Azure AD の組み込みロール
Azure Active Directory (Azure AD) で、別の管理者または管理者以外のユーザーが Azure AD リソースを管理する必要がある場合、必要なアクセス許可を提供する Azure AD ロールを割り当てる必要があります。 たとえば、ユーザーの追加または変更、ユーザーのパスワードのリセット、ユーザーのライセンスの管理、ドメイン名の管理を行えるように、ロールを割り当てることができます。
この記事では、Azure AD リソースを管理できるようにするために割り当てることができる、Azure AD の組み込みロールについて説明します。 ロールの割り当て方法の詳細については、ユーザーへの Azure AD ロールの割り当てに関するページ参照してください。 Azure リソースを管理するロールをお探しの場合は、「Azure 組み込み ロール」を参照してください。
すべてのロール
| Role | 説明 | テンプレート ID |
|---|---|---|
| アプリケーション管理者 | アプリ登録とエンタープライズ アプリのすべての側面を作成して管理できます。 | 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| アプリケーション開発者 | [ユーザーはアプリケーションを登録できる] の設定とは無関係にアプリケーション登録を作成できます。 | cf1c38e5-3621-4004-a7cb-879624dced7c |
| 攻撃のペイロードの作成者 | 管理者が後で開始できる攻撃のペイロードを作成できます。 | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| 攻撃のシミュレーションの管理者 | 攻撃のシミュレーション キャンペーンのすべての側面を作成および管理できます。 | c430b396-e693-46cc-96f3-db01bf8bb62a |
| 属性割り当て管理者 | サポートされている Azure AD オブジェクトにカスタム セキュリティ属性のキーと値を割り当てます。 | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| 属性割り当て閲覧者 | サポートされている Azure AD オブジェクトのカスタム セキュリティ属性のキーと値を読み取ります。 | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| 属性定義管理者 | カスタム セキュリティ属性を定義して管理します。 | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| 属性定義閲覧者 | カスタム セキュリティ属性の定義を読み取ります。 | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| 認証管理者 | 管理者以外のユーザーの認証方法の情報を表示、設定、リセットするためにアクセスできます。 | c4e39bd9-1100-46d3-8c65-fb160da0071f |
| 認証ポリシー管理者 | 認証方法のポリシー、テナント全体の MFA 設定、パスワード保護ポリシー、検証可能な資格情報を作成および管理できます。 | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure AD 参加済みデバイスのローカル管理者 | このロールに割り当てられたユーザーは、Azure AD 参加済みデバイスのローカル管理者グループに追加されます。 | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Azure DevOps 管理者 | Azure DevOps のポリシーと設定を管理できます。 | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection 管理者 | Azure Information Protection 製品のすべての側面を管理できます。 | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C IEF キーセット管理者 | Identity Experience Framework (IEF) でフェデレーションおよび暗号化のシークレットを管理できます。 | aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C IEF ポリシー管理者 | Identity Experience Framework (IEF) で信頼フレームワーク ポリシーを作成および管理できます。 | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| 課金管理者 | 支払情報の更新など、よく利用する課金関連タスクを実行できます。 | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security 管理者 | Defender for Cloud Apps 製品のすべての側面を管理できます。 | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| クラウド アプリケーション管理者 | アプリ登録とエンタープライズ アプリのすべての側面 (アプリ プロキシを除く) を作成して管理できます。 | 158c047a-c907-4556-b7ef-446551a6b5f7 |
| クラウド デバイス管理者 | Azure AD でデバイスを管理するための制限付きアクセス。 | 7698a772-787b-4ac8-901f-60d6b08affd2 |
| コンプライアンス管理者 | Azure AD および Microsoft 365 のコンプライアンスの構成とレポートを読み取り、管理できます。 | 17315797-102d-40b4-93e0-432062caca18 |
| コンプライアンス データ管理者 | コンプライアンス コンテンツを作成、管理します。 | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| 条件付きアクセス管理者 | 条件付きアクセスの機能を管理できます。 | b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| カスタマー ロックボックスのアクセス承認者 | Microsoft サポートがお客様の組織データにアクセスする要求を承認することができます。 | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| デスクトップ Analytics 管理者 | デスクトップの管理ツールとサービスにアクセスして管理できます。 | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| ディレクトリ閲覧者 | 基本的なディレクトリ情報を読み取ることができます 通常、アプリケーションとゲストへのディレクトリ 読み取りアクセスを許可するために使用されます。 | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| ディレクトリ同期アカウント | Azure AD Connect サービスでのみ使用されます。 | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| ディレクトリ ライター | 基本的なディレクトリ情報の読み取りと書き込みを実行できます。 ユーザーではなく、アプリケーションへのアクセスを許可する場合。 | 9360feb5-f418-4baa-8175-e2a00bac4301 |
| ドメイン名管理者 | クラウドおよびオンプレミスのドメイン名を管理できます。 | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365 管理者 | Dynamics 365 製品のすべての側面を管理できます。 | 44367163-eba1-44c3-98af-f5787879f96a |
| Edge 管理者 | Microsoft Edge のすべての側面を管理します。 | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange 管理者 | Exchange 製品のすべての側面を管理できます。 | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange 受信者管理者 | Exchange Online 組織内で Exchange Online 受信者を作成または更新できます。 | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| 外部 ID ユーザー フロー管理者 | ユーザー フローのすべての側面を作成および管理できます。 | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| 外部 ID ユーザー フロー属性管理者 | すべてのユーザー フローに対して使用可能な属性スキーマを作成および管理できます。 | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| 外部 ID プロバイダー管理者 | 直接フェデレーションで使用する ID プロバイダーを構成できます。 | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| 全体管理者 | Azure AD のすべての側面と、Azure AD の ID が使用される Microsoft サービスを管理できます。 | 62e90394-69f5-4237-9190-012177145e10 |
| グローバル閲覧者 | グローバル管理者が読み取れるものすべての読み取りが可能ですが、更新することはできません。 | f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| グループ管理者 | このロールのメンバーは、グループの作成と管理、名前付けと有効期限ポリシーなどのグループ設定の作成と管理、グループのアクティビティと監査レポートの表示を行うことができます。 | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| ゲスト招待元 | 「メンバーはゲストを招待できます」の設定とは関係なく、ゲストユーザーを招待できます。 | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| ヘルプデスク管理者 | 管理者以外のユーザーとヘルプデスク管理者のパスワードをリセットできます。 | 729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| ハイブリッド ID の管理者 | AD を管理して、Azure ADクラウドプロビジョニング、Azure AD Connect、パススルー認証 (PTA)、パスワードハッシュ同期 (PHS)、シームレスシングルサインオン (シームレス SSO)、およびフェデレーション設定が できます。 | 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance 管理者 | Identity Governance シナリオで Azure AD を使用してアクセスを管理します。 | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Insights 管理者 | Microsoft 365 Insights アプリへの管理アクセス権があります。 | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights アナリスト | Microsoft Viva インサイトの分析機能にアクセスし、カスタム クエリを実行します。 | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights ビジネス リーダー | Microsoft 365 Insights アプリを使用して、ダッシュボードと分析情報を表示および共有できます。 | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune 管理者 | Intune 製品のすべての側面を管理できます。 | 3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala 管理者 | Microsoft Kaizala の設定を管理できます。 | 74ef975b-6605-40af-a5d2-b9539d836353 |
| 知識管理者 | 知識、学習、その他のインテリジェントな機能を構成できます。 | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| ナレッジ マネージャー | トピックや知識の整理、作成、管理、昇格を行うことができます。 | 744ec460-397e-42ad-a462-8b3f9747a02c |
| ライセンス管理者 | ユーザーおよびグループの製品ライセンスを管理できます。 | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| ライフサイクル ワークフロー管理者 | Azure AD のライフサイクル ワークフローに関連付けられているワークフローとタスクのすべての側面を作成および管理します。 | 59d46f88-662b-457b-bceb-5c3809e5908f |
| メッセージ センターのプライバシー閲覧者 | Office 365 メッセージ センター内でのみセキュリティ メッセージと更新情報を閲覧することができます。 | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| メッセージ センター閲覧者 | Office 365 メッセージ センター内でのみ自分の組織のメッセージと更新情報を閲覧することができます。 | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsoft ハードウェア保証管理者 | Surface や HoloLens などの Microsoft 製ハードウェアに関するすべての側面の保証請求と権利を作成および管理します。 | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft ハードウェア保証スペシャリスト | Surface や HoloLens などの Microsoft 製ハードウェアの保証請求を作成して読み取ります。 | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Modern Commerce ユーザー | 会社、部署、またはチームの商用購入を管理できます。 | d24aef57-1500-4070-84db-2666f29cf966 |
| ネットワーク管理者 | ネットワークの場所を管理し、Microsoft 365 SaaS アプリケーションのエンタープライズ ネットワーク設計の分析情報を確認できます。 | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office アプリ管理者 | Office アプリのクラウド サービスを管理すること (ポリシーと設定の管理を含む) や、"新機能" のコンテンツを選択、選択解除、エンドユーザーのデバイスに公開する機能を管理できます。 | 2b745bdf-0803-4d80-aa65-822c4493daac |
| 組織メッセージ ライター | Microsoft 製品でエンド ユーザーに対して表示される組織のメッセージの書き込み、発行、管理、レビューを行います。 | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| パートナー レベル 1 のサポート | 使用しないでください。一般的な使用は想定されていません。 | 4ba39ca4-527c-499a-b93d-d9b492c50246 |
| パートナー レベル 2 のサポート | 使用しないでください。一般的な使用は想定されていません。 | e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| パスワード管理者 | 管理者以外とパスワード管理者のパスワードをリセットできます。 | 966707d0-3269-4727-9be2-8c3a10f19b9d |
| Permissions Management の管理者 | Entra Permissions Management のすべての側面を管理します。 | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Power BI 管理者 | Power BI 製品のすべての側面を管理できます。 | a9ea8996-122f-4c74-9520-8edcd192826c |
| Power Platform 管理者 | Microsoft Dynamics 365、Power Apps、Power Automate のすべての側面を作成および管理できます。 | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| プリンター管理者 | プリンターとプリンター コネクタのすべての側面を管理できます。 | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| プリンター技術者 | プリンターの登録と登録解除、またプリンターの状態の更新を行うことができます。 | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| 特権認証管理者 | 任意のユーザー (管理者でも管理者以外でも) の認証方法の情報を表示、設定、リセットするためにアクセスできます。 | 7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| 特権ロール管理者 | Azure AD でのロールの割り当てと、Privileged Identity Management のすべての側面を管理できます。 | e8611ab8-c189-46e8-94e1-60213ab1f814 |
| レポート閲覧者 | サインインと監査のレポートを読み取ることができます。 | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Search 管理者 | Microsoft Search 設定のすべての側面を作成および管理できます。 | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Search エディター | ブックマーク、Q&A、場所、フロアプランなどの編集コンテンツを作成および管理することができます。 | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| セキュリティ管理者 | セキュリティ情報とレポートを読み取り、Azure AD と Office 365 で構成を管理することができます。 | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| セキュリティ オペレーター | セキュリティ イベントを作成、管理します。 | 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Security Reader | Azure AD と Office 365 のセキュリティ情報とレポートを読み取ることができます。 | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| サービス サポート管理者 | サービス正常性に関する情報を読み取り、サポート チケットを管理することができます。 | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint 管理者 | SharePoint サービスのすべての側面を管理できます。 | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Skype for Business 管理者 | Skype for Business 製品のすべての側面を管理できます。 | 75941009-915a-4869-abe7-691bff18279e |
| Teams 管理者 | Microsoft Teams サービスを管理できます。 | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams 通信管理者 | Microsoft Teams サービス内での通話と会議の機能を管理できます。 | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Teams コミュニケーション サポート エンジニア | 高度なツールを使用して、Teams 内の通信の問題のトラブルシューティングを行えます。 | f70938a0-fc10-4177-9e90-2178f8765737 |
| Teams コミュニケーション サポート スペシャリスト | 基本的なツールを使用して、Teams 内の通信の問題のトラブルシューティングを行えます。 | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams デバイス管理者 | Teams 認定デバイスで管理関連タスクを実行できます。 | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| テナント作成者 | 新しい Azure AD または Azure AD B2C テナントを作成します。 | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| 使用状況の概要のレポート閲覧者 | Microsoft 365 利用状況分析および生産性スコアのテナント レベルの集計のみを表示できます。 | 75934031-6c7e-415a-99d7-48dbd49e875e |
| ユーザー管理者 | ユーザーとグループのすべての側面を、制限付きの管理者のパスワードをリセットすることも含めて、管理できます。 | fe930be7-5e62-47db-91af-98c3a49a38b1 |
| 仮想アクセス管理者 | 管理センターまたはVirtual VisitsアプリからVirtual Visitsの情報とメトリックを管理および共有する。 | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva ゴール管理者 | Microsoft Viva ゴールのあらゆる側面を管理および構成します。 | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Windows 365 管理者 | クラウド PC のすべての側面をプロビジョニングして管理できます。 | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows Update デプロイ管理者 | Windows Update for Business のデプロイ サービスを使用して、Windows Update デプロイのすべての側面を作成および管理できます。 | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Yammer 管理者 | Yammer サービスのすべての側面を管理します。 | 810a2642-a034-447f-a5e8-41beaa378541 |
アプリケーション管理者
このロールのユーザーは、エンタープライズ アプリケーション、アプリケーション登録、アプリケーション プロキシの設定の全側面を作成して管理できます。 このロールに割り当てられたユーザーは、新しいアプリケーション登録またはエンタープライズ アプリケーションを作成する際に、所有者として追加されないことに注意してください。
このロールでは、委任されたアクセス許可とアプリケーション アクセス許可 (Microsoft Graph API に対するアプリケーション アクセス許可を除く) に 同意する 権限も付与されます。
重要
この例外は、"他の" アプリ (たとえば、Microsoft 以外のアプリや自分が登録したアプリなど) に対するアプリケーション アクセス許可には引き続き同意できることを意味します。 アプリ登録の一環としてこれらのアクセス許可を "要求" することはできますが、これらのアクセス許可を "許可する" (つまり、同意する) には、グローバル管理者などの特権管理者が必要です。
このロールは、アプリケーションの資格情報を管理する権限を付与します。 このロールが割り当てられたユーザーは、アプリケーションに資格情報を追加し、その資格情報を使用してアプリケーションの ID を偽装することができます。 アプリケーションの ID にリソースへのアクセス権 (ユーザーやその他のオブジェクトの作成や更新など) が付与されている場合、このロールに割り当てられたユーザーは、アプリケーションを偽装している間にこのようなアクションを実行することができます。 アプリケーションの ID を偽装するこの機能は、ユーザーがロール割り当てを使用して実行できることを越えた特権の昇格になる可能性があります。 ユーザーにアプリケーション管理者ロールを割り当てると、そのユーザーがアプリケーションの ID を偽装できるようになることを理解することが重要です。
| アクション | 説明 |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Azure AD で管理者の同意要求ポリシーを管理する |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Azure AD に登録されているアプリケーションに対する同意要求のすべてのプロパティを読み取る |
| microsoft.directory/applications/create | すべての種類のアプリケーションを作成する |
| microsoft.directory/applications/delete | すべての種類のアプリケーションを削除する |
| microsoft.directory/applications/applicationProxy/read | すべてのアプリケーション プロキシ プロパティを読み取る |
| microsoft.directory/applications/applicationProxy/update | すべてのアプリケーション プロキシ プロパティを更新する |
| microsoft.directory/applications/applicationProxyAuthentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/applicationProxySslCertificate/update | アプリケーション プロキシの SSL 証明書の設定を更新する |
| microsoft.directory/applications/applicationProxyUrlSettings/update | アプリケーション プロキシの URL 設定を更新する |
| microsoft.directory/applications/appRoles/update | すべての種類のアプリケーションで appRoles プロパティを更新する |
| microsoft.directory/applications/audience/update | アプリケーションの対象ユーザー プロパティを更新する |
| microsoft.directory/applications/authentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/basic/update | アプリケーションの基本プロパティを更新する |
| microsoft.directory/applications/credentials/update | アプリケーション資格情報を更新する |
| microsoft.directory/applications/extensionProperties/update | アプリケーションの拡張機能プロパティを更新する |
| microsoft.directory/applications/notes/update | アプリケーションのメモを更新する |
| microsoft.directory/applications/owners/update | アプリケーションの所有者を更新する |
| microsoft.directory/applications/permissions/update | すべての種類のアプリケーションで、公開されたアクセス許可と必要なアクセス許可を更新する |
| microsoft.directory/applications/policies/update | アプリケーションのポリシーを更新する |
