admin Teams, pusat Keamanan, pusat Kepatuhan, pusat admin Microsoft Azure Active Directory, dan pusat admin Manajemen Perangkat.

Pengguna dengan peran ini tidak dapat melakukan hal berikut:

  • Tidak dapat mengakses area Layanan Pembelian di pusat admin Microsoft 365.

Catatan

Peran Pembaca Global memiliki batasan berikut:

Tindakan Deskripsi
microsoft.directory/accessReviews/allProperties/read (Tidak digunakan lagi) Baca semua properti ulasan akses
microsoft.directory/accessReviews/definitions/allProperties/read Baca semua properti ulasan akses semua sumber daya yang dapat ditinjau di Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/read Baca semua properti kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/administrativeUnits/allProperties/read Baca semua properti unit administratif, termasuk anggota
microsoft.directory/appConsent/appConsentRequests/allProperties/read Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/allProperties/read Baca semua properti (termasuk properti istimewa) di semua jenis aplikasi
microsoft.directory/applications/synchronization/standard/read Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/users/authenticationMethods/standard/restrictedRead Membaca properti standar metode autentikasi yang tidak menyertakan informasi pengidentifikasi pribadi bagi pengguna
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/cloudAppSecurity/allProperties/read Membaca semua properti untuk Aplikasi Defender untuk Cloud
microsoft.directory/connectors/allProperties/read Membaca semua properti konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/read Membaca semua properti grup konektor proksi aplikasi
microsoft.directory/contacts/allProperties/read Membaca semua properti untuk kontak
microsoft.directory/customAuthenticationExtensions/allProperties/read Baca ekstensi autentikasi kustom
microsoft.directory/devices/allProperties/read Membaca semua properti perangkat
microsoft.directory/directoryRoles/allProperties/read Membaca semua properti peran direktori
microsoft.directory/directoryRoleTemplates/allProperties/read Membaca semua properti templat peran direktori
microsoft.directory/domains/allProperties/read Membaca semua properti domain
microsoft.directory/entitlementManagement/allProperties/read Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/allProperties/read Baca semua properti (termasuk properti dengan hak istimewa) di grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groupSettings/allProperties/read Membaca semua properti pengaturan grup
microsoft.directory/groupSettingTemplates/allProperties/read Membaca semua properti templat pengaturan grup
microsoft.directory/identityProtection/allProperties/read Membaca semua sumber daya dalam Azure Active Directory Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/read Membaca semua properti untuk halaman masuk bermerek organisasi Anda
microsoft.directory/namedLocations/standard/read Baca properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/oAuth2PermissionGrants/allProperties/read Membaca semua properti pemberian izin OAuth 2.0
microsoft.directory/organization/allProperties/read Baca semua properti untuk suatu organisasi
microsoft.directory/permissionGrantPolicies/standard/read Membaca properti standar kebijakan pemberian izin
microsoft.directory/policies/allProperties/read Membaca semua properti kebijakan
microsoft.directory/conditionalAccessPolicies/allProperties/read Membaca semua properti kebijakan akses bersyarat
microsoft.directory/crossTenantAccessPolicy/standard/read Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/deviceManagementPolicies/standard/read Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/privilegedIdentityManagement/allProperties/read Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/roleAssignments/allProperties/read Membaca semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/read Membaca semua properti definisi peran
microsoft.directory/scopedRoleMemberships/allProperties/read Melihat anggota di unit administratif
microsoft.directory/serviceAction/getAvailableExtentionProperties Dapat melakukan tindakan layanan getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/baca Membaca semua properti (termasuk properti istimewa) pada servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Membaca properti standar kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.directory/subscribedSkus/allProperties/read Membaca semua properti langganan produk
microsoft.directory/users/allProperties/read Membaca semua properti pengguna
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Membaca kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Membaca kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/read Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Membaca semua properti alur kerja dan tugas siklus hidup di Azure AD
microsoft.cloudPC/allEntities/allProperties/read Membaca semua aspek Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Membaca semua sumber daya tagihan Office 365
microsoft.edge/allEntities/allProperties/read Membaca semua aspek Microsoft Edge
microsoft.insights/allEntities/allProperties/read Membaca semua aspek Insight Viva
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.messageCenter/securityMessages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Membaca semua aspek pesan organisasi Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Membaca semua properti di pusat Keamanan dan Kepatuhan
microsoft.office365.securityComplianceCenter/allEntities/read Membaca properti standar di Pusat Keamanan dan Kepatuhan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Membaca semua aspek Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Membaca semua aspek Manajemen Izin Entra
microsoft.teams/allEntities/allProperties/read Membaca semua properti Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Membaca semua aspek Kunjungan Virtual
microsoft.windows.updatesDeployments/allEntities/allProperties/read Baca semua aspek Layanan Windows Update

Admin Grup

Pengguna dalam peran ini dapat membuat/mengelola grup dan pengaturannya seperti kebijakan penamaan dan kedaluwarsa. Penting untuk dipahami bahwa menetapkan pengguna untuk peran ini memberi mereka kemampuan untuk mengelola semua grup di organisasi di berbagai beban kerja seperti Teams, SharePoint, Yammer, dan Outlook. Pengguna juga akan dapat mengelola berbagai pengaturan grup di berbagai portal admin seperti Microsoft Admin Center, portal Microsoft Azure, serta beban kerja yang spesifik seperti pusat admin Teams dan SharePoint.

Tindakan Deskripsi
microsoft.directory/deletedItems.groups/delete Menghapus grup secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.groups/restore Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/groups/assignLicense Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/create Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/hiddenMembers/read Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/reprocessLicenseAssignment Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/groups/restore Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/basic/update Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/classification/update Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/dynamicMembershipRule/update Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/groupType/update Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/members/update Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/onPremWriteBack/update Memperbarui grup Azure Active Directory untuk ditulis kembali ke lokal dengan Azure Active Directory Connect
microsoft.directory/groups/owners/update Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/update Memperbarui pengaturan grup
microsoft.directory/groups/visibility/update Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pengundang Tamu

Pengguna dalam peran ini dapat mengelola undangan pengguna tamu Azure Active Directory B2B saat pengaturan pengguna Anggota dapat mengundang diatur ke Tidak. Informasi selengkapnya tentang kolaborasi B2B di Tentang kolaborasi Azure Active Directory B2B. Ini tidak termasuk izin lainnya.

Tindakan Deskripsi
microsoft.directory/users/inviteGuest Mengundang pengguna tamu
microsoft.directory/users/standard/read Membaca properti dasar pada pengguna
microsoft.directory/users/appRoleAssignments/read Membaca penetapan peran aplikasi untuk pengguna
microsoft.directory/users/deviceForResourceAccount/read Membaca deviceForResourceAccount pengguna
microsoft.directory/users/directReports/read Membaca laporan langsung untuk pengguna
microsoft.directory/users/licenseDetails/read Membaca detail lisensi pengguna
microsoft.directory/users/manager/read Membaca manajer pengguna
microsoft.directory/users/memberOf/read Membaca keanggotaan grup pengguna
microsoft.directory/users/oAuth2PermissionGrants/read Membaca pemberian izin yang didelegasikan pada pengguna
microsoft.directory/users/ownedDevices/read Membaca perangkat yang dimiliki pengguna
microsoft.directory/users/ownedObjects/read Membaca objek yang dimiliki pengguna
microsoft.directory/users/photo/read Membaca foto pengguna
microsoft.directory/users/registeredDevices/read Membaca perangkat pengguna yang terdaftar
microsoft.directory/users/scopedRoleMemberOf/read Membaca keanggotaan pengguna dari peran Microsoft Azure Active Directory, yang dicakup ke unit administratif

Administrator Bantuan Teknis

Pengguna dengan peran ini dapat mengubah kata sandi, membatalkan token refresh, membuat dan mengelola permintaan dukungan dengan Microsoft untuk Azure dan layanan Microsoft 365, dan memantau kesehatan layanan. Membatalkan token refresh memaksa pengguna untuk masuk lagi. Apakah Admin Bantuan Teknis dapat mereset kata sandi pengguna dan membatalkan token refresh bergantung pada peran yang ditetapkan pengguna. Untuk daftar peran yang kata sandinya dapat diatur ulang dan validasi token refreshnya dapat dibatalkan oleh Administrator Helpdesk, lihat Siapa yang dapat mengatur ulang kata sandi.

Pengguna dengan peran ini tidak dapat melakukan hal berikut:

Penting

Pengguna dengan peran ini dapat mengubah kata sandi bagi orang yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di dalam dan di luar Azure Active Directory. Mengubah kata sandi seorang pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:

  • Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di Azure Active Directory dan di tempat lain yang tidak diberikan kepada Admin Bantuan Teknis. Melalui jalur ini, seorang Admin Helpdesk mungkin dapat mengasumsikan identitas seorang pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui informasi masuk untuk aplikasinya.
  • Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di Azure.
  • Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
  • Admin di layanan lain di luar AAD seperti Exchange Online, Pusat Keamanan dan Kepatuhan Office, dan sistem sumber daya manusia.
  • Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.

Mendelegasikan izin administratif atas subkumpulan pengguna dan menerapkan kebijakan ke subkumpulan pengguna dimungkinkan dengan Unit Administratif.

Peran ini sebelumnya disebut "Admin Kata Sandi" di portal Microsoft Azure. Nama "Admin Helpdesk" di Azure Active Director sekarang cocok dengan namanya di Azure Active Director PowerShell dan Microsoft Graph API.

Tindakan Deskripsi
microsoft.directory/bitlockerKeys/key/read Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/users/invalidateAllRefreshTokens Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/password/update Mengatur ulang kata sandi untuk semua pengguna
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Identitas Hibrid

Dalam peran ini, pengguna dapat membuat, mengelola, dan menyebarkan pengaturan konfigurasi provisi dari AD ke Azure AD menggunakan Provisi Cloud serta mengelola Azure AD Connect, Autentikasi Pass-through (PTA), Sinkronisasi hash kata sandi (PHS), Akses Menyeluruh Tanpa Hambatan (SSO Tanpa Hambatan), dan pengaturan federasi. Pengguna juga dapat memecahkan masalah dan memantau log menggunakan peran ini.

