Ruoli predefiniti di Azure AD

In Azure Active Directory (Azure AD), se un altro amministratore o non amministratore deve gestire le risorse di Azure AD, assegnare loro un ruolo di Azure AD che fornisce le autorizzazioni necessarie. Ad esempio, è possibile assegnare ruoli per consentire l'aggiunta o la modifica di utenti, la reimpostazione delle password utente, la gestione delle licenze utente o la gestione dei nomi di dominio.

Questo articolo elenca i ruoli predefiniti di Azure AD che è possibile assegnare per consentire la gestione delle risorse di Azure AD. Per informazioni sulla modalità di assegnazione dei ruoli, vedere Assegnare ruoli di Azure AD agli utenti. Se si cercano ruoli per gestire le risorse di Azure, vedere Ruoli predefiniti di Azure.

Tutti i ruoli

Ruolo Descrizione ID modello
Amministratore applicazione Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Sviluppatore di applicazioni Può creare registrazioni di applicazioni indipendentemente dall'impostazione 'Gli utenti possono registrare applicazioni'. cf1c38e5-3621-4004-a7cb-879624dced7c
Autore del payload di attacco Può creare payload di attacco che un amministratore può avviare in un secondo momento. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Amministratore simulazione attacchi Può creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi. c430b396-e693-46cc-96f3-db01bf8bb62a
Amministratore assegnazione attributi Assegnare chiavi e valori degli attributi di sicurezza personalizzati agli oggetti di Azure AD supportati. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lettore assegnazione attributi Leggere chiavi e valori degli attributi di sicurezza personalizzati per gli oggetti Azure AD supportati. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Amministratore definizione attributi Definire e gestire la definizione degli attributi di sicurezza personalizzati. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Lettore di definizioni di attributi Leggere la definizione degli attributi di sicurezza personalizzati. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Amministratore dell'autenticazione Può accedere a visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore. c4e39bd9-1100-46d3-8c65-fb160da0071f
Amministratore dei criteri di autenticazione Può creare e gestire i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant, i criteri di protezione delle password e le credenziali verificabili. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Amministratore locale del dispositivo aggiunto ad Azure AD Gli utenti assegnati a questo ruolo vengono aggiunti al gruppo di amministratori locale nei dispositivi aggiunti ad Azure AD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Amministratore di Azure DevOps Può gestire criteri e impostazioni di Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Amministratore di Azure Information Protection Può gestire tutti gli aspetti del prodotto Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Amministratore dei set di chiavi IEF B2C Può gestire i segreti per la federazione e la crittografia in Identity Experience Framework (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Amministratore dei criteri IEF B2C Può creare e gestire criteri del framework di attendibilità in Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Amministratore fatturazione Può eseguire attività comuni relative alla fatturazione, ad esempio aggiornare le informazioni di pagamento. b0f54661-2d74-4c50-afa3-1ec803f12efe
amministratore di Cloud App Security Può gestire tutti gli aspetti del prodotto Defender for Cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Amministratore di applicazioni cloud Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali, ad eccezione del Proxy di applicazione. 158c047a-c907-4556-b7ef-446551a6b5f7
Amministratore dispositivo cloud Accesso limitato alla gestione dei dispositivi in Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Amministratore di conformità Può leggere e gestire la configurazione e i report di conformità in Azure AD e Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Amministratore dei dati sulla conformità Creare e gestire i contenuti relativi alla conformità. e6d1a23a-da11-4be4-9570-befc86d067a7
Amministratore accesso condizionale Può gestire le funzionalità di accesso condizionale. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Responsabile approvazione per l'accesso a Customer Lockbox Può approvare le richieste di supporto Microsoft per l'accesso ai dati aziendali dei clienti. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Amministratore Desktop Analytics Può accedere e gestire strumenti e servizi di gestione desktop. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Ruolo con autorizzazioni di lettura nella directory Può leggere le informazioni base della directory. Usato comunemente per concedere l'accesso in lettura alla directory ad applicazioni e guest. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Account di sincronizzazione della directory Usata solo dal servizio di Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Ruolo con autorizzazioni di scrittura nella directory Può leggere e scrivere informazioni di base sulla directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti. 9360feb5-f418-4baa-8175-e2a00bac4301
Amministratore dei nomi di dominio Può gestire i nomi di dominio nel cloud e in locale. 8329153b-31d0-4727-b945-745eb3bc5f31
Amministratore di Dynamics 365 Può gestire tutti gli aspetti del prodotto Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Amministratore perimetrale Gestire tutti gli aspetti di Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Amministratore di Exchange Può gestire tutti gli aspetti del prodotto Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Amministratore destinatario di Exchange Può creare o aggiornare Exchange Online destinatari all'interno dell'organizzazione Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
ID esterno - Amministratore dei flussi utente Può creare e gestire tutti gli aspetti dei flussi utente. 6e591065-9bad-43ed-90f3-e9424366d2f0
Amministratore degli attributi del flusso utente ID esterno Può creare e gestire lo schema degli attributi disponibile per tutti i flussi utente. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Amministratore dei provider di identità esterni Può configurare i provider di identità da usare nella federazione diretta. be2f45a1-457d-42af-a067-6ec1fa63bc45
Amministratore globale Può gestire tutti gli aspetti di Azure AD e dei servizi Microsoft che usano identità di Azure AD. 62e90394-69f5-4237-9190-012177145e10
Ruolo con autorizzazioni di lettura globali Può leggere tutto ciò che un amministratore globale può, ma non aggiornare nulla. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Amministratore di gruppi I membri di questo ruolo possono creare/gestire gruppi, creare/gestire le impostazioni dei gruppi come la denominazione e i criteri di scadenza e visualizzare le attività dei gruppi e i report di controllo. fdd7a751-b60b-444a-984c-02652fe8fa1c
Mittente dell'invito guest Può invitare utenti guest indipendentemente dall'impostazione 'I membri possono invitare utenti guest'. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Amministratore supporto tecnico Può reimpostare le password per gli utenti non amministratori e gli amministratori supporto tecnico. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Amministratore delle identità ibride Può gestire AD nel provisioning cloud di Azure AD, Azure AD Connect, Autenticazione pass-through (PTA), sincronizzazione dell'hash delle password (PHS), Single Sign-On senza problemi (SSO senza problemi) e impostazioni di federazione. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Amministratore di Identity Governance Gestire l'accesso usando Azure AD per scenari di governance delle identità. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Amministratore di Insights Ha accesso amministrativo nell'app Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analista di Insights Accedere alle funzionalità analitiche in Microsoft Viva Insights ed eseguire query personalizzate. 25df335f-86eb-4119-b717-0ff02de207e9
Leader aziendale di Insights Può visualizzare e condividere dashboard e informazioni dettagliate tramite l'app Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Amministratore di Intune Può gestire tutti gli aspetti del prodotto Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Amministratore di Kaizala Può gestire le impostazioni per Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Amministratore delle conoscenze Può configurare conoscenze, apprendimento e altre funzionalità intelligenti. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Knowledge Manager Può organizzare, creare, gestire e promuovere argomenti e conoscenze. 744ec460-397e-42ad-a462-8b3f9747a02c
Amministratore licenze Possono gestire licenze dei prodotti per utenti e gruppi. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Amministratore flussi di lavoro del ciclo di vita Creare e gestire tutti gli aspetti dei flussi di lavoro e delle attività associati ai flussi di lavoro relativi al ciclo di vita in Azure AD. 59d46f88-662b-457b-bceb-5c3809e5908f
Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi Può leggere solo i messaggi di sicurezza e gli aggiornamenti in Office 365 Centro messaggi. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Ruolo con autorizzazioni di lettura per il Centro messaggi Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft amministratore della garanzia hardware Creare e gestire tutti gli aspetti delle attestazioni e dei diritti di garanzia per Microsoft hardware prodotto, ad esempio Surface e HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft Specialista della garanzia hardware Creare e leggere le attestazioni di garanzia per Microsoft hardware prodotto, ad esempio Surface e HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Utente Commerce moderno Può gestire gli acquisti commerciali per una società, un reparto o un team. d24aef57-1500-4070-84db-2666f29cf966
Amministratore di rete Può gestire i percorsi di rete ed esaminare le informazioni dettagliate sulla progettazione della rete aziendale per le applicazioni SaaS (Software as a Service) di Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Amministratore delle app di Office Può gestire i servizi cloud delle app di Office, inclusi i criteri e la gestione delle impostazioni e gestire la possibilità di selezionare, deselezionare e pubblicare il contenuto delle funzionalità "novità" ai dispositivi dell'utente finale. 2b745bdf-0803-4d80-aa65-822c4493daac
Writer messaggi dell'organizzazione Scrivere, pubblicare, gestire e esaminare i messaggi dell'organizzazione per gli utenti finali tramite Microsoft superfici del prodotto. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Supporto partner - Livello 1 Non usare: non destinato all'uso generale. 4ba39ca4-527c-499a-b93d-d9b492c50246
Supporto partner - Livello 2 Non usare: non destinato all'uso generale. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Amministratore password Può reimpostare le password per amministratori non amministratori e amministratori password. 966707d0-3269-4727-9be2-8c3a10f19b9d
Amministratore gestione autorizzazioni Gestire tutti gli aspetti della gestione delle autorizzazioni di Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Amministratore di Power BI Può gestire tutti gli aspetti del prodotto Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Amministratore di Power Platform Può creare e gestire tutti gli aspetti di Microsoft Dynamics 365, Power Apps e Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Amministratore stampante Può gestire tutti gli aspetti delle stampanti e dei connettori delle stampanti. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Tecnico della stampante Può registrare e annullare la registrazione delle stampanti e aggiornare lo stato della stampante. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Amministratore autenticazione con privilegi Può accedere alla visualizzazione, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Amministratore dei ruoli con privilegi Può gestire le assegnazioni di ruolo in Azure AD e tutti gli aspetti di Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Lettore di report Può eseguire la lettura dei report di accesso e di controllo. 4a5d8f65-41da-4de4-8968-e035b65339cf
Amministratore della ricerca Consente di creare e gestire tutti gli aspetti delle impostazioni di Microsoft Search. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor della ricerca Può creare e gestire i contenuti editoriali, ad esempio segnalibri, domande e risposte, posizioni e planimetrie. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Amministratore della sicurezza È possibile leggere informazioni e report sulla sicurezza e gestire la configurazione in Azure AD e Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Operatore per la sicurezza Creare e gestire gli eventi di sicurezza. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Ruolo con autorizzazioni di lettura per la sicurezza Può eseguire la lettura dei report e delle informazioni di sicurezza in Azure AD e Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Amministratore servizio di supporto Può eseguire la lettura delle informazioni di integrità dei servizi e gestire i ticket di supporto. f023fd81-a637-4b56-95fd-791ac0226033
Amministratore di SharePoint Può gestire tutti gli aspetti del servizio SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Amministratore di Skype for Business Può gestire tutti gli aspetti del prodotto Skype for Business. 75941009-915A-4869-abe7-691bff18279e
Amministratore di Teams Può gestire il servizio Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Amministratore delle comunicazioni con Teams Può gestire le funzionalità per chiamate e riunioni all'interno del servizio Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Tecnico supporto comunicazioni Teams Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti avanzati. f70938a0-fc10-4177-9e90-2178f8765737
Specialista supporto comunicazioni Teams Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti di base. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Amministratore di dispositivi di Teams Può eseguire attività correlate alla gestione nei dispositivi certificati di Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Creatore tenant Creare nuovi tenant di Azure AD o Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Lettore report di riepilogo utilizzo Può visualizzare solo aggregazioni a livello di tenant in Microsoft 365 Usage Analytics e Productivity Score. 75934031-6c7e-415a-99d7-48dbd49e875e
Amministratore utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per gli amministratori con limitazioni. fe930be7-5e62-47db-91af-98c3a49a38b1
Amministratore visite virtuali Gestire e condividere le informazioni sulle visite virtuali e le metriche dalle interfacce di amministrazione o dall'app Visite virtuali. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Windows 365 amministratore Può effettuare il provisioning e gestire tutti gli aspetti dei PC cloud. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows Update amministratore distribuzione Può creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update for Business. 32696413-001a-46ae-978c-ce0f6b3620d2
Amministratore di Yammer Gestire tutti gli aspetti del servizio Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Amministratore di applicazioni

gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Si noti che gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o nelle applicazioni aziendali.

Questo ruolo concede anche la possibilità di consenso per autorizzazioni e autorizzazioni dell'applicazione delegate, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph.

Importante

Questa eccezione significa che è comunque possibile concedere il consenso alle autorizzazioni dell'applicazione per altre app, ad esempio app non Microsoft o app registrate. È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio Amministratore globale.

questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se l'identità dell'applicazione è stata concessa all'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. Questa possibilità di rappresentare l'identità dell'applicazione può essere un'elevazione dei privilegi rispetto a ciò che l'utente può eseguire tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.

Azioni Descrizione
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestire i criteri di richiesta di consenso amministratore in Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate in Azure AD
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/applicationProxy/read Leggere tutte le proprietà del proxy dell'applicazione
microsoft.directory/applications/applicationProxy/update Aggiornare tutte le proprietà del proxy dell'applicazione
microsoft.directory/applications/applicationProxyAuthentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/applicationProxySslCertificate/update Aggiornare le impostazioni del certificato SSL per il proxy dell'applicazione
microsoft.directory/applications/applicationProxyUrlSettings/update Aggiornare le impostazioni url per il proxy dell'applicazione
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
microsoft.directory/applications/extensionProperties/update Aggiornare le proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/applications/verification/update Aggiornare la proprietà applicationsverification
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare un'istanza di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/connectors/create Creare connettori proxy di applicazione
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori proxy dell'applicazione
microsoft.directory/connectorGroups/create Creare gruppi di connettori del proxy di applicazione
microsoft.directory/connectorGroups/delete Eliminare i gruppi di connettori del proxy di applicazione
microsoft.directory/connectorGroups/allProperties/read Leggere tutte le proprietà dei gruppi di connettori proxy applicazione
microsoft.directory/connectorGroups/allProperties/update Aggiornare tutte le proprietà dei gruppi di connettori del proxy applicazione
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creare e gestire estensioni di autenticazione personalizzate
microsoft.directory/deletedItems.applications/delete Eliminare definitivamente le applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristinare lo stato originale delle applicazioni eliminate soft
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà
microsoft.directory/applicationPolicies/create Creare criteri dell'applicazione
microsoft.directory/applicationPolicies/delete Eliminare i criteri dell'applicazione
microsoft.directory/applicationPolicies/standard/read Leggere le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read Leggere i proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read Leggere i criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/applicationPolicies/basic/update Aggiornare le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/update Aggiornare la proprietà proprietario dei criteri dell'applicazione
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestire le credenziali per l'accesso Single Sign-On delle password nelle entità servizio
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire i segreti e le credenziali del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leggere le credenziali per l'accesso Single Sign-On delle password nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Concedere il consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà del gruppo di destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornare le credenziali delle entità servizio
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Sviluppatore di applicazioni

gli utenti in questo ruolo possono creare registrazioni di applicazioni quando l'opzione "Gli utenti possono registrare applicazioni" è impostata su No. Questo ruolo concede anche l'autorizzazione per fornire il consenso per proprio conto quando l'opzione "Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto" è impostata su No. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazioni.

Azioni Descrizione
microsoft.directory/applications/createAsOwner Creare tutti i tipi di applicazioni e l'autore viene aggiunto come primo proprietario
microsoft.directory/oAuth2PermissionGrants/createAsOwner Creare le concessioni di autorizzazione OAuth 2.0, con creatore come primo proprietario
microsoft.directory/servicePrincipals/createAsOwner Creare entità servizio, con creator come primo proprietario

Autore del payload di attacco

Gli utenti in questo ruolo possono creare payload di attacco, ma non avviarli o pianificarli. I payload di attacco sono quindi disponibili per tutti gli amministratori del tenant che possono usarli per creare una simulazione.

Azioni Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire i payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report delle risposte di simulazione degli attacchi e del training associato

Amministratore simulazione degli attacchi

Gli utenti in questo ruolo possono creare e gestire tutti gli aspetti della creazione della simulazione degli attacchi, l'avvio/pianificazione di una simulazione e la revisione dei risultati della simulazione. I membri di questo ruolo hanno questo accesso per tutte le simulazioni nel tenant.

Azioni Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire i payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report delle risposte di simulazione degli attacchi e del training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Creare e gestire modelli di simulazione degli attacchi in Simulatore di attacco

Amministratore assegnazione attributi

Gli utenti con questo ruolo possono assegnare e rimuovere chiavi e valori personalizzati degli attributi di sicurezza per oggetti e valori di Azure AD supportati, ad esempio utenti, entità servizio e dispositivi.

Per impostazione predefinita, Amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli dell'attributo di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Leggere tutte le proprietà dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni di attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/devices/customSecurityAttributes/update Aggiornare i valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aggiornare i valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per gli utenti
microsoft.directory/users/customSecurityAttributes/update Aggiornare i valori degli attributi di sicurezza personalizzati per gli utenti

Lettore assegnazione attributi

Gli utenti con questo ruolo possono leggere chiavi e valori degli attributi di sicurezza personalizzati per gli oggetti Azure AD supportati.

Per impostazione predefinita, Amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli dell'attributo di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Leggere tutte le proprietà dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni di attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per gli utenti

Amministratore definizione attributi

Gli utenti con questo ruolo possono definire un set valido di attributi di sicurezza personalizzati che possono essere assegnati agli oggetti Azure AD supportati. Questo ruolo può anche attivare e disattivare attributi di sicurezza personalizzati.

Per impostazione predefinita, Amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli dell'attributo di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/allTasks Gestire tutti gli aspetti dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Gestire tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati

Lettore definizione attributo

Gli utenti con questo ruolo possono leggere la definizione degli attributi di sicurezza personalizzati.

Per impostazione predefinita, Amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli dell'attributo di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Leggere tutte le proprietà dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni di attributi di sicurezza personalizzate

Amministratore dell'autenticazione

Assegnare il ruolo amministratore di autenticazione agli utenti che devono eseguire le operazioni seguenti:

  • Impostare o reimpostare qualsiasi metodo di autenticazione (incluse le password) per gli amministratori non e alcuni ruoli. Per un elenco dei ruoli che un amministratore di autenticazione può leggere o aggiornare i metodi di autenticazione, vedere Chi può reimpostare le password.
  • Richiedere agli utenti che non sono amministratori o assegnati a alcuni ruoli di registrare nuovamente le credenziali non password esistenti (ad esempio MFA o FIDO) e possono revocare l'autenticazione a più fattori nel dispositivo, che richiede l'autenticazione a più fattori nel successivo accesso.
  • Eseguire azioni sensibili per alcuni utenti. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Creare e gestire i ticket di supporto in Azure e il interfaccia di amministrazione di Microsoft 365.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile al ruolo.
  • Impossibile gestire le impostazioni MFA nel portale di gestione MFA legacy o nei token hardware OATH. Le stesse funzioni possono essere eseguite usando il modulo di comando Set-MsolUser di Azure AD PowerShell.

La tabella seguente confronta le funzionalità di questo ruolo con i ruoli correlati.

Ruolo Gestire i metodi di autenticazione dell'utente Gestire l'autenticazione a più fattori per utente Gestire le impostazioni MFA Gestire i criteri del metodo di autenticazione Gestire i criteri di protezione delle password Aggiornare le proprietà sensibili Eliminare e ripristinare gli utenti
Amministratore dell'autenticazione Sì per alcuni utenti Sì per alcuni utenti No No No Sì per alcuni utenti Sì per alcuni utenti
Amministratore autenticazione con privilegi Sì per tutti gli utenti Sì per tutti gli utenti No No No Sì per tutti gli utenti Sì per tutti gli utenti
Amministratore criteri di autenticazione No No No No
Amministratore utenti No No No No No Sì per alcuni utenti Sì per alcuni utenti

Importante

gli utenti con questo ruolo possono modificare le credenziali di utenti che possono avere accesso a dati sensibili, informazioni private o configurazioni critiche sia all'interno che all'esterno di Azure Active Directory. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero avere autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli amministratori dell'autenticazione. Tramite questo percorso un amministratore di autenticazione può assumere l'identità di un proprietario dell'applicazione e quindi assumere ulteriormente l'identità di un'applicazione con privilegi aggiornando le credenziali per l'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Gruppo di sicurezza e Microsoft 365 proprietari di gruppi, che possono gestire l'appartenenza al gruppo. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
  • Gli amministratori in altri servizi esterni ad Azure AD, ad esempio Exchange Online, Office 365 Centro conformità sicurezza & e sistemi di risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.directory/users/authenticationMethods/create Creare metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/delete Eliminare i metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leggere le proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/users/authenticationMethods/basic/update Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti
microsoft.directory/deletedItems.users/restore Ripristinare lo stato originale degli utenti eliminati temporaneo
microsoft.directory/users/delete Eliminare gli utenti
microsoft.directory/users/disable Disabilitare gli utenti
microsoft.directory/users/enable Abilitare gli utenti
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconnescazione invalidando i token di aggiornamento utente
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire supporto tecnico di Azure ticket
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dei criteri di autenticazione

Assegnare il ruolo Amministratore criteri di autenticazione agli utenti che devono eseguire le operazioni seguenti:

  • Configurare i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant e i criteri di protezione delle password che determinano i metodi che ogni utente può registrare e usare.
  • Gestire le impostazioni di protezione password: configurazioni di blocco intelligente e aggiornamento dell'elenco personalizzato di password escluse.
  • Creare e gestire credenziali verificabili.
  • Creare e gestire i ticket di supporto tecnico di Azure.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

Nella tabella seguente vengono confrontate le funzionalità di questo ruolo con i ruoli correlati.

Ruolo Gestire i metodi di autenticazione dell'utente Gestire l'autenticazione a più fattori per utente Gestire le impostazioni di autenticazione a più fattori Gestire i criteri del metodo di autenticazione Gestire i criteri di protezione delle password Aggiornare le proprietà sensibili Eliminare e ripristinare gli utenti
Amministratore dell'autenticazione Sì per alcuni utenti Sì per alcuni utenti No No No Sì per alcuni utenti Sì per alcuni utenti
Amministratore autenticazione con privilegi Sì per tutti gli utenti Sì per tutti gli utenti No No No Sì per tutti gli utenti Sì per tutti gli utenti
Amministratore dei criteri di autenticazione No No No No
Amministratore utenti No No No No No Sì per alcuni utenti Sì per alcuni utenti
Azioni Descrizione
microsoft.directory/organization/strongAuthentication/allTasks Gestire tutti gli aspetti delle proprietà di autenticazione avanzata di un'organizzazione
microsoft.directory/userCredentialPolicies/create Creare criteri di credenziali per gli utenti
microsoft.directory/userCredentialPolicies/delete Eliminare i criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/standard/read Leggere le proprietà standard dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/owners/read Leggere i proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Leggere policy.applicasTo collegamento di spostamento
microsoft.directory/userCredentialPolicies/basic/update Aggiornare i criteri di base per gli utenti
microsoft.directory/userCredentialPolicies/owner/update Aggiornare i proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/tenantDefault/update Update policy.isOrganizationDefault, proprietà
microsoft.directory/verificabiliCredentials/configuration/contracts/cards/allProperties/read Leggere una scheda delle credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/contracts/cards/revoke Revocare una scheda credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/contracts/create Creare un contratto di credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/read Leggere un contratto di credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/update Aggiornare un contratto di credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/create Creare la configurazione necessaria per creare e gestire le credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/delete Eliminare la configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire le credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/allProperties/update Aggiornare la configurazione necessaria per creare e gestire le credenziali verificabili
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure

Amministratore locale del dispositivo aggiunto ad Azure AD

questo ruolo è disponibile per l'assegnazione solo come amministratore locale aggiuntivo in Impostazioni dispositivo. Gli utenti con questo ruolo diventano amministratori del computer locale in tutti i dispositivi Windows 10 aggiunti ad Azure Active Directory. Non possono gestire gli oggetti di dispositivi in Azure Active Directory.

Azioni Descrizione
microsoft.directory/groupSettings/standard/read Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read Leggere le proprietà di base sui modelli di impostazione del gruppo

Amministratore di Azure DevOps

Gli utenti con questo ruolo possono gestire tutti i criteri Di Azure DevOps aziendali, applicabili a tutte le organizzazioni di Azure DevOps supportate da Azure AD. Gli utenti in questo ruolo possono gestire questi criteri passando a qualsiasi organizzazione Azure DevOps supportata da Azure AD. Inoltre, gli utenti in questo ruolo possono richiedere la proprietà delle organizzazioni Azure DevOps orfane. Questo ruolo non concede altre autorizzazioni specifiche di Azure DevOps (ad esempio, Project Collection Administrators) all'interno di una delle organizzazioni Azure DevOps supportate dall'organizzazione azure AD dell'azienda.

Azioni Descrizione
microsoft.azure.devOps/allEntities/allTasks Leggere e configurare Azure DevOps

Amministratore di Azure Information Protection

gli utenti con questo ruolo hanno tutte le autorizzazioni nel servizio Azure Information Protection. Questo ruolo consente di configurare etichette per i criteri di Azure Information Protection, gestire i modelli di protezione e attivare la protezione. Questo ruolo non concede autorizzazioni in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 Service Health o Office 365 Security & Compliance Center.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dei set di chiavi IEF B2C

L'utente può creare e gestire le chiavi dei criteri e i segreti per la crittografia dei token, le firme dei token e la crittografia/decrittografia delle attestazioni. Aggiungendo nuove chiavi ai contenitori delle chiavi esistenti, questo amministratore limitato può eseguire il roll over dei segreti in base alle esigenze senza influire sulle applicazioni esistenti.  Questo utente può visualizzare il contenuto completo di questi segreti e le relative date di scadenza anche dopo la loro creazione.

Importante

Si tratta di un ruolo sensibile.  Il ruolo di amministratore dei set di chiavi deve essere controllato attentamente e assegnato con attenzione durante la pre-produzione e la produzione.

Azioni Descrizione
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Leggere e configurare i set di chiavi in Azure Active Directory B2C

Amministratore dei criteri IEF B2C

Gli utenti con questo ruolo hanno la possibilità di creare, leggere, aggiornare ed eliminare tutti i criteri personalizzati in Azure AD B2C e quindi di avere il controllo completo su Identity Experience Framework nell'organizzazione Azure AD B2C pertinente. Modificando i criteri, l'utente può stabilire una federazione diretta con provider di identità esterni, modificare lo schema della directory, modificare tutti i contenuti esposti agli utenti (HTML, CSS, JavaScript), modificare i requisiti per completare un'autenticazione, creare nuovi utenti, inviare dati utente a sistemi esterni, incluse migrazioni complete, e modificare tutte le informazioni utente, inclusi i campi sensibili come password e numeri di telefono. Viceversa, questo ruolo non può modificare le chiavi di crittografia o modificare i segreti usati per la federazione nell'organizzazione.

Importante

L'amministratore dei criteri IEF B2 è un ruolo estremamente sensibile da assegnare su base molto limitata per le organizzazioni in produzione.  Le attività svolte da questi utenti devono essere controllate attentamente, soprattutto per le organizzazioni in produzione.

Azioni Descrizione
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Leggere e configurare criteri personalizzati in Azure Active Directory B2C

Amministratore fatturazione

può effettuare acquisti, gestire le sottoscrizioni e i ticket di supporto e monitorare l'integrità dei servizi.

Azioni Descrizione
microsoft.directory/organization/basic/update Aggiornare le proprietà di base nell'organizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

amministratore di Cloud App Security

Gli utenti con questo ruolo dispongono delle autorizzazioni complete in Defender for Cloud Apps. Possono aggiungere amministratori, aggiungere Microsoft Defender for Cloud Apps criteri e impostazioni, caricare i log ed eseguire azioni di governance.

Azioni Descrizione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore applicazione cloud

gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle applicazioni aziendali e delle registrazioni dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

Questo ruolo concede inoltre la possibilità di fornire il consenso per le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph.

Importante

Questa eccezione significa che è comunque possibile fornire il consenso alle autorizzazioni dell'applicazione per altre app, ad esempio app non Microsoft o app registrate. È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma la concessione di queste autorizzazioni ,ovvero il consenso, richiede un amministratore con privilegi più elevati, ad esempio l'amministratore globale.

questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. Questa possibilità di rappresentare l'identità dell'applicazione può essere un'elevazione dei privilegi rispetto a ciò che l'utente può eseguire tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.

Azioni Descrizione
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestire i criteri di richiesta di consenso amministratore in Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate in Azure AD
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
microsoft.directory/applications/extensionProperties/update Aggiornare le proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/applications/verification/update Aggiornare la proprietà applicationsverification
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare un'istanza di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/deletedItems.applications/delete Eliminare definitivamente le applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristinare lo stato originale delle applicazioni eliminate soft
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà
microsoft.directory/applicationPolicies/create Creare criteri dell'applicazione
microsoft.directory/applicationPolicies/delete Eliminare i criteri dell'applicazione
microsoft.directory/applicationPolicies/standard/read Leggere le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read Leggere i proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read Leggere i criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/applicationPolicies/basic/update Aggiornare le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/update Aggiornare la proprietà proprietario dei criteri dell'applicazione
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestire le credenziali di Single Sign-On password nelle entità servizio
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire i segreti e le credenziali del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire processi e schemi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leggere le credenziali di Single Sign-On per l'accesso Single Sign-On nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Concedere il consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà del gruppo di destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornare le credenziali delle entità servizio
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dispositivo cloud

gli utenti con questo ruolo possono abilitare, disabilitare ed eliminare dispositivi in Azure AD, nonché leggere chiavi BitLocker di Windows 10 (se presenti) nel portale di Azure. Il ruolo non concede le autorizzazioni per gestire eventuali altre proprietà nel dispositivo.

Azioni Descrizione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristinare i dispositivi eliminati temporanea allo stato originale
microsoft.directory/devices/delete Eliminare i dispositivi da Azure AD
microsoft.directory/devices/disable Disabilitare i dispositivi in Azure AD
microsoft.directory/devices/enable Abilitare i dispositivi in Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi
microsoft.directory/deviceManagementPolicies/basic/update Aggiornare le proprietà di base nei criteri delle applicazioni di gestione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/basic/update Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365

Amministratore di conformità

Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità correlate alla conformità nei Portale di conformità di Microsoft Purview, interfaccia di amministrazione di Microsoft 365, Azure e Office 365 Centro conformità della sicurezza&. Gli assegnamenti possono anche gestire tutte le funzionalità all'interno dell'interfaccia di amministrazione di Exchange e teams & Skype for Business le interfacce di amministrazione e creare ticket di supporto per Azure e Microsoft 365. Altre informazioni sono disponibili in Informazioni sui ruoli di amministratore di Microsoft 365.

In ingresso Operazione consentita
Portale di conformità Microsoft Purview Proteggere e gestire i dati dell'organizzazione in tutti i servizi di Microsoft 365
Gestire gli avvisi di conformità
Compliance Manager Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
sicurezza & Office 365 Centro conformità Gestire la governance dei dati
Eseguire analisi sui dati e di carattere legale
Gestire le richieste di soggetti interessati

Questo ruolo dispone delle stesse autorizzazioni del Ruolo amministratore conformità in Office 365 controllo degli accessi in base al ruolo del Centro conformità sicurezza&.
Intune Visualizzare tutti i dati di controllo di Intune
Microsoft Defender for Cloud Apps Disporre di autorizzazioni di sola lettura e gestire gli avvisi
Creare e modificare i criteri di file e consentire azioni di governance sui file
Visualizzare tutti i report predefiniti in Gestione dati
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione dei diritti di Azure AD
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dati di conformità

Gli utenti con questo ruolo dispongono delle autorizzazioni per tenere traccia dei dati nei Portale di conformità di Microsoft Purview, interfaccia di amministrazione di Microsoft 365 e Azure. Gli utenti possono tenere traccia dei dati di conformità all'interno dell'interfaccia di amministrazione di Exchange, Compliance Manager e Teams & Skype for Business interfaccia di amministrazione e creare ticket di supporto per Azure e Microsoft 365. Questa documentazione contiene informazioni dettagliate sulle differenze tra Amministratore conformità e Amministratore dati di conformità.

In ingresso Operazione consentita
Portale di conformità Microsoft Purview Monitorare i criteri correlati alla conformità in tutti i servizi di Microsoft 365
Gestire gli avvisi di conformità
Compliance Manager Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
sicurezza & Office 365 Centro conformità Gestire la governance dei dati
Eseguire analisi sui dati e di carattere legale
Gestire le richieste di soggetti interessati

Questo ruolo ha le stesse autorizzazioni del ruolo Di amministratore dei dati di conformità in Office 365 controllo degli accessi in base al ruolo del Centro conformità sicurezza&.
Intune Visualizzare tutti i dati di controllo di Intune
Microsoft Defender for Cloud Apps Disporre di autorizzazioni di sola lettura e gestire gli avvisi
Creare e modificare i criteri di file e consentire azioni di governance sui file
Visualizzare tutti i report predefiniti in Gestione dati
Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore accesso condizionale

Gli utenti con questo ruolo possono gestire le impostazioni di accesso condizionale di Azure Active Directory.

Azioni Descrizione
microsoft.directory/namedLocations/create Creare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/condizionalAccessPolicies/create Creare criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/delete Eliminare i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/standard/read Lettura dell'accesso condizionale per i criteri
microsoft.directory/condizionalAccessPolicies/owner/read Leggere i proprietari dei criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/basic/update Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/owner/update Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/tenantDefault/update Aggiornare il tenant predefinito per i criteri di accesso condizionale

Responsabile approvazione per l'accesso a Customer Lockbox

gestisce le richieste Customer Lockbox nell'organizzazione. Gli utenti con questo ruolo ricevono notifiche di posta elettronica per le richieste Customer Lockbox e possono approvare e rifiutare le richieste dall'interfaccia di amministrazione di Microsoft 365. Possono anche attivare o disattivare la funzionalità Customer Lockbox. Solo gli amministratori globali possono reimpostare le password degli utenti assegnati a questo ruolo.

Azioni Descrizione
microsoft.office365.lockbox/allEntities/allTasks Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Desktop Analytics

Gli utenti in questo ruolo possono gestire il servizio di Desktop Analytics. Ciò include la possibilità di visualizzare l'inventario degli asset, creare piani di distribuzione e visualizzare lo stato di distribuzione e integrità.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks Gestire tutti gli aspetti di Desktop Analytics

Ruoli con autorizzazioni di lettura nella directory

Gli utenti con questo ruolo possono leggere le informazioni di base della directory. Questo ruolo deve essere usato per:

  • Concedere l'accesso in lettura a un set specifico di utenti guest anziché concederlo a tutti gli utenti guest.
  • Concedere a un set specifico di utenti non amministratori l'accesso al portale di Azure quando l'opzione "Limita l'accesso al portale Azure AD solo agli amministratori" è impostata su "Sì".
  • Concedere alle entità servizio l'accesso alla directory in cui Directory.Read.All non è un'opzione.
Azioni Descrizione
microsoft.directory/administrativeUnits/standard/read Leggere le proprietà di base nelle unità amministrative
microsoft.directory/administrativeUnits/members/read Leggere i membri delle unità amministrative
microsoft.directory/applications/standard/read Leggere le proprietà standard delle applicazioni
microsoft.directory/applications/owners/read Leggere i proprietari delle applicazioni
microsoft.directory/applications/policies/read Leggere i criteri delle applicazioni
microsoft.directory/contacts/standard/read Leggere le proprietà di base nei contatti in Azure AD
microsoft.directory/contacts/memberOf/read Leggere l'appartenenza al gruppo per tutti i contatti in Azure AD
microsoft.directory/contracts/standard/read Leggere le proprietà di base nei contratti partner
microsoft.directory/devices/standard/read Leggere le proprietà di base nei dispositivi
microsoft.directory/devices/memberOf/read Leggere le appartenenze ai dispositivi
microsoft.directory/devices/registeredOwners/read Leggere i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/read Leggere gli utenti registrati dei dispositivi
microsoft.directory/directoryRoles/standard/read Leggere le proprietà di base nei ruoli di Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Leggere i membri idonei dei ruoli di Azure AD
microsoft.directory/directoryRoles/members/read Leggere tutti i membri dei ruoli di Azure AD
microsoft.directory/domains/standard/read Leggere le proprietà di base nei domini
microsoft.directory/groups/standard/read Leggere le proprietà standard dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/appRoleAssignments/read Leggere le assegnazioni di ruolo dell'applicazione dei gruppi
microsoft.directory/groups/memberOf/read Leggere la proprietà memberOf nei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/read Leggere i membri dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/owners/read Leggere i proprietari dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/settings/read Impostazioni di lettura dei gruppi
microsoft.directory/groupSettings/standard/read Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read Leggere le proprietà di base sui modelli di impostazione del gruppo
microsoft.directory/oAuth2PermissionGrants/standard/read Leggere le proprietà di base nelle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/standard/read Leggere le proprietà di base in un'organizzazione
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Leggere le autorità di certificazione attendibili per l'autenticazione senza password
microsoft.directory/applicationPolicies/standard/read Leggere le proprietà standard dei criteri dell'applicazione
microsoft.directory/roleAssignments/standard/read Leggere le proprietà di base sulle assegnazioni di ruolo
microsoft.directory/roleDefinitions/standard/read Leggere le proprietà di base sulle definizioni di ruolo
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Leggere le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/appRoleAssignments/read Leggere le assegnazioni di ruolo assegnate alle entità servizio
microsoft.directory/servicePrincipals/standard/read Leggere le proprietà di base delle entità servizio
microsoft.directory/servicePrincipals/memberOf/read Leggere le appartenenze ai gruppi nelle entità servizio
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Autorizzazioni delegate di lettura per le entità servizio
microsoft.directory/servicePrincipals/owners/read Leggere i proprietari delle entità servizio
microsoft.directory/servicePrincipals/ownedObjects/read Leggere oggetti di proprietà delle entità servizio
microsoft.directory/servicePrincipals/policies/read Leggere i criteri delle entità servizio
microsoft.directory/subscribedSkus/standard/read Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/standard/read Leggere le proprietà di base sugli utenti
microsoft.directory/users/appRoleAssignments/read Leggere le assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read Leggere deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read Leggere i report diretti per gli utenti
microsoft.directory/users/licenseDetails/read Leggere i dettagli della licenza degli utenti
microsoft.directory/users/manager/read Lettura del gestore degli utenti
microsoft.directory/users/memberOf/read Leggere le appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read Autorizzazioni delegate di lettura per gli utenti
microsoft.directory/users/ownedDevices/read Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read Leggere oggetti di proprietà degli utenti
microsoft.directory/users/photo/read Leggere foto degli utenti
microsoft.directory/users/registeredDevices/read Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read Leggere l'appartenenza dell'utente a un ruolo di Azure AD, con ambito a un'unità amministrativa

Account di sincronizzazione della directory

Non usare. Questo ruolo viene assegnato automaticamente al servizio Azure AD Connect e non è progettato o supportato per altri usi.

Azioni Descrizione
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà del gruppo di destinatari per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri di autenticazione ibrida in Azure AD
microsoft.directory/organization/dirSync/update Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione hash delle password (PHS) in Azure AD
microsoft.directory/policies/create Creare criteri in Azure AD
microsoft.directory/policies/delete Eliminare i criteri in Azure AD
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/policies/owners/read Leggere i proprietari dei criteri
microsoft.directory/policies/policyAppliedTo/read Leggere policies.policyAppliedTo, proprietà
microsoft.directory/policies/basic/update Aggiornare le proprietà di base nei criteri
microsoft.directory/policies/owners/update Aggiornare i proprietari dei criteri
microsoft.directory/policies/tenantDefault/update Aggiornare i criteri predefiniti dell'organizzazione
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestire le credenziali di Single Sign-On password nelle entità servizio
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leggere le credenziali di Single Sign-On per l'accesso Single Sign-On nelle entità servizio
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Leggere le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/appRoleAssignments/read Leggere le assegnazioni di ruolo assegnate alle entità servizio
microsoft.directory/servicePrincipals/standard/read Leggere le proprietà di base delle entità servizio
microsoft.directory/servicePrincipals/memberOf/read Leggere le appartenenze ai gruppi nelle entità servizio
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Autorizzazioni delegate di lettura per le entità servizio
microsoft.directory/servicePrincipals/owners/read Leggere i proprietari delle entità servizio
microsoft.directory/servicePrincipals/ownedObjects/read Leggere oggetti di proprietà delle entità servizio
microsoft.directory/servicePrincipals/policies/read Leggere i criteri delle entità servizio
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà del gruppo di destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornare le credenziali delle entità servizio
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio

Writer di directory

Gli utenti in questo ruolo possono leggere e aggiornare le informazioni di base degli utenti, dei gruppi e delle entità servizio.

Azioni Descrizione
microsoft.directory/applications/extensionProperties/update Aggiornare le proprietà dell'estensione nelle applicazioni
microsoft.directory/contacts/create Creare contatti
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/create Creare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenza per le licenze basate su gruppo
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/groupType/update Proprietà di aggiornamento che influiscono sul tipo di gruppo di gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/onPremWriteBack/update Aggiornare i gruppi di Azure Active Directory da scrivere in locale con Azure AD Connect
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/settings/update Aggiornare le impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groupSettings/create Creare le impostazioni dei gruppi
microsoft.directory/groupSettings/delete Eliminare le impostazioni dei gruppi
microsoft.directory/groupSettings/basic/update Aggiornare le proprietà di base nelle impostazioni del gruppo
microsoft.directory/oAuth2PermissionGrants/create Creare le autorizzazioni OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/basic/update Aggiornare le autorizzazioni OAuth 2.0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire i segreti e le credenziali del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire processi e schemi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
microsoft.directory/users/disable Disabilitare gli utenti
microsoft.directory/users/enable Abilitare gli utenti
microsoft.directory/users/invalidateAllRefreshTokens Forzare l'disconnessamento invalidando i token di aggiornamento utente
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenza per gli utenti
microsoft.directory/users/basic/update Aggiornare le proprietà di base sugli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti

Amministratore nome di dominio

Gli utenti con questo ruolo possono gestire (leggere, aggiungere, verificare, aggiornare ed eliminare) nomi di dominio. Possono anche leggere le informazioni di directory su utenti, gruppi e applicazioni, perché questi oggetti possiedono dipendenze di dominio. Per gli ambienti locali, gli utenti con questo ruolo possono configurare i nomi di dominio per la federazione in modo che gli utenti associati siano sempre autenticati in locale. Questi utenti possono quindi accedere ai servizi basati su Azure AD con le password locali tramite Single Sign-On. Le impostazioni di federazione devono essere sincronizzate tramite Azure AD Connect, quindi gli utenti hanno anche le autorizzazioni per gestire Azure AD Connect.

Azioni Descrizione
microsoft.directory/domains/allProperties/allTasks Creare ed eliminare domini e leggere e aggiornare tutte le proprietà
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Dynamics 365

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Dynamics 365 Online, quando il servizio è presente, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Altre informazioni sono disponibili in Usare il ruolo di amministratore del servizio per gestire l'organizzazione Azure AD.

Nota

Nel Microsoft API Graph e In Azure AD PowerShell questo ruolo viene identificato come "Amministratore del servizio Dynamics 365". È "Dynamics 365 Administrator" nel portale di Azure.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire supporto tecnico di Azure ticket
microsoft.dynamics365/allEntities/allTasks Gestire tutti gli aspetti di Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Edge

Gli utenti di questo ruolo possono creare e gestire l'elenco dei siti aziendali necessario per la modalità Internet Explorer in Microsoft Edge. Questo ruolo concede le autorizzazioni per creare, modificare e pubblicare l'elenco dei siti e consente inoltre l'accesso per gestire i ticket di supporto. Scopri di più

Azioni Descrizione
microsoft.edge/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Exchange

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Exchange Online, quando il servizio è presente. Ha anche la possibilità di creare e gestire tutti i gruppi Microsoft 365, gestire i ticket di supporto e monitorare l'integrità dei servizi. Per altre informazioni, vedere Informazioni sui ruoli di amministratore di Microsoft 365.

Nota

Nel Microsoft API Graph e In Azure AD PowerShell questo ruolo viene identificato come "Amministratore del servizio Exchange". È "Amministratore di Exchange" nel portale di Azure. È l'"Amministratore di Exchange Online" nell'interfaccia di amministrazione di Exchange.

Azioni Descrizione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/create Creare Microsoft 365 gruppi, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/delete Eliminare Microsoft 365 gruppi, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/restore Ripristinare Microsoft 365 gruppi da un contenitore eliminato leggero, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base in Microsoft 365 gruppi, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/members/update Aggiornare i membri di Microsoft 365 gruppi, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari di Microsoft 365 gruppi, esclusi i gruppi assegnabili ai ruoli
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire supporto tecnico di Azure ticket
microsoft.office365.exchange/allEntities/basic/allTasks Gestire tutti gli aspetti di Exchange Online
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore destinatari di Exchange

Gli utenti con questo ruolo hanno accesso in lettura ai destinatari e l'accesso in scrittura agli attributi di tali destinatari in Exchange Online. Per altre informazioni, vedere Destinatari di Exchange.

Azioni Descrizione
microsoft.office365.exchange/recipients/allProperties/allTasks Creare ed eliminare tutti i destinatari e leggere e aggiornare tutte le proprietà dei destinatari in Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Gestire tutte le attività correlate alla migrazione dei destinatari in Exchange Online

ID esterno - Amministratore dei flussi utente

Gli utenti con questo ruolo possono creare e gestire i flussi utente (detti anche criteri predefiniti) nel portale di Azure. Questi utenti possono personalizzare il contenuto HTML/CSS/JavaScript, modificare i requisiti di MFA, selezionare le attestazioni nel token, gestire i connettori API e le relative credenziali e configurare le impostazioni di sessione per tutti i flussi utente nell'organizzazione di Azure AD. D'altra parte, questo ruolo non include la possibilità di esaminare i dati utente o apportare modifiche agli attributi inclusi nello schema dell'organizzazione. Le modifiche apportate ai criteri del framework dell'esperienza di gestione delle identità (noti anche come criteri personalizzati) non rientrano nell'ambito di questo ruolo.

Azioni Descrizione
microsoft.directory/b2cUserFlow/allProperties/allTasks Leggere e configurare il flusso utente in Azure Active Directory B2C

ID esterno - Amministratore degli attributi dei flussi utente

Gli utenti con questo ruolo aggiungono o eliminano attributi personalizzati disponibili per tutti i flussi utente nell'organizzazione Azure AD.  Gli utenti con questo ruolo possono quindi modificare o aggiungere nuovi elementi allo schema degli utenti finali e influire sul comportamento di tutti i flussi utente, causando indirettamente modifiche ai dati che possono essere richiesti agli utenti finali e inviati infine come attestazioni alle applicazioni.  Questo ruolo non può modificare i flussi utente.

Azioni Descrizione
microsoft.directory/b2cUserAttribute/allProperties/allTasks Leggere e configurare l'attributo utente in Azure Active Directory B2C

Amministratore dei provider di identità esterni

Questo amministratore gestisce la federazione tra le organizzazioni Azure AD e i provider di identità esterni.  Con questo ruolo gli utenti possono aggiungere nuovi provider di identità e configurare tutte le impostazioni disponibili, ad esempio percorso di autenticazione, ID del servizio e contenitori di chiavi assegnati.  Questo utente può abilitare l'organizzazione Azure AD in modo che ritenga attendibili le autenticazioni da provider di identità esterni.  L'impatto risultante sulle esperienze degli utenti finali dipende dal tipo di organizzazione:

  • Organizzazioni di Azure AD per i dipendenti e i partner: l'aggiunta di una federazione (ad esempio con Gmail) influisce immediatamente su tutti gli inviti guest non ancora riscattati. Vedere Aggiungere Google come provider di identità per utenti guest B2B.
  • Organizzazioni Azure Active Directory B2C: l'aggiunta di una federazione, ad esempio con Facebook o con un'altra organizzazione Azure AD, non ha impatto immediato sui flussi degli utenti finali fino all'aggiunta del provider di identità come opzione in un flusso utente, definito anche criterio predefinito. Per un esempio, vedere Configurazione di un account Microsoft come provider di identità.  Per modificare i flussi utente, è necessario il ruolo limitato di "Amministratore dei flussi utente B2C".
Azioni Descrizione
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
microsoft.directory/identityProviders/allProperties/allTasks Leggere e configurare i provider di identità in Azure Active Directory B2C

Amministratore globale

Gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Azure Active Directory, nonché ai servizi che usano identità di Azure Active Directory come il portale di Microsoft 365 Defender, i Portale di conformità di Microsoft Purview, i Exchange Online, SharePoint Online e Skype for Business online. Inoltre, gli amministratori globali possono elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Ciò consente agli amministratori globali di ottenere l'accesso completo a tutte le risorse di Azure usando il rispettivo tenant di Azure AD. La persona che si iscrive all'organizzazione di Azure AD diventa un amministratore globale. La società può essere più di un amministratore globale. Gli amministratori globali possono reimpostare la password per qualsiasi utente e tutti gli altri amministratori.

Nota

Come procedura consigliata, Microsoft consiglia di assegnare il ruolo Amministratore globale a meno di cinque persone nell'organizzazione. Per altre informazioni, vedere Procedure consigliate per i ruoli di Azure AD.

Azioni Descrizione
microsoft.directory/accessReviews/allProperties/allTasks (Deprecato) Creare ed eliminare le verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Azure AD
microsoft.directory/accessReviews/definitions/allProperties/allTasks Gestire le verifiche di accesso di tutte le risorse rivedibili in Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestire i criteri di richiesta di consenso amministratore in Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Creare e gestire le unità amministrative inclusi i membri
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Azure AD
microsoft.directory/applications/allProperties/allTasks Creare ed eliminare applicazioni e leggere e aggiornare tutte le proprietà
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare un'istanza di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/users/authenticationMethods/create Creare metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/delete Eliminare i metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/standard/read Leggere le proprietà standard dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/basic/update Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti
microsoft.directory/authorizationPolicy/allProperties/allTasks Gestire tutti gli aspetti dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.directory/connectors/create Creare connettori proxy applicazione
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori proxy dell'applicazione
microsoft.directory/connectorGroups/create Creare gruppi di connettori proxy applicazione
microsoft.directory/connectorGroups/delete Eliminare i gruppi di connettori proxy dell'applicazione
microsoft.directory/connectorGroups/allProperties/read Leggere tutte le proprietà dei gruppi di connettori proxy dell'applicazione
microsoft.directory/connectorGroups/allProperties/update Aggiornare tutte le proprietà dei gruppi di connettori proxy dell'applicazione
microsoft.directory/contacts/allProperties/allTasks Creare ed eliminare contatti e leggere e aggiornare tutte le proprietà
microsoft.directory/contracts/allProperties/allTasks Creare ed eliminare contratti partner e leggere e aggiornare tutte le proprietà
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creare e gestire estensioni di autenticazione personalizzate
microsoft.directory/deletedItems/delete Eliminare definitivamente gli oggetti, che non possono più essere ripristinati
microsoft.directory/deletedItems/restore Ripristinare gli oggetti eliminati temporanea allo stato originale
microsoft.directory/devices/allProperties/allTasks Creare ed eliminare i dispositivi e leggere e aggiornare tutte le proprietà
microsoft.directory/namedLocations/create Creare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi
microsoft.directory/deviceManagementPolicies/basic/update Aggiornare le proprietà di base nei criteri delle applicazioni di gestione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/basic/update Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
microsoft.directory/directoryRoles/allProperties/allTasks Creare ed eliminare ruoli della directory e leggere e aggiornare tutte le proprietà
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Creare ed eliminare modelli di ruolo di Azure AD e leggere e aggiornare tutte le proprietà
microsoft.directory/domains/allProperties/allTasks Creare ed eliminare domini e leggere e aggiornare tutte le proprietà
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Azure AD
microsoft.directory/groups/allProperties/allTasks Creare ed eliminare gruppi e leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/create Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete Eliminare gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/restore Ripristinare gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/allProperties/update Aggiornare i gruppi assegnabili a ruoli
microsoft.directory/groupSettings/allProperties/allTasks Creare ed eliminare le impostazioni di gruppo e leggere e aggiornare tutte le proprietà
microsoft.directory/groupSettingTemplates/allProperties/allTasks Creare ed eliminare modelli di impostazione di gruppo e leggere e aggiornare tutte le proprietà
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri di autenticazione ibrida in Azure AD
microsoft.directory/identityProtection/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Creare ed eliminare loginTenantBranding e leggere e aggiornare tutte le proprietà
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà
microsoft.directory/organization/allProperties/allTasks Leggere e aggiornare tutte le proprietà per un'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione dell'hash delle password in Azure AD
microsoft.directory/policies/allProperties/allTasks Creare ed eliminare criteri e leggere e aggiornare tutte le proprietà
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Gestire tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Azure AD dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aggiornare le impostazioni di connessione diretta di Azure AD B2B dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Azure AD dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aggiornare le impostazioni di connessione diretta di Azure AD B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/roleAssignments/allProperties/allTasks Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà di assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà
microsoft.directory/serviceAction/activateService Può eseguire l'azione "attiva servizio" per un servizio
microsoft.directory/serviceAction/disableDirectoryFeature Può eseguire l'azione del servizio "disabilitazione della funzionalità directory"
microsoft.directory/serviceAction/enableDirectoryFeature Può eseguire l'azione "abilita funzionalità directory" del servizio
microsoft.directory/serviceAction/getAvailableExtentionProperties Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks Creare ed eliminare entità servizio e leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Concedere il consenso per qualsiasi autorizzazione a qualsiasi applicazione
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/allTasks Acquistare ed gestire sottoscrizioni ed eliminare sottoscrizioni
microsoft.directory/users/allProperties/allTasks Creare ed eliminare utenti e leggere e aggiornare tutte le proprietà
microsoft.directory/permissionGrantPolicies/create Creare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/delete Eliminare i criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/basic/update Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni
microsoft.directory/servicePrincipalCreationPolicies/create Creare criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/delete Eliminare i criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leggere le proprietà standard dei criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aggiornare le proprietà di base dei criteri di creazione dell'entità servizio
microsoft.directory/tenantManagement/tenants/create Creare nuovi tenant in Azure Active Directory
microsoft.directory/verificabiliCredentials/configuration/contracts/cards/allProperties/read Leggere una scheda delle credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/contracts/cards/revoke Revocare una scheda credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/contracts/create Creare un contratto di credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/read Leggere un contratto di credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/update Aggiornare un contratto di credenziali verificabile
microsoft.directory/verificabiliCredentials/configuration/create Creare la configurazione necessaria per creare e gestire le credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/delete Eliminare la configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire le credenziali verificabili
microsoft.directory/verificabiliCredentials/configuration/allProperties/update Aggiornare la configurazione necessaria per creare e gestire le credenziali verificabili
microsoft.directory/lifecycleWorkflows/workflow/allProperties/allTasks Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Azure AD
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.dynamics365/allEntities/allTasks Gestire tutti gli aspetti di Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Edge
microsoft.flow/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.insights/allEntities/allProperties/allTasks Gestire tutti gli aspetti dell'app Insights
microsoft.intune/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Gestire tutti gli aspetti di Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Gestire tutti gli aspetti di Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leggere i report analitici sulla comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leggere e aggiornare tutte le proprietà della rete di conoscenze in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gestire la visibilità dell'argomento della rete delle conoscenze in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gestire le origini di apprendimento e tutte le relative proprietà nell'app di apprendimento.
microsoft.office365.lockbox/allEntities/allTasks Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gestire tutti gli aspetti di creazione di Microsoft 365 Messaggi organizzativi
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gestire tutti gli aspetti dei centri sicurezza e conformità
microsoft.office365.search/content/manage Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Ricerca
microsoft.office365.securityComplianceCenter/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Office 365 Centro conformità sicurezza &
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.userCommunication/allEntities/allTasks Leggere e aggiornare la visibilità dei nuovi messaggi
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gestire tutti gli aspetti della gestione delle autorizzazioni di Entra
microsoft.powerApps/allEntities/allTasks Gestire tutti gli aspetti di Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Gestire tutti gli aspetti di Power BI
microsoft.teams/allEntities/allProperties/allTasks Gestire tutte le risorse in Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Defender per endpoint
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leggere e configurare tutti gli aspetti del servizio Windows Update

Ruolo con autorizzazioni di lettura globali

Gli utenti con questo ruolo possono leggere le impostazioni e le informazioni amministrative tra servizi Microsoft 365, ma non possono eseguire azioni di gestione. Lettore globale è la controparte di sola lettura all'amministratore globale. Assegnare l'utilità di lettura globale anziché l'amministratore globale per la pianificazione, i controlli o le indagini. Usare l'utilità di lettura globale in combinazione con altri ruoli di amministratore limitati come Amministratore di Exchange per facilitare l'esecuzione del lavoro senza assegnare il ruolo Amministratore globale. Lettore globale funziona con interfaccia di amministrazione di Microsoft 365, interfaccia di amministrazione di Exchange, interfaccia di amministrazione di SharePoint, interfaccia di amministrazione di Teams, Centro sicurezza, Centro conformità, interfaccia di amministrazione di Azure AD e interfaccia di amministrazione Gestione dispositivi.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile accedere all'area Servizi di acquisto nella interfaccia di amministrazione di Microsoft 365.

Nota

Il ruolo Lettore globale presenta le limitazioni seguenti:

Azioni Descrizione
microsoft.directory/accessReviews/allProperties/read (Deprecato) Leggere tutte le proprietà delle verifiche di accesso
microsoft.directory/accessReviews/definitions/allProperties/read Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse rivedibili in Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/read Leggere tutte le proprietà dei criteri di richiesta di consenso amministratore in Azure AD
microsoft.directory/administrativeUnits/allProperties/read Leggere tutte le proprietà delle unità amministrative, inclusi i membri
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Azure AD
microsoft.directory/applications/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) in tutti i tipi di applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leggere le proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
microsoft.directory/cloudAppSecurity/allProperties/read Leggere tutte le proprietà per Defender for Cloud Apps
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori proxy dell'applicazione
microsoft.directory/connectorGroups/allProperties/read Leggere tutte le proprietà dei gruppi di connettori proxy dell'applicazione
microsoft.directory/contacts/allProperties/read Leggere tutte le proprietà per i contatti
microsoft.directory/customAuthenticationExtensions/allProperties/read Leggere le estensioni di autenticazione personalizzate
microsoft.directory/devices/allProperties/read Lettura di tutte le proprietà dei dispositivi
microsoft.directory/directoryRoles/allProperties/read Leggere tutte le proprietà dei ruoli della directory
microsoft.directory/directoryRoleTemplates/allProperties/read Leggere tutte le proprietà dei modelli di ruolo della directory
microsoft.directory/domains/allProperties/read Leggere tutte le proprietà dei domini
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione dei diritti di Azure AD
microsoft.directory/groups/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) nei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili da ruolo
microsoft.directory/groupSettings/allProperties/read Leggere tutte le proprietà delle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/allProperties/read Leggere tutte le proprietà dei modelli di impostazione del gruppo
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Azure AD Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/read Leggere tutte le proprietà per la pagina di accesso personalizzata dell'organizzazione
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/oAuth2PermissionGrants/allProperties/read Leggere tutte le proprietà delle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/allProperties/read Leggere tutte le proprietà per un'organizzazione
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/policies/allProperties/read Lettura di tutte le proprietà dei criteri
microsoft.directory/conditionalAccessPolicies/allProperties/read Leggere tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/roleAssignments/allProperties/read Leggere tutte le proprietà delle assegnazioni di ruolo
microsoft.directory/roleDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni di ruolo
microsoft.directory/scopedRoleMemberships/allProperties/read Visualizzare i membri nelle unità amministrative
microsoft.directory/serviceAction/getAvailableExtentionProperties Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leggere le proprietà standard dei criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/read Leggere tutte le proprietà delle sottoscrizioni del prodotto
microsoft.directory/users/allProperties/read Leggere tutte le proprietà degli utenti
microsoft.directory/verificaableCredentials/configuration/contracts/cards/allProperties/read Leggere una scheda credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/read Leggere un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Leggere tutte le proprietà dei flussi di lavoro e delle attività del ciclo di vita in Azure AD
microsoft.cloudPC/allEntities/allProperties/read Leggere tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Leggere tutte le risorse di fatturazione di Office 365
microsoft.edge/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Edge
microsoft.insights/allEntities/allProperties/read Leggere tutti gli aspetti di Viva Insights
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti dei messaggi organizzativi di Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Leggere tutte le proprietà nei centri sicurezza e conformità
microsoft.office365.securityComplianceCenter/allEntities/read Leggere le proprietà standard in Microsoft Centro sicurezza e conformità 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Leggere tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Leggere tutti gli aspetti della gestione delle autorizzazioni entra
microsoft.teams/allEntities/allProperties/read Leggere tutte le proprietà di Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Leggi tutti gli aspetti delle visite virtuali
microsoft.windows.updatesDeployments/allEntities/allProperties/read Leggere tutti gli aspetti del servizio Windows Update

Amministratore di gruppi

Gli utenti con questo ruolo possono creare o gestire gruppi e le relative impostazioni, ad esempio i criteri di denominazione e scadenza. È importante comprendere che l'assegnazione di un utente a questo ruolo offre la possibilità di gestire tutti i gruppi nell'organizzazione per diversi carichi di lavoro, ad esempio Teams, SharePoint, Yammer, oltre a Outlook. Inoltre, l'utente sarà in grado di gestire le varie impostazioni dei gruppi in vari portali di amministrazione, ad esempio Microsoft interfaccia di amministrazione, portale di Azure, nonché carichi di lavoro specifici, ad esempio Teams e interfacce di amministrazione di SharePoint.

Azioni Descrizione
microsoft.directory/deletedItems.groups/delete Eliminare definitivamente i gruppi che non possono più essere ripristinati
microsoft.directory/deletedItems.groups/restore Ripristinare i gruppi eliminati temporanea allo stato originale
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/create Creare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenza per le licenze basate su gruppo
microsoft.directory/groups/restore Ripristinare i gruppi dal contenitore eliminato temporanea
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/groupType/update Proprietà di aggiornamento che influiscono sul tipo di gruppo di gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/onPremWriteBack/update Aggiornare i gruppi di Azure Active Directory da scrivere in locale con Azure AD Connect
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/settings/update Aggiornare le impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili di ruolo
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Mittente dell'invito guest

gli utenti con questo ruolo possono gestire gli inviti per gli utenti guest di Azure Active Directory B2B quando il valore dell'impostazione utente I membri possono invitare è No. Altre informazioni sulla collaborazione B2B in Informazioni su Collaborazione B2B di Azure Active Directory. Il ruolo non include altre autorizzazioni.

Azioni Descrizione
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/standard/read Leggere le proprietà di base sugli utenti
microsoft.directory/users/appRoleAssignments/read Leggere le assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read Leggere deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read Leggere i report diretti per gli utenti
microsoft.directory/users/licenseDetails/read Leggere i dettagli della licenza degli utenti
microsoft.directory/users/manager/read Lettura del gestore degli utenti
microsoft.directory/users/memberOf/read Leggere le appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read Autorizzazioni delegate di lettura per gli utenti
microsoft.directory/users/ownedDevices/read Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read Leggere oggetti di proprietà degli utenti
microsoft.directory/users/photo/read Leggere foto degli utenti
microsoft.directory/users/registeredDevices/read Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read Leggere l'appartenenza dell'utente a un ruolo di Azure AD, con ambito a un'unità amministrativa

Amministratore del supporto tecnico

Gli utenti con questo ruolo possono modificare le password, invalidare i token di aggiornamento, creare e gestire le richieste di supporto con Microsoft per Azure e Microsoft 365 servizi e monitorare l'integrità del servizio. Invalidando un token di aggiornamento si impone all'utente di eseguire di nuovo l'accesso. Se un amministratore del supporto tecnico può reimpostare la password di un utente e invalidare i token di aggiornamento dipende dal ruolo assegnato dall'utente. Per un elenco dei ruoli che un amministratore del supporto tecnico può reimpostare le password per e invalidare i token di aggiornamento, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile al ruolo.

Importante

gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a dati sensibili, informazioni riservate o configurazioni critiche sia dall'interno che dall'esterno di Azure Active Directory. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero disporre di autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli utenti con ruolo di Amministratore supporto tecnico. Ciò significa che un Amministratore supporto tecnico potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure.
  • Gruppo di sicurezza e Microsoft 365 proprietari di gruppi, che possono gestire l'appartenenza al gruppo. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
  • Amministratori in altri servizi all'esterno di Azure Active Directory, ad esempio Exchange Online, Centro sicurezza e conformità di Office e sistemi di gestione delle risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.

Delegare le autorizzazioni amministrative sui subset di utenti e applicare i criteri a un subset di utenti è possibile con unità amministrative.

Questo ruolo era precedentemente chiamato "Amministratore password" nel portale di Azure. Il nome "Amministratore supporto tecnico" in Azure AD ora corrisponde al nome in Azure AD PowerShell e nell'API Microsoft Graph.

Azioni Descrizione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di BitLocker nei dispositivi
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconnescazione invalidando i token di aggiornamento utente
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire supporto tecnico di Azure ticket
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore delle identità ibride

Gli utenti di questo ruolo possono creare, gestire e distribuire la configurazione della configurazione del provisioning da AD ad Azure AD usando il provisioning cloud, nonché gestire Azure AD Connect, autenticazione pass-through (PTA), sincronizzazione dell'hash delle password (PHS), single Sign-On facile (Seamless SSO) e impostazioni di federazione. Gli utenti possono anche risolvere i problemi e monitorare i log usando questo ruolo.

Azioni Descrizione
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare un'istanza di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/cloudProvisioning/allProperties/allTasks Leggere e configurare tutte le proprietà del servizio di provisioning cloud di Azure AD.
microsoft.directory/deletedItems.applications/delete Eliminare definitivamente le applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristinare lo stato originale delle applicazioni eliminate soft
microsoft.directory/domains/allProperties/read Leggere tutte le proprietà dei domini
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri di autenticazione ibrida in Azure AD
microsoft.directory/organization/dirSync/update Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione dell'hash delle password in Azure AD
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire i segreti e le credenziali del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà dei destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Identity Governance

Gli utenti con questo ruolo possono gestire la configurazione di governance delle identità di Azure AD, inclusi i pacchetti di accesso, le verifiche di accesso, i cataloghi e i criteri, assicurando che l'accesso sia approvato e esaminato e gli utenti guest che non hanno più bisogno di accesso vengano rimossi.

Azioni Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gestire le verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni dei pacchetti di accesso nella gestione dei diritti
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza a Sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza a Security e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo.
microsoft.directory/accessReviews/definitions.groups/create Creare verifiche di accesso per l'appartenenza a Sicurezza e Microsoft 365 gruppi.
microsoft.directory/accessReviews/definitions.groups/delete Eliminare le verifiche di accesso per l'appartenenza a Sicurezza e Microsoft 365 gruppi.
microsoft.directory/accessReviews/allProperties/allTasks (Deprecato) Creare ed eliminare le verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione dei diritti di Azure AD
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio

Amministratore di Insights

Gli utenti di questo ruolo possono accedere al set completo di funzionalità amministrative nell'app Microsoft Viva Insights. Questo ruolo ha la possibilità di leggere le informazioni sulla directory, monitorare l'integrità del servizio, i ticket di supporto dei file e accedere agli aspetti delle impostazioni di Insights Administrator.

Scopri di più

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.insights/allEntities/allProperties/allTasks Gestire tutti gli aspetti dell'app Insights
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Analista di Insights

Assegnare il ruolo Analista insights agli utenti che devono eseguire le operazioni seguenti:

  • Analizzare i dati nell'app Microsoft Viva Insights, ma non è possibile gestire le impostazioni di configurazione
  • Creare, gestire ed eseguire query
  • Visualizzare le impostazioni di base e i report nella interfaccia di amministrazione di Microsoft 365
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365

Scopri di più

Azioni Descrizione
microsoft.insights/querys/allProperties/allTasks Eseguire e gestire le query in Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Leader aziendale di Insights

Gli utenti in questo ruolo possono accedere a un set di dashboard e informazioni dettagliate tramite l'app Microsoft Viva Insights. Ciò include l'accesso completo a tutti i dashboard e alle funzionalità di esplorazione dei dati e informazioni dettagliate. Gli utenti in questo ruolo non hanno accesso alle impostazioni di configurazione del prodotto, ovvero la responsabilità del ruolo Amministratore di Insights.

Scopri di più

Azioni Descrizione
microsoft.insights/reports/allProperties/read Visualizzare report e dashboard nell'app Insights
microsoft.insights/programs/allProperties/update Distribuire e gestire programmi nell'app Insights

Amministratore di Intune

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Intune Online, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi. Altre informazioni sono disponibili in Controllo degli accessi in base al ruolo (RBAC) con Microsoft Intune.

Questo ruolo può creare e gestire tutti i gruppi di sicurezza. Tuttavia, Intune amministratore non dispone dei diritti di amministratore sui gruppi di Office. Questo significa che l'amministratore non può aggiornare i proprietari o le appartenenze di tutti i gruppi di Office nell'organizzazione. Tuttavia, è in grado di gestire il gruppo di Office creato come parte dei propri privilegi di utente finale. Pertanto, qualsiasi gruppo di Office (non gruppo di sicurezza) creato dall'utente deve essere conteggiato ai fini della quota di 250.

Nota

Nel Microsoft API Graph e Azure AD PowerShell questo ruolo viene identificato come "Intune amministratore del servizio". È "amministratore Intune" nella portale di Azure.

Azioni Descrizione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
microsoft.directory/contacts/create Creare contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base nei contatti
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristinare i dispositivi eliminati temporanea allo stato originale
microsoft.directory/devices/create Creare dispositivi (registrare in Azure AD)
microsoft.directory/devices/delete Eliminare i dispositivi da Azure AD
microsoft.directory/devices/disable Disabilitare i dispositivi in Azure AD
microsoft.directory/devices/enable Abilitare i dispositivi in Azure AD
microsoft.directory/devices/basic/update Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/extensionAttributeSet1/update Aggiornare l'estensioneAttribute1 alle proprietà extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update Aggiornare l'extensionAttribute6 alle proprietà extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update Aggiornare l'estensioneAttribute11 alle proprietà ExtensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update Aggiornare i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups.security/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups.security/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/owner/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/visibility/update Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili di ruolo
microsoft.directory/users/basic/update Aggiornare le proprietà di base sugli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.intune/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft 365 Messaggi organizzativi
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Kaizala

Gli utenti con questo ruolo hanno autorizzazioni globali per gestire le impostazioni in Microsoft Kaizala, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Inoltre, l'utente può accedere ai report correlati all'utilizzo dell'adozione di Kaizala dai membri dell'organizzazione & e dai report aziendali generati usando le azioni Kaizala.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore delle conoscenze

Gli utenti in questo ruolo hanno accesso completo a tutte le impostazioni delle funzionalità di conoscenza, apprendimento e intelligenza intelligente nei interfaccia di amministrazione di Microsoft 365. Hanno una comprensione generale della suite di prodotti, dettagli delle licenze e ha responsabilità di controllare l'accesso. L'amministratore delle conoscenze può creare e gestire contenuto, ad esempio argomenti, acronimi e risorse di apprendimento. Inoltre, questi utenti possono creare centri contenuto, monitorare l'integrità dei servizi e creare richieste di servizio.

Azioni Descrizione
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/createAsOwner Creare gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/owner/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gestire le origini di apprendimento e tutte le relative proprietà in Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Leggere tutte le proprietà delle etichette di riservatezza nei centri sicurezza e conformità
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Knowledge Manager

Gli utenti di questo ruolo possono creare e gestire contenuto, ad esempio argomenti, acronimi e contenuti di apprendimento. Questi utenti sono principalmente responsabili della qualità e della struttura delle conoscenze. Questo utente dispone dei diritti completi per le azioni di gestione degli argomenti per confermare un argomento, approvare le modifiche o eliminare un argomento. Questo ruolo può anche gestire le tassonomie come parte dello strumento di gestione dell'archivio termini e creare centri contenuti.

Azioni Descrizione
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.security/createAsOwner Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore licenze

gli utenti in questo ruolo possono aggiungere, rimuovere e aggiornare le assegnazioni di licenze a utenti, gruppi (usando licenze basate su gruppi) e gestire i percorsi di utilizzo per gli utenti. Il ruolo non garantisce la possibilità di acquistare o gestire sottoscrizioni, creare o gestire gruppi o creare o gestire utenti al di fuori del percorso di utilizzo. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto a gruppi per le licenze basate su gruppo
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per le licenze basate su gruppo
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni delle licenze per gli utenti
microsoft.directory/users/usageLocation/update Aggiornare la posizione di utilizzo degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore flussi di lavoro del ciclo di vita

Assegnare il ruolo Amministratore flussi di lavoro del ciclo di vita agli utenti che devono eseguire le attività seguenti:

  • Creare e gestire tutti gli aspetti dei flussi di lavoro e delle attività associati ai flussi di lavoro del ciclo di vita in Azure AD
  • Controllare l'esecuzione dei flussi di lavoro pianificati
  • Avviare esecuzioni del flusso di lavoro su richiesta
  • Esaminare i log di esecuzione del flusso di lavoro
Azioni Descrizione
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Azure AD

Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi

Gli utenti con questo ruolo possono monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati. Gli utenti con il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi ricevono notifiche tramite posta elettronica, incluse quelle relative alla privacy dei dati, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo l'amministratore globale e il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo include anche la possibilità di visualizzare gruppi, domini e sottoscrizioni. Questo ruolo non ha le autorizzazioni per visualizzare, creare o gestire richieste di servizio.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Ruolo con autorizzazioni di lettura per il Centro messaggi

Gli utenti di questo ruolo possono monitorare le notifiche e gli aggiornamenti di integrità consultivi nel Centro messaggi per l'organizzazione in servizi configurati, ad esempio Exchange, Intune e Microsoft Teams. I lettori del Centro messaggi ricevono digest settimanali di post, aggiornamenti e possono condividere post del Centro messaggi in Microsoft 365. In Azure AD, gli utenti assegnati a questo ruolo avranno solo l'accesso di sola lettura ai servizi di Azure AD, ad esempio utenti e gruppi. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Microsoft amministratore della garanzia hardware

Assegnare il ruolo amministratore della garanzia hardware Microsoft agli utenti che devono eseguire le attività seguenti:

  • Creare nuove attestazioni di garanzia per Microsoft hardware prodotto, ad esempio Surface e HoloLens
  • Cercare e leggere attestazioni di garanzia aperte o chiuse
  • Cercare e leggere le attestazioni di garanzia in base al numero di serie
  • Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione
  • Leggere lo stato di spedizione per le attestazioni di garanzia aperte
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365
  • Leggere gli annunci del Centro messaggi nell'interfaccia di amministrazione di Microsoft 365

Un'attestazione di garanzia è una richiesta per avere l'hardware riparato o sostituito in conformità alle condizioni della garanzia. Per altre informazioni, vedere Richieste di assistenza self-service per surface&.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Microsoft Specialista della garanzia hardware

Assegnare il ruolo di specialista della garanzia hardware di Microsoft agli utenti che devono eseguire le attività seguenti:

  • Creare nuove attestazioni di garanzia per Microsoft hardware prodotto, ad esempio Surface e HoloLens
  • Leggere le attestazioni di garanzia create
  • Leggere e aggiornare gli indirizzi di spedizione esistenti
  • Leggere lo stato di spedizione per le attestazioni di garanzia aperte create
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365

Un'attestazione di garanzia è una richiesta per avere l'hardware riparato o sostituito in conformità alle condizioni della garanzia. Per altre informazioni, vedere Richieste di assistenza self-service per surface&.

Azioni Descrizione
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Utente Commerce moderno

Non usare. Questo ruolo viene assegnato automaticamente da Commerce e non è progettato o supportato per altri usi. Vedere i dettagli di seguito.

Il ruolo Utente di Commercio moderno concede a determinati utenti l'autorizzazione per accedere interfaccia di amministrazione di Microsoft 365 e visualizzare le voci di spostamento a sinistra per Home, Fatturazione e Supporto. I contenuti disponibili in queste aree sono controllati da ruoli specifici per attività commerciali assegnati agli utenti per gestire i prodotti acquistati per se stessi o per la propria organizzazione. Questo potrebbe includere attività quali il pagamento di fatture o l'accesso agli account di fatturazione e ai profili di fatturazione.

Gli utenti con il ruolo Utente di Modern Commerce in genere dispongono di autorizzazioni amministrative in altri sistemi di acquisto Microsoft, ma non dispongono di ruoli amministratore globale o amministratore fatturazione usati per accedere all'interfaccia di amministrazione.

Quando viene assegnato il ruolo Utente di Modern Commerce?

  • Acquisto self-service nell'interfaccia di amministrazione di Microsoft 365 - L'acquisto self-service offre agli utenti la possibilità di provare nuovi prodotti acquistandoli o effettuando l'iscrizione autonomamente. Questi prodotti vengono gestiti nell'interfaccia di amministrazione. Gli utenti che effettuano un acquisto self-service vengono assegnati un ruolo nel sistema commerciale e il ruolo Utente di Modern Commerce in modo da poter gestire gli acquisti nell'interfaccia di amministrazione. Gli amministratori possono bloccare gli acquisti self-service (per Power BI, Power Apps, Power Automate) tramite PowerShell. Per altre informazioni, vedere Domande frequenti sugli acquisti self-service.
  • Acquisti da Microsoft marketplace commerciale: analogamente all'acquisto self-service, quando un utente acquista un prodotto o un servizio da Microsoft AppSource o Azure Marketplace, il ruolo Utente commerciale moderno viene assegnato se non ha il ruolo Amministratore globale o Amministratore fatturazione. In alcuni casi, è possibile che gli utenti non possano effettuare questi acquisti. Per altre informazioni, vedere Marketplace commerciale Microsoft.
  • Proposte provenienti da Microsoft: una proposta è un'offerta formale da Microsoft per l'organizzazione per acquistare Microsoft prodotti e servizi. Quando la persona che accetta la proposta non ha un ruolo amministratore globale o amministratore di fatturazione in Azure AD, viene assegnato un ruolo specifico per il commercio per completare la proposta e il ruolo utente di Modern Commerce per accedere all'interfaccia di amministrazione. Quando accedono all'interfaccia di amministrazione, possono usare solo le funzionalità autorizzate dal proprio ruolo specifico per attività commerciali.
  • Ruoli specifici per attività commerciali - Ad alcuni utenti vengono assegnati ruoli specifici per attività commerciali. Se un utente non è un amministratore globale o un amministratore di fatturazione, ottiene il ruolo utente di Modern Commerce in modo da poter accedere all'interfaccia di amministrazione.

Se il ruolo Utente di Modern Commerce non viene assegnato da un utente, perde l'accesso a interfaccia di amministrazione di Microsoft 365. Se era responsabile della gestione di prodotti, per se stesso o per l'organizzazione, non sarà più in grado di occuparsene. I compiti di gestione potrebbero includere l'assegnazione di licenze, la modifica dei metodi di pagamento, il pagamento di fatture o altre attività per la gestione delle sottoscrizioni.

Azioni Descrizione
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gestire tutti gli aspetti del Centro servizi multilicenza
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/basic/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di rete

Gli utenti con questo ruolo possono esaminare le raccomandazioni relative all'architettura perimetrale di rete di Microsoft basate sui dati di telemetria di rete dalle posizioni degli utenti. Le prestazioni di rete per Microsoft 365 si basano su un'attenta architettura perimetrale della rete del cliente aziendale, che è in genere la posizione utente specifica. Questo ruolo consente di modificare le posizioni utente individuate e la configurazione dei parametri di rete per tali posizioni per facilitare le misure di telemetria migliorate e le raccomandazioni di progettazione

Azioni Descrizione
microsoft.office365.network/locations/allProperties/allTasks Gestire tutti gli aspetti delle posizioni di rete
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore delle app di Office

Gli utenti in questo ruolo possono gestire le impostazioni cloud di Microsoft 365 app. Sono incluse la gestione dei criteri cloud, la gestione dei download self-service e la possibilità di visualizzare report correlati alle app di Office. Questo ruolo concede anche la possibilità di gestire i ticket di supporto e di monitorare l'integrità dei servizi nell'interfaccia di amministrazione principale. Gli utenti assegnati a questo ruolo possono anche gestire la comunicazione delle nuove funzionalità nelle app di Office.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.userCommunication/allEntities/allTasks Leggere e aggiornare la visibilità dei nuovi messaggi
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Writer messaggi dell'organizzazione

Assegnare il ruolo Writer messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:

  • Scrivere, pubblicare ed eliminare messaggi aziendali usando interfaccia di amministrazione di Microsoft 365 o Microsoft Endpoint Manager
  • Gestire le opzioni di recapito dei messaggi dell'organizzazione usando interfaccia di amministrazione di Microsoft 365 o Microsoft Endpoint Manager
  • Leggere i risultati del recapito dei messaggi dell'organizzazione usando interfaccia di amministrazione di Microsoft 365 o Microsoft Endpoint Manager
  • Visualizzare i report di utilizzo e la maggior parte delle impostazioni nella interfaccia di amministrazione di Microsoft 365, ma non è possibile apportare modifiche
Azioni Descrizione
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gestire tutti gli aspetti di creazione di Microsoft 365 Messaggi organizzativi
microsoft.office365.usageReports/allEntities/standard/read Leggere report di utilizzo aggregati a livello di tenant Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Supporto partner - Livello 1

Non usare. Questo ruolo è deprecato e verrà rimosso da Azure AD in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento solo per gli amministratori non. Questo ruolo non deve essere usato come deprecato e non verrà più restituito nell'API.

Azioni Descrizione
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà del gruppo di destinatari per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/contacts/create Creare contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base nei contatti
microsoft.directory/deletedItems.groups/restore Ripristinare i gruppi eliminati temporanea allo stato originale
microsoft.directory/deletedItems.users/restore Ripristinare gli utenti eliminati temporanea allo stato originale
microsoft.directory/groups/create Creare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/restore Ripristinare i gruppi dal contenitore eliminato temporanea
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
microsoft.directory/users/delete Eliminare gli utenti
microsoft.directory/users/disable Disabilitare gli utenti
microsoft.directory/users/enable Abilitare gli utenti
microsoft.directory/users/invalidateAllRefreshTokens Forzare l'disconnessamento invalidando i token di aggiornamento utente
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base sugli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Supporto partner - Livello 2

Non usare. Questo ruolo è deprecato e verrà rimosso da Azure AD in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento per tutti gli amministratori e gli amministratori non (inclusi gli amministratori globali). Questo ruolo non deve essere usato come deprecato e non verrà più restituito nell'API.

Azioni Descrizione
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà del gruppo di destinatari per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/contacts/create Creare contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base nei contatti
microsoft.directory/deletedItems.groups/restore Ripristinare i gruppi eliminati temporanea allo stato originale
microsoft.directory/deletedItems.users/restore Ripristinare gli utenti eliminati temporanea allo stato originale
microsoft.directory/domains/allProperties/allTasks Creare ed eliminare domini e leggere e aggiornare tutte le proprietà
microsoft.directory/groups/create Creare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/restore Ripristinare i gruppi dal contenitore eliminato temporanea
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà
microsoft.directory/organization/basic/update Aggiornare le proprietà di base nell'organizzazione
microsoft.directory/roleAssignments/allProperties/allTasks Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/subscribedSkus/standard/read Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
microsoft.directory/users/delete Eliminare gli utenti
microsoft.directory/users/disable Disabilitare gli utenti
microsoft.directory/users/enable Abilitare gli utenti
microsoft.directory/users/invalidateAllRefreshTokens Forzare l'disconnessamento invalidando i token di aggiornamento utente
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base sugli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore password

Gli utenti con questo ruolo hanno la possibilità di gestire le password in modo limitato. Questo ruolo non concede la possibilità di gestire le richieste di servizio o di monitorare l'integrità dei servizi. Se un amministratore password può reimpostare la password di un utente dipende dal ruolo assegnato dall'utente. Per un elenco dei ruoli per cui un amministratore password può reimpostare le password, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile al ruolo.
Azioni Descrizione
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore gestione autorizzazioni

Assegnare il ruolo Amministratore gestione autorizzazioni agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti della gestione delle autorizzazioni di Entra, quando il servizio è presente

Altre informazioni sui ruoli e i criteri di gestione delle autorizzazioni in Visualizza informazioni sui ruoli/criteri.

Azioni Descrizione
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gestire tutti gli aspetti della gestione delle autorizzazioni di Entra

Amministratore di Power BI

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Power BI, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Altre informazioni sono disponibili in Informazioni sul ruolo amministratore di Power BI.

Nota

Nell'API Microsoft Graph e in Azure AD PowerShell questo ruolo è identificato come "Amministratore del servizio Power BI". È l'"Amministratore di Power BI" nel portale di Azure.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gestire tutti gli aspetti di Power BI

Amministratore di Power Platform

Gli utenti in questo ruolo possono creare e gestire tutti gli aspetti di ambienti, Power Apps, Flussi, Criteri di prevenzione della perdita dei dati. Possono inoltre gestire i ticket di supporto e monitorare l'integrità del servizio.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.dynamics365/allEntities/allTasks Gestire tutti gli aspetti di Dynamics 365
microsoft.flow/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.powerApps/allEntities/allTasks Gestire tutti gli aspetti di Power Apps

Amministratore stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni del connettore Stampa universale. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori stampante possono anche accedere ai report di stampa.

Azioni Descrizione
microsoft.azure.print/allEntities/allProperties/allTasks Creare ed eliminare stampanti e connettori e leggere e aggiornare tutte le proprietà in Microsoft Stampa

Tecnico della stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire lo stato della stampante nella soluzione Stampa universale Microsoft. Possono anche leggere tutte le informazioni sul connettore. Due attività chiave che un tecnico della stampante non può eseguire sono impostare le autorizzazioni utente per le stampanti e condividere stampanti.

Azioni Descrizione
microsoft.azure.print/connectors/allProperties/read Leggere tutte le proprietà dei connettori in Microsoft Stampa
microsoft.azure.print/printers/allProperties/read Leggere tutte le proprietà delle stampanti in Microsoft Stampa
microsoft.azure.print/printers/register Registrare le stampanti in Microsoft Stampa
microsoft.azure.print/printers/unregister Annullare la registrazione delle stampanti in Microsoft Stampa
microsoft.azure.print/printers/basic/update Aggiornare le proprietà di base delle stampanti in Microsoft Stampa

Amministratore autenticazione con privilegi

Assegnare il ruolo di amministratore dell'autenticazione con privilegi agli utenti che devono eseguire le operazioni seguenti:

  • Impostare o reimpostare qualsiasi metodo di autenticazione (incluse le password) per qualsiasi utente, inclusi gli amministratori globali.
  • Eliminare o ripristinare tutti gli utenti, inclusi gli amministratori globali. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Forzare gli utenti a registrare nuovamente le credenziali non password esistenti (ad esempio MFA o FIDO) e revocare l'autenticazione a più fattori nel dispositivo, richiedendo l'autenticazione a più fattori nel successivo accesso di tutti gli utenti.
  • Aggiornare le proprietà sensibili per tutti gli utenti. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Creare e gestire i ticket di supporto in Azure e il interfaccia di amministrazione di Microsoft 365.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile gestire mFA per utente nel portale di gestione MFA legacy. Le stesse funzioni possono essere eseguite usando il modulo di comando Set-MsolUser di Azure AD PowerShell.

Nella tabella seguente vengono confrontate le funzionalità di questo ruolo con i ruoli correlati.

Ruolo Gestire i metodi di autenticazione dell'utente Gestire l'autenticazione a più fattori per utente Gestire le impostazioni di autenticazione a più fattori Gestire i criteri del metodo di autenticazione Gestire i criteri di protezione delle password Aggiornare le proprietà sensibili Eliminare e ripristinare gli utenti
Amministratore dell'autenticazione Sì per alcuni utenti Sì per alcuni utenti No No No Sì per alcuni utenti Sì per alcuni utenti
Amministratore autenticazione con privilegi Sì per tutti gli utenti Sì per tutti gli utenti No No No Sì per tutti gli utenti Sì per tutti gli utenti
Amministratore dei criteri di autenticazione No No No No
Amministratore utenti No No No No No Sì per alcuni utenti Sì per alcuni utenti

Importante

gli utenti con questo ruolo possono modificare le credenziali di utenti che possono avere accesso a dati sensibili, informazioni private o configurazioni critiche sia all'interno che all'esterno di Azure Active Directory. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero avere autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli amministratori dell'autenticazione. Tramite questo percorso un amministratore dell'autenticazione può assumere l'identità di un proprietario dell'applicazione e quindi presupporre ulteriormente l'identità di un'applicazione con privilegi aggiornando le credenziali per l'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Gruppo di sicurezza e Microsoft 365 proprietari del gruppo, che possono gestire l'appartenenza ai gruppi. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
  • Amministratori in altri servizi all'esterno di Azure Active Directory, ad esempio Exchange Online, Centro sicurezza e conformità di Office e sistemi di gestione delle risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.directory/users/authenticationMethods/create Creare metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/delete Eliminare i metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/standard/read Leggere le proprietà standard dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/basic/update Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti
microsoft.directory/deletedItems.users/restore Ripristinare lo stato originale degli utenti eliminati temporaneo
microsoft.directory/users/delete Eliminare gli utenti
microsoft.directory/users/disable Disabilitare gli utenti
microsoft.directory/users/enable Abilitare gli utenti
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconnescazione invalidando i token di aggiornamento utente
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire supporto tecnico di Azure ticket
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dei ruoli con privilegi

gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Azure Active Directory e in Azure AD Privileged Identity Management. Possono creare e gestire gruppi che possono essere assegnati ai ruoli di Azure AD. Inoltre, questo ruolo consente la gestione di tutti gli aspetti di Privileged Identity Management e delle unità amministrative.

Importante

Questo ruolo concede la possibilità di gestire le assegnazioni per tutti i ruoli di Azure AD, incluso il ruolo di Amministratore globale. Non prevede altre capacità con privilegi in Azure Active Directory, ad esempio la creazione o l'aggiornamento degli utenti. Tuttavia, gli utenti assegnati a questo ruolo possono concedere a se stessi o ad altri utenti privilegi aggiuntivi, perché possono assegnare ruoli aggiuntivi.

Azioni Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/read Leggere tutte le proprietà delle verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni di ruolo di Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi che sono assegnabili ai ruoli di Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Creare verifiche di accesso per l'appartenenza ai gruppi che sono assegnabili ai ruoli di Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Eliminare le verifiche di accesso per l'appartenenza ai gruppi che sono assegnabili ai ruoli di Azure AD
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza a Sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/administrativeUnits/allProperties/allTasks Creare e gestire le unità amministrative inclusi i membri
microsoft.directory/authorizationPolicy/allProperties/allTasks Gestire tutti gli aspetti dei criteri di autorizzazione
microsoft.directory/directoryRoles/allProperties/allTasks Creare ed eliminare i ruoli della directory e leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/create Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete Eliminare i gruppi assegnabili dal ruolo
microsoft.directory/groupsAssignableToRoles/restore Ripristinare i gruppi assegnabili dal ruolo
microsoft.directory/groupsAssignableToRoles/allProperties/update Aggiornare i gruppi assegnabili dal ruolo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Lettore di report

Gli utenti con questo ruolo possono visualizzare i dati dei report sull'utilizzo e il dashboard dei report nell'interfaccia di amministrazione di Microsoft 365 e in Adoption Content Pack in Power BI. Inoltre, il ruolo fornisce l'accesso a tutti i log di accesso, i log di controllo e i report attività in Azure AD e i dati restituiti dall'API di report di Graph Microsoft. Un utente assegnato al ruolo di lettore di report può accedere solo alle metriche rilevanti per utilizzo e adozione. Questi utenti non hanno le autorizzazioni di amministratore per configurare le impostazioni o accedere alle interfacce di amministrazione specifiche di prodotti come Exchange. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore della ricerca

Gli utenti con questo ruolo hanno accesso completo a tutte le funzionalità di gestione di Microsoft Search nell'interfaccia di amministrazione di Microsoft 365. Questi utenti possono anche visualizzare il centro messaggi, monitorare l'integrità del servizio e creare richieste di servizio.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Ricerca
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Editor della ricerca

Gli utenti in questo ruolo possono creare, gestire ed eliminare contenuto per Microsoft Ricerca nella interfaccia di amministrazione di Microsoft 365, inclusi segnalibri, Q&As e posizioni.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Ricerca
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore della protezione

Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità correlate alla sicurezza nel portale di Microsoft 365 Defender, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection e Office 365 Centro conformità della sicurezza&. Altre informazioni sulle autorizzazioni di Office 365 sono disponibili in Autorizzazioni nel Centro conformità sicurezza&.

In ingresso Operazione consentita
Centro sicurezza Microsoft 365 Monitorare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365
Gestire gli avvisi e le minacce alla sicurezza
Visualizzazione di report
Centro di Identity Protection Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Inoltre, eseguire tutte le operazioni di Identity Protection Center, tranne la reimpostazione delle password
Privileged Identity Management Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Non è consentito gestire le assegnazioni di ruolo o le impostazioni di Azure AD
sicurezza & Office 365 Centro conformità Gestire i criteri di sicurezza
Visualizzare, analizzare e rispondere alle minacce alla sicurezza
Visualizzazione di report
Azure Advanced Threat Protection Monitorare e rispondere alle attività sospette dal punto di vista della sicurezza
Microsoft Defender for Endpoint Assegnare ruoli
Gestire i gruppi di computer
Configurare il rilevamento delle minacce agli endpoint e le funzionalità automatizzate di correzione
Visualizzare, analizzare e rispondere agli avvisi
Visualizzare computer/inventario dispositivi
Intune Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione
Non è consentito apportare modifiche a Intune
Microsoft Defender for Cloud Apps Aggiungere amministratori, criteri e impostazioni, caricare i log ed eseguire azioni di governance
integrità del servizio Microsoft 365 Visualizzare l'integrità dei servizi Microsoft 365
Blocco intelligente Definire la soglia e la durata dei blocchi quando si verificano eventi di accesso non riuscito.
Password di protezione Configurare l'elenco delle password personalizzate escluse o la password di protezione locale.
Azioni Descrizione
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Azure AD dei criteri di accesso multi-tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aggiornare le impostazioni di connessione diretta di Azure AD B2B dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione tra cloud Teams dei criteri di accesso multi-tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Azure AD dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aggiornare le impostazioni di connessione diretta di Azure AD B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni di riunione tra cloud Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione dei diritti di Azure AD
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Azure AD Identity Protection
microsoft.directory/identityProtection/allProperties/update Aggiornare tutte le risorse in Azure AD Identity Protection
microsoft.directory/namedLocations/create Creare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/create Creare criteri in Azure AD
microsoft.directory/policies/delete Eliminare i criteri in Azure AD
microsoft.directory/policies/basic/update Aggiornare le proprietà di base nei criteri
microsoft.directory/policies/owners/update Aggiornare i proprietari dei criteri
microsoft.directory/policies/tenantDefault/update Aggiornare i criteri predefiniti dell'organizzazione
microsoft.directory/condizionalAccessPolicies/create Creare criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/delete Eliminare i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/standard/read Lettura dell'accesso condizionale per i criteri
microsoft.directory/condizionalAccessPolicies/owner/read Leggere i proprietari dei criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/basic/update Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/owner/update Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/tenantDefault/update Aggiornare il tenant predefinito per i criteri di accesso condizionale
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.protectionCenter/allEntities/standard/read Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/allEntities/basic/update Aggiornare le proprietà di base di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire i payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report delle risposte di simulazione degli attacchi e del training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Creare e gestire modelli di simulazione degli attacchi in Simulatore di attacco
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Operatore di sicurezza

Gli utenti con questo ruolo possono gestire gli avvisi e avere accesso di sola lettura globale alle funzionalità correlate alla sicurezza, incluse tutte le informazioni in Centro sicurezza Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management e Office 365 Centro conformità della sicurezza&. Altre informazioni sulle autorizzazioni di Office 365 sono disponibili in Autorizzazioni nel Centro conformità sicurezza&.

In ingresso Operazione consentita
Centro sicurezza Microsoft 365 Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per minacce alla sicurezza
Gestire le impostazioni di sicurezza nel Centro sicurezza
Azure AD Identity Protection Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Inoltre, la possibilità di eseguire tutte le operazioni di Identity Protection Center, ad eccezione della reimpostazione delle password e della configurazione dei messaggi di posta elettronica degli avvisi.
Privileged Identity Management Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
sicurezza & Office 365 Centro conformità Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Microsoft Defender for Endpoint Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo Lettore di sicurezza, perdono l'accesso fino a quando non vengono assegnati un ruolo di Microsoft Defender per endpoint.
Intune Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Microsoft Defender for Cloud Apps Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
integrità del servizio Microsoft 365 Visualizzare l'integrità dei servizi Microsoft 365
Azioni Descrizione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Azure AD Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.intune/allEntities/read Leggere tutte le risorse in Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Office 365 Centro conformità sicurezza &
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Defender per endpoint

Ruolo con autorizzazioni di lettura per la sicurezza

Gli utenti con questo ruolo hanno accesso di sola lettura globale alla funzionalità correlata alla sicurezza, incluse tutte le informazioni in Centro sicurezza Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management, nonché la possibilità di leggere i report di accesso e i log di controllo di Azure Active Directory e in sicurezza & Office 365 Centro conformità. Altre informazioni sulle autorizzazioni di Office 365 sono disponibili in Autorizzazioni nel Centro conformità sicurezza&.

In ingresso Operazione consentita
Centro sicurezza Microsoft 365 Visualizzare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365
Visualizzare gli avvisi e le minacce alla sicurezza
Visualizzazione di report
Centro di Identity Protection Leggere tutte le informazioni sulle impostazioni e sui report di sicurezza per le funzionalità di sicurezza
  • Filtro posta indesiderata
  • Crittografia
  • Prevenzione della perdita dei dati
  • Antimalware
  • Protezione avanzata dalle minacce
  • Anti-phishing
  • Regole del flusso di posta
Privileged Identity Management Ha accesso in sola lettura a tutte le informazioni presentate in Azure AD Privileged Identity Management: Criteri e report per le assegnazioni di ruolo e le verifiche della sicurezza di Azure AD.
Non è possibile iscriversi per Azure AD Privileged Identity Management o apportare modifiche. Nel portale di Privileged Identity Management o tramite PowerShell, un utente di questo ruolo può attivare ruoli aggiuntivi (ad esempio Amministratore globale o Amministratore ruolo con privilegi), se l'utente è idoneo per loro.
sicurezza & Office 365 Centro conformità Visualizzare i criteri di sicurezza
Visualizzare e analizzare le minacce alla sicurezza
Visualizzazione di report
Microsoft Defender for Endpoint Visualizzare e analizzare gli avvisi
Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo Lettore di sicurezza, perdono l'accesso fino a quando non vengono assegnati un ruolo di Microsoft Defender per endpoint.
Intune Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione. Non è consentito apportare modifiche a Intune.
Microsoft Defender for Cloud Apps Dispone delle autorizzazioni di lettura.
integrità del servizio Microsoft 365 Visualizzare l'integrità dei servizi Microsoft 365
Azioni Descrizione
microsoft.directory/accessReviews/definitions/allProperties/read Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse rivedibili in Azure AD
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione dei diritti di Azure AD
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Azure AD Identity Protection
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/policies/owners/read Leggere i proprietari dei criteri
microsoft.directory/policies/policyAppliedTo/read Leggere policies.policyAppliedTo, proprietà
microsoft.directory/condizionalAccessPolicies/standard/read Lettura dell'accesso condizionale per i criteri
microsoft.directory/condizionalAccessPolicies/owner/read Leggere i proprietari dei criteri di accesso condizionale
microsoft.directory/condizionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.office365.protectionCenter/allEntities/standard/read Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Leggere tutte le proprietà dei payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report delle risposte di simulazione degli attacchi e del training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Leggere tutte le proprietà dei modelli di simulazione degli attacchi in Simulatore di attacco
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore del supporto servizio

Gli utenti con questo ruolo possono creare e gestire richieste di supporto con Microsoft per Azure e Microsoft 365 servizi e visualizzare il dashboard del servizio e il centro messaggi nel portale di Azure e interfaccia di amministrazione di Microsoft 365. Per altre informazioni vedere Informazioni sui ruoli di amministratore.

Nota

In precedenza, questo ruolo era denominato "Amministratore del servizio" nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. È stato rinominato "Amministratore supporto del servizio" per allinearsi al nome esistente in Microsoft API Graph e Azure AD PowerShell.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di SharePoint

Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft SharePoint Online, quando il servizio è presente, nonché la possibilità di creare e gestire tutti i Microsoft 365 gruppi, gestire i ticket di supporto e monitorare l'integrità del servizio. Per altre informazioni vedere Informazioni sui ruoli di amministratore.

Nota

Nel Microsoft API Graph e Azure AD PowerShell questo ruolo viene identificato come "Amministratore del servizio SharePoint". È "Amministratore di SharePoint" nella portale di Azure.

Nota

Questo ruolo concede anche autorizzazioni con ambito all'Microsoft API Graph per Microsoft Intune, consentendo la gestione e la configurazione dei criteri correlati alle risorse di SharePoint e OneDrive.

Azioni Descrizione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/create Creare Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/delete Eliminare Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/restore Ripristinare Microsoft 365 gruppi da contenitori eliminati temporanea, esclusi i gruppi assegnabili da ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base in Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/members/update Aggiornare i membri dei gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/owner/update Aggiornare i proprietari di gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Skype for Business

gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft Skype for Business, quando il servizio è presente, nonché la possibilità di gestire gli attributi specifici per Skype in Azure Active Directory. Inoltre, questo ruolo concede la possibilità di gestire i ticket di supporto e monitorare l'integrità del servizio e di accedere all'interfaccia di amministrazione di Teams e Skype for Business. L'account deve anche avere una licenza per Teams. In caso contrario, non può eseguire i cmdlet di PowerShell per Teams. Per altre informazioni, vedere Amministratore Skype for Business Online. Per informazioni sulle licenze per Teams, vedere Licenze per i componenti aggiuntivi Skype for Business e Microsoft Teams

Nota

Nel Microsoft API Graph e Azure AD PowerShell questo ruolo viene identificato come "Amministratore del servizio Lync". È "amministratore Skype for Business" nella portale di Azure.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Teams

Gli utenti in questo ruolo possono gestire tutti gli aspetti del carico di lavoro di Teams Microsoft tramite l'interfaccia di amministrazione di Teams Microsoft Teams & Skype for Business e i rispettivi moduli di PowerShell. Sono inclusi, tra le altre aree, tutti gli strumenti di gestione correlati a telefonia, messaggistica, riunioni e i team stessi. Questo ruolo concede inoltre la possibilità di creare e gestire tutti i Microsoft 365 gruppi, gestire i ticket di supporto e monitorare l'integrità dei servizi.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/create Creare Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/delete Eliminare Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/restore Ripristinare Microsoft 365 gruppi da contenitori eliminati temporanea, esclusi i gruppi assegnabili da ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base in Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/members/update Aggiornare i membri dei gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/owner/update Aggiornare i proprietari di gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gestire tutte le risorse in Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione tra cloud Teams dei criteri di accesso multi-tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni di riunione tra cloud Teams dei criteri di accesso tra tenant per i partner

Amministratore comunicazioni Teams

Gli utenti in questo ruolo possono gestire gli aspetti del carico di lavoro Microsoft Teams correlati alla telefonia vocale&. Sono inclusi gli strumenti di gestione per l'assegnazione di numeri di telefono, i criteri per chiamate vocali e riunioni, nonché l'accesso completo al set di strumenti di analisi delle chiamate.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read Leggere tutti i dati nel dashboard qualità delle chiamate (CQD)
microsoft.teams/meetings/allProperties/allTasks Gestire riunioni, tra cui criteri di riunione, configurazioni e ponti di conferenza
microsoft.teams/voice/allProperties/allTasks Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione del numero di telefono

Tecnico di supporto comunicazioni Teams

Gli utenti di questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams Skype for Business usando gli strumenti di risoluzione dei problemi delle chiamate utente Microsoft nell'interfaccia di amministrazione di Teams && Skype for Business. Gli utenti in questo ruolo possono visualizzare informazioni complete sui record delle chiamate per tutti i partecipanti coinvolti. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read Leggere tutti i dati nel dashboard qualità delle chiamate (CQD)

Specialista di supporto comunicazioni Teams

Gli utenti di questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams Skype for Business usando gli strumenti di risoluzione dei problemi delle chiamate utente Microsoft nell'interfaccia di amministrazione di Teams && Skype for Business. Gli utenti con questo ruolo possono visualizzare i dettagli dell'utente nella chiamata per l'utente specifico cercato. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/standard/read Leggere i dati di base nel dashboard qualità delle chiamate (CQD)

Amministratore di dispositivi di Teams

Gli utenti con questo ruolo possono gestire i dispositivi certificati da Teams dall'interfaccia di amministrazione di Teams. Questo ruolo consente di visualizzare tutti i dispositivi a colpo d'occhio, con la possibilità di cercare e filtrare i dispositivi. L'utente può controllare i dettagli di ogni dispositivo, tra cui account connesso, make e modello del dispositivo. L'utente può modificare le impostazioni nel dispositivo e aggiornare le versioni software. Questo ruolo non concede le autorizzazioni per controllare l'attività di Teams e la qualità delle chiamate del dispositivo.

Azioni Descrizione
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/devices/standard/read Gestire tutti gli aspetti dei dispositivi certificati da Teams, inclusi i criteri di configurazione

Creatore tenant

Assegnare il ruolo Teant Creator agli utenti che devono eseguire le attività seguenti:

  • Creare sia Azure Active Directory che i tenant B2C di Azure Active Directory anche se l'attivazione del tenant viene disattivata nelle impostazioni utente

Nota

I creatori di tenant verranno assegnati al ruolo amministratore globale nei nuovi tenant creati.

Azioni Descrizione
microsoft.directory/tenantManagement/tenants/create Creare nuovi tenant in Azure Active Directory

Lettore report di riepilogo utilizzo

Gli utenti con questo ruolo possono accedere ai dati aggregati a livello di tenant e alle informazioni dettagliate associate in interfaccia di amministrazione di Microsoft 365 per Il punteggio di utilizzo e produttività, ma non possono accedere a dettagli o informazioni dettagliate a livello utente. In interfaccia di amministrazione di Microsoft 365 per i due report si differenziano tra i dati aggregati a livello di tenant e i dettagli a livello di utente. Questo ruolo offre un livello aggiuntivo di protezione sui singoli dati identificabili dell'utente, che è stato richiesto dai clienti e dai team legali.

Azioni Descrizione
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leggere report di utilizzo aggregati a livello di tenant Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore utenti

Assegnare il ruolo Amministratore utente agli utenti che devono eseguire le operazioni seguenti:

Autorizzazione Altre informazioni
Creare gli utenti
Aggiornare la maggior parte delle proprietà utente per tutti gli utenti, inclusi tutti gli amministratori Chi può eseguire azioni sensibili
Aggiornare le proprietà sensibili (incluso il nome dell'entità utente) per alcuni utenti Chi può eseguire azioni sensibili
Disabilitare o abilitare alcuni utenti Chi può eseguire azioni sensibili
Eliminare o ripristinare alcuni utenti Chi può eseguire azioni sensibili
Creare e gestire visualizzazioni utente
Creare e gestire tutti i gruppi
Assegnare licenze per tutti gli utenti, inclusi tutti gli amministratori
Reimpostare le password Chi può reimpostare le password
Token di aggiornamento invalidati Chi può reimpostare le password
Aggiornare le chiavi dispositivo (FIDO)
Aggiornare i criteri di scadenza delle password
Creare e gestire i ticket di supporto in Azure e il interfaccia di amministrazione di Microsoft 365
Monitorare l'integrità dei servizi

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile gestire l'autenticazione a più fattori.
  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile al ruolo.
  • Impossibile gestire le cassette postali condivise.

Importante

gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a dati sensibili, informazioni riservate o configurazioni critiche sia dall'interno che dall'esterno di Azure Active Directory. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero avere autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli utenti con ruolo di amministratore degli utenti. Ciò significa che un amministratore degli utenti potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Gruppo di sicurezza e Microsoft 365 proprietari di gruppi, che possono gestire l'appartenenza al gruppo. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
  • Amministratori in altri servizi all'esterno di Azure Active Directory, ad esempio Exchange Online, Centro sicurezza e conformità di Office e sistemi di gestione delle risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gestire le verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per le assegnazioni di ruolo di Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni dei pacchetti di accesso nella gestione dei diritti
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza a Security e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo.
microsoft.directory/accessReviews/definitions.groups/create Creare verifiche di accesso per l'appartenenza a Sicurezza e Microsoft 365 gruppi.
microsoft.directory/accessReviews/definitions.groups/delete Eliminare le verifiche di accesso per l'appartenenza a Sicurezza e Microsoft 365 gruppi.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza a Sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/contacts/create Creare contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base nei contatti
microsoft.directory/deletedItems.groups/restore Ripristinare i gruppi eliminati temporanea allo stato originale
microsoft.directory/deletedItems.users/restore Ripristinare gli utenti eliminati temporanea allo stato originale
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione dei diritti di Azure AD
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/create Creare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenza per le licenze basate su gruppo
microsoft.directory/groups/restore Ripristinare i gruppi dal contenitore eliminato temporanea
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/groupType/update Proprietà di aggiornamento che influiscono sul tipo di gruppo di gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/onPremWriteBack/update Aggiornare i gruppi di Azure Active Directory da scrivere in locale con Azure AD Connect
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups/settings/update Aggiornare le impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili di ruolo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
microsoft.directory/users/delete Eliminare gli utenti
microsoft.directory/users/disable Disabilitare gli utenti
microsoft.directory/users/enable Abilitare gli utenti
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/invalidateAllRefreshTokens Forzare l'disconnessamento invalidando i token di aggiornamento utente
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenza per gli utenti
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base sugli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore visite virtuali

Gli utenti con questo ruolo possono eseguire le attività seguenti:

  • Gestire e configurare tutti gli aspetti delle visite virtuali nelle prenotazioni nel interfaccia di amministrazione di Microsoft 365 e nel connettore EHR di Teams
  • Visualizzare i report sull'utilizzo per le visite virtuali nell'interfaccia di amministrazione di Teams, interfaccia di amministrazione di Microsoft 365 e PowerBI
  • Visualizzare le funzionalità e le impostazioni nella interfaccia di amministrazione di Microsoft 365, ma non è possibile modificare le impostazioni

Le visite virtuali sono un modo semplice per pianificare e gestire appuntamenti online e video per il personale e i partecipanti. Ad esempio, la segnalazione sull'utilizzo può mostrare come inviare messaggi di testo SMS prima che gli appuntamenti possano ridurre il numero di persone che non vengono visualizzate per gli appuntamenti.

Azioni Descrizione
microsoft.virtualVisits/allEntities/allProperties/allTasks Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Windows 365 amministratore

Gli utenti con questo ruolo dispongono di autorizzazioni globali per Windows 365 risorse, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi.

Questo ruolo può creare e gestire i gruppi di sicurezza, ma non dispone dei diritti di amministratore per Microsoft 365 gruppi. Ciò significa che gli amministratori non possono aggiornare i proprietari o le appartenenze di Microsoft 365 gruppi nell'organizzazione. Tuttavia, possono gestire il gruppo Microsoft 365 creato, che fa parte dei privilegi dell'utente finale. Pertanto, qualsiasi gruppo Microsoft 365 (non gruppo di sicurezza) creato viene conteggiato rispetto alla quota di 250.

Assegnare il ruolo amministratore di Windows 365 agli utenti che devono eseguire le attività seguenti:

  • Gestire Windows 365 PC cloud in Microsoft Endpoint Manager
  • Registrare e gestire i dispositivi in Azure AD, inclusi l'assegnazione di utenti e criteri
  • Creare e gestire gruppi di sicurezza, ma non gruppi assegnabili da ruoli
  • Visualizzare le proprietà di base nel interfaccia di amministrazione di Microsoft 365
  • Leggere i report sull'utilizzo nel interfaccia di amministrazione di Microsoft 365
  • Creare e gestire i ticket di supporto in Azure e il interfaccia di amministrazione di Microsoft 365
Azioni Descrizione
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristinare i dispositivi eliminati temporanea allo stato originale
microsoft.directory/devices/create Creare dispositivi (registrare in Azure AD)
microsoft.directory/devices/delete Eliminare i dispositivi da Azure AD
microsoft.directory/devices/disable Disabilitare i dispositivi in Azure AD
microsoft.directory/devices/enable Abilitare i dispositivi in Azure AD
microsoft.directory/devices/basic/update Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/extensionAttributeSet1/update Aggiornare l'estensioneAttribute1 alle proprietà extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update Aggiornare l'extensionAttribute6 alle proprietà extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update Aggiornare l'estensioneAttribute11 alle proprietà ExtensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update Aggiornare i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo
microsoft.directory/groups.security/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups.security/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/owner/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.security/visibility/update Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili di ruolo
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket di supporto tecnico di Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Windows Update amministratore distribuzione

Gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update for Business. Il servizio di distribuzione consente agli utenti di definire le impostazioni per quando e come vengono distribuiti gli aggiornamenti e specificare quali aggiornamenti vengono offerti ai gruppi di dispositivi nel tenant. Consente anche agli utenti di monitorare lo stato di avanzamento dell'aggiornamento.

Azioni Descrizione
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leggere e configurare tutti gli aspetti del servizio Windows Update

Amministratore di Yammer

Assegnare il ruolo amministratore di Yammer agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti di Yammer
  • Creare, gestire e ripristinare Gruppi di Microsoft 365, ma non gruppi assegnabili a ruoli
  • Visualizzare i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili di ruolo
  • Leggere i report sull'utilizzo nel interfaccia di amministrazione di Microsoft 365
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365
  • Visualizzare gli annunci nel Centro messaggi, ma non gli annunci di sicurezza
  • Visualizzare l'integrità dei servizi

Scopri di più

Azioni Descrizione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e Microsoft 365 gruppi, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/create Creare Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/delete Eliminare Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/restore Ripristinare Microsoft 365 gruppi da contenitori eliminati temporanea, esclusi i gruppi assegnabili da ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base in Microsoft 365 gruppi, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/members/update Aggiornare i membri dei gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo
microsoft.directory/groups.unified/owner/update Aggiornare i proprietari di gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire Microsoft 365 richieste di servizio
microsoft.office365.usageReports/allEntities/allProperties/read Leggere Office 365 report sull'utilizzo
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Yammer

Come comprendere le autorizzazioni del ruolo

Lo schema per le autorizzazioni segue in modo libero il formato REST di Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Ad esempio:

microsoft.directory/applications/credentials/update

Elemento Permission Descrizione
namespace Prodotto o servizio che espone l'attività ed è prependato con microsoft. Ad esempio, tutte le attività in Azure AD usano lo microsoft.directory spazio dei nomi.
Entità Funzionalità logica o componente esposto dal servizio in Microsoft Graph. Ad esempio, Azure AD espone utenti e gruppi, OneNote espone note e Exchange espone cassette postali e calendari. È presente una parola chiave speciale allEntities per specificare tutte le entità in uno spazio dei nomi. Questo viene spesso usato nei ruoli che consentono l'accesso a un intero prodotto.
Propertyset Proprietà o aspetti specifici dell'entità per cui viene concesso l'accesso. Ad esempio, microsoft.directory/applications/authentication/read concede la possibilità di leggere l'URL di risposta, l'URL di disconnessione e la proprietà flusso implicito nell'oggetto applicazione in Azure AD.
  • allProperties designa tutte le proprietà dell'entità, incluse le proprietà con privilegi.
  • standard designa le proprietà comuni, ma esclude quelli con privilegi correlati all'azione read . Ad esempio, microsoft.directory/user/standard/read include la possibilità di leggere proprietà standard come il numero di telefono pubblico e l'indirizzo di posta elettronica, ma non il numero di telefono secondario privato o l'indirizzo di posta elettronica usato per l'autenticazione a più fattori.
  • basic designa le proprietà comuni, ma esclude quelli con privilegi correlati all'azione update . Il set di proprietà che è possibile leggere può essere diverso da quello che è possibile aggiornare. Ecco perché ci sono standard parole chiave e basic per riflettere questo.
azione Operazione concessa, in genere creare, leggere, aggiornare o eliminare (CRUD). Esiste una parola chiave speciale allTasks per specificare tutte le abilità precedenti (creare, leggere, aggiornare ed eliminare).

Ruoli deprecati

I ruoli seguenti non devono essere usati. Questi ruoli sono stati deprecati e verranno rimossi da Azure Active Directory in futuro.

  • Amministratore di licenze ad hoc
  • Aggiunta di dispositivi
  • Gestione dispositivi
  • Utenti di dispositivi
  • Autore di utenti verificati tramite posta elettronica
  • Amministratore della cassetta postale
  • Aggiunta di dispositivi all'area di lavoro

Ruoli non visualizzati nel portale

Non tutti i ruoli restituiti da PowerShell o dall'API Microsoft Graph sono visibili nel portale di Azure. Nella tabella seguente sono riportate queste differenze in modo organizzato.

Nome API Nome portale di Azure Note
Aggiunta di dispositivi Deprecato Documentazione dei ruoli deprecati
Gestione dispositivi Deprecato Documentazione dei ruoli deprecati
Utenti di dispositivi Deprecato Documentazione dei ruoli deprecati
Account di sincronizzazione della directory Non viene visualizzato perché non deve essere usato Documentazione per gli account di sincronizzazione della directory
Utente guest Non viene visualizzato perché non può essere usato ND
Supporto di livello 1 partner Non viene visualizzato perché non deve essere usato Documentazione per Supporto partner - Livello 1
Supporto di livello 2 partner Non viene visualizzato perché non deve essere usato Documentazione per Supporto partner - Livello 2
Utente guest con restrizioni Non viene visualizzato perché non può essere usato ND
Utente Non viene visualizzato perché non può essere usato ND
Aggiunta di dispositivi all'area di lavoro Deprecato Documentazione dei ruoli deprecati

Chi può reimpostare le password

Nella tabella seguente le colonne elencano i ruoli che possono reimpostare le password e invalidare i token di aggiornamento. Le righe elencano i ruoli per i quali è possibile reimpostare la password.

La tabella seguente è per i ruoli assegnati all'ambito di un tenant. Per i ruoli assegnati all'ambito di un'unità amministrativa, si applicano ulteriori restrizioni.

Ruolo che la password può essere reimpostata Amministrazione password Supporto tecnico Amministrazione Autenticazione Amministrazione User Admin Autenticazione con privilegi Amministrazione Amministratore globale
Autenticazione Amministrazione     ✔️   ✔️ ✔️
Ruoli con autorizzazioni di lettura nella directory ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Amministratore globale         ✔️ ✔️*
Gruppi Amministrazione       ✔️ ✔️ ✔️
Mittente dell'invito guest ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Supporto tecnico Amministrazione   ✔️   ✔️ ✔️ ✔️
Ruolo con autorizzazioni di lettura per il Centro messaggi   ✔️ ✔️ ✔️ ✔️ ✔️
Amministrazione password ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Autenticazione con privilegi Amministrazione         ✔️ ✔️
Ruolo con privilegi Amministrazione         ✔️ ✔️
Lettore di report   ✔️ ✔️ ✔️ ✔️ ✔️
Utente
(nessun ruolo di amministratore)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Utente
(nessun ruolo di amministratore, ma membro o proprietario di un gruppo assegnabile al ruolo)
        ✔️ ✔️
User Admin       ✔️ ✔️ ✔️
Lettore report di riepilogo utilizzo   ✔️ ✔️ ✔️ ✔️ ✔️

* Un amministratore globale non può rimuovere la propria assegnazione di amministratore globale. Si tratta di evitare una situazione in cui un'organizzazione ha 0 amministratori globali.

Nota

La possibilità di reimpostare una password include la possibilità di aggiornare le proprietà sensibili seguenti necessarie per la reimpostazione della password self-service:

  • businessPhone
  • mobilePhone
  • otherMails

Chi può eseguire azioni sensibili

Alcuni amministratori possono eseguire le azioni sensibili seguenti per alcuni utenti. Tutti gli utenti possono leggere le proprietà sensibili.

Azione sensibile Nome della proprietà sensibile
Disabilitare o abilitare gli utenti accountEnabled
Aggiornare il telefono aziendale businessPhones
Aggiornare il telefono cellulare mobilePhone
Aggiornare l'ID non modificabile locale onPremisesImmutableId
Aggiornare altri messaggi di posta elettronica otherMails
Aggiornare il profilo password passwordProfile
Aggiornare il nome dell'entità utente userPrincipalName
Eliminare o ripristinare gli utenti Non applicabile

Nella tabella seguente le colonne elencano i ruoli che possono eseguire azioni sensibili. Le righe elencano i ruoli per i quali è possibile eseguire l'azione sensibile.

La tabella seguente è per i ruoli assegnati all'ambito di un tenant. Per i ruoli assegnati all'ambito di un'unità amministrativa, si applicano ulteriori restrizioni.

Ruolo che è possibile eseguire un'azione sensibile al momento Autenticazione Amministrazione User Admin Autenticazione con privilegi Amministrazione Amministratore globale
Autenticazione Amministrazione ✔️   ✔️ ✔️
Ruoli con autorizzazioni di lettura nella directory ✔️ ✔️ ✔️ ✔️
Amministratore globale     ✔️ ✔️
Gruppi Amministrazione   ✔️ ✔️ ✔️
Mittente dell'invito guest ✔️ ✔️ ✔️ ✔️
Supporto tecnico Amministrazione   ✔️ ✔️ ✔️
Ruolo con autorizzazioni di lettura per il Centro messaggi ✔️ ✔️ ✔️ ✔️
Amministrazione password ✔️ ✔️ ✔️ ✔️
Autenticazione con privilegi Amministrazione     ✔️ ✔️
Amministrazione ruolo con privilegi     ✔️ ✔️
Lettore di report ✔️ ✔️ ✔️ ✔️
Utente
(nessun ruolo di amministratore)
✔️ ✔️ ✔️ ✔️
Utente
(nessun ruolo di amministratore, ma membro o proprietario di un gruppo assegnabile al ruolo)
    ✔️ ✔️
User Admin   ✔️ ✔️ ✔️
Lettore report di riepilogo utilizzo ✔️ ✔️ ✔️ ✔️

Passaggi successivi