| microsoft.directory/applications/tag/update | アプリケーションのタグを更新する |
| microsoft.directory/applications/verification/update | applicationsverification プロパティを更新する |
| microsoft.directory/applications/synchronization/standard/read | アプリケーション オブジェクトに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/applicationTemplates/instantiate | アプリケーション テンプレートからギャラリー アプリケーションのインスタンスを作成する |
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/connectors/create | アプリケーション プロキシ コネクタを作成する |
| microsoft.directory/connectors/allProperties/read | アプリケーション プロキシ コネクタのすべてのプロパティを読み取る |
| microsoft.directory/connectorGroups/create | アプリケーション プロキシ コネクタ グループを作成する |
| microsoft.directory/connectorGroups/delete | アプリケーション プロキシ コネクタ グループを削除する |
| microsoft.directory/connectorGroups/allProperties/read | アプリケーション プロキシ コネクタ グループのすべてのプロパティを読み取る |
| microsoft.directory/connectorGroups/allProperties/update | アプリケーション プロキシ コネクタ グループのすべてのプロパティを更新する |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | カスタム認証拡張機能の作成と管理する |
| microsoft.directory/deletedItems.applications/delete | 復元できなくなったアプリケーションを完全に削除する |
| microsoft.directory/deletedItems.applications/restore | 論理的に削除されたアプリケーションを元の状態に復元する |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 アクセス許可の付与の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/applicationPolicies/create | アプリケーション ポリシーを作成する |
| microsoft.directory/applicationPolicies/delete | アプリケーション ポリシーを削除する |
| microsoft.directory/applicationPolicies/standard/read | アプリケーション ポリシーの標準プロパティを読み取る |
| microsoft.directory/applicationPolicies/owners/read | アプリケーション ポリシーの所有者を読み取る |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | オブジェクト リストに適用されているアプリケーション ポリシーを読み取る |
| microsoft.directory/applicationPolicies/basic/update | アプリケーション ポリシーの標準プロパティを更新する |
| microsoft.directory/applicationPolicies/owners/update | アプリケーション ポリシーの所有者プロパティを更新する |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/servicePrincipals/create | サービス プリンシパルの作成 |
| microsoft.directory/servicePrincipals/delete | サービス プリンシパルを削除する |
| microsoft.directory/servicePrincipals/disable | サービス プリンシパルを無効にする |
| microsoft.directory/servicePrincipals/enable | サービス プリンシパルを有効にする |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | サービス プリンシパルのパスワード シングル サインオン資格情報を管理する |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | アプリケーション プロビジョニングのシークレットと資格情報を管理する |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | アプリケーション プロビジョニングの同期ジョブを開始、再開、および一時停止する |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | アプリケーション プロビジョニングの同期ジョブとスキーマを作成、管理する |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | サービス プリンシパルのパスワード シングル サインオン資格情報を読み取る |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | 任意のユーザーまたはすべてのユーザーに代わって、アプリケーションのアクセス許可と委任されたアクセス許可に同意を付与する (Microsoft Graph のアプリケーション アクセス許可は除く) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/servicePrincipals/audience/update | サービス プリンシパルで対象ユーザー プロパティを更新する |
| microsoft.directory/servicePrincipals/authentication/update | サービス プリンシパルで認証プロパティを更新する |
| microsoft.directory/servicePrincipals/basic/update | サービス プリンシパルで基本プロパティを更新する |
| microsoft.directory/servicePrincipals/credentials/update | サービス プリンシパルの資格情報を更新する |
| microsoft.directory/servicePrincipals/notes/update | サービス プリンシパルのメモを更新する |
| microsoft.directory/servicePrincipals/owners/update | サービス プリンシパルの所有者を更新する |
| microsoft.directory/servicePrincipals/permissions/update | サービスプリンシパルのアクセス許可を更新する |
| microsoft.directory/servicePrincipals/policies/update | サービス プリンシパルのポリシーを更新する |
| microsoft.directory/servicePrincipals/tag/update | サービスプリンシパルのタグ プロパティを更新する |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
アプリケーション開発者
このロールのユーザーは、[ユーザーはアプリケーションを登録できる] 設定が [いいえ] に設定されている場合に、アプリケーション登録を作成できます。 さらにこのロールでは、[ユーザーはアプリが自身の代わりに会社のデータにアクセスすることを許可できる] 設定が [いいえ] に設定されている場合に、代わりに同意する権限を付与します。 このロールに割り当てられたユーザーは、新しいアプリケーション登録を作成する際に、所有者として追加されます。
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/createAsOwner | すべての種類のアプリケーションを作成し、作成者が最初の所有者として追加される |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | OAuth 2.0 アクセス許可付与を作成し、作成者を最初の所有者にする |
| microsoft.directory/servicePrincipals/createAsOwner | サービス プリンシパルを作成し、作成者を最初の所有者にする |
攻撃のペイロードの作成者
このロールのユーザーは、攻撃のペイロードを作成することはできますが、それらを実際に起動することやスケジュールすることはできません。 攻撃のペイロードは、それらを使用してシミュレーション作成できるテナントの管理者全員が利用できます。
詳細については、「Microsoft 365 Defender ポータルでの Microsoft Defender for Office 365 アクセス許可」と「Microsoft Purview コンプライアンス ポータルでのアクセス許可」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 攻撃シミュレーターで攻撃ペイロードを作成および管理する |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 攻撃のシミュレーション、応答、関連付けられているトレーニングのレポートを読み取る |
攻撃のシミュレーションの管理者
このロールのユーザーは、攻撃シミュレーションの作成、シミュレーションの開始とスケジューリング、シミュレーション結果の確認のすべての側面を作成および管理できます。 このロールのメンバーは、テナント内のすべてのシミュレーションに対してこのアクセス権を所有します。
詳細については、「Microsoft 365 Defender ポータルでの Microsoft Defender for Office 365 アクセス許可」と「Microsoft Purview コンプライアンス ポータルでのアクセス許可」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 攻撃シミュレーターで攻撃ペイロードを作成および管理する |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 攻撃のシミュレーション、応答、関連付けられているトレーニングのレポートを読み取る |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 攻撃シミュレーターで攻撃のシミュレーション テンプレートを作成および管理する |
属性割り当て管理者
このロールのユーザーは、ユーザー、サービス プリンシパル、デバイスなどのサポートされている Azure AD オブジェクトについて、属性のキーと値を割り当てたり、割り当て解除したりできます。
既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。 カスタム セキュリティ属性を扱うユーザーには、いずれかのカスタム セキュリティ属性ロールが割り当てられている必要があります。
詳細については、「Azure AD でカスタム セキュリティ属性へのアクセスを管理する」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 属性セットのすべてのプロパティを読み取ります |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | カスタム セキュリティ属性定義のすべてのプロパティを読み取ります |
| microsoft.directory/devices/customSecurityAttributes/read | デバイスのカスタム セキュリティ属性の値を読み取ります |
| microsoft.directory/devices/customSecurityAttributes/update | デバイスのカスタム セキュリティ属性の値を更新します |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | サービス プリンシパルのカスタム セキュリティ属性の値を読み取ります |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | サービス プリンシパルのカスタム セキュリティ属性の値を更新します |
| microsoft.directory/users/customSecurityAttributes/read | ユーザーのカスタム セキュリティ属性の値を読み取ります |
| microsoft.directory/users/customSecurityAttributes/update | ユーザーのカスタム セキュリティ属性の値を更新します |
属性割り当て閲覧者
このロールのユーザーは、サポートされている Azure AD オブジェクトのカスタム セキュリティ属性のキーと値を読み取ることができます
既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。 カスタム セキュリティ属性を扱うユーザーには、いずれかのカスタム セキュリティ属性ロールが割り当てられている必要があります。
詳細については、「Azure AD でカスタム セキュリティ属性へのアクセスを管理する」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 属性セットのすべてのプロパティを読み取ります |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | カスタム セキュリティ属性定義のすべてのプロパティを読み取ります |
| microsoft.directory/devices/customSecurityAttributes/read | デバイスのカスタム セキュリティ属性の値を読み取ります |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | サービス プリンシパルのカスタム セキュリティ属性の値を読み取ります |
| microsoft.directory/users/customSecurityAttributes/read | ユーザーのカスタム セキュリティ属性の値を読み取ります |
属性定義管理者
このロールが割り当てられたユーザーは、サポート対象 Azure AD オブジェクトに割り当てることができる有効なカスタム セキュリティ属性一式を定義できます。 カスタム セキュリティ属性のアクティブ化と非アクティブ化もこのロールで行うことができます。
既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。 カスタム セキュリティ属性を扱うユーザーには、いずれかのカスタム セキュリティ属性ロールが割り当てられている必要があります。
詳細については、「Azure AD でカスタム セキュリティ属性へのアクセスを管理する」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | 属性セットのすべての側面を管理する |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | カスタム セキュリティ属性定義のすべての側面を管理する |
属性定義閲覧者
このロールのユーザーは、カスタム セキュリティ属性の定義を読み取ることができます。
既定では、グローバル管理者とその他の管理者ロールには、カスタム セキュリティ属性の読み取り、定義、割り当てを行う権限がありません。 カスタム セキュリティ属性を扱うユーザーには、いずれかのカスタム セキュリティ属性ロールが割り当てられている必要があります。
詳細については、「Azure AD でカスタム セキュリティ属性へのアクセスを管理する」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 属性セットのすべてのプロパティを読み取ります |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | カスタム セキュリティ属性定義のすべてのプロパティを読み取ります |
認証管理者
次の作業を行う必要があるユーザーに、認証管理者ロールを割り当てます。
- 管理者以外および一部のロールの認証方法 (パスワードを含む) の設定またはリセット。 認証管理者が認証方法を読み取りまたは更新できるロールの一覧については、「パスワードをリセットできるロール」を参照してください。
- 管理者以外または一部のロールに割り当てられているユーザーへの、パスワード以外の既存の資格情報 (MFA や FIDO など) に対する再登録の要求。このデバイスに MFA を記憶する機能を取り消して、次回サインイン時に MFA を要求することもできます。
- 一部のユーザーに対する機密性の高いアクションの実行。 詳細については、「機密性の高いアクションを実行できるロール」を参照してください。
- Azure と Microsoft 365 管理センターでのサポート チケットの作成および管理。
このロールのユーザーは、次の作業を実行できません。
- ロール割り当て可能なグループのメンバーと所有者の資格情報を変更したり、MFA をリセットしたりすることはできません。
- 従来の MFA 管理ポータルの MFA の設定やハードウェア OATH トークンを管理することはできません。 Azure AD PowerShell モジュールの Set-msoluser コマンドレットを使用して、同じ機能を実行できます。
このロールと関連ロールとの機能の比較を次の表に示します。
| Role | ユーザーの認証方法を管理する | ユーザーごとの MFA を管理する | MFA 設定を管理する | 認証方法ポリシーを管理する | パスワード保護ポリシーを管理する | 機密性の高いプロパティを更新する | ユーザーを削除および復元する |
|---|---|---|---|---|---|---|---|
| 認証管理者 | 一部のユーザーに対してはい | 一部のユーザーに対してはい | いいえ | いいえ | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
| 特権認証管理者 | すべてのユーザーに対してはい | すべてのユーザーに対してはい | いいえ | いいえ | No | すべてのユーザーに対してはい | すべてのユーザーに対してはい |
| 認証ポリシー管理者 | いいえ | いいえ | はい | はい | はい | いいえ | いいえ |
| ユーザー管理者 | いいえ | いいえ | いいえ | いいえ | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
重要
このロールのユーザーは、機密情報や個人情報または Azure Active Directory の内外の重要な構成にアクセスできるユーザーのパスワードを変更できます。 ユーザーの資格情報を変更することは、そのユーザーの ID とアクセス許可を引き受けることができることを意味します。 次に例を示します。
- 所有しているアプリの資格情報を管理できる、アプリケーションの登録とエンタープライズ アプリケーションの所有者。 これらのアプリには、認証管理者に付与されていないAzure AD およびその他の場所への特権アクセス許可がある場合があります。 認証管理者は、このパスからアプリケーション所有者の ID を引き受け、さらにそのアプリケーションの資格情報を更新して特権アプリケーションの ID を引き受けることができます。
- 機密情報や個人情報または Azure の重要な構成にアクセスできる Azure サブスクリプション所有者。
- グループ メンバーシップを管理できるセキュリティ グループと Microsoft 365 グループの所有者。 これらのグループは、機密情報や個人情報または Azure AD や別の場所の重要な構成へのアクセス権を付与される場合があります。
- Exchange Online、Microsoft 365 Defender ポータル、Microsoft Purview コンプライアンス ポータル、人事システムなど、Azure AD 以外の他のサービスの管理者。
- 機密情報や個人情報にアクセスできる場合がある役員、弁護士、人事担当者のような非管理者。
| アクション | 説明 |
|---|---|
| microsoft.directory/users/authenticationMethods/create | ユーザーの認証方法を作成する |
| microsoft.directory/users/authenticationMethods/delete | ユーザーの認証方法を削除する |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | ユーザーの個人を特定できる情報を含まない認証方法の標準プロパティを読み取る |
| microsoft.directory/users/authenticationMethods/basic/update | ユーザーの認証方法の基本プロパティを更新する |
| microsoft.directory/deletedItems.users/restore | 論理的に削除されたユーザーを元の状態に復元する |
| microsoft.directory/users/delete | ユーザーを削除する |
| microsoft.directory/users/disable | ユーザーの無効化 |
| microsoft.directory/users/enable | ユーザーの有効化 |
| microsoft.directory/users/invalidateAllRefreshTokens | ユーザー更新トークンを無効にして強制的にサインアウトする |
| microsoft.directory/users/restore | 削除されたユーザーを復元する |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/password/update | すべてのユーザーのパスワードをリセットする |
| microsoft.directory/users/userPrincipalName/update | ユーザーのユーザー プリンシパル名を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
認証ポリシー管理者
次の作業を行う必要があるユーザーに、認証ポリシー管理者ロールを割り当てます。
- 認証方法ポリシー、テナント全体の MFA 設定、および各ユーザーが登録して使用できる方法を決定するパスワード保護ポリシーの構成。
- パスワード保護設定の管理 (スマート ロックアウトの構成とカスタムの禁止パスワード リストの更新)。
- 検証可能な資格情報の作成と管理。
- Azure サポート チケットの作成と管理。
このロールのユーザーは、次の作業を実行できません。
- 機密性の高いプロパティを更新できません。 詳細については、「機密性の高いアクションを実行できるロール」を参照してください。
- ユーザーの削除や復元はできません。 詳細については、「機密性の高いアクションを実行できるロール」を参照してください。
- 従来の MFA 管理ポータルの MFA の設定やハードウェア OATH トークンを管理することはできません。
このロールと関連ロールとの機能の比較を次の表に示します。
| Role | ユーザーの認証方法を管理する | ユーザーごとの MFA を管理する | MFA 設定を管理する | 認証方法ポリシーを管理する | パスワード保護ポリシーを管理する | 機密性の高いプロパティを更新する | ユーザーを削除および復元する |
|---|---|---|---|---|---|---|---|
| 認証管理者 | 一部のユーザーに対してはい | 一部のユーザーに対してはい | いいえ | いいえ | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
| 特権認証管理者 | すべてのユーザーに対してはい | すべてのユーザーに対してはい | いいえ | いいえ | No | すべてのユーザーに対してはい | すべてのユーザーに対してはい |
| 認証ポリシー管理者 | いいえ | いいえ | はい | はい | はい | いいえ | いいえ |
| ユーザー管理者 | いいえ | いいえ | いいえ | いいえ | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
| アクション | 説明 |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | 組織の強力な認証プロパティのすべての側面を管理する |
| microsoft.directory/userCredentialPolicies/create | ユーザーの資格情報ポリシーを作成する |
| microsoft.directory/userCredentialPolicies/delete | ユーザーの資格情報ポリシーを削除する |
| microsoft.directory/userCredentialPolicies/standard/read | ユーザーの資格情報ポリシーの標準プロパティを読み取る |
| microsoft.directory/userCredentialPolicies/owners/read | ユーザーの資格情報ポリシーの所有者を読み取る |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | policy.appliesTo navigation リンクを読み取る |
| microsoft.directory/userCredentialPolicies/basic/update | ユーザーの基本ポリシーを更新する |
| microsoft.directory/userCredentialPolicies/owners/update | ユーザーの資格情報ポリシーの所有者を更新する |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | policy.isOrganizationDefault プロパティを更新する |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 検証可能な資格情報カードを読み取る |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 検証可能な資格情報カードを取り消す |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | 検証可能な資格情報コントラクトを作成する |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 検証可能な資格情報コントラクトを読み取る |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 検証可能な資格情報コントラクトを更新する |
| microsoft.directory/verifiableCredentials/configuration/create | 検証可能な資格情報を作成および管理するために必要な構成を作成する |
| microsoft.directory/verifiableCredentials/configuration/delete | 検証可能な資格情報を作成および管理するために必要な構成を削除し、その検証可能な資格情報をすべて削除する |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 検証可能な資格情報を作成および管理するために必要な構成を読み取る |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | 検証可能な資格情報を作成および管理するために必要な構成を更新する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
Azure AD 参加済みデバイスのローカル管理者
この役割は、デバイス設定の追加のローカル管理者としてのみ割り当て可能です。 このロールのユーザーは、Azure Active Directory に参加しているすべての Windows 10 デバイスのローカル マシン管理者になります。 Azure Active Directory 内のデバイス オブジェクトを管理することはできません。