Tindakan Deskripsi
microsoft.directory/applications/create Membuat semua jenis aplikasi
microsoft.directory/applications/delete Menghapus semua jenis aplikasi
microsoft.directory/applications/appRoles/update Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/notes/update Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update Memperbarui tag aplikasi
microsoft.directory/applications/synchronization/standard/read Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/cloudProvisioning/allProperties/allTasks Membaca dan mengonfigurasikan semua properti layanan Provisi Cloud Azure Active Directory.
microsoft.directory/deletedItems.applications/delete Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.applications/restore Memulihkan aplikasi yang dihapus sementara ke keadaan asli
microsoft.directory/domains/allProperties/read Membaca semua properti domain
microsoft.directory/domains/federation/update Memperbarui properti federasi domain
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Kelola kebijakan autentikasi hibrid di Azure AD
microsoft.directory/organization/dirSync/update Memperbarui properti sinkronisasi direktori organisasi
microsoft.directory/passwordHashSync/allProperties/allTasks Kelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di Azure AD
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/servicePrincipals/create Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/disable Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/enable Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/audience/update Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/notes/update Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update Memperbarui properti tag untuk perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Tata Kelola Identitas

Pengguna dengan peran ini dapat mengelola konfigurasi tata kelola identitas Azure Active Directory, termasuk paket akses, tinjauan akses, katalog, dan kebijakan, memastikan akses disetujui dan ditinjau serta pengguna tamu yang tidak lagi memerlukan akses akan dihapus.

Tindakan Deskripsi
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Mengelola ulasan akses dari tugas peran aplikasi di Microsoft Azure Active Directory
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Kelola tinjauan akses untuk penetapan paket akses dalam pengelolaan pemberian hak
microsoft.directory/accessReviews/definitions.groups/allProperties/read Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Perbarui semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, tidak termasuk grup yang dapat ditetapkan peran.
microsoft.directory/accessReviews/definitions.groups/create Buat ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Hapus ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/allProperties/allTasks (Tidak digunakan lagi) Membuat dan menghapus ulasan akses, membaca dan memperbarui semua properti ulasan akses, dan mengelola ulasan akses grup di Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/members/update Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan

Admin Insight

Pengguna dalam peran ini dapat mengakses set lengkap kemampuan administratif di aplikasi Microsoft Viva Insights. Peran ini memiliki kemampuan untuk membaca informasi direktori, memantau kesehatan layanan, mengajukan tiket dukungan, dan mengakses aspek pengaturan Administrator Insights.

Pelajari lebih lanjut

Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.insights/allEntities/allProperties/allTasks Mengelola semua aspek aplikasi Insights
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Analis Insights

Tetapkan peran Analis Insights kepada pengguna yang perlu melakukan hal berikut:

  • Menganalisis data di aplikasi Microsoft Viva Insights, tetapi tidak dapat mengelola pengaturan konfigurasi apa pun
  • Buat, kelola, dan jalankan kueri
  • Melihat pengaturan dan laporan dasar di pusat admin Microsoft 365
  • Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365

Pelajari lebih lanjut

Tindakan Deskripsi
microsoft.insights/queries/allProperties/allTasks Menjalankan dan mengelola kueri di Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pemimpin Bisnis Insights

Pengguna dalam peran ini dapat mengakses set dasbor dan insight melalui aplikasi Microsoft Viva Insights. Ini termasuk akses penuh ke semua dasbor dan wawasan yang disajikan dan fungsi eksplorasi data. Pengguna dalam peran ini tidak memiliki akses ke pengaturan konfigurasi produk, yang merupakan tanggung jawab peran Administrator Insights.

Pelajari lebih lanjut

Tindakan Deskripsi
microsoft.insights/reports/allProperties/read Melihat laporan dan dasbor di aplikasi Insights
microsoft.insights/programs/allProperties/update Menyebarkan dan mengelola program di aplikasi Insights

Admin Intune

Pengguna dengan peran ini memiliki izin global dalam Microsoft Intune Online, ketika layanan tersedia. Selain itu, peran ini memiliki kemampuan untuk mengelola pengguna dan perangkat untuk mengaitkan kebijakan, serta membuat dan mengelola grup. Informasi selengkapnya di Kontrol administrasi berbasis peran (RBAC) dengan Microsoft Intune.

Peran ini dapat membuat dan mengelola semua grup keamanan. Namun, Administrator Intune tidak memiliki hak admin atas grup Office. Itu berarti admin tidak bisa memperbarui pemilik atau keanggotaan semua grup Office dalam organisasi. Namun, dia dapat mengelola grup Office yang dibuatnya yang menjadi sebagai bagian dari hak istimewa pengguna akhir. Jadi, setiap grup Office (bukan grup keamanan) yang dibuatnya harus dihitung berdasarkan kuota 250 miliknya.

Catatan

Dalam Microsoft Graph API dan Azure Ad PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Intune." Ini adalah "Administrator Intune" dalam portal Azure.

Tindakan Deskripsi
microsoft.directory/bitlockerKeys/key/read Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/contacts/create Membuat kontak
microsoft.directory/contacts/delete Menghapus kontak
microsoft.directory/contacts/basic/update Memperbarui properti dasar pada kontak
microsoft.directory/deletedItems.devices/delete Menghapus perangkat secara permanen, yang tidak lagi dapat dipulihkan
microsoft.directory/deletedItems.devices/restore Memulihkan perangkat yang dihapus sementara ke status asli
microsoft.directory/devices/create Membuat perangkat (mendaftar di Azure Active Directory)
microsoft.directory/devices/delete Menghapus perangkat dari Azure Active Directory
microsoft.directory/devices/disable Menonaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/enable Mengaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/basic/update Memperbarui properti dasar pada perangkat
microsoft.directory/devices/extensionAttributeSet1/update Memperbarui extensionAttribute1 ke properti extensionAttribute5 di perangkat
microsoft.directory/devices/extensionAttributeSet2/update Memperbarui extensionAttribute6 ke properti extensionAttribute10 di perangkat
microsoft.directory/devices/extensionAttributeSet3/update Memperbarui extensionAttribute11 ke properti extensionAttribute15 di perangkat
microsoft.directory/devices/registeredOwners/update Memperbarui pemilik terdaftar perangkat
microsoft.directory/devices/registeredUsers/update Memperbarui pengguna terdaftar perangkat
microsoft.directory/deviceManagementPolicies/standard/read Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/groups/hiddenMembers/read Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.security/create Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/delete Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/classification/update Memperbarui properti klasifikasi grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/dynamicMembershipRule/update Memperbarui aturan keanggotaan dinamis dalam Kelompok keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/visibility/update Memperbarui properti visibilitas grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/users/basic/update Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update Memperbarui pengelola untuk pengguna
microsoft.directory/users/photo/update Memperbarui foto pengguna
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Mengelola semua aspek Windows 365
microsoft.intune/allEntities/allTasks Mengelola semua aspek Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Membaca semua aspek pesan organisasi Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Kaizala

Pengguna dengan peran ini memiliki izin global untuk mengelola pengaturan dalam Microsoft Kaizala, saat layanan tersedia, serta kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan. Selain itu, pengguna dapat mengakses laporan yang terkait dengan adopsi & penggunaan Kaizala oleh Anggota organisasi dan laporan bisnis dihasilkan menggunakan tindakan Kaizala.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Pengetahuan

Pengguna dalam peran ini memiliki akses penuh ke semua pengetahuan, pembelajaran, dan fitur cerdas di pusat admin Microsoft 365. Mereka memiliki pemahaman umum tentang rangkaian produk, detail lisensi, dan memiliki tanggung jawab untuk mengontrol akses. Administrator pengetahuan dapat membuat dan mengelola konten, seperti topik, akronim, dan sumber pembelajaran. Selain itu, pengguna ini dapat membuat pusat konten, memantau kesehatan layanan, dan membuat permintaan layanan.

Tindakan Deskripsi
microsoft.directory/groups.security/create Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/createAsOwner Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran. Pembuat ditambahkan sebagai pemilik pertama.
microsoft.directory/groups.security/delete Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Membaca dan memperbarui semua properti pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Membaca dan memperbarui semua properti jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Mengelola sumber pembelajaran dan semua propertinya di Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Membaca semua properti label sensitivitas dalam Pusat Keamanan dan Kepatuhan
microsoft.office365.sharePoint/allEntities/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Manajer Pengetahuan

Pengguna dalam peran ini dapat membuat dan mengelola konten, seperti topik, akronim, dan konten pembelajaran. Pengguna ini terutama bertanggung jawab atas kualitas dan struktur pengetahuan. Pengguna ini memiliki hak penuh atas tindakan manajemen topik untuk mengonfirmasi topik, menyetujui pengeditan, atau menghapus topik. Peran ini juga dapat mengelola taksonomi sebagai bagian dari alat manajemen penyimpanan istilah dan membuat pusat konten.

Tindakan Deskripsi
microsoft.directory/groups.security/create Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/createAsOwner Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran. Pembuat ditambahkan sebagai pemilik pertama.
microsoft.directory/groups.security/delete Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Membaca laporan analitik pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Mengelola visibilitas topik jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Lisensi

Pengguna dalam peran ini dapat menambahkan, menghapus, dan memperbarui penetapan lisensi pada pengguna, grup (menggunakan lisensi berbasis grup), dan mengelola lokasi penggunaan pada pengguna. Peran ini tidak memberikan kemampuan untuk membeli atau mengelola langganan, membuat atau mengelola grup, atau membuat atau mengelola pengguna di luar lokasi penggunaan. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/groups/assignLicense Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/reprocessLicenseAssignment Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/users/assignLicense Mengelola lisensi pengguna
microsoft.directory/users/reprocessLicenseAssignment Memproses ulang penugasan lisensi untuk pengguna
microsoft.directory/users/usageLocation/update Memperbarui lokasi penggunaan pengguna
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Alur Kerja Siklus Hidup

Tetapkan peran Administrator Alur Kerja Siklus Hidup kepada pengguna yang perlu melakukan tugas-tugas berikut:

  • Membuat dan mengelola semua aspek alur kerja dan tugas yang terkait dengan Alur Kerja Siklus Hidup di Azure AD
  • Memeriksa eksekusi alur kerja terjadwal
  • Meluncurkan eksekusi alur kerja sesuai permintaan
  • Memeriksa log eksekusi alur kerja
Tindakan Deskripsi
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Mengelola semua aspek alur kerja dan tugas siklus hidup di Azure AD

Pembaca Privasi Pusat Pesan

Pengguna dalam peran ini dapat memantau semua pemberitahuan di Pusat Pesan, termasuk pesan privasi data. Pembaca Privasi Pusat Pesan mendapatkan pemberitahuan email termasuk yang terkait dengan privasi data dan mereka dapat berhenti berlangganan menggunakan Preferensi Pusat Pesan. Hanya Administrator Global dan Pembaca Privasi Pusat Pesan yang dapat membaca pesan privasi data. Selain itu, peran ini memiliki kemampuan untuk menampilkan grup, domain, dan langganan. Peran ini tidak memiliki izin untuk melihat, membuat, atau mengelola permintaan layanan.

Tindakan Deskripsi
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.messageCenter/securityMessages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pembaca Pusat Pesan

Pengguna dalam peran ini dapat memantau pemberitahuan dan pembaruan kesehatan penasihat di Pusat pesan untuk organisasi mereka pada layanan yang dikonfigurasi seperti Exchange, Intune, dan Microsoft Teams. Pembaca Pusat Pesan menerima hash email mingguan berupa posting, pembaruan, dan dapat berbagi posting pusat pesan di Microsoft 365. Di Azure Active Directory, pengguna yang ditetapkan untuk peran ini hanya akan memiliki akses baca-saja pada layanan Azure Active Directory seperti pengguna dan grup. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan Deskripsi
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Microsoft Administrator Garansi Perangkat Keras

Tetapkan peran Administrator Garansi Perangkat Keras Microsoft kepada pengguna yang perlu melakukan tugas-tugas berikut:

  • Buat klaim garansi baru untuk perangkat keras Microsoft diproduksi, seperti Surface dan HoloLens
  • Pencarian dan baca klaim garansi terbuka atau tertutup
  • Mencari dan membaca klaim garansi berdasarkan nomor seri
  • Membuat, membaca, memperbarui, dan menghapus alamat pengiriman
  • Membaca status pengiriman untuk klaim garansi terbuka
  • Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365
  • Baca Pengumuman pusat pesan di pusat admin Microsoft 365

Klaim garansi adalah permintaan agar perangkat keras diperbaiki atau diganti sesuai dengan ketentuan garansi. Untuk informasi selengkapnya, lihat Melayani sendiri permintaan layanan garansi & Surface Anda.

Tindakan Deskripsi
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Microsoft Spesialis Garansi Perangkat Keras

Tetapkan peran Microsoft Hardware Warranty Specialist kepada pengguna yang perlu melakukan tugas-tugas berikut:

  • Buat klaim garansi baru untuk perangkat keras Microsoft diproduksi, seperti Surface dan HoloLens
  • Membaca klaim garansi yang mereka buat
  • Membaca dan memperbarui alamat pengiriman yang ada
  • Membaca status pengiriman untuk klaim garansi terbuka yang mereka buat
  • Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365

Klaim garansi adalah permintaan agar perangkat keras diperbaiki atau diganti sesuai dengan ketentuan garansi. Untuk informasi selengkapnya, lihat Melayani sendiri permintaan layanan garansi & Surface Anda.

Tindakan Deskripsi
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pengguna Perdagangan Modern

Jangan gunakan. Peran ini secara otomatis ditetapkan dari Perdagangan, dan tidak dimaksudkan atau didukung untuk penggunaan lain. Lihat detail di bawah ini.

Peran Pengguna Perdagangan Modern memberi pengguna tertentu izin untuk mengakses pusat admin Microsoft 365 dan melihat entri navigasi kiri untuk Beranda, Penagihan, dan Dukungan. Konten yang tersedia di area ini dikendalikan oleh peran khusus perdagangan yang ditetapkan kepada pengguna untuk mengelola produk yang mereka beli sendiri atau untuk organisasi Anda. Ini mungkin termasuk tugas seperti membayar tagihan, atau untuk akses ke akun penagihan dan profil penagihan.

Pengguna dengan peran Pengguna Perdagangan Modern biasanya memiliki izin administratif di sistem pembelian Microsoft lainnya, tetapi tidak memiliki peran Administrator Global atau Administrator Penagihan yang digunakan untuk mengakses pusat admin.

Kapan peran Pengguna Perdagangan Modern ditetapkan?

  • Pembelian layanan mandiri di pusat admin Microsoft 365 - Pembelian layanan mandiri memberi pengguna kesempatan untuk mencoba produk baru dengan membeli atau mendaftar untuk mereka sendiri. Produk-produk ini dikelola di pusat admin. Pengguna yang melakukan pembelian layanan mandiri diberi peran dalam sistem perdagangan, dan peran Pengguna Perdagangan Modern sehingga mereka dapat mengelola pembelian mereka di pusat admin. Admin dapat memblokir pembelian layanan mandiri (untuk Power BI, Power Apps, Power automate) melalui PowerShell. Untuk informasi selengkapnya, lihat Tanya Jawab Umum pembelian mandiri.
  • Pembelian dari marketplace komersial Microsoft - Mirip dengan pembelian layanan mandiri, ketika pengguna membeli produk atau layanan dari Microsoft AppSource atau Marketplace Azure, peran Pengguna Perdagangan Modern ditetapkan jika mereka tidak memiliki peran admin Administrator Global atau Administrator Penagihan. Dalam beberapa kasus, pengguna mungkin diblokir untuk melakukan pembelian ini. Untuk informasi selengkapnya, lihat Marketplace komersial Microsoft.
  • Proposal dari Microsoft - Proposal adalah penawaran resmi dari Microsoft untuk organisasi Anda untuk membeli produk dan layanan Microsoft. Ketika orang yang menerima proposal tidak memiliki peran admin Administrator Global atau Administrator Penagihan di Azure Active Directory, mereka diberi peran khusus perdagangan untuk menyelesaikan proposal dan peran Pengguna Perdagangan Modern untuk mengakses pusat admin. Ketika mereka mengakses pusat admin, mereka hanya dapat menggunakan fitur yang diotorisasi oleh peran khusus perdagangan mereka.
  • Peran khusus perdagangan - Beberapa pengguna diberi peran khusus perdagangan. Jika pengguna bukan Administrator Global atau Administrator Penagihan, mereka mendapatkan peran Pengguna Perdagangan Modern sehingga mereka dapat mengakses pusat admin.

Jika peran Pengguna Perdagangan Modern tidak ditetapkan dari pengguna, mereka akan kehilangan akses ke pusat admin Microsoft 365. Jika mereka mengelola produk apa pun, baik untuk diri mereka sendiri atau untuk organisasi Anda, mereka tidak akan dapat mengelolanya. Ini mungkin termasuk menetapkan lisensi, mengubah metode pembayaran, membayar tagihan, atau tugas lain untuk mengelola langganan.

Tindakan Deskripsi
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Mengelola semua aspek Pusat Layanan Lisensi Volume
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Jaringan

Pengguna dalam peran ini dapat meninjau rekomendasi arsitektur perimeter jaringan dari Microsoft yang didasarkan pada telemetri jaringan dari lokasi pengguna mereka. Performa jaringan untuk Microsoft 365 bergantung pada cermatnya arsitektur perimeter jaringan pelanggan perusahaan yang umumnya bersifat spesifik ke lokasi pengguna. Peran ini memungkinkan pengeditan lokasi pengguna yang ditemukan dan konfigurasi parameter jaringan untuk lokasi tersebut untuk memfasilitasi pengukuran telemetri yang ditingkatkan dan rekomendasi desain

Tindakan Deskripsi
microsoft.office365.network/locations/allProperties/allTasks Mengelola semua aspek lokasi jaringan
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Aplikasi Office

Pengguna dalam peran ini dapat mengelola pengaturan cloud aplikasi Microsoft 365. Ini termasuk mengelola kebijakan cloud, manajemen unduhan layanan mandiri dan kemampuan untuk menampilkan laporan terkait aplikasi Office. Peran ini juga memberikan kemampuan untuk mengelola tiket dukungan, dan memantau kesehatan layanan di pusat admin utama. Pengguna yang ditetapkan untuk peran ini juga dapat mengelola komunikasi fitur baru di aplikasi Office.

Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Membaca dan memperbarui visibilitas pesan baru
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Penulis Pesan Organisasi

Tetapkan peran Penulis Pesan Organisasi kepada pengguna yang perlu melakukan tugas berikut:

  • Menulis, menerbitkan, dan menghapus pesan organisasi menggunakan pusat admin Microsoft 365 atau Microsoft Endpoint Manager
  • Mengelola opsi pengiriman pesan organisasi menggunakan pusat admin Microsoft 365 atau Microsoft Endpoint Manager
  • Membaca hasil pengiriman pesan organisasi menggunakan pusat admin Microsoft 365 atau Microsoft Endpoint Manager
  • Menampilkan laporan penggunaan dan sebagian besar pengaturan di pusat admin Microsoft 365, tetapi tidak dapat membuat perubahan
Tindakan Deskripsi
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Mengelola semua aspek penulisan Microsoft 365 Pesan Organisasi
microsoft.office365.usageReports/allEntities/standard/read Membaca laporan penggunaan agregat Office 365 tingkat penyewa
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Dukungan Mitra Tier1

Jangan gunakan. Peran ini sudah tidak digunakan lagi dan akan dihapus dari Azure Active Directory di masa mendatang. Peran ini ditujukan untuk penggunaan oleh sejumlah kecil mitra penjual kembali Microsoft, dan tidak dimaksudkan untuk penggunaan umum.

Penting

Peran ini dapat mengatur ulang kata sandi dan membatalkan token refresh hanya untuk non-administrator. Peran ini tidak boleh digunakan karena tidak digunakan lagi dan tidak akan ditampilkan lagi dalam API.

Tindakan Deskripsi
microsoft.directory/applications/appRoles/update Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update Memperbarui info masuk aplikasi
microsoft.directory/applications/notes/update Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update Memperbarui tag aplikasi
microsoft.directory/contacts/create Membuat kontak
microsoft.directory/contacts/delete Menghapus kontak
microsoft.directory/contacts/basic/update Memperbarui properti dasar pada kontak
microsoft.directory/deletedItems.groups/restore Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/deletedItems.users/restore Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/groups/create Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/restore Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/members/update Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/owners/update Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/users/assignLicense Mengelola lisensi pengguna
microsoft.directory/users/create Menambahkan pengguna
microsoft.directory/users/delete Menghapus pengguna
microsoft.directory/users/disable Menonaktifkan pengguna
microsoft.directory/users/enable Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/photo/update Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Dukungan Mitra Tier2

Jangan gunakan. Peran ini sudah tidak digunakan lagi dan akan dihapus dari Azure Active Directory di masa mendatang. Peran ini ditujukan untuk penggunaan oleh sejumlah kecil mitra penjual kembali Microsoft, dan tidak dimaksudkan untuk penggunaan umum.

Penting

Peran ini dapat mengatur ulang kata sandi dan membatalkan token refresh untuk semua non-admin dan admin (termasuk Administrator Global). Peran ini tidak boleh digunakan karena tidak digunakan lagi dan tidak akan ditampilkan lagi dalam API.

Tindakan Deskripsi
microsoft.directory/applications/appRoles/update Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update Memperbarui info masuk aplikasi
microsoft.directory/applications/notes/update Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update Memperbarui tag aplikasi
microsoft.directory/contacts/create Membuat kontak
microsoft.directory/contacts/delete Menghapus kontak
microsoft.directory/contacts/basic/update Memperbarui properti dasar pada kontak
microsoft.directory/deletedItems.groups/restore Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/deletedItems.users/restore Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/domains/allProperties/allTasks Membuat dan menghapus domain, serta membaca dan memperbarui semua properti
microsoft.directory/groups/create Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/restore Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/members/update Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/owners/update Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/organization/basic/update Memperbarui properti dasar pada organisasi
microsoft.directory/roleAssignments/allProperties/allTasks Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/allTasks Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/subscribedSkus/standard/read Membaca properti dasar pada langganan
microsoft.directory/users/assignLicense Mengelola lisensi pengguna
microsoft.directory/users/create Menambahkan pengguna
microsoft.directory/users/delete Menghapus pengguna
microsoft.directory/users/disable Menonaktifkan pengguna
microsoft.directory/users/enable Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/photo/update Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Kata Sandi

Pengguna dengan peran ini memiliki kemampuan terbatas untuk mengelola kata sandi. Peran ini tidak memberikan kemampuan untuk mengelola permintaan layanan atau memantau kesehatan layanan. Apakah Admin Kata Sandi dapat mengatur ulang kata sandi pengguna tergantung pada peran yang ditetapkan pada pengguna. Untuk daftar peran yang kata sandinya dapat diatur ulang oleh Administrator Kata Sandi, lihat Siapa yang dapat mengatur ulang kata sandi.

Pengguna dengan peran ini tidak dapat melakukan hal berikut:

Tindakan Deskripsi
microsoft.directory/users/password/update Mengatur ulang kata sandi untuk semua pengguna
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Manajemen Izin

Tetapkan peran Administrator Manajemen Izin kepada pengguna yang perlu melakukan tugas berikut:

  • Mengelola semua aspek Manajemen Izin Entra, saat layanan ada

Pelajari selengkapnya tentang peran dan kebijakan Manajemen Izin di Melihat informasi tentang peran/kebijakan.

Tindakan Deskripsi
microsoft.permissionsManagement/allEntities/allProperties/allTasks Mengelola semua aspek Manajemen Izin Entra

Admin Power BI

Pengguna dengan peran ini memiliki izin global dalam Microsoft Power BI, ketika layanan hadir, serta kemampuan untuk mengelola tiket dukungan dan memantau kondisi layanan. Informasi selengkapnya di Memahami peran Administrator Power BI.

Catatan

Dalam Microsoft Graph API dan Azure Active Directory PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Power BI". Peran ini disebut "Admin Power BI" di portal Microsoft Azure.

Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Mengelola semua aspek Power BI

Admin Power Platform

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek lingkungan, Power Apps, Alur, kebijakan Pencegahan Kehilangan Data. Selain itu, pengguna dengan peran ini memiliki kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan.

Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.dynamics365/allEntities/allTasks Mengelola semua aspek Dynamics 365
microsoft.flow/allEntities/allTasks Mengelola semua aspek Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.powerApps/allEntities/allTasks Mengelola semua aspek Power Apps

Admin Printer

Pengguna dalam peran ini dapat mendaftarkan printer dan mengelola semua aspek semua konfigurasi printer di solusi Microsoft Universal Print, termasuk pengaturan Universal Print Connector. Mereka dapat menyetujui semua permintaan izin cetak yang didelegasikan. Admin Printer juga memiliki akses untuk mencetak laporan.

Tindakan Deskripsi
microsoft.azure.print/allEntities/allProperties/allTasks Membuat dan menghapus printer dan konektor, serta membaca dan memperbarui semua properti di Microsoft Print

Teknisi Printer

Pengguna dengan peran ini dapat mendaftarkan printer dan mengelola status printer dalam solusi Microsoft Universal Print. Mereka juga dapat membaca semua informasi konektor. Tugas utama yang tidak bisa dilakukan Teknisi Printer adalah mengatur ijin pengguna pada printer dan printer berbagi.

Tindakan Deskripsi
microsoft.azure.print/connectors/allProperties/read Membaca semua properti konektor di Microsoft Print
microsoft.azure.print/printers/allProperties/read Membaca semua properti printer di Microsoft Print
microsoft.azure.print/printers/register Mendaftarkan printer di Microsoft Print
microsoft.azure.print/printers/unregister Membatalkan pendaftaran printer di Microsoft Print
microsoft.azure.print/printers/basic/update Memperbarui properti dasar printer di Microsoft Print

Administrator Autentikasi Istimewa

Tetapkan peran Administrator Autentikasi Istimewa kepada pengguna yang perlu melakukan hal berikut:

  • Atur atau atur ulang metode autentikasi apa pun (termasuk kata sandi) untuk pengguna mana pun, termasuk Administrator Global.
  • Hapus atau pulihkan pengguna apa pun, termasuk Administrator Global. Untuk informasi selengkapnya, lihat Siapa yang dapat melakukan tindakan sensitif.
  • Paksa pengguna untuk mendaftar ulang terhadap kredensial non-kata sandi yang ada (seperti MFA atau FIDO) dan mencabut ingat MFA di perangkat, meminta MFA pada rincian masuk berikutnya dari semua pengguna.
  • Memperbarui properti sensitif untuk semua pengguna. Untuk informasi selengkapnya, lihat Siapa yang dapat melakukan tindakan sensitif.
  • Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365.

Pengguna dengan peran ini tidak dapat melakukan hal berikut:

  • Tidak dapat mengelola MFA per pengguna di portal manajemen MFA warisan. Fungsi yang sama dapat dicapai menggunakan modul Azure AD PowerShell commandlet Set-MsolUser.

Tabel berikut membandingkan kemampuan peran ini dengan peran terkait.

Peran Mengelola metode autentikasi pengguna Mengelola autentikasi multifaktor per pengguna Mengelola pengaturan autentikasi multifaktor Mengelola kebijakan metode autentikasi Mengelola kebijakan perlindungan kata sandi Memperbarui properti sensitif Menghapus dan memulihkan pengguna
Administrator Autentikasi Ya untuk beberapa pengguna Ya untuk beberapa pengguna Tidak Tidak Tidak Ya untuk beberapa pengguna Ya untuk beberapa pengguna
Admin Autentikasi Istimewa Ya untuk semua pengguna Ya untuk semua pengguna Tidak Tidak Tidak Ya untuk semua pengguna Ya untuk semua pengguna
Admin Kebijakan Autentikasi Tidak Tidak Ya Ya Ya Tidak Tidak
Administrator Pengguna Tidak Tidak Tidak Tidak Tidak Ya untuk beberapa pengguna Ya untuk beberapa pengguna

Penting

Pengguna dengan peran ini dapat mengubah info masuk bagi orang yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di dalam dan di luar Azure Active Directory. Mengubah info masuk pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:

  • Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di AAD dan di tempat lain yang tidak diberikan kepada Admin Autentikasi. Melalui jalur ini, Admin Autentikasi dapat mengasumsikan identitas pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui info masuk untuk aplikasi.
  • Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
  • Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
  • Admin di layanan lain di luar AAD seperti Exchange Online, Pusat Keamanan dan Kepatuhan Office, dan sistem sumber daya manusia.
  • Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.
Tindakan Deskripsi
microsoft.directory/users/authenticationMethods/create Membuat metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/delete Menghapus metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/standard/read Membaca properti standar metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/basic/update Memperbarui properti dasar metode autentikasi untuk pengguna
microsoft.directory/deletedItems.users/restore Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/users/delete Menghapus pengguna
microsoft.directory/users/disable Menonaktifkan pengguna
microsoft.directory/users/enable Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/userPrincipalName/update Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Peran Istimewa

Pengguna dengan peran ini dapat mengelola penetapan peran di Azure Active Directory dan Azure Active Directory Privileged Identity Management. Mereka dapat membuat dan mengelola grup yang dapat ditetapkan ke peran Azure Active Directory. Selain itu, peran ini memungkinkan pengelolaan semua aspek Privileged Identity Management dan unit administratif.

Penting

Peran ini memberikan kemampuan untuk mengelola tugas untuk semua peran Azure Active Directory termasuk peran Administrator Global. Peran ini tidak mencakup kemampuan istimewa lainnya di Azure Active Directory seperti membuat atau memperbarui pengguna. Namun, pengguna yang ditetapkan untuk peran ini dapat memberikan hak istimewa tambahan kepada diri mereka sendiri atau orang lain dengan menetapkan peran tambahan.

Tindakan Deskripsi
microsoft.directory/accessReviews/definitions.applications/allProperties/read Baca semua properti ulasan akses penetapan peran aplikasi di Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Mengelola ulasan akses untuk penetapan peran Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Memperbarui semua properti ulasan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Membuat ulasan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Menghapus ulasan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Azure AD
microsoft.directory/accessReviews/definitions.groups/allProperties/read Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran.
microsoft.directory/administrativeUnits/allProperties/allTasks Membuat dan mengelola unit administratif (termasuk anggota)
microsoft.directory/authorizationPolicy/allProperties/allTasks Mengelola semua aspek kebijakan otorisasi
microsoft.directory/directoryRoles/allProperties/allTasks Membuat dan menghapus peran direktori, serta membaca dan memperbarui semua properti
microsoft.directory/groupsAssignableToRoles/create Membuat grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/delete Menghapus grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/restore Memulihkan grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/allProperties/update Memperbarui grup yang dapat diberikan peran
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar dalam Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/allTasks Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Memberikan persetujuan untuk izin apa pun untuk aplikasi apa pun
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pembaca Laporan

Pengguna dengan peran ini dapat melihat data pelaporan penggunaan dan dasbor laporan di pusat admin Microsoft 365 serta paket konteks adopsi di Power BI. Selain itu, peran ini menyediakan akses ke semua laporan, log audit, dan log masuk di Azure AD dan data yang dikembalikan oleh API pelaporan Microsoft Graph. Pengguna yang ditetapkan ke peran Pembaca Laporan hanya dapat mengakses metrik penggunaan dan adopsi yang relevan. Mereka tidak memiliki izin admin untuk mengonfigurasi pengaturan atau mengakses pusat admin khusus produk seperti Exchange. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan Deskripsi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Pencarian

Pengguna dalam peran ini memiliki akses penuh ke semua fitur manajemen Microsoft Search di pusat admin Microsoft 365. Selain itu, pengguna ini dapat melihat pusat pesan, memantau kesehatan layanan, dan membuat permintaan layanan.

Tindakan Deskripsi
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.search/content/manage Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Penyunting Pencarian

Pengguna dalam peran ini dapat membuat, mengelola, dan menghapus konten untuk Microsoft Search di pusat admin Microsoft 365, termasuk marka buku, Q&A, dan lokasi.

Tindakan Deskripsi
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.search/content/manage Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Keamanan

Pengguna dengan peran ini memiliki izin untuk mengelola fitur terkait keamanan di portal Pertahanan Microsoft 365, Azure Active Directory Identity Protection, Autentikasi Azure Active Directory, Microsoft Azure Information Protection, dan Pusat Keamanan & Kepatuhan Office 365. Informasi selengkapnya tentang izin Office 365 tersedia pada Izin di Pusat Keamanan & Kepatuhan.

Dalam Dapat melakukan
Pusat Keamanan Microsoft 365 Memantau kebijakan terkait keamanan di Microsoft 365 layananKelola ancaman keamanan dan pemberitahuanTampilkan laporan
Pusat Perlindungan Identitas Semua izin peran Pembaca KeamananTambahkan, kemampuan untuk melakukan semua operasi Pusat Perlindungan Identitas kecuali untuk mengatur ulang kata sandi
Privileged Identity Management Semua izin peran Pembaca KeamananTidak dapat mengelola Azure AD penetapan peran atau pengaturan
Pusat Keamanan & Kepatuhan Office 365 Mengelola kebijakan keamananMelihat, menyelidiki, dan menanggapi ancaman keamananTampilkan laporan
Perlindungan Ancaman Tingkat Lanjut Azure Memantau dan menanggapi aktivitas keamanan yang mencurigakan
Pertahanan Microsoft untuk Titik Akhir Menetapkan peranKelola grup komputerMengonfigurasi deteksi ancaman titik akhir dan remediasi otomatisTampilkan, selidiki, dan tanggapi pemberitahuanTampilkan inventarisasi komputer/perangkat
Intune Melihat pengguna, perangkat, pendaftaran, konfigurasi, dan informasi aplikasiTidak dapat membuat perubahan pada Intune
Microsoft Defender for Cloud Apps Menambahkan admin, menambahkan kebijakan dan pengaturan, mengunggah log, dan melakukan tindakan pemerintahan
Kesehatan layanan Microsoft 365 Melihat kesehatan layanan Microsoft 365
Penguncian cerdas Mendefinisikan ambang dan durasi penguncian saat kejadian rincian masuk yang gagal terjadi.
Perlindungan Kata Sandi Mengonfigurasi daftar kata sandi kustom yang dilarang atau perlindungan kata sandi lokal.
Tindakan Deskripsi
microsoft.directory/applications/policies/update Memperbarui kebijakan aplikasi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/crossTenantAccessPolicy/standard/read Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/basic/update Perbarui pengaturan dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Perbarui pengaturan kolaborasi B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/create Buat kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/delete Hapus kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Perbarui pengaturan kolaborasi B2B Azure AD kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra
microsoft.directory/domains/federation/update Memperbarui properti federasi domain
microsoft.directory/entitlementManagement/allProperties/read Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.directory/identityProtection/allProperties/read Membaca semua sumber daya dalam Azure Active Directory Identity Protection
microsoft.directory/identityProtection/allProperties/update Memperbarui semua sumber daya di Azure Active Directory Identity Protection
microsoft.directory/namedLocations/create Buat aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/delete Hapus aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/standard/read Baca properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/namedLocations/basic/update Perbarui properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/policies/create Membuat kebijakan di Azure Active Directory
microsoft.directory/policies/delete Menghapus kebijakan di Azure Active Directory
microsoft.directory/policies/basic/update Memperbarui properti dasar pada kebijakan
microsoft.directory/policies/owners/update Memperbarui pemilik kebijakan
microsoft.directory/policies/tenantDefault/update Memperbarui kebijakan organisasi default
microsoft.directory/conditionalAccessPolicies/create Membuat kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/delete Menghapus kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/standard/read Membaca akses bersyarat untuk kebijakan
microsoft.directory/conditionalAccessPolicies/owners/read Membaca pemilik kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Membaca properti "diterapkan ke" untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/basic/update Memperbarui properti dasar untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/owners/update Memperbarui pemilik untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Memperbarui penyewa default untuk kebijakan akses bersyarat
microsoft.directory/privilegedIdentityManagement/allProperties/read Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/servicePrincipals/policies/update Memperbarui kebijakan perwakilan layanan
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.protectionCenter/allEntities/standard/read Membaca properti standar semua sumber daya di pusat Keamanan dan Kepatuhan
microsoft.office365.protectionCenter/allEntities/basic/update Memperbarui properti dasar semua sumber daya di pusat Keamanan dan Kepatuhan
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Membuat dan mengelola payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Membaca laporan tanggapan simulasi serangan dan pelatihan terkait
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Membuat dan mengelola templat simulasi serangan di Simulator Serangan
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Operator Keamanan

Pengguna dengan peran ini dapat mengelola pemberitahuan dan memiliki akses baca-saja global pada fitur terkait keamanan, termasuk semua informasi di pusat keamanan Microsoft 365, Azure Active Directory, Perlindungan Identitas, Privileged Identity Management dan Pusat Keamanan & Kepatuhan Office 365. Informasi selengkapnya tentang izin Office 365 tersedia pada Izin di Pusat Keamanan & Kepatuhan.

Dalam Dapat melakukan
Pusat Keamanan Microsoft 365 Semua izin peran Pembaca KeamananTampilkan, selidiki, dan tanggapi pemberitahuan ancaman keamananKelola pengaturan keamanan di pusat keamanan
Azure AD Identity Protection Semua izin peran Pembaca KeamananTambahkan secara bertahap, kemampuan untuk melakukan semua operasi Pusat Perlindungan Identitas kecuali untuk mengatur ulang kata sandi dan mengonfigurasi email pemberitahuan.
Privileged Identity Management Semua izin peran Pembaca Keamanan
Pusat Keamanan & Kepatuhan Office 365 Semua izin peran Pembaca KeamananTampilkan, selidiki, dan tanggapi pemberitahuan keamanan
Pertahanan Microsoft untuk Titik Akhir Semua izin roleView Pembaca Keamanan, selidiki, dan tanggapi pemberitahuan keamananKetika Anda mengaktifkan kontrol akses berbasis peran di Microsoft Defender تېرمىنال قوغدىغۇچ, pengguna dengan izin baca-saja seperti peran Pembaca Keamanan kehilangan akses hingga mereka diberi peran Microsoft Defender تېرمىنال قوغدىغۇچ .
Intune Semua izin peran Pembaca Keamanan
Microsoft Defender for Cloud Apps Semua izin peran Pembaca KeamananTampilkan, selidiki, dan tanggapi pemberitahuan keamanan
Kesehatan layanan Microsoft 365 Melihat kesehatan layanan Microsoft 365
Tindakan Deskripsi
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/cloudAppSecurity/allProperties/allTasks Membuat dan menghapus semua sumber daya, serta baca dan perbarui properti standar di Aplikasi Microsoft Defender untuk Cloud
microsoft.directory/identityProtection/allProperties/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Azure Active Directory Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.advancedThreatProtection/allEntities/allTasks Mengelola semua aspek Perlindungan Ancaman Tingkat Lanjut Azure
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.intune/allEntities/read Membaca semua sumber daya di Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Pusat Keamanan & Kepatuhan Office 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Mengelola semua aspek Pertahanan Microsoft untuk Titik Akhir

Pembaca Keamanan

Pengguna dengan peran ini memiliki akses baca-saja global pada fitur terkait keamanan, termasuk semua informasi di pusat keamanan Microsoft 365, Azure Active Directory, Perlindungan Identitas, Privileged Identity Management, serta kemampuan untuk membaca laporan masuk dan log audit Azure Active Directory, dan di Pusat Keamanan & Kepatuhan Office 365. Informasi selengkapnya tentang izin Office 365 tersedia pada Izin di Pusat Keamanan & Kepatuhan.

Dalam Dapat melakukan
Pusat Keamanan Microsoft 365 Melihat kebijakan terkait keamanan di seluruh layanan Microsoft 365Tampilkan ancaman dan pemberitahuan keamananMelihat laporan
Pusat Perlindungan Identitas Membaca semua laporan keamanan dan informasi pengaturan untuk fitur keamananAnti-spamEncryptionData loss preventionAnti-malwareAdvanced threat protectionAnti-phishingMail flow rules
Privileged Identity Management Memiliki akses baca-saja ke semua informasi yang muncul di Azure AD Privileged Identity Management: Kebijakan dan laporan untuk penetapan peran Azure AD dan tinjauan keamanan. Tidak dapat mendaftar untuk Azure AD Privileged Identity Management atau membuat perubahan apa pun padanya. Di portal Privileged Identity Management atau melalui PowerShell, seseorang dalam peran ini dapat mengaktifkan peran tambahan (misalnya, Administrator Global atau Admin Peran Istimewa), jika penggunanya memenuhi syarat untuk itu.
Pusat Keamanan & Kepatuhan Office 365 Melihat kebijakan keamananMelihat dan menyelidiki ancaman keamananTampilkan laporan
Pertahanan Microsoft untuk Titik Akhir Lihat dan selidiki pemberitahuanKetika Anda mengaktifkan kontrol akses berbasis peran di Microsoft Defender تېرمىنال قوغدىغۇچ, pengguna dengan izin baca-saja seperti peran Pembaca Keamanan kehilangan akses hingga diberi peran Microsoft Defender تېرمىنال قوغدىغۇچ.
Intune Melihat informasi pengguna, perangkat, pendaftaran, konfigurasi, dan aplikasi. Tidak dapat membuat perubahan pada Intune.
Microsoft Defender for Cloud Apps Memiliki izin baca.
Kesehatan layanan Microsoft 365 Melihat kesehatan layanan Microsoft 365
Tindakan Deskripsi
microsoft.directory/accessReviews/definitions/allProperties/read Baca semua properti ulasan akses semua sumber daya yang dapat ditinjau di Azure AD
microsoft.directory/auditLogs/allProperties/read Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/entitlementManagement/allProperties/read Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.directory/identityProtection/allProperties/read Membaca semua sumber daya dalam Azure Active Directory Identity Protection
microsoft.directory/namedLocations/standard/read Baca properti dasar aturan kustom yang menentukan lokasi jaringan
microsoft.directory/policies/standard/read Membaca properti dasar pada kebijakan
microsoft.directory/policies/owners/read Membaca pemilik kebijakan
microsoft.directory/policies/policyAppliedTo/read Membaca properti policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Membaca akses bersyarat untuk kebijakan
microsoft.directory/conditionalAccessPolicies/owners/read Membaca pemilik kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Membaca properti "diterapkan ke" untuk kebijakan akses bersyarat
microsoft.directory/privilegedIdentityManagement/allProperties/read Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Membaca semua properti log provisi
microsoft.directory/signInReports/allProperties/read Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.protectionCenter/allEntities/standard/read Membaca properti standar semua sumber daya di pusat Keamanan dan Kepatuhan
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Membaca semua properti payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Membaca laporan tanggapan simulasi serangan dan pelatihan terkait
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Membaca semua properti templat simulasi serangan di Simulator Serangan
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Dukungan Layanan

Pengguna dengan peran ini dapat membuka permintaan dukungan dengan layanan Microsoft untuk Azure dan Microsoft 365, serta melihat dasbor layanan dan pusat pesan di portal Azure dan pusat admin Microsoft 365. Informasi selengkapnya di Tentang peran admin.

Catatan

Sebelumnya, peran ini disebut "Administrator Layanan" di portal Microsoft Azure dan pusat admin Microsoft 365. Kami telah mengganti namanya menjadi "Admin Dukungan Layanan" agar sesuai dengan nama yang ada di Microsoft Graph API dan Azure AD PowerShell.

Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin SharePoint

Pengguna dengan peran ini memiliki izin global dalam Microsoft SharePoint Online, ketika layanannya hadir, serta kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan. Informasi selengkapnya di Tentang peran admin.

Catatan

Dalam Microsoft Graph API dan Azure Ad PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan SharePoint." Ini adalah "Administrator SharePoint" dalam Azure Portal.

Catatan

Peran ini juga memberikan izin yang dicakup ke Microsoft Graph API untuk Microsoft Intune, yang memungkinkan pengelolaan dan konfigurasi kebijakan yang terkait dengan sumber daya SharePoint dan OneDrive.

Tindakan Deskripsi
microsoft.directory/groups/hiddenMembers/read Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.unified/create Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/delete Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/restore Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran
microsoft.directory/groups.unified/basic/update Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/members/update Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/owners/update Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Skype for Business

Pengguna dengan peran ini memiliki izin global dalam Microsoft Skype for Business, saat layanannya hadir, serta mengelola atribut pengguna khusus Skype di Azure Active Directory. Selain itu, peran ini memberikan kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan, dan untuk mengakses pusat admin Teams dan Skype for Business. Akun juga harus dilisensikan untuk Teams atau itu tidak dapat menjalankan cmdlet Teams PowerShell. Informasi selengkapnya tentang peran admin Skype for Business dan informasi lisensi Teams di lisensi add-on Skype for Business dan Microsoft Teams

Catatan

Dalam Microsoft Graph API dan Azure AD PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Lync." Ini adalah "Skype for Business Administrator" dalam portal Azure.

Tindakan Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Teams

Pengguna dalam peran ini dapat mengelola semua aspek beban kerja Microsoft Teams melalui pusat admin Microsoft Teams & Skype for Business dan modul PowerShell masing-masing. Ini termasuk, di antara bidang-bidang lain, semua alat manajemen yang terkait dengan telepon, Olahpesan, rapat, dan tim itu sendiri. Peran ini juga memberikan kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.directory/groups/hiddenMembers/read Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.unified/create Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/delete Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/restore Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran
microsoft.directory/groups.unified/basic/update Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/members/update Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/owners/update Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Mengelola semua sumber daya di Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/create Buat kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra

Admin Komunikasi Teams

Pengguna dalam peran ini dapat mengelola aspek beban kerja Microsoft Teams yang terkait dengan suara & telepon. Ini termasuk alat manajemen untuk penugasan nomor telepon, kebijakan suara dan rapat, dan akses penuh ke toolset analitik panggilan.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/callQuality/allProperties/read Membaca semua data di Dasbor Kualitas Panggilan (CQD)
microsoft.teams/meetings/allProperties/allTasks Mengelola rapat termasuk kebijakan rapat, konfigurasi, dan jembatan konferensi
microsoft.teams/voice/allProperties/allTasks Mengelola suara termasuk kebijakan panggilan dan inventaris nomor telepon dan penugasan

Teknisi Dukungan Komunikasi Teams

Pengguna dalam peran ini dapat memecahkan masalah komunikasi dalam Microsoft Teams & Skype for Business menggunakan alat pemecahan masalah panggilan pengguna di pusat admin Microsoft Teams & Skype for Business. Pengguna dalam peran ini dapat melihat informasi rekaman panggilan penuh untuk semua peserta yang terlibat. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Mengelola semua aspek Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/callQuality/allProperties/read Membaca semua data di Dasbor Kualitas Panggilan (CQD)

Spesialis Dukungan Komunikasi Teams

Pengguna dalam peran ini dapat memecahkan masalah komunikasi dalam Microsoft Teams & Skype for Business menggunakan alat pemecahan masalah panggilan pengguna di pusat admin Microsoft Teams & Skype for Business. Pengguna dalam peran ini hanya dapat melihat detail pengguna dalam panggilan untuk pengguna tertentu yang telah mereka cari. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan Deskripsi
microsoft.directory/authorizationPolicy/standard/read Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Mengelola semua aspek Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/callQuality/standard/read Membaca data dasar di Dasbor Kualitas Panggilan (CQD)

Admin Perangkat Teams

Pengguna dengan peran ini dapat mengelola perangkat bersertifikasi Teams dari pusat admin Teams. Peran ini memungkinkan melihat semua perangkat secara sekilas, dengan kemampuan untuk mencari dan memfilter perangkat. Pengguna dapat memeriksa detail setiap perangkat termasuk akun yang masuk, pembuat dan model perangkat. Pengguna dapat mengubah pengaturan pada perangkat dan memperbarui versi perangkat lunak. Peran ini tidak memberikan izin untuk memeriksa aktivitas Teams dan kualitas panggilan perangkat.

Tindakan Deskripsi
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/devices/standard/read Mengelola semua aspek perangkat bersertifikat Teams termasuk kebijakan konfigurasi

Pembuat Penyewa

Tetapkan peran Pembuat Teant kepada pengguna yang perlu melakukan tugas berikut:

  • Buat penyewa Azure Active Directory dan Azure Active Directory B2C meskipun pengalih pembuatan penyewa dinonaktifkan di pengaturan pengguna

Catatan

Pembuat penyewa akan diberi peran Administrator Global pada penyewa baru yang mereka buat.

Tindakan Deskripsi
microsoft.directory/tenantManagement/tenants/create Membuat penyewa baru di Azure Active Directory

Pembaca Laporan Ringkasan Penggunaan

Pengguna dengan peran ini dapat mengakses data agregat tingkat penyewa dan wawasan terkait di pusat admin Microsoft 365 untuk Skor Penggunaan dan Produktivitas tetapi tidak dapat mengakses detail atau wawasan tingkat pengguna apa pun. Di pusat admin Microsoft 365 untuk dua laporan tersebut, kami membedakan antara data agregat tingkat penyewa dan detail tingkat pengguna. Peran ini memberikan lapisan perlindungan ekstra pada data yang dapat diidentifikasi pengguna individu, yang diminta baik oleh pelanggan dan tim hukum.

Tindakan Deskripsi
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Membaca laporan penggunaan agregat Office 365 tingkat penyewa
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Pengguna

Tetapkan peran Administrator Pengguna kepada pengguna yang perlu melakukan hal berikut:

Izin Informasi selengkapnya
Membuat pengguna
Memperbarui sebagian besar properti pengguna untuk semua pengguna, termasuk semua administrator Siapa yang dapat melakukan tindakan sensitif
Memperbarui properti sensitif (termasuk nama prinsipal pengguna) untuk beberapa pengguna Siapa yang dapat melakukan tindakan sensitif
Menonaktifkan atau mengaktifkan beberapa pengguna Siapa yang dapat melakukan tindakan sensitif
Menghapus atau memulihkan beberapa pengguna Siapa yang dapat melakukan tindakan sensitif
Membuat dan mengelola tampilan pengguna
Membuat dan mengelola semua grup
Menetapkan lisensi untuk semua pengguna, termasuk semua administrator
Atur ulang kata sandi Siapa yang dapat mengatur ulang kata sandi
Membatalkan token refresh Siapa yang dapat mengatur ulang kata sandi
Memperbarui kunci perangkat (FIDO)
Memperbarui kebijakan kedaluwarsa kata sandi
Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365
Memantau kondisi layanan

Pengguna dengan peran ini tidak dapat melakukan hal berikut:

  • Tidak dapat mengelola MFA.
  • Tidak dapat mengubah kredensial atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan peran.
  • Tidak dapat mengelola kotak surat bersama.

Penting

Pengguna dengan peran ini dapat mengubah kata sandi bagi orang yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di dalam dan di luar Azure Active Directory. Mengubah kata sandi seorang pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:

  • Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di Azure Active Directory dan di tempat lain yang tidak diberikan kepada Admin Pengguna. Melalui jalur ini, seorang Admin Pengguna mungkin dapat mengasumsikan identitas seorang pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui informasi masuk untuk aplikasinya.
  • Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
  • Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
  • Admin di layanan lain di luar AAD seperti Exchange Online, Pusat Keamanan dan Kepatuhan Office, dan sistem sumber daya manusia.
  • Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.
Tindakan Deskripsi
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Mengelola ulasan akses dari tugas peran aplikasi di Microsoft Azure Active Directory
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Baca semua properti ulasan akses untuk penetapan peran Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Kelola tinjauan akses untuk penetapan paket akses dalam pengelolaan pemberian hak
microsoft.directory/accessReviews/definitions.groups/allProperties/update Perbarui semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, tidak termasuk grup yang dapat ditetapkan peran.
microsoft.directory/accessReviews/definitions.groups/create Buat ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Hapus ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran.
microsoft.directory/contacts/create Membuat kontak
microsoft.directory/contacts/delete Menghapus kontak
microsoft.directory/contacts/basic/update Memperbarui properti dasar pada kontak
microsoft.directory/deletedItems.groups/restore Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/deletedItems.users/restore Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/entitlementManagement/allProperties/allTasks Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/assignLicense Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/create Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/hiddenMembers/read Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/reprocessLicenseAssignment Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/groups/restore Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/basic/update Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/classification/update Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/dynamicMembershipRule/update Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/groupType/update Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/members/update Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/onPremWriteBack/update Memperbarui grup Azure Active Directory untuk ditulis kembali ke lokal dengan Azure Active Directory Connect
microsoft.directory/groups/owners/update Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/update Memperbarui pengaturan grup
microsoft.directory/groups/visibility/update Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/policies/standard/read Membaca properti dasar pada kebijakan
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Memperbarui penetapan peran perwakilan layanan
microsoft.directory/users/assignLicense Mengelola lisensi pengguna
microsoft.directory/users/create Menambahkan pengguna
microsoft.directory/users/delete Menghapus pengguna
microsoft.directory/users/disable Menonaktifkan pengguna
microsoft.directory/users/enable Mengaktifkan pengguna
microsoft.directory/users/inviteGuest Mengundang pengguna tamu
microsoft.directory/users/invalidateAllRefreshTokens Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/reprocessLicenseAssignment Memproses ulang penugasan lisensi untuk pengguna
microsoft.directory/users/restore Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/photo/update Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Kunjungan Virtual

Pengguna dengan peran ini dapat melakukan tugas berikut:

  • Mengelola dan mengonfigurasi semua aspek Kunjungan Virtual di Bookings di pusat admin Microsoft 365, dan di konektor EHR Teams
  • Menampilkan laporan penggunaan untuk Kunjungan Virtual di pusat admin Teams, pusat admin Microsoft 365, dan PowerBI
  • Menampilkan fitur dan pengaturan di pusat admin Microsoft 365, tetapi tidak dapat mengedit pengaturan apa pun

Kunjungan Virtual adalah cara sederhana untuk menjadwalkan dan mengelola janji temu online dan video untuk staf dan peserta. Misalnya, pelaporan penggunaan dapat menunjukkan cara mengirim pesan teks SMS sebelum janji temu dapat mengurangi jumlah orang yang tidak muncul untuk janji temu.

Tindakan Deskripsi
microsoft.virtualVisits/allEntities/allProperties/allTasks Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Windows 365

Pengguna dengan peran ini memiliki izin global pada Windows 365 sumber daya, ketika layanan ada. Selain itu, peran ini memiliki kemampuan untuk mengelola pengguna dan perangkat untuk mengaitkan kebijakan, serta membuat dan mengelola grup.

Peran ini dapat membuat dan mengelola kelompok keamanan, tetapi tidak memiliki hak administrator atas Microsoft 365 grup. Itu berarti administrator tidak dapat memperbarui pemilik atau keanggotaan grup Microsoft 365 dalam organisasi. Namun, mereka dapat mengelola grup Microsoft 365 yang mereka buat, yang merupakan bagian dari hak istimewa pengguna akhir mereka. Jadi, setiap kelompok Microsoft 365 (bukan kelompok keamanan) yang mereka buat dihitung berdasarkan kuota mereka sebesar 250.

Tetapkan peran Administrator Windows 365 kepada pengguna yang perlu melakukan tugas-tugas berikut:

  • Mengelola Windows 365 PC Cloud di Microsoft Endpoint Manager
  • Mendaftarkan dan mengelola perangkat di Azure AD, termasuk menetapkan pengguna dan kebijakan
  • Membuat dan mengelola kelompok keamanan, tetapi bukan grup yang dapat ditetapkan peran
  • Melihat properti dasar di pusat admin Microsoft 365
  • Membaca laporan penggunaan di pusat admin Microsoft 365
  • Membuat dan mengelola tiket dukungan di Azure dan pusat admin Microsoft 365
Tindakan Deskripsi
microsoft.directory/deletedItems.devices/delete Menghapus perangkat secara permanen, yang tidak lagi dapat dipulihkan
microsoft.directory/deletedItems.devices/restore Memulihkan perangkat yang dihapus sementara ke status asli
microsoft.directory/devices/create Membuat perangkat (mendaftar di Azure Active Directory)
microsoft.directory/devices/delete Menghapus perangkat dari Azure Active Directory
microsoft.directory/devices/disable Menonaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/enable Mengaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/basic/update Memperbarui properti dasar pada perangkat
microsoft.directory/devices/extensionAttributeSet1/update Memperbarui extensionAttribute1 ke properti extensionAttribute5 di perangkat
microsoft.directory/devices/extensionAttributeSet2/update Memperbarui extensionAttribute6 ke properti extensionAttribute10 di perangkat
microsoft.directory/devices/extensionAttributeSet3/update Memperbarui extensionAttribute11 ke properti extensionAttribute15 di perangkat
microsoft.directory/devices/registeredOwners/update Memperbarui pemilik terdaftar perangkat
microsoft.directory/devices/registeredUsers/update Memperbarui pengguna terdaftar perangkat
microsoft.directory/groups.security/create Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/delete Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/classification/update Memperbarui properti klasifikasi grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/dynamicMembershipRule/update Memperbarui aturan keanggotaan dinamis dalam Kelompok keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/visibility/update Memperbarui properti visibilitas grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/deviceManagementPolicies/standard/read Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.azure.supportTickets/allEntities/allTasks Membuat dan mengelola tiket dukungan Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Mengelola semua aspek Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Penerapan Windows Update

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek penyebaran Windows Update melalui layanan penyebaran Pembaruan Windows untuk Bisnis. Layanan penyebaran memungkinkan pengguna menentukan pengaturan waktu dan cara pembaruan disebarkan, dan menentukan pembaruan mana yang ditawarkan kepada grup perangkat di penyewa mereka. Hal ini juga memungkinkan pengguna untuk memantau kemajuan pembaruan.

Tindakan Deskripsi
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Membaca dan mengonfigurasikan semua aspek Layanan Windows Update

Administrator Yammer

Tetapkan peran Administrator Yammer kepada pengguna yang perlu melakukan tugas-tugas berikut:

  • Mengelola semua aspek Yammer
  • Membuat, mengelola, dan memulihkan Grup Microsoft 365, tetapi bukan grup yang dapat ditetapkan peran
  • Melihat anggota tersembunyi grup Keamanan dan grup Microsoft 365, termasuk grup yang dapat ditetapkan peran
  • Membaca laporan penggunaan di pusat admin Microsoft 365
  • Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365
  • Menampilkan pengumuman di Pusat pesan, tetapi bukan pengumuman keamanan
  • Lihat kesehatan layanan

Pelajari lebih lanjut

Tindakan Deskripsi
microsoft.directory/groups/hiddenMembers/read Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.unified/create Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/delete Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/restore Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran
microsoft.directory/groups.unified/basic/update Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/members/update Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/owners/update Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.office365.messageCenter/messages/read Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.network/performance/allProperties/read Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Mengelola semua aspek Yammer

Cara memahami izin peran

Skema untuk izin secara longgar mengikuti format REST Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Contohnya:

microsoft.directory/applications/credentials/update

Elemen izin Deskripsi
namespace Produk atau layanan yang memaparkan tugas dan ditambahkan dengan microsoft. Misalnya, di Azure Active Directory menggunakan namespace layanan microsoft.directory pada semua tugasnya.
entitas Fitur logika atau komponen yang diekspos oleh layanan di Microsoft Graph. Misalnya, Azure Active Directory mengekspos Pengguna dan Grup, OneNote memaparkan Catatan, dan Exchange memaparkan Kotak Surat dan Kalender. Ada kata kunci khusus yaitu allEntities untuk menentukan semua entitas dalam sebuah namespace layanan. Ini sering digunakan dalam peran yang memberikan akses ke seluruh produk.
propertySet Properti atau aspek spesifik entitas tempat akses diberikan. Misalnya, microsoft.directory/applications/authentication/read memberikan kemampuan untuk membaca URL balasan, URL keluar, dan properti alur implisit pada objek aplikasi di Azure AD.allProperties menunjuk semua properti entitas, termasuk properti istimewa.standard menunjuk properti umum, tetapi tidak termasuk yang istimewa yang terkait dengan tindakan read. Misalnya, microsoft.directory/user/standard/read menyertakan kemampuan untuk membaca properti standar seperti nomor telepon publik dan alamat email, tetapi bukan nomor telepon sekunder pribadi atau alamat email yang digunakan untuk autentikasi multifaktor.basic menunjuk properti umum, tetapi tidak termasuk yang istimewa yang terkait dengan tindakan update. Kumpulan properti yang bisa Anda baca mungkin berbeda dari yang bisa Anda perbarui. Itu sebabnya ada kata kunci standard dan basic untuk mencerminkannya.
tindakan Operasi diberikan, paling banyak yaitu membuat, membaca, memperbarui, atau menghapus (CRUD). Ada kata kunci spesial yaitu allTasks untuk menentukan semua kemampuan di atas (membuat, membaca, memperbarui, dan menghapus).

Peran yang tidak digunakan lagi

Peran berikut tidak boleh digunakan. Mereka sudah tidak digunakan lagi dan akan dihapus dari Azure Active Directory di masa mendatang.

  • Admin Lisensi AdHoc
  • Bergabung dengan Perangkat
  • Pengelola Perangkat
  • Pengguna Perangkat
  • Pembuat Pengguna Terverifikasi Email
  • Admin Kotak Surat
  • Bergabung dengan Perangkat Tempat Kerja

Peran yang tidak ditampilkan di portal

Tidak setiap peran yang dikembalikan oleh PowerShell atau MS Graph API terlihat di portal Microsoft Azure. Tabel berikut ini mengatur perbedaan tersebut.

Nama API Nama portal Microsoft Azure Catatan
Bergabung dengan Perangkat Tidak digunakan lagi Dokumentasi peran yang tidak digunakan lagi
Pengelola Perangkat Tidak digunakan lagi Dokumentasi peran yang tidak digunakan lagi
Pengguna Perangkat Tidak digunakan lagi Dokumentasi peran yang tidak digunakan lagi
Akun Sinkronisasi Direktori Tidak ditampilkan karena seharusnya tidak digunakan Dokumentasi Akun Sinkronisasi Direktori
Pengguna Tamu Tidak ditampilkan karena tidak dapat digunakan NA
Dukungan Mitra Tingkat 1 Tidak ditampilkan karena seharusnya tidak digunakan Dokumentasi Dukungan Mitra Tier1
Dukungan Mitra Tingkat 2 Tidak ditampilkan karena seharusnya tidak digunakan Dokumentasi Dukungan Mitra Tier2
Pengguna Tamu Terbatas Tidak ditampilkan karena tidak dapat digunakan NA
Pengguna Tidak ditampilkan karena tidak dapat digunakan NA
Bergabung dengan Perangkat Tempat Kerja Tidak digunakan lagi Dokumentasi peran yang tidak digunakan lagi

Siapa yang dapat mengatur ulang kata sandi

Dalam tabel berikut, kolom mencantumkan peran yang dapat mengatur ulang kata sandi dan membatalkan token refresh. Barisnya berisi peran yang dapat diatur ulang kata sandinya.

Tabel berikut adalah untuk peran yang ditugaskan di cakupan penyewa. Untuk peran yang ditugaskan pada cakupan unit administrasi, pembatasan lebih lanjut berlaku.

Peran yang kata sandinya dapat diatur ulang Admin Kata Sandi Admin Bantuan Teknis Admin Autentikasi Admin Pengguna Admin Autentikasi Istimewa Admin global
Admin Autentikasi     ✔️   ✔️ ✔️
Pembaca Direktori ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Admin global         ✔️ ✔️*
Admin Grup       ✔️ ✔️ ✔️
Pengundang Tamu ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Admin Bantuan Teknis   ✔️   ✔️ ✔️ ✔️
Pembaca Pusat Pesan   ✔️ ✔️ ✔️ ✔️ ✔️
Admin Kata Sandi ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Admin Autentikasi Istimewa         ✔️ ✔️
Admin Peran Istimewa         ✔️ ✔️
Pembaca Laporan   ✔️ ✔️ ✔️ ✔️ ✔️
Pengguna(tidak ada peran admin) ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Pengguna(tidak ada peran admin, tetapi anggota atau pemilik grup yang dapat diberikan peran)         ✔️ ✔️
Admin Pengguna       ✔️ ✔️ ✔️
Pembaca Laporan Ringkasan Penggunaan   ✔️ ✔️ ✔️ ✔️ ✔️

* Seorang Administrator Global tidak dapat menghapus penetapan Administrator Global miliknya sendiri. Ini untuk mencegah situasi di mana sebuah organisasi memiliki 0 Administrator Global.

Catatan

Kemampuan untuk mengatur ulang kata sandi mencakup kemampuan untuk memperbarui properti sensitif berikut yang diperlukan untuk pengaturan ulang kata sandi mandiri:

  • businessPhones
  • mobilePhone
  • otherMails

Siapa yang dapat melakukan tindakan sensitif

Beberapa administrator dapat melakukan tindakan sensitif berikut untuk beberapa pengguna. Semua pengguna dapat membaca properti sensitif.

Tindakan sensitif Nama properti sensitif
Menonaktifkan atau mengaktifkan pengguna accountEnabled
Memperbarui telepon bisnis businessPhones
Memperbarui ponsel mobilePhone
Memperbarui ID lokal yang tidak dapat diubah onPremisesImmutableId
Memperbarui email lain otherMails
Memperbarui profil kata sandi passwordProfile
Memperbarui nama prinsipal pengguna userPrincipalName
Menghapus atau memulihkan pengguna Tidak berlaku

Dalam tabel berikut, kolom mencantumkan peran yang bisa melakukan tindakan sensitif. Baris mencantumkan peran tempat tindakan sensitif dapat dilakukan.

Tabel berikut adalah untuk peran yang ditugaskan di cakupan penyewa. Untuk peran yang ditugaskan pada cakupan unit administrasi, pembatasan lebih lanjut berlaku.

Peran yang dapat dilakukan tindakan sensitif Admin Autentikasi Admin Pengguna Admin Autentikasi Istimewa Admin global
Admin Autentikasi ✔️   ✔️ ✔️
Pembaca Direktori ✔️ ✔️ ✔️ ✔️
Admin global     ✔️ ✔️
Admin Grup   ✔️ ✔️ ✔️
Pengundang Tamu ✔️ ✔️ ✔️ ✔️
Admin Bantuan Teknis   ✔️ ✔️ ✔️
Pembaca Pusat Pesan ✔️ ✔️ ✔️ ✔️
Admin Kata Sandi ✔️ ✔️ ✔️ ✔️
Admin Autentikasi Istimewa     ✔️ ✔️
Admin Peran Istimewa     ✔️ ✔️
Pembaca Laporan ✔️ ✔️ ✔️ ✔️
Pengguna(tidak ada peran admin) ✔️ ✔️ ✔️ ✔️
Pengguna(tidak ada peran admin, tetapi anggota atau pemilik grup yang dapat diberikan peran)     ✔️ ✔️
Admin Pengguna   ✔️ ✔️ ✔️
Pembaca Laporan Ringkasan Penggunaan ✔️ ✔️ ✔️ ✔️

Langkah berikutnya