Ruoli predefiniti Microsoft Entra
Se in Microsoft Entra ID un altro amministratore o un utente non amministratore deve gestire le risorse di Microsoft Entra, è necessario assegnare loro un ruolo Microsoft Entra che fornisca le autorizzazioni necessarie. Ad esempio, è possibile assegnare ruoli per consentire l'aggiunta o la modifica degli utenti, la reimpostazione delle password utente, la gestione delle licenze utente o la gestione dei nomi di dominio.
Questo articolo elenca i ruoli predefiniti di Microsoft Entra che è possibile assegnare per consentire la gestione delle risorse di Microsoft Entra. Per informazioni sulla modalità di assegnazione dei ruoli, vedere Assegnare ruoli di Microsoft Entra agli utenti. Se si stanno cercando ruoli per gestire le risorse di Azure, vedere Ruoli predefiniti di Azure.
Tutti i ruoli
| Ruolo | Descrizione | ID modello |
|---|---|---|
| Amministratore di applicazioni | Può creare e gestire tutti gli aspetti delle registrazioni app e delle app aziendali. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Sviluppatore di applicazioni | Può creare registrazioni di applicazioni indipendentemente dall'impostazione 'Gli utenti possono registrare applicazioni'. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| Autore del payload di attacco | Può creare payload di attacco che un amministratore può avviare successivamente. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Amministratore della simulazione di attacchi | Può creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Amministratore assegnazione di attributi | Assegnare le chiavi e i valori degli attributi di sicurezza personalizzati agli oggetti di Microsoft Entra supportati. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Lettore assegnazione attributi | Leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Amministratore definizione di attributi | Definisce e gestisce la definizione degli attributi di sicurezza personalizzati. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Lettore definizione di attributi | Legge la definizione degli attributi di sicurezza personalizzati. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Amministratore log attributi | Eseguire la lettura di log di controllo e configurare le impostazioni di diagnostica per gli eventi correlati agli attributi di sicurezza personalizzati. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| Lettore log attributi | Eseguire la lettura di log di controllo correlati agli attributi di sicurezza personalizzati | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| Amministratore dell'autenticazione | Può accedere per visualizzare, configurare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Amministratore dell'estendibilità dell'autenticazione | Personalizzare le esperienze di accesso e iscrizione per gli utenti creando e gestendo estensioni di autenticazione personalizzate. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| Amministratore dei criteri di autenticazione | Può creare e gestire i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant, i criteri di protezione delle password e le credenziali verificabili. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Amministratore di Azure DevOps | Può gestire i criteri e le impostazioni di Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Amministratore di Information Protection di Azure | Può gestire tutti gli aspetti del prodotto Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Amministratore del set di chiavi IEF B2C | Può gestire i segreti per la federazione e della crittografia in Identity Experience Framework (IEF). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Amministratore dei criteri IEF B2C | Può creare e gestire i criteri del framework attendibilità in Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Amministratore fatturazione | Può eseguire attività comuni relative alla fatturazione, ad esempio aggiornare le informazioni di pagamento. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Amministratore di Cloud App Security | Può gestire tutti gli aspetti del prodotto Defender for Cloud Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Amministratore di applicazioni cloud | Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali, ad eccezione del Proxy di applicazione. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| Amministratore dispositivo cloud | Accesso limitato per gestire i dispositivi in Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| Amministratore di conformità | Può eseguire la lettura e gestire i report e la configurazione di conformità in Microsoft Entra ID e Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Amministratore dei dati sulla conformità | Creare e gestire i contenuti relativi alla conformità. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Amministratore dell’accesso condizionale | Può gestire le funzionalità di accesso condizionale. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Responsabile approvazione per l'accesso a Customer Lockbox | Può approvare le richieste di supporto tecnico di Microsoft per l'accesso ai dati dell’organizzazione dei clienti. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Amministratore Desktop Analytics | Può accedere a servizi e strumenti di gestione desktop e gestirli. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Amministratori che leggono la directory | Può leggere le informazioni base della directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e agli utenti guest. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Account di sincronizzazione della directory | Usato solo dal servizio Microsoft Entra Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Amministratori che scrivono nella directory | Può leggere e scrivere le informazioni base della directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| Amministratore dei nomi di dominio | Può gestire i nomi di dominio sul cloud e in locale. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
| Amministratore di Dynamics 365 | Può gestire tutti gli aspetti del prodotto Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Amministratore di Dynamics 365 Business Central | Può accedere ed eseguire tutte le attività amministrative in ambienti Dynamics 365 Business Central. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| Amministratore Edge | Può gestire tutti gli aspetti di Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Amministratore di Exchange | Può gestire tutti gli aspetti del prodotto Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Amministratore destinatari di Exchange | Può creare o aggiornare i destinatari di Exchange Online all'interno dell'organizzazione di Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| ID esterno - Amministratore dei flussi utente | Può creare e gestire tutti gli aspetti dei flussi utente. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| ID esterno - Amministratore degli attributi dei flussi utente | Può creare e gestire lo schema dell'attributo disponibile per tutti i flussi utente. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Amministratore dei provider di identità esterni | Può configurare i provider di identità per l'uso nella federazione diretta. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Amministratore di Fabric | Può gestire tutti gli aspetti dei prodotti Fabric e Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Amministratore globale | Può gestire tutti gli aspetti di Microsoft Entra ID e dei servizi Microsoft che usano le identità di Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
| Ruolo con autorizzazioni di lettura globali | Può leggere tutti gli elementi che possono essere letti da un amministratore globale ma non può aggiornare alcun elemento. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Amministratore accesso sicuro globale | Può creare e gestire tutti gli aspetti di Accesso a Internet di Microsoft Entra e Accesso privato di Microsoft Entra, inclusa la gestione dell'accesso agli endpoint pubblici e privati. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| Amministratore di gruppi | I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Mittente dell'invito guest | Può invitare utenti ospiti indipendentemente dall'impostazione “i membri possono invitare gli ospiti”. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Amministratore di supporto tecnico | Può reimpostare le password per gli utenti non amministratori e gli amministratori supporto tecnico. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Amministratore dell’identità ibrida | Gestire Active Directory per il provisioning cloud di Microsoft Entra, Microsoft Entra Connect, l'autenticazione pass-through (PTA), la sincronizzazione dell'hash delle password (PHS), l'accesso Single Sign-On facile (seamless SSO) e le impostazioni di federazione. Non ha accesso per gestire Microsoft Entra Connect Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Amministratore di Identity Governance | Gestire l'accesso usando Microsoft Entra ID per scenari di governance delle identità. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Amministratore informazioni dettagliate | Ha accesso amministrativo nell'app Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Analista di Insights | Può accedere alle capacità analitiche in Microsoft Viva Insights ed eseguire query personalizzate. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights Business Leader | Può visualizzare e condividere dashboard e informazioni dettagliate tramite l'app Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Amministratore di Intune | Può gestire tutti gli aspetti del prodotto Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Amministratore di Kaizala | Può gestire le impostazioni per Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Amministratore delle conoscenze | Può configurare le conoscenze, l'apprendimento e altre funzionalità intelligenti. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Responsabile delle conoscenze | Può organizzare, creare, gestire e promuovere argomenti e conoscenze. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Amministratore licenze | Può gestire licenze dei prodotti per utenti e gruppi. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Amministratore flussi di lavoro del ciclo di vita | Può creare e gestire tutti gli aspetti dei flussi di lavoro e delle attività associate ai flussi di lavoro del ciclo di vita in Microsoft Entra ID. |
59d46f88-662b-457b-bceb-5c3809e5908f |
| Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi | Può leggere messaggi di sicurezza e aggiornamenti solo nel Centro messaggi di Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Ruolo con autorizzazioni di lettura per il Centro messaggi | Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Amministratore della migrazione di Microsoft 365 | Può eseguire tutte le funzionalità di migrazione per eseguire la migrazione del contenuto a Microsoft 365 usando Gestione migrazione. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| Amministratore locale del dispositivo aggiunto a Microsoft Entra | Gli utenti assegnati a questo ruolo vengono aggiunti al gruppo di amministratori locale nei dispositivi aggiunti a Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Amministratore garanzie hardware Microsoft | Può creare e gestire tutti gli aspetti relativi alle attestazioni di garanzia e ai diritti per l'hardware prodotto da Microsoft, come Surface e HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Specialista garanzie hardware Microsoft | Può creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Amministratore di Commerce moderno | Può gestire gli acquisti commerciali per una società, un reparto o un team. | d24aef57-1500-4070-84db-2666f29cf966 |
| Amministratore di rete | Può gestire i percorsi di rete ed esaminare le informazioni dettagliate sulla progettazione della rete aziendale per le applicazioni SaaS (Software as a Service) di Microsoft 365. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Amministratore delle app di Office | Può gestire servizi cloud per app di Office, inclusa la gestione di criteri e impostazioni, e può gestire la capacità di selezionare, deselezionare e pubblicare il contenuto della funzionalità "Novità" nei dispositivi dell'utente finale. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Amministratore di personalizzazione dell'organizzazione | Può gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| Responsabile approvazione dei messaggi dell'organizzazione | Può esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per la consegna nell'interfaccia di amministrazione di Microsoft 365 prima che vengano inviati agli utenti. | e48398e2-f4bb-4074-8f31-4586725e205b |
| Writer di messaggi dell'organizzazione | Può scrivere, pubblicare, gestire ed esaminare i messaggi dell'organizzazione per gli utenti finali tramite le superfici di prodotto Microsoft. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Supporto partner Livello 1 | Non usare - non destinato all'uso generale. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Supporto partner Livello 2 | Non usare - non destinato all'uso generale. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Amministratore di password | Può reimpostare le password per gli utenti non amministratori e gli utenti con il ruolo Amministratore password. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| Amministratore della gestione delle autorizzazioni | Può gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Amministratore di Power Platform | Può creare e gestire tutti gli aspetti di Microsoft Dynamics 365, Power Apps e Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Amministratore stampante | Può gestire tutti gli aspetti delle stampanti e dei connettori delle stampanti. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Tecnico della stampante | Può registrare e annullare la registrazione delle stampanti e aggiornare lo stato della stampante. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Amministratore autenticazione con privilegi | Può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Amministratore ruolo con privilegi | Può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Amministratore che legge i report | Può leggere i report delle informazioni di accesso e di controllo. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Amministratore della ricerca | Consente di creare e gestire tutti gli aspetti delle impostazioni di Microsoft Search. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Editor della ricerca | Può creare e gestire i contenuti editoriali, ad esempio segnalibri, domande e risposte, posizioni e planimetrie. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Amministratore della sicurezza | Può leggere i report e le informazioni di sicurezza e gestire la configurazione in Microsoft Entra ID e Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| Operatore per la sicurezza | Creare e gestire gli eventi di sicurezza. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Ruolo con autorizzazioni di lettura per la sicurezza | È in grado di leggere le informazioni e i rapporti sulla sicurezza in Microsoft Entra ID e Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| Amministratore servizio di supporto | Può eseguire la lettura delle informazioni di integrità dei servizi e gestire i ticket di supporto. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Amministratore di SharePoint | Può gestire tutti gli aspetti del servizio SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Amministratore di SharePoint Embedded | Gestire tutti gli aspetti dei contenitori di SharePoint Embedded. | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
| Amministratore di Skype for Business | Può gestire tutti gli aspetti del prodotto Skype for Business. | 75941009-915A-4869-abe7-691bff18279e |
| Amministratore di Teams | Può gestire il servizio Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Amministratore delle comunicazioni di Teams | Può gestire le funzionalità per chiamate e riunioni all'interno del servizio Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Tecnico supporto comunicazioni Teams | Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti avanzati. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Specialista supporto comunicazioni Teams | Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti di base. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Amministratore di dispositivi di Teams | Può eseguire attività correlate alla gestione nei dispositivi certificati di Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Amministratore di telefonia di Teams | Gestisce le funzionalità vocali e di telefonia e risolve i problemi di comunicazione all'interno del servizio Microsoft Teams. | aa38014f-0993-46e9-9b45-30501a20909d |
| Creatore tenant | Crea nuovi tenant di Microsoft Entra o Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| Lettore report di riepilogo utilizzo | Legge i report sull'utilizzo e il punteggio di adozione, ma non può accedere ai dettagli dell'utente. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Amministratore utenti | Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per gli amministratori con limitazioni. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Responsabile del successo dell'esperienza utente | Visualizza il feedback del prodotto, i risultati dei sondaggi e i report per trovare opportunità di formazione e comunicazione. | 27460883-1df1-4691-b032-3b79643e5e63 |
| Amministratore di Visite virtuali | Gestisce e condivide le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Amministratore Viva Goals | Gestisce e configura tutti gli aspetti di Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse Administrator | Può gestire tutte le impostazioni dell'app Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Amministratore di Windows 365 | Può effettuare il provisioning e gestire tutti gli aspetti dei Cloud PC. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Amministratore della distribuzione di Windows Update | Può creare e gestire tutti gli aspetti delle distribuzioni di Windows Update attraverso il servizio di distribuzione di Windows Update per le aziende. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Amministratore di Yammer | Gestisce tutti gli aspetti del servizio Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Amministratore di applicazioni
Si tratta di un ruolo con privilegi. gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Si noti che gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o nelle applicazioni aziendali.
Questo ruolo concede anche la possibilità di consentire le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Azure AD Graph e Microsoft Graph.
Importante
Questa eccezione significa che è comunque possibile consentire autorizzazioni dell'applicazione per altre app (altre applicazioni Microsoft, applicazioni di terze parti o applicazioni registrate dall'utente). È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio l'amministratore del ruolo con privilegi.
Questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. La possibilità di rappresentare l'identità dell'applicazione potrebbe costituire un'elevazione dei privilegi rispetto a quanto consentito all'utente tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID |
| microsoft.directory/applicationPolicies/basic/update | Aggiornamento delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/create | Creazione di criteri dell'applicazione |
| microsoft.directory/applicationPolicies/delete | Eliminazione dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/read | Lettura dei proprietari nei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/update | Aggiornamento della proprietà relativa al proprietario dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lettura dei criteri dell'applicazione applicati all'elenco di oggetti |
| microsoft.directory/applicationPolicies/standard/read | Lettura delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aggiornamento dell'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/applicationProxy/read | Lettura di tutte le proprietà del proxy dell'applicazione |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aggiornamento delle impostazioni del certificato SSL per il proxy dell'applicazione |
| microsoft.directory/applications/applicationProxy/update | Aggiornamento di tutte le proprietà del proxy dell'applicazione |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aggiornamento delle impostazioni dell'URL per il proxy dell'applicazione |
| microsoft.directory/applications/appRoles/update | Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornamento della proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornamento dell'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornamento delle proprietà di base per le applicazioni |
| microsoft.directory/applications/create | Creazione di tutti i tipi di applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornamento delle credenziali dell'applicazione |
| microsoft.directory/applications/delete | Eliminazione di tutti i tipi di applicazioni |
| microsoft.directory/applications/extensionProperties/update | Aggiornamento delle proprietà dell'estensione nelle applicazioni |
| microsoft.directory/applications/notes/update | Aggiornamento delle note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornamento dei proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornamento dei criteri delle applicazioni |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applications/tag/update | Aggiornamento dei tag delle applicazioni |
| microsoft.directory/applications/verification/update | Aggiornamento della proprietà applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/connectorGroups/allProperties/read | Lettura di tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/allProperties/update | Aggiornamento di tutte le proprietà dei gruppi di connettori del proxy dell'applicazione |
| microsoft.directory/connectorGroups/create | Creazione di gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/delete | Eliminare gruppi di connettori di rete privati |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori di rete privata |
| microsoft.directory/connectors/create | Creare il connettore di rete privata |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Creazione e gestione di estensioni di autenticazione personalizzate |
| microsoft.directory/deletedItems.applications/delete | Eliminazione definitiva di applicazioni che non possono più essere ripristinate |
| microsoft.directory/deletedItems.applications/restore | Ripristino dello stato originale delle applicazioni eliminate temporaneamente |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornamento delle proprietà relative ai destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornamento delle proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/credentials/update | Aggiornamento delle credenziali delle entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminazione delle entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Gestione delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lettura delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Concessione del consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Aggiornamento delle note delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornamento dei proprietari nelle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornamento delle autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornamento dei criteri nelle entità servizio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornamento della proprietà tag per le entità servizio |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Sviluppatore di applicazioni
Si tratta di un ruolo con privilegi. gli utenti in questo ruolo possono creare registrazioni di applicazioni quando l'opzione "Gli utenti possono registrare applicazioni" è impostata su No. Questo ruolo concede anche l'autorizzazione per fornire il consenso per proprio conto quando l'opzione "Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto" è impostata su No. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazioni.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/createAsOwner | Creazione di tutti i tipi di applicazioni. L'autore viene aggiunto come primo proprietario |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Creazione di concessioni di autorizzazioni OAuth 2.0. L'autore è il primo proprietario |
| microsoft.directory/servicePrincipals/createAsOwner | Creazione di entità servizio. L'autore è il primo proprietario |
Autore del payload di attacco
Gli utenti con questo ruolo possono creare payload di attacco, ma non effettivamente avviarli o pianificarli. I payload di attacco sono quindi disponibili per tutti gli amministratori del tenant, che possono usarli per creare una simulazione.
Per altre informazioni, vedere autorizzazioni Microsoft Defender per Office 365 nel portale di Microsoft 365 Defender e autorizzazioni nel Portale di conformità di Microsoft Purview.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Creare e gestire payload di attacco nel simulatore di attacchi |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report della simulazione di attacchi, le risposte e il training associato |
Amministratore della simulazione di attacchi
Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti della creazione della simulazione di attacchi, l'avvio o la pianificazione di una simulazione e la revisione dei risultati della simulazione. I membri con questo ruolo hanno questo accesso a tutte le simulazioni nel tenant.
Per altre informazioni, vedere autorizzazioni Microsoft Defender per Office 365 nel portale di Microsoft 365 Defender e autorizzazioni nel Portale di conformità di Microsoft Purview.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Creare e gestire payload di attacco nel simulatore di attacchi |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report della simulazione di attacchi, le risposte e il training associato |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Creare e gestire modelli di simulazione di attacchi nel simulatore di attacchi |
Amministratore assegnazione di attributi
Gli utenti con questo ruolo possono assegnare e rimuovere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati, come ad esempio utenti, entità servizio e dispositivi.
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lettura di tutte le proprietà dei set di attributi |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aggiornamento dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate |
| microsoft.directory/devices/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per i dispositivi |
| microsoft.directory/devices/customSecurityAttributes/update | Aggiornamento dei valori degli attributi di sicurezza personalizzati per i dispositivi |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per le entità servizio |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aggiornamento dei valori degli attributi di sicurezza personalizzati per le entità servizio |
| microsoft.directory/users/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per gli utenti |
| microsoft.directory/users/customSecurityAttributes/update | Aggiornamento dei valori degli attributi di sicurezza personalizzati per gli utenti |
Lettore assegnazione di attributi
Gli utenti con questo ruolo possono leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati.
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lettura di tutte le proprietà dei set di attributi |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate |
| microsoft.directory/devices/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per i dispositivi |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per le entità servizio |
| microsoft.directory/users/customSecurityAttributes/read | Lettura dei valori degli attributi di sicurezza personalizzati per gli utenti |
Amministratore definizione di attributi
Gli utenti con questo ruolo possono definire un set valido di attributi di sicurezza personalizzati che possono essere assegnati agli oggetti supportati di Microsoft Entra. Questo ruolo può anche attivare e disattivare gli attributi di sicurezza personalizzati.
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Gestione di tutti gli aspetti dei set di attributi |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Gestione di tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati |
Lettore definizione di attributi
Gli utenti con questo ruolo possono leggere la definizione degli attributi di sicurezza personalizzati.
Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Lettura di tutte le proprietà dei set di attributi |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate |
Amministratore di log degli attributi
Assegnare il Ruolo con autorizzazioni di lettura per i log degli attributi agli utenti che devono eseguire le attività seguenti:
- Lettura dei log di controllo per individuare le modifiche apportate ai valori degli attributi di sicurezza personalizzati
- Lettura dei log di controllo per individuare le modifiche apportate alle definizioni degli attributi di sicurezza personalizzati
- Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati
Gli utenti con questo ruolo non possono leggere i log di controllo relativi ad altri eventi.
Per impostazione predefinita, all'amministratore globale e agli altri ruoli di amministratore non sono assegnate le autorizzazioni per leggere i log di controllo relativi agli attributi di sicurezza personalizzati. Per leggere i log di controllo per gli attributi di sicurezza personalizzati, è necessario assegnare questo ruolo o il Ruolo con autorizzazioni di lettura per i log degli attributi.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | Configurazione di tutti gli aspetti delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati |
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lettura dei log di controllo correlati agli attributi di sicurezza personalizzati |
Lettore log attributi
Assegnare il Ruolo con autorizzazioni di lettura per i log degli attributi agli utenti che devono eseguire le attività seguenti:
- Lettura dei log di controllo per individuare le modifiche apportate ai valori degli attributi di sicurezza personalizzati
- Lettura dei log di controllo per individuare le modifiche apportate alle definizioni degli attributi di sicurezza personalizzati
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati
- Lettura dei log di controllo relativi ad altri eventi
Per impostazione predefinita, all'amministratore globale e agli altri ruoli di amministratore non sono assegnate le autorizzazioni per leggere i log di controllo relativi agli attributi di sicurezza personalizzati. Per leggere i log di controllo per gli attributi di sicurezza personalizzati, è necessario assegnare questo ruolo o il ruolo Amministratore di log degli attributi.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Lettura dei log di controllo correlati agli attributi di sicurezza personalizzati |
Amministratore dell'autenticazione
Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore autenticazione agli utenti che devono eseguire le operazioni seguenti:
- Impostare o reimpostare qualsiasi metodo di autenticazione, incluse le password, per gli utenti non amministratori e per alcuni ruoli. Per un elenco dei ruoli che un amministratore dell'autenticazione può leggere o per aggiornare i metodi di autenticazione, vedere Utenti autorizzati a reimpostare le password.
- Richiedere agli utenti non amministratori o assegnati ad alcuni ruoli di eseguire di nuovo la registrazione con credenziali esistenti diverse dalle password (ad esempio, MFA o FIDO) e anche revocare l'opzione per la memorizzazione delle credenziali MFA, richiedendo l'autenticazione MFA all'accesso successivo.
- Gestire le impostazioni MFA nel portale di gestione MFA legacy.
- Eseguire azioni sensibili per alcuni utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
- Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365.
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.
- Impossibile gestire i token OATH hardware.
Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.
| Ruolo | Gestione dei metodi di autenticazione dell'utente | Gestione di MFA per utente | Gestione delle impostazioni di MFA | Gestione dei criteri del metodo di autenticazione | Gestione dei criteri di protezione password | Aggiornamento delle proprietà sensibili | Eliminazione e ripristino degli utenti |
|---|---|---|---|---|---|---|---|
| Amministratore dell'autenticazione | Sì, per alcuni utenti | Sì, per alcuni utenti | Sì | No | No | Sì, per alcuni utenti | Sì, per alcuni utenti |
| Amministratore autenticazione con privilegi | Sì, per tutti gli utenti | Sì, per tutti gli utenti | No | No | No | Sì, per tutti gli utenti | Sì, per tutti gli utenti |
| Amministratore dei criteri di autenticazione | No | Sì | Sì | Sì | Sì | No | No |
| Amministratore utenti | No | No | No | No | No | Sì, per alcuni utenti | Sì, per alcuni utenti |
Importante
Gli utenti con questo ruolo possono modificare le credenziali di utenti che potrebbero accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere in Microsoft Entra ID e altrove autorizzazioni con privilegi non concesse agli amministratori dell'autenticazione. Questo significa che un amministratore dell'autenticazione può assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
- Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
- Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/deletedItems.users/restore | Ripristino dello stato originale degli utenti eliminati temporaneamente |
| microsoft.directory/users/authenticationMethods/basic/update | Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/create | Aggiornamento dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/delete | Eliminazione dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Lettura delle proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti |
| microsoft.directory/users/basic/update | Aggiornamento delle proprietà di base per gli utenti |
| microsoft.directory/users/delete | Eliminare utenti |
| microsoft.directory/users/disable | Disabilitazione degli utenti |
| microsoft.directory/users/enable | Abilitazione degli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzatura della disconnessione invalidando i token di aggiornamento utente |
| microsoft.directory/users/manager/update | Gestione degli aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostazione delle password per tutti gli utenti |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/userPrincipalName/update | Aggiornamento del nome dell'entità utente degli utenti |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore dell'estendibilità dell'autenticazione
Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore dell'estendibilità dell'autenticazione agli utenti che devono eseguire le operazioni seguenti:
- Creare e gestire ogni aspetto delle estensioni di autenticazione personalizzate.
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Non è possibile assegnare estensioni di autenticazione personalizzate alle applicazioni per modificare le esperienze di autenticazione e non è possibile concedere il consenso per le autorizzazioni dell'applicazione o creare registrazioni app associate all'estensione di autenticazione personalizzata. È invece necessario usare i ruoli Amministratore applicazione, Sviluppatore applicazione o Amministratore applicazione cloud.
Un'estensione di autenticazione personalizzata è un endpoint API creato da uno sviluppatore per gli eventi di autenticazione ed è registrato in Microsoft Entra ID. Gli amministratori e i proprietari di applicazioni possono usare estensioni di autenticazione personalizzate per personalizzare le esperienze di autenticazione dell'applicazione come le procedure di accesso, registrazione o reimpostazione della password.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Creazione e gestione di estensioni di autenticazione personalizzate |
Amministratore dei criteri di autenticazione
Assegnare il ruolo di Amministratore dei criteri di autenticazione agli utenti che devono eseguire le operazioni seguenti:
- Configurare i criteri dei metodi di autenticazione, le impostazioni dell'autenticazione MFA a livello di tenant e i criteri della password di protezione che determinano i metodi che ogni utente può registrare e usare.
- Gestire le impostazioni di protezione password: configurazioni di blocco intelligente e aggiornamento dell'elenco delle password vietate personalizzate.
- Gestire le impostazioni MFA nel portale di gestione MFA legacy.
- Creare e gestire credenziali verificabili.
- Creare e gestire i ticket di supporto tecnico di Azure.
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Aggiornamento delle proprietà sensibili. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
- Eliminazione o ripristino di utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
- Impossibile gestire i token OATH hardware.
Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.
| Ruolo | Gestione dei metodi di autenticazione dell'utente | Gestione di MFA per utente | Gestione delle impostazioni di MFA | Gestione dei criteri del metodo di autenticazione | Gestione dei criteri di protezione password | Aggiornamento delle proprietà sensibili | Eliminazione e ripristino degli utenti |
|---|---|---|---|---|---|---|---|
| Amministratore dell'autenticazione | Sì, per alcuni utenti | Sì, per alcuni utenti | Sì | No | No | Sì, per alcuni utenti | Sì, per alcuni utenti |
| Amministratore autenticazione con privilegi | Sì, per tutti gli utenti | Sì, per tutti gli utenti | No | No | No | Sì, per tutti gli utenti | Sì, per tutti gli utenti |
| Amministratore dei criteri di autenticazione | No | Sì | Sì | Sì | Sì | No | No |
| Amministratore utenti | No | No | No | No | No | Sì, per alcuni utenti | Sì, per alcuni utenti |
| Azioni | Descrizione |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/organization/strongAuthentication/allTasks | Gestione di tutti gli aspetti delle proprietà di autenticazione avanzata di un'organizzazione |
| microsoft.directory/userCredentialPolicies/basic/update | Aggiornamento dei criteri di base per gli utenti |
| microsoft.directory/userCredentialPolicies/create | Creazione di criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/delete | Eliminazione dei criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/owners/read | Lettura dei proprietari dei criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/owners/update | Aggiornamento dei proprietari dei criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Lettura del collegamento di navigazione policy.appliesTo |
| microsoft.directory/userCredentialPolicies/standard/read | Lettura delle proprietà standard dei criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Aggiornamento della proprietà policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lettura della configurazione necessaria per creare e gestire credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aggiornamento della configurazione necessaria per creare e gestire credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lettura del contratto delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aggiornamento di un contratto delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lettura di una scheda delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Revoca di una scheda delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Creazione di un contratto delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/create | Creazione della configurazione necessaria per creare e gestire credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/delete | Eliminazione della configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le rispettive credenziali verificabili |
Amministratore di Azure DevOps
Gli utenti con questo ruolo possono gestire tutti i criteri di Azure DevOps aziendali applicabili a tutte le organizzazioni di Azure DevOps supportate da Microsoft Entra ID. Gli utenti con questo ruolo possono gestire questi criteri passando a qualsiasi organizzazione di Azure DevOps supportata da Microsoft Entra ID aziendale. In aggiunta, gli utenti con questo ruolo possono richiedere la proprietà delle organizzazioni Azure DevOps orfane. Questo ruolo non concede altre autorizzazioni specifiche di Azure DevOps (ad esempio Amministratori raccolta di progetti) all'interno di una delle organizzazioni di Azure DevOps supportate dall'organizzazione con Microsoft Entra aziendale.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Leggere e configurare Azure DevOps |
Amministratore di Information Protection di Azure
gli utenti con questo ruolo hanno tutte le autorizzazioni nel servizio Azure Information Protection. Questo ruolo consente di configurare etichette per i criteri di Azure Information Protection, gestire i modelli di protezione e attivare la protezione. Questo ruolo non concede alcuna autorizzazione in Microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender Portal o Portale di conformità di Microsoft Purview.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore del set di chiavi IEF B2C
Si tratta di un ruolo con privilegi. L'utente può creare e gestire le chiavi dei criteri e i segreti per la crittografia dei token, le firme dei token e la crittografia/decrittografia delle attestazioni. Con l'aggiunta di nuove chiavi ai contenitori di chiavi esistenti, questo amministratore limitato può eseguire il rollover dei segreti in base alle esigenze senza effetti sulle applicazioni esistenti. Questo utente può visualizzare il contenuto completo di questi segreti e le relative date di scadenza anche dopo la loro creazione.
Importante
Si tratta di un ruolo sensibile. Il ruolo di amministratore dei set di chiavi deve essere controllato attentamente e assegnato con attenzione durante la pre-produzione e la produzione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Leggere e configurare set di chiavi in Azure Active Directory B2C |
Amministratore dei criteri IEF B2C
Gli utenti con questo ruolo hanno la possibilità di creare, leggere, aggiornare ed eliminare tutti i criteri personalizzati in Azure AD B2C e quindi di avere il controllo completo su Identity Experience Framework nell'organizzazione Azure AD B2C pertinente. Modificando i criteri, l'utente può stabilire una federazione diretta con provider di identità esterni, modificare lo schema della directory, modificare tutti i contenuti esposti agli utenti (HTML, CSS, JavaScript), modificare i requisiti per completare un'autenticazione, creare nuovi utenti, inviare dati utente a sistemi esterni, incluse migrazioni complete, e modificare tutte le informazioni utente, inclusi i campi sensibili come password e numeri di telefono. Viceversa, questo ruolo non può modificare le chiavi di crittografia o modificare i segreti usati per la federazione nell'organizzazione.
Importante
L'amministratore dei criteri IEF B2 è un ruolo estremamente sensibile da assegnare su base molto limitata per le organizzazioni in produzione. Le attività svolte da questi utenti devono essere controllate attentamente, soprattutto per le organizzazioni in produzione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Leggere e configurare criteri personalizzati in Azure Active Directory B2C |
Amministratore fatturazione
Può effettuare acquisti, gestire le sottoscrizioni e i ticket di supporto e monitorare l'integrità dei servizi.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Gestire tutti gli aspetti della fatturazione di Office 365 |
| microsoft.directory/organization/basic/update | Aggiornare le proprietà di base nell'organizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Cloud App Security
Gli utenti con questo ruolo dispongono di autorizzazioni complete nelle app Defender for Cloud. Possono aggiungere amministratori, criteri e impostazioni delle app Defender for Cloud, caricare i log ed eseguire azioni di governance.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di applicazioni cloud
Si tratta di un ruolo con privilegi. Gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle applicazioni aziendali e delle registrazioni dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.
Questo ruolo concede anche la possibilità di consentire le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Azure AD Graph e Microsoft Graph.
Importante
Questa eccezione significa che è comunque possibile consentire autorizzazioni dell'applicazione per altre app (altre applicazioni Microsoft, applicazioni di terze parti o applicazioni registrate dall'utente). È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio l'amministratore del ruolo con privilegi.
Questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. La possibilità di rappresentare l'identità dell'applicazione potrebbe costituire un'elevazione dei privilegi rispetto a quanto consentito all'utente tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID |
| microsoft.directory/applicationPolicies/basic/update | Aggiornamento delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/create | Creazione di criteri dell'applicazione |
| microsoft.directory/applicationPolicies/delete | Eliminazione dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/read | Lettura dei proprietari nei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/update | Aggiornamento della proprietà relativa al proprietario dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Lettura dei criteri dell'applicazione applicati all'elenco di oggetti |
| microsoft.directory/applicationPolicies/standard/read | Lettura delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applications/appRoles/update | Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornamento della proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornamento dell'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornamento delle proprietà di base per le applicazioni |
| microsoft.directory/applications/create | Creazione di tutti i tipi di applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornamento delle credenziali dell'applicazione |
| microsoft.directory/applications/delete | Eliminazione di tutti i tipi di applicazioni |
| microsoft.directory/applications/extensionProperties/update | Aggiornamento delle proprietà dell'estensione nelle applicazioni |
| microsoft.directory/applications/notes/update | Aggiornamento delle note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornamento dei proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornamento dei criteri delle applicazioni |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applications/tag/update | Aggiornamento dei tag delle applicazioni |
| microsoft.directory/applications/verification/update | Aggiornamento della proprietà applicationsverification |
| microsoft.directory/applicationTemplates/instantiate | Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/deletedItems.applications/delete | Eliminazione definitiva di applicazioni che non possono più essere ripristinate |
| microsoft.directory/deletedItems.applications/restore | Ripristino dello stato originale delle applicazioni eliminate temporaneamente |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornamento delle proprietà relative ai destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornamento delle proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/credentials/update | Aggiornamento delle credenziali delle entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminazione delle entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Gestione delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Lettura delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Concessione del consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph |
| microsoft.directory/servicePrincipals/notes/update | Aggiornamento delle note delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornamento dei proprietari nelle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornamento delle autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornamento dei criteri nelle entità servizio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornamento della proprietà tag per le entità servizio |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore dispositivo cloud
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono abilitare, disabilitare ed eliminare dispositivi in Microsoft Entra ID e leggere le chiavi BitLocker per Windows 10 (se presenti) nel portale di Azure. Il ruolo non concede le autorizzazioni per gestire eventuali altre proprietà nel dispositivo.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave BitLocker nei dispositivi |
| microsoft.directory/deletedItems.devices/delete | Eliminare definitivamente i dispositivi, che non possono più essere ripristinati |
| microsoft.directory/deletedItems.devices/restore | Ripristino dello stato originale dei dispositivi eliminati temporaneamente |
| microsoft.directory/deviceLocalCredentials/password/read | Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password |
| microsoft.directory/deviceManagementPolicies/basic/update | Aggiornare le proprietà di base per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/devices/delete | Eliminare i dispositivi da Microsoft Entra ID |
| microsoft.directory/devices/disable | Disabilitare i dispositivi in Microsoft Entra ID |
| microsoft.directory/devices/enable | Abilitare il dispositivo in Microsoft Entra ID |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di conformità
Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità relative alla conformità nel portale di conformità di Microsoft Purview, nell’interfaccia di amministrazione di Microsoft 365, in Azure e nel portale di Microsoft 365 Defender. Gli assegnatari possono anche gestire tutte le funzionalità all'interno dell'interfaccia di amministrazione di Exchange e creare ticket di supporto per Azure e Microsoft 365. Per ulteriori informazioni, consultare Ruoli e gruppi di ruoli in Conformità a Microsoft Defender per Office 365 e Microsoft Purview.
| In | Può eseguire |
|---|---|
| Portale di conformità di Microsoft Purview | Proteggere e gestire i dati dell'organizzazione in tutti i servizi di Microsoft 365 Gestire gli avvisi di conformità |
| Microsoft Purview Compliance Manager | Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione |
| Portale di Microsoft 365 Defender | Gestire la governance dei dati Eseguire analisi sui dati e di carattere legale Gestire le richieste di soggetti interessati Questo ruolo dispone delle stesse autorizzazioni del gruppo di ruoli Amministratore di conformità nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender. |
| Intune | Visualizzare tutti i dati di controllo di Intune |
| Microsoft Defender for Cloud Apps | Disporre di autorizzazioni di sola lettura e gestire gli avvisi Creare e modificare i criteri di file e consentire azioni di governance sui file Visualizzare tutti i report predefiniti in Gestione dati |
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra |
| microsoft.office365.complianceManager/allEntities/allTasks | Gestire tutti gli aspetti di Office 365 Compliance Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore dei dati sulla conformità
Gli utenti con questo ruolo hanno le autorizzazioni per tenere traccia dei dati nel portale di conformità Microsoft Purview, nell'interfaccia di amministrazione di Microsoft 365 e in Azure. Gli utenti possono anche tenere traccia dei dati di conformità all'interno dell'interfaccia di amministrazione di Exchange, in Compliance Manager, nell'interfaccia di amministrazione di Teams e Skype for Business, nonché creare ticket di supporto per Azure e Microsoft 365. Per ulteriori informazioni sulle differenze tra l'amministratore di conformità e l'amministratore dei dati sulla conformità, consultare Ruoli e gruppi di ruoli in Conformità a Microsoft Defender per Office 365 e Microsoft Purview.
| In | Può eseguire |
|---|---|
| Portale di conformità di Microsoft Purview | Monitorare i criteri correlati alla conformità in tutti i servizi di Microsoft 365 Gestire gli avvisi di conformità |
| Microsoft Purview Compliance Manager | Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione |
| Portale di Microsoft 365 Defender | Gestire la governance dei dati Eseguire analisi sui dati e di carattere legale Gestire le richieste di soggetti interessati Questo ruolo dispone delle stesse autorizzazioni del gruppo di ruoli Amministratore dei dati sulla conformità nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender. |
| Intune | Visualizzare tutti i dati di controllo di Intune |
| Microsoft Defender for Cloud Apps | Disporre di autorizzazioni di sola lettura e gestire gli avvisi Creare e modificare i criteri di file e consentire azioni di governance sui file Visualizzare tutti i report predefiniti in Gestione dati |
| Azioni | Descrizione |
|---|---|
| microsoft.azure.informationProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps |
| microsoft.office365.complianceManager/allEntities/allTasks | Gestire tutti gli aspetti di Office 365 Compliance Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore accesso condizionale
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno la possibilità di gestire le impostazioni di accesso condizionale di Microsoft Entra.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/policies/conditionalAccess/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/create | Creare criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminare criteri di accesso condizionale |
| microsoft.directory/policies/conditionalAccess/owners/read | Elencare tutti i criteri di accesso condizionale |
| microsoft.directory/policies/conditionalAccess/owners/update | Aggiornare i proprietari per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leggere la proprietà "applicata a" per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leggere l'accesso condizionale per i criteri |
| microsoft.directory/policies/conditionalAccess/tenantDefault/update | Aggiornare il tenant predefinito per i criteri di accesso condizionale |
| microsoft.directory/namedLocations/basic/update | Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/create | Creare regole personalizzate per definire i percorsi di rete |
| microsoft.directory/namedLocations/delete | Eliminare regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/standard/read | Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365 |
Responsabile approvazione accesso a Customer Lockbox
Gestisce le richieste di Microsoft Purview Customer Lockbox nell'organizzazione. Gli utenti con questo ruolo ricevono notifiche di posta elettronica per le richieste Customer Lockbox e possono approvare e rifiutare le richieste dall'interfaccia di amministrazione di Microsoft 365. Possono anche attivare o disattivare la funzionalità Customer Lockbox. Solo gli Amministratori globali possono reimpostare le password degli utenti a cui è assegnato questo ruolo.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Gestire tutti gli aspetti di Customer Lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore Desktop Analytics
Gli utenti in questo ruolo possono gestire il servizio Desktop Analytics. Tale servizio include la possibilità di visualizzare l'inventario degli asset, creare piani di distribuzione e visualizzare lo stato della distribuzione e dell'integrità.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gestire tutti gli aspetti di Desktop Analytics |
Amministratori che leggono la directory
Gli utenti con questo ruolo possono leggere le informazioni di base della directory. Questo ruolo deve essere usato per:
- Concedere l'accesso in lettura a un set specifico di utenti guest anziché concederlo a tutti gli utenti guest.
- Concedere a un set specifico di utenti non amministratori l'accesso al portale di Microsoft Entra quando l'opzione “Limitare l'accesso all’Interfaccia di amministrazione di Microsoft Entra” è impostata su “Sì”.
- Concedere alle entità servizio l'accesso alla directory in cui Directory.Read.All non è un'opzione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/administrativeUnits/members/read | Leggere i membri delle unità amministrative |
| microsoft.directory/administrativeUnits/standard/read | Leggere le proprietà di base nelle unità amministrative |
| microsoft.directory/applicationPolicies/standard/read | Lettura delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applications/owners/read | Leggere i proprietari delle applicazioni |
| microsoft.directory/applications/policies/read | Leggere i criteri delle applicazioni |
| microsoft.directory/applications/standard/read | Lettura delle proprietà standard dell'applicazione |
| microsoft.directory/contacts/memberOf/read | Leggere l'appartenenza al gruppo per tutti i contatti in Microsoft Entra ID |
| microsoft.directory/contacts/standard/read | Leggere le proprietà di base sui contatti in Microsoft Entra ID |
| microsoft.directory/contracts/basic/read | Leggere le proprietà di base sui contratti partner |
| microsoft.directory/devices/memberOf/read | Leggere le appartenenze dei dispositivi |
| microsoft.directory/devices/registeredOwners/read | Leggere i proprietari registrati dei dispositivi |
| microsoft.directory/devices/registeredUsers/read | Leggere gli utenti registrati dei dispositivi |
| microsoft.directory/devices/standard/read | Leggere le proprietà di base nei dispositivi |
| microsoft.directory/directoryRoles/eligibleMembers/read | Leggere i membri idonei dei ruoli di Microsoft Entra |
| microsoft.directory/directoryRoles/members/read | Leggere tutti i membri dei ruoli di Microsoft Entra |
| microsoft.directory/directoryRoles/standard/read | Leggere le proprietà di base dei ruoli di Microsoft Entra |
| microsoft.directory/domains/standard/read | Leggere le proprietà di base nei domini |
| microsoft.directory/groups/appRoleAssignments/read | Recupera l'assegnazione di ruolo applicazione di un gruppo |
| microsoft.directory/groupSettings/standard/read | Leggere le proprietà di base nelle impostazioni del gruppo |
| microsoft.directory/groupSettingTemplates/standard/read | Lettura delle proprietà di base sui modelli di impostazione del gruppo |
| microsoft.directory/groups/memberOf/read | Eseguire la lettura di membri dei gruppi di sicurezza sulle proprietà e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/members/read | Eseguire la lettura di membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/owners/read | Eseguire la lettura dei proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/settings/read | Leggere le impostazioni dei gruppi |
| microsoft.directory/groups/standard/read | Leggere le proprietà standard dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/oAuth2PermissionGrants/basic/read | Leggere le proprietà di base nelle concessioni di autorizzazione OAuth 2.0 |
| microsoft.directory/organization/standard/read | Lettura delle proprietà di base in un'organizzazione |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Leggere le autorità di certificazione attendibili per l'autenticazione senza password |
| microsoft.directory/roleAssignments/basic/read | Lettura delle proprietà di base per le assegnazioni di ruolo |
| microsoft.directory/roleDefinitions/standard/read | Lettura delle proprietà di base nelle definizioni dei ruoli |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Lettura delle assegnazioni di ruolo delle entità servizio. |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Lettura delle assegnazioni di ruolo assegnate a entità servizio |
| microsoft.directory/servicePrincipals/memberOf/read | Lettura delle appartenenze ai gruppi nelle entità servizio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Lettura delle concessioni di autorizzazioni delegate nelle entità servizio |
| microsoft.directory/servicePrincipals/ownedObjects/read | Leggere gli oggetti di proprietà delle entità servizio |
| microsoft.directory/servicePrincipals/owners/read | Lettura dei proprietari nelle entità servizio |
| microsoft.directory/servicePrincipals/policies/read | Lettura dei criteri nelle entità servizio |
| microsoft.directory/servicePrincipals/standard/read | Lettura delle proprietà standard delle entità servizio |
| microsoft.directory/subscribedSkus/standard/read | Leggere le proprietà di base nelle sottoscrizioni |
| microsoft.directory/users/appRoleAssignments/read | Eseguire la lettura delle assegnazioni di ruolo dell'applicazione per gli utenti |
| microsoft.directory/users/deviceForResourceAccount/read | Eseguire la lettura deviceForResourceAccount degli utenti |
| microsoft.directory/users/directReports/read | Leggere i report diretti per gli utenti |
| microsoft.directory/users/invitedBy/read | Lettura dell'utente che ha invitato un utente esterno a un tenant |
| microsoft.directory/users/licenseDetails/read | Eseguire la lettura dei dettagli delle licenze degli utenti |
| microsoft.directory/users/manager/read | Leggere Manager degli utenti |
| microsoft.directory/users/memberOf/read | Lettura delle appartenenze ai gruppi degli utenti |
| microsoft.directory/users/oAuth2PermissionGrants/read | Lettura delle concessioni di autorizzazioni delegate agli utenti |
| microsoft.directory/users/ownedDevices/read | Leggere i dispositivi di proprietà degli utenti |
| microsoft.directory/users/ownedObjects/read | Lettura degli oggetti di proprietà degli utenti |
| microsoft.directory/users/photo/read | Lettura della foto degli utenti |
| microsoft.directory/users/registeredDevices/read | Leggere i dispositivi registrati degli utenti |
| microsoft.directory/users/scopedRoleMemberOf/read | Eseguire la lettura dell'appartenenza di un utente a un ruolo di Microsoft Entra, che ha come ambito un'unità amministrativa |
| microsoft.directory/users/sponsors/read | Leggere gli sponsor degli utenti |
| microsoft.directory/users/standard/read | Lettura delle proprietà di base per gli utenti |
Account di sincronizzazione della directory
Non utilizzare. Questo ruolo viene assegnato automaticamente al servizio Microsoft Entra Connect e non è progettato o supportato per altri usi.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/onPremisesSynchronization/standard/read | Leggere e gestire gli oggetti per abilitare la sincronizzazione della directory locale |
Amministratori che scrivono nella directory
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono leggere e aggiornare le informazioni di base di utenti, gruppi ed entità servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Aggiornamento delle proprietà dell'estensione nelle applicazioni |
| microsoft.directory/contacts/create | Creazione di contatti |
| microsoft.directory/groups/assignLicense | Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.aad.directory/groups/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groupSettings/basic/update | Aggiornare le proprietà di base nelle impostazioni del gruppo |
| microsoft.directory/groupSettings/create | Creare le impostazioni dei gruppi |
| microsoft.directory/groupSettings/delete | Eliminare le impostazioni dei gruppi |
| microsoft.directory/groups/groupType/update | Aggiornamento delle proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a un ruolo |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/onPremWriteBack/update | Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo |
| microsoft.directory/groups/settings/update | Aggiornamento delle impostazioni dei gruppi |
| microsoft.directory/groups/visibility/update | Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Aggiornamento delle concessioni di autorizzazione OAuth 2.0 |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Creazione di concessioni di autorizzazione OAuth 2.0 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/basic/update | Aggiornamento delle proprietà di base per gli utenti |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/disable | Disabilitazione degli utenti |
| microsoft.directory/users/enable | Abilitazione degli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzatura della disconnessione invalidando i token di aggiornamento utente |
| microsoft.directory/users/inviteGuest | Invitare gli utenti guest |
| microsoft.directory/users/manager/update | Gestione degli aggiornamenti per gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze per gli utenti |
| microsoft.directory/users/sponsors/update | Aggiornare gli sponsor degli utenti |
| microsoft.directory/users/userPrincipalName/update | Aggiornamento del nome dell'entità utente degli utenti |
Amministratore del nome di dominio
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire, ovvero leggere, aggiungere, verificare, aggiornare ed eliminare, i nomi di dominio. Possono anche leggere le informazioni della directory su utenti, gruppi e applicazioni, in quanto questi oggetti possiedono dipendenze di dominio. Per gli ambienti locali, gli utenti con questo ruolo possono configurare i nomi di dominio per la federazione in modo che gli utenti associati siano sempre autenticati in locale. Questi utenti possono quindi accedere ai servizi basati su Microsoft Entra con le password locali tramite l'accesso Single Sign-On. Le impostazioni di federazione devono essere sincronizzate tramite Microsoft Entra Connect in modo che gli utenti dispongano anche delle autorizzazioni per gestire Microsoft Entra Connect.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Dynamics 365
Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Dynamics 365 Online, quando il servizio è presente, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per maggiori informazioni consultare Utilizzare i ruoli di amministratore del servizio per gestire il tenant
Nota
Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Dynamics 365 Amministratore del servizio. Nel portale di Azure si chiama Amministratore di Dynamics 365.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.dynamics365/allEntities/allTasks | Gestione di tutti gli aspetti di Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Dynamics 365 Business Central
Assegnazione del ruolo di amministratore di Dynamics 365 Business Central agli utenti che devono eseguire le attività seguenti:
- Accedere agli ambienti Dynamics 365 Business Central
- Eseguire tutte le attività amministrative negli ambienti
- Gestire il ciclo di vita degli ambienti del cliente
- Eseguire la supervisione delle estensioni installate negli ambienti
- Controllare gli aggiornamenti degli ambienti
- Eseguire esportazioni di dati di ambienti
- Leggere e configurare i dashboard di integrità dei servizi di Azure e Microsoft 365
Questo ruolo non fornisce autorizzazioni per altri prodotti Dynamics 365.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.directory/domains/standard/read | Leggere le proprietà di base nei domini |
| microsoft.directory/organization/standard/read | Leggere le proprietà di base in un'organizzazione |
| microsoft.directory/subscribedSkus/standard/read | Lettura delle proprietà di base nelle sottoscrizioni |
| microsoft.directory/users/standard/read | Lettura delle proprietà di base per gli utenti |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Gestione di tutti gli aspetti di Dynamics 365 Business Central |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore Edge
Gli utenti con questo ruolo possono creare e gestire l'elenco dei siti aziendali richiesto per la modalità Internet Explorer in Microsoft Edge. Questo ruolo concede le autorizzazioni per creare, modificare e pubblicare l'elenco dei siti e consente inoltre l'accesso per gestire i ticket di supporto. Ulteriori informazioni
| Azioni | Descrizione |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Exchange
gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Exchange Online, quando il servizio è presente. Consente anche di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.
Nota
Nell'API Microsoft Graph e in Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Exchange. Nel portale di Azure è chiamato Amministratore di Exchange. Nella interfaccia di amministrazione di Exchange è chiamato amministratore di Exchange Online.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | Creare e gestire i criteri di protezione di Exchange Online in Microsoft 365 Backup |
| microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | Leggere e configurare la sessione di ripristino per Exchange Online in Microsoft 365 Backup |
| microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | Gestire tutti i punti di ripristino associati alle cassette postali di Exchange Online selezionate in Backup di M365 |
| microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | Gestire le cassette postali aggiunte ai criteri di protezione di Exchange Online in Microsoft 365 Backup |
| microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | Gestire le cassette postali aggiunte per ripristinare la sessione per Exchange Online in Microsoft 365 Backup |
| microsoft.directory/groups/hiddenMembers/read | Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/unified/basic/update | Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/unified/create | Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.unified/delete | Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/unified/members/update | Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/owners/update | Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/restore | Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli |
| microsoft.office365.exchange/allEntities/allTasks | Gestire tutti gli aspetti di Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore destinatario di Exchange
Gli utenti con questo ruolo hanno accesso in lettura ai destinatari e accesso in scrittura agli attributi di tali destinatari in Exchange Online. Per altre informazioni, consultare Destinatari in Exchange Server.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.exchange/migration/allProperties/allTasks | Gestione di tutte le attività correlate alla migrazione di destinatari in Exchange Online |
| microsoft.office365.exchange/recipients/allProperties/allTasks | Creazione ed eliminazione di tutti i destinatari e lettura e aggiornamento di tutte le proprietà dei destinatari in Exchange Online |
Amministratore dei flussi utente ID esterno
Gli utenti con questo ruolo possono creare e gestire i flussi utente, detti anche criteri "predefiniti", nel portale di Azure. Questi utenti possono personalizzare il contenuto HTML/CSS/JavaScript, modificare i requisiti dell'autenticazione a più fattori, selezionare le attestazioni nel token, gestire i connettori API e le relative credenziali e configurare le impostazioni di sessione per tutti i flussi utente nell'organizzazione di Microsoft Entra. D'altra parte, questo ruolo non include la possibilità di esaminare i dati dell'utente o di apportare modifiche agli attributi inclusi nello schema dell'organizzazione. Anche le modifiche ai criteri di Identity Experience Framework, noti anche come criteri personalizzati, non rientrano nell'ambito di questo ruolo.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Leggere e configurare i flussi utente in Azure Active Directory B2C |
Amministratore degli attributi dei flussi utente ID esterno
Gli utenti con questo ruolo aggiungono o eliminano attributi personalizzati disponibili per tutti i flussi utente nell'organizzazione di Microsoft Entra. Gli utenti con questo ruolo possono quindi modificare o aggiungere nuovi elementi allo schema degli utenti finali e influire sul comportamento di tutti i flussi utente, causando indirettamente modifiche ai dati che possono essere richiesti agli utenti finali e inviati infine come attestazioni alle applicazioni. Questo ruolo non può modificare i flussi utente.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Leggere e configurare gli attributi utente in Azure Active Directory B2C |
Amministratore dei provider di identità esterni
Si tratta di un ruolo con privilegi. Questo amministratore gestisce la federazione tra le organizzazioni di Microsoft Entra e i provider di identità esterni. Con questo ruolo gli utenti possono aggiungere nuovi provider di identità e configurare tutte le impostazioni disponibili (ad esempio percorso di autenticazione, ID del servizio e contenitori di chiavi assegnati). Questo utente può consentire all'organizzazione Microsoft Entra di considerare attendibili le autenticazioni da provider di identità esterni. L'impatto risultante sulle esperienze degli utenti finali dipende dal tipo di organizzazione:
- Organizzazioni Microsoft Entra per dipendenti e partner: l'aggiunta di una federazione, ad esempio con Gmail, influisce immediatamente su tutti gli inviti guest non ancora riscattati. Vedere Aggiungere Google come provider di identità per utenti guest B2B.
- Organizzazioni Azure Active Directory B2C: L'aggiunta di una federazione, ad esempio con Facebook o con un'altra organizzazione Microsoft Entra, non ha un impatto immediato sui flussi degli utenti finali fino all'aggiunta del provider di identità come opzione in un flusso utente, definito anche criterio predefinito. Per un esempio, vedere Configurazione di un account Microsoft come provider di identità. Per modificare i flussi utente, è necessario il ruolo limitato di "Amministratore dei flussi utente B2C".
| Azioni | Descrizione |
|---|---|
| microsoft.directory/domains/federation/update | Aggiornare la proprietà federativa dei domini |
| microsoft.directory/identityProviders/allProperties/allTasks | Leggere e configurare i provider di identità in Azure Active Directory B2C |
Amministratore di Fabric
Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Fabric e Power BI, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per maggiori informazioni, consultareRiconoscere i ruoli di amministratore di Fabric.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gestire tutti gli aspetti di Fabric e Power BI |
Amministratore globale
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Microsoft Entra ID, nonché ai servizi che usano le identità di Microsoft Entra come il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview, Exchange Online, SharePoint Online e Skype for Business Online. Gli amministratori globali possono visualizzare i log Attività directory. Inoltre, gli amministratori globali possono elevare i propri privilegi di accesso in modo da gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Ciò consente agli Amministratori globali di ottenere l'accesso completo a tutte le risorse di Azure usando il rispettivo tenant di Microsoft Entra. La persona che effettua l'iscrizione per l'organizzazione di Microsoft Entra diventa amministratore globale. In una società possono essere presenti più Amministratori globali. Gli Amministratori globali possono reimpostare la password per qualsiasi utente e per tutti gli altri amministratori. Un amministratore globale non può rimuovere la propria assegnazione di amministratore globale. Si tratta di evitare una situazione in cui un'organizzazione ha zero amministratori globali.
Nota
Come procedura consigliata, Microsoft consiglia di assegnare il ruolo di Amministratore globale a meno di cinque persone nell'organizzazione. Per altre informazioni, vedere Procedure consigliate per i ruoli di Microsoft Entra.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/read | Gestire tutti gli aspetti di Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.backup/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Backup di Microsoft 365 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Gestire tutti gli aspetti della fatturazione di Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Gestire le verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Creare e gestire le unità amministrative (inclusi i membri) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID |
| microsoft.directory/applications/allProperties/allTasks | Creare ed eliminare applicazioni, eseguire la lettura e aggiornare tutte le proprietà |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applicationTemplates/instantiate | Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Gestire tutti gli aspetti dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave BitLocker nei dispositivi |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Gestire tutte le proprietà dei criteri di accesso condizionale |
| microsoft.directory/connectorGroups/allProperties/read | Lettura di tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/allProperties/update | Aggiornamento di tutte le proprietà dei gruppi di connettori del proxy dell'applicazione |
| microsoft.directory/connectorGroups/create | Creazione di gruppi di connettori di rete privata |
| microsoft.directory/connectorGroups/delete | Eliminare gruppi di connettori di rete privati |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori di rete privata |
| microsoft.directory/connectors/create | Creare il connettore di rete privata |
| microsoft.directory/contacts/allProperties/allTasks | Creare ed eliminare contatti, eseguire la lettura e aggiornare tutte le proprietà |
| microsoft.directory/contracts/allProperties/allTasks | Creare ed eliminare contratti partner e leggere e aggiornare tutte le proprietà |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aggiornare le impostazioni di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aggiornamento delle impostazioni di connessione diretta B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminare i criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Creare criteri di sincronizzazione tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Leggere le proprietà di base dei criteri di sincronizzazione tra tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Aggiornamento dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Reimpostazione del modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Aggiornamento dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Reimpostazione del modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Creazione e gestione di estensioni di autenticazione personalizzate |
| microsoft.directory/deletedItems/delete | Eliminazione definitiva di oggi che non possono più essere ripristinate |
| microsoft.directory/deletedItems.users/restore | Ripristino dello stato originale di oggetti eliminati temporaneamente |
| microsoft.directory/deviceLocalCredentials/password/read | Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password |
| microsoft.directory/deviceManagementPolicies/basic/update | Aggiornare le proprietà di base per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/devices/allProperties/allTasks | Creare ed eliminare dispositivi, leggere e aggiornare tutte le proprietà |
| microsoft.directory/directoryRoles/allProperties/allTasks | Creare ed eliminare ruoli directory, leggere e aggiornare tutte le proprietà |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Creare ed eliminare modelli di ruolo di Microsoft Entra e leggere e aggiornare tutte le proprietà |
| microsoft.directory/domains/allProperties/allTasks | Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/domains/federationConfiguration/basic/update | Aggiornare la configurazione della federazione di base per i domini |
| microsoft.directory/domains/federationConfiguration/create | Creare la configurazione della federazione per i domini |
| microsoft.directory/domains/federationConfiguration/delete | Eliminare la configurazione della federazione per i domini |
| microsoft.directory/domains/federationConfiguration/standard/read | Leggere le proprietà standard della configurazione della federazione per i domini |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra |
| microsoft.directory/externalUserProfiles/basic/update | Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/externalUserProfiles/delete | Eliminare i profili utente esterni nella directory estesa per Teams |
| microsoft.directory/externalUserProfiles/standard/read | Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/groups/allProperties/allTasks | Creare ed eliminare gruppi e leggere e aggiornare tutte le proprietà |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aggiornare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Assegnare una licenza a gruppi assegnabili a ruoli |
| microsoft.directory/groupsAssignableToRoles/create | Creare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/delete | Eliminare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli |
| microsoft.directory/groupsAssignableToRoles/restore | Ripristinare gruppi assegnabili a ruoli |
| microsoft.directory/groupSettings/allProperties/allTasks | Creare ed eliminare impostazioni gruppo, leggere e aggiornare tutte le proprietà |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Creare ed eliminare modelli di impostazioni di gruppo, leggere e aggiornare tutte le proprietà |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gestire i criteri ibridi di autenticazione in Microsoft Entra ID |
| microsoft.directory/identityProtection/allProperties/allTasks | Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Microsoft Entra ID Protection |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID |
| microsoft.aad.directory/organization/allProperties/allTasks | Creare ed eliminare loginTenantBranding, leggere e aggiornare tutte le proprietà |
| microsoft.directory/multiTenantOrganization/basic/update | Aggiornare le proprietà di base di un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/create | Creare un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Unirsi a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/standard/read | Leggere le proprietà di base di un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/create | Creare un tenant in un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/delete | Eliminare un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/namedLocations/basic/update | Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/create | Creare regole personalizzate per definire i percorsi di rete |
| microsoft.directory/namedLocations/delete | Eliminare regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/standard/read | Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/onPremisesSynchronization/basic/update | Aggiornare le informazioni di base sulla sincronizzazione della directory locale |
| microsoft.directory/onPremisesSynchronization/standard/read | Leggere le informazioni di sincronizzazione della directory locale standard |
| microsoft.directory/organization/allProperties/allTasks | Leggere e aggiornare tutte le proprietà per un'organizzazione |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Creare profili utente esterni nella directory estesa per Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Eliminare i profili utente esterni nella directory estesa per Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/permissionGrantPolicies/basic/update | Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/create | Creare criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/delete | Eliminare criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/standard/read | Leggere le proprietà standard dei criteri di concessione delle autorizzazioni |
| microsoft.directory/policies/allProperties/allTasks | Creare ed eliminare criteri, leggere e aggiornare tutte le proprietà |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365 |
| microsoft.directory/roleAssignments/allProperties/allTasks | Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà |
| microsoft.directory/serviceAction/activateService | Può eseguire l'azione "attiva servizio" per un servizio |
| microsoft.directory/serviceAction/disableDirectoryFeature | Può eseguire l'azione del servizio “disabilita funzionalità directory” |
| microsoft.directory/serviceAction/enableDirectoryFeature | Può eseguire l'azione del servizio “abilitare funzionalità directory” |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Può eseguire l'azione del servizio getAvailableExtentionProperties |
| microsoft.directory/servicePrincipals/basic/update | Aggiornamento delle proprietà di base nei requisiti di creazione |
| microsoft.directory/servicePrincipalCreationPolicies/create | Creare criteri di creazione dell'entità servizio |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Eliminare i criteri di creazione dell'entità servizio |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Leggere le proprietà standard dei criteri di creazione delle entità servizio |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Creare ed eliminare gli elementi del servizio, leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Acquistare e gestire sottoscrizioni ed eliminare sottoscrizioni |
| microsoft.directory/tenantManagement/tenants/create | Creare un nuovo tenant in Microsoft Entra ID |
| microsoft.directory/users/allProperties/allTasks | Creare ed eliminare utenti, leggere e aggiornare tutte le proprietà |
| microsoft.directory/users/authenticationMethods/basic/update | Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/create | Aggiornamento dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/delete | Eliminazione dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/standard/read | Leggere le proprietà standard dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/convertExternalToInternalMemberUser | Convertire l'utente esterno in un utente interno |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lettura della configurazione necessaria per creare e gestire credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aggiornamento della configurazione necessaria per creare e gestire credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lettura del contratto delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aggiornamento di un contratto delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lettura di una scheda delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Revoca di una scheda delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Creazione di un contratto delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/create | Creazione della configurazione necessaria per creare e gestire credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/delete | Eliminazione della configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le rispettive credenziali verificabili |
| microsoft.dynamics365/allEntities/allTasks | Gestione di tutti gli aspetti di Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Power Automate |
| microsoft.graph.dataConnect/allEntities/allProperties/allTasks | Gestire gli aspetti di Microsoft Graph Data Connect |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per i reclami di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft |
| microsoft.insights/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dell'app Insights |
| microsoft.intune/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Intune |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Entra Network Access |
| microsoft.office365.complianceManager/allEntities/allTasks | Gestire tutti gli aspetti di Office 365 Compliance Manager |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gestire tutti gli aspetti di Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Gestire tutti gli aspetti di Exchange Online |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dei contenitori di SharePoint Embedded |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gestire le origini di apprendimento e tutte le relative proprietà in Learning App. |
| microsoft.office365.lockbox/allEntities/allTasks | Gestire tutti gli aspetti di Customer Lockbox |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.messageCenter/securityMessages/read | Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Gestire tutti gli aspetti delle migrazioni di Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dei centri sicurezza e conformità |
| microsoft.office365.search/content/manage | Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leggere e aggiornare la visibilità dei messaggi relativi alle novità |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra |
| microsoft.powerApps/allEntities/allTasks | Gestire tutti gli aspetti di PowerApps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gestire tutti gli aspetti di Fabric e Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Gestire tutte le risorse in Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Viva Goals |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Viva Pulse |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gestione di tutti gli aspetti di Microsoft Defender per endpoint |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leggere e configurare tutti gli aspetti del servizio Windows Update |
Ruolo con autorizzazioni di lettura globali
Si tratta di un ruolo con privilegi. Gli utenti in questo ruolo possono leggere le impostazioni e le informazioni amministrative dei servizi di Microsoft 365, ma non possono eseguire azioni di gestione. Il Ruolo con autorizzazioni di lettura globali è la controparte di sola lettura dell'Amministratore globale. Assegnare il Ruolo con autorizzazioni di lettura globali anziché quello di Amministratore globale per le attività di pianificazione, controllo o indagine. Usare il Ruolo con autorizzazioni di lettura globali insieme ad altri ruoli amministrativi limitati, come quello di Amministratore di Exchange, per semplificare il lavoro senza assegnare il ruolo di Amministratore globale. Il ruolo con autorizzazioni di lettura globali funziona con l’interfaccia di amministrazione di Microsoft 365, l'interfaccia di amministrazione di Exchange, l'interfaccia di amministrazione di SharePoint, l'interfaccia di amministrazione di Teams, il portale Microsoft 365 Defender, il portale di conformità di Microsoft Purview, il portale di Azure e il centro di amministrazione Gestione dei dispositivi.
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Impossibile accedere all'area Acquisto di servizi nell'interfaccia di amministrazione di Microsoft 365.
Nota
Il ruolo con autorizzazioni di lettura globali presenta le seguenti limitazioni:
- Interfaccia di amministrazione di OneDrive: l'interfaccia di amministrazione di OneDrive non supporta il ruolo con autorizzazioni di lettura globali
- Portale di Microsoft 365 Defender: il ruolo con autorizzazioni di lettura globali non può leggere i log di controllo SCC, eseguire la ricerca di contenuto o vedere Secure Score.
- Interfaccia di amministrazione di Teams: il ruolo con autorizzazioni di lettura globali non può leggere Ciclo di vita di Teams, Analisi e report, Gestione dei dispositivi telefoni IP e Catalogo app. Per ulteriori informazioni sui ruoli di amministratore di Teams fare riferimento a Usare i ruoli di amministratore di Microsoft Teams per gestire Teams.
- Privileged Access Management non supporta il ruolo con autorizzazioni di lettura globali.
- Azure Information Protection: il ruolo con autorizzazioni di lettura globali è supportato solo per la creazione di report centralizzata e quando l'organizzazione Microsoft Entra non si trova nella piattaforma di etichettatura unificata.
- SharePoint: il ruolo con autorizzazioni di lettura globali ha accesso in lettura ai cmdlet di PowerShell di SharePoint Online e alle API di lettura.
- Interfaccia di amministrazione di Power Platform: il ruolo con autorizzazioni di lettura globali non è ancora supportato nell'interfaccia di amministrazione di Power Platform.
- Microsoft Purview non supporta il ruolo con autorizzazioni di lettura globali.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.backup/allEntities/allProperties/read | Leggere tutti gli aspetti di Backup di Microsoft 365 |
| microsoft.cloudPC/allEntities/allProperties/read | Leggi tutti gli aspetti di Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Leggere tutte le risorse della fatturazione di Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365. |
| microsoft.directory/accessReviews/allProperties/read | (Deprecato) Leggere tutte le proprietà delle verifiche di accesso |
| microsoft.directory/accessReviews/definitions/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Lettura di tutte le proprietà dei criteri di richiesta di consenso amministratore in Microsoft Entra ID |
| microsoft.directory/administrativeUnits/allProperties/read | Lettura di tutte le proprietà delle unità amministrative, membri inclusi |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID |
| microsoft.directory/applications/allProperties/read | Lettura di tutte le proprietà (incluse le proprietà con privilegi) in tutti i tipi di applicazioni |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave BitLocker nei dispositivi |
| microsoft.directory/cloudAppSecurity/allProperties/read | Leggere tutte le proprietà per le app di Defender per il cloud |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Leggere tutte le proprietà dei criteri di accesso condizionale |
| microsoft.directory/connectorGroups/allProperties/read | Lettura di tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori di rete privata |
| microsoft.directory/contacts/allProperties/read | Leggere tutte le proprietà per i contatti |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Leggere le proprietà di base dei criteri di sincronizzazione tra tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Leggere le estensioni di autenticazione personalizzate |
| microsoft.directory/deviceLocalCredentials/standard/read | Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/devices/allProperties/read | Lettura di tutte le proprietà dei dispositivi |
| microsoft.directory/directoryRoles/allProperties/read | Leggere tutte le proprietà dei ruoli della directory |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Leggere tutte le proprietà dei modelli di ruolo della directory |
| microsoft.directory/domains/allProperties/read | Lettura di tutte le proprietà dei domini |
| microsoft.directory/domains/federationConfiguration/standard/read | Leggere le proprietà standard della configurazione della federazione per i domini |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra |
| microsoft.directory/externalUserProfiles/standard/read | Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/groups/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) nei gruppi di sicurezza e nei gruppi di Microsoft 365, inclusi i gruppi assegnabili di ruolo |
| microsoft.directory/groupSettings/allProperties/read | Lettura di tutte le proprietà delle impostazioni del gruppo |
| microsoft.directory/groupSettingTemplates/allProperties/read | Leggere tutte le proprietà dei modelli di impostazione di gruppo |
| microsoft.directory/identityProtection/allProperties/read | Leggere tutte le risorse in Microsoft Entra ID Protection |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Leggere tutte le proprietà dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Leggere tutte le proprietà per la pagina di accesso personalizzata dell'organizzazione |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/standard/read | Eseguire la lettura delle proprietà di base di un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Eseguire la lettura dei dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/namedLocations/standard/read | Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Leggere tutte le proprietà delle concessioni di autorizzazione OAuth 2.0 |
| microsoft.directory/organization/allProperties/read | Leggere tutte le proprietà per un'organizzazione |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Leggere le proprietà standard dei criteri di concessione delle autorizzazioni |
| microsoft.directory/policies/allProperties/read | Lettura di tutte le proprietà dei criteri |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/roleAssignments/allProperties/read | Leggere tutte le proprietà delle assegnazioni di ruolo |
| microsoft.directory/roleDefinitions/allProperties/read | Leggere tutte le proprietà delle definizioni dei ruoli |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Visualizzare i membri nelle unità amministrative |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Può eseguire l'azione del servizio getAvailableExtentionProperties |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Leggere le proprietà standard dei criteri di creazione delle entità servizio |
| microsoft.directory/servicePrincipals/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.directory/subscribedSkus/allProperties/read | Leggere tutte le proprietà delle sottoscrizioni di prodotti |
| microsoft.directory/users/allProperties/read | Leggere tutte le proprietà degli utenti |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Lettura delle proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Lettura della configurazione necessaria per creare e gestire credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Lettura del contratto delle credenziali verificabili |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Lettura di una scheda delle credenziali verificabili |
| microsoft.edge/allEntities/allProperties/read | Leggere tutti gli aspetti di Microsoft Edge |
| microsoft.graph.dataConnect/allEntities/allProperties/read | Leggere gli aspetti di Microsoft Graph Data Connect |
| microsoft.hardware.support/shippingAddress/allProperties/read | Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Leggere attestazioni di garanzia hardware Microsoft |
| microsoft.insights/allEntities/allProperties/read | Leggere tutti gli aspetti di Viva Insights |
| microsoft.networkAccess/allEntities/allProperties/read | Leggere tutti gli aspetti di Microsoft Entra Network Access |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/read | Leggere le entità e le autorizzazioni dei contenitori di SharePoint Embedded |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.messageCenter/securityMessages/read | Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Leggere tutte le proprietà nei centri sicurezza e conformità |
| microsoft.office365.securityComplianceCenter/allEntities/read | Leggere le proprietà standard nel Centro sicurezza e conformità di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Leggere tutti gli aspetti di Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Leggere tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra |
| microsoft.teams/allEntities/allProperties/read | Leggere tutte le proprietà di Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Leggi tutti gli aspetti delle visite virtuali |
| microsoft.viva.goals/allEntities/allProperties/read | Leggere tutti gli aspetti di Microsoft Viva Goals |
| microsoft.viva.pulse/allEntities/allProperties/read | Leggere tutti gli aspetti di Microsoft Viva Pulse |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Leggere tutti gli aspetti del servizio Windows Update |
Amministratore Accesso globale sicuro
Assegnare il ruolo di amministratore di Accesso globale sicuro agli utenti che devono eseguire le seguenti operazioni:
- Creare e gestire tutti gli aspetti di Accesso a Internet di Microsoft Entra e Accesso privato Microsoft Entra
- Gestire l'accesso agli endpoint pubblici e privati
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Non è possibile gestire le applicazioni aziendali, le registrazioni delle applicazioni, l'accesso condizionale o le impostazioni dell’Application proxy
| Azioni | Descrizione |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/applicationPolicies/standard/read | Lettura delle proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applications/applicationProxy/read | Lettura di tutte le proprietà del proxy dell'applicazione |
| microsoft.directory/applications/owners/read | Leggere i proprietari delle applicazioni |
| microsoft.directory/applications/policies/read | Leggere i criteri delle applicazioni |
| microsoft.directory/applications/standard/read | Leggere le proprietà standard delle applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leggere l'accesso condizionale per i criteri |
| microsoft.directory/connectorGroups/allProperties/read | Lettura di tutte le proprietà dei gruppi di connettori di rete privata |
| microsoft.directory/connectors/allProperties/read | Lettura di tutte le proprietà dei connettori di rete privata |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Lettura delle proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/namedLocations/standard/read | Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Entra Network Access |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di gruppi
Gli utenti con questo ruolo possono creare o gestire gruppi e le relative impostazioni, ad esempio i criteri di denominazione e scadenza. È importante comprendere che l'assegnazione di un utente a questo ruolo offre la possibilità di gestire tutti i gruppi nell'organizzazione per diversi carichi di lavoro, ad esempio Teams, SharePoint, Yammer, oltre a Outlook. Inoltre, l'utente sarà in grado di gestire le diverse impostazioni dei gruppi nei vari portali di amministrazione, come l'interfaccia di amministrazione di Microsoft e il portale di Azure, oltre a quelli specifici del carico di lavoro, come le interfacce di amministrazione di Teams e SharePoint.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/deletedItems.groups/delete | Eliminazione definitiva di gruppi che non possono più essere ripristinati |
| microsoft.directory/deletedItems.groups/restore | Ripristino dello stato originale dei gruppi eliminati temporaneamente |
| microsoft.directory/groups/assignLicense | Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.aad.directory/groups/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/groupType/update | Aggiornare le proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo |
| microsoft.directory/groups/hiddenMembers/read | Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/onPremWriteBack/update | Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborazione delle assegnazioni delle licenze per le licenze basate su gruppo |
| microsoft.directory/groups/restore | Ripristinare i gruppi da un contenitore eliminato predefinito |
| microsoft.directory/groups/settings/update | Aggiornamento delle impostazioni dei gruppi |
| microsoft.directory/groups/visibility/update | Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Mittente dell'invito guest
Gli utenti con questo ruolo possono gestire gli inviti per gli utenti guest di Microsoft Entra B2B quando l'impostazione utente i membri possono invitare è impostata su No. Altre informazioni sulla collaborazione B2B in Informazioni su Collaborazione B2B di Microsoft Entra. Il ruolo non include altre autorizzazioni.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/users/appRoleAssignments/read | Eseguire la lettura delle assegnazioni di ruolo dell'applicazione per gli utenti |
| microsoft.directory/users/deviceForResourceAccount/read | Eseguire la lettura deviceForResourceAccount degli utenti |
| microsoft.directory/users/directReports/read | Leggere i report diretti per gli utenti |
| microsoft.directory/users/invitedBy/read | Leggere l'utente che ha invitato un utente esterno a un tenant |
| microsoft.directory/users/inviteGuest | Invitare gli utenti guest |
| microsoft.directory/users/licenseDetails/read | Eseguire la lettura dei dettagli delle licenze degli utenti |
| microsoft.directory/users/manager/read | Leggere Manager degli utenti |
| microsoft.directory/users/memberOf/read | Lettura delle appartenenze ai gruppi degli utenti |
| microsoft.directory/users/oAuth2PermissionGrants/read | Lettura delle concessioni di autorizzazioni delegate agli utenti |
| microsoft.directory/users/ownedDevices/read | Leggere i dispositivi di proprietà degli utenti |
| microsoft.directory/users/ownedObjects/read | Lettura degli oggetti di proprietà degli utenti |
| microsoft.directory/users/photo/read | Lettura della foto degli utenti |
| microsoft.directory/users/registeredDevices/read | Leggere i dispositivi registrati degli utenti |
| microsoft.directory/users/scopedRoleMemberOf/read | Eseguire la lettura dell'appartenenza di un utente a un ruolo di Microsoft Entra, che ha come ambito un'unità amministrativa |
| microsoft.directory/users/sponsors/read | Leggere gli sponsor degli utenti |
| microsoft.directory/users/standard/read | Lettura delle proprietà di base per gli utenti |
Amministratore supporto tecnico
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono modificare le password, invalidare i token di aggiornamento, creare e gestire le richieste di supporto con Microsoft per Azure e i servizi Microsoft 365 e monitorare l'integrità del servizio. Invalidando un token di aggiornamento si impone all'utente di eseguire di nuovo l'accesso. Il fatto che un Amministratore del supporto tecnico possa reimpostare la password di un utente e invalidare i token di aggiornamento dipende dal ruolo assegnato all'utente. Per un elenco dei ruoli che un amministratore del supporto tecnico può reimpostare le password per e invalidare i token di aggiornamento, vedere Chi può reimpostare le password.
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.
Importante
Gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse agli amministratori di supporto tecnico. Ciò significa che un Amministratore supporto tecnico potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure.
- Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
- Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
La delega delle autorizzazioni amministrative a subset di utenti e l'applicazione di criteri a un subset di utenti sono possibili con le unità amministrative.
Questo ruolo era precedentemente chiamato “Amministratore password” nel portale di Azure. È stato rinominato Amministratore supporto tecnico per allinearsi al nome esistente nell'API Microsoft Graph e in Microsoft Graph PowerShell.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave BitLocker nei dispositivi |
| microsoft.directory/deviceLocalCredentials/standard/read | Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzatura della disconnessione invalidando i token di aggiornamento utente |
| microsoft.directory/users/password/update | Reimpostazione delle password per tutti gli utenti |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore delle identità ibride
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono creare, gestire e distribuire le impostazioni di configurazione del provisioning da Active Directory a Microsoft Entra ID usando il provisioning cloud così come gestire le impostazioni di Microsoft Entra Connect, Autenticazione pass-through (PTA), Sincronizzazione dell'hash delle password (PHS), Single Sign-On facile (SSO facile) e federazione. Non ha accesso per gestire Microsoft Entra Connect Health. Usando questo ruolo gli utenti possono anche risolvere i problemi e monitorare i log.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/applications/appRoles/update | Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornamento della proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornamento dell'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornamento delle proprietà di base per le applicazioni |
| microsoft.directory/applications/create | Creazione di tutti i tipi di applicazioni |
| microsoft.directory/applications/delete | Eliminazione di tutti i tipi di applicazioni |
| microsoft.directory/applications/notes/update | Aggiornamento delle note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornamento dei proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornamento dei criteri delle applicazioni |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applications/tag/update | Aggiornamento dei tag delle applicazioni |
| microsoft.directory/applicationTemplates/instantiate | Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Leggere e configurare tutte le proprietà del servizio di provisioning cloud di Microsoft Entra. |
| microsoft.directory/deletedItems.applications/delete | Eliminazione definitiva di applicazioni che non possono più essere ripristinate |
| microsoft.directory/deletedItems.applications/restore | Ripristino dello stato originale delle applicazioni eliminate temporaneamente |
| microsoft.directory/domains/allProperties/read | Leggere tutte le proprietà dei dispositivi |
| microsoft.directory/domains/federationConfiguration/basic/update | Aggiornare la configurazione della federazione di base per i domini |
| microsoft.directory/domains/federationConfiguration/create | Creare la configurazione della federazione per i domini |
| microsoft.directory/domains/federationConfiguration/delete | Eliminare la configurazione della federazione per i domini |
| microsoft.directory/domains/federationConfiguration/standard/read | Leggere le proprietà standard della configurazione della federazione per i domini |
| microsoft.directory/domains/federation/update | Aggiornare la proprietà federativa dei domini |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gestire i criteri ibridi di autenticazione in Microsoft Entra ID |
| microsoft.directory/onPremisesSynchronization/basic/update | Aggiornare le informazioni di base sulla sincronizzazione della directory locale |
| microsoft.directory/onPremisesSynchronization/standard/read | Leggere le informazioni di sincronizzazione della directory locale standard |
| microsoft.directory/organization/dirSync/update | Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornamento delle proprietà relative ai destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornamento delle proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminazione delle entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitazione delle entità servizio |
| microsoft.directory/servicePrincipals/notes/update | Aggiornamento delle note delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornamento dei proprietari nelle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornamento delle autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornamento dei criteri nelle entità servizio |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni. |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestione dei segreti e delle credenziali per il provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornamento della proprietà tag per le entità servizio |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.directory/users/authorizationInfo/update | Aggiornare la proprietà ID utente certificato multivalore degli utenti |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Identity Governance
Gli utenti con questo ruolo possono gestire la configurazione di Microsoft Entra ID Governance, inclusi i pacchetti di accesso, le verifiche di accesso, i cataloghi e i criteri, in modo da assicurare l'approvazione e la verifica dell'accesso e la rimozione degli utenti guest che non hanno più bisogno dell'accesso.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gestire le verifiche di accesso delle assegnazioni del ruolo applicazione in Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gestire le verifiche di accesso per le assegnazioni di un pacchetto di accesso nella gestione entitlement |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli. |
| microsoft.directory/accessReviews/definitions.groups/create | Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365. |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
Amministratore informazioni dettagliate
Gli utenti con questo ruolo possono accedere al set completo di funzionalità amministrative nell'app Microsoft Viva Insights. Questo ruolo ha la possibilità di leggere le informazioni della directory, monitorare l'integrità del servizio, inviare i ticket di supporto e accedere agli aspetti delle impostazioni di Amministratore di Insights.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.insights/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dell'app Insights |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Analista di informazioni dettagliate
Assegnare il ruolo di Analista di Insights agli utenti che devono eseguire le attività seguenti:
- Analizzare i dati nell'app Microsoft Viva Insights, senza poter gestire le impostazioni di configurazione
- Creare, gestire ed eseguire query
- Visualizzare le impostazioni e i report di base nell'interfaccia di amministrazione di Microsoft 365
- Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
| Azioni | Descrizione |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Eseguire e gestire query in Viva Insights |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Insights Business Leader
Gli utenti con questo ruolo possono accedere a un set di dashboard e informazioni dettagliate tramite l'app Microsoft Viva Insights. Ciò include l'accesso completo a tutti i dashboard e alle funzionalità di esplorazione dei dati e delle informazioni dettagliate presentate. Gli utenti con questo ruolo non hanno accesso alle impostazioni di configurazione del prodotto, che rientrano tra le responsabilità del ruolo di Amministratore di Insights.
| Azioni | Descrizione |
|---|---|
| microsoft.insights/programs/allProperties/update | Distribuire e gestire programmi nell'app Insights |
| microsoft.insights/reports/allProperties/read | Visualizzare report e dashboard nell'app Insights |
Amministratore di Intune
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Intune Online, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi. Per altre informazioni consultare Controllo dell’amminsitrazione basata su ruoli (RBAC) con Microsoft Intune.
Questo ruolo può creare e gestire tutti i gruppi di sicurezza. L'amministratore di Intune non ha, tuttavia, i diritti di amministratore nei gruppi di Office. Questo significa che l'amministratore non può aggiornare i proprietari o le appartenenze di tutti i gruppi di Office nell'organizzazione. Tuttavia, è in grado di gestire il gruppo di Office creato come parte dei propri privilegi di utente finale. Pertanto, qualsiasi gruppo di Office (non gruppo di sicurezza) creato dall'utente deve essere conteggiato ai fini della quota di 250.
Nota
Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Intune. Nel portale di Azure è chiamato Amministratore di Intune.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Windows 365 |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave BitLocker nei dispositivi |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base sui contatti |
| microsoft.directory/contacts/create | Creazione di contatti |
| microsoft.directory/contacts/delete | Elimina contatto |
| microsoft.directory/deletedItems.devices/delete | Eliminare definitivamente i dispositivi, che non possono più essere ripristinati |
| microsoft.directory/deletedItems.devices/restore | Ripristino dello stato originale dei dispositivi eliminati temporaneamente |
| microsoft.directory/deviceLocalCredentials/password/read | Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/devices/basic/update | Aggiornare le proprietà di base nei dispositivi |
| microsoft.directory/devices/create | Creazione di dispositivi (registrarsi in Microsoft Entra ID) |
| microsoft.directory/devices/delete | Eliminare i dispositivi da Microsoft Entra ID |
| microsoft.directory/devices/disable | Disabilitare i dispositivi in Microsoft Entra ID |
| microsoft.directory/devices/enable | Abilitare il dispositivo in Microsoft Entra ID |
| microsoft.directory/devices/extensionAttributeSet1/update | Aggiornamento delle proprietà extensionAttribute1 in extensionAttribute5 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet2/update | Aggiornamento delle proprietà extensionAttribute6 in extensionAttribute10 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet3/update | Aggiornamento delle proprietà extensionAttribute11 in extensionAttribute15 nei dispositivi |
| microsoft.directory/devices/registeredOwners/update | Aggiornamento dei proprietari registrati dei dispositivi |
| microsoft.directory/devices/registeredUsers/update | Aggiornare gli utenti registrati dei dispositivi |
| microsoft.directory/groups/hiddenMembers/read | Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.security/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/owners/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/visibility/update | Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/users/basic/update | Aggiornamento delle proprietà di base per gli utenti |
| microsoft.directory/users/manager/update | Gestione degli aggiornamenti per gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.intune/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Kaizala
Gli utenti con questo ruolo hanno autorizzazioni globali per gestire le impostazioni in Microsoft Kaizala, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Inoltre, l'utente può accedere ai report relativi all'adozione e all'utilizzo di Kaizala da parte dei membri dell'organizzazione e ai report aziendali generati usando le azioni Kaizala.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore delle conoscenze
Gli utenti con questo ruolo hanno accesso completo a tutte le impostazioni delle funzionalità intelligenti, relative a conoscenze e apprendimento nell'interfaccia di amministrazione di Microsoft 365. Hanno una conoscenza generale della suite di prodotti, dei dettagli delle licenze e hanno la responsabilità di controllare l'accesso. L'amministratore delle conoscenze può creare e gestire i contenuti, ad esempio argomenti, acronimi e risorse di apprendimento. Questi utenti possono anche creare i centri di contenuti, monitorare l'integrità del servizio e creare le richieste di servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.security/createAsOwner | Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli. L'autore viene aggiunto come primo proprietario. |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/owners/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gestire le origini di apprendimento e tutte le relative proprietà in Learning App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Leggere tutte le proprietà delle etichette di riservatezza nei centri sicurezza e conformità |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Responsabile delle conoscenze
Gli utenti con questo ruolo possono creare e gestire i contenuti, ad esempio argomenti, acronimi e contenuti di apprendimento. Questi utenti sono principalmente responsabili della qualità e della struttura delle conoscenze. Questo utente dispone di diritti completi per le azioni di gestione degli argomenti per confermare un argomento, approvare le modifiche o eliminare un argomento. Questo ruolo può anche gestire le tassonomie come parte dello strumento di gestione dell'archivio di termini e creare centri di contenuto.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.security/createAsOwner | Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli. L'autore viene aggiunto come primo proprietario. |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/owners/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore licenze
Gli utenti in questo ruolo possono leggere, aggiungere, rimuovere e aggiornare le assegnazioni di licenze a utenti, gruppi (usando licenze basate su gruppi) e gestire i percorsi di utilizzo per gli utenti. Il ruolo non garantisce la possibilità di acquistare o gestire sottoscrizioni, creare o gestire gruppi o creare o gestire utenti al di fuori del percorso di utilizzo. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/groups/assignLicense | Assegnazione delle licenze di prodotto ai gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborazione delle assegnazioni delle licenze per le licenze basate su gruppo |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze per gli utenti |
| microsoft.directory/users/usageLocation/update | Aggiornare la posizione di utilizzo degli utenti |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore flussi di lavoro del ciclo di vita
Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore flussi di lavoro del ciclo di vita agli utenti che devono eseguire le attività seguenti:
- Creare e gestire tutti gli aspetti dei flussi di lavoro e dei task associati ai flussi di lavoro del ciclo di vita in Microsoft Entra ID
- Controllare l'esecuzione dei flussi di lavoro pianificati
- Avviare le esecuzioni dei flussi di lavoro su richiesta
- Esaminare i log di esecuzione del flusso di lavoro
| Azioni | Descrizione |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID |
| microsoft.directory/organization/strongAuthentication/read | Lettura delle proprietà di autenticazione avanzata di un'organizzazione |
| microsoft.directory/users/lifeCycleInfo/read | Leggere le informazioni sul ciclo di vita degli utenti, ad esempio employeeLeaveDateTime |
Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi
Gli utenti con questo ruolo possono monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati. Gli utenti con il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi ricevono notifiche tramite posta elettronica, incluse quelle relative alla privacy dei dati, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo l'amministratore globale e il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo include anche la possibilità di visualizzare gruppi, domini e sottoscrizioni. Questo ruolo non ha le autorizzazioni per visualizzare, creare o gestire richieste di servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.messageCenter/securityMessages/read | Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Ruolo con autorizzazioni di lettura per il Centro messaggi
Gli utenti con questo ruolo possono monitorare le notifiche e gli aggiornamenti dello stato di integrità nel Centro messaggi per la propria organizzazione sui servizi configurati, ad esempio Exchange, Intune e Microsoft Teams. Il Ruolo con autorizzazioni di lettura per il Centro messaggi riceve settimanalmente riepiloghi di posta elettronica di post, aggiornamenti e può condividere i post del centro messaggi in Office 365. In Microsoft Entra ID, gli utenti assegnati a questo ruolo avranno accesso in sola lettura ai servizi Microsoft Entra, come ad esempio utenti e gruppi. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore della migrazione di Microsoft 365
Assegnare il ruolo di Amministratore migrazione di Windows 365 agli utenti che devono eseguire le attività seguenti:
- Usare Gestione migrazione nei interfaccia di amministrazione di Microsoft 365 per gestire la migrazione dei contenuti a Microsoft 365, tra cui Teams, OneDrive for Business e siti di SharePoint, da Google Drive, Dropbox, Box e Egnyte
- Selezionare le origini di migrazione, creare inventari della migrazione (ad esempio elenchi di utenti di Google Drive), pianificare ed eseguire migrazioni e scaricare i report
- Creare nuovi siti di SharePoint se i siti di destinazione non esistono già, creare elenchi di SharePoint nei siti di amministrazione di SharePoint e creare e aggiornare elementi negli elenchi di SharePoint
- Gestire le impostazioni del progetto di migrazione e il ciclo di vita della migrazione per le attività
- Gestire i mapping delle autorizzazioni dall'origine alla destinazione
Nota
Questo ruolo non consente di eseguire la migrazione da origini di condivisione file usando l'interfaccia di amministrazione di SharePoint. È possibile usare il ruolo di amministratore di SharePoint per eseguire la migrazione da origini di condivisione file.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Gestire tutti gli aspetti delle migrazioni di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore locale del dispositivo aggiunto a Microsoft Entra
Questo ruolo è disponibile per l'assegnazione solo come amministratore locale aggiuntivo in Impostazioni dispositivo. Gli utenti con questo ruolo diventano amministratori del computer locale in tutti i dispositivi Windows 10 aggiunti a Microsoft Entra ID. Non hanno la capacità di gestire gli oggetti dispositivo in Microsoft Entra ID.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groupSettings/standard/read | Leggere le proprietà di base nelle impostazioni del gruppo |
| microsoft.directory/groupSettingTemplates/standard/read | Leggere le proprietà di base su modelli di impostazioni di gruppo |
Amministratore garanzie hardware Microsoft
Assegnare il ruolo di Amministratore garanzie Hardware Microsoft agli utenti che devono eseguire le attività seguenti:
- Creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens
- Cercare e leggere attestazioni di garanzia aperte o chiuse
- Cercare e leggere attestazioni di garanzia in base al numero di serie
- Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione
- Leggere lo stato di spedizione per le attestazioni di garanzia aperte
- Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
- Leggere gli annunci del Centro messaggi nell'interfaccia di amministrazione di Microsoft 365
Una richiesta di garanzia è una richiesta di riparazione o sostituzione dell'hardware in conformità alle condizioni della garanzia. Per maggiori informazioni consultareGestisci in autonomia la garanzia di Surface e le richieste di assistenza.
| Azioni | Descrizione |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per i reclami di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Specialista garanzie hardware Microsoft
Assegnare il ruolo di Specialista garanzie hardware Microsoft agli utenti che devono eseguire le attività seguenti:
- Creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens
- Leggere le attestazioni di garanzia create
- Leggere e aggiornare gli indirizzi di spedizione esistenti
- Leggere lo stato di spedizione per le attestazioni di garanzia aperte create dall'utente
- Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
Una richiesta di garanzia è una richiesta di riparazione o sostituzione dell'hardware in conformità alle condizioni della garanzia. Per maggiori informazioni consultareGestisci in autonomia la garanzia di Surface e le richieste di assistenza.
| Azioni | Descrizione |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Creare attestazioni di garanzia hardware Microsoft in cui creator è il proprietario |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.hardware.support/shippingStatus/allProperties/read | Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Leggere attestazioni di garanzia hardware Microsoft |
Amministratore di Commerce moderno
Non utilizzare. Questo ruolo viene assegnato automaticamente da Commerce e non è progettato o supportato per altri usi. Vedere i dettagli di seguito.
Il ruolo Amministratore di Commerce moderno concede a determinati utenti le autorizzazioni per accedere all'interfaccia di amministrazione di Microsoft 365 e visualizzare le voci di spostamento a sinistra per Home, Fatturazione e Supporto. I contenuti disponibili in queste aree sono controllati da ruoli specifici per attività commerciali assegnati agli utenti per gestire i prodotti acquistati per se stessi o per la propria organizzazione. Questo potrebbe includere attività quali il pagamento di fatture o l'accesso agli account di fatturazione e ai profili di fatturazione.
Gli utenti con il ruolo di amministratore di Commerce moderno hanno in genere autorizzazioni amministrative in altri sistemi di acquisto Microsoft, ma non hanno i ruoli di amministratore globale o amministratore della fatturazione usati per accedere all'interfaccia di amministrazione.
Quando viene assegnato il ruolo di amministratore di Commerce moderno?
- Acquisto self-service nell'interfaccia di amministrazione di Microsoft 365 - L'acquisto self-service offre agli utenti la possibilità di provare nuovi prodotti acquistandoli o effettuando l'iscrizione autonomamente. Questi prodotti vengono gestiti nell'interfaccia di amministrazione. Agli utenti che effettuano un acquisto self-service viene assegnato un ruolo nel sistema commerciale e il ruolo di amministratore di Commerce moderno per poter gestire gli acquisti nell'interfaccia di amministrazione. Gli amministratori possono bloccare gli acquisti self-service (per Fabric, Power BI, Power Apps, Power Automate) tramite PowerShell. Per altre informazioni, vedere Domande frequenti sugli acquisti self-service.
- Acquisti dal marketplace commerciale Microsoft - Analogamente all'acquisto self-service, quando un utente acquista un prodotto o un servizio da Microsoft AppSource o Azure Marketplace, viene assegnato il ruolo di amministratore di Commerce moderno se non ha il ruolo di amministratore globale o amministratore della fatturazione. In alcuni casi, è possibile che gli utenti non possano effettuare questi acquisti. Per altre informazioni, vedere Marketplace commerciale Microsoft.
- Proposte da Microsoft - Una proposta è un'offerta formale da Microsoft all'organizzazione per l'acquisto di prodotti e servizi Microsoft. Quando la persona che accetta la proposta non ha un ruolo di amministratore globale o amministratore della fatturazione in Azure AD, viene assegnato un ruolo specifico per attività commerciali per completare la proposta e il ruolo di amministratore di Commerce moderno per accedere all'interfaccia di amministrazione. Quando accedono all'interfaccia di amministrazione, possono usare solo le funzionalità autorizzate dal proprio ruolo specifico per attività commerciali.
- Ruoli specifici per attività commerciali - Ad alcuni utenti vengono assegnati ruoli specifici per attività commerciali. Se un utente non è un amministratore globale o di fatturazione, ottiene il ruolo di amministratore di Commerce moderno per poter accedere all'interfaccia di amministrazione.
Se viene annullata l'assegnazione del ruolo di amministratore di Commerce moderno a un utente, questi perderà l'accesso al centro di amministrazione di Microsoft 365. Se era responsabile della gestione di prodotti, per se stesso o per l'organizzazione, non sarà più in grado di occuparsene. I compiti di gestione potrebbero includere l'assegnazione di licenze, la modifica dei metodi di pagamento, il pagamento di fatture o altre attività per la gestione delle sottoscrizioni.
| Azioni | Descrizione |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Gestire tutti gli aspetti del Centro servizi per contratti multilicenza |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/basic/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di rete
Gli utenti con questo ruolo possono esaminare le raccomandazioni relative all'architettura perimetrale di rete di Microsoft basate sui dati di telemetria di rete dalle posizioni degli utenti. Le prestazioni di rete per Microsoft 365 si basano su un'attenta architettura perimetrale della rete della clientela aziendale, in genere specifica per la posizione degli utenti. Questo ruolo consente di modificare le posizioni utente individuate e la configurazione dei parametri di rete per tali posizioni per favorire le misurazioni di telemetria e le raccomandazioni di progettazione migliori
| Azioni | Descrizione |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Gestire tutti gli aspetti dei percorsi di rete |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore delle app di Office
Gli utenti con questo ruolo possono gestire le impostazioni cloud per le app di Microsoft 365. Sono incluse la gestione dei criteri cloud, la gestione dei download self-service e la possibilità di visualizzare report correlati alle app di Office. Questo ruolo concede anche la possibilità di gestire i ticket di supporto e di monitorare l'integrità dei servizi nell'interfaccia di amministrazione principale. Gli utenti assegnati a questo ruolo possono anche gestire la comunicazione delle nuove funzionalità nelle app di Office.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leggere e aggiornare la visibilità dei messaggi relativi alle novità |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore personalizzazione dell'organizzazione
Assegnare il ruolo di Amministratore marchi dell’organizzazione agli utenti che devono eseguire le attività seguenti:
- Gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant
- Leggere, creare, aggiornare ed eliminare temi di personalizzazione
- Gestire il tema di personalizzazione predefinito e tutti i temi di localizzazione della personalizzazione
| Azioni | Descrizione |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Creare ed eliminare loginTenantBranding, leggere e aggiornare tutte le proprietà |
Responsabile approvazione dei messaggi dell'organizzazione
Assegnare il ruolo di responsabile approvazione dei messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:
- Esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365 prima che vengano inviati agli utenti usando la piattaforma Messaggi aziendali di Microsoft 365
- Leggere tutti gli aspetti dei messaggi dell'organizzazione
- Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
| Azioni | Descrizione |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | Approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Writer dei messaggi dell'organizzazione
Assegnare il ruolo di Writer dei messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:
- Scrivere, pubblicare ed eliminare messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
- Gestire le opzioni di recapito dei messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
- Gestire le opzioni di recapito dei messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
- Visualizzare i report sull'utilizzo e la maggior parte delle impostazioni nell'interfaccia di amministrazione di Microsoft 365, senza poter apportare modifiche
| Azioni | Descrizione |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Leggere i report di utilizzo aggregati a livello di tenant di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Supporto partner Livello 1
Si tratta di un ruolo con privilegi. Non utilizzare. Questo ruolo è stato dismesso e verrà rimosso da Microsoft Entra ID in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.
Importante
Questo ruolo può reimpostare le password e invalidare i token di aggiornamento solo per gli utenti non amministratori. Questo ruolo non deve essere usato perché è deprecato.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/applications/appRoles/update | Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornamento della proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornamento dell'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornamento delle proprietà di base per le applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornamento delle credenziali dell'applicazione |
| microsoft.directory/applications/notes/update | Aggiornamento delle note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornamento dei proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornamento dei criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornamento dei tag delle applicazioni |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base sui contatti |
| microsoft.directory/contacts/create | Creazione di contatti |
| microsoft.directory/contacts/delete | Elimina contatto |
| microsoft.directory/groups/restore | Ripristino dello stato originale dei gruppi eliminati temporaneamente |
| microsoft.directory/deletedItems.users/restore | Ripristino dello stato originale degli utenti eliminati temporaneamente |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/restore | Ripristinare i gruppi da un contenitore eliminato predefinito |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/basic/update | Aggiornamento delle proprietà di base per gli utenti |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/delete | Eliminare utenti |
| microsoft.directory/users/disable | Disabilitazione degli utenti |
| microsoft.directory/users/enable | Abilitazione degli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzatura della disconnessione invalidando i token di aggiornamento utente |
| microsoft.directory/users/manager/update | Gestione degli aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostazione delle password per tutti gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/userPrincipalName/update | Aggiornamento del nome dell'entità utente degli utenti |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Supporto partner Livello 2
Si tratta di un ruolo con privilegi. Non utilizzare. Questo ruolo è stato dismesso e verrà rimosso da Microsoft Entra ID in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.
Importante
Questo ruolo può reimpostare le password e invalidare i token di aggiornamento per tutti gli amministratori e gli amministratori non (inclusi gli amministratori globali). Questo ruolo non deve essere usato perché è deprecato.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/applications/appRoles/update | Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornamento della proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornamento dell'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornamento delle proprietà di base per le applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornamento delle credenziali dell'applicazione |
| microsoft.directory/applications/notes/update | Aggiornamento delle note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornamento dei proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornamento dei criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornamento dei tag delle applicazioni |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base sui contatti |
| microsoft.directory/contacts/create | Creazione di contatti |
| microsoft.directory/contacts/delete | Elimina contatto |
| microsoft.directory/groups/restore | Ripristino dello stato originale dei gruppi eliminati temporaneamente |
| microsoft.directory/deletedItems.users/restore | Ripristino dello stato originale degli utenti eliminati temporaneamente |
| microsoft.directory/domains/allProperties/allTasks | Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/restore | Ripristinare i gruppi da un contenitore eliminato predefinito |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/organization/basic/update | Aggiornare le proprietà di base nell'organizzazione |
| microsoft.directory/roleAssignments/allProperties/allTasks | Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/subscribedSkus/standard/read | Lettura delle proprietà di base nelle sottoscrizioni |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/basic/update | Aggiornamento delle proprietà di base per gli utenti |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/delete | Eliminare utenti |
| microsoft.directory/users/disable | Disabilitazione degli utenti |
| microsoft.directory/users/enable | Abilitazione degli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzatura della disconnessione invalidando i token di aggiornamento utente |
| microsoft.directory/users/manager/update | Gestione degli aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostazione delle password per tutti gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/userPrincipalName/update | Aggiornamento del nome dell'entità utente degli utenti |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore password
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno la possibilità di gestire le password in modo limitato. Questo ruolo non concede la possibilità di gestire le richieste di servizio o di monitorare l'integrità dei servizi. La facoltà di un Amministratore di password di reimpostare la password di un utente dipende dal ruolo assegnato all'utente. Per un elenco dei ruoli per cui un amministratore password può reimpostare le password, vedere Chi può reimpostare le password.
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/users/password/update | Reimpostazione delle password per tutti gli utenti |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore gestione autorizzazioni
Assegnare il ruolo di Amministratore gestione autorizzazioni agli utenti che devono eseguire le attività seguenti:
- Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra, quando il servizio è presente
Altre informazioni sui ruoli e i criteri di gestione delle autorizzazioni sono disponibili in Visualizzare informazioni sui ruoli/criteri.
| Azioni | Descrizione |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra |
Amministratore di Power Platform
Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti degli ambienti, di Power Apps, Flows e i criteri di prevenzione della perdita dei dati. Possono inoltre gestire i ticket di supporto e monitorare l'integrità del servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.dynamics365/allEntities/allTasks | Gestione di tutti gli aspetti di Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Gestire tutti gli aspetti di PowerApps |
Amministratore stampante
Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni del connettore Stampa universale. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori stampante possono anche accedere ai report di stampa.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Creare ed eliminare stampanti e connettori e leggere e aggiornare tutte le proprietà in Stampa Microsoft |
Tecnico della stampante
Gli utenti con questo ruolo possono registrare le stampanti e gestire lo stato della stampante nella soluzione Stampa universale Microsoft. Possono anche leggere tutte le informazioni sul connettore. Due attività chiave che un tecnico della stampante non può eseguire sono impostare le autorizzazioni utente per le stampanti e condividere stampanti.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Leggere tutte le proprietà dei connettori in Stampa Microsoft |
| microsoft.azure.print/printers/allProperties/read | Leggere tutte le proprietà delle stampanti in Stampa Microsoft. |
| microsoft.azure.print/printers/basic/update | Aggiornare le proprietà di base delle stampanti in Stampa Microsoft |
| microsoft.azure.print/printers/register | Registrare le stampanti in Stampa Microsoft |
| microsoft.azure.print/printers/unregister | Annullare la registrazione delle stampanti in Stampa Microsoft |
Amministratore dell'autenticazione con privilegi
Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore dell'autenticazione con privilegi agli utenti che devono eseguire le operazioni seguenti:
- Impostare o reimpostare un metodo di autenticazione, tra cui le password, per qualsiasi utente, inclusi gli Amministratori globali.
- Eliminare o ripristinare tutti gli utenti, inclusi gli Amministratori globali. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
- Forzare gli utenti a eseguire di nuovo la registrazione per le credenziali esistenti diverse dalle password (ad esempio autenticazione a più fattori o FIDO) e revocare la scelta di ricordare l'autenticazione a più fattori sul dispositivo, richiedendola al successivo accesso per tutti gli utenti.
- Aggiornare le proprietà sensibili per tutti gli utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
- Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365.
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Non è possibile gestire l'autenticazione a più fattori per singolo utente nel portale di gestione legacy dell'autenticazione a più fattori.
Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.
| Ruolo | Gestione dei metodi di autenticazione dell'utente | Gestione di MFA per utente | Gestione delle impostazioni di MFA | Gestione dei criteri del metodo di autenticazione | Gestione dei criteri di protezione password | Aggiornamento delle proprietà sensibili | Eliminazione e ripristino degli utenti |
|---|---|---|---|---|---|---|---|
| Amministratore dell'autenticazione | Sì, per alcuni utenti | Sì, per alcuni utenti | Sì | No | No | Sì, per alcuni utenti | Sì, per alcuni utenti |
| Amministratore autenticazione con privilegi | Sì, per tutti gli utenti | Sì, per tutti gli utenti | No | No | No | Sì, per tutti gli utenti | Sì, per tutti gli utenti |
| Amministratore dei criteri di autenticazione | No | Sì | Sì | Sì | Sì | No | No |
| Amministratore utenti | No | No | No | No | No | Sì, per alcuni utenti | Sì, per alcuni utenti |
Importante
Gli utenti con questo ruolo possono modificare le credenziali di utenti che potrebbero accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere in Microsoft Entra ID e altrove autorizzazioni con privilegi non concesse agli amministratori dell'autenticazione. Questo significa che un amministratore dell'autenticazione può assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
- Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
- Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/deletedItems.users/restore | Ripristino dello stato originale degli utenti eliminati temporaneamente |
| microsoft.directory/users/authenticationMethods/basic/update | Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/create | Aggiornamento dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/delete | Eliminazione dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/standard/read | Leggere le proprietà standard dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authorizationInfo/update | Aggiornare la proprietà ID utente certificato multivalore degli utenti |
| microsoft.directory/users/basic/update | Aggiornamento delle proprietà di base per gli utenti |
| microsoft.directory/users/delete | Eliminare utenti |
| microsoft.directory/users/disable | Disabilitazione degli utenti |
| microsoft.directory/users/enable | Abilitazione degli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzatura della disconnessione invalidando i token di aggiornamento utente |
| microsoft.directory/users/manager/update | Gestione degli aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostazione delle password per tutti gli utenti |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/userPrincipalName/update | Aggiornamento del nome dell'entità utente degli utenti |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore ruolo con privilegi
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Microsoft Entra ID come anche all'interno di Microsoft Entra Privileged Identity Management. Possono creare e gestire gruppi che possono essere assegnati ai ruoli di Microsoft Entra. Inoltre, questo ruolo consente la gestione di tutti gli aspetti di Privileged Identity Management e delle unità amministrative.
Importante
Questo ruolo concede la possibilità di gestire le assegnazioni per tutti i ruoli di Microsoft Entra, incluso il ruolo di amministratore globale. Questo ruolo non prevede altre capacità con privilegi in Microsoft Entra ID, come ad esempio la creazione o l'aggiornamento degli utenti. Tuttavia, gli utenti assegnati a questo ruolo possono concedere a se stessi o ad altri utenti privilegi aggiuntivi, perché possono assegnare ruoli aggiuntivi.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Gestire le verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli. |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Creare verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Eliminare le verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Creare e gestire le unità amministrative (inclusi i membri) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Gestire tutti gli aspetti dei criteri di autorizzazione |
| microsoft.directory/directoryRoles/allProperties/allTasks | Creare ed eliminare ruoli directory, leggere e aggiornare tutte le proprietà |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aggiornare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/assignLicense | Assegnare una licenza a gruppi assegnabili a ruoli |
| microsoft.directory/groupsAssignableToRoles/create | Creare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/delete | Eliminare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli |
| microsoft.directory/groupsAssignableToRoles/restore | Ripristinare gruppi assegnabili a ruoli |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/permissionGrantPolicies/allProperties/read | Leggere tutte le proprietà dei criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/allProperties/update | Aggiornare tutte le proprietà dei criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/create | Creare criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/delete | Eliminare criteri di concessione delle autorizzazioni |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornamento delle autorizzazioni delle entità servizio |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore che legge i report
Gli utenti con questo ruolo possono visualizzare i dati dei report sull'utilizzo e il dashboard dei report nell'interfaccia di amministrazione di Microsoft 365 e l’adozione del pacchetto contesto in Fabric e in Power BI. Il ruolo consente anche l'accesso ai log di accesso, ai log di audit e ai report sulle attività in Microsoft Entra ID e ai dati restituiti dall'API di creazione report di Microsoft Graph. Un utente assegnato al ruolo di lettore di report può accedere solo alle metriche rilevanti per utilizzo e adozione. Questi utenti non hanno le autorizzazioni di amministratore per configurare le impostazioni o accedere alle interfacce di amministrazione specifiche di prodotti come Exchange. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore della ricerca
Gli utenti con questo ruolo hanno accesso completo a tutte le funzionalità di gestione di Microsoft Search nell'interfaccia di amministrazione di Microsoft 365. Questi utenti possono anche visualizzare il centro messaggi, monitorare l'integrità del servizio e creare richieste di servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.search/content/manage | Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Editor della ricerca
Gli utenti con questo ruolo possono creare, gestire ed eliminare contenuti per Microsoft Search nell'interfaccia di amministrazione di Microsoft 365, inclusi segnalibri, domande e risposte e posizioni.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.search/content/manage | Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore della sicurezza
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno le autorizzazioni necessarie per gestire le funzionalità relative alla sicurezza nel portale di Microsoft 365 Defender, in Microsoft Entra ID Protection, per l'autenticazione di Microsoft Entra, in Azure Information Protection e nel portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.
| In | Può eseguire |
|---|---|
| Portale di Microsoft 365 Defender | Monitorare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365 Gestire gli avvisi e le minacce alla sicurezza Visualizzazione di report |
| Microsoft Entra ID Protection | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Eseguire tutte le operazioni di protezione ID, ad eccezione della reimpostazione delle password |
| Privileged Identity Management | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Non è consentito gestire le assegnazioni di ruolo o le impostazioni di Azure AD |
| Portale di conformità di Microsoft Purview | Gestire i criteri di sicurezza Visualizzare, analizzare e rispondere alle minacce alla sicurezza Visualizzazione di report |
| Azure Advanced Threat Protection | Monitorare e rispondere alle attività sospette dal punto di vista della sicurezza |
| Microsoft Defender per endpoint | Assegnazione di ruoli Gestione dei gruppi di computer Configurare il rilevamento delle minacce agli endpoint e le funzionalità automatizzate di correzione Visualizzare, analizzare e rispondere agli avvisi Visualizzare l'inventario di computer/dispositivi. |
| Intune | Esegue il mapping al ruolo Intune Endpoint Security Manager |
| Microsoft Defender for Cloud Apps | Aggiungere amministratori, criteri e impostazioni, caricare i log ed eseguire azioni di governance |
| Integrità dei servizi di Microsoft 365 | Visualizzare lo stato di integrità dei servizi di Microsoft 365 |
| Blocco intelligente | Definire la soglia e la durata dei blocchi quando si verificano eventi di accesso non riuscito. |
| Password di protezione | Configurare l'elenco delle password personalizzate escluse o la password di protezione locale. |
| Sincronizzazione tra tenant | Configurare le impostazioni di accesso tra tenant per gli utenti in un altro tenant. Gli amministratori della sicurezza non possono creare ed eliminare direttamente gli utenti, ma possono creare ed eliminare indirettamente gli utenti sincronizzati da un altro tenant quando entrambi i tenant sono configurati per la sincronizzazione tra tenant, ovvero un'autorizzazione con privilegi. |
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/applications/policies/update | Aggiornamento dei criteri delle applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave BitLocker nei dispositivi |
| microsoft.directory/policies/conditionalAccess/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/create | Creare criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminare criteri di accesso condizionale |
| microsoft.directory/policies/conditionalAccess/owners/read | Elencare tutti i criteri di accesso condizionale |
| microsoft.directory/policies/conditionalAccess/owners/update | Aggiornare i proprietari per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leggere la proprietà "applicata a" per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leggere l'accesso condizionale per i criteri |
| microsoft.directory/policies/conditionalAccess/tenantDefault/update | Aggiornare il tenant predefinito per i criteri di accesso condizionale |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aggiornare le impostazioni di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aggiornamento delle impostazioni di connessione diretta B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminare i criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | Creare criteri di sincronizzazione tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | Leggere le proprietà di base dei criteri di sincronizzazione tra tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | Aggiornamento dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | Reimpostazione del modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | Aggiornamento dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | Reimpostazione del modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/deviceLocalCredentials/standard/read | Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password |
| microsoft.directory/domains/federationConfiguration/basic/update | Aggiornare la configurazione della federazione di base per i domini |
| microsoft.directory/domains/federationConfiguration/create | Creare la configurazione della federazione per i domini |
| microsoft.directory/domains/federationConfiguration/delete | Eliminare la configurazione della federazione per i domini |
| microsoft.directory/domains/federationConfiguration/standard/read | Leggere le proprietà standard della configurazione della federazione per i domini |
| microsoft.directory/domains/federation/update | Aggiornare la proprietà federativa dei domini |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Leggere tutte le risorse in Microsoft Entra ID Protection |
| microsoft.directory/identityProtection/allProperties/update | Aggiornare tutte le risorse in Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/basic/update | Aggiornare le proprietà di base di un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/create | Creare un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | Unirsi a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/standard/read | Leggere le proprietà di base di un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/create | Creare un tenant in un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/delete | Eliminare un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/namedLocations/basic/update | Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/create | Creare regole personalizzate per definire i percorsi di rete |
| microsoft.directory/namedLocations/delete | Eliminare regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/namedLocations/standard/read | Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/policies/basic/update | Aggiornamento delle proprietà di base nei criteri |
| microsoft.directory/policies/create | Creazione di criteri in Microsoft Entra ID |
| microsoft.directory/policies/delete | Eliminare i criteri in Microsoft Entra ID |
| microsoft.directory/policies/owners/update | Aggiornamento dei proprietari dei criteri |
| microsoft.directory/policies/tenantDefault/update | Aggiornare i criteri predefiniti dell'organizzazione |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365 |
| microsoft.directory/servicePrincipals/policies/update | Aggiornamento dei criteri nelle entità servizio |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Entra Network Access |
| microsoft.office365.protectionCenter/allEntities/update | Aggiornare le proprietà di base di tutte le risorse nei centri sicurezza e conformità |
| microsoft.office365.protectionCenter/allEntities/standard/read | Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Creare e gestire payload di attacco nel simulatore di attacchi |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report della simulazione di attacchi, le risposte e il training associato |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Creare e gestire modelli di simulazione di attacchi nel simulatore di attacchi |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Operatore per la sicurezza
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire gli avvisi e hanno accesso globale di sola lettura alle funzionalità correlate alla sicurezza, incluse tutte le informazioni disponibili sul portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management e sul portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.
| In | Può eseguire |
|---|---|
| Portale di Microsoft 365 Defender | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per minacce alla sicurezza Gestire le impostazioni di sicurezza nel portale di Microsoft 365 Defender |
| Microsoft Entra ID Protection | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Eseguire tutte le operazioni di protezione ID, ad eccezione della configurazione o della modifica dei criteri basati sul rischio, della reimpostazione delle password e della configurazione dei messaggi di posta elettronica degli avvisi. |
| Privileged Identity Management | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza |
| Portale di conformità di Microsoft Purview | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza |
| Microsoft Defender per endpoint | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo di amministratore che legge i dati di sicurezza, perdono l'accesso fino a quando non vengono assegnati a un ruolo di Microsoft Defender per endpoint. |
| Intune | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza |
| Microsoft Defender for Cloud Apps | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza |
| Integrità dei servizi di Microsoft 365 | Visualizzare lo stato di integrità dei servizi di Microsoft 365 |
| Azioni | Descrizione |
|---|---|
| microsoft.azure.advancedThreatProtection/allEntities/read | Gestire tutti gli aspetti di Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps |
| microsoft.directory/identityProtection/allProperties/allTasks | Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Microsoft Entra ID Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.intune/allEntities/read | Lettura di tutte le risorse in Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gestione di tutti gli aspetti di Microsoft Defender per endpoint |
Ruolo con autorizzazioni di lettura per la sicurezza
Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno accesso in sola lettura globale alle funzionalità correlate alla sicurezza, incluse tutte le informazioni sul portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management, come anche la possibilità di leggere i report di accesso e i log di controllo di Microsoft Entra e sul portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.
| In | Può eseguire |
|---|---|
| Portale di Microsoft 365 Defender | Visualizzare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365 Visualizzare gli avvisi e le minacce alla sicurezza Visualizzazione di report |
| Microsoft Entra ID Protection | Visualizzazione di tutti i report di Identity Protection e della Panoramica |
| Privileged Identity Management | Ha accesso in sola lettura a tutte le informazioni visualizzate in Microsoft Entra Privileged Identity Management: criteri e report per le assegnazioni di ruolo e le verifiche di sicurezza di Microsoft Entra. Non è possibile registrarsi a Privileged Identity Management di Microsoft Entra o apportare modifiche. Nel portale di Privileged Identity Management o tramite PowerShell un utente di questo ruolo può attivare ruoli aggiuntivi (ad esempio, Amministratore ruolo con privilegi), se l'utente è idoneo per loro. |
| Portale di conformità di Microsoft Purview | Visualizzare i criteri di sicurezza Visualizzare e analizzare le minacce alla sicurezza Visualizzazione di report |
| Microsoft Defender per endpoint | Visualizzare e analizzare gli avvisi Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo di amministratore che legge i dati di sicurezza, perdono l'accesso fino a quando non vengono assegnati a un ruolo di Microsoft Defender per endpoint. |
| Intune | Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione. Non è consentito apportare modifiche a Intune. |
| Microsoft Defender for Cloud Apps | In possesso di permessi di lettura. |
| Integrità dei servizi di Microsoft 365 | Visualizzare lo stato di integrità dei servizi di Microsoft 365 |
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.directory/accessReviews/definitions/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID |
| microsoft.directory/auditLogs/allProperties/read | Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave BitLocker nei dispositivi |
| microsoft.directory/policies/conditionalAccess/owners/read | Leggere tutti i proprieari dei criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leggere la proprietà "applicata a" per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/standard/read | Leggere l'accesso condizionale per i criteri |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant |
| microsoft.directory/deviceLocalCredentials/standard/read | Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password |
| microsoft.directory/domains/federationConfiguration/standard/read | Leggere le proprietà standard della configurazione della federazione per i domini |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra |
| microsoft.directory/identityProtection/allProperties/read | Leggere tutte le risorse in Microsoft Entra ID Protection |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/standard/read | Eseguire la lettura delle proprietà di base di un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | Eseguire la lettura dei dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant |
| microsoft.directory/namedLocations/standard/read | Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete |
| microsoft.directory/policies/owners/read | Leggere i proprietari dei criteri |
| microsoft.directory/policies/policyAppliedTo/read | Leggere la proprietà policies.policyAppliedTo |
| microsoft.directory/policies/standard/read | Leggere le proprietà di base sui criteri |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning |
| microsoft.directory/signInReports/allProperties/read | Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.networkAccess/allEntities/allProperties/read | Leggere tutti gli aspetti di Microsoft Entra Network Access |
| microsoft.office365.protectionCenter/allEntities/standard/read | Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Leggere tutte le proprietà dei payload di attacco nel simulatore di attacco |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report della simulazione di attacchi, le risposte e il training associato |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Leggere tutte le proprietà dei modelli di simulazione degli attacchi in Simulatore di attacco |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore servizio di supporto
Gli utenti con questo ruolo possono creare e gestire le richieste di supporto per i servizi di Microsoft per Azure e Microsoft 365, nonché visualizzare il dashboard del servizio e il centro messaggi nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.
Nota
In precedenza, questo ruolo era denominato Amministratore del servizio nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. È stato rinominato Amministratore del supporto tecnico del servizio per allinearlo al nome esistente nell'API Microsoft Graph e in Microsoft Graph PowerShell.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di SharePoint
Gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft SharePoint Online, quando il servizio è presente, come anche la possibilità creare e gestire tutti i gruppi di Microsoft 365, di gestire i ticket di supporto e monitorare l'integrità del servizio. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.
Nota
Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio SharePoint. Nel portale di Azure è denominato amministratore di SharePoint.
Nota
Questo ruolo concede anche autorizzazioni con ambito all'API Microsoft Graph per Microsoft Intune, consentendo la gestione e la configurazione dei criteri correlati alle risorse di SharePoint e OneDrive.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | Creare e gestire i criteri di protezione di OneDrive in Microsoft 365 Backup |
| microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | Leggere e configurare la sessione di ripristino per OneDrive in Microsoft 365 Backup |
| microsoft.backup/restorePoints/sites/allProperties/allTasks | Gestire tutti i punti di ripristino associati ai siti di SharePoint selezionati in Backup M365 |
| microsoft.backup/restorePoints/userDrives/allProperties/allTasks | Gestire tutti i punti di ripristino associati agli account di OneDrive selezionati in Backup di M365 |
| microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | Creare e gestire i criteri di protezione di SharePoint in Backup di Microsoft 365 |
| microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | Leggere e configurare la sessione di ripristino per SharePoint in Backup di Microsoft 365 |
| microsoft.backup/siteProtectionUnits/allProperties/allTasks | Gestire i siti aggiunti ai criteri di protezione di SharePoint in Microsoft 365 Backup |
| microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | Gestire i siti aggiunti per ripristinare la sessione per SharePoint in Backup di Microsoft 365 |
| microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | Gestire gli account aggiunti ai criteri di protezione di OneDrive in Backup di Microsoft 365 |
| microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | Gestire gli account aggiunti per ripristinare la sessione per OneDrive in Backup di Microsoft 365 |
| microsoft.directory/groups/hiddenMembers/read | Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/unified/basic/update | Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/unified/create | Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.unified/delete | Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/unified/members/update | Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/owners/update | Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/restore | Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Gestire tutti gli aspetti delle migrazioni di Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di SharePoint Embedded
Assegnare il ruolo di Amministratore integrato di SharePoint agli utenti che devono eseguire le attività seguenti:
- Eseguire tutte le attività usando PowerShell, l'API Microsoft Graph o l'interfaccia di amministrazione di SharePoint
- Gestire, configurare e gestire i contenitori di SharePoint Embedded
- Enumerare e gestire contenitori di SharePoint Embedded
- Enumerare e gestire le autorizzazioni per i contenitori di SharePoint Embedded
- Gestire l'archiviazione dei contenitori di SharePoint Embedded in un tenant
- Assegnare criteri di sicurezza e conformità nei contenitori di SharePoint Embedded
- Applicare criteri di sicurezza e conformità nei contenitori di SharePoint Embedded in un tenant
| Azioni | Descrizione |
|---|---|
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dei contenitori di SharePoint Embedded |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Skype for Business
Gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft Skype for Business, quando il servizio è presente, come anche la possibilità di gestire gli attributi specifici per Skype in Microsoft Entra ID. Inoltre, questo ruolo garantisce la possibilità di gestire i ticket di supporto e monitorare l'integrità del servizio, e di accedere all'interfaccia di amministrazione di Teams e di Skype for Business. L'account deve anche avere una licenza per Teams. In caso contrario, non può eseguire i cmdlet di PowerShell per Teams. Per altre informazioni, consultare Amministratore Skype for Business Online e le informazioni sulle licenze per Teams, in licenza aggiuntiva per Skype for Business.
Nota
Nell'API Microsoft Graph e in Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Lync. Nel portale di Azure è denominato amministratore di Skype for Business.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Teams
Gli utenti in questo ruolo possono gestire tutti gli aspetti del carico di lavoro Microsoft Teams tramite l'interfaccia di amministrazione di Microsoft Teams e Skype for Business e i rispettivi moduli di PowerShell. Sono inclusi, tra le altre aree, tutti gli strumenti di gestione correlati a telefonia, messaggistica, riunioni e i team stessi. Il ruolo concede anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/externalUserProfiles/basic/update | Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/externalUserProfiles/delete | Eliminare i profili utente esterni nella directory estesa per Teams |
| microsoft.directory/externalUserProfiles/standard/read | Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/groups/hiddenMembers/read | Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/unified/basic/update | Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/unified/create | Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.unified/delete | Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/unified/members/update | Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/owners/update | Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/restore | Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/pendingExternalUserProfiles/create | Creare profili utente esterni nella directory estesa per Teams |
| microsoft.directory/pendingExternalUserProfiles/delete | Eliminare i profili utente esterni nella directory estesa per Teams |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams |
| microsoft.directory/permissionGrantPolicies/standard/read | Leggere le proprietà standard dei criteri di concessione delle autorizzazioni |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Gestire tutte le risorse in Teams |
Amministratore delle comunicazioni di Teams
Gli utenti con questo ruolo possono gestire gli aspetti del carico di lavoro Microsoft Teams correlati a voce e telefonia. Sono inclusi gli strumenti di gestione per l'assegnazione di numeri di telefono, i criteri per chiamate vocali e riunioni, nonché l'accesso completo al set di strumenti di analisi delle chiamate.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | Gestire le riunioni, inclusi i criteri di riunione, le configurazioni e i bridge di conferenza |
| microsoft.teams/voice/allProperties/allTasks | Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono |
Tecnico supporto comunicazioni Teams
Gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti in questo ruolo possono visualizzare informazioni complete sui record delle chiamate per tutti i partecipanti coinvolti. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD) |
Specialista supporto comunicazioni Teams
Gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti con questo ruolo possono visualizzare i dettagli dell'utente nella chiamata per l'utente specifico cercato. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Leggere i dati di base nel Dashboard Qualità delle chiamate (CQD) |
Amministratore di dispositivi di Teams
Gli utenti con questo ruolo possono gestire i dispositivi certificati da Teams dall'interfaccia di amministrazione di Teams. Questo ruolo consente di visualizzare tutti i dispositivi a colpo d'occhio, con la possibilità di cercarli e filtrarli. L'utente può controllare i dettagli di ogni dispositivo, tra cui account connesso, marca e modello del dispositivo. L'utente può modificare le impostazioni nel dispositivo e aggiornare le versioni del software. Questo ruolo non concede le autorizzazioni per controllare l'attività di Teams e la qualità delle chiamate del dispositivo.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/devices/standard/read | Gestire tutti gli aspetti dei dispositivi certificati di Teams, inclusi i criteri di configurazione |
Amministratore di telefonia di Teams
Assegnare il ruolo di Amministratore di telefonia Teams agli utenti che devono eseguire le attività seguenti:
- Gestire la voce e la telefonia, inclusi i criteri di chiamata, la gestione e l'assegnazione dei numeri di telefono e le applicazioni vocali
- Accesso solo ai report di utilizzo PSTN (Public Switched Telephone Network) dall'interfaccia di amministrazione di Teams
- Visualizzare la pagina del profilo utente
- Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD) |
| microsoft.teams/voice/allProperties/allTasks | Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono |
Creatore tenant
Assegnare il ruolo di Creatore tenant agli utenti che devono eseguire le attività seguenti:
- Creare sia tenant di Microsoft Entra che tenant di Azure Active Directory B2C anche se la creazione del tenant è disattivata nelle impostazioni utente
Nota
Ai creatori di tenant verrà assegnato il ruolo di amministratore globale nei nuovi tenant creati.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Creare nuovi tenant in Microsoft Entra ID |
Ruolo con autorizzazioni di lettura per i report di riepilogo dell'utilizzo
Assegnare il ruolo Lettore report di riepilogo utilizzo agli utenti che devono eseguire le attività seguenti nel interfaccia di amministrazione di Microsoft 365:
- Visualizzare i report sull'utilizzo e il punteggio di adozione
- Leggere informazioni dettagliate sull'organizzazione, ma non informazioni personali (PII) degli utenti
Questo ruolo consente solo agli utenti di visualizzare i dati a livello di organizzazione con le eccezioni seguenti:
- Gli utenti membri possono visualizzare i dati e le impostazioni di gestione degli utenti.
- Gli utenti guest assegnati a questo ruolo non possono visualizzare i dati e le impostazioni di gestione degli utenti.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Leggere i report di utilizzo aggregati a livello di tenant di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore utenti
Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore utenti agli utenti che devono eseguire le attività seguenti:
| Autorizzazione | Ulteriori informazioni |
|---|---|
| Creare utenti | |
| Aggiornare la maggior parte delle proprietà utente per tutti gli utenti, inclusi tutti gli amministratori | Chi può eseguire azioni sensibili |
| Aggiornare le proprietà sensibili, tra cui lo user principal name, per alcuni utenti | Chi può eseguire azioni sensibili |
| Disabilitare o abilitare alcuni utenti | Chi può eseguire azioni sensibili |
| Eliminare o ripristinare alcuni utenti | Chi può eseguire azioni sensibili |
| Creare e gestire visualizzazioni utente | |
| Creare e gestire tutti i gruppi | |
| Assegnare e leggere le licenze per tutti gli utenti, inclusi tutti gli amministratori | |
| Reimpostare le password | Utenti autorizzati a reimpostare le password |
| Invalidare i token di aggiornamento | Utenti autorizzati a reimpostare le password |
| Aggiornare le chiavi dispositivo (FIDO) | |
| Aggiornare i criteri di scadenza delle password | |
| Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365. | |
| Monitorare l'integrità dei servizi |
Gli utenti con questo ruolo non possono eseguire le attività seguenti:
- Non è possibile gestire l'autenticazione a più fattori.
- Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.
- Non è possibile gestire le cassette postali condivise
- Non è possibile modificare le domande di sicurezza per l'operazione di reimpostazione della password.
Importante
Gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse agli amministratori utenti. Ciò significa che un amministratore degli utenti potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
- Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
- Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gestire le verifiche di accesso delle assegnazioni del ruolo applicazione in Microsoft Entra ID |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gestire le verifiche di accesso per le assegnazioni di un pacchetto di accesso nella gestione entitlement |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli. |
| microsoft.directory/accessReviews/definitions.groups/create | Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365. |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base sui contatti |
| microsoft.directory/contacts/create | Creazione di contatti |
| microsoft.directory/contacts/delete | Elimina contatto |
| microsoft.directory/groups/restore | Ripristino dello stato originale dei gruppi eliminati temporaneamente |
| microsoft.directory/deletedItems.users/restore | Ripristino dello stato originale degli utenti eliminati temporaneamente |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra |
| microsoft.directory/groups/assignLicense | Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.aad.directory/groups/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/groupType/update | Aggiornare le proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo |
| microsoft.directory/groups/hiddenMembers/read | Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/onPremWriteBack/update | Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborazione delle assegnazioni delle licenze per le licenze basate su gruppo |
| microsoft.directory/groups/restore | Ripristinare i gruppi da un contenitore eliminato predefinito |
| microsoft.directory/groups/settings/update | Aggiornamento delle impostazioni dei gruppi |
| microsoft.directory/groups/visibility/update | Aggiornamento della proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a un ruolo |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà |
| microsoft.directory/policies/standard/read | Leggere le proprietà di base sui criteri |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornamento delle assegnazioni di ruolo delle entità servizio |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/basic/update | Aggiornamento delle proprietà di base per gli utenti |
| microsoft.directory/users/convertExternalToInternalMemberUser | Convertire l'utente esterno in un utente interno |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/delete | Eliminare utenti |
| microsoft.directory/users/disable | Disabilitazione degli utenti |
| microsoft.directory/users/enable | Abilitazione degli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzatura della disconnessione invalidando i token di aggiornamento utente |
| microsoft.directory/users/inviteGuest | Invitare gli utenti guest |
| microsoft.directory/users/manager/update | Gestione degli aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostazione delle password per tutti gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze per gli utenti |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/sponsors/update | Aggiornare gli sponsor degli utenti |
| microsoft.directory/users/usageLocation/update | Aggiornare la posizione di utilizzo degli utenti |
| microsoft.directory/users/userPrincipalName/update | Aggiornamento del nome dell'entità utente degli utenti |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Responsabile del successo dell'esperienza utente
Assegnare il ruolo Responsabile del successo dell'esperienza utente agli utenti che devono eseguire le attività seguenti:
- Leggere i report di utilizzo a livello di organizzazione per app e servizi di Microsoft 365, ma non i dettagli utente
- Visualizzare il feedback sui prodotti dell'organizzazione, i risultati del sondaggio Net Promoter Score (NPS) e le visualizzazioni dell'articolo di supporto per identificare le opportunità di comunicazione e formazione
- Leggere i post del Centro messaggi e i dati sull'integrità dei servizi
| Azioni | Descrizione |
|---|---|
| microsoft.commerce.billing/purchases/standard/read | Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365. |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Leggere i report di utilizzo aggregati a livello di tenant di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore di Visite virtuali
Gli utenti con questo ruolo possono eseguire le attività seguenti:
- Gestire e configurare tutti gli aspetti delle visite virtuali di Bookings nell'interfaccia di amministrazione di Microsoft 365 e nel connettore delle CCE di Teams
- Visualizzare i report sull'utilizzo per le visite virtuali nell'interfaccia di amministrazione di Teams, nell'interfaccia di amministrazione di Microsoft 365, in Fabric e in Power BI
- Visualizzare le funzionalità e le impostazioni nell'interfaccia di amministrazione di Microsoft 365, ma non è possibile modificare le impostazioni
Le visite virtuali sono un modo semplice per pianificare e gestire appuntamenti online e video per il personale e i partecipanti. Ad esempio, la segnalazione sull'utilizzo può mostrare come inviare SMS prima degli appuntamenti possa ridurre il numero di persone che non si presentano agli appuntamenti.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali |
Amministratore Viva Goals
Assegnare il ruolo di Amministratore di Viva Goals agli utenti che devono eseguire le attività seguenti:
- Gestire e configurare tutti gli aspetti dell'applicazione Microsoft Viva Goals
- Configurare le impostazioni di amministratore di Microsoft Viva Goals
- Leggere le informazioni sul tenant di Microsoft Entra
- Monitorare l'integrità dei servizi di Microsoft 365
- Creazione e gestione delle richieste di servizio Microsoft 365
Per altre informazioni, consultare Ruoli e autorizzazioni in Viva Goals e Introduzione a Microsoft Viva Goals.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Viva Goals |
Amministratore di Viva Pulse
Assegnare il ruolo di Amministratore di Viva Pulse agli utenti che devono eseguire le attività seguenti:
- Leggere e configurare tutte le impostazioni di Viva Pulse
- Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
- Lettura e configurazione del servizio di integrità dei servizi di Azure
- Creazione e gestione dei ticket di supporto per Azure
- Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
- Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365
Per ulteriori informazioni, consultare Assegnare il ruolo di amministratore di Viva Pulse nell'interfaccia di amministrazione di Microsoft 365.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Viva Pulse |
Amministratore di Windows 365
Gli utenti con questo ruolo hanno autorizzazioni globali sulle risorse di Windows 365, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi.
Questo ruolo può creare e gestire i gruppi di sicurezza, ma non dispone dei diritti di amministratore sui gruppi di Microsoft 365. Ciò significa che gli amministratori non possono aggiornare i proprietari o le appartenenze dei gruppi di Microsoft 365 nell'organizzazione. Possono gestire, tuttavia, il gruppo di Microsoft 365 creato, operazione che rientra tra i privilegi degli utenti finali. Qualsiasi gruppo di Microsoft 365 creato, esclusi i gruppi di sicurezza, viene pertanto conteggiato nella quota di 250.
Assegnare il ruolo di Amministratore di Windows 365 agli utenti che devono eseguire le attività seguenti:
- Gestire Cloud PC Windows 365 in Microsoft Intune
- Registrare e gestire i dispositivi in Microsoft Entra ID, inclusa l'assegnazione di utenti e criteri
- Creare e gestire i gruppi di sicurezza, ma non gruppi a cui è possibile assegnare ruoli
- Visualizzare le proprietà di base nell'interfaccia di amministrazione di Microsoft 365
- Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365
- Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365
| Azioni | Descrizione |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Creazione e gestione dei ticket di supporto per Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Windows 365 |
| microsoft.directory/deletedItems.devices/delete | Eliminare definitivamente i dispositivi, che non possono più essere ripristinati |
| microsoft.directory/deletedItems.devices/restore | Ripristino dello stato originale dei dispositivi eliminati temporaneamente |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/devices/basic/update | Aggiornare le proprietà di base nei dispositivi |
| microsoft.directory/devices/create | Creazione di dispositivi (registrarsi in Microsoft Entra ID) |
| microsoft.directory/devices/delete | Eliminare i dispositivi da Microsoft Entra ID |
| microsoft.directory/devices/disable | Disabilitare i dispositivi in Microsoft Entra ID |
| microsoft.directory/devices/enable | Abilitare il dispositivo in Microsoft Entra ID |
| microsoft.directory/devices/extensionAttributeSet1/update | Aggiornamento delle proprietà extensionAttribute1 in extensionAttribute5 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet2/update | Aggiornamento delle proprietà extensionAttribute6 in extensionAttribute10 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet3/update | Aggiornamento delle proprietà extensionAttribute11 in extensionAttribute15 nei dispositivi |
| microsoft.directory/devices/registeredOwners/update | Aggiornamento dei proprietari registrati dei dispositivi |
| microsoft.directory/devices/registeredUsers/update | Aggiornare gli utenti registrati dei dispositivi |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.security/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/owners/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/visibility/update | Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
Amministratore della distribuzione di Windows Update
Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update per le aziende. Il servizio di distribuzione consente agli utenti di definire le impostazioni relative al momento e alle modalità con cui vengono distribuiti gli aggiornamenti e di specificare gli aggiornamenti che vengono offerti ai gruppi di dispositivi nel tenant. Consente anche agli utenti di monitorare lo stato di avanzamento dell'aggiornamento.
| Azioni | Descrizione |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leggere e configurare tutti gli aspetti del servizio Windows Update |
Amministratore di Yammer
Assegnare il ruolo di Amministratore di Yammer agli utenti che devono eseguire le attività seguenti:
- Gestire tutti gli aspetti di Yammer
- Creare, gestire e ripristinare i gruppi di Microsoft 365, ma non i gruppi a cui è possibile assegnare ruoli
- Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
- Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365
- Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
- Visualizzare gli annunci nel Centro messaggi, esclusi gli annunci di sicurezza
- Visualizzare l'integrità dei servizi
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups/unified/basic/update | Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/unified/create | Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli |
| microsoft.directory/groups.unified/delete | Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/unified/members/update | Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/owners/update | Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/restore | Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.network/performance/allProperties/read | Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creazione e gestione delle richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Lettura dei report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Yammer |
Ruoli deprecati
I ruoli seguenti non devono essere usati. Questi ruoli sono stati deprecati e verranno rimossi da Microsoft Entra ID in futuro.
- Amministratore di licenze ad hoc
- Aggiunta di dispositivi
- Gestione dispositivi
- Utenti di dispositivi
- Autore di utenti verificati tramite posta elettronica
- Amministratore della cassetta postale
- Aggiunta di dispositivi all'area di lavoro
Ruoli non visualizzati nel portale
Non tutti i ruoli restituiti da PowerShell o dall'API Microsoft Graph sono visibili nel portale di Azure. Nella tabella seguente sono riportate queste differenze in modo organizzato.
| Nome API | Nome portale di Azure | Note |
|---|---|---|
| Aggiunta di dispositivi | Deprecato | Documentazione dei ruoli deprecati |
| Gestione dispositivi | Deprecato | Documentazione dei ruoli deprecati |
| Utenti di dispositivi | Deprecato | Documentazione dei ruoli deprecati |
| Account di sincronizzazione della directory | Non viene visualizzato perché non deve essere usato | Documentazione per gli account di sincronizzazione della directory |
| Utente guest | Non viene visualizzato perché non può essere usato | ND |
| Supporto di livello 1 partner | Non viene visualizzato perché non deve essere usato | Documentazione per Supporto partner Livello 1 |
| Supporto di livello 2 partner | Non viene visualizzato perché non deve essere usato | Documentazione per Supporto partner Livello 2 |
| Utente guest con restrizioni | Non viene visualizzato perché non può essere usato | ND |
| User | Non viene visualizzato perché non può essere usato | ND |
| Aggiunta di dispositivi all'area di lavoro | Deprecato | Documentazione dei ruoli deprecati |