| アクション | 説明 |
|---|---|
| microsoft.directory/groupSettings/standard/read | グループ設定の基本プロパティを読み取る |
| microsoft.directory/groupSettingTemplates/standard/read | グループ設定テンプレートの基本プロパティを読み取る |
Azure DevOps 管理者
このロールが割り当てられたユーザーは、Azure AD によって支えられているあらゆる Azure DevOps 組織を対象としたエンタープライズ Azure DevOps ポリシーをすべて管理できます。 このロールのユーザーは、会社の Azure AD によってサポートされている Azure DevOps 組織に移動することで、これらのポリシーを管理できます。 さらに、このロールのユーザーは、孤立した Azure DevOps 組織の所有権を要求できます。 このロールは、会社の Azure AD 組織によってサポートされている Azure DevOps 組織の中で、Azure DevOps 固有の他のアクセス許可 (プロジェクト コレクション管理者など) を付与しません。
| アクション | 説明 |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Azure DevOps を読み取り、構成する |
Azure Information Protection 管理者
このロールが割り当てられたユーザーは、Azure Information Protection サービスのすべてのアクセス許可を持ちます。 このロールでは、Azure Information Protection ポリシーのラベルの構成、保護テンプレートの管理、保護のアクティブ化を行うことができます。 このロールでは、Identity Protection、Privileged Identity Management、Microsoft 365 Service Health の監視、Microsoft 365 Defender ポータル、または Microsoft Purview コンプライアンス ポータルのアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.azure.informationProtection/allEntities/allTasks | Azure Information Protection のすべての側面を管理する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
B2C IEF キーセット管理者
ユーザーは、トークンの暗号化、トークンの署名、および要求の暗号化/暗号化解除のために、ポリシー キーとシークレットを作成して管理できます。 新しいキーを既存のキー コンテナーに追加すると、この制限付き管理者は、既存のアプリケーションに影響を与えることなく、必要に応じてシークレットをロールオーバーできます。 このユーザーは、これらのシークレットとその有効期限の完全な内容を、シークレットを作成した後でも確認できます。
重要
これは機密性の高いロールです。 キーセット管理者ロールは、慎重に監査し、運用前環境と運用環境では、慎重に割り当てる必要があります。
| アクション | 説明 |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Azure Active Directory B2C のキー セットを読み取り、構成する |
B2C IEF ポリシー管理者
このロールが割り当てられたユーザーは、Azure AD B2C のすべてのカスタム ポリシーを作成、読み取り、更新、および削除することができます。そのため、関連する Azure AD B2C 組織内の Identity Experience Framework を完全に制御できます。 このユーザーは、ポリシーを編集することで、外部の ID プロバイダーとの直接フェデレーションの確立、ディレクトリ スキーマの変更、ユーザー向けのすべてのコンテンツ (HTML、CSS、JavaScript) の変更、認証を完了するための要件の変更、新しいユーザーの作成、ユーザー データの外部システムへの送信 (完全な移行を含む)、パスワードや電話番号などの機密フィールドを含むすべてのユーザー情報の編集を行うことができます。 逆に、このロールでは、暗号化キーを変更したり、組織内のフェデレーションに使用されているシークレットを編集したりすることはできません。
重要
B2 IEF ポリシー管理者は、非常に機密性の高いロールであるため、運用環境ではごく限られた組織に割り当てる必要があります。 これらのユーザーによるアクティビティは、とりわけ運用環境の組織に対するものについては、注意深く監査 する必要があります。
| アクション | 説明 |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Azure Active Directory B2C のカスタム ポリシーを読み取り、構成する |
課金管理者
購入、サブスクリプションの管理、サポート チケットの管理、サービスの正常性の監視を行います。
| アクション | 説明 |
|---|---|
| microsoft.directory/organization/basic/update | 組織で基本プロパティを更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Office 365 課金のすべての側面を管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Cloud App Security 管理者
このロールが割り当てられたユーザーは、Defender for Cloud Apps でフル アクセス許可を持ちます。 管理者の追加、Microsoft Defender for Cloud Apps のポリシーと設定の追加、ログのアップロードを行うことができ、ガバナンス アクションを実行できます。
| アクション | 説明 |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Microsoft Defender for Cloud Apps ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
クラウド アプリケーション管理者
このロールのユーザーは、(アプリケーション プロキシを管理する権限を除き) アプリケーション管理者ロールと同じアクセス許可を持ちます。 このロールは、エンタープライズ アプリケーションとアプリケーション登録の全側面を作成して管理する権限を付与します。 このロールに割り当てられたユーザーは、新しいアプリケーション登録またはエンタープライズ アプリケーションを作成する際に、所有者として追加されません。
このロールでは、委任されたアクセス許可とアプリケーション アクセス許可 (Microsoft Graph API に対するアプリケーション アクセス許可を除く) に 同意する 権限も付与されます。
重要
この例外は、"他の" アプリ (たとえば、Microsoft 以外のアプリや自分が登録したアプリなど) に対するアプリケーション アクセス許可には引き続き同意できることを意味します。 アプリ登録の一環としてこれらのアクセス許可を "要求" することはできますが、これらのアクセス許可を "許可する" (つまり、同意する) には、グローバル管理者などの特権管理者が必要です。
このロールは、アプリケーションの資格情報を管理する権限を付与します。 このロールが割り当てられたユーザーは、アプリケーションに資格情報を追加し、その資格情報を使用してアプリケーションの ID を偽装することができます。 アプリケーションの ID にリソースへのアクセス権 (ユーザーやその他のオブジェクトの作成や更新など) が付与されている場合、このロールに割り当てられたユーザーは、アプリケーションを偽装している間にこのようなアクションを実行することができます。 アプリケーションの ID を偽装するこの機能は、ユーザーがロール割り当てを使用して実行できることを越えた特権の昇格になる可能性があります。 ユーザーにアプリケーション管理者ロールを割り当てると、そのユーザーがアプリケーションの ID を偽装できるようになることを理解することが重要です。
| アクション | 説明 |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Azure AD で管理者の同意要求ポリシーを管理する |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Azure AD に登録されているアプリケーションに対する同意要求のすべてのプロパティを読み取る |
| microsoft.directory/applications/create | すべての種類のアプリケーションを作成する |
| microsoft.directory/applications/delete | すべての種類のアプリケーションを削除する |
| microsoft.directory/applications/appRoles/update | すべての種類のアプリケーションで appRoles プロパティを更新する |
| microsoft.directory/applications/audience/update | アプリケーションの対象ユーザー プロパティを更新する |
| microsoft.directory/applications/authentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/basic/update | アプリケーションの基本プロパティを更新する |
| microsoft.directory/applications/credentials/update | アプリケーション資格情報を更新する |
| microsoft.directory/applications/extensionProperties/update | アプリケーションの拡張機能プロパティを更新する |
| microsoft.directory/applications/notes/update | アプリケーションのメモを更新する |
| microsoft.directory/applications/owners/update | アプリケーションの所有者を更新する |
| microsoft.directory/applications/permissions/update | すべての種類のアプリケーションで、公開されたアクセス許可と必要なアクセス許可を更新する |
| microsoft.directory/applications/policies/update | アプリケーションのポリシーを更新する |
| microsoft.directory/applications/tag/update | アプリケーションのタグを更新する |
| microsoft.directory/applications/verification/update | applicationsverification プロパティを更新する |
| microsoft.directory/applications/synchronization/standard/read | アプリケーション オブジェクトに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/applicationTemplates/instantiate | アプリケーション テンプレートからギャラリー アプリケーションのインスタンスを作成する |
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/deletedItems.applications/delete | 復元できなくなったアプリケーションを完全に削除する |
| microsoft.directory/deletedItems.applications/restore | 論理的に削除されたアプリケーションを元の状態に復元する |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 アクセス許可の付与の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/applicationPolicies/create | アプリケーション ポリシーを作成する |
| microsoft.directory/applicationPolicies/delete | アプリケーション ポリシーを削除する |
| microsoft.directory/applicationPolicies/standard/read | アプリケーション ポリシーの標準プロパティを読み取る |
| microsoft.directory/applicationPolicies/owners/read | アプリケーション ポリシーの所有者を読み取る |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | オブジェクト リストに適用されているアプリケーション ポリシーを読み取る |
| microsoft.directory/applicationPolicies/basic/update | アプリケーション ポリシーの標準プロパティを更新する |
| microsoft.directory/applicationPolicies/owners/update | アプリケーション ポリシーの所有者プロパティを更新する |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/servicePrincipals/create | サービス プリンシパルの作成 |
| microsoft.directory/servicePrincipals/delete | サービス プリンシパルを削除する |
| microsoft.directory/servicePrincipals/disable | サービス プリンシパルを無効にする |
| microsoft.directory/servicePrincipals/enable | サービス プリンシパルを有効にする |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | サービス プリンシパルのパスワード シングル サインオン資格情報を管理する |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | アプリケーション プロビジョニングのシークレットと資格情報を管理する |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | アプリケーション プロビジョニングの同期ジョブを開始、再開、および一時停止する |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | アプリケーション プロビジョニングの同期ジョブとスキーマを作成、管理する |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | サービス プリンシパルのパスワード シングル サインオン資格情報を読み取る |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | 任意のユーザーまたはすべてのユーザーに代わって、アプリケーションのアクセス許可と委任されたアクセス許可に同意を付与する (Microsoft Graph のアプリケーション アクセス許可は除く) |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/servicePrincipals/audience/update | サービス プリンシパルで対象ユーザー プロパティを更新する |
| microsoft.directory/servicePrincipals/authentication/update | サービス プリンシパルで認証プロパティを更新する |
| microsoft.directory/servicePrincipals/basic/update | サービス プリンシパルで基本プロパティを更新する |
| microsoft.directory/servicePrincipals/credentials/update | サービス プリンシパルの資格情報を更新する |
| microsoft.directory/servicePrincipals/notes/update | サービス プリンシパルのメモを更新する |
| microsoft.directory/servicePrincipals/owners/update | サービス プリンシパルの所有者を更新する |
| microsoft.directory/servicePrincipals/permissions/update | サービスプリンシパルのアクセス許可を更新する |
| microsoft.directory/servicePrincipals/policies/update | サービス プリンシパルのポリシーを更新する |
| microsoft.directory/servicePrincipals/tag/update | サービスプリンシパルのタグ プロパティを更新する |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
クラウド デバイス管理者
このロールのユーザーは、Azure AD でデバイスを有効化、無効化、および削除することができ、Azure portal で Windows 10 の BitLocker キーを読み取る (ある場合) ことができます。 このロールでは、デバイス上の他のプロパティを管理するアクセス許可の付与は行いません。
| アクション | 説明 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/deletedItems.devices/delete | 復元できなくなったデバイスを完全に削除する |
| microsoft.directory/deletedItems.devices/restore | 論理的に削除されたデバイスを元の状態に復元する |
| microsoft.directory/devices/delete | Azure AD からデバイスを削除する |
| microsoft.directory/devices/disable | Azure AD でデバイスを無効にする |
| microsoft.directory/devices/enable | Azure AD でデバイスを有効にする |
| microsoft.directory/deviceManagementPolicies/standard/read | デバイス管理アプリケーション ポリシーの標準プロパティの読み取り |
| microsoft.directory/deviceManagementPolicies/basic/update | デバイス管理アプリケーション ポリシーの標準プロパティを更新する |
| microsoft.directory/deviceRegistrationPolicy/standard/read | デバイス登録ポリシーの標準プロパティの読み取り |
| microsoft.directory/deviceRegistrationPolicy/basic/update | デバイス登録ポリシーの基本プロパティを更新する |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
コンプライアンス管理者
このロールのユーザーには、Microsoft Purview コンプライアンス ポータル、Microsoft 365 管理センター、Azure、および Microsoft 365 Defender ポータルのコンプライアンス関連の機能を管理する権限があります。 割り当て先は Exchange 管理センター内のすべての機能を管理し、Azure と Microsoft 365 のサポート チケットを作成することもできます。 詳細については、「Microsoft Defender for Office 365 および Microsoft Purview コンプライアンスのロールとロール グループ」を参照してください。
| 場所 | できること |
|---|---|
| Microsoft Purview コンプライアンス ポータル | Microsoft 365 サービス全体での組織のデータの保護および管理 コンプライアンス アラートの管理 |
| Microsoft Purview コンプライアンス マネージャー | 組織の法令遵守活動の追跡、割り当て、確認 |
| Microsoft 365 Defender ポータル | データ ガバナンスの管理 法律およびデータ調査の実行 データ主体の要求の管理 このロールには、Microsoft 365 Defender ポータルのロールベースのアクセス制御のコンプライアンス管理者ロール グループと同じアクセス許可が付与されています。 |
| Intune | Intune のすべての監査データの表示 |
| Microsoft Defender for Cloud Apps | 読み取り専用アクセス許可があり、アラートを管理できる ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可 データ管理下のすべての組み込みレポートの表示 |
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.directory/entitlementManagement/allProperties/read | Azure AD エンタイトルメント管理ですべてのプロパティを読み取る |
| microsoft.office365.complianceManager/allEntities/allTasks | Office 365 コンプライアンス マネージャーの全側面の管理 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
コンプライアンス データ管理者
このロールが割り当てられたユーザーには、Microsoft Purview コンプライアンス ポータル、Microsoft 365 管理センター、および Azure のデータを追跡するための権限があります。 ユーザーは、Exchange 管理センター、Compliance Manager、Teams および Skype for Business の管理センター内のコンプライアンス データを追跡したり、Azure および Microsoft 365 のサポート チケットを作成したりすることもできます。 コンプライアンス管理者とコンプライアンス データ管理者の違いの詳細については、「Microsoft Defender for Office 365 および Microsoft Purview コンプライアンスのロールとロール グループ」を参照してください。
| 場所 | できること |
|---|---|
| Microsoft Purview コンプライアンス ポータル | Microsoft 365 サービス全体のコンプライアンス関連ポリシーの監視 コンプライアンス アラートの管理 |
| Microsoft Purview コンプライアンス マネージャー | 組織の法令遵守活動の追跡、割り当て、確認 |
| Microsoft 365 Defender ポータル | データ ガバナンスの管理 法律およびデータ調査の実行 データ主体の要求の管理 このロールには、Microsoft 365 Defender ポータルのロールベースのアクセス制御のコンプライアンス データ管理者ロール グループと同じアクセス許可が付与されています。 |
| Intune | Intune のすべての監査データの表示 |
| Microsoft Defender for Cloud Apps | 読み取り専用アクセス許可があり、アラートを管理できる ファイル ポリシーの作成と変更、ファイル ガバナンス アクションの許可 データ管理下のすべての組み込みレポートの表示 |
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Microsoft Defender for Cloud Apps ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.azure.informationProtection/allEntities/allTasks | Azure Information Protection のすべての側面を管理する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.complianceManager/allEntities/allTasks | Office 365 コンプライアンス マネージャーの全側面の管理 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
条件付きアクセス管理者
このロールのユーザーは、Azure Active Directory の条件付きアクセスの設定を管理できます。
| アクション | 説明 |
|---|---|
| microsoft.directory/namedLocations/create | ネットワークの場所を定義するカスタム ルールを作成する |
| microsoft.directory/namedLocations/delete | ネットワークの場所を定義するカスタム ルールを削除する |
| microsoft.directory/namedLocations/standard/read | ネットワークの場所を定義するカスタム ルールの基本プロパティを読み取る |
| microsoft.directory/namedLocations/basic/update | ネットワークの場所を定義するカスタム ルールの基本プロパティを更新する |
| microsoft.directory/conditionalAccessPolicies/create | 条件付きアクセス ポリシーを作成する |
| microsoft.directory/conditionalAccessPolicies/delete | 条件付きアクセス ポリシーを削除する |
| microsoft.directory/conditionalAccessPolicies/standard/read | ポリシーの条件付きアクセスを読み取る |
| microsoft.directory/conditionalAccessPolicies/owners/read | 条件付きアクセス ポリシーの所有者を読み取る |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 条件付きアクセス ポリシーの "適用先" プロパティを読み取る |
| microsoft.directory/conditionalAccessPolicies/basic/update | 条件付きアクセス ポリシーの基本プロパティを更新する |
| microsoft.directory/conditionalAccessPolicies/owners/update | 条件付きアクセス ポリシーの所有者を更新する |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | 条件付きアクセス ポリシーのデフォルト テナントを更新する |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Microsoft 365 ロールベースのアクセス制御 (RBAC) リソース アクションの条件付きアクセス認証コンテキストを更新します |
カスタマー ロックボックスのアクセス承認者
組織内の Microsoft Purview カスタマー ロックボックス要求を管理します。 カスタマー ロックボックス要求の電子メール通知を受信し、Microsoft 365 管理センターから要求の承認と拒否を行うことができます。 カスタマー ロックボックス機能を有効または無効にすることもできます。 グローバル管理者のみが、このロールに割り当てられているユーザーのパスワードをリセットできます。
| アクション | 説明 |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | カスタマー ロックボックスのすべての側面を管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
デスクトップ Analytics 管理者
このロールのユーザーは、Desktop Analytics サービスを管理できます。 これには、資産インベントリの表示、デプロイ プランの作成、およびデプロイと正常性の状態の表示に対する権限が含まれます。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Desktop Analytics のすべての側面を管理する |
ディレクトリ リーダー
このロールのユーザーは、基本的なディレクトリ情報を読み取ることができます。 このロールは次の目的で使用してください。
- 読み取りアクセスをすべてのゲスト ユーザーに付与せず、特定のゲスト ユーザー セットに付与する。
- [Restrict access to Azure portal to admins only] (Azure portal へのアクセスを管理者のみに制限する) が [はい] に設定されている場合に、管理者以外の特定のユーザー セットに Azure portal へのアクセスを付与する。
- Directory.Read.All を選択できないディレクトリへのアクセスをサービス プリンシパルに付与する。
| アクション | 説明 |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | 管理単位の基本プロパティを読み取る |
| microsoft.directory/administrativeUnits/members/read | 管理単位のメンバーを読み取る |
| microsoft.directory/applications/standard/read | アプリケーションの標準プロパティを読み取る |
| microsoft.directory/applications/owners/read | アプリケーションの所有者を読み取る |
| microsoft.directory/applications/policies/read | アプリケーションのポリシーを読み取る |
| microsoft.directory/contacts/standard/read | Azure AD で連絡先の基本プロパティを読み取る |
| microsoft.directory/contacts/memberOf/read | Azure AD ですべての連絡先のグループ メンバーシップを読み取る |
| microsoft.directory/contracts/standard/read | パートナー コントラクトの基本プロパティを読み取る |
| microsoft.directory/devices/standard/read | デバイスで基本プロパティを読み取る |
| microsoft.directory/devices/memberOf/read | デバイス メンバーシップを読み取る |
| microsoft.directory/devices/registeredOwners/read | デバイスの登録済み所有者を読み取る |
| microsoft.directory/devices/registeredUsers/read | デバイスの登録済みユーザーを読み取る |
| microsoft.directory/directoryRoles/standard/read | Azure AD ロールの基本プロパティを読み取る |
| microsoft.directory/directoryRoles/eligibleMembers/read | Azure AD ロールの対象メンバーを読み取る |
| microsoft.directory/directoryRoles/members/read | Azure AD ロールのすべてのメンバーを読み取る |
| microsoft.directory/domains/standard/read | ドメインで基本プロパティを読み取る |
| microsoft.directory/groups/standard/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの標準プロパティを読み取る |
| microsoft.directory/groups/appRoleAssignments/read | グループのアプリケーション ロールの割り当てを読み取る |
| microsoft.directory/groups/memberOf/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの memberOf プロパティを読み取る |
| microsoft.directory/groups/members/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループのメンバーを読み取る |
| microsoft.directory/groups/owners/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの所有者を読み取る |
| microsoft.directory/groups/settings/read | グループの設定を読み取る |
| microsoft.directory/groupSettings/standard/read | グループ設定の基本プロパティを読み取る |
| microsoft.directory/groupSettingTemplates/standard/read | グループ設定テンプレートの基本プロパティを読み取る |
| microsoft.directory/oAuth2PermissionGrants/standard/read | OAuth 2.0 アクセス許可付与の基本プロパティを読み取る |
| microsoft.directory/organization/standard/read | 組織で基本プロパティを読み取る |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | パスワードレス認証用に信頼された証明機関を読み取る |
| microsoft.directory/applicationPolicies/standard/read | アプリケーション ポリシーの標準プロパティを読み取る |
| microsoft.directory/roleAssignments/standard/read | ロールの割り当ての基本プロパティを読み取る |
| microsoft.directory/roleDefinitions/standard/read | ロールの定義の基本プロパティを読み取る |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | サービス プリンシパルのロールの割り当てを読み取る |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | サービス プリンシパルに割り当てられたロールの割り当てを読み取る |
| microsoft.directory/servicePrincipals/standard/read | サービス プリンシパルの基本プロパティを読み取る |
| microsoft.directory/servicePrincipals/memberOf/read | サービス プリンシパルのグループ メンバーシップを読み取る |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | サービス プリンシパルの委任されたアクセス許可付与を読み取る |
| microsoft.directory/servicePrincipals/owners/read | サービス プリンシパルの所有者を読み取る |
| microsoft.directory/servicePrincipals/ownedObjects/read | サービスプリンシパルの所有オブジェクトを読み取る |
| microsoft.directory/servicePrincipals/policies/read | サービス プリンシパルのポリシーを読み取る |
| microsoft.directory/subscribedSkus/standard/read | サブスクリプションの基本プロパティの読み取り |
| microsoft.directory/users/standard/read | ユーザーの基本プロパティを読み取る |
| microsoft.directory/users/appRoleAssignments/read | ユーザーのアプリケーション ロールの割り当てを読み取る |
| microsoft.directory/users/deviceForResourceAccount/read | ユーザーの deviceForResourceAccount を読み取る |
| microsoft.directory/users/directReports/read | ユーザーの直属の部下を読み取る |
| microsoft.directory/users/licenseDetails/read | ユーザーのライセンスの詳細を読み取る |
| microsoft.directory/users/manager/read | ユーザーのマネージャーを読み取る |
| microsoft.directory/users/memberOf/read | ユーザーのグループ メンバーシップを読み取る |
| microsoft.directory/users/oAuth2PermissionGrants/read | ユーザーの委任されたアクセス許可付与を読み取る |
| microsoft.directory/users/ownedDevices/read | ユーザーの所有デバイスを読み取る |
| microsoft.directory/users/ownedObjects/read | ユーザーの所有オブジェクトを読み取る |
| microsoft.directory/users/photo/read | ユーザーの写真を読み取る |
| microsoft.directory/users/registeredDevices/read | ユーザーの登録済みデバイスを読み取る |
| microsoft.directory/users/scopedRoleMemberOf/read | 管理単位にスコープされている Azure AD ロールのユーザーのメンバーシップを読み取る |
ディレクトリ同期アカウント
使用しないでください。 このロールは、自動的に Azure AD Connect サービスに割り当てられます。他の用途に使用するためのものではなく、他の用途ではサポートされていません。
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/create | すべての種類のアプリケーションを作成する |
| microsoft.directory/applications/delete | すべての種類のアプリケーションを削除する |
| microsoft.directory/applications/appRoles/update | すべての種類のアプリケーションで appRoles プロパティを更新する |
| microsoft.directory/applications/audience/update | アプリケーションの対象ユーザー プロパティを更新する |
| microsoft.directory/applications/authentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/basic/update | アプリケーションの基本プロパティを更新する |
| microsoft.directory/applications/credentials/update | アプリケーション資格情報を更新する |
| microsoft.directory/applications/notes/update | アプリケーションのメモを更新する |
| microsoft.directory/applications/owners/update | アプリケーションの所有者を更新する |
| microsoft.directory/applications/permissions/update | すべての種類のアプリケーションで、公開されたアクセス許可と必要なアクセス許可を更新する |
| microsoft.directory/applications/policies/update | アプリケーションのポリシーを更新する |
| microsoft.directory/applications/tag/update | アプリケーションのタグを更新する |
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Azure AD でハイブリッド認証ポリシーを管理する |
| microsoft.directory/organization/dirSync/update | 組織のディレクトリ同期プロパティを更新する |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Azure AD でパスワード ハッシュ同期 (PHS) のすべての側面の管理する |
| microsoft.directory/policies/create | Azure AD でポリシーを作成する |
| microsoft.directory/policies/delete | Azure AD でポリシーを削除する |
| microsoft.directory/policies/standard/read | ポリシーの基本プロパティを読み取る |
| microsoft.directory/policies/owners/read | ポリシーの所有者を読み取る |
| microsoft.directory/policies/policyAppliedTo/read | policies.policyAppliedTo プロパティを読み取る |
| microsoft.directory/policies/basic/update | ポリシーの基本プロパティを更新する |
| microsoft.directory/policies/owners/update | ポリシーの所有者を更新する |
| microsoft.directory/policies/tenantDefault/update | 既定の組織ポリシーを更新する |
| microsoft.directory/servicePrincipals/create | サービス プリンシパルの作成 |
| microsoft.directory/servicePrincipals/delete | サービス プリンシパルを削除する |
| microsoft.directory/servicePrincipals/enable | サービス プリンシパルを有効にする |
| microsoft.directory/servicePrincipals/disable | サービス プリンシパルを無効にする |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | サービス プリンシパルのパスワード シングル サインオン資格情報を管理する |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | サービス プリンシパルのパスワード シングル サインオン資格情報を読み取る |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | サービス プリンシパルのロールの割り当てを読み取る |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | サービス プリンシパルに割り当てられたロールの割り当てを読み取る |
| microsoft.directory/servicePrincipals/standard/read | サービス プリンシパルの基本プロパティを読み取る |
| microsoft.directory/servicePrincipals/memberOf/read | サービス プリンシパルのグループ メンバーシップを読み取る |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | サービス プリンシパルの委任されたアクセス許可付与を読み取る |
| microsoft.directory/servicePrincipals/owners/read | サービス プリンシパルの所有者を読み取る |
| microsoft.directory/servicePrincipals/ownedObjects/read | サービスプリンシパルの所有オブジェクトを読み取る |
| microsoft.directory/servicePrincipals/policies/read | サービス プリンシパルのポリシーを読み取る |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/servicePrincipals/audience/update | サービス プリンシパルで対象ユーザー プロパティを更新する |
| microsoft.directory/servicePrincipals/authentication/update | サービス プリンシパルで認証プロパティを更新する |
| microsoft.directory/servicePrincipals/basic/update | サービス プリンシパルで基本プロパティを更新する |
| microsoft.directory/servicePrincipals/credentials/update | サービス プリンシパルの資格情報を更新する |
| microsoft.directory/servicePrincipals/notes/update | サービス プリンシパルのメモを更新する |
| microsoft.directory/servicePrincipals/owners/update | サービス プリンシパルの所有者を更新する |
| microsoft.directory/servicePrincipals/permissions/update | サービスプリンシパルのアクセス許可を更新する |
| microsoft.directory/servicePrincipals/policies/update | サービス プリンシパルのポリシーを更新する |
| microsoft.directory/servicePrincipals/tag/update | サービスプリンシパルのタグ プロパティを更新する |
ディレクトリ ライター
このロールのユーザーは、ユーザー、グループ、およびサービス プリンシパルの基本情報の読み取りと更新が可能です。
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/extensionProperties/update | アプリケーションの拡張機能プロパティを更新する |
| microsoft.directory/contacts/create | 連絡先を作成する |
| microsoft.directory/groups/assignLicense | グループベースのライセンスのグループに製品ライセンスを割り当てる |
| microsoft.directory/groups/create | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを作成する |
| microsoft.directory/groups/reprocessLicenseAssignment | グループベースのライセンスのライセンス割り当てを再処理する |
| microsoft.directory/groups/basic/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの基本プロパティを更新する |
| microsoft.directory/groups/classification/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの分類プロパティを更新する |
| microsoft.directory/groups/dynamicMembershipRule/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの動的メンバーシップ ルールを更新する |
| microsoft.directory/groups/groupType/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのグループの種類に影響を与えるプロパティを更新する |
| microsoft.directory/groups/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups/onPremWriteBack/update | Azure AD Connect を使用してオンプレミスに書き戻す Azure Active Directory グループを更新する |
| microsoft.directory/groups/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの所有者を更新する |
| microsoft.directory/groups/settings/update | グループの設定を更新する |
| microsoft.directory/groups/visibility/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの可視性プロパティを更新する |
| microsoft.directory/groupSettings/create | グループ設定の作成 |
| microsoft.directory/groupSettings/delete | グループ設定の削除 |
| microsoft.directory/groupSettings/basic/update | グループ設定の基本プロパティを更新する |
| microsoft.directory/oAuth2PermissionGrants/create | OAuth 2.0 アクセス許可付与を作成する |
| microsoft.directory/oAuth2PermissionGrants/basic/update | OAuth 2.0 アクセス許可付与を更新する |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | アプリケーション プロビジョニングのシークレットと資格情報を管理する |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | アプリケーション プロビジョニングの同期ジョブを開始、再開、および一時停止する |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | アプリケーション プロビジョニングの同期ジョブとスキーマを作成、管理する |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/users/assignLicense | ユーザー ライセンスの管理 |
| microsoft.directory/users/create | ユーザーの追加 |
| microsoft.directory/users/disable | ユーザーの無効化 |
| microsoft.directory/users/enable | ユーザーの有効化 |
| microsoft.directory/users/invalidateAllRefreshTokens | ユーザー更新トークンを無効にして強制的にサインアウトする |
| microsoft.directory/users/inviteGuest | ゲスト ユーザーを招待する |
| microsoft.directory/users/reprocessLicenseAssignment | ユーザーのライセンス割り当てを再処理する |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/photo/update | ユーザーの写真を更新する |
| microsoft.directory/users/userPrincipalName/update | ユーザーのユーザー プリンシパル名を更新する |
ドメイン名管理者
このロールのユーザーは、ドメイン名の管理 (読み取り、追加、検証、更新、および削除) を行うことができます。 また、ユーザー、グループ、およびアプリケーションに関するディレクトリ情報も読み取ることができます。これらのオブジェクトはドメインの依存関係を所有しているためです。 オンプレミス環境の場合、このロールを持つユーザーは、関連付けられたユーザーが常にオンプレミスで認証されるように、フェデレーションのドメイン名を構成できます。 これらのユーザーは、シングル サインオンを介してオンプレミスのパスワードを使用して Azure AD ベースのサービスにサインインできます。 フェデレーション設定を Azure AD Connect 経由で同期する必要があるため、ユーザーは Azure AD Connect を管理する権限も持っています。
| アクション | 説明 |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | ドメインの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Dynamics 365 管理者
このロールが割り当てられたユーザーは、Microsoft Dynamics 365 Online 内でグローバル アクセス許可を持ちます (このサービスが存在する場合)。また、サポート チケットを管理し、サービス正常性を監視できます。 詳しくは、「サービス管理者ロールを使用してテナントを管理する」をご覧ください。
Note
Microsoft Graph API と Azure AD PowerShell では、このロールは Dynamics 365 サービス管理者という名前です。 Azure portal では、Dynamics 365 管理者という名前です。
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.dynamics365/allEntities/allTasks | Dynamics 365 のすべての側面を管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Edge 管理者
このロールのユーザーは、Microsoft Edge で Internet Explorer モードに必要なエンタープライズ サイト リストを作成および管理できます。 このロールには、サイト リストを作成、編集、発行するアクセス許可が付与され、さらにサポート チケットを管理するためのアクセスが許可されます。 詳細情報
| アクション | 説明 |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Microsoft Edge のすべての側面を管理する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Exchange 管理者
このロールが割り当てられたユーザーは、Microsoft Exchange Online 内でグローバル アクセス許可を持ちます (このサービスが存在する場合)。 また、すべての Microsoft 365 グループの作成および管理、サポート チケットの管理、サービスの正常性の監視を行うこともできます。 詳しくは、「Microsoft 365 管理センターでの管理者ロールについて」をご覧ください。
Note
Microsoft Graph API と Azure AD PowerShell では、このロールは Exchange サービス管理者という名前です。 Azure portal では、Exchange 管理者という名前です。 Exchange 管理センターでは、Exchange Online 管理者という名前です。
| アクション | 説明 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを読み取る |
| microsoft.directory/groups.unified/create | ロールを割り当て可能なグループを除き、Microsoft 365 グループを作成する |
| microsoft.directory/groups.unified/delete | ロールを割り当て可能なグループを除き、Microsoft 365 グループを削除する |
| microsoft.directory/groups.unified/restore | ロール割り当て可能なグループを除く、論理的に削除されたコンテナーから Microsoft 365 グループを復元する |
| microsoft.directory/groups.unified/basic/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの基本プロパティを更新する |
| microsoft.directory/groups.unified/members/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups.unified/owners/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの所有者を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.exchange/allEntities/basic/allTasks | Exchange Online のすべての側面を管理する |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Exchange 受信者管理者
このロールのユーザーには、Exchange Online の受信者に対する読み取りアクセスと、それらの受信者の属性に対する書き込みアクセスがあります。 詳しくは、「Exchange Server の受信者」をご覧ください。
| アクション | 説明 |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Exchange Online でのすべての受信者の作成と削除、および受信者のすべてのプロパティの読み取りと更新 |
| microsoft.office365.exchange/migration/allProperties/allTasks | Exchange Online での受信者の移行に関連するすべてのタスクを管理する |
外部 ID ユーザー フロー管理者
このロールが割り当てられたユーザーは、Azure portal でユーザー フロー ("組み込み" ポリシーとも呼ばれます) を作成および管理することができます。 これらのユーザーは、HTML/CSS/JavaScript コンテンツのカスタマイズ、MFA 要件の変更、トークン内のクレームの選択、API コネクタおよび資格証明の管理、および Azure AD 組織内のすべてのユーザー フローのセッション設定の構成を行うことができます。 その一方で、このロールには、ユーザーのデータを確認したり、組織スキーマに含まれている属性を変更したりする機能は含まれていません。 Identity Experience Framework ポリシー (カスタム ポリシーとも呼ばれます) の変更も、このロールの範囲外です。
| アクション | 説明 |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Azure Active Directory B2Cのユーザーフローの読み取りと構成 |
外部 ID ユーザー フロー属性管理者
このロールが割り当てられたユーザーは、Azure AD 組織内のすべてのユーザー フローで使用可能なカスタム属性を追加または削除できます。 そのため、このロールが割り当てられたユーザーは、エンド ユーザー スキーマを変更、またはエンド ユーザー スキーマに新しい要素を追加して、すべてのユーザー フローの動作に影響を及ぼしたり、エンド ユーザーが求め、最終的には要求としてアプリケーションに送信されるデータを間接的に変更したりできます。 このロールでユーザー フローを編集することはできません。
| アクション | 説明 |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Azure Active Directory B2Cのユーザー属性を読み取り、構成する |
外部 ID プロバイダー管理者
この管理者は、Azure AD 組織と外部 ID プロバイダー間のフェデレーションを管理します。 このロールが割り当てられたユーザーは、新しい ID プロバイダーを追加し、使用可能なすべての設定 (認証パス、サービス ID、割り当てられたキー コンテナーなど) を構成できます。 このユーザーは、Azure AD 組織が外部 ID プロバイダーからの認証を信頼できるようにすることができます。 その結果としてエンド ユーザー エクスペリエンスに及ぼす影響は、組織の種類によって異なります。
- 従業員とパートナー向けの Azure AD 組織:(たとえば Gmail との) フェデレーションの追加は、まだ招待に応じていないすべてのゲストの招待にすぐに影響します。 「Google を B2B ゲスト ユーザーの ID プロバイダーとして追加する」を参照してください。
- Azure Active Directory B2C 組織:(たとえば Facebook、または別の Azure AD 組織との) フェデレーションの追加は、ユーザー フロー (組み込みポリシーとも呼ばれます) で ID プロバイダーがオプションとして追加されるまで、エンド ユーザー フローにすぐに影響することはありません。 例については、ID プロバイダーとしての Microsoft アカウントの構成に関するページを参照してください。 ユーザー フローを変更するには、"B2C ユーザー フロー管理者" の制限されたロールが必要です。
| アクション | 説明 |
|---|---|
| microsoft.directory/domains/federation/update | ドメインのフェデレーション プロパティを更新する |
| microsoft.directory/identityProviders/allProperties/allTasks | Azure Active Directory B2C の ID プロバイダーを読み取り、構成する |
グローバル管理者
このロールが割り当てられたユーザーは、Azure Active Directory のすべての管理機能と、Azure Active Directory の ID を使用するサービス (Microsoft 365 Defender ポータル、Microsoft Purview コンプライアンス ポータル、Exchange Online、SharePoint Online、Skype for Business Online など) にアクセスできます。 さらにグローバル管理者は、アクセスを昇格させることで、すべての Azure サブスクリプションと管理グループを管理できます。 これにより、グローバル管理者は各 Azure AD テナントを使用して、すべての Azure リソースに対するフル アクセスを取得できます。 Azure AD 組織にサインアップしたユーザーがグローバル管理者になります。 会社に複数のグローバル管理者がいてもかまいません。 グローバル管理者は、すべてのユーザーと他のすべての管理者のパスワードをリセットできます。 グローバル管理者は、自分のグローバル管理者の割り当てを削除することはできません。 これは、組織に全体管理者がいなくなる状況を防ぐためです。
注意
ベスト プラクティスとして、組織内でグローバル管理者ロールを割り当てるユーザーは 5 人未満にすることをお勧めします。 詳細については、「Azure AD のロールに関するベスト プラクティス」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (非推奨) Azure AD で、アクセス レビューの作成と削除、アクセス レビューのすべてのプロパティの読み取りと更新、およびグループのアクセス レビューの管理を行う |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Azure AD ですべてのレビュー可能なリソースのアクセス レビューを管理する |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Azure AD で管理者の同意要求ポリシーを管理する |
| microsoft.directory/administrativeUnits/allProperties/allTasks | 管理単位 (メンバーを含む) の作成と管理する |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Azure AD に登録されているアプリケーションに対する同意要求のすべてのプロパティを読み取る |
| microsoft.directory/applications/allProperties/allTasks | アプリケーションの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/applications/synchronization/standard/read | アプリケーション オブジェクトに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/applicationTemplates/instantiate | アプリケーション テンプレートからギャラリー アプリケーションのインスタンスを作成する |
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/users/authenticationMethods/create | ユーザーの認証方法を作成する |
| microsoft.directory/users/authenticationMethods/delete | ユーザーの認証方法を削除する |
| microsoft.directory/users/authenticationMethods/standard/read | ユーザーの認証方法の標準プロパティを読み取る |
| microsoft.directory/users/authenticationMethods/basic/update | ユーザーの認証方法の基本プロパティを更新する |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | 認可ポリシーのすべての側面を管理する |
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Microsoft Defender for Cloud Apps ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.directory/connectors/create | アプリケーション プロキシ コネクタを作成する |
| microsoft.directory/connectors/allProperties/read | アプリケーション プロキシ コネクタのすべてのプロパティを読み取る |
| microsoft.directory/connectorGroups/create | アプリケーション プロキシ コネクタ グループを作成する |
| microsoft.directory/connectorGroups/delete | アプリケーション プロキシ コネクタ グループを削除する |
| microsoft.directory/connectorGroups/allProperties/read | アプリケーション プロキシ コネクタ グループのすべてのプロパティを読み取る |
| microsoft.directory/connectorGroups/allProperties/update | アプリケーション プロキシ コネクタ グループのすべてのプロパティを更新する |
| microsoft.directory/contacts/allProperties/allTasks | 連絡先の作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/contracts/allProperties/allTasks | パートナー コントラクトの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | カスタム認証拡張機能の作成と管理する |
| microsoft.directory/deletedItems/delete | 復元できなくなったオブジェクトを完全に削除する |
| microsoft.directory/deletedItems/restore | 論理的に削除されたオブジェクトを元の状態に復元する |
| microsoft.directory/devices/allProperties/allTasks | デバイスの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/namedLocations/create | ネットワークの場所を定義するカスタム ルールを作成する |
| microsoft.directory/namedLocations/delete | ネットワークの場所を定義するカスタム ルールを削除する |
| microsoft.directory/namedLocations/standard/read | ネットワークの場所を定義するカスタム ルールの基本プロパティを読み取る |
| microsoft.directory/namedLocations/basic/update | ネットワークの場所を定義するカスタム ルールの基本プロパティを更新する |
| microsoft.directory/deviceManagementPolicies/standard/read | デバイス管理アプリケーション ポリシーの標準プロパティの読み取り |
| microsoft.directory/deviceManagementPolicies/basic/update | デバイス管理アプリケーション ポリシーの標準プロパティを更新する |
| microsoft.directory/deviceRegistrationPolicy/standard/read | デバイス登録ポリシーの標準プロパティの読み取り |
| microsoft.directory/deviceRegistrationPolicy/basic/update | デバイス登録ポリシーの基本プロパティを更新する |
| microsoft.directory/directoryRoles/allProperties/allTasks | ディレクトリ ロールの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Azure AD ロール テンプレートの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/domains/allProperties/allTasks | ドメインの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/domains/federationConfiguration/standard/read | ドメインのフェデレーション構成の標準プロパティを読み取る |
| microsoft.directory/domains/federationConfiguration/basic/update | ドメインの基本的なフェデレーション構成を更新する |
| microsoft.directory/domains/federationConfiguration/create | ドメインのフェデレーション構成を作成する |
| microsoft.directory/domains/federationConfiguration/delete | ドメインのフェデレーション構成を削除する |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Azure AD エンタイトルメント管理でのリソースの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/groups/allProperties/allTasks | グループの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/groupsAssignableToRoles/create | ロールを割り当て可能なグループを作成する |
| microsoft.directory/groupsAssignableToRoles/delete | ロールを割り当て可能なグループを削除する |
| microsoft.directory/groupsAssignableToRoles/restore | ロールを割り当て可能なグループを復元する |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | ロールを割り当て可能なグループを更新する |
| microsoft.directory/groupSettings/allProperties/allTasks | グループ設定の作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | グループ設定テンプレートの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Azure AD でハイブリッド認証ポリシーを管理する |
| microsoft.directory/identityProtection/allProperties/allTasks | Azure AD Identity Protection ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | loginTenantBranding の作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 アクセス許可の付与の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/organization/allProperties/allTasks | 組織のすべてのプロパティの読み取りと更新を行う |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Azure AD でパスワード ハッシュ同期 (PHS) のすべての側面の管理する |
| microsoft.directory/policies/allProperties/allTasks | ポリシーの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | 条件付きアクセス ポリシーのすべてのプロパティを管理する |
| microsoft.directory/crossTenantAccessPolicy/standard/read | テナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | テナント間アクセスポリシーの許可されたクラウドエンドポイントを更新する |
| microsoft.directory/crossTenantAccessPolicy/basic/update | テナント間アクセスポリシーの基本設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 既定のテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 既定のテナント間アクセスポリシーのAzure AD B2Bコラボレーション設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 既定のテナント間アクセスポリシーのAzure AD B2B直接接続設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 既定のクロステナントアクセスポリシーのクロスクラウドTeams会議設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 既定のテナント間アクセスポリシーのテナント制限を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/create | パートナーのテナント間アクセスポリシーを作成する |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | パートナーのテナント間アクセスポリシーを削除する |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | パートナーのテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | パートナーのテナント間アクセスポリシーのAzure AD B2Bコラボレーション設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | パートナーのテナント間アクセスポリシーのAzure AD B2B直接接続設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | パートナーのテナント間アクセスポリシーのクロスクラウドTeams会議設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | パートナーのテナント間アクセスポリシーのテナント制限を更新する |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management のすべてのリソースを読み取る |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Microsoft 365 ロールベースのアクセス制御 (RBAC) リソース アクションの条件付きアクセス認証コンテキストを更新します |
| microsoft.directory/roleAssignments/allProperties/allTasks | ロールの割り当ての作成と削除、およびすべてのロールの割り当てプロパティの読み取りと更新 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | ロールの定義の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | scopedRoleMemberships の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/serviceAction/activateService | サービスに対して "サービスのアクティブ化" アクションを実行できる |
| microsoft.directory/serviceAction/disableDirectoryFeature | "ディレクトリ機能を無効にする" サービス アクションを実行できる |
| microsoft.directory/serviceAction/enableDirectoryFeature | "ディレクトリ機能を有効にする" サービス アクションを実行できる |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | getAvailableExtentionProperties サービス アクションを実行できる |
| microsoft.directory/servicePrincipals/allProperties/allTasks | サービス プリンシパルの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | 任意のアプリケーションに対するすべてのアクセス許可に同意を付与する |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/subscribedSkus/allProperties/allTasks | サブスクリプションの購入と管理、サブスクリプションの削除を行う |
| microsoft.directory/users/allProperties/allTasks | ユーザーの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/permissionGrantPolicies/create | アクセス許可付与ポリシーを作成する |
| microsoft.directory/permissionGrantPolicies/delete | アクセス許可付与ポリシーを削除する |
| microsoft.directory/permissionGrantPolicies/standard/read | アクセス許可付与ポリシーの標準プロパティを読み取る |
| microsoft.directory/permissionGrantPolicies/basic/update | アクセス許可付与ポリシーの基本プロパティを更新する |
| microsoft.directory/servicePrincipalCreationPolicies/create | サービス プリンシパル作成ポリシーを作成する |
| microsoft.directory/servicePrincipalCreationPolicies/delete | サービス プリンシパル作成ポリシーを削除する |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | サービス プリンシパル作成ポリシーの標準プロパティを読み取る |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | サービス プリンシパル作成ポリシーの基本プロパティを読み取る |
| microsoft.directory/tenantManagement/tenants/create | Azure Active Directory で新しいテナントを作成する |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 検証可能な資格情報カードを読み取る |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 検証可能な資格情報カードを取り消す |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | 検証可能な資格情報コントラクトを作成する |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 検証可能な資格情報コントラクトを読み取る |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 検証可能な資格情報コントラクトを更新する |
| microsoft.directory/verifiableCredentials/configuration/create | 検証可能な資格情報を作成および管理するために必要な構成を作成する |
| microsoft.directory/verifiableCredentials/configuration/delete | 検証可能な資格情報を作成および管理するために必要な構成を削除し、その検証可能な資格情報をすべて削除する |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 検証可能な資格情報を作成および管理するために必要な構成を読み取る |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | 検証可能な資格情報を作成および管理するために必要な構成を更新する |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | ライフサイクル ワークフローとタスクのすべての側面を Azure AD で管理する |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Azure Advanced Threat Protection のすべての側面を管理する |
| microsoft.azure.informationProtection/allEntities/allTasks | Azure Information Protection のすべての側面を管理する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Windows 365 のすべての側面を管理する |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Office 365 課金のすべての側面を管理する |
| microsoft.commerce.billing/purchases/standard/read | M365 管理 センターで購入サービスをお読みください。 |
| microsoft.dynamics365/allEntities/allTasks | Dynamics 365 のすべての側面を管理する |
| microsoft.edge/allEntities/allProperties/allTasks | Microsoft Edge のすべての側面を管理する |
| microsoft.flow/allEntities/allTasks | Power Automate のすべての側面を管理する |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | 他のユーザーが作成した配送先住所を含む、Microsoft ハードウェア保証クレームの配送先住所の作成、読み取り、更新、削除を行います |
| microsoft.hardware.support/shippingStatus/allProperties/read | オープンな Microsoft ハードウェア保証クレームの出荷ステータスを読み取ります |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Microsoft ハードウェア保証クレームのすべての側面を作成および管理します |
| microsoft.insights/allEntities/allProperties/allTasks | Insights アプリのすべての側面を管理する |
| microsoft.intune/allEntities/allTasks | Microsoft Intune のすべての側面を管理する |
| microsoft.office365.complianceManager/allEntities/allTasks | Office 365 コンプライアンス マネージャーの全側面の管理 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Desktop Analytics のすべての側面を管理する |
| microsoft.office365.exchange/allEntities/basic/allTasks | Exchange Online のすべての側面を管理する |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Microsoft 365 管理センターのコンテンツの解釈のすべてのプロパティを読み取り、更新する |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Microsoft 365 管理センターでコンテンツの解釈の分析レポートを読み取る |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Microsoft 365 管理センターの知識ネットワークのすべてのプロパティを読み取り、更新する |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Microsoft 365 管理センターで知識ネットワークのトピックの可視性を管理する |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Learning アプリで学習ソースとそのすべてのプロパティを管理する |
| microsoft.office365.lockbox/allEntities/allTasks | カスタマー ロックボックスのすべての側面を管理する |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.messageCenter/securityMessages/read | Microsoft 365 管理センターのメッセージ センターでセキュリティ メッセージを読み取る |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Microsoft 365 組織メッセージのすべての作成側面を管理する |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | セキュリティおよびコンプライアンス センターのすべての側面を管理する |
| microsoft.office365.search/content/manage | Microsoft Search でコンテンツの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Office 365 セキュリティ/コンプライアンス センターであらゆるリソースを作成し、削除し、標準プロパティを読み取り、更新する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Skype for Business Online の全側面の管理 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.userCommunication/allEntities/allTasks | 新機能のメッセージを表示できるかどうかを読み取り、更新する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Yammer の全側面の管理 |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Entra Permissions Management のすべての側面を管理する |
| microsoft.powerApps/allEntities/allTasks | Power Apps のすべての側面を管理する |
| microsoft.powerApps.powerBI/allEntities/allTasks | Power BI のすべての側面を管理する |
| microsoft.teams/allEntities/allProperties/allTasks | Teams のすべてのリソースを管理する |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 管理センターまたは Virtual Visits アプリから Virtual Visits の情報とメトリックを管理および共有する |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | エンドポイントに対して Microsoft Defender のすべての側面を管理する |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Windows Update Service のすべての側面の読み取りと構成を行う |
グローバル閲覧者
このロールのユーザーは、Microsoft 365 の各サービスにわたって設定と管理情報を読み取ることができますが、管理アクションを実行することはできません。 グローバル閲覧者は、全体管理者に対応する読み取り専用のロールです。 計画、監査、調査については、全体管理者ではなくグローバル閲覧者を割り当てます。 Exchange 管理者など、他の制限付き管理者ロールとグローバル閲覧者を組み合わせて使用すると、全体管理者ロールを割り当てずに作業を簡単に行うことができます。 グローバル閲覧者は、Microsoft 365 管理センター、Exchange 管理センター、SharePoint 管理センター、Teams 管理センター、Microsoft 365 Defender ポータル、Microsoft Purview コンプライアンス ポータル、Azure portal、およびデバイス管理の管理センターと連携します。
このロールのユーザーは、次の作業を実行できません。
- Microsoft 365 管理センターの [サービスを購入する] 領域にはアクセスできません。
注意
グローバル閲覧者ロールには、次の制限があります。
- OneDrive 管理センター - OneDrive 管理センターでは、グローバル閲覧者ロールはサポートされていません。
- Microsoft 365 管理センター - グローバル閲覧者は統合アプリを閲覧できません。 Microsoft 365 管理センターの左側のウィンドウにある [設定] の下に [統合アプリ] タブが見つかりません。
- Microsoft 365 Defender ポータル - グローバル閲覧者は、SCC 監査ログの閲覧、コンテンツの検索、セキュリティ スコアの確認を行うことはできません。
- Teams 管理センター - グローバル閲覧者は、Teams ライフサイクル、分析 レポート、IP 電話デバイス管理、アプリ カタログを閲覧できません。 詳細については、「Teams の管理に Microsoft Teams 管理者ロールを使用する」を参照してください。
- Privileged Access Management では、グローバル閲覧者ロールはサポートされていません。
- Azure Information Protection - グローバル閲覧者は、中央レポートのみでサポートされ、Azure AD 組織が統合ラベル付けプラットフォームにない場合にサポートされます。
- SharePoint - 現在、グローバル閲覧者は PowerShell を使用して SharePoint にアクセスできません。
- Power Platform 管理センター - グローバル閲覧者は、Power Platform 管理センターではまだサポートされていません。
- Microsoft Purview では、グローバル閲覧者ロールはサポートされていません。
| アクション | 説明 |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (非推奨) アクセス レビューのすべてのプロパティを読み取る |
| microsoft.directory/accessReviews/definitions/allProperties/read | Azure AD ですべてのレビュー可能なリソースのアクセス レビューのすべてのプロパティを読み取る |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Azure AD で管理者の同意要求ポリシーのすべてのプロパティを読み取る |
| microsoft.directory/administrativeUnits/allProperties/read | メンバーを含めた、管理単位のすべてのプロパティを読み取る |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Azure AD に登録されているアプリケーションに対する同意要求のすべてのプロパティを読み取る |
| microsoft.directory/applications/allProperties/read | すべての種類のアプリケーションのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/applications/synchronization/standard/read | アプリケーション オブジェクトに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | ユーザーの個人を特定できる情報を含まない認証方法の標準プロパティを読み取る |
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/cloudAppSecurity/allProperties/read | Defender for Cloud Apps のすべてのプロパティを読み取る |
| microsoft.directory/connectors/allProperties/read | アプリケーション プロキシ コネクタのすべてのプロパティを読み取る |
| microsoft.directory/connectorGroups/allProperties/read | アプリケーション プロキシ コネクタ グループのすべてのプロパティを読み取る |
| microsoft.directory/contacts/allProperties/read | 連絡先のすべてのプロパティを読み取る |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | カスタム認証拡張機能を読み取る |
| microsoft.directory/devices/allProperties/read | デバイスのすべてのプロパティを読み取る |
| microsoft.directory/directoryRoles/allProperties/read | ディレクトリ ロールのすべてのプロパティを読み取る |
| microsoft.directory/directoryRoleTemplates/allProperties/read | ディレクトリ ロール テンプレートのすべてのプロパティを読み取る |
| microsoft.directory/domains/allProperties/read | ドメインのすべてのプロパティの読み取る |
| microsoft.directory/domains/federationConfiguration/standard/read | ドメインのフェデレーション構成の標準プロパティを読み取る |
| microsoft.directory/entitlementManagement/allProperties/read | Azure AD エンタイトルメント管理ですべてのプロパティを読み取る |
| microsoft.directory/groups/allProperties/read | ロールを割り当て可能なグループを含む、セキュリティ グループと Microsoft 365 グループのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/groupSettings/allProperties/read | グループ設定のすべてのプロパティを読み取る |
| microsoft.directory/groupSettingTemplates/allProperties/read | グループ設定テンプレートのすべてのプロパティを読み取る |
| microsoft.directory/identityProtection/allProperties/read | Azure AD Identity Protection のすべてのリソースを読み取る |
| microsoft.directory/loginOrganizationBranding/allProperties/read | 組織のブランド化されたサインイン ページのすべてのプロパティを読み取る |
| microsoft.directory/namedLocations/standard/read | ネットワークの場所を定義するカスタム ルールの基本プロパティを読み取る |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | OAuth 2.0 アクセス許可付与のすべてのプロパティを読み取る |
| microsoft.directory/organization/allProperties/read | 組織のすべてのプロパティを読み取る |
| microsoft.directory/permissionGrantPolicies/standard/read | アクセス許可付与ポリシーの標準プロパティを読み取る |
| microsoft.directory/policies/allProperties/read | ポリシーのすべてのプロパティを読み取る |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | 条件付きアクセス ポリシーのすべてのプロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/standard/read | テナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 既定のテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | パートナーのテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/deviceManagementPolicies/standard/read | デバイス管理アプリケーション ポリシーの標準プロパティの読み取り |
| microsoft.directory/deviceRegistrationPolicy/standard/read | デバイス登録ポリシーの標準プロパティの読み取り |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management のすべてのリソースを読み取る |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/roleAssignments/allProperties/read | ロールの割り当てのすべてのプロパティを読み取る |
| microsoft.directory/roleDefinitions/allProperties/read | ロールの定義のすべてのプロパティを読み取る |
| microsoft.directory/scopedRoleMemberships/allProperties/read | 管理単位のメンバーを表示する |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | getAvailableExtentionProperties サービス アクションを実行できる |
| microsoft.directory/servicePrincipals/allProperties/read | servicePrincipals のすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | サービス プリンシパル作成ポリシーの標準プロパティを読み取る |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/subscribedSkus/allProperties/read | 製品サブスクリプションのすべてのプロパティを読み取る |
| microsoft.directory/users/allProperties/read | ユーザーのすべてのプロパティを読み取る |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 検証可能な資格情報カードを読み取る |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 検証可能な資格情報コントラクトを読み取る |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 検証可能な資格情報を作成および管理するために必要な構成を読み取る |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | ライフサイクル ワークフローとタスクのすべてのプロパティを Azure AD で読み取る |
| microsoft.cloudPC/allEntities/allProperties/read | Windows 365 のすべての側面を読み取る |
| microsoft.commerce.billing/allEntities/allProperties/read | Office 365 課金情報のすべてのリソースを読み取る |
| microsoft.commerce.billing/purchases/standard/read | M365 管理 センターで購入サービスをお読みください。 |
| microsoft.edge/allEntities/allProperties/read | Microsoft Edge のすべての側面を読み取る |
| microsoft.hardware.support/shippingAddress/allProperties/read | 他のユーザーが作成した既存の配送先住所を含む、Microsoft ハードウェア保証クレームの配送先住所を読み取ります |
| microsoft.hardware.support/shippingStatus/allProperties/read | オープンな Microsoft ハードウェア保証クレームの出荷ステータスを読み取ります |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft ハードウェア保証クレームを読み取ります |
| microsoft.insights/allEntities/allProperties/read | Vivaインサイト の全側面を読み取る |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.messageCenter/securityMessages/read | Microsoft 365 管理センターのメッセージ センターでセキュリティ メッセージを読み取る |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Microsoft 365 組織メッセージのすべての側面を読み取る |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | セキュリティおよびコンプライアンス センターのすべてのプロパティを読み取る |
| microsoft.office365.securityComplianceCenter/allEntities/read | Microsoft 365 セキュリティおよびコンプライアンス センターで標準プロパティを読み取る |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.office365.yammer/allEntities/allProperties/read | Yammer のすべてのアスペクトを読み取る |
| microsoft.permissionsManagement/allEntities/allProperties/read | Entra Permissions Management のすべての側面を読み取る |
| microsoft.teams/allEntities/allProperties/read | Microsoft Teams のすべてのプロパティを読み取る |
| microsoft.virtualVisits/allEntities/allProperties/read | 仮想アクセスのすべての側面を読み取る |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Windows Update Service のすべての側面を読み取る |
グループ管理者
このロールのユーザーは、グループとその設定 (命名ポリシーや有効期限ポリシーなど) を作成/管理できます。 このロールにユーザーを割り当てることにより、Outlook だけでなく、Teams、SharePoint、Yammer などのさまざまなワークロードにわたって、組織内のすべてのグループを管理する機能がユーザーに付与されるということを理解しておくことが重要です。 また、そのユーザーは、Microsoft 管理センター、Azure portal などのさまざまな管理ポータル、および Teams 管理センターや SharePoint 管理センターなどのワークロード固有の管理ポータルでさまざまなグループ設定を管理できます。
| アクション | 説明 |
|---|---|
| microsoft.directory/deletedItems.groups/delete | 復元できなくなったグループを完全に削除する |
| microsoft.directory/deletedItems.groups/restore | 論理的に削除されたグループを元の状態に復元する |
| microsoft.directory/groups/assignLicense | グループベースのライセンスのグループに製品ライセンスを割り当てる |
| microsoft.directory/groups/create | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを作成する |
| microsoft.directory/groups/delete | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを削除する |
| microsoft.directory/groups/hiddenMembers/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを読み取る |
| microsoft.directory/groups/reprocessLicenseAssignment | グループベースのライセンスのライセンス割り当てを再処理する |
| microsoft.directory/groups/restore | ソフト削除されたコンテナーからグループを復元する |
| microsoft.directory/groups/basic/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの基本プロパティを更新する |
| microsoft.directory/groups/classification/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの分類プロパティを更新する |
| microsoft.directory/groups/dynamicMembershipRule/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの動的メンバーシップ ルールを更新する |
| microsoft.directory/groups/groupType/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのグループの種類に影響を与えるプロパティを更新する |
| microsoft.directory/groups/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups/onPremWriteBack/update | Azure AD Connect を使用してオンプレミスに書き戻す Azure Active Directory グループを更新する |
| microsoft.directory/groups/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの所有者を更新する |
| microsoft.directory/groups/settings/update | グループの設定を更新する |
| microsoft.directory/groups/visibility/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの可視性プロパティを更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
ゲスト招待元
このロールが割り当てられたユーザーは、 [メンバーは招待ができる] ユーザー設定が [いいえ] に設定されている場合に、Azure Active Directory B2B ゲスト ユーザーの招待を管理できます。 B2B コラボレーションの詳細については、「Azure AD B2B コラボレーションとは」をご覧ください。 その他の権限は含まれません。
| アクション | 説明 |
|---|---|
| microsoft.directory/users/inviteGuest | ゲスト ユーザーを招待する |
| microsoft.directory/users/standard/read | ユーザーの基本プロパティを読み取る |
| microsoft.directory/users/appRoleAssignments/read | ユーザーのアプリケーション ロールの割り当てを読み取る |
| microsoft.directory/users/deviceForResourceAccount/read | ユーザーの deviceForResourceAccount を読み取る |
| microsoft.directory/users/directReports/read | ユーザーの直属の部下を読み取る |
| microsoft.directory/users/licenseDetails/read | ユーザーのライセンスの詳細を読み取る |
| microsoft.directory/users/manager/read | ユーザーのマネージャーを読み取る |
| microsoft.directory/users/memberOf/read | ユーザーのグループ メンバーシップを読み取る |
| microsoft.directory/users/oAuth2PermissionGrants/read | ユーザーの委任されたアクセス許可付与を読み取る |
| microsoft.directory/users/ownedDevices/read | ユーザーの所有デバイスを読み取る |
| microsoft.directory/users/ownedObjects/read | ユーザーの所有オブジェクトを読み取る |
| microsoft.directory/users/photo/read | ユーザーの写真を読み取る |
| microsoft.directory/users/registeredDevices/read | ユーザーの登録済みデバイスを読み取る |
| microsoft.directory/users/scopedRoleMemberOf/read | 管理単位にスコープされている Azure AD ロールのユーザーのメンバーシップを読み取る |
ヘルプデスク管理者
このロールを持つユーザーは、パスワードの変更、更新トークンの無効化、Microsoft for Azure および Microsoft 365 サービスに対するサポート要求の作成と管理、サービス正常性の監視を行うことができます。 更新トークンを無効にすると、ユーザーは再度サインインすることを強制されます。 ヘルプデスク管理者がユーザーのパスワードをリセットして更新トークンを無効にできるかどうかは、ユーザーが割り当てられているロールに依存します。 ヘルプデスク管理者がパスワードをリセットして更新トークンを無効にできるロールの一覧については、「パスワードをリセットできるロール」を参照してください。
このロールのユーザーは、次の作業を実行できません。
- ロール割り当て可能なグループのメンバーと所有者の資格情報を変更したり、MFA をリセットしたりすることはできません。
重要
このロールを持つユーザーは、機密情報や個人情報または Azure Active Directory の内外の重要な構成にアクセスできるユーザーのパスワードを変更できます。 ユーザーのパスワードを変更することは、そのユーザーの ID およびアクセス許可を取得できることを意味します。 次に例を示します。
- 所有しているアプリの資格情報を管理できる、アプリケーションの登録とエンタープライズ アプリケーションの所有者。 これらのアプリには、Azure AD およびヘルプデスク管理者に付与されていない場所への特権アクセス許可がある場合があります。 ヘルプデスク管理者は、このパスからアプリケーション所有者の ID を取得し、さらにそのアプリケーションの資格情報を更新して特権アプリケーションの ID を取得できる場合があります。
- 機密情報や個人情報または Azure の重要な構成にアクセスする可能性がある Azure サブスクリプション所有者。
- グループ メンバーシップを管理できるセキュリティ グループと Microsoft 365 グループの所有者。 これらのグループは、機密情報や個人情報または Azure AD や別の場所の重要な構成へのアクセス権を付与される場合があります。
- Exchange Online、Microsoft 365 Defender ポータル、Microsoft Purview コンプライアンス ポータル、人事システムなど、Azure AD 以外の他のサービスの管理者。
- 機密情報や個人情報にアクセスできる場合がある役員、弁護士、人事担当者のような非管理者。
ユーザーのサブセットに管理アクセス許可を委任する、およびポリシーを適用するには、管理単位を使用します。
このロールは、Azure portal で以前はパスワード管理者という名前でした。 Microsoft Graph API と Azure AD PowerShell での既存の名前に合わせて、ヘルプデスク管理者という名前に変更されました。
| アクション | 説明 |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/users/invalidateAllRefreshTokens | ユーザー更新トークンを無効にして強制的にサインアウトする |
| microsoft.directory/users/password/update | すべてのユーザーのパスワードをリセットする |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
ハイブリッド ID の管理者
このロールのユーザーは、クラウド プロビジョニングを使用して AD から Azure AD にプロビジョニング構成のセットアップを作成、管理、デプロイできるだけでなく、Azure AD Connect、パススルー認証 (PTA)、パスワード ハッシュ同期 (PHS)、シームレス シングル Sign-On (シームレス SSO)、フェデレーション設定を管理できます。 ユーザーはこのロールを使用して、ログのトラブルシューティングと監視を行うこともできます。
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/create | すべての種類のアプリケーションを作成する |
| microsoft.directory/applications/delete | すべての種類のアプリケーションを削除する |
| microsoft.directory/applications/appRoles/update | すべての種類のアプリケーションで appRoles プロパティを更新する |
| microsoft.directory/applications/audience/update | アプリケーションの対象ユーザー プロパティを更新する |
| microsoft.directory/applications/authentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/basic/update | アプリケーションの基本プロパティを更新する |
| microsoft.directory/applications/notes/update | アプリケーションのメモを更新する |
| microsoft.directory/applications/owners/update | アプリケーションの所有者を更新する |
| microsoft.directory/applications/permissions/update | すべての種類のアプリケーションで、公開されたアクセス許可と必要なアクセス許可を更新する |
| microsoft.directory/applications/policies/update | アプリケーションのポリシーを更新する |
| microsoft.directory/applications/tag/update | アプリケーションのタグを更新する |
| microsoft.directory/applications/synchronization/standard/read | アプリケーション オブジェクトに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/applicationTemplates/instantiate | アプリケーション テンプレートからギャラリー アプリケーションのインスタンスを作成する |
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Azure AD クラウド プロビジョニング サービスのすべてのプロパティを読み取りと構成。 |
| microsoft.directory/deletedItems.applications/delete | 復元できなくなったアプリケーションを完全に削除する |
| microsoft.directory/deletedItems.applications/restore | 論理的に削除されたアプリケーションを元の状態に復元する |
| microsoft.directory/domains/allProperties/read | ドメインのすべてのプロパティの読み取る |
| microsoft.directory/domains/federation/update | ドメインのフェデレーション プロパティを更新する |
| microsoft.directory/domains/federationConfiguration/standard/read | ドメインのフェデレーション構成の標準プロパティを読み取る |
| microsoft.directory/domains/federationConfiguration/basic/update | ドメインの基本的なフェデレーション構成を更新する |
| microsoft.directory/domains/federationConfiguration/create | ドメインのフェデレーション構成を作成する |
| microsoft.directory/domains/federationConfiguration/delete | ドメインのフェデレーション構成を削除する |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Azure AD でハイブリッド認証ポリシーを管理する |
| microsoft.directory/organization/dirSync/update | 組織のディレクトリ同期プロパティを更新する |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Azure AD でパスワード ハッシュ同期 (PHS) のすべての側面の管理する |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/servicePrincipals/create | サービス プリンシパルの作成 |
| microsoft.directory/servicePrincipals/delete | サービス プリンシパルを削除する |
| microsoft.directory/servicePrincipals/disable | サービス プリンシパルを無効にする |
| microsoft.directory/servicePrincipals/enable | サービス プリンシパルを有効にする |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | アプリケーション プロビジョニングのシークレットと資格情報を管理する |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | アプリケーション プロビジョニングの同期ジョブを開始、再開、および一時停止する |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | アプリケーション プロビジョニングの同期ジョブとスキーマを作成、管理する |
| microsoft.directory/servicePrincipals/audience/update | サービス プリンシパルで対象ユーザー プロパティを更新する |
| microsoft.directory/servicePrincipals/authentication/update | サービス プリンシパルで認証プロパティを更新する |
| microsoft.directory/servicePrincipals/basic/update | サービス プリンシパルで基本プロパティを更新する |
| microsoft.directory/servicePrincipals/notes/update | サービス プリンシパルのメモを更新する |
| microsoft.directory/servicePrincipals/owners/update | サービス プリンシパルの所有者を更新する |
| microsoft.directory/servicePrincipals/permissions/update | サービスプリンシパルのアクセス許可を更新する |
| microsoft.directory/servicePrincipals/policies/update | サービス プリンシパルのポリシーを更新する |
| microsoft.directory/servicePrincipals/tag/update | サービスプリンシパルのタグ プロパティを更新する |
| microsoft.directory/servicePrincipals/synchronization/standard/read | サービス プリンシパルに関連付けられているプロビジョニング設定を読み取る |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Identity Governance 管理者
このロールのユーザーは、アクセス パッケージ、アクセス レビュー、カタログとポリシーを含む Azure AD Identity Governance 構成を管理することができ、アクセスの承認や確認、アクセスの必要がなくなったゲスト ユーザーの削除が確実に行われるようにすることができます。
| アクション | 説明 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Azure AD のアプリケーション ロールの割り当てのアクセス レビューを管理 |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | エンタイトルメント管理でアクセス パッケージの割り当てに対するアクセス レビューを管理する |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | ロールを割り当て可能なグループを含む、セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューのすべてのプロパティを読み取る。 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | ロールを割り当て可能なグループを除く、セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューのすべてのプロパティを更新する。 |
| microsoft.directory/accessReviews/definitions.groups/create | セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューを作成する。 |
| microsoft.directory/accessReviews/definitions.groups/delete | セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューを削除する。 |
| microsoft.directory/accessReviews/allProperties/allTasks | (非推奨) Azure AD で、アクセス レビューの作成と削除、アクセス レビューのすべてのプロパティの読み取りと更新、およびグループのアクセス レビューの管理を行う |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Azure AD エンタイトルメント管理でのリソースの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/groups/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
Insights 管理者
このロールのユーザーは、Microsoft Viva インサイト アプリの管理機能の完全なセットにアクセスできます。 このロールでは、ディレクトリ情報の読み取り、サービスの正常性の監視、サポート チケットの提出、Insights 管理者設定の側面へのアクセスを行うことができます。
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.insights/allEntities/allProperties/allTasks | Insights アプリのすべての側面を管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Insights アナリスト
以下を実行する必要があるユーザーには Insights アナリスト ロールを割り当てます。
- Microsoft Viva インサイト アプリでデータを分析するが、構成設定の管理は許可されていない
- クエリを作成、管理、実行する
- Microsoft 365 管理センターで基本設定とレポートを表示する
- Microsoft 365 管理センターでサービス要求を作成および管理する
| アクション | 説明 |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Viva インサイトでクエリを実行および管理する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Insights ビジネス リーダー
このロールのユーザーは、Microsoft Viva インサイト アプリを使用して、一連のダッシュボードと分析情報にアクセスできます。 これには、すべてのダッシュボード、表示される分析情報、およびデータ探索機能へのフル アクセスが含まれます。 このロールのユーザーには、製品の構成設定へのアクセス権がありません (これは Insights 管理者ロールの責任範囲です)。
| アクション | 説明 |
|---|---|
| microsoft.insights/reports/allProperties/read | Insights アプリでレポートとダッシュボードを表示する |
| microsoft.insights/programs/allProperties/update | Insights アプリでプログラムをデプロイし、管理する |
Intune 管理者
このロールが割り当てられたユーザーは、Microsoft Intune Online 内でグローバル アクセス許可を持ちます (このサービスが存在する場合)。 さらに、このロールはポリシーを関連付けるためにユーザーとデバイスを管理することができ、グループを作成および管理することもできます。 詳細については、「Microsoft Intune でのロール ベースの管理制御 (RBAC)」を参照してください。
このロールでは、すべてのセキュリティ グループを作成および管理できます。 ただし、Intune 管理者には、Office グループに対する管理者権限はありません。 つまり、管理者は、組織内のすべての Office グループの所有者およびメンバーシップを更新することはできません。 ただし、自分で作成した Office グループを管理することはできます。これは、エンド ユーザーの特権の一部として提供されます。 そのため、自分が作成したすべての Office グループ (セキュリティ グループではありません) は、自分の 250 のクォータに対してカウントする必要があります。
注意
Microsoft Graph API と Azure AD PowerShell では、このロールは Intune サービス管理者という名前です。 Azure portal では、Intune 管理者という名前です。
| アクション | 説明 |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/contacts/create | 連絡先を作成する |
| microsoft.directory/contacts/delete | 連絡先を削除する |
| microsoft.directory/contacts/basic/update | 連絡先の基本プロパティを更新する |
| microsoft.directory/deletedItems.devices/delete | 復元できなくなったデバイスを完全に削除する |
| microsoft.directory/deletedItems.devices/restore | 論理的に削除されたデバイスを元の状態に復元する |
| microsoft.directory/devices/create | デバイスを作成する (Azure AD に登録する) |
| microsoft.directory/devices/delete | Azure AD からデバイスを削除する |
| microsoft.directory/devices/disable | Azure AD でデバイスを無効にする |
| microsoft.directory/devices/enable | Azure AD でデバイスを有効にする |
| microsoft.directory/devices/basic/update | デバイスの基本プロパティを更新する |
| microsoft.directory/devices/extensionAttributeSet1/update | デバイスの extensionAttribute1 から extensionAttribute5 プロパティを更新する |
| microsoft.directory/devices/extensionAttributeSet2/update | デバイスの extensionAttribute6 から extensionAttribute10 プロパティを更新する |
| microsoft.directory/devices/extensionAttributeSet3/update | デバイスの extensionAttribute11 から extensionAttribute15 プロパティを更新する |
| microsoft.directory/devices/registeredOwners/update | デバイスの登録済み所有者を更新する |
| microsoft.directory/devices/registeredUsers/update | デバイスの登録済みユーザーを更新する |
| microsoft.directory/deviceManagementPolicies/standard/read | デバイス管理アプリケーション ポリシーの標準プロパティの読み取り |
| microsoft.directory/deviceRegistrationPolicy/standard/read | デバイス登録ポリシーの標準プロパティの読み取り |
| microsoft.directory/groups/hiddenMembers/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを読み取る |
| microsoft.directory/groups.security/create | ロールを割り当て可能なグループを除き、セキュリティ グループを作成する |
| microsoft.directory/groups.security/delete | ロールを割り当て可能なグループを除き、セキュリティ グループを削除する |
| microsoft.directory/groups.security/basic/update | ロールを割り当て可能なグループを除き、セキュリティ グループの基本プロパティを更新する |
| microsoft.directory/groups.security/classification/update | ロールを割り当て可能なグループを除き、セキュリティ グループの分類プロパティを更新する |
| microsoft.directory/groups.security/dynamicMembershipRule/update | ロール割り当て可能なグループを除き、セキュリティ グループの動的メンバーシップ ルールを更新する |
| microsoft.directory/groups.security/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループのメンバーを更新する |
| microsoft.directory/groups.security/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループの所有者を更新する |
| microsoft.directory/groups.security/visibility/update | ロールを割り当て可能なグループを除き、セキュリティ グループの可視性プロパティを更新する |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/photo/update | ユーザーの写真を更新する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Windows 365 のすべての側面を管理する |
| microsoft.intune/allEntities/allTasks | Microsoft Intune のすべての側面を管理する |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Microsoft 365 組織メッセージのすべての側面を読み取る |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Kaizala 管理者
このロールが割り当てられたユーザーは、Microsoft Kaizala 内で設定を管理するグローバル アクセス許可を持ちます (このサービスが存在する場合)。また、サポート チケットを管理し、サービス正常性を監視できます。 さらに、このユーザーは、組織のメンバーによる Kaizala の導入と使用法に関連したレポート、および Kaizala アクションを使用して生成されるビジネス レポートにもアクセスできます。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
知識管理者
このロールのユーザーには、Microsoft 365 管理センター内のすべての知識、学習およびインテリジェント機能の設定へのフル アクセスがあります。 彼らには、製品のスイート、ライセンスの詳細の全般的な知識があり、アクセスを制御する責任があります。 知識管理者は、トピック、頭字語、学習リソースなどのコンテンツを作成および管理できます。 さらに、これらのユーザーは、コンテンツ センターの作成、サービス正常性の監視、サービス要求の作成を行うことができます。
| アクション | 説明 |
|---|---|
| microsoft.directory/groups.security/create | ロールを割り当て可能なグループを除き、セキュリティ グループを作成する |
| microsoft.directory/groups.security/createAsOwner | ロールを割り当て可能なグループを除き、セキュリティ グループを作成する 作成者は最初の所有者として追加されます。 |
| microsoft.directory/groups.security/delete | ロールを割り当て可能なグループを除き、セキュリティ グループを削除する |
| microsoft.directory/groups.security/basic/update | ロールを割り当て可能なグループを除き、セキュリティ グループの基本プロパティを更新する |
| microsoft.directory/groups.security/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループのメンバーを更新する |
| microsoft.directory/groups.security/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループの所有者を更新する |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Microsoft 365 管理センターのコンテンツの解釈のすべてのプロパティを読み取り、更新する |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Microsoft 365 管理センターの知識ネットワークのすべてのプロパティを読み取り、更新する |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Learning アプリで学習ソースとそのすべてのプロパティを管理する |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | セキュリティおよびコンプライアンス センターの秘密度ラベルのすべてのプロパティを読み取る |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
ナレッジ マネージャー
このロールのユーザーは、トピック、頭字語、学習コンテンツなどのコンテンツを作成および管理できます。 これらのユーザーは、主に知識の品質と構造を担当します。 このユーザーは、トピックを確認したり、編集を承認したり、トピックを削除したりするトピック管理アクションに対する完全な権限を持っています。 このロールはまた、用語ストア管理ツールの一部として分類を管理したり、コンテンツ センターを作成したりすることもできます。
| アクション | 説明 |
|---|---|
| microsoft.directory/groups.security/create | ロールを割り当て可能なグループを除き、セキュリティ グループを作成する |
| microsoft.directory/groups.security/createAsOwner | ロールを割り当て可能なグループを除き、セキュリティ グループを作成する 作成者は最初の所有者として追加されます。 |
| microsoft.directory/groups.security/delete | ロールを割り当て可能なグループを除き、セキュリティ グループを削除する |
| microsoft.directory/groups.security/basic/update | ロールを割り当て可能なグループを除き、セキュリティ グループの基本プロパティを更新する |
| microsoft.directory/groups.security/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループのメンバーを更新する |
| microsoft.directory/groups.security/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループの所有者を更新する |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Microsoft 365 管理センターでコンテンツの解釈の分析レポートを読み取る |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Microsoft 365 管理センターで知識ネットワークのトピックの可視性を管理する |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
ライセンス管理者
このロールのユーザーは、ユーザーに対するライセンス割り当ての読み取り、追加、削除、更新、グループに対する (グループベースのライセンスを使用した) ライセンス割り当ての追加、削除、更新に加え、ユーザーに対する利用場所の管理を行うことができます。 このロールでは、サブスクリプションの購入と管理、グループの作成と管理を行う権限は与えられません。また、利用場所を超える範囲でのユーザーの作成と管理を行う権限も与えられません。 このロールには、サポート チケットの表示、作成、管理のためのアクセス権がありません。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/groups/assignLicense | グループベースのライセンスのグループに製品ライセンスを割り当てる |
| microsoft.directory/groups/reprocessLicenseAssignment | グループベースのライセンスのライセンス割り当てを再処理する |
| microsoft.directory/users/assignLicense | ユーザー ライセンスの管理 |
| microsoft.directory/users/reprocessLicenseAssignment | ユーザーのライセンス割り当てを再処理する |
| microsoft.directory/users/usageLocation/update | ユーザーの利用場所を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
ライフサイクル ワークフロー管理者
次のタスクを行う必要があるユーザーに、ライフサイクル ワークフロー管理者ロールを割り当てます。
- Azure AD のライフサイクル ワークフローに関連付けられているワークフローとタスクのすべての側面を作成および管理する
- スケジュールされたワークフローの実行を確認する
- オンデマンドのワークフロー実行を起動する
- ワークフロー実行ログを検査する
| アクション | 説明 |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | ライフサイクル ワークフローとタスクのすべての側面を Azure AD で管理する |
メッセージ センターのプライバシー閲覧者
このロールのユーザーは、データのプライバシー メッセージを含め、メッセージ センター内のすべての通知を監視できます。 メッセージ センターのプライバシー閲覧者は、データのプライバシーに関連したものも含めてメール通知を受け取り、メッセージ センターの設定を使用して登録を解除することができます。 データのプライバシー メッセージを読み取ることができるのは、グローバル管理者とメッセージ センターのプライバシー閲覧者のみになります。 さらに、このロールには、グループ、ドメイン、サブスクリプションを表示する権限が含まれています。 このロールには、サービス要求を表示、作成、または管理するアクセス許可はありません。
| アクション | 説明 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.messageCenter/securityMessages/read | Microsoft 365 管理センターのメッセージ センターでセキュリティ メッセージを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
メッセージ センター閲覧者
このロールのユーザーは、自分の組織の Exchange、Intune、Microsoft Teams などのサービス構成に対するメッセージ センターの通知や、正常性に関して注意を促す更新情報を監視できます。 メッセージ センター閲覧者は、投稿の毎週のメール ダイジェストを受け取り、Microsoft 365 でメッセージ センターの投稿を共有できます。 Azure AD では、このロールに割り当てられているユーザーはユーザーやグループなどの読み取り専用アクセスのみを持ちます。 このロールには、サポート チケットの表示、作成、管理のためのアクセス権がありません。
| アクション | 説明 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Microsoft ハードウェア保証管理者
次のタスクを行う必要があるユーザーに、Microsoft ハードウェア保証管理者ロールを割り当てます。
- Surface や HoloLens などの Microsoft 製ハードウェアの新しい保証要求を作成する
- 開封済みまたは終了した保証要求を検索して読み取る
- シリアル番号で保証要求を検索して読み取る
- 配送先住所の作成、読み取り、更新、削除を行う
- オープン保証要求の出荷状態を読み取る
- Microsoft 365 管理センターでサービス要求を作成および管理する
- Microsoft 365 管理センターでメッセージ センターのお知らせを読み取る
保証要求とは、保証の条項に従ってハードウェアの修理または交換を要求することです。 詳しくは、「Surface の保証とサービス要求のセルフサービス」をご覧ください。
| アクション | 説明 |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | 他のユーザーが作成した配送先住所を含む、Microsoft ハードウェア保証クレームの配送先住所の作成、読み取り、更新、削除を行います |
| microsoft.hardware.support/shippingStatus/allProperties/read | オープンな Microsoft ハードウェア保証クレームの出荷ステータスを読み取ります |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Microsoft ハードウェア保証クレームのすべての側面を作成および管理します |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Microsoft ハードウェア保証スペシャリスト
次のタスクを行う必要があるユーザーに、Microsoft ハードウェア保証スペシャリスト ロールを割り当てます。
- Surface や HoloLens などの Microsoft 製ハードウェアの新しい保証要求を作成する
- 作成した保証要求を読み取る
- 既存の配送先住所を読み取って更新する
- 作成したオープン保証要求の出荷状態を読み取る
- Microsoft 365 管理センターでサービス要求を作成および管理する
保証要求とは、保証の条項に従ってハードウェアの修理または交換を要求することです。 詳しくは、「Surface の保証とサービス要求のセルフサービス」をご覧ください。
| アクション | 説明 |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | 他のユーザーが作成した既存の配送先住所を含む、Microsoft ハードウェア保証クレームの配送先住所を読み取ります |
| microsoft.hardware.support/warrantyClaims/createAsOwner | 作成者が所有者である Microsoft ハードウェア保証クレームを作成します |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.hardware.support/shippingStatus/allProperties/read | オープンな Microsoft ハードウェア保証クレームの出荷ステータスを読み取ります |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft ハードウェア保証クレームを読み取ります |
Modern Commerce ユーザー
使用しないでください。 このロールは、Commerce から自動的に割り当てられます。他の用途に使用するためのものではなく、他の用途ではサポートされていません。 詳細は以下を参照してください。
Modern Commerce ユーザー ロールは、特定のユーザーに Microsoft 365 管理センターにアクセスして、ホーム、課金、サポートの左側のナビゲーション エントリを表示するためのアクセス許可を付与します。 これらの領域で利用可能なコンテンツは、ユーザーが自分自身または組織のために購入した製品を管理するために、ユーザーに割り当てられたコマース固有のロールによって制御されます。 これには、請求書の支払いや、課金アカウントや課金プロファイルへのアクセスなどのタスクが含まれる場合があります。
Modern Commerce ユーザー ロールが割り当てられたユーザーは、通常、他の Microsoft 購入システムの管理アクセス許可を持っていますが、管理センターへのアクセスに使用される全体管理者ロールまたは課金管理者ロールは持っていません。
Modern Commerce ユーザー ロールが割り当てられるタイミング
- Microsoft 365 管理センターでのセルフサービス購入 – セルフサービス購入により、ユーザーは新製品を自分で購入またはサインアップして、新製品を試す機会が得られます。 これらの製品は管理センターで管理されています。 セルフサービス購入を行うユーザーには、コマース システムでのロールと Modern Commerce ユーザー ロールが割り当てられ、これにより、管理センターで購入を管理できるようになります。 管理者は PowerShell を使用して、(Power BI、Power Apps、Power Automate に対する) セルフサービス購入をブロックできます。 詳細については、「セルフサービスによる購入に関するよくあるご質問」を参照してください。
- Microsoft コマーシャル マーケットプレースからの購入 - セルフサービス購入と同様に、ユーザーが Microsoft AppSource または Azure Marketplace から製品またはサービスを購入するときに、グローバル管理者ロールまたは課金管理者ロールを持っていない場合は、Modern Commerce ユーザー ロールが割り当てられます。 場合によっては、ユーザーがこれらの購入をブロックされる場合があります。 詳細については、Microsoft コマーシャル マーケットプレースに関するページを参照してください。
- Microsoft からの提案 – 提案は、組織が Microsoft の製品やサービスを購入するための Microsoft からの正式なオファーです。 提案に同意するユーザーが Azure AD で全体管理者ロールまたは課金管理者ロールを持っていない場合、提案を完了するためのコマース固有のロールと、管理センターにアクセスするための Modern Commerce ユーザー ロールの両方が割り当てられます。 管理センターにアクセスするときは、そのコマース固有のロールによって承認された機能のみを使用できます。
- コマース固有のロール – 一部のユーザーには、コマース固有のロールが割り当てられます。 ユーザーは、全体管理者または課金管理者でない場合、管理センターにアクセスできるように、Modern Commerce ユーザー ロールを取得します。
ユーザーから Modern Commerce ユーザー ロールが割り当て解除されると、Microsoft 365 管理センターにアクセスできなくなります。 ユーザーが自身または組織のために製品を管理している場合は、それらを管理できなくなります。 これには、ライセンスの割り当て、支払い方法の変更、請求書の支払い、サブスクリプションを管理するためのその他のタスクが含まれます。
| アクション | 説明 |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | ボリューム ライセンス サービス センターのすべての側面を管理する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/basic/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
ネットワーク管理者
このロールのユーザーは、ユーザーの場所からのネットワーク テレメトリに基づいて、Microsoft によるネットワーク境界アーキテクチャに関する推奨事項を確認できます。 Microsoft 365 のネットワーク パフォーマンスは、通常はユーザーの場所に固有である、企業の顧客の慎重なネットワーク境界アーキテクチャに依存します。 このロールを使用では、検出されたユーザーの場所と、それらの場所に対するネットワーク パラメーターの構成を編集して、テレメトリの測定と設計に関する推奨事項の改善できます
| アクション | 説明 |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | ネットワークの場所のすべての側面を管理する |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Office アプリ管理者
このロールのユーザーは、Microsoft 365 アプリのクラウド設定を管理できます。 これには、クラウド ポリシーの管理、セルフサービス ダウンロードの管理、Office アプリ関連レポートを表示する機能が含まれます。 このロールではさらに、サポート チケットの管理とメインの管理センター内でのサービスの正常性の監視を行うこともできます。 このロールに割り当てられたユーザーは、Office アプリの新機能の通知も管理できます。
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.userCommunication/allEntities/allTasks | 新機能のメッセージを表示できるかどうかを読み取り、更新する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
組織メッセージ ライター
次のタスクを行う必要があるユーザーに、組織メッセージ ライター ロールを割り当てます。
- Microsoft 365 管理センターまたは Microsoft Intune を使って組織のメッセージの書き込み、発行、削除を行う
- Microsoft 365 管理センターまたは Microsoft Intune を使って、組織のメッセージ配信オプションを管理する
- Microsoft 365 管理センターまたは Microsoft Intune を使って、組織のメッセージ配信結果を読み取る
- Microsoft 365 管理センターで使用状況レポートとほとんどの設定を表示するが、変更することはできない
| アクション | 説明 |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Microsoft 365 組織メッセージのすべての作成側面を管理する |
| microsoft.office365.usageReports/allEntities/standard/read | テナントレベルの集計された Office 365 利用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
パートナー レベル 1 のサポート
使用しないでください。 このロールは非推奨となっており、将来的に Azure AD から削除されます。 このロールは少数の Microsoft 再販パートナーを対象としており、一般的な使用を目的としたものではありません。
重要
このロールでは、管理者以外のパスワードをリセットし、更新トークンを無効にすることができます。 このロールは非推奨であるため、使用しないでください。
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/appRoles/update | すべての種類のアプリケーションで appRoles プロパティを更新する |
| microsoft.directory/applications/audience/update | アプリケーションの対象ユーザー プロパティを更新する |
| microsoft.directory/applications/authentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/basic/update | アプリケーションの基本プロパティを更新する |
| microsoft.directory/applications/credentials/update | アプリケーション資格情報を更新する |
| microsoft.directory/applications/notes/update | アプリケーションのメモを更新する |
| microsoft.directory/applications/owners/update | アプリケーションの所有者を更新する |
| microsoft.directory/applications/permissions/update | すべての種類のアプリケーションで、公開されたアクセス許可と必要なアクセス許可を更新する |
| microsoft.directory/applications/policies/update | アプリケーションのポリシーを更新する |
| microsoft.directory/applications/tag/update | アプリケーションのタグを更新する |
| microsoft.directory/contacts/create | 連絡先を作成する |
| microsoft.directory/contacts/delete | 連絡先を削除する |
| microsoft.directory/contacts/basic/update | 連絡先の基本プロパティを更新する |
| microsoft.directory/deletedItems.groups/restore | 論理的に削除されたグループを元の状態に復元する |
| microsoft.directory/deletedItems.users/restore | 論理的に削除されたユーザーを元の状態に復元する |
| microsoft.directory/groups/create | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを作成する |
| microsoft.directory/groups/delete | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを削除する |
| microsoft.directory/groups/restore | ソフト削除されたコンテナーからグループを復元する |
| microsoft.directory/groups/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの所有者を更新する |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 アクセス許可の付与の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/users/assignLicense | ユーザー ライセンスの管理 |
| microsoft.directory/users/create | ユーザーの追加 |
| microsoft.directory/users/delete | ユーザーを削除する |
| microsoft.directory/users/disable | ユーザーの無効化 |
| microsoft.directory/users/enable | ユーザーの有効化 |
| microsoft.directory/users/invalidateAllRefreshTokens | ユーザー更新トークンを無効にして強制的にサインアウトする |
| microsoft.directory/users/restore | 削除されたユーザーを復元する |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/password/update | すべてのユーザーのパスワードをリセットする |
| microsoft.directory/users/photo/update | ユーザーの写真を更新する |
| microsoft.directory/users/userPrincipalName/update | ユーザーのユーザー プリンシパル名を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
パートナー レベル 2 のサポート
使用しないでください。 このロールは非推奨となっており、将来的に Azure AD から削除されます。 このロールは少数の Microsoft 再販パートナーを対象としており、一般的な使用を目的としたものではありません。
重要
このロールは、すべての非管理者および管理者 (グローバル管理者を含む) のパスワードをリセットし、更新トークンを無効にすることができます。 このロールは非推奨であるため、使用しないでください。
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/appRoles/update | すべての種類のアプリケーションで appRoles プロパティを更新する |
| microsoft.directory/applications/audience/update | アプリケーションの対象ユーザー プロパティを更新する |
| microsoft.directory/applications/authentication/update | すべての種類のアプリケーションで認証を更新する |
| microsoft.directory/applications/basic/update | アプリケーションの基本プロパティを更新する |
| microsoft.directory/applications/credentials/update | アプリケーション資格情報を更新する |
| microsoft.directory/applications/notes/update | アプリケーションのメモを更新する |
| microsoft.directory/applications/owners/update | アプリケーションの所有者を更新する |
| microsoft.directory/applications/permissions/update | すべての種類のアプリケーションで、公開されたアクセス許可と必要なアクセス許可を更新する |
| microsoft.directory/applications/policies/update | アプリケーションのポリシーを更新する |
| microsoft.directory/applications/tag/update | アプリケーションのタグを更新する |
| microsoft.directory/contacts/create | 連絡先を作成する |
| microsoft.directory/contacts/delete | 連絡先を削除する |
| microsoft.directory/contacts/basic/update | 連絡先の基本プロパティを更新する |
| microsoft.directory/deletedItems.groups/restore | 論理的に削除されたグループを元の状態に復元する |
| microsoft.directory/deletedItems.users/restore | 論理的に削除されたユーザーを元の状態に復元する |
| microsoft.directory/domains/allProperties/allTasks | ドメインの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/groups/create | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを作成する |
| microsoft.directory/groups/delete | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを削除する |
| microsoft.directory/groups/restore | ソフト削除されたコンテナーからグループを復元する |
| microsoft.directory/groups/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの所有者を更新する |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 アクセス許可の付与の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/organization/basic/update | 組織で基本プロパティを更新する |
| microsoft.directory/roleAssignments/allProperties/allTasks | ロールの割り当ての作成と削除、およびすべてのロールの割り当てプロパティの読み取りと更新 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | ロールの定義の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | scopedRoleMemberships の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/subscribedSkus/standard/read | サブスクリプションの基本プロパティの読み取り |
| microsoft.directory/users/assignLicense | ユーザー ライセンスの管理 |
| microsoft.directory/users/create | ユーザーの追加 |
| microsoft.directory/users/delete | ユーザーを削除する |
| microsoft.directory/users/disable | ユーザーの無効化 |
| microsoft.directory/users/enable | ユーザーの有効化 |
| microsoft.directory/users/invalidateAllRefreshTokens | ユーザー更新トークンを無効にして強制的にサインアウトする |
| microsoft.directory/users/restore | 削除されたユーザーを復元する |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/password/update | すべてのユーザーのパスワードをリセットする |
| microsoft.directory/users/photo/update | ユーザーの写真を更新する |
| microsoft.directory/users/userPrincipalName/update | ユーザーのユーザー プリンシパル名を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
パスワード管理者
このロールのユーザーは、制限付きでパスワードを管理することができます。 このロールでは、サービス要求を管理したり、サービスの正常性を監視したりすることはできません。 パスワード管理者がユーザーのパスワードをリセットできるかどうかは、ユーザーが割り当てられているロールに依存します。 パスワード管理者がパスワードをリセットできるロールの一覧については、「パスワードをリセットできるロール」を参照してください。
このