Ruoli predefiniti Microsoft Entra

Articolo
2025-01-08

Se in Microsoft Entra ID un altro amministratore o un utente non amministratore deve gestire le risorse di Microsoft Entra, è necessario assegnare loro un ruolo Microsoft Entra che fornisca le autorizzazioni necessarie. Ad esempio, è possibile assegnare ruoli per consentire l'aggiunta o la modifica degli utenti, la reimpostazione delle password utente, la gestione delle licenze utente o la gestione dei nomi di dominio.

Questo articolo elenca i ruoli predefiniti di Microsoft Entra che è possibile assegnare per consentire la gestione delle risorse di Microsoft Entra. Per informazioni su come assegnare ruoli, vedere Assegnare i ruoli di Microsoft Entra. Se si stanno cercando ruoli per gestire le risorse di Azure, vedere Ruoli predefiniti di Azure.

Tutti i ruoli

Ruolo	Descrizione	ID modello
Amministratore di intelligenza artificiale	Gestire tutti gli aspetti dei servizi aziendali correlati a Microsoft 365 Copilot e intelligenza artificiale in Microsoft 365.	d2562ede-74db-457e-a7b6-544e236ebb61
Amministratore di applicazioni	Può creare e gestire tutti gli aspetti delle registrazioni app e delle app aziendali.	9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Sviluppatore di applicazioni	Può creare registrazioni di applicazioni indipendentemente dall'impostazione 'Gli utenti possono registrare applicazioni'.	cf1c38e5-3621-4004-a7cb-879624dced7c
Autore del payload di attacco	Può creare payload di attacco che un amministratore può avviare successivamente.	9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Amministratore della simulazione di attacchi	Può creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi.	c430b396-e693-46cc-96f3-db01bf8bb62a
Amministratore assegnazione di attributi	Assegnare le chiavi e i valori degli attributi di sicurezza personalizzati agli oggetti di Microsoft Entra supportati.	58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lettore assegnazione attributi	Leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati.	ffd52fa5-98dc-465c-991d-fc073eb59f8f
Amministratore definizione di attributi	Definisce e gestisce la definizione degli attributi di sicurezza personalizzati.	8424c6f0-a189-499e-bbd0-26c1753c96d4
Lettore definizione di attributi	Legge la definizione degli attributi di sicurezza personalizzati.	1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Amministratore log attributi	Eseguire la lettura di log di controllo e configurare le impostazioni di diagnostica per gli eventi correlati agli attributi di sicurezza personalizzati.	5b784334-f94b-471a-a387-e7219fc49ca2
Lettore log attributi	Eseguire la lettura di log di controllo correlati agli attributi di sicurezza personalizzati	9c99539d-8186-4804-835f-fd51ef9e2dcd
amministratore del provisioning degli attributi	Leggere e modificare la configurazione del provisioning di tutti gli attributi di sicurezza personalizzati attivi per un'applicazione.	bce2c6bf-0ab6-418e-bd87-7986f8d63bbe
lettore di provisioning attributi	Leggere la configurazione del provisioning di tutti gli attributi di sicurezza personalizzati attivi per un'applicazione.	422218e4-db15-4ef9-bbe0-8afb41546d79
Amministratore dell'autenticazione	Può accedere per visualizzare, configurare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore.	c4e39bd9-1100-46d3-8c65-fb160da0071f
Amministratore dell'estendibilità dell'autenticazione	Personalizzare le esperienze di accesso e iscrizione per gli utenti creando e gestendo estensioni di autenticazione personalizzate.	25a516ed-2fa0-40ea-a2d0-12923a21473a
Amministratore dei criteri di autenticazione	Può creare e gestire i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant, i criteri di protezione delle password e le credenziali verificabili.	0526716b-113d-4c15-b2c8-68e3c22b9f80
Amministratore di Azure DevOps	Può gestire i criteri e le impostazioni di Azure DevOps.	e3973bdf-4987-49ae-837a-ba8e231c7286
Amministratore di Information Protection di Azure	Può gestire tutti gli aspetti del prodotto Azure Information Protection.	7495fdc4-34c4-4d15-a289-98788ce399fd
Amministratore del set di chiavi IEF B2C	Può gestire i segreti per la federazione e della crittografia in Identity Experience Framework (IEF).	aaf43236-0c0d-4d5f-883a-6955382ac081
Amministratore dei criteri IEF B2C	Può creare e gestire i criteri del framework attendibilità in Identity Experience Framework (IEF).	3edaf663-341e-4475-9f94-5c398ef6c070
Amministratore fatturazione	Può eseguire attività comuni relative alla fatturazione, ad esempio aggiornare le informazioni di pagamento.	b0f54661-2d74-4c50-afa3-1ec803f12efe
Amministratore di Cloud App Security	Può gestire tutti gli aspetti del prodotto Defender for Cloud Apps.	892c5842-a9a6-463a-8041-72aa08ca3cf6
Amministratore di applicazioni cloud	Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali, ad eccezione del Proxy di applicazione.	158c047a-c907-4556-b7ef-446551a6b5f7
Amministratore dispositivo cloud	Accesso limitato per gestire i dispositivi in Microsoft Entra ID.	7698a772-787b-4ac8-901f-60d6b08affd2
Amministratore di conformità	Può eseguire la lettura e gestire i report e la configurazione di conformità in Microsoft Entra ID e Microsoft 365.	17315797-102d-40b4-93e0-432062caca18
Amministratore dei dati sulla conformità	Creare e gestire i contenuti relativi alla conformità.	e6d1a23a-da11-4be4-9570-befc86d067a7
Amministratore dell’accesso condizionale	Può gestire le funzionalità di accesso condizionale.	b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Responsabile approvazione per l'accesso a Customer Lockbox	Può approvare le richieste di supporto tecnico di Microsoft per l'accesso ai dati dell’organizzazione dei clienti.	5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Amministratore Desktop Analytics	Può accedere a servizi e strumenti di gestione desktop e gestirli.	38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Amministratori che leggono la directory	Può leggere le informazioni base della directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e agli utenti guest.	88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Account di sincronizzazione della directory	Usato solo dal servizio Microsoft Entra Connect.	d29b2b05-8046-44ba-8758-1e26182fcf32
Amministratori che scrivono nella directory	Può leggere e scrivere le informazioni base della directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti.	9360feb5-f418-4baa-8175-e2a00bac4301
Amministratore dei nomi di dominio	Può gestire i nomi di dominio sul cloud e in locale.	8329153b-31d0-4727-b945-745eb3bc5f31
Amministratore di Dynamics 365	Può gestire tutti gli aspetti del prodotto Dynamics 365.	44367163-eba1-44c3-98af-f5787879f96a
Amministratore di Dynamics 365 Business Central	Può accedere ed eseguire tutte le attività amministrative in ambienti Dynamics 365 Business Central.	963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Amministratore Edge	Può gestire tutti gli aspetti di Microsoft Edge.	3f1acade-1e04-4fbc-9b69-f0302cd84aef
Amministratore di Exchange	Può gestire tutti gli aspetti del prodotto Exchange.	29232cdf-9323-42fd-ade2-1d097af3e4de
Amministratore destinatari di Exchange	Può creare o aggiornare i destinatari di Exchange Online all'interno dell'organizzazione di Exchange Online.	31392ffb-586c-42d1-9346-e59415a2cc4e
ID esterno - Amministratore dei flussi utente	Può creare e gestire tutti gli aspetti dei flussi utente.	6e591065-9bad-43ed-90f3-e9424366d2f0
ID esterno - Amministratore degli attributi dei flussi utente	Può creare e gestire lo schema dell'attributo disponibile per tutti i flussi utente.	0f971eea-41eb-4569-a71e-57bb8a3eff1e
Amministratore dei provider di identità esterni	Può configurare i provider di identità per l'uso nella federazione diretta.	be2f45a1-457d-42af-a067-6ec1fa63bc45
Amministratore di Fabric	Può gestire tutti gli aspetti dei prodotti Fabric e Power BI.	a9ea8996-122f-4c74-9520-8edcd192826c
Amministratore globale	Può gestire tutti gli aspetti di Microsoft Entra ID e dei servizi Microsoft che usano le identità di Microsoft Entra.	62e90394-69f5-4237-9190-012177145e10
Ruolo con autorizzazioni di lettura globali	Può leggere tutti gli elementi che possono essere letti da un amministratore globale ma non può aggiornare alcun elemento.	f2ef992c-3afb-46b9-b7cf-a126ee74c451
Amministratore accesso sicuro globale	Può creare e gestire tutti gli aspetti di Accesso a Internet di Microsoft Entra e Accesso privato di Microsoft Entra, inclusa la gestione dell'accesso agli endpoint pubblici e privati.	ac434307-12b9-4fa1-a708-88bf58caabc1
con autorizzazioni di lettura del log di accesso sicuro globale	Fornisce al personale di sicurezza designato l'accesso in sola lettura ai log del traffico di rete in Microsoft Entra Internet Access e Microsoft Entra Private Access per un'analisi dettagliata.	843318fb-79a6-4168-9e6f-aa9a07481cc4
Amministratore di gruppi	I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi.	fdd7a751-b60b-444a-984c-02652fe8fa1c
Mittente dell'invito guest	Può invitare utenti ospiti indipendentemente dall'impostazione “i membri possono invitare gli ospiti”.	95e79109-95c0-4d8e-aee3-d01accf2d47b
Amministratore di supporto tecnico	Può reimpostare le password per gli utenti non amministratori e gli amministratori supporto tecnico.	729827e3-9c14-49f7-bb1b-9608f156bbb8
Amministratore dell’identità ibrida	Gestire Active Directory per il provisioning cloud di Microsoft Entra, Microsoft Entra Connect, l'autenticazione pass-through (PTA), la sincronizzazione dell'hash delle password (PHS), l'accesso Single Sign-On facile (seamless SSO) e le impostazioni di federazione. Non ha accesso per gestire Microsoft Entra Connect Health.	8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Amministratore di Identity Governance	Gestire l'accesso usando Microsoft Entra ID per scenari di governance delle identità.	45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Amministratore informazioni dettagliate	Ha accesso amministrativo nell'app Microsoft 365 Insights.	eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analista di Insights	Può accedere alle capacità analitiche in Microsoft Viva Insights ed eseguire query personalizzate.	25df335f-86eb-4119-b717-0ff02de207e9
Insights Business Leader	Può visualizzare e condividere dashboard e informazioni dettagliate tramite l'app Microsoft 365 Insights.	31e939ad-9672-4796-9c2e-873181342d2d
Amministratore di Intune	Può gestire tutti gli aspetti del prodotto Intune.	3a2c62db-5318-420d-8d74-23affee5d9d5
amministratore dispositivi IoT	Effettuare il provisioning di nuovi dispositivi IoT, gestire il ciclo di vita, configurare i certificati e gestire i modelli di dispositivo.	2ea5ce4c-b2d8-4668-bd81-3680bd2d227a
Amministratore di Kaizala	Può gestire le impostazioni per Microsoft Kaizala.	74ef975b-6605-40af-a5d2-b9539d836353
Amministratore delle conoscenze	Può configurare le conoscenze, l'apprendimento e altre funzionalità intelligenti.	b5a8dcf3-09d5-43a9-a639-8e29ef291470
Responsabile delle conoscenze	Può organizzare, creare, gestire e promuovere argomenti e conoscenze.	744ec460-397e-42ad-a462-8b3f9747a02c
Amministratore licenze	Può gestire licenze dei prodotti per utenti e gruppi.	4d6ac14f-3453-41d0-bef9-a3e0c569773a
Amministratore flussi di lavoro del ciclo di vita	Può creare e gestire tutti gli aspetti dei flussi di lavoro e delle attività associate ai flussi di lavoro del ciclo di vita in Microsoft Entra ID.	59d46f88-662b-457b-bceb-5c3809e5908f
Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi	Può leggere messaggi di sicurezza e aggiornamenti solo nel Centro messaggi di Office 365.	ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Ruolo con autorizzazioni di lettura per il Centro messaggi	Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365.	790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
amministratore di backup di Microsoft 365	Eseguire il backup e il ripristino del contenuto nei servizi supportati (SharePoint, OneDrive ed Exchange Online) in Backup di Microsoft 365	1707125e-0aa2-4d4d-8655-a7c786c76a25
Amministratore della migrazione di Microsoft 365	Può eseguire tutte le funzionalità di migrazione per eseguire la migrazione del contenuto a Microsoft 365 usando Gestione migrazione.	8c8b803f-96e1-4129-9349-20738d9f9652
Amministratore locale del dispositivo aggiunto a Microsoft Entra	Gli utenti assegnati a questo ruolo vengono aggiunti al gruppo di amministratori locale nei dispositivi aggiunti a Microsoft Entra.	9f06204d-73c1-4d4c-880a-6edb90606fd8
Amministratore di Microsoft Graph Data Connect	Gestire gli aspetti del servizio Microsoft Graph Data Connect in un tenant.	EE67AA9C-E510-4759-B906-227085A7FD4D
Amministratore garanzie hardware Microsoft	Può creare e gestire tutti gli aspetti relativi alle attestazioni di garanzia e ai diritti per l'hardware prodotto da Microsoft, come Surface e HoloLens.	1501b917-7653-4ff9-a4b5-203eaf33784f
Specialista garanzie hardware Microsoft	Può creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens.	281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Amministratore di Commerce moderno	Può gestire gli acquisti commerciali per una società, un reparto o un team.	d24aef57-1500-4070-84db-2666f29cf966
Amministratore di rete	Può gestire i percorsi di rete ed esaminare le informazioni dettagliate sulla progettazione della rete aziendale per le applicazioni SaaS (Software as a Service) di Microsoft 365.	d37c8bed-0711-4417-ba38-b4abe66ce4c2
Amministratore delle app di Office	Può gestire servizi cloud per app di Office, inclusa la gestione di criteri e impostazioni, e può gestire la capacità di selezionare, deselezionare e pubblicare il contenuto della funzionalità "Novità" nei dispositivi dell'utente finale.	2b745bdf-0803-4d80-aa65-822c4493daac
Amministratore di personalizzazione dell'organizzazione	Può gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant.	92ed04bf-c94a-4b82-9729-b799a7a4c178
Responsabile approvazione dei messaggi dell'organizzazione	Può esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per la consegna nell'interfaccia di amministrazione di Microsoft 365 prima che vengano inviati agli utenti.	e48398e2-f4bb-4074-8f31-4586725e205b
Writer di messaggi dell'organizzazione	Può scrivere, pubblicare, gestire ed esaminare i messaggi dell'organizzazione per gli utenti finali tramite le superfici di prodotto Microsoft.	507f53e4-4e52-4077-abd3-d2e1558b6ea2
Supporto partner Livello 1	Non usare - non destinato all'uso generale.	4ba39ca4-527c-499a-b93d-d9b492c50246
Supporto partner Livello 2	Non usare - non destinato all'uso generale.	e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Amministratore di password	Può reimpostare le password per gli utenti non amministratori e gli utenti con il ruolo Amministratore password.	966707d0-3269-4727-9be2-8c3a10f19b9d
amministratore utenti	Gestire le foto del profilo di utenti e persone per tutti gli utenti dell'organizzazione.	024906de-61e5-49c8-8572-40335f1e0e10
Amministratore della gestione delle autorizzazioni	Può gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra.	af78dc32-cf4d-46f9-ba4e-4428526346b5
Amministratore di Power Platform	Può creare e gestire tutti gli aspetti di Microsoft Dynamics 365, Power Apps e Power Automate.	11648597-926c-4cf3-9c36-bcebb0ba8dcc
Amministratore stampante	Può gestire tutti gli aspetti delle stampanti e dei connettori delle stampanti.	644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Tecnico della stampante	Può registrare e annullare la registrazione delle stampanti e aggiornare lo stato della stampante.	e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Amministratore autenticazione con privilegi	Può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).	7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Amministratore ruolo con privilegi	Può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management.	e8611ab8-c189-46e8-94e1-60213ab1f814
Amministratore che legge i report	Può leggere i report delle informazioni di accesso e di controllo.	4a5d8f65-41da-4de4-8968-e035b65339cf
Amministratore della ricerca	Consente di creare e gestire tutti gli aspetti delle impostazioni di Microsoft Search.	0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor della ricerca	Può creare e gestire i contenuti editoriali, ad esempio segnalibri, domande e risposte, posizioni e planimetrie.	8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Amministratore della sicurezza	Può leggere i report e le informazioni di sicurezza e gestire la configurazione in Microsoft Entra ID e Office 365.	194ae4cb-b126-40b2-bd5b-6091b380977d
Operatore per la sicurezza	Creare e gestire gli eventi di sicurezza.	5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Ruolo con autorizzazioni di lettura per la sicurezza	È in grado di leggere le informazioni e i rapporti sulla sicurezza in Microsoft Entra ID e Office 365.	5d6b6bb7-de71-4623-b4af-96380a352509
Amministratore servizio di supporto	Può eseguire la lettura delle informazioni di integrità dei servizi e gestire i ticket di supporto.	f023fd81-a637-4b56-95fd-791ac0226033
Amministratore di SharePoint	Può gestire tutti gli aspetti del servizio SharePoint.	f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Amministratore di SharePoint Embedded	Gestire tutti gli aspetti dei contenitori di SharePoint Embedded.	1a7d78b6-429f-476b-b8eb-35fb715fffd4
Amministratore di Skype for Business	Può gestire tutti gli aspetti del prodotto Skype for Business.	75941009-915A-4869-abe7-691bff18279e
Amministratore di Teams	Può gestire il servizio Microsoft Teams.	69091246-20e8-4a56-aa4d-066075b2a7a8
Amministratore delle comunicazioni di Teams	Può gestire le funzionalità per chiamate e riunioni all'interno del servizio Microsoft Teams.	baf37b3a-610e-45da-9e62-d9d1e5e8914b
Tecnico supporto comunicazioni Teams	Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti avanzati.	f70938a0-fc10-4177-9e90-2178f8765737
Specialista supporto comunicazioni Teams	Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti di base.	fcf91098-03e3-41a9-b5ba-6f0ec818a12
Amministratore di dispositivi di Teams	Può eseguire attività correlate alla gestione nei dispositivi certificati di Teams.	3d762c5a-1b6c-493f-843e-55a3b42923d4
Amministratore di telefonia di Teams	Gestisce le funzionalità vocali e di telefonia e risolve i problemi di comunicazione all'interno del servizio Microsoft Teams.	aa38014f-0993-46e9-9b45-30501a20909d
Creatore tenant	Crea nuovi tenant di Microsoft Entra o Azure AD B2C.	112ca1a2-15ad-4102-995e-45b0bc479a6a
Lettore report di riepilogo utilizzo	Legge i report sull'utilizzo e il punteggio di adozione, ma non può accedere ai dettagli dell'utente.	75934031-6c7e-415a-99d7-48dbd49e875e
Amministratore utenti	Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per gli amministratori con limitazioni.	fe930be7-5e62-47db-91af-98c3a49a38b1
Responsabile del successo dell'esperienza utente	Visualizza il feedback del prodotto, i risultati dei sondaggi e i report per trovare opportunità di formazione e comunicazione.	27460883-1df1-4691-b032-3b79643e5e63
Amministratore di Visite virtuali	Gestisce e condivide le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali.	e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Amministratore tenant viva Glint	Gestire e configurare le impostazioni di Microsoft Viva Glint nell'interfaccia di amministrazione di Microsoft 365.	0ec3f692-38d6-4d14-9e69-0377ca7797ad
Amministratore Viva Goals	Gestisce e configura tutti gli aspetti di Microsoft Viva Goals.	92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse Administrator	Può gestire tutte le impostazioni dell'app Microsoft Viva Pulse.	87761b17-1ed2-4af3-9acd-92a150038160
Amministratore di Windows 365	Può effettuare il provisioning e gestire tutti gli aspetti dei Cloud PC.	11451d60-acb2-45eb-a7d6-43d0f0125c13
Amministratore della distribuzione di Windows Update	Può creare e gestire tutti gli aspetti delle distribuzioni di Windows Update attraverso il servizio di distribuzione di Windows Update per le aziende.	32696413-001a-46ae-978c-ce0f6b3620d2
Amministratore di Yammer	Gestisce tutti gli aspetti del servizio Yammer.	810a2642-a034-447f-a5e8-41beaa378541

Amministratore di intelligenza artificiale

Assegnare il ruolo di amministratore di intelligenza artificiale agli utenti che devono eseguire le attività seguenti:

Gestire tutti gli aspetti di Microsoft 365 Copilot
Gestire i servizi aziendali, l'estendibilità e gli agenti copilot correlati all'intelligenza artificiale dalla pagina App integrate nel interfaccia di amministrazione di Microsoft 365
Approvare e pubblicare agenti line-of-business copilot
Consentire agli utenti di installare un'app o installare un'app per gli utenti dell'organizzazione se l'app non richiede l'autorizzazione
Leggere e configurare i dashboard di integrità dei servizi di Azure e Microsoft 365
Visualizzare report sull'utilizzo, informazioni dettagliate sull'adozione e informazioni dettagliate sull'organizzazione
Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.copilot/allEntities/allProperties/allTasks	Creare e gestire tutte le impostazioni per Microsoft 365 Copilot
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.search/content/manage	Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di applicazioni

Si tratta di un ruolo con privilegi. gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Si noti che gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o nelle applicazioni aziendali.

Questo ruolo concede anche la possibilità di consentire le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Azure AD Graph e Microsoft Graph.

Importante

Questa eccezione significa che è comunque possibile consentire autorizzazioni dell'applicazione per altre app (altre applicazioni Microsoft, applicazioni di terze parti o applicazioni registrate dall'utente). È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio l'amministratore del ruolo con privilegi.

Questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. La possibilità di rappresentare l'identità dell'applicazione potrebbe costituire un'elevazione dei privilegi rispetto a quanto consentito all'utente tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update	Aggiornamento delle proprietà standard dei criteri dell'applicazione
microsoft.directory/politicheApplicazioni/crea	Creazione di criteri dell'applicazione
microsoft.directory/applicationPolicies/delete	Eliminazione dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read	Lettura dei proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/proprietari/aggiornamento	Aggiornamento della proprietà relativa al proprietario dei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read	Lettura dei criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/politicheApplicazione/standard/leggi	Lettura delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/applicationProxyAuthentication/aggiornamento	Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/applicationProxy/read	Lettura di tutte le proprietà del proxy dell'applicazione
microsoft.directory/applicazioni/applicationProxySslCertificate/aggiornamento	Aggiornamento delle impostazioni del certificato SSL per il proxy dell'applicazione
microsoft.directory/applications/applicationProxy/update	Aggiornamento di tutte le proprietà del proxy dell'applicazione
microsoft.directory/applications/applicationProxyUrlSettings/update	Aggiornamento delle impostazioni dell'URL per il proxy dell'applicazione
aggiornamentoRuoliApplicazione/directoryMicrosoft/applicazioni	Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applicazioni/pubblico/aggiornamento	Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applicazioni/autenticazione/aggiornamento	Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applicazioni/base/aggiorna	Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applicazioni/crea	Creazione di tutti i tipi di applicazioni
microsoft.directory/applications/credentials/update	Aggiornamento delle credenziali dell'applicazione
microsoft.directory/applicazioni/elimina	Eliminazione di tutti i tipi di applicazioni
microsoft.directory/applications/extensionProperties/update	Aggiornamento delle proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update	Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update	Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update	Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update (Note: As a URL, this remains the same unless context indicates otherwise.)	Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/synchronization/standard/read	Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applications/tag/update	Aggiornamento dei tag delle applicazioni
microsoft.directory/applications/verification/update	Aggiornamento della proprietà applicationsverification
microsoft.directory/modelliDiApplicazione/creaUn'istanza	Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/connectorGroups/allProperties/read	Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectorGroups/allProperties/update	Aggiornamento di tutte le proprietà dei gruppi di connettori del proxy dell'applicazione
microsoft.directory/connectorGroups/create	Creazione di gruppi di connettori di rete privata
microsoft.directory/connectorGroups/delete	Eliminare gruppi di connettori di rete privati
microsoft.directory/connectori/tutteProprietà/lettura	Leggere tutte le proprietà dei connettori di rete privata
microsoft.directory/connectors/create	Creare il connettore di rete privata
microsoft.diretory/estensioniDiAutenticazionePersonalizzate/tutteLeProprietà/tuttiIGiochi	Creazione e gestione di estensioni di autenticazione personalizzate
microsoft.directory/deletedItems.applications/delete	Eliminazione definitiva di applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/ripristina	Ripristino dello stato originale delle applicazioni eliminate temporaneamente
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/audience/update	Aggiornamento delle proprietà relative ai destinatari nelle entità servizio
Aggiorna l'autenticazione per i servicePrincipals nella directory Microsoft.	Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update	Aggiornamento delle proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/create	Creare entità servizio
microsoft.directory/entitàDiServizio/credenziali/aggiorna	Aggiornamento delle credenziali delle entità servizio
microsoft.directory/servicePrincipals/delete	Eliminazione delle entità servizio
microsoft.directory/servicePrincipals/disabilita	Disabilitazione delle entità servizio
microsoft.directory/servicePrincipals/enable	Abilitazione delle entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	Gestione delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/principaliDelServizio/gestioneCredenzialiSSOConPassword	Lettura delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	Concessione del consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/notes/update	Aggiornamento delle note delle entità servizio
microsoft.directory/servicePrincipals/owners/update	Aggiornamento dei proprietari nelle entità servizio
microsoft.directory/principaliDelServizio/permessi/aggiorna	Aggiornamento delle autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/aggiornare	Aggiornamento dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/gestire	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/principaliServizio/schemaSincronizzazione/gestione	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/leggi	Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/servicePrincipals/tag/update	Aggiornamento della proprietà tag per le entità servizio
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Sviluppatore di applicazioni

Si tratta di un ruolo con privilegi. gli utenti in questo ruolo possono creare registrazioni di applicazioni quando l'opzione "Gli utenti possono registrare applicazioni" è impostata su No. Questo ruolo concede anche l'autorizzazione per fornire il consenso per proprio conto quando l'opzione "Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto" è impostata su No. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazioni.

Azioni	Descrizione
microsoft.directory/applicazioni/creaComeProprietario	Creazione di tutti i tipi di applicazioni. L'autore viene aggiunto come primo proprietario
microsoft.directory/oAuth2PermissionGrants/createAsOwner	Creazione di concessioni di autorizzazioni OAuth 2.0. L'autore è il primo proprietario
microsoft.directory/servicePrincipals/createAsOwner	Creazione di entità servizio. L'autore è il primo proprietario

Autore del payload di attacco

Gli utenti con questo ruolo possono creare payload di attacco, ma non effettivamente avviarli o pianificarli. I payload di attacco sono quindi disponibili per tutti gli amministratori del tenant, che possono usarli per creare una simulazione. L'accesso ai report è limitato alle simulazioni eseguite dall'utente e questo ruolo non concede l'accesso a report aggregati, ad esempio Efficacia del training, Ripetizione di reati, Completamento training o Copertura utente.

Per altre informazioni, vedere questi articoli:

Azioni	Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Creare e gestire payload di attacco nel simulatore di attacchi
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Leggere i report della simulazione di attacchi, le risposte e il training associato

Amministratore della simulazione di attacchi

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti della creazione della simulazione di attacchi, l'avvio o la pianificazione di una simulazione e la revisione dei risultati della simulazione. I membri con questo ruolo hanno questo accesso a tutte le simulazioni nel tenant.

Per altre informazioni, vedere questi articoli:

Azioni	Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Creare e gestire payload di attacco nel simulatore di attacchi
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Leggere i report della simulazione di attacchi, le risposte e il training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	Creare e gestire modelli di simulazione di attacchi nel simulatore di attacchi

Amministratore assegnazione di attributi

Gli utenti con questo ruolo possono assegnare e rimuovere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati, come ad esempio utenti, entità servizio e dispositivi.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni	Descrizione
microsoft.directory/attributeSets/allProperties/read	Lettura di tutte le proprietà dei set di attributi
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read	Lettura dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update	Aggiornamento dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read	Lettura dei valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/dispositivi/customSecurityAttributes/aggiornamento	Aggiornamento dei valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/leggi	Lettura dei valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/servicePrincipals/customSecurityAttributes/update	Aggiornamento dei valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read	Lettura dei valori degli attributi di sicurezza personalizzati per gli utenti
microsoft.directory/users/customSecurityAttributes/update	Aggiornamento dei valori degli attributi di sicurezza personalizzati per gli utenti

Lettore assegnazione di attributi

Gli utenti con questo ruolo possono leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati.

Importante

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni	Descrizione
microsoft.directory/attributeSets/allProperties/read	Lettura di tutte le proprietà dei set di attributi
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read	Lettura dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read	Lettura dei valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/leggi	Lettura dei valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read	Lettura dei valori degli attributi di sicurezza personalizzati per gli utenti

Amministratore definizione di attributi

Gli utenti con questo ruolo possono definire un set valido di attributi di sicurezza personalizzati che possono essere assegnati agli oggetti supportati di Microsoft Entra. Questo ruolo può anche attivare e disattivare gli attributi di sicurezza personalizzati.

Importante

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni	Descrizione
microsoft.directory/attributeSets/allProperties/allTasks	Gestione di tutti gli aspetti dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks	Gestione di tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati

Lettore definizione di attributi

Gli utenti con questo ruolo possono leggere la definizione degli attributi di sicurezza personalizzati.

Importante

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni	Descrizione
microsoft.directory/attributeSets/allProperties/read	Lettura di tutte le proprietà dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate

Amministratore di log degli attributi

Assegnare il Ruolo con autorizzazioni di lettura per i log degli attributi agli utenti che devono eseguire le attività seguenti:

Lettura dei log di controllo per individuare le modifiche apportate ai valori degli attributi di sicurezza personalizzati
Lettura dei log di controllo per individuare le modifiche apportate alle definizioni degli attributi di sicurezza personalizzati
Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati

Gli utenti con questo ruolo non possono leggere i log di controllo relativi ad altri eventi.

Importante

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni	Descrizione
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks	Configurazione di tutti gli aspetti delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read	Lettura dei log di controllo correlati agli attributi di sicurezza personalizzati

Lettore log attributi

Assegnare il Ruolo con autorizzazioni di lettura per i log degli attributi agli utenti che devono eseguire le attività seguenti:

Lettura dei log di controllo per individuare le modifiche apportate ai valori degli attributi di sicurezza personalizzati
Lettura dei log di controllo per individuare le modifiche apportate alle definizioni degli attributi di sicurezza personalizzati

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati
Lettura dei log di controllo relativi ad altri eventi

Importante

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni	Descrizione
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read	Lettura dei log di controllo correlati agli attributi di sicurezza personalizzati

Amministratore provisioning attributi

Si tratta di un ruolo con privilegi. Assegnare il ruolo Di amministratore del provisioning degli attributi agli utenti che devono eseguire le attività seguenti:

Lettura e scrittura di mapping degli attributi per gli attributi di sicurezza personalizzati durante il provisioning in un'applicazione.
Leggere e scrivere log di provisioning e controllo per attributi di sicurezza personalizzati durante il provisioning in un'applicazione.

Gli utenti con questo ruolo non possono leggere i log di controllo per altri eventi. Questo ruolo deve essere usato insieme ai ruoli Amministratore applicazione cloud o Amministratore applicazioni (da meno a più con privilegi) per leggere le configurazioni di provisioning.

Importante

Questo ruolo non ha la possibilità di creare set di attributi di sicurezza personalizzati o di assegnare o aggiornare direttamente i valori degli attributi di sicurezza personalizzati per l'oggetto utente. Questo ruolo può configurare solo il flusso degli attributi di sicurezza personalizzati nell'app di provisioning.

Ulteriori informazioni

Azioni	Descrizione
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read	Leggere tutti gli attributi di sicurezza personalizzati nello schema di sincronizzazione
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/update	Aggiornare i mapping degli attributi di sicurezza personalizzati nello schema di sincronizzazione

Lettore provisioning attributi

Si tratta di un ruolo con privilegi. Assegnare il ruolo Lettore provisioning attributi agli utenti che devono eseguire le attività seguenti:

Leggere i mapping degli attributi per gli attributi di sicurezza personalizzati durante il provisioning in un'applicazione.
Leggere i log di provisioning e controllo per gli attributi di sicurezza personalizzati durante il provisioning in un'applicazione.

Ulteriori informazioni

Azioni	Descrizione
microsoft.directory/servicePrincipals/synchronization.customSecurityAttributes/schema/read	Leggere tutti gli attributi di sicurezza personalizzati nello schema di sincronizzazione

Amministratore dell'autenticazione

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore autenticazione agli utenti che devono eseguire le operazioni seguenti:

Impostare o reimpostare qualsiasi metodo di autenticazione, incluse le password, per gli utenti non amministratori e per alcuni ruoli. Per un elenco dei ruoli che un amministratore dell'autenticazione può leggere o per aggiornare i metodi di autenticazione, vedere Utenti autorizzati a reimpostare le password.
Richiedere agli utenti non amministratori o assegnati ad alcuni ruoli di eseguire di nuovo la registrazione con credenziali esistenti diverse dalle password (ad esempio, MFA o FIDO) e anche revocare l'opzione per la memorizzazione delle credenziali MFA, richiedendo l'autenticazione MFA all'accesso successivo.
Gestire le impostazioni MFA nel portale di gestione MFA legacy.
Eseguire azioni sensibili per alcuni utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.
Impossibile gestire i token OATH hardware.

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo	Gestione dei metodi di autenticazione dell'utente	Gestione di MFA per utente	Gestione delle impostazioni di MFA	Gestione dei criteri del metodo di autenticazione	Gestione dei criteri di protezione password	Aggiornamento delle proprietà sensibili	Eliminazione e ripristino degli utenti
Amministratore dell'autenticazione	Sì, per alcuni utenti	NO	NO	NO	NO	Sì, per alcuni utenti	Sì, per alcuni utenti
Amministratore autenticazione con privilegi	Sì, per tutti gli utenti	NO	NO	NO	NO	Sì, per tutti gli utenti	Sì, per tutti gli utenti
Amministratore dei criteri di autenticazione	NO	Sì	Sì	Sì	Sì	NO	NO
Amministratore utenti	NO	NO	NO	NO	NO	Sì, per alcuni utenti	Sì, per alcuni utenti

Importante

Gli utenti con questo ruolo possono modificare le credenziali di utenti che potrebbero accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere in Microsoft Entra ID e altrove autorizzazioni con privilegi non concesse agli amministratori dell'autenticazione. Questo significa che un amministratore dell'autenticazione può assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/deletedItems.users/restore	Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/users/authenticationMethods/basic/update	Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/create	Aggiornamento dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/delete	Eliminazione dei metodi di autenticazione per gli utenti
microsoft.directory/utenti/metodiAutenticazione/standard/letturaRistretta	Lettura delle proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/users/basic/update	Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/utenti/elimina	Eliminare utenti
microsoft.directory/utenti/disattiva	Disabilitazione degli utenti
microsoft.directory/users/enable	Abilitazione degli utenti
microsoft.directory/users/invalidateAllRefreshTokens	Forzatura della disconnessione invalidando i token di aggiornamento utente
microsoft.directory/users/manager/update	Gestione degli aggiornamenti per gli utenti
microsoft.directory/utenti/password/aggiornamento	Reimpostazione delle password per tutti gli utenti
microsoft.directory/users/restore	Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update	Aggiornamento del nome dell'entità utente degli utenti
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore dell'estendibilità dell'autenticazione

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore dell'estendibilità dell'autenticazione agli utenti che devono eseguire le operazioni seguenti:

Creare e gestire ogni aspetto delle estensioni di autenticazione personalizzate.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Non è possibile assegnare estensioni di autenticazione personalizzate alle applicazioni per modificare le esperienze di autenticazione e non è possibile concedere il consenso per le autorizzazioni dell'applicazione o creare registrazioni app associate all'estensione di autenticazione personalizzata. È invece necessario usare i ruoli Amministratore applicazione, Sviluppatore applicazione o Amministratore applicazione cloud.

Un'estensione di autenticazione personalizzata è un endpoint API creato da uno sviluppatore per gli eventi di autenticazione ed è registrato in Microsoft Entra ID. Gli amministratori e i proprietari di applicazioni possono usare estensioni di autenticazione personalizzate per personalizzare le esperienze di autenticazione dell'applicazione come le procedure di accesso, registrazione o reimpostazione della password.

Ulteriori informazioni

Azioni	Descrizione
microsoft.diretory/estensioniDiAutenticazionePersonalizzate/tutteLeProprietà/tuttiIGiochi	Creazione e gestione di estensioni di autenticazione personalizzate

Amministratore dei criteri di autenticazione

Assegnare il ruolo di Amministratore dei criteri di autenticazione agli utenti che devono eseguire le operazioni seguenti:

Configurare i criteri dei metodi di autenticazione, le impostazioni dell'autenticazione MFA a livello di tenant e i criteri della password di protezione che determinano i metodi che ogni utente può registrare e usare.
Gestire le impostazioni di protezione password: configurazioni di blocco intelligente e aggiornamento dell'elenco delle password vietate personalizzate.
Gestire le impostazioni MFA nel portale di gestione MFA legacy.
Creare e gestire credenziali verificabili.
Creare e gestire i ticket di supporto tecnico di Azure.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Aggiornamento delle proprietà sensibili. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
Eliminazione o ripristino di utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
Impossibile gestire i token OATH hardware.

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo	Gestione dei metodi di autenticazione dell'utente	Gestione di MFA per utente	Gestione delle impostazioni di MFA	Gestione dei criteri del metodo di autenticazione	Gestione dei criteri di protezione password	Aggiornamento delle proprietà sensibili	Eliminazione e ripristino degli utenti
Amministratore dell'autenticazione	Sì, per alcuni utenti	NO	NO	NO	NO	Sì, per alcuni utenti	Sì, per alcuni utenti
Amministratore autenticazione con privilegi	Sì, per tutti gli utenti	NO	NO	NO	NO	Sì, per tutti gli utenti	Sì, per tutti gli utenti
Amministratore dei criteri di autenticazione	NO	Sì	Sì	Sì	Sì	NO	NO
Amministratore utenti	NO	NO	NO	NO	NO	Sì, per alcuni utenti	Sì, per alcuni utenti

Azioni	Descrizione
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/organization/strongAuthentication/allTasks	Gestione di tutti gli aspetti delle proprietà di autenticazione avanzata di un'organizzazione
microsoft.directory/userCredentialPolicies/basic/update	Aggiornamento dei criteri di base per gli utenti
microsoft.directory/userCredentialPolicies/create	Creazione di criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/delete	Eliminazione dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/owners/read	Lettura dei proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/owners/update	Aggiornamento dei proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/policyAppliedTo/read	Lettura del collegamento di navigazione policy.appliesTo
microsoft.directory/userCredentialPolicies/standard/read	Lettura delle proprietà standard dei criteri delle credenziali per gli utenti
microsoft.directory/politicheCredenzialiUtente/defaultTenant/aggiornamento	Aggiornamento della proprietà policy.isOrganizationDefault
microsoft.directory/verificaableCredentials/configuration/allProperties/read	Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/allProperties/update	Aggiornamento della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/read	Lettura del contratto delle credenziali verificabili
microsoft.directory/verificheCredenziali/configuration/contracts/allProperties/update	Aggiornamento di un contratto delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/cards/allProperties/read	Lettura di una scheda delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/cards/revoke	Revoca di una scheda delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/create	Creazione di un contratto delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/create	Creazione della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/delete	Eliminazione della configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le rispettive credenziali verificabili

Amministratore di Azure DevOps

Gli utenti con questo ruolo possono gestire tutti i criteri di Azure DevOps aziendali applicabili a tutte le organizzazioni di Azure DevOps supportate da Microsoft Entra ID. Gli utenti con questo ruolo possono gestire questi criteri passando a qualsiasi organizzazione di Azure DevOps supportata da Microsoft Entra ID aziendale. In aggiunta, gli utenti con questo ruolo possono richiedere la proprietà delle organizzazioni Azure DevOps orfane. Questo ruolo non concede altre autorizzazioni specifiche di Azure DevOps (ad esempio Amministratori raccolta di progetti) all'interno di una delle organizzazioni di Azure DevOps supportate dall'organizzazione con Microsoft Entra aziendale.

Azioni	Descrizione
microsoft.azure.devOps/allEntities/allTasks	Leggere e configurare Azure DevOps

Amministratore di Information Protection di Azure

gli utenti con questo ruolo hanno tutte le autorizzazioni nel servizio Azure Information Protection. Questo ruolo consente di configurare etichette per i criteri di Azure Information Protection, gestire i modelli di protezione e attivare la protezione. Questo ruolo non concede alcuna autorizzazione in Microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender Portal o Portale di conformità di Microsoft Purview.

Azioni	Descrizione
microsoft.azure.informationProtection/allEntities/allTasks	Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore del set di chiavi IEF B2C

Si tratta di un ruolo con privilegi. L'utente può creare e gestire le chiavi dei criteri e i segreti per la crittografia dei token, le firme dei token e la crittografia/decrittografia delle attestazioni. Con l'aggiunta di nuove chiavi ai contenitori di chiavi esistenti, questo amministratore limitato può eseguire il rollover dei segreti in base alle esigenze senza effetti sulle applicazioni esistenti. Questo utente può visualizzare il contenuto completo di questi segreti e le relative date di scadenza anche dopo la loro creazione.

Importante

Si tratta di un ruolo sensibile. Il ruolo di amministratore dei set di chiavi deve essere controllato attentamente e assegnato con attenzione durante la pre-produzione e la produzione.

Azioni	Descrizione
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks	Leggere e configurare set di chiavi in Azure Active Directory B2C

Amministratore dei criteri IEF B2C

Gli utenti con questo ruolo hanno la possibilità di creare, leggere, aggiornare ed eliminare tutti i criteri personalizzati in Azure AD B2C e quindi di avere il controllo completo su Identity Experience Framework nell'organizzazione Azure AD B2C pertinente. Modificando i criteri, l'utente può stabilire una federazione diretta con provider di identità esterni, modificare lo schema della directory, modificare tutti i contenuti esposti agli utenti (HTML, CSS, JavaScript), modificare i requisiti per completare un'autenticazione, creare nuovi utenti, inviare dati utente a sistemi esterni, incluse migrazioni complete, e modificare tutte le informazioni utente, inclusi i campi sensibili come password e numeri di telefono. Viceversa, questo ruolo non può modificare le chiavi di crittografia o modificare i segreti usati per la federazione nell'organizzazione.

Importante

L'amministratore dei criteri IEF B2 è un ruolo estremamente sensibile da assegnare su base molto limitata per le organizzazioni in produzione. Le attività svolte da questi utenti devono essere controllate attentamente, soprattutto per le organizzazioni in produzione.

Azioni	Descrizione
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks	Leggere e configurare criteri personalizzati in Azure Active Directory B2C

Amministratore fatturazione

Può effettuare acquisti, gestire le sottoscrizioni e i ticket di supporto e monitorare l'integrità dei servizi.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks	Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.directory/organization/basic/update	Aggiornare le proprietà di base nell'organizzazione
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Cloud App Security

Gli utenti con questo ruolo dispongono di autorizzazioni complete nelle app Defender for Cloud. Possono aggiungere amministratori, criteri e impostazioni delle app Defender for Cloud, caricare i log ed eseguire azioni di governance.

Azioni	Descrizione
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di applicazioni cloud

Si tratta di un ruolo con privilegi. Gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle applicazioni aziendali e delle registrazioni dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

Importante

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update	Aggiornamento delle proprietà standard dei criteri dell'applicazione
microsoft.directory/politicheApplicazioni/crea	Creazione di criteri dell'applicazione
microsoft.directory/applicationPolicies/delete	Eliminazione dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read	Lettura dei proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/proprietari/aggiornamento	Aggiornamento della proprietà relativa al proprietario dei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read	Lettura dei criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/politicheApplicazione/standard/leggi	Lettura delle proprietà standard dei criteri dell'applicazione
aggiornamentoRuoliApplicazione/directoryMicrosoft/applicazioni	Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applicazioni/pubblico/aggiornamento	Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applicazioni/autenticazione/aggiornamento	Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applicazioni/base/aggiorna	Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applicazioni/crea	Creazione di tutti i tipi di applicazioni
microsoft.directory/applications/credentials/update	Aggiornamento delle credenziali dell'applicazione
microsoft.directory/applicazioni/elimina	Eliminazione di tutti i tipi di applicazioni
microsoft.directory/applications/extensionProperties/update	Aggiornamento delle proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update	Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update	Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update	Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update (Note: As a URL, this remains the same unless context indicates otherwise.)	Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/synchronization/standard/read	Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applications/tag/update	Aggiornamento dei tag delle applicazioni
microsoft.directory/applications/verification/update	Aggiornamento della proprietà applicationsverification
microsoft.directory/modelliDiApplicazione/creaUn'istanza	Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/deletedItems.applications/delete	Eliminazione definitiva di applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/ripristina	Ripristino dello stato originale delle applicazioni eliminate temporaneamente
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/audience/update	Aggiornamento delle proprietà relative ai destinatari nelle entità servizio
Aggiorna l'autenticazione per i servicePrincipals nella directory Microsoft.	Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update	Aggiornamento delle proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/create	Creare entità servizio
microsoft.directory/entitàDiServizio/credenziali/aggiorna	Aggiornamento delle credenziali delle entità servizio
microsoft.directory/servicePrincipals/delete	Eliminazione delle entità servizio
microsoft.directory/servicePrincipals/disabilita	Disabilitazione delle entità servizio
microsoft.directory/servicePrincipals/enable	Abilitazione delle entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	Gestione delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/principaliDelServizio/gestioneCredenzialiSSOConPassword	Lettura delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	Concessione del consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/notes/update	Aggiornamento delle note delle entità servizio
microsoft.directory/servicePrincipals/owners/update	Aggiornamento dei proprietari nelle entità servizio
microsoft.directory/principaliDelServizio/permessi/aggiorna	Aggiornamento delle autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/aggiornare	Aggiornamento dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/gestire	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/principaliServizio/schemaSincronizzazione/gestione	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/leggi	Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/servicePrincipals/tag/update	Aggiornamento della proprietà tag per le entità servizio
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore dispositivo cloud

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono abilitare, disabilitare ed eliminare dispositivi in Microsoft Entra ID e leggere le chiavi BitLocker per Windows 10 (se presenti) nel portale di Azure. Il ruolo non concede le autorizzazioni per gestire eventuali altre proprietà nel dispositivo.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read	Leggere i metadati e la chiave BitLocker nei dispositivi
microsoft.directory/deletedItems.devices/delete	Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore	Ripristino dello stato originale dei dispositivi eliminati temporaneamente
microsoft.directory/deviceLocalCredentials/password/read	Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/basic/update	Aggiornare le proprietà di base per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceManagementPolicies/standard/read	Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/basic/update	Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/standard/read	Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/delete	Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable	Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable	Abilitare il dispositivo in Microsoft Entra ID
microsoft.directory/devices/permissions/update	Aggiornare la proprietà del nome alternativo in un dispositivo IoT
microsoft.directory/deviceTemplates/owners/read	Leggere i proprietari nei modelli di dispositivo IoT (Internet of Things)
microsoft.directory/deviceTemplates/owners/update	Aggiornare i proprietari in internet delle cose (IoT) modelli di dispositivo
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365

Amministratore di conformità

Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità relative alla conformità nel portale di conformità di Microsoft Purview, nell’interfaccia di amministrazione di Microsoft 365, in Azure e nel portale di Microsoft 365 Defender. Gli assegnatari possono anche gestire tutte le funzionalità all'interno dell'interfaccia di amministrazione di Exchange e creare ticket di supporto per Azure e Microsoft 365. Per ulteriori informazioni, consultare Ruoli e gruppi di ruoli in Conformità a Microsoft Defender per Office 365 e Microsoft Purview.

In	Può eseguire
Portale di conformità di Microsoft Purview	Proteggere e gestire i dati dell'organizzazione in tutti i servizi di Microsoft 365 Gestire gli avvisi di conformità
Microsoft Purview Compliance Manager	Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
Portale di Microsoft 365 Defender	Gestire la governance dei dati Eseguire analisi sui dati e di carattere legale Gestire le richieste di soggetti interessati Questo ruolo dispone delle stesse autorizzazioni del gruppo di ruoli Amministratore di conformità nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender.
Intune	Visualizzare tutti i dati di controllo di Intune
Microsoft Defender per le app cloud	Disporre di autorizzazioni di sola lettura e gestire gli avvisi Creare e modificare i criteri di file e consentire azioni di governance sui file Visualizzare tutti i report predefiniti in Gestione dati

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/entitlementManagement/allProperties/read	Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks	Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore dei dati sulla conformità

Gli utenti con questo ruolo hanno le autorizzazioni per tenere traccia dei dati nel portale di conformità Microsoft Purview, nell'interfaccia di amministrazione di Microsoft 365 e in Azure. Gli utenti possono anche tenere traccia dei dati di conformità all'interno dell'interfaccia di amministrazione di Exchange, in Compliance Manager, nell'interfaccia di amministrazione di Teams e Skype for Business, nonché creare ticket di supporto per Azure e Microsoft 365. Per ulteriori informazioni sulle differenze tra l'amministratore di conformità e l'amministratore dei dati sulla conformità, consultare Ruoli e gruppi di ruoli in Conformità a Microsoft Defender per Office 365 e Microsoft Purview.

In	Può eseguire
Portale di conformità di Microsoft Purview	Monitorare i criteri correlati alla conformità in tutti i servizi di Microsoft 365 Gestire gli avvisi di conformità
Microsoft Purview Compliance Manager	Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
Portale di Microsoft 365 Defender	Gestire la governance dei dati Eseguire analisi sui dati e di carattere legale Gestire le richieste di soggetti interessati Questo ruolo dispone delle stesse autorizzazioni del gruppo di ruoli Amministratore dei dati sulla conformità nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender.
Intune	Visualizzare tutti i dati di controllo di Intune
Microsoft Defender per le app cloud	Disporre di autorizzazioni di sola lettura e gestire gli avvisi Creare e modificare i criteri di file e consentire azioni di governance sui file Visualizzare tutti i report predefiniti in Gestione dati

Azioni	Descrizione
microsoft.azure.informationProtection/allEntities/allTasks	Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.office365.complianceManager/allEntities/allTasks	Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore accesso condizionale

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno la possibilità di gestire le impostazioni di accesso condizionale di Microsoft Entra.

Azioni	Descrizione
microsoft.directory/policies/conditionalAccess/basic/update	Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/create	Creare criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/delete	Eliminare criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/read	Elencare tutti i criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/update	Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read	Leggere l'accesso condizionale per i criteri
microsoft.directory/policies/conditionalAccess/tenantDefault/update	Aggiornare il tenant predefinito per i criteri di accesso condizionale
microsoft.directory/namedLocations/basic/update	Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/create	Creare regole personalizzate per definire i percorsi di rete
microsoft.directory/namedLocations/delete	Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read	Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/aggiornamento	Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365

Responsabile approvazione accesso a Customer Lockbox

Gestisce le richieste di Microsoft Purview Customer Lockbox nell'organizzazione. Gli utenti con questo ruolo ricevono notifiche di posta elettronica per le richieste Customer Lockbox e possono approvare e rifiutare le richieste dall'interfaccia di amministrazione di Microsoft 365. Possono anche attivare o disattivare la funzionalità Customer Lockbox. Solo gli Amministratori globali possono reimpostare le password degli utenti a cui è assegnato questo ruolo.

Azioni	Descrizione
microsoft.office365.lockbox/allEntities/allTasks	Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore Desktop Analytics

Gli utenti in questo ruolo possono gestire il servizio Desktop Analytics. Tale servizio include la possibilità di visualizzare l'inventario degli asset, creare piani di distribuzione e visualizzare lo stato della distribuzione e dell'integrità.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.desktopAnalytics/allEntities/allTasks	Gestire tutti gli aspetti di Desktop Analytics

Amministratori che leggono la directory

Gli utenti con questo ruolo possono leggere le informazioni di base della directory. Questo ruolo deve essere usato per:

Concedere l'accesso in lettura a un set specifico di utenti guest anziché concederlo a tutti gli utenti guest.
Concedere a un set specifico di utenti non amministratori l'accesso al portale di Microsoft Entra quando l'opzione “Limitare l'accesso all’Interfaccia di amministrazione di Microsoft Entra” è impostata su “Sì”.
Concedere alle entità servizio l'accesso alla directory in cui Directory.Read.All non è un'opzione.

Azioni	Descrizione
microsoft.directory/administrativeUnits/members/read	Leggere i membri delle unità amministrative
microsoft.directory/administrativeUnits/standard/read	Leggere le proprietà di base nelle unità amministrative
microsoft.directory/politicheApplicazione/standard/leggi	Lettura delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/owners/read	Leggere i proprietari delle applicazioni
microsoft.directory/applications/policies/read	Leggere i criteri delle applicazioni
microsoft.directory/applications/standard/read	Lettura delle proprietà standard dell'applicazione
microsoft.directory/contacts/memberOf/read	Leggere l'appartenenza al gruppo per tutti i contatti in Microsoft Entra ID
microsoft.directory/contacts/standard/read	Leggere le proprietà di base sui contatti in Microsoft Entra ID
microsoft.directory/contracts/basic/read	Leggere le proprietà di base sui contratti partner
microsoft.directory/devices/memberOf/read	Leggere le appartenenze dei dispositivi
microsoft.directory/devices/registeredOwners/read	Leggere i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/read	Leggere gli utenti registrati dei dispositivi
microsoft.directory/devices/standard/read	Leggere le proprietà di base nei dispositivi
microsoft.directory/directoryRoles/eligibleMembers/read	Leggere i membri idonei dei ruoli di Microsoft Entra
microsoft.directory/directoryRoles/members/read	Leggere tutti i membri dei ruoli di Microsoft Entra
microsoft.directory/directoryRoles/standard/read	Leggere le proprietà di base dei ruoli di Microsoft Entra
microsoft.directory/domains/standard/read	Leggere le proprietà di base nei domini
microsoft.directory/groups/appRoleAssignments/read	Recupera l'assegnazione di ruolo applicazione di un gruppo
microsoft.directory/groupSettings/standard/read	Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read	Lettura delle proprietà di base sui modelli di impostazione del gruppo
microsoft.directory/groups/memberOf/read	Eseguire la lettura di membri dei gruppi di sicurezza sulle proprietà e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/members/read	Eseguire la lettura di membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/owners/read	Eseguire la lettura dei proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/settings/read	Leggere le impostazioni dei gruppi
microsoft.directory/groups/standard/read	Leggere le proprietà standard dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/oAuth2PermissionGrants/basic/read	Leggere le proprietà di base nelle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/standard/read	Lettura delle proprietà di base in un'organizzazione
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read	Leggere le autorità di certificazione attendibili per l'autenticazione senza password
microsoft.directory/roleAssignments/basic/read	Lettura delle proprietà di base per le assegnazioni di ruolo
microsoft.directory/roleDefinitions/standard/read	Lettura delle proprietà di base nelle definizioni dei ruoli
microsoft.directory/servicePrincipals/appRoleAssignedTo/read	Lettura delle assegnazioni di ruolo delle entità servizio.
microsoft.directory/servicePrincipals/appRoleAssignments/lettura	Lettura delle assegnazioni di ruolo assegnate a entità servizio
microsoft.directory/servicePrincipals/memberOf/read	Lettura delle appartenenze ai gruppi nelle entità servizio
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/lettura	Lettura delle concessioni di autorizzazioni delegate nelle entità servizio
microsoft.directory/servicePrincipals/ownedObjects/read	Leggere gli oggetti di proprietà delle entità servizio
microsoft.directory/servicePrincipals/owners/read	Lettura dei proprietari nelle entità servizio
microsoft.directory/servicePrincipals/policies/read	Lettura dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/standard/read	Lettura delle proprietà standard delle entità servizio
microsoft.directory/subscribedSkus/standard/read	Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/appRoleAssignments/read	Eseguire la lettura delle assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read	Eseguire la lettura deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read	Leggere i report diretti per gli utenti
microsoft.directory/users/invitedBy/read	Lettura dell'utente che ha invitato un utente esterno a un tenant
microsoft.directory/users/licenseDetails/read	Eseguire la lettura dei dettagli delle licenze degli utenti
microsoft.directory/users/manager/read	Leggere Manager degli utenti
microsoft.directory/users/memberOf/read	Lettura delle appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read	Lettura delle concessioni di autorizzazioni delegate agli utenti
microsoft.directory/users/ownedDevices/read	Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read	Lettura degli oggetti di proprietà degli utenti
microsoft.directory/users/photo/read	Lettura della foto degli utenti
microsoft.directory/users/registeredDevices/read	Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read	Eseguire la lettura dell'appartenenza di un utente a un ruolo di Microsoft Entra, che ha come ambito un'unità amministrativa
microsoft.directory/users/sponsors/read	Leggere gli sponsor degli utenti
microsoft.directory/users/standard/read	Lettura delle proprietà di base per gli utenti

Account di sincronizzazione della directory

Non utilizzare. Questo ruolo viene assegnato automaticamente al servizio Microsoft Entra Connect e non è progettato o supportato per altri usi.

Azioni	Descrizione
microsoft.directory/onPremisesSynchronization/standard/read	Leggere e gestire gli oggetti per abilitare la sincronizzazione della directory locale

Amministratori che scrivono nella directory

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono leggere e aggiornare le informazioni di base di utenti, gruppi ed entità servizio.

Azioni	Descrizione
microsoft.directory/applications/extensionProperties/update	Aggiornamento delle proprietà dell'estensione nelle applicazioni
microsoft.directory/contacts/create	Creazione di contatti
microsoft.directory/groups/assignLicense	Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/basic/update	Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/classification/update	Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/create	Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.aad.directory/groups/dynamicMembershipRule/update	Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groupSettings/basic/update	Aggiornare le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettings/create	Creare le impostazioni dei gruppi
microsoft.directory/groupSettings/delete	Eliminare le impostazioni dei gruppi
microsoft.directory/groups/groupType/update	Aggiornamento delle proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a un ruolo
microsoft.directory/gruppi/membri/aggiornamento	Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/onPremWriteBack/update	Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect
microsoft.directory/gruppi/proprietari/aggiornamento	Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment	Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/gruppi/impostazioni/aggiorna	Aggiornamento delle impostazioni dei gruppi
microsoft.directory/groups/visibility/update	Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/oAuth2PermissionGrants/basic/update	Aggiornamento delle concessioni di autorizzazione OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/createAsOwner	Creazione di concessioni di autorizzazione OAuth 2.0
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/gestire	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/principaliServizio/schemaSincronizzazione/gestione	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/users/assignLicense	Gestire le licenze utente
microsoft.directory/users/basic/update	Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/create	Aggiungere utenti
microsoft.directory/utenti/disattiva	Disabilitazione degli utenti
microsoft.directory/users/enable	Abilitazione degli utenti
microsoft.directory/users/invalidateAllRefreshTokens	Forzatura della disconnessione invalidando i token di aggiornamento utente
microsoft.directory/users/inviteGuest	Invitare gli utenti guest
microsoft.directory/users/manager/update	Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/photo/update	Aggiornare la foto degli utenti
microsoft.directory/users/reprocessLicenseAssignment	Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/sponsors/update	Aggiornare gli sponsor degli utenti
microsoft.directory/users/userPrincipalName/update	Aggiornamento del nome dell'entità utente degli utenti

Amministratore del nome di dominio

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire, ovvero leggere, aggiungere, verificare, aggiornare ed eliminare, i nomi di dominio. Possono anche leggere le informazioni della directory su utenti, gruppi e applicazioni, in quanto questi oggetti possiedono dipendenze di dominio. Per gli ambienti locali, gli utenti con questo ruolo possono configurare i nomi di dominio per la federazione in modo che gli utenti associati siano sempre autenticati in locale. Questi utenti possono quindi accedere ai servizi basati su Microsoft Entra con le password locali tramite l'accesso Single Sign-On. Le impostazioni di federazione devono essere sincronizzate tramite Microsoft Entra Connect in modo che gli utenti dispongano anche delle autorizzazioni per gestire Microsoft Entra Connect.

Azioni	Descrizione
microsoft.directory/domains/allProperties/allTasks	Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Dynamics 365

Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Dynamics 365 Online, quando il servizio è presente, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per maggiori informazioni consultare Utilizzare i ruoli di amministratore del servizio per gestire il tenant

Nota

Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Dynamics 365. Nel portale di Azure si chiama Amministratore di Dynamics 365.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.dynamics365/allEntities/allTasks	Gestione di tutti gli aspetti di Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Dynamics 365 Business Central

Assegnazione del ruolo di amministratore di Dynamics 365 Business Central agli utenti che devono eseguire le attività seguenti:

Accedere agli ambienti Dynamics 365 Business Central
Eseguire tutte le attività amministrative negli ambienti
Gestire il ciclo di vita degli ambienti del cliente
Eseguire la supervisione delle estensioni installate negli ambienti
Controllare gli aggiornamenti degli ambienti
Eseguire esportazioni di dati di ambienti
Leggere e configurare i dashboard di integrità dei servizi di Azure e Microsoft 365

Questo ruolo non fornisce autorizzazioni per altri prodotti Dynamics 365.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/domains/standard/read	Leggere le proprietà di base nei domini
microsoft.directory/organization/standard/read	Lettura delle proprietà di base in un'organizzazione
microsoft.directory/subscribedSkus/standard/read	Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/standard/read	Lettura delle proprietà di base per gli utenti
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks	Gestione di tutti gli aspetti di Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore Edge

Gli utenti con questo ruolo possono creare e gestire l'elenco dei siti aziendali richiesto per la modalità Internet Explorer in Microsoft Edge. Questo ruolo concede le autorizzazioni per creare, modificare e pubblicare l'elenco dei siti e consente inoltre l'accesso per gestire i ticket di supporto.

Ulteriori informazioni

Azioni	Descrizione
microsoft.edge/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Exchange

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Exchange Online, quando il servizio è presente. Consente anche di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

Nell'API Microsoft Graph e in Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Exchange. Nel portale di Azure è chiamato Amministratore di Exchange. Nella interfaccia di amministrazione di Exchange è chiamato amministratore di Exchange Online.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks	Creare e gestire i criteri di protezione di Exchange Online in Microsoft 365 Backup
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks	Leggere e configurare la sessione di ripristino per Exchange Online in Microsoft 365 Backup
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks	Gestire tutti i punti di ripristino associati alle cassette postali di Exchange Online selezionate in Backup di M365
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks	Gestire le cassette postali aggiunte ai criteri di protezione di Exchange Online in Microsoft 365 Backup
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks	Gestire le cassette postali aggiunte per ripristinare la sessione per Exchange Online in Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read	Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update	Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create	Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete	Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update	Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update	Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore	Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.office365.exchange/allEntities/allTasks	Gestire tutti gli aspetti di Exchange Online
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore destinatario di Exchange

Gli utenti con questo ruolo hanno accesso in lettura ai destinatari e accesso in scrittura agli attributi di tali destinatari in Exchange Online. Per altre informazioni, consultare Destinatari in Exchange Server.

Azioni	Descrizione
microsoft.office365.exchange/migration/allProperties/allTasks	Gestione di tutte le attività correlate alla migrazione di destinatari in Exchange Online
microsoft.office365.exchange/recipients/allProperties/allTasks	Creazione ed eliminazione di tutti i destinatari e lettura e aggiornamento di tutte le proprietà dei destinatari in Exchange Online

Amministratore dei flussi utente ID esterno

Gli utenti con questo ruolo possono creare e gestire i flussi utente, detti anche criteri "predefiniti", nel portale di Azure. Questi utenti possono personalizzare il contenuto HTML/CSS/JavaScript, modificare i requisiti dell'autenticazione a più fattori, selezionare le attestazioni nel token, gestire i connettori API e le relative credenziali e configurare le impostazioni di sessione per tutti i flussi utente nell'organizzazione di Microsoft Entra. D'altra parte, questo ruolo non include la possibilità di esaminare i dati dell'utente o di apportare modifiche agli attributi inclusi nello schema dell'organizzazione. Anche le modifiche ai criteri di Identity Experience Framework, noti anche come criteri personalizzati, non rientrano nell'ambito di questo ruolo.

Azioni	Descrizione
microsoft.directory/b2cUserFlow/allProperties/allTasks	Leggere e configurare i flussi utente in Azure Active Directory B2C

Amministratore degli attributi dei flussi utente ID esterno

Gli utenti con questo ruolo aggiungono o eliminano attributi personalizzati disponibili per tutti i flussi utente nell'organizzazione di Microsoft Entra. Gli utenti con questo ruolo possono quindi modificare o aggiungere nuovi elementi allo schema degli utenti finali e influire sul comportamento di tutti i flussi utente, causando indirettamente modifiche ai dati che possono essere richiesti agli utenti finali e inviati infine come attestazioni alle applicazioni. Questo ruolo non può modificare i flussi utente.

Azioni	Descrizione
microsoft.directory/b2cUserAttribute/allProperties/allTasks	Leggere e configurare gli attributi utente in Azure Active Directory B2C

Amministratore dei provider di identità esterni

Si tratta di un ruolo con privilegi. Questo amministratore gestisce la federazione tra le organizzazioni di Microsoft Entra e i provider di identità esterni. Con questo ruolo gli utenti possono aggiungere nuovi provider di identità e configurare tutte le impostazioni disponibili (ad esempio percorso di autenticazione, ID del servizio e contenitori di chiavi assegnati). Questo utente può consentire all'organizzazione Microsoft Entra di considerare attendibili le autenticazioni da provider di identità esterni. L'impatto risultante sulle esperienze degli utenti finali dipende dal tipo di organizzazione:

Organizzazioni Microsoft Entra per dipendenti e partner: l'aggiunta di una federazione, ad esempio con Gmail, influisce immediatamente su tutti gli inviti guest non ancora riscattati. Vedere Aggiungere Google come provider di identità per utenti guest B2B.
Organizzazioni Azure Active Directory B2C: L'aggiunta di una federazione, ad esempio con Facebook o con un'altra organizzazione Microsoft Entra, non ha un impatto immediato sui flussi degli utenti finali fino all'aggiunta del provider di identità come opzione in un flusso utente, definito anche criterio predefinito. Per un esempio, vedere Configurazione di un account Microsoft come provider di identità. Per modificare i flussi utente, è necessario il ruolo limitato di "Amministratore dei flussi utente B2C".

Azioni	Descrizione
microsoft.directory/domains/federation/update	Aggiornare la proprietà federativa dei domini
microsoft.directory/identityProviders/allProperties/allTasks	Leggere e configurare i provider di identità in Azure Active Directory B2C

Amministratore di Fabric

Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Fabric e Power BI, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per maggiori informazioni, consultareRiconoscere i ruoli di amministratore di Fabric.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks	Gestire tutti gli aspetti di Fabric e Power BI

Amministratore globale

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Microsoft Entra ID, nonché ai servizi che usano le identità di Microsoft Entra come il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview, Exchange Online, SharePoint Online e Skype for Business Online. Gli amministratori globali possono visualizzare i log Attività directory. Inoltre, gli amministratori globali possono elevare i propri privilegi di accesso in modo da gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Ciò consente agli Amministratori globali di ottenere l'accesso completo a tutte le risorse di Azure usando il rispettivo tenant di Microsoft Entra. La persona che effettua l'iscrizione per l'organizzazione di Microsoft Entra diventa amministratore globale. In una società possono essere presenti più Amministratori globali. Gli Amministratori globali possono reimpostare la password per qualsiasi utente e per tutti gli altri amministratori. Un amministratore globale non può rimuovere la propria assegnazione di amministratore globale. Si tratta di evitare una situazione in cui un'organizzazione ha zero amministratori globali.

Nota

Come procedura consigliata, Microsoft consiglia di assegnare il ruolo di Amministratore globale a meno di cinque persone nell'organizzazione. Per altre informazioni, vedere Procedure consigliate per i ruoli di Microsoft Entra.

Azioni	Descrizione
microsoft.azure.advancedThreatProtection/allEntities/read	Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks	Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.backup/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Backup di Microsoft 365
microsoft.cloudPC/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks	Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.commerce.billing/purchases/standard/read	Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365.
microsoft.directory/accessReviews/allProperties/allTasks	(Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks	Gestire le verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks	Creare e gestire le unità amministrative (inclusi i membri)
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks	Creare ed eliminare applicazioni, eseguire la lettura e aggiornare tutte le proprietà
microsoft.directory/applications/synchronization/standard/read	Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/modelliDiApplicazione/creaUn'istanza	Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/allProperties/allTasks	Gestire tutti gli aspetti dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read	Leggere i metadati e la chiave BitLocker nei dispositivi
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks	Gestire tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/connectorGroups/allProperties/read	Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectorGroups/allProperties/update	Aggiornamento di tutte le proprietà dei gruppi di connettori del proxy dell'applicazione
microsoft.directory/connectorGroups/create	Creazione di gruppi di connettori di rete privata
microsoft.directory/connectorGroups/delete	Eliminare gruppi di connettori di rete privati
microsoft.directory/connectori/tutteProprietà/lettura	Leggere tutte le proprietà dei connettori di rete privata
microsoft.directory/connectors/create	Creare il connettore di rete privata
microsoft.directory/contacts/allProperties/allTasks	Creare ed eliminare contatti, eseguire la lettura e aggiornare tutte le proprietà
microsoft.directory/contracts/allProperties/allTasks	Creare ed eliminare contratti partner e leggere e aggiornare tutte le proprietà
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update	Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update	Aggiornamento delle impostazioni di connessione diretta B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update	Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/create	Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete	Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update	Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create	Creare criteri di sincronizzazione tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update	Aggiornamento dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings	Reimpostazione del modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update	Aggiornamento dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings	Reimpostazione del modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.diretory/estensioniDiAutenticazionePersonalizzate/tutteLeProprietà/tuttiIGiochi	Creazione e gestione di estensioni di autenticazione personalizzate
microsoft.directory/oggettiEliminati/elimina	Eliminazione definitiva di oggi che non possono più essere ripristinate
microsoft.directory/deletedItems.users/restore	Ripristino dello stato originale di oggetti eliminati temporaneamente
microsoft.directory/deviceLocalCredentials/password/read	Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/basic/update	Aggiornare le proprietà di base per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceManagementPolicies/standard/read	Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/basic/update	Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/standard/read	Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/allProperties/allTasks	Creare ed eliminare dispositivi, leggere e aggiornare tutte le proprietà
microsoft.directory/devices/permissions/update	Aggiornare la proprietà del nome alternativo in un dispositivo IoT
microsoft.directory/deviceTemplates/owners/read	Leggere i proprietari nei modelli di dispositivo IoT (Internet of Things)
microsoft.directory/deviceTemplates/owners/update	Aggiornare i proprietari in internet delle cose (IoT) modelli di dispositivo
microsoft.directory/directoryRoles/allProperties/allTasks	Creare ed eliminare ruoli directory, leggere e aggiornare tutte le proprietà
microsoft.directory/directoryRoleTemplates/allProperties/allTasks	Creare ed eliminare modelli di ruolo di Microsoft Entra e leggere e aggiornare tutte le proprietà
microsoft.directory/domains/allProperties/allTasks	Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà
microsoft.directory/domains/federationConfiguration/basic/update	Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create	Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete	Eliminare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/standard/read	Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/allTasks	Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/externalUserProfiles/basic/update	Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/delete	Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/standard/read	Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/groups/allProperties/allTasks	Creare ed eliminare gruppi e leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/allProperties/update	Aggiornare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/assignLicense	Assegnare una licenza a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/create	Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete	Eliminare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment	Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/restore	Ripristinare gruppi assegnabili a ruoli
microsoft.directory/groupSettings/allProperties/allTasks	Creare ed eliminare impostazioni gruppo, leggere e aggiornare tutte le proprietà
microsoft.directory/groupSettingTemplates/allProperties/allTasks	Creare ed eliminare modelli di impostazioni di gruppo, leggere e aggiornare tutte le proprietà
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	Gestire i criteri ibridi di autenticazione in Microsoft Entra ID
microsoft.directory/identityProtection/allProperties/allTasks	Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks	Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.aad.directory/organization/allProperties/allTasks	Creare ed eliminare loginTenantBranding, leggere e aggiornare tutte le proprietà
microsoft.directory/multiTenantOrganization/basic/update	Aggiornare le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/create	Creare un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update	Unirsi a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read	Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create	Creare un tenant in un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete	Eliminare un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update	Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read	Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/basic/update	Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/create	Creare regole personalizzate per definire i percorsi di rete
microsoft.directory/namedLocations/delete	Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read	Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
microsoft.directory/onPremisesSynchronization/basic/update	Aggiornare le informazioni di base sulla sincronizzazione della directory locale
microsoft.directory/onPremisesSynchronization/standard/read	Leggere le informazioni di sincronizzazione della directory locale standard
microsoft.directory/organization/allProperties/allTasks	Leggere e aggiornare tutte le proprietà per un'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks	Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID
microsoft.directory/pendingExternalUserProfiles/basic/update	Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/create	Creare profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/delete	Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/standard/read	Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/basic/update	Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/create	Creare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/elimina	Eliminare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/standard/read	Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/policies/allProperties/allTasks	Creare ed eliminare criteri, leggere e aggiornare tutte le proprietà
microsoft.directory/privilegedIdentityManagement/allProperties/read	Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/aggiornamento	Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365
microsoft.directory/roleAssignments/allProperties/allTasks	Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks	Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà
microsoft.directory/serviceAction/activateService	Può eseguire l'azione "attiva servizio" per un servizio
microsoft.directory/serviceAction/disableDirectoryFeature	Può eseguire l'azione del servizio “disabilita funzionalità directory”
microsoft.directory/serviceAction/enableDirectoryFeature	Può eseguire l'azione del servizio “abilitare funzionalità directory”
microsoft.directory/serviceAction/getAvailableExtentionProperties	Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipals/basic/update	Aggiornamento delle proprietà di base nei requisiti di creazione
microsoft.directory/servicePrincipalCreationPolicies/create	Creare criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/delete	Eliminare i criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/standard/read	Leggere le proprietà standard dei criteri di creazione delle entità servizio
microsoft.directory/servicePrincipals/allProperties/allTasks	Creare ed eliminare gli elementi del servizio, leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization/standard/leggi	Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/allTasks	Acquistare e gestire sottoscrizioni ed eliminare sottoscrizioni
microsoft.directory/tenantManagement/tenants/create	Creare un nuovo tenant in Microsoft Entra ID
microsoft.directory/users/allProperties/allTasks	Creare ed eliminare utenti, leggere e aggiornare tutte le proprietà
microsoft.directory/users/authenticationMethods/basic/update	Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/create	Aggiornamento dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/delete	Eliminazione dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/standard/read	Leggere le proprietà standard dei metodi di autenticazione per gli utenti
microsoft.directory/users/convertExternalToInternalMemberUser	Convertire l'utente esterno in un utente interno
microsoft.directory/verificaableCredentials/configuration/allProperties/read	Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/allProperties/update	Aggiornamento della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/read	Lettura del contratto delle credenziali verificabili
microsoft.directory/verificheCredenziali/configuration/contracts/allProperties/update	Aggiornamento di un contratto delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/cards/allProperties/read	Lettura di una scheda delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/cards/revoke	Revoca di una scheda delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/create	Creazione di un contratto delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/create	Creazione della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/delete	Eliminazione della configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le rispettive credenziali verificabili
microsoft.dynamics365/allEntities/allTasks	Gestione di tutti gli aspetti di Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Edge
microsoft.flow/allEntities/allTasks	Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks	Gestire gli aspetti di Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/allTasks	Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per i reclami di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read	Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/allTasks	Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft
microsoft.insights/allEntities/allProperties/allTasks	Gestire tutti gli aspetti dell'app Insights
microsoft.intune/allEntities/allTasks	Gestire tutti gli aspetti di Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.complianceManager/allEntities/allTasks	Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.copilot/allEntities/allProperties/allTasks	Creare e gestire tutte le impostazioni per Microsoft 365 Copilot
microsoft.office365.desktopAnalytics/allEntities/allTasks	Gestire tutti gli aspetti di Desktop Analytics
microsoft.office365.exchange/allEntities/allTasks	Gestire tutti gli aspetti di Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks	Gestire tutti gli aspetti dei contenitori di SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks	Gestire le origini di apprendimento e tutte le relative proprietà in Learning App.
microsoft.office365.lockbox/allEntities/allTasks	Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read	Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks	Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks	Gestire tutti gli aspetti dei centri sicurezza e conformità
microsoft.office365.search/content/manage	Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks	Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks	Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.userCommunication/allEntities/allTasks	Leggere e aggiornare la visibilità dei messaggi relativi alle novità
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks	Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra
microsoft.powerApps/allEntities/allTasks	Gestire tutti gli aspetti di PowerApps
microsoft.powerApps.powerBI/allEntities/allTasks	Gestire tutti gli aspetti di Fabric e Power BI
microsoft.teams/allEntities/allProperties/allTasks	Gestire tutte le risorse in Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks	Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali
microsoft.viva.glint/allEntities/allProperties/allTasks	Gestire e configurare tutte le impostazioni di Microsoft Viva Glint nell'interfaccia di amministrazione di Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	Gestione di tutti gli aspetti di Microsoft Defender per endpoint
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	Leggere e configurare tutti gli aspetti del servizio Windows Update

Ruolo con autorizzazioni di lettura globali

Si tratta di un ruolo con privilegi. Gli utenti in questo ruolo possono leggere le impostazioni e le informazioni amministrative dei servizi di Microsoft 365, ma non possono eseguire azioni di gestione. Il Ruolo con autorizzazioni di lettura globali è la controparte di sola lettura dell'Amministratore globale. Assegnare il Ruolo con autorizzazioni di lettura globali anziché quello di Amministratore globale per le attività di pianificazione, controllo o indagine. Usare il Ruolo con autorizzazioni di lettura globali insieme ad altri ruoli amministrativi limitati, come quello di Amministratore di Exchange, per semplificare il lavoro senza assegnare il ruolo di Amministratore globale. Il ruolo con autorizzazioni di lettura globali funziona con l’interfaccia di amministrazione di Microsoft 365, l'interfaccia di amministrazione di Exchange, l'interfaccia di amministrazione di SharePoint, l'interfaccia di amministrazione di Teams, il portale Microsoft 365 Defender, il portale di conformità di Microsoft Purview, il portale di Azure e il centro di amministrazione Gestione dei dispositivi.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Impossibile accedere all'area Acquisto di servizi nell'interfaccia di amministrazione di Microsoft 365.

Nota

Il ruolo con autorizzazioni di lettura globali presenta le seguenti limitazioni:

Interfaccia di amministrazione di OneDrive: l'interfaccia di amministrazione di OneDrive non supporta il ruolo con autorizzazioni di lettura globali
portale di Microsoft 365 Defender - Lettore globale non può eseguire ricerche di contenuto o vedere Secure Score.
Interfaccia di amministrazione di Teams: il ruolo con autorizzazioni di lettura globali non può leggere Ciclo di vita di Teams, Analisi e report, Gestione dei dispositivi telefoni IP e Catalogo app. Per ulteriori informazioni sui ruoli di amministratore di Teams fare riferimento a Usare i ruoli di amministratore di Microsoft Teams per gestire Teams.
Privileged Access Management non supporta il ruolo con autorizzazioni di lettura globali.
Azure Information Protection: il ruolo con autorizzazioni di lettura globali è supportato solo per la creazione di report centralizzata e quando l'organizzazione Microsoft Entra non si trova nella piattaforma di etichettatura unificata.
SharePoint: il ruolo con autorizzazioni di lettura globali ha accesso in lettura ai cmdlet di PowerShell di SharePoint Online e alle API di lettura.
Interfaccia di amministrazione di Power Platform: il ruolo con autorizzazioni di lettura globali non è ancora supportato nell'interfaccia di amministrazione di Power Platform.
Microsoft Purview non supporta il ruolo con autorizzazioni di lettura globali.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.backup/allEntities/allProperties/read	Leggere tutti gli aspetti di Backup di Microsoft 365
microsoft.cloudPC/allEntities/allProperties/read	Leggi tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/read	Leggere tutte le risorse della fatturazione di Office 365
microsoft.commerce.billing/purchases/standard/read	Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365.
microsoft.directory/accessReviews/allProperties/read	(Deprecato) Leggere tutte le proprietà delle verifiche di accesso
microsoft.directory/accessReviews/definitions/allProperties/read	Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read	Lettura di tutte le proprietà dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/read	Lettura di tutte le proprietà delle unità amministrative, membri inclusi
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/allProperties/read	Lettura di tutte le proprietà (incluse le proprietà con privilegi) in tutti i tipi di applicazioni
microsoft.directory/applications/synchronization/standard/read	Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read	Leggere i metadati e la chiave BitLocker nei dispositivi
microsoft.directory/cloudAppSecurity/allProperties/read	Leggere tutte le proprietà per le app di Defender per il cloud
microsoft.directory/conditionalAccessPolicies/allProperties/read	Leggere tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/connectorGroups/allProperties/read	Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectori/tutteProprietà/lettura	Leggere tutte le proprietà dei connettori di rete privata
microsoft.directory/contacts/allProperties/read	Leggere tutte le proprietà per i contatti
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/customAuthenticationExtensions/allProperties/read	Leggere le estensioni di autenticazione personalizzate
microsoft.directory/credenzialiLocaliDispositivo/standard/leggi	Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/deviceManagementPolicies/standard/read	Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read	Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/allProperties/read	Lettura di tutte le proprietà dei dispositivi
microsoft.directory/directoryRoles/allProperties/read	Leggere tutte le proprietà dei ruoli della directory
microsoft.directory/directoryRoleTemplates/allProperties/read	Leggere tutte le proprietà dei modelli di ruolo della directory
microsoft.directory/domains/allProperties/read	Lettura di tutte le proprietà dei domini
microsoft.directory/domains/federationConfiguration/standard/read	Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/read	Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read	Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/groups/allProperties/read	Leggere tutte le proprietà (incluse le proprietà con privilegi) nei gruppi di sicurezza e nei gruppi di Microsoft 365, inclusi i gruppi assegnabili di ruolo
microsoft.directory/groupSettings/allProperties/read	Lettura di tutte le proprietà delle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/allProperties/read	Leggere tutte le proprietà dei modelli di impostazione di gruppo
microsoft.directory/identityProtection/allProperties/read	Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read	Leggere tutte le proprietà dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/read	Leggere tutte le proprietà per la pagina di accesso personalizzata dell'organizzazione
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read	Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read	Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/standard/read	Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/oAuth2PermissionGrants/allProperties/read	Leggere tutte le proprietà delle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/allProperties/read	Leggere tutte le proprietà per un'organizzazione
microsoft.directory/pendingExternalUserProfiles/standard/read	Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/standard/read	Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/policies/allProperties/read	Lettura di tutte le proprietà dei criteri
microsoft.directory/privilegedIdentityManagement/allProperties/read	Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/roleAssignments/allProperties/read	Leggere tutte le proprietà delle assegnazioni di ruolo
microsoft.directory/roleDefinitions/allProperties/read	Leggere tutte le proprietà delle definizioni dei ruoli
microsoft.directory/scopedRoleMemberships/allProperties/read	Visualizzare i membri nelle unità amministrative
microsoft.directory/serviceAction/getAvailableExtentionProperties	Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/standard/read	Leggere le proprietà standard dei criteri di creazione delle entità servizio
microsoft.directory/servicePrincipals/allProperties/read	Leggere tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/leggi	Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/read	Leggere tutte le proprietà delle sottoscrizioni di prodotti
microsoft.directory/users/allProperties/read	Leggere tutte le proprietà degli utenti
microsoft.directory/utenti/metodiAutenticazione/standard/letturaRistretta	Lettura delle proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/verificaableCredentials/configuration/allProperties/read	Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/read	Lettura del contratto delle credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/contracts/cards/allProperties/read	Lettura di una scheda delle credenziali verificabili
microsoft.edge/allEntities/allProperties/read	Leggere tutti gli aspetti di Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read	Leggere gli aspetti di Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/read	Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read	Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/read	Leggere attestazioni di garanzia hardware Microsoft
microsoft.insights/allEntities/allProperties/read	Leggere tutti gli aspetti di Viva Insights
microsoft.networkAccess/allEntities/allProperties/read	Leggere tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.copilot/allEntities/allProperties/read	Leggere tutte le impostazioni per Microsoft 365 Copilot
microsoft.office365.fileStorageContainers/allEntities/allProperties/read	Leggere le entità e le autorizzazioni dei contenitori di SharePoint Embedded
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read	Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read	Leggere tutte le proprietà nei centri sicurezza e conformità
microsoft.office365.securityComplianceCenter/allEntities/read	Leggere le proprietà standard nel Centro sicurezza e conformità di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read	Leggere tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/read	Leggere tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra
microsoft.teams/allEntities/allProperties/read	Leggere tutte le proprietà di Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read	Leggi tutti gli aspetti delle visite virtuali
microsoft.viva.glint/allEntities/allProperties/read	Leggere tutte le impostazioni di Microsoft Viva Glint nell'interfaccia di amministrazione di Microsoft 365
microsoft.viva.goals/allEntities/allProperties/read	Leggere tutti gli aspetti di Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/read	Leggere tutti gli aspetti di Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read	Leggere tutti gli aspetti del servizio Windows Update

Amministratore Accesso globale sicuro

Assegnare il ruolo di amministratore di Accesso globale sicuro agli utenti che devono eseguire le seguenti operazioni:

Creare e gestire tutti gli aspetti di Accesso a Internet di Microsoft Entra e Accesso privato Microsoft Entra
Gestire l'accesso agli endpoint pubblici e privati

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Non è possibile gestire le applicazioni aziendali, le registrazioni delle applicazioni, l'accesso condizionale o le impostazioni dell’Application proxy

Ulteriori informazioni

Azioni	Descrizione
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/politicheApplicazione/standard/leggi	Lettura delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/applicationProxy/read	Lettura di tutte le proprietà del proxy dell'applicazione
microsoft.directory/applications/owners/read	Leggere i proprietari delle applicazioni
microsoft.directory/applications/policies/read	Leggere i criteri delle applicazioni
microsoft.directory/applications/standard/read	Lettura delle proprietà standard dell'applicazione
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/conditionalAccessPolicies/standard/read	Leggere l'accesso condizionale per i criteri
microsoft.directory/connectorGroups/allProperties/read	Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectori/tutteProprietà/lettura	Leggere tutte le proprietà dei connettori di rete privata
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/namedLocations/standard/read	Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.networkAccess/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Lettore di log di accesso sicuro globale

Assegnare il ruolo Di lettura log accesso sicuro globale agli utenti che devono eseguire le operazioni seguenti:

Leggere i log del traffico di rete in Microsoft Entra Internet Access e Microsoft Entra Private Access per l'analisi da parte del personale di sicurezza designato
Visualizzare i dettagli del log, ad esempio sessione, connessione e transazione
Filtrare i log in base a criteri quali indirizzo IP e dominio

Ulteriori informazioni

Azioni	Descrizione
microsoft.networkAccess/trafficLogs/standard/read	Leggere le proprietà standard dei log del traffico, ad esempio DeviceId, DestinationIp e PolicyRuleId

Amministratore di gruppi

Gli utenti con questo ruolo possono creare o gestire gruppi e le relative impostazioni, ad esempio i criteri di denominazione e scadenza. È importante comprendere che l'assegnazione di un utente a questo ruolo offre la possibilità di gestire tutti i gruppi nell'organizzazione per diversi carichi di lavoro, ad esempio Teams, SharePoint, Yammer, oltre a Outlook. Inoltre, l'utente sarà in grado di gestire le diverse impostazioni dei gruppi nei vari portali di amministrazione, come l'interfaccia di amministrazione di Microsoft e il portale di Azure, oltre a quelli specifici del carico di lavoro, come le interfacce di amministrazione di Teams e SharePoint.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/deletedItems.groups/delete	Eliminazione definitiva di gruppi che non possono più essere ripristinati
microsoft.directory/deletedItems.groups/restore	Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/groups/assignLicense	Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/basic/update	Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/classification/update	Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/create	Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete	Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.aad.directory/groups/dynamicMembershipRule/update	Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/groupType/update	Aggiornamento delle proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a un ruolo
microsoft.directory/groups/hiddenMembers/read	Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/gruppi/membri/aggiornamento	Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/onPremWriteBack/update	Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect
microsoft.directory/gruppi/proprietari/aggiornamento	Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment	Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/groups/restore	Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/gruppi/impostazioni/aggiorna	Aggiornamento delle impostazioni dei gruppi
microsoft.directory/groups/visibility/update	Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Mittente dell'invito guest

Gli utenti con questo ruolo possono gestire gli inviti per gli utenti guest di Microsoft Entra B2B quando l'impostazione utente i membri possono invitare è impostata su No. Altre informazioni sulla collaborazione B2B in Informazioni su Collaborazione B2B di Microsoft Entra. Il ruolo non include altre autorizzazioni.

Azioni	Descrizione
microsoft.directory/users/appRoleAssignments/read	Eseguire la lettura delle assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read	Eseguire la lettura deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read	Leggere i report diretti per gli utenti
microsoft.directory/users/invitedBy/read	Lettura dell'utente che ha invitato un utente esterno a un tenant
microsoft.directory/users/inviteGuest	Invitare gli utenti guest
microsoft.directory/users/licenseDetails/read	Eseguire la lettura dei dettagli delle licenze degli utenti
microsoft.directory/users/manager/read	Leggere Manager degli utenti
microsoft.directory/users/memberOf/read	Lettura delle appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read	Lettura delle concessioni di autorizzazioni delegate agli utenti
microsoft.directory/users/ownedDevices/read	Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read	Lettura degli oggetti di proprietà degli utenti
microsoft.directory/users/photo/read	Lettura della foto degli utenti
microsoft.directory/users/registeredDevices/read	Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read	Eseguire la lettura dell'appartenenza di un utente a un ruolo di Microsoft Entra, che ha come ambito un'unità amministrativa
microsoft.directory/users/sponsors/read	Leggere gli sponsor degli utenti
microsoft.directory/users/standard/read	Lettura delle proprietà di base per gli utenti

Amministratore supporto tecnico

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono modificare le password, invalidare i token di aggiornamento, creare e gestire le richieste di supporto con Microsoft per Azure e i servizi Microsoft 365 e monitorare l'integrità del servizio. Invalidando un token di aggiornamento si impone all'utente di eseguire di nuovo l'accesso. Il fatto che un Amministratore del supporto tecnico possa reimpostare la password di un utente e invalidare i token di aggiornamento dipende dal ruolo assegnato all'utente. Per un elenco dei ruoli che un amministratore del supporto tecnico può reimpostare le password per e invalidare i token di aggiornamento, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.

Importante

Gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse agli amministratori di supporto tecnico. Ciò significa che un Amministratore supporto tecnico potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure.
Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.

La delega delle autorizzazioni amministrative a subset di utenti e l'applicazione di criteri a un subset di utenti sono possibili con le unità amministrative.

Questo ruolo era precedentemente chiamato “Amministratore password” nel portale di Azure. È stato rinominato Amministratore supporto tecnico per allinearsi al nome esistente nell'API Microsoft Graph e in Microsoft Graph PowerShell.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/bitlockerKeys/key/read	Leggere i metadati e la chiave BitLocker nei dispositivi
microsoft.directory/credenzialiLocaliDispositivo/standard/leggi	Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/users/invalidateAllRefreshTokens	Forzatura della disconnessione invalidando i token di aggiornamento utente
microsoft.directory/utenti/password/aggiornamento	Reimpostazione delle password per tutti gli utenti
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore delle identità ibride

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono creare, gestire e distribuire le impostazioni di configurazione del provisioning da Active Directory a Microsoft Entra ID usando il provisioning cloud così come gestire le impostazioni di Microsoft Entra Connect, Autenticazione pass-through (PTA), Sincronizzazione dell'hash delle password (PHS), Single Sign-On facile (SSO facile) e federazione. Non ha accesso per gestire Microsoft Entra Connect Health. Usando questo ruolo gli utenti possono anche risolvere i problemi e monitorare i log.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
aggiornamentoRuoliApplicazione/directoryMicrosoft/applicazioni	Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applicazioni/pubblico/aggiornamento	Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applicazioni/autenticazione/aggiornamento	Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applicazioni/base/aggiorna	Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applicazioni/crea	Creazione di tutti i tipi di applicazioni
microsoft.directory/applicazioni/elimina	Eliminazione di tutti i tipi di applicazioni
microsoft.directory/applications/notes/update	Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update	Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update	Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update (Note: As a URL, this remains the same unless context indicates otherwise.)	Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/synchronization/standard/read	Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applications/tag/update	Aggiornamento dei tag delle applicazioni
microsoft.directory/modelliDiApplicazione/creaUn'istanza	Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/cloudProvisioning/allProperties/allTasks	Leggere e configurare tutte le proprietà del servizio di provisioning cloud di Microsoft Entra.
microsoft.directory/deletedItems.applications/delete	Eliminazione definitiva di applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/ripristina	Ripristino dello stato originale delle applicazioni eliminate temporaneamente
microsoft.directory/domains/allProperties/read	Lettura di tutte le proprietà dei domini
microsoft.directory/domains/federationConfiguration/basic/update	Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create	Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete	Eliminare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/standard/read	Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/domains/federation/update	Aggiornare la proprietà federativa dei domini
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	Gestire i criteri ibridi di autenticazione in Microsoft Entra ID
microsoft.directory/onPremisesSynchronization/basic/update	Aggiornare le informazioni di base sulla sincronizzazione della directory locale
microsoft.directory/onPremisesSynchronization/standard/read	Leggere le informazioni di sincronizzazione della directory locale standard
microsoft.directory/organization/dirSync/update	Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks	Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/audience/update	Aggiornamento delle proprietà relative ai destinatari nelle entità servizio
Aggiorna l'autenticazione per i servicePrincipals nella directory Microsoft.	Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update	Aggiornamento delle proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/create	Creare entità servizio
microsoft.directory/servicePrincipals/delete	Eliminazione delle entità servizio
microsoft.directory/servicePrincipals/disabilita	Disabilitazione delle entità servizio
microsoft.directory/servicePrincipals/enable	Abilitazione delle entità servizio
microsoft.directory/servicePrincipals/notes/update	Aggiornamento delle note delle entità servizio
microsoft.directory/servicePrincipals/owners/update	Aggiornamento dei proprietari nelle entità servizio
microsoft.directory/principaliDelServizio/permessi/aggiorna	Aggiornamento delle autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/aggiornare	Aggiornamento dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/gestire	Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/principaliServizio/schemaSincronizzazione/gestione	Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/leggi	Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/servicePrincipals/tag/update	Aggiornamento della proprietà tag per le entità servizio
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/users/authorizationInfo/update	Aggiornare la proprietà ID utente certificato multivalore degli utenti
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Identity Governance

Gli utenti con questo ruolo possono gestire la configurazione di Microsoft Entra ID Governance, inclusi i pacchetti di accesso, le verifiche di accesso, i cataloghi e i criteri, in modo da assicurare l'approvazione e la verifica dell'accesso e la rimozione degli utenti guest che non hanno più bisogno dell'accesso.

Azioni	Descrizione
microsoft.directory/accessReviews/allProperties/allTasks	(Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	Gestire le verifiche di accesso delle assegnazioni del ruolo applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	Gestire le verifiche di accesso per le assegnazioni di un pacchetto di accesso nella gestione entitlement
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/allProperties/update	Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/create	Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete	Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/entitlementManagement/allProperties/allTasks	Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/gruppi/membri/aggiornamento	Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio

Amministratore informazioni dettagliate

Gli utenti con questo ruolo possono accedere al set completo di funzionalità amministrative nell'app Microsoft Viva Insights. Questo ruolo ha la possibilità di leggere le informazioni della directory, monitorare l'integrità del servizio, inviare i ticket di supporto e accedere agli aspetti delle impostazioni di Amministratore di Insights.

Ulteriori informazioni

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.insights/allEntities/allProperties/allTasks	Gestire tutti gli aspetti dell'app Insights
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Analista di informazioni dettagliate

Assegnare il ruolo di Analista di Insights agli utenti che devono eseguire le attività seguenti:

Analizzare i dati nell'app Microsoft Viva Insights, senza poter gestire le impostazioni di configurazione
Creare, gestire ed eseguire query
Visualizzare le impostazioni e i report di base nell'interfaccia di amministrazione di Microsoft 365
Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365

Ulteriori informazioni

Azioni	Descrizione
microsoft.insights/queries/allProperties/allTasks	Eseguire e gestire query in Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Leader aziendale Insights

Gli utenti con questo ruolo possono accedere a un set di dashboard e informazioni dettagliate tramite l'app Microsoft Viva Insights. Ciò include l'accesso completo a tutti i dashboard e alle funzionalità di esplorazione dei dati e delle informazioni dettagliate presentate. Gli utenti con questo ruolo non hanno accesso alle impostazioni di configurazione del prodotto, che rientrano tra le responsabilità del ruolo di Amministratore di Insights.

Ulteriori informazioni

Azioni	Descrizione
microsoft.insights/programs/allProperties/update	Distribuire e gestire programmi nell'app Insights
microsoft.insights/reports/allProperties/read	Visualizzare report e dashboard nell'app Insights

Amministratore di Intune

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Intune Online, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi. Per altre informazioni consultare Controllo dell’amminsitrazione basata su ruoli (RBAC) con Microsoft Intune.

Questo ruolo può creare e gestire tutti i gruppi di sicurezza. Tuttavia, l'amministratore di Intune non dispone dei diritti di amministratore per i gruppi di Microsoft 365. Ciò significa che l'amministratore non può aggiornare i proprietari o le appartenenze di tutti i gruppi di Microsoft 365 nell'organizzazione. Tuttavia, può gestire il gruppo di Microsoft 365 creato come parte dei privilegi degli utenti finali. Pertanto, qualsiasi gruppo di Microsoft 365 (non gruppo di sicurezza) che crea deve essere conteggiato rispetto alla quota di 250.

Nota

Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Intune. Nel portale di Azure è chiamato Amministratore di Intune.

Azioni	Descrizione
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.cloudPC/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Windows 365
microsoft.directory/bitlockerKeys/key/read	Leggere i metadati e la chiave BitLocker nei dispositivi
microsoft.directory/contacts/basic/update	Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create	Creazione di contatti
microsoft.directory/contacts/delete	Elimina contatto
microsoft.directory/deletedItems.devices/delete	Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore	Ripristino dello stato originale dei dispositivi eliminati temporaneamente
microsoft.directory/deviceLocalCredentials/password/read	Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/standard/read	Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read	Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/basic/update	Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/create	Creazione di dispositivi (registrarsi in Microsoft Entra ID)
microsoft.directory/devices/delete	Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable	Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable	Abilitare il dispositivo in Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update	Aggiornamento delle proprietà extensionAttribute1 in extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update	Aggiornamento delle proprietà extensionAttribute6 in extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update	Aggiornamento delle proprietà extensionAttribute11 in extensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update	Aggiornamento dei proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update	Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/groups/hiddenMembers/read	Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/basic/update	Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/classification/update	Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/create	Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/delete	Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/dynamicMembershipRule/update	Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update	Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update	Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/visibility/update	Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/users/basic/update	Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/manager/update	Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/photo/update	Aggiornare la foto degli utenti
microsoft.intune/allEntities/allTasks	Gestire tutti gli aspetti di Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore dispositivo IoT

Assegnare il ruolo Amministratore dispositivi IoT agli utenti che devono eseguire le attività seguenti:

Effettuare il provisioning di nuovi dispositivi IoT usando i modelli di dispositivo
Gestire il ciclo di vita dei dispositivi IoT
Configurare i certificati usati per l'autenticazione del dispositivo IoT
Gestire il ciclo di vita dei modelli di dispositivo IoT

Ulteriori informazioni

Azioni	Descrizione
microsoft.directory/certificateBasedDeviceAuthConfigurations/create	Creare configurazioni autorità di certificazione per l'attendibilità e l'autenticazione dei dispositivi IoT
microsoft.directory/certificateBasedDeviceAuthConfigurations/credentials/update	Aggiornare le proprietà correlate alla crendential nelle configurazioni dell'autorità di certificazione per l'attendibilità e l'autenticazione dei dispositivi Internet delle cose (IoT)
microsoft.directory/certificateBasedDeviceAuthConfigurations/delete	Eliminare le configurazioni dell'autorità di certificazione per il dispositivo Internet delle cose (IoT)
microsoft.directory/certificateBasedDeviceAuthConfigurations/standard/read	Leggere le proprietà standard nelle configurazioni dell'autorità di certificazione per l'attendibilità e l'autenticazione dei dispositivi Internet delle cose (IoT)
microsoft.directory/deviceTemplates/create	Creare modelli di dispositivo IoT (Internet delle cose)
microsoft.directory/deviceTemplates/createDeviceFromTemplate	Creare un dispositivo IoT da modelli di dispositivo IoT (IoT)
microsoft.directory/deviceTemplates/delete	Eliminare modelli di dispositivo Internet delle cose (IoT)
microsoft.directory/deviceTemplates/deviceInstances/read	Leggere le istanze dei dispositivi da Internet delle cose (IoT) collegamenti ai dispositivi
microsoft.directory/deviceTemplates/owners/read	Leggere i proprietari nei modelli di dispositivo IoT (Internet of Things)
microsoft.directory/deviceTemplates/owners/update	Aggiornare i proprietari in internet delle cose (IoT) modelli di dispositivo

Amministratore di Kaizala

Gli utenti con questo ruolo hanno autorizzazioni globali per gestire le impostazioni in Microsoft Kaizala, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Inoltre, l'utente può accedere ai report relativi all'adozione e all'utilizzo di Kaizala da parte dei membri dell'organizzazione e ai report aziendali generati usando le azioni Kaizala.

Azioni	Descrizione
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore delle conoscenze

Gli utenti con questo ruolo hanno accesso completo a tutte le impostazioni delle funzionalità intelligenti, relative a conoscenze e apprendimento nell'interfaccia di amministrazione di Microsoft 365. Hanno una conoscenza generale della suite di prodotti, dei dettagli delle licenze e hanno la responsabilità di controllare l'accesso. L'amministratore delle conoscenze può creare e gestire i contenuti, ad esempio argomenti, acronimi e risorse di apprendimento. Questi utenti possono anche creare i centri di contenuti, monitorare l'integrità del servizio e creare le richieste di servizio.

Azioni	Descrizione
microsoft.directory/groups/basic/update	Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/create	Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/createAsOwner	Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete	Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update	Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update	Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks	Gestire le origini di apprendimento e tutte le relative proprietà in Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read	Leggere tutte le proprietà delle etichette di riservatezza nei centri sicurezza e conformità
microsoft.office365.sharePoint/allEntities/allTasks	Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Responsabile delle conoscenze

Gli utenti con questo ruolo possono creare e gestire i contenuti, ad esempio argomenti, acronimi e contenuti di apprendimento. Questi utenti sono principalmente responsabili della qualità e della struttura delle conoscenze. Questo utente dispone di diritti completi per le azioni di gestione degli argomenti per confermare un argomento, approvare le modifiche o eliminare un argomento. Questo ruolo può anche gestire le tassonomie come parte dello strumento di gestione dell'archivio di termini e creare centri di contenuto.

Azioni	Descrizione
microsoft.directory/groups/basic/update	Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/create	Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/createAsOwner	Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete	Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update	Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update	Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore licenze

Gli utenti in questo ruolo possono leggere, aggiungere, rimuovere e aggiornare le assegnazioni di licenze a utenti, gruppi (usando licenze basate su gruppi) e gestire i percorsi di utilizzo per gli utenti. Il ruolo non garantisce la possibilità di acquistare o gestire sottoscrizioni, creare o gestire gruppi o creare o gestire utenti al di fuori del percorso di utilizzo. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/groups/assignLicense	Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/reprocessLicenseAssignment	Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/users/assignLicense	Gestire le licenze utente
microsoft.directory/users/reprocessLicenseAssignment	Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/usageLocation/update	Aggiornare la posizione di utilizzo degli utenti
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore flussi di lavoro del ciclo di vita

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore flussi di lavoro del ciclo di vita agli utenti che devono eseguire le attività seguenti:

Creare e gestire tutti gli aspetti dei flussi di lavoro e dei task associati ai flussi di lavoro del ciclo di vita in Microsoft Entra ID
Controllare l'esecuzione dei flussi di lavoro pianificati
Avviare le esecuzioni dei flussi di lavoro su richiesta
Esaminare i log di esecuzione del flusso di lavoro

Azioni	Descrizione
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks	Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.directory/organization/strongAuthentication/read	Lettura delle proprietà di autenticazione avanzata di un'organizzazione
microsoft.directory/users/lifeCycleInfo/read	Leggere le informazioni sul ciclo di vita degli utenti, ad esempio employeeLeaveDateTime

Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi

Gli utenti con questo ruolo possono monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati. Gli utenti con il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi ricevono notifiche tramite posta elettronica, incluse quelle relative alla privacy dei dati, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo l'amministratore globale e il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo include anche la possibilità di visualizzare gruppi, domini e sottoscrizioni. Questo ruolo non ha le autorizzazioni per visualizzare, creare o gestire richieste di servizio.

Azioni	Descrizione
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read	Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Ruolo con autorizzazioni di lettura per il Centro messaggi

Gli utenti con questo ruolo possono monitorare le notifiche e gli aggiornamenti dello stato di integrità nel Centro messaggi per la propria organizzazione sui servizi configurati, ad esempio Exchange, Intune e Microsoft Teams. Il Ruolo con autorizzazioni di lettura per il Centro messaggi riceve settimanalmente riepiloghi di posta elettronica di post, aggiornamenti e può condividere i post del centro messaggi in Office 365. In Microsoft Entra ID, gli utenti assegnati a questo ruolo avranno accesso in sola lettura ai servizi Microsoft Entra, come ad esempio utenti e gruppi. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni	Descrizione
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di backup di Microsoft 365

Assegnare il ruolo di amministratore di backup di Microsoft 365 agli utenti che devono eseguire le attività seguenti:

Gestire tutti gli aspetti di Backup di Microsoft 365
Creare, modificare e gestire i criteri di configurazione dei backup per SharePoint, OneDrive ed Exchange Online
Eseguire operazioni di ripristino per siti di SharePoint di cui è stato eseguito il backup, account OneDrive e cassette postali di Exchange

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.backup/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Backup di Microsoft 365
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della migrazione di Microsoft 365

Assegnare il ruolo di Amministratore migrazione di Windows 365 agli utenti che devono eseguire le attività seguenti:

Usare Gestione migrazione nei interfaccia di amministrazione di Microsoft 365 per gestire la migrazione dei contenuti a Microsoft 365, tra cui Teams, OneDrive for Business e siti di SharePoint, da Google Drive, Dropbox, Box e Egnyte
Selezionare le origini di migrazione, creare inventari della migrazione (ad esempio elenchi di utenti di Google Drive), pianificare ed eseguire migrazioni e scaricare i report
Creare nuovi siti di SharePoint se i siti di destinazione non esistono già, creare elenchi di SharePoint nei siti di amministrazione di SharePoint e creare e aggiornare elementi negli elenchi di SharePoint
Gestire le impostazioni del progetto di migrazione e il ciclo di vita della migrazione per le attività
Gestire i mapping delle autorizzazioni dall'origine alla destinazione

Nota

Questo ruolo non consente di eseguire la migrazione da origini di condivisione file usando l'interfaccia di amministrazione di SharePoint. È possibile usare il ruolo di amministratore di SharePoint per eseguire la migrazione da origini di condivisione file.

Ulteriori informazioni

Azioni	Descrizione
microsoft.office365.migrations/allEntities/allProperties/allTasks	Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore locale del dispositivo aggiunto a Microsoft Entra

Questo ruolo è disponibile per l'assegnazione solo come amministratore locale aggiuntivo in Impostazioni dispositivo. Gli utenti con questo ruolo diventano amministratori del computer locale in tutti i dispositivi Windows 10 aggiunti a Microsoft Entra ID. Non hanno la capacità di gestire gli oggetti dispositivo in Microsoft Entra ID.

Azioni	Descrizione
microsoft.directory/groupSettings/standard/read	Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read	Lettura delle proprietà di base sui modelli di impostazione del gruppo

Amministratore di Microsoft Graph Data Connect

Assegnare il ruolo di amministratore di Microsoft Graph Data Connect agli utenti che devono eseguire le attività seguenti:

Accedi al set completo di funzionalità amministrative di Microsoft Graph Data Connect
Gestire le impostazioni di Microsoft Graph Data Connect in un tenant
Abilitare o disabilitare il servizio Microsoft Graph Data Connect
Configurare le selezioni del carico di lavoro del set di dati in Microsoft Graph Data Connect
Configurare le impostazioni di spostamento dei dati tra tenant in Microsoft Graph Data Connect
Visualizzare, approvare o rifiutare le richieste di autorizzazione dell'applicazione per Microsoft Graph Data Connect
Visualizzare, creare, aggiornare o eliminare le registrazioni delle applicazioni per Microsoft Graph Data Connect

Ulteriori informazioni

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.graph.dataConnect/allEntities/allProperties/allTasks	Gestire gli aspetti di Microsoft Graph Data Connect
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore garanzie hardware Microsoft

Assegnare il ruolo di Amministratore garanzie Hardware Microsoft agli utenti che devono eseguire le attività seguenti:

Creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens
Cercare e leggere attestazioni di garanzia aperte o chiuse
Cercare e leggere attestazioni di garanzia in base al numero di serie
Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione
Leggere lo stato di spedizione per le attestazioni di garanzia aperte
Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
Leggere gli annunci del Centro messaggi nell'interfaccia di amministrazione di Microsoft 365

Una richiesta di garanzia è una richiesta di riparazione o sostituzione dell'hardware in conformità alle condizioni della garanzia. Per maggiori informazioni consultareGestisci in autonomia la garanzia di Surface e le richieste di assistenza.

Azioni	Descrizione
microsoft.hardware.support/shippingAddress/allProperties/allTasks	Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per i reclami di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read	Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/allTasks	Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Specialista garanzie hardware Microsoft

Assegnare il ruolo di Specialista garanzie hardware Microsoft agli utenti che devono eseguire le attività seguenti:

Creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens
Leggere le attestazioni di garanzia create
Leggere e aggiornare gli indirizzi di spedizione esistenti
Leggere lo stato di spedizione per le attestazioni di garanzia aperte create dall'utente
Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365

Azioni	Descrizione
microsoft.hardware.support/shippingAddress/allProperties/read	Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti
microsoft.hardware.support/warrantyClaims/createAsOwner	Creare attestazioni di garanzia hardware Microsoft in cui creator è il proprietario
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read	Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/read	Leggere attestazioni di garanzia hardware Microsoft

Amministratore di Commerce moderno

Non utilizzare. Questo ruolo viene assegnato automaticamente da Commerce e non è progettato o supportato per altri usi. Vedere i dettagli di seguito.

Il ruolo Amministratore di Commerce moderno concede a determinati utenti le autorizzazioni per accedere all'interfaccia di amministrazione di Microsoft 365 e visualizzare le voci di spostamento a sinistra per Home, Fatturazione e Supporto. I contenuti disponibili in queste aree sono controllati da ruoli specifici per attività commerciali assegnati agli utenti per gestire i prodotti acquistati per se stessi o per la propria organizzazione. Questo potrebbe includere attività quali il pagamento di fatture o l'accesso agli account di fatturazione e ai profili di fatturazione.

Gli utenti con il ruolo di amministratore di Commerce moderno hanno in genere autorizzazioni amministrative in altri sistemi di acquisto Microsoft, ma non hanno i ruoli di amministratore globale o amministratore della fatturazione usati per accedere all'interfaccia di amministrazione.

Quando viene assegnato il ruolo di amministratore di Commerce moderno?

Acquisto self-service nell'interfaccia di amministrazione di Microsoft 365 - L'acquisto self-service offre agli utenti la possibilità di provare nuovi prodotti acquistandoli o effettuando l'iscrizione autonomamente. Questi prodotti vengono gestiti nell'interfaccia di amministrazione. Agli utenti che effettuano un acquisto self-service viene assegnato un ruolo nel sistema commerciale e il ruolo di amministratore di Commerce moderno per poter gestire gli acquisti nell'interfaccia di amministrazione. Gli amministratori possono bloccare gli acquisti self-service (per Fabric, Power BI, Power Apps, Power Automate) tramite PowerShell. Per altre informazioni, vedere Domande frequenti sugli acquisti self-service.
Acquisti dal marketplace commerciale Microsoft - Analogamente all'acquisto self-service, quando un utente acquista un prodotto o un servizio da Microsoft AppSource o Azure Marketplace, viene assegnato il ruolo di amministratore di Commerce moderno se non ha il ruolo di amministratore globale o amministratore della fatturazione. In alcuni casi, è possibile che gli utenti non possano effettuare questi acquisti. Per altre informazioni, vedere Marketplace commerciale Microsoft.
Proposte da Microsoft - Una proposta è un'offerta formale da Microsoft all'organizzazione per l'acquisto di prodotti e servizi Microsoft. Quando la persona che accetta la proposta non ha un ruolo di amministratore globale o amministratore della fatturazione in Azure AD, viene assegnato un ruolo specifico per attività commerciali per completare la proposta e il ruolo di amministratore di Commerce moderno per accedere all'interfaccia di amministrazione. Quando accedono all'interfaccia di amministrazione, possono usare solo le funzionalità autorizzate dal proprio ruolo specifico per attività commerciali.
Ruoli specifici per attività commerciali - Ad alcuni utenti vengono assegnati ruoli specifici per attività commerciali. Se un utente non è un amministratore globale o di fatturazione, ottiene il ruolo di amministratore di Commerce moderno per poter accedere all'interfaccia di amministrazione.

Se viene annullata l'assegnazione del ruolo di amministratore di Commerce moderno a un utente, questi perderà l'accesso al centro di amministrazione di Microsoft 365. Se era responsabile della gestione di prodotti, per se stesso o per l'organizzazione, non sarà più in grado di occuparsene. I compiti di gestione potrebbero includere l'assegnazione di licenze, la modifica dei metodi di pagamento, il pagamento di fatture o altre attività per la gestione delle sottoscrizioni.

Azioni	Descrizione
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks	Gestire tutti gli aspetti del Centro servizi per contratti multilicenza
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di rete

Gli utenti con questo ruolo possono esaminare le raccomandazioni relative all'architettura perimetrale di rete di Microsoft basate sui dati di telemetria di rete dalle posizioni degli utenti. Le prestazioni di rete per Microsoft 365 si basano su un'attenta architettura perimetrale della rete della clientela aziendale, in genere specifica per la posizione degli utenti. Questo ruolo consente di modificare le posizioni utente individuate e la configurazione dei parametri di rete per tali posizioni per favorire le misurazioni di telemetria e le raccomandazioni di progettazione migliori

Azioni	Descrizione
microsoft.office365.network/locations/allProperties/allTasks	Gestire tutti gli aspetti dei percorsi di rete
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore delle app di Office

Gli utenti con questo ruolo possono gestire le impostazioni cloud per le app di Microsoft 365. Sono incluse la gestione dei criteri cloud, la gestione dei download self-service e la possibilità di visualizzare report correlati alle app di Office. Questo ruolo concede anche la possibilità di gestire i ticket di supporto e di monitorare l'integrità dei servizi nell'interfaccia di amministrazione principale. Gli utenti assegnati a questo ruolo possono anche gestire la comunicazione delle nuove funzionalità nelle app di Office.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks	Leggere e aggiornare la visibilità dei messaggi relativi alle novità
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore personalizzazione dell'organizzazione

Assegnare il ruolo di Amministratore marchi dell’organizzazione agli utenti che devono eseguire le attività seguenti:

Gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant
Leggere, creare, aggiornare ed eliminare temi di personalizzazione
Gestire il tema di personalizzazione predefinito e tutti i temi di localizzazione della personalizzazione

Azioni	Descrizione
microsoft.aad.directory/organization/allProperties/allTasks	Creare ed eliminare loginTenantBranding, leggere e aggiornare tutte le proprietà

Responsabile approvazione dei messaggi dell'organizzazione

Assegnare il ruolo di responsabile approvazione dei messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:

Esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365 prima che vengano inviati agli utenti usando la piattaforma Messaggi aziendali di Microsoft 365
Leggere tutti gli aspetti dei messaggi dell'organizzazione
Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Azioni	Descrizione
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/update	Approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Writer dei messaggi dell'organizzazione

Assegnare il ruolo di Writer dei messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:

Scrivere, pubblicare ed eliminare messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
Gestire le opzioni di recapito dei messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
Gestire le opzioni di recapito dei messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
Visualizzare i report sull'utilizzo e la maggior parte delle impostazioni nell'interfaccia di amministrazione di Microsoft 365, senza poter apportare modifiche

Azioni	Descrizione
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read	Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Supporto partner Livello 1

Si tratta di un ruolo con privilegi. Non utilizzare. Questo ruolo è stato dismesso e verrà rimosso da Microsoft Entra ID in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento solo per gli utenti non amministratori. Questo ruolo non deve essere usato perché è deprecato.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
aggiornamentoRuoliApplicazione/directoryMicrosoft/applicazioni	Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applicazioni/pubblico/aggiornamento	Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applicazioni/autenticazione/aggiornamento	Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applicazioni/base/aggiorna	Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update	Aggiornamento delle credenziali dell'applicazione
microsoft.directory/applications/notes/update	Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update	Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update	Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update (Note: As a URL, this remains the same unless context indicates otherwise.)	Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/tag/update	Aggiornamento dei tag delle applicazioni
microsoft.directory/contacts/basic/update	Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create	Creazione di contatti
microsoft.directory/contacts/delete	Elimina contatto
microsoft.directory/deletedItems.groups/restore	Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/deletedItems.users/restore	Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/groups/create	Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete	Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/gruppi/membri/aggiornamento	Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/gruppi/proprietari/aggiornamento	Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/restore	Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/users/assignLicense	Gestire le licenze utente
microsoft.directory/users/basic/update	Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/create	Aggiungere utenti
microsoft.directory/utenti/elimina	Eliminare utenti
microsoft.directory/utenti/disattiva	Disabilitazione degli utenti
microsoft.directory/users/enable	Abilitazione degli utenti
microsoft.directory/users/invalidateAllRefreshTokens	Forzatura della disconnessione invalidando i token di aggiornamento utente
microsoft.directory/users/manager/update	Gestione degli aggiornamenti per gli utenti
microsoft.directory/utenti/password/aggiornamento	Reimpostazione delle password per tutti gli utenti
microsoft.directory/users/photo/update	Aggiornare la foto degli utenti
microsoft.directory/users/restore	Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update	Aggiornamento del nome dell'entità utente degli utenti
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Supporto partner Livello 2

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento per tutti gli amministratori e gli amministratori non (inclusi gli amministratori globali). Questo ruolo non deve essere usato perché è deprecato.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
aggiornamentoRuoliApplicazione/directoryMicrosoft/applicazioni	Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applicazioni/pubblico/aggiornamento	Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applicazioni/autenticazione/aggiornamento	Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applicazioni/base/aggiorna	Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update	Aggiornamento delle credenziali dell'applicazione
microsoft.directory/applications/notes/update	Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update	Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update	Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update (Note: As a URL, this remains the same unless context indicates otherwise.)	Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/tag/update	Aggiornamento dei tag delle applicazioni
microsoft.directory/contacts/basic/update	Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create	Creazione di contatti
microsoft.directory/contacts/delete	Elimina contatto
microsoft.directory/deletedItems.groups/restore	Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/deletedItems.users/restore	Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/domains/allProperties/allTasks	Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà
microsoft.directory/groups/create	Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete	Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/gruppi/membri/aggiornamento	Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/gruppi/proprietari/aggiornamento	Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/restore	Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
microsoft.directory/organization/basic/update	Aggiornare le proprietà di base nell'organizzazione
microsoft.directory/roleAssignments/allProperties/allTasks	Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks	Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/subscribedSkus/standard/read	Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/assignLicense	Gestire le licenze utente
microsoft.directory/users/basic/update	Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/create	Aggiungere utenti
microsoft.directory/utenti/elimina	Eliminare utenti
microsoft.directory/utenti/disattiva	Disabilitazione degli utenti
microsoft.directory/users/enable	Abilitazione degli utenti
microsoft.directory/users/invalidateAllRefreshTokens	Forzatura della disconnessione invalidando i token di aggiornamento utente
microsoft.directory/users/manager/update	Gestione degli aggiornamenti per gli utenti
microsoft.directory/utenti/password/aggiornamento	Reimpostazione delle password per tutti gli utenti
microsoft.directory/users/photo/update	Aggiornare la foto degli utenti
microsoft.directory/users/restore	Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update	Aggiornamento del nome dell'entità utente degli utenti
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore password

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno la possibilità di gestire le password in modo limitato. Questo ruolo non concede la possibilità di gestire le richieste di servizio o di monitorare l'integrità dei servizi. La facoltà di un Amministratore di password di reimpostare la password di un utente dipende dal ruolo assegnato all'utente. Per un elenco dei ruoli per cui un amministratore password può reimpostare le password, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.

Azioni	Descrizione
microsoft.directory/utenti/password/aggiornamento	Reimpostazione delle password per tutti gli utenti
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore persone

Assegnare il ruolo Amministratore persone agli utenti che devono eseguire le attività seguenti:

Aggiornare le foto del profilo per tutti gli utenti, inclusi gli amministratori
Aggiornare le impostazioni delle persone per tutti gli utenti, ad esempio pronomi, pronuncia del nome e impostazioni della scheda profilo

Azioni	Descrizione
microsoft.peopleAdmin/organization/allProperties/read	Leggere le impostazioni delle persone per gli utenti, ad esempio pronomi, pronuncia del nome e impostazioni della scheda profilo
microsoft.peopleAdmin/organization/allProperties/update	Aggiornare le impostazioni delle persone per gli utenti, ad esempio pronomi, pronuncia del nome e impostazioni della scheda profilo
microsoft.people/users/photo/read	Leggere la foto del profilo dell'utente
microsoft.people/users/photo/update	Aggiornare la foto del profilo dell'utente

Amministratore gestione autorizzazioni

Assegnare il ruolo di Amministratore gestione autorizzazioni agli utenti che devono eseguire le attività seguenti:

Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra, quando il servizio è presente

Altre informazioni sui ruoli e i criteri di gestione delle autorizzazioni sono disponibili in Visualizzare informazioni sui ruoli/criteri.

Azioni	Descrizione
microsoft.permissionsManagement/allEntities/allProperties/allTasks	Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra

Amministratore di Power Platform

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti degli ambienti, di Power Apps, Flows e i criteri di prevenzione della perdita dei dati. Possono inoltre gestire i ticket di supporto e monitorare l'integrità del servizio.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.dynamics365/allEntities/allTasks	Gestione di tutti gli aspetti di Dynamics 365
microsoft.flow/allEntities/allTasks	Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.powerApps/allEntities/allTasks	Gestire tutti gli aspetti di PowerApps

Amministratore stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni del connettore Stampa universale. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori stampante possono anche accedere ai report di stampa.

Azioni	Descrizione
microsoft.azure.print/allEntities/allProperties/allTasks	Creare ed eliminare stampanti e connettori e leggere e aggiornare tutte le proprietà in Stampa Microsoft

Tecnico della stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire lo stato della stampante nella soluzione Stampa universale Microsoft. Possono anche leggere tutte le informazioni sul connettore. Due attività chiave che un tecnico della stampante non può eseguire sono impostare le autorizzazioni utente per le stampanti e condividere stampanti.

Azioni	Descrizione
microsoft.azure.print/connectors/allProperties/read	Leggere tutte le proprietà dei connettori in Stampa Microsoft
microsoft.azure.print/printers/allProperties/read	Leggere tutte le proprietà delle stampanti in Stampa Microsoft.
microsoft.azure.print/printers/basic/update	Aggiornare le proprietà di base delle stampanti in Stampa Microsoft
microsoft.azure.print/printers/register	Registrare le stampanti in Stampa Microsoft
microsoft.azure.print/printers/unregister	Annullare la registrazione delle stampanti in Stampa Microsoft

Amministratore dell'autenticazione con privilegi

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore dell'autenticazione con privilegi agli utenti che devono eseguire le operazioni seguenti:

Impostare o reimpostare un metodo di autenticazione, tra cui le password, per qualsiasi utente, inclusi gli Amministratori globali.
Eliminare o ripristinare tutti gli utenti, inclusi gli Amministratori globali. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
Forzare gli utenti a registrare nuovamente le credenziali non password esistenti (ad esempio MFA o FIDO2) e revocare ricordare l'autenticazione a più fattori nel dispositivo, richiedendo l'autenticazione a più fattori al successivo accesso di tutti gli utenti.
Aggiornare le proprietà sensibili per tutti gli utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365.
Configurare le autorità di certificazione con un archivio attendibilità basato su PKI (anteprima)

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Non è possibile gestire l'autenticazione a più fattori per singolo utente nel portale di gestione legacy dell'autenticazione a più fattori.

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo	Gestione dei metodi di autenticazione dell'utente	Gestione di MFA per utente	Gestione delle impostazioni di MFA	Gestione dei criteri del metodo di autenticazione	Gestione dei criteri di protezione password	Aggiornamento delle proprietà sensibili	Eliminazione e ripristino degli utenti
Amministratore dell'autenticazione	Sì, per alcuni utenti	NO	NO	NO	NO	Sì, per alcuni utenti	Sì, per alcuni utenti
Amministratore autenticazione con privilegi	Sì, per tutti gli utenti	NO	NO	NO	NO	Sì, per tutti gli utenti	Sì, per tutti gli utenti
Amministratore dei criteri di autenticazione	NO	Sì	Sì	Sì	Sì	NO	NO
Amministratore utenti	NO	NO	NO	NO	NO	Sì, per alcuni utenti	Sì, per alcuni utenti

Importante

Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere in Microsoft Entra ID e altrove autorizzazioni con privilegi non concesse agli amministratori dell'autenticazione. Questo significa che un amministratore dell'autenticazione può assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/deletedItems.users/restore	Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/users/authenticationMethods/basic/update	Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/create	Aggiornamento dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/delete	Eliminazione dei metodi di autenticazione per gli utenti
microsoft.directory/users/authenticationMethods/standard/read	Leggere le proprietà standard dei metodi di autenticazione per gli utenti
microsoft.directory/users/authorizationInfo/update	Aggiornare la proprietà ID utente certificato multivalore degli utenti
microsoft.directory/users/basic/update	Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/utenti/elimina	Eliminare utenti
microsoft.directory/utenti/disattiva	Disabilitazione degli utenti
microsoft.directory/users/enable	Abilitazione degli utenti
microsoft.directory/users/invalidateAllRefreshTokens	Forzatura della disconnessione invalidando i token di aggiornamento utente
microsoft.directory/users/manager/update	Gestione degli aggiornamenti per gli utenti
microsoft.directory/utenti/password/aggiornamento	Reimpostazione delle password per tutti gli utenti
microsoft.directory/users/restore	Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update	Aggiornamento del nome dell'entità utente degli utenti
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore ruolo con privilegi

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Microsoft Entra ID come anche all'interno di Microsoft Entra Privileged Identity Management. Possono creare e gestire gruppi che possono essere assegnati ai ruoli di Microsoft Entra. Inoltre, questo ruolo consente la gestione di tutti gli aspetti di Privileged Identity Management e delle unità amministrative.

Importante

Questo ruolo concede la possibilità di gestire le assegnazioni per tutti i ruoli di Microsoft Entra, incluso il ruolo di amministratore globale. Questo ruolo non prevede altre capacità con privilegi in Microsoft Entra ID, come ad esempio la creazione o l'aggiornamento degli utenti. Tuttavia, gli utenti assegnati a questo ruolo possono concedere a se stessi o ad altri utenti privilegi aggiuntivi, perché possono assegnare ruoli aggiuntivi.

Azioni	Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/read	Leggere tutte le proprietà delle verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks	Gestire le verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update	Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create	Creare verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete	Eliminare le verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks	Creare e gestire le unità amministrative (inclusi i membri)
microsoft.directory/authorizationPolicy/allProperties/allTasks	Gestire tutti gli aspetti dei criteri di autorizzazione
microsoft.directory/directoryRoles/allProperties/allTasks	Creare ed eliminare ruoli directory, leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/allProperties/update	Aggiornare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/assignLicense	Assegnare una licenza a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/create	Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete	Eliminare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment	Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/restore	Ripristinare gruppi assegnabili a ruoli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
microsoft.directory/permissionGrantPolicies/allProperties/read	Leggere tutte le proprietà dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/allProperties/update	Aggiornare tutte le proprietà dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/create	Creare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/elimina	Eliminare criteri di concessione delle autorizzazioni
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks	Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks	Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks	Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione
microsoft.directory/principaliDelServizio/permessi/aggiorna	Aggiornamento delle autorizzazioni delle entità servizio
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore che legge i report

Gli utenti con questo ruolo possono visualizzare i dati dei report sull'utilizzo e il dashboard dei report nell'interfaccia di amministrazione di Microsoft 365 e l’adozione del pacchetto contesto in Fabric e in Power BI. Il ruolo consente anche l'accesso ai log di accesso, ai log di audit e ai report sulle attività in Microsoft Entra ID e ai dati restituiti dall'API di creazione report di Microsoft Graph. Un utente assegnato al ruolo di lettore di report può accedere solo alle metriche rilevanti per utilizzo e adozione. Questi utenti non hanno le autorizzazioni di amministratore per configurare le impostazioni o accedere alle interfacce di amministrazione specifiche di prodotti come Exchange. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della ricerca

Gli utenti con questo ruolo hanno accesso completo a tutte le funzionalità di gestione di Microsoft Search nell'interfaccia di amministrazione di Microsoft 365. Questi utenti possono anche visualizzare il centro messaggi, monitorare l'integrità del servizio e creare richieste di servizio.

Azioni	Descrizione
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage	Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Editor della ricerca

Gli utenti con questo ruolo possono creare, gestire ed eliminare contenuti per Microsoft Search nell'interfaccia di amministrazione di Microsoft 365, inclusi segnalibri, domande e risposte e posizioni.

Azioni	Descrizione
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage	Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della sicurezza

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno le autorizzazioni necessarie per gestire le funzionalità relative alla sicurezza nel portale di Microsoft 365 Defender, in Microsoft Entra ID Protection, per l'autenticazione di Microsoft Entra, in Azure Information Protection e nel portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.

In	Può eseguire
Portale di Microsoft 365 Defender	Monitorare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365 Gestire gli avvisi e le minacce alla sicurezza Visualizzazione di report
Microsoft Entra ID Protection	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Eseguire tutte le operazioni di protezione ID, ad eccezione della reimpostazione delle password
Privileged Identity Management	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Non è consentito gestire le assegnazioni di ruolo o le impostazioni di Azure AD
Portale di conformità di Microsoft Purview	Gestire i criteri di sicurezza Visualizzare, analizzare e rispondere alle minacce alla sicurezza Visualizzazione di report
Azure Advanced Threat Protection (Protezione Avanzata dalle Minacce di Azure)	Monitorare e rispondere alle attività sospette dal punto di vista della sicurezza
Microsoft Defender per endpoint	Assegnazione di ruoli Gestione dei gruppi di computer Configurare il rilevamento delle minacce agli endpoint e le funzionalità automatizzate di correzione Visualizzare, analizzare e rispondere agli avvisi Visualizzare l'inventario di computer/dispositivi.
Intune	Esegue il mapping al ruolo Intune Endpoint Security Manager
Microsoft Defender per le app cloud	Aggiungere amministratori, criteri e impostazioni, caricare i log ed eseguire azioni di governance
Integrità dei servizi di Microsoft 365	Visualizzare lo stato di integrità dei servizi di Microsoft 365
Blocco intelligente	Definire la soglia e la durata dei blocchi quando si verificano eventi di accesso non riuscito.
Password di protezione	Configurare l'elenco delle password personalizzate escluse o la password di protezione locale.
Sincronizzazione tra tenant	Configurare le impostazioni di accesso tra tenant per gli utenti in un altro tenant. Gli amministratori della sicurezza non possono creare ed eliminare direttamente gli utenti, ma possono creare ed eliminare indirettamente gli utenti sincronizzati da un altro tenant quando entrambi i tenant sono configurati per la sincronizzazione tra tenant, ovvero un'autorizzazione con privilegi.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/applications/policies/update (Note: As a URL, this remains the same unless context indicates otherwise.)	Aggiornamento dei criteri delle applicazioni
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read	Leggere i metadati e la chiave BitLocker nei dispositivi
microsoft.directory/policies/conditionalAccess/basic/update	Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/create	Creare criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/delete	Eliminare criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/read	Elencare tutti i criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/update	Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read	Leggere l'accesso condizionale per i criteri
microsoft.directory/policies/conditionalAccess/tenantDefault/update	Aggiornare il tenant predefinito per i criteri di accesso condizionale
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update	Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update	Aggiornamento delle impostazioni di connessione diretta B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update	Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/create	Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete	Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update	Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create	Creare criteri di sincronizzazione tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update	Aggiornamento dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings	Reimpostazione del modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update	Aggiornamento dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings	Reimpostazione del modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/credenzialiLocaliDispositivo/standard/leggi	Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/domains/federationConfiguration/basic/update	Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create	Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete	Eliminare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/standard/read	Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/domains/federation/update	Aggiornare la proprietà federativa dei domini
microsoft.directory/entitlementManagement/allProperties/read	Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/identityProtection/allProperties/read	Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update	Aggiornare tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/basic/update	Aggiornare le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/create	Creare un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update	Unirsi a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read	Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create	Creare un tenant in un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete	Eliminare un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update	Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read	Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/basic/update	Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/create	Creare regole personalizzate per definire i percorsi di rete
microsoft.directory/namedLocations/delete	Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read	Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/basic/update	Aggiornamento delle proprietà di base nei criteri
microsoft.directory/policies/create	Creazione di criteri in Microsoft Entra ID
microsoft.directory/policies/delete	Eliminare i criteri in Microsoft Entra ID
microsoft.directory/policies/owners/update	Aggiornamento dei proprietari dei criteri
microsoft.directory/policies/tenantDefault/update	Aggiornare i criteri predefiniti dell'organizzazione
microsoft.directory/privilegedIdentityManagement/allProperties/read	Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/aggiornamento	Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365
microsoft.directory/servicePrincipals/policies/aggiornare	Aggiornamento dei criteri nelle entità servizio
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.networkAccess/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/update	Aggiornare le proprietà di base di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/allEntities/standard/read	Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Creare e gestire payload di attacco nel simulatore di attacchi
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Leggere i report della simulazione di attacchi, le risposte e il training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	Creare e gestire modelli di simulazione di attacchi nel simulatore di attacchi
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Operatore per la sicurezza

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire gli avvisi e hanno accesso globale di sola lettura alle funzionalità correlate alla sicurezza, incluse tutte le informazioni disponibili sul portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management e sul portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.

In	Può eseguire
Portale di Microsoft 365 Defender	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per minacce alla sicurezza Gestire le impostazioni di sicurezza nel portale di Microsoft 365 Defender
Microsoft Entra ID Protection	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Eseguire tutte le operazioni di protezione ID, ad eccezione della configurazione o della modifica dei criteri basati sul rischio, della reimpostazione delle password e della configurazione dei messaggi di posta elettronica degli avvisi.
Privileged Identity Management	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Portale di conformità di Microsoft Purview	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Microsoft Defender per endpoint	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo di amministratore che legge i dati di sicurezza, perdono l'accesso fino a quando non vengono assegnati a un ruolo di Microsoft Defender per endpoint.
Intune	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Microsoft Defender per le app cloud	Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Integrità dei servizi di Microsoft 365	Visualizzare lo stato di integrità dei servizi di Microsoft 365

Azioni	Descrizione
microsoft.azure.advancedThreatProtection/allEntities/read	Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks	Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Microsoft Entra ID Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read	Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.intune/allEntities/read	Lettura di tutte le risorse in Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks	Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	Gestione di tutti gli aspetti di Microsoft Defender per endpoint

Ruolo con autorizzazioni di lettura per la sicurezza

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno accesso in sola lettura globale alle funzionalità correlate alla sicurezza, incluse tutte le informazioni sul portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management, come anche la possibilità di leggere i report di accesso e i log di controllo di Microsoft Entra e sul portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.

In	Può eseguire
Portale di Microsoft 365 Defender	Visualizzare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365 Visualizzare gli avvisi e le minacce alla sicurezza Visualizzazione di report
Microsoft Entra ID Protection	Visualizzazione di tutti i report di Identity Protection e della Panoramica
Privileged Identity Management	Ha accesso in sola lettura a tutte le informazioni visualizzate in Microsoft Entra Privileged Identity Management: criteri e report per le assegnazioni di ruolo e le verifiche di sicurezza di Microsoft Entra. Non è possibile registrarsi a Privileged Identity Management di Microsoft Entra o apportare modifiche. Nel portale di Privileged Identity Management o tramite PowerShell un utente di questo ruolo può attivare ruoli aggiuntivi (ad esempio, Amministratore ruolo con privilegi), se l'utente è idoneo per loro.
Portale di conformità di Microsoft Purview	Visualizzare i criteri di sicurezza Visualizzare e analizzare le minacce alla sicurezza Visualizzazione di report
Microsoft Defender per endpoint	Visualizzare e analizzare gli avvisi Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo di amministratore che legge i dati di sicurezza, perdono l'accesso fino a quando non vengono assegnati a un ruolo di Microsoft Defender per endpoint.
Intune	Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione. Non è consentito apportare modifiche a Intune.
Microsoft Defender per le app cloud	In possesso di permessi di lettura.
Integrità dei servizi di Microsoft 365	Visualizzare lo stato di integrità dei servizi di Microsoft 365

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/accessReviews/definitions/allProperties/read	Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/auditLogs/allProperties/read	Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read	Leggere i metadati e la chiave BitLocker nei dispositivi
microsoft.directory/policies/conditionalAccess/owners/read	Elencare tutti i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read	Leggere l'accesso condizionale per i criteri
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/credenzialiLocaliDispositivo/standard/leggi	Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/domains/federationConfiguration/standard/read	Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/read	Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/identityProtection/allProperties/read	Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read	Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read	Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/standard/read	Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/owners/read	Leggere i proprietari dei criteri
microsoft.directory/policies/policyAppliedTo/read	Leggere la proprietà policies.policyAppliedTo
microsoft.directory/policies/standard/read	Leggere le proprietà di base sui criteri
microsoft.directory/privilegedIdentityManagement/allProperties/read	Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/signInReports/allProperties/read	Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.networkAccess/allEntities/allProperties/read	Leggere tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/standard/read	Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read	Leggere tutte le proprietà dei payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Leggere i report della simulazione di attacchi, le risposte e il training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read	Leggere tutte le proprietà dei modelli di simulazione degli attacchi in Simulatore di attacco
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore servizio di supporto

Gli utenti con questo ruolo possono creare e gestire le richieste di supporto per i servizi di Microsoft per Azure e Microsoft 365, nonché visualizzare il dashboard del servizio e il centro messaggi nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

In precedenza, questo ruolo era denominato Amministratore del servizio nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. È stato rinominato Amministratore del supporto tecnico del servizio per allinearlo al nome esistente nell'API Microsoft Graph e in Microsoft Graph PowerShell.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di SharePoint

Gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft SharePoint Online, quando il servizio è presente, come anche la possibilità creare e gestire tutti i gruppi di Microsoft 365, di gestire i ticket di supporto e monitorare l'integrità del servizio. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio SharePoint. Nel portale di Azure è denominato amministratore di SharePoint.

Nota

Questo ruolo concede anche autorizzazioni con ambito all'API Microsoft Graph per Microsoft Intune, consentendo la gestione e la configurazione dei criteri correlati alle risorse di SharePoint e OneDrive.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks	Creare e gestire i criteri di protezione di OneDrive in Microsoft 365 Backup
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks	Leggere e configurare la sessione di ripristino per OneDrive in Microsoft 365 Backup
microsoft.backup/restorePoints/sites/allProperties/allTasks	Gestire tutti i punti di ripristino associati ai siti di SharePoint selezionati in Backup M365
microsoft.backup/restorePoints/userDrives/allProperties/allTasks	Gestire tutti i punti di ripristino associati agli account di OneDrive selezionati in Backup di M365
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks	Creare e gestire i criteri di protezione di SharePoint in Backup di Microsoft 365
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks	Leggere e configurare la sessione di ripristino per SharePoint in Backup di Microsoft 365
microsoft.backup/siteProtectionUnits/allProperties/allTasks	Gestire i siti aggiunti ai criteri di protezione di SharePoint in Microsoft 365 Backup
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks	Gestire i siti aggiunti per ripristinare la sessione per SharePoint in Backup di Microsoft 365
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks	Gestire gli account aggiunti ai criteri di protezione di OneDrive in Backup di Microsoft 365
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks	Gestire gli account aggiunti per ripristinare la sessione per OneDrive in Backup di Microsoft 365
microsoft.directory/groups/hiddenMembers/read	Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update	Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create	Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete	Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update	Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update	Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore	Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.office365.migrations/allEntities/allProperties/allTasks	Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di SharePoint Embedded

Assegnare il ruolo di Amministratore integrato di SharePoint agli utenti che devono eseguire le attività seguenti:

Eseguire tutte le attività usando PowerShell, l'API Microsoft Graph o l'interfaccia di amministrazione di SharePoint
Gestire, configurare e gestire i contenitori di SharePoint Embedded
Enumerare e gestire contenitori di SharePoint Embedded
Enumerare e gestire le autorizzazioni per i contenitori di SharePoint Embedded
Gestire l'archiviazione dei contenitori di SharePoint Embedded in un tenant
Assegnare criteri di sicurezza e conformità nei contenitori di SharePoint Embedded
Applicare criteri di sicurezza e conformità nei contenitori di SharePoint Embedded in un tenant

Ulteriori informazioni

Azioni	Descrizione
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks	Gestire tutti gli aspetti dei contenitori di SharePoint Embedded
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Skype for Business

Gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft Skype for Business, quando il servizio è presente, come anche la possibilità di gestire gli attributi specifici per Skype in Microsoft Entra ID. Inoltre, questo ruolo garantisce la possibilità di gestire i ticket di supporto e monitorare l'integrità del servizio, e di accedere all'interfaccia di amministrazione di Teams e di Skype for Business. L'account deve anche avere una licenza per Teams. In caso contrario, non può eseguire i cmdlet di PowerShell per Teams. Per altre informazioni, consultare Amministratore Skype for Business Online e le informazioni sulle licenze per Teams, in licenza aggiuntiva per Skype for Business.

Nota

Nell'API Microsoft Graph e in Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Lync. Nel portale di Azure è denominato amministratore di Skype for Business.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Teams

Gli utenti in questo ruolo possono gestire tutti gli aspetti del carico di lavoro Microsoft Teams tramite l'interfaccia di amministrazione di Microsoft Teams e Skype for Business e i rispettivi moduli di PowerShell. Sono inclusi, tra le altre aree, tutti gli strumenti di gestione correlati a telefonia, messaggistica, riunioni e i team stessi. Il ruolo concede anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create	Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read	Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/externalUserProfiles/basic/update	Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/delete	Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/standard/read	Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/groups/hiddenMembers/read	Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update	Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create	Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete	Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update	Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update	Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore	Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.directory/pendingExternalUserProfiles/basic/update	Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/create	Creare profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/delete	Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/standard/read	Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/standard/read	Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks	Gestire tutte le risorse in Teams

Amministratore delle comunicazioni di Teams

Gli utenti con questo ruolo possono gestire gli aspetti del carico di lavoro Microsoft Teams correlati a voce e telefonia. Sono inclusi gli strumenti di gestione per l'assegnazione di numeri di telefono, i criteri per chiamate vocali e riunioni, nonché l'accesso completo al set di strumenti di analisi delle chiamate.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read	Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)
microsoft.teams/meetings/allProperties/allTasks	Gestire le riunioni, inclusi i criteri di riunione, le configurazioni e i bridge di conferenza
microsoft.teams/voice/allProperties/allTasks	Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono

Tecnico supporto comunicazioni Teams

Gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti in questo ruolo possono visualizzare informazioni complete sui record delle chiamate per tutti i partecipanti coinvolti. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read	Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)

Specialista supporto comunicazioni Teams

Gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti con questo ruolo possono visualizzare i dettagli dell'utente nella chiamata per l'utente specifico cercato. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/standard/read	Leggere i dati di base nel Dashboard Qualità delle chiamate (CQD)

Amministratore di dispositivi di Teams

Gli utenti con questo ruolo possono gestire i dispositivi certificati da Teams dall'interfaccia di amministrazione di Teams. Questo ruolo consente di visualizzare tutti i dispositivi a colpo d'occhio, con la possibilità di cercarli e filtrarli. L'utente può controllare i dettagli di ogni dispositivo, tra cui account connesso, marca e modello del dispositivo. L'utente può modificare le impostazioni nel dispositivo e aggiornare le versioni del software. Questo ruolo non concede le autorizzazioni per controllare l'attività di Teams e la qualità delle chiamate del dispositivo.

Azioni	Descrizione
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/devices/standard/read	Gestire tutti gli aspetti dei dispositivi certificati di Teams, inclusi i criteri di configurazione

Amministratore di telefonia di Teams

Assegnare il ruolo di Amministratore di telefonia Teams agli utenti che devono eseguire le attività seguenti:

Gestire la voce e la telefonia, inclusi i criteri di chiamata, la gestione e l'assegnazione dei numeri di telefono e le applicazioni vocali
Accesso solo ai report di utilizzo PSTN (Public Switched Telephone Network) dall'interfaccia di amministrazione di Teams
Visualizzare la pagina del profilo utente
Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365

Ulteriori informazioni

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read	Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read	Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)
microsoft.teams/voice/allProperties/allTasks	Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono

Creatore tenant

Assegnare il ruolo di Creatore tenant agli utenti che devono eseguire le attività seguenti:

Creare sia tenant di Microsoft Entra che tenant di Azure Active Directory B2C anche se la creazione del tenant è disattivata nelle impostazioni utente

Nota

Ai creatori di tenant verrà assegnato il ruolo di amministratore globale nei nuovi tenant creati.

Azioni	Descrizione
microsoft.directory/tenantManagement/tenants/create	Creare un nuovo tenant in Microsoft Entra ID

Ruolo con autorizzazioni di lettura per i report di riepilogo dell'utilizzo

Assegnare il ruolo Lettore report di riepilogo utilizzo agli utenti che devono eseguire le attività seguenti nel interfaccia di amministrazione di Microsoft 365:

Visualizzare i report sull'utilizzo e il punteggio di adozione
Leggere informazioni dettagliate sull'organizzazione, ma non informazioni personali (PII) degli utenti

Questo ruolo consente solo agli utenti di visualizzare i dati a livello di organizzazione con le eccezioni seguenti:

Gli utenti membri possono visualizzare i dati e le impostazioni di gestione degli utenti.
Gli utenti guest assegnati a questo ruolo non possono visualizzare i dati e le impostazioni di gestione degli utenti.

Azioni	Descrizione
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read	Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore utenti

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore utenti agli utenti che devono eseguire le attività seguenti:

Autorizzazione	Ulteriori informazioni
Creare utenti
Aggiornare la maggior parte delle proprietà utente per tutti gli utenti, inclusi tutti gli amministratori	Chi può eseguire azioni sensibili
Aggiornare le proprietà sensibili, tra cui lo user principal name, per alcuni utenti	Chi può eseguire azioni sensibili
Disabilitare o abilitare alcuni utenti	Chi può eseguire azioni sensibili
Eliminare o ripristinare alcuni utenti	Chi può eseguire azioni sensibili
Creare e gestire visualizzazioni utente
Creare e gestire tutti i gruppi
Assegnare e leggere le licenze per tutti gli utenti, inclusi tutti gli amministratori
Reimpostare le password	Utenti autorizzati a reimpostare le password
Invalidare i token di aggiornamento	Utenti autorizzati a reimpostare le password
Aggiornare le chiavi dispositivo (FIDO)
Aggiornare i criteri di scadenza delle password
Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365
Monitorare l'integrità dei servizi

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Non è possibile gestire l'autenticazione a più fattori.
Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.
Non è possibile gestire le cassette postali condivise
Non è possibile modificare le domande di sicurezza per l'operazione di reimpostazione della password.

Importante

Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse agli amministratori utenti. Ciò significa che un amministratore degli utenti potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	Gestire le verifiche di accesso delle assegnazioni del ruolo applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read	Leggere tutte le proprietà delle verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	Gestire le verifiche di accesso per le assegnazioni di un pacchetto di accesso nella gestione entitlement
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/allProperties/update	Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/create	Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete	Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/contacts/basic/update	Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create	Creazione di contatti
microsoft.directory/contacts/delete	Elimina contatto
microsoft.directory/deletedItems.groups/restore	Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/deletedItems.users/restore	Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/entitlementManagement/allProperties/allTasks	Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/groups/assignLicense	Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/basic/update	Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/classification/update	Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/create	Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete	Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.aad.directory/groups/dynamicMembershipRule/update	Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/groupType/update	Aggiornamento delle proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a un ruolo
microsoft.directory/groups/hiddenMembers/read	Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/gruppi/membri/aggiornamento	Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/onPremWriteBack/update	Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect
microsoft.directory/gruppi/proprietari/aggiornamento	Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment	Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/groups/restore	Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/gruppi/impostazioni/aggiorna	Aggiornamento delle impostazioni dei gruppi
microsoft.directory/groups/visibility/update	Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
microsoft.directory/policies/standard/read	Leggere le proprietà di base sui criteri
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/users/assignLicense	Gestire le licenze utente
microsoft.directory/users/basic/update	Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/convertExternalToInternalMemberUser	Convertire l'utente esterno in un utente interno
microsoft.directory/users/create	Aggiungere utenti
microsoft.directory/utenti/elimina	Eliminare utenti
microsoft.directory/utenti/disattiva	Disabilitazione degli utenti
microsoft.directory/users/enable	Abilitazione degli utenti
microsoft.directory/users/invalidateAllRefreshTokens	Forzatura della disconnessione invalidando i token di aggiornamento utente
microsoft.directory/users/inviteGuest	Invitare gli utenti guest
microsoft.directory/users/lifeCycleInfo/read	Leggere le informazioni sul ciclo di vita degli utenti, ad esempio employeeLeaveDateTime
microsoft.directory/users/manager/update	Gestione degli aggiornamenti per gli utenti
microsoft.directory/utenti/password/aggiornamento	Reimpostazione delle password per tutti gli utenti
microsoft.directory/users/photo/update	Aggiornare la foto degli utenti
microsoft.directory/users/reprocessLicenseAssignment	Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/restore	Ripristinare gli utenti eliminati
microsoft.directory/users/sponsors/update	Aggiornare gli sponsor degli utenti
microsoft.directory/users/usageLocation/update	Aggiornare la posizione di utilizzo degli utenti
microsoft.directory/users/userPrincipalName/update	Aggiornamento del nome dell'entità utente degli utenti
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Responsabile del successo dell'esperienza utente

Assegnare il ruolo Responsabile del successo dell'esperienza utente agli utenti che devono eseguire le attività seguenti:

Leggere i report di utilizzo a livello di organizzazione per app e servizi di Microsoft 365, ma non i dettagli utente
Visualizzare il feedback sui prodotti dell'organizzazione, i risultati del sondaggio Net Promoter Score (NPS) e le visualizzazioni dell'articolo di supporto per identificare le opportunità di comunicazione e formazione
Leggere i post del Centro messaggi e i dati sull'integrità dei servizi

Ulteriori informazioni

Azioni	Descrizione
microsoft.commerce.billing/purchases/standard/read	Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365.
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read	Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Visite virtuali

Gli utenti con questo ruolo possono eseguire le attività seguenti:

Gestire e configurare tutti gli aspetti delle visite virtuali di Bookings nell'interfaccia di amministrazione di Microsoft 365 e nel connettore delle CCE di Teams
Visualizzare i report sull'utilizzo per le visite virtuali nell'interfaccia di amministrazione di Teams, nell'interfaccia di amministrazione di Microsoft 365, in Fabric e in Power BI
Visualizzare le funzionalità e le impostazioni nell'interfaccia di amministrazione di Microsoft 365, ma non è possibile modificare le impostazioni

Le visite virtuali sono un modo semplice per pianificare e gestire appuntamenti online e video per il personale e i partecipanti. Ad esempio, la segnalazione sull'utilizzo può mostrare come inviare SMS prima degli appuntamenti possa ridurre il numero di persone che non si presentano agli appuntamenti.

Azioni	Descrizione
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.virtualVisits/allEntities/allProperties/allTasks	Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali

Amministratore tenant Viva Glint

Assegnare il ruolo di amministratore tenant viva Glint agli utenti che devono eseguire le attività seguenti:

Leggere e configurare le impostazioni di Viva Glint nell'interfaccia di amministrazione di Microsoft 365
Assegnare o rimuovere amministratori del servizio Viva Glint
Creare e gestire i criteri di gestione degli accessi alle funzionalità viva
Visualizzare e gestire le esperienze viva Glint (se applicabile)
Creazione e gestione dei ticket di supporto per Azure

Per altre informazioni, vedere Ruoli chiave per Viva Glint e Assegnare gli amministratori di servizi e tenant Viva Glint.

Azioni	Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.viva.glint/allEntities/allProperties/allTasks	Gestire e configurare tutte le impostazioni di Microsoft Viva Glint nell'interfaccia di amministrazione di Microsoft 365

Amministratore Viva Goals

Assegnare il ruolo di Amministratore di Viva Goals agli utenti che devono eseguire le attività seguenti:

Gestire e configurare tutti gli aspetti dell'applicazione Microsoft Viva Goals
Configurare le impostazioni di amministratore di Microsoft Viva Goals
Leggere le informazioni sul tenant di Microsoft Entra
Monitorare l'integrità dei servizi di Microsoft 365
Creazione e gestione delle richieste di servizio Microsoft 365

Per altre informazioni, consultare Ruoli e autorizzazioni in Viva Goals e Introduzione a Microsoft Viva Goals.

Azioni	Descrizione
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Viva Goals

Amministratore di Viva Pulse

Assegnare il ruolo di Amministratore di Viva Pulse agli utenti che devono eseguire le attività seguenti:

Leggere e configurare tutte le impostazioni di Viva Pulse
Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
Lettura e configurazione del servizio di integrità dei servizi di Azure
Creazione e gestione dei ticket di supporto per Azure
Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365

Per ulteriori informazioni, consultare Assegnare il ruolo di amministratore di Viva Pulse nell'interfaccia di amministrazione di Microsoft 365.

Azioni	Descrizione
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Microsoft Viva Pulse

Amministratore di Windows 365

Gli utenti con questo ruolo hanno autorizzazioni globali sulle risorse di Windows 365, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi.

Questo ruolo può creare e gestire i gruppi di sicurezza, ma non dispone dei diritti di amministratore sui gruppi di Microsoft 365. Ciò significa che gli amministratori non possono aggiornare i proprietari o le appartenenze dei gruppi di Microsoft 365 nell'organizzazione. Possono gestire, tuttavia, il gruppo di Microsoft 365 creato, operazione che rientra tra i privilegi degli utenti finali. Qualsiasi gruppo di Microsoft 365 creato, esclusi i gruppi di sicurezza, viene pertanto conteggiato nella quota di 250.

Assegnare il ruolo di Amministratore di Windows 365 agli utenti che devono eseguire le attività seguenti:

Gestire Cloud PC Windows 365 in Microsoft Intune
Registrare e gestire i dispositivi in Microsoft Entra ID, inclusa l'assegnazione di utenti e criteri
Creare e gestire i gruppi di sicurezza, ma non gruppi a cui è possibile assegnare ruoli
Visualizzare le proprietà di base nell'interfaccia di amministrazione di Microsoft 365
Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365
Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365

Azioni	Descrizione
microsoft.azure.supportTickets/tuttiGliEnti/tuttiICompiti	Creazione e gestione dei ticket di supporto per Azure
microsoft.cloudPC/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Windows 365
microsoft.directory/deletedItems.devices/delete	Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore	Ripristino dello stato originale dei dispositivi eliminati temporaneamente
microsoft.directory/deviceManagementPolicies/standard/read	Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read	Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/basic/update	Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/create	Creazione di dispositivi (registrarsi in Microsoft Entra ID)
microsoft.directory/devices/delete	Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable	Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable	Abilitare il dispositivo in Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update	Aggiornamento delle proprietà extensionAttribute1 in extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update	Aggiornamento delle proprietà extensionAttribute6 in extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update	Aggiornamento delle proprietà extensionAttribute11 in extensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update	Aggiornamento dei proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update	Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/groups/basic/update	Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/classification/update	Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/create	Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/delete	Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/dynamicMembershipRule/update	Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update	Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update	Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/visibility/update	Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della distribuzione di Windows Update

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update per le aziende. Il servizio di distribuzione consente agli utenti di definire le impostazioni relative al momento e alle modalità con cui vengono distribuiti gli aggiornamenti e di specificare gli aggiornamenti che vengono offerti ai gruppi di dispositivi nel tenant. Consente anche agli utenti di monitorare lo stato di avanzamento dell'aggiornamento.

Azioni	Descrizione
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	Leggere e configurare tutti gli aspetti del servizio Windows Update

Amministratore di Yammer

Assegnare il ruolo di Amministratore di Yammer agli utenti che devono eseguire le attività seguenti:

Gestire tutti gli aspetti di Yammer
Creare, gestire e ripristinare i gruppi di Microsoft 365, ma non i gruppi a cui è possibile assegnare ruoli
Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365
Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
Visualizzare gli annunci nel Centro messaggi, esclusi gli annunci di sicurezza
Visualizzare l'integrità dei servizi

Ulteriori informazioni

Azioni	Descrizione
microsoft.directory/groups/hiddenMembers/read	Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update	Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create	Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete	Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update	Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update	Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore	Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.office365.messageCenter/messages/read	Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read	Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read	Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks	Gestire tutti gli aspetti di Yammer

Ruoli deprecati

I ruoli seguenti non devono essere usati. Questi ruoli sono stati deprecati e verranno rimossi da Microsoft Entra ID in futuro.

Amministratore di licenze ad hoc
Aggiunta di dispositivi
Gestione dispositivi
Utenti di dispositivi
Autore di utenti verificati tramite posta elettronica
Amministratore della cassetta postale
Aggiunta di dispositivi all'area di lavoro

Ruoli non visualizzati nel portale

Non tutti i ruoli restituiti da PowerShell o dall'API Microsoft Graph sono visibili nel portale di Azure. Nella tabella seguente sono riportate queste differenze in modo organizzato.

Nome API	Nome portale di Azure	Note
Aggiunta di dispositivi	Deprecato	Documentazione dei ruoli deprecati
Gestione dispositivi	Deprecato	Documentazione dei ruoli deprecati
Utenti di dispositivi	Deprecato	Documentazione dei ruoli deprecati
Account di sincronizzazione della directory	Non viene visualizzato perché non deve essere usato	Documentazione per gli account di sincronizzazione della directory
Utente guest	Non viene visualizzato perché non può essere usato	ND
Supporto di livello 1 partner	Non viene visualizzato perché non deve essere usato	Documentazione per Supporto partner Livello 1
Supporto di livello 2 partner	Non viene visualizzato perché non deve essere usato	Documentazione per Supporto partner Livello 2
Utente guest con restrizioni	Non viene visualizzato perché non può essere usato	ND
Utente	Non viene visualizzato perché non può essere usato	ND
Aggiunta di dispositivi all'area di lavoro	Deprecato	Documentazione dei ruoli deprecati

Condividi tramite

Ruoli predefiniti Microsoft Entra

Tutti i ruoli

Amministratore di intelligenza artificiale

Amministratore di applicazioni

Sviluppatore di applicazioni

Autore del payload di attacco

Amministratore della simulazione di attacchi

Amministratore assegnazione di attributi

Lettore assegnazione di attributi

Amministratore definizione di attributi

Lettore definizione di attributi

Amministratore di log degli attributi

Lettore log attributi

Amministratore provisioning attributi

Lettore provisioning attributi

Amministratore dell'autenticazione

Amministratore dell'estendibilità dell'autenticazione

Amministratore dei criteri di autenticazione

Amministratore di Azure DevOps

Amministratore di Information Protection di Azure

Amministratore del set di chiavi IEF B2C

Amministratore dei criteri IEF B2C

Amministratore fatturazione

Amministratore di Cloud App Security

Amministratore di applicazioni cloud

Amministratore dispositivo cloud

Amministratore di conformità

Amministratore dei dati sulla conformità

Amministratore accesso condizionale

Responsabile approvazione accesso a Customer Lockbox

Amministratore Desktop Analytics

Amministratori che leggono la directory

Account di sincronizzazione della directory

Amministratori che scrivono nella directory

Amministratore del nome di dominio

Amministratore di Dynamics 365

Amministratore di Dynamics 365 Business Central

Amministratore Edge

Amministratore di Exchange

Amministratore destinatario di Exchange

Amministratore dei flussi utente ID esterno

Amministratore degli attributi dei flussi utente ID esterno

Amministratore dei provider di identità esterni

Amministratore di Fabric

Amministratore globale

Ruolo con autorizzazioni di lettura globali

Amministratore Accesso globale sicuro

Lettore di log di accesso sicuro globale

Amministratore di gruppi

Mittente dell'invito guest

Amministratore supporto tecnico

Amministratore delle identità ibride

Amministratore di Identity Governance

Amministratore informazioni dettagliate

Analista di informazioni dettagliate

Leader aziendale Insights

Amministratore di Intune

Amministratore dispositivo IoT

Amministratore di Kaizala

Amministratore delle conoscenze

Responsabile delle conoscenze

Amministratore licenze

Amministratore flussi di lavoro del ciclo di vita

Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi

Ruolo con autorizzazioni di lettura per il Centro messaggi

Amministratore di backup di Microsoft 365

Amministratore della migrazione di Microsoft 365

Amministratore locale del dispositivo aggiunto a Microsoft Entra

Amministratore di Microsoft Graph Data Connect

Amministratore garanzie hardware Microsoft

Specialista garanzie hardware Microsoft

Amministratore di Commerce moderno

Amministratore di rete

Amministratore delle app di Office

Amministratore personalizzazione dell'organizzazione

Responsabile approvazione dei messaggi dell'organizzazione

Writer dei messaggi dell'organizzazione

Supporto partner Livello 1

Supporto partner Livello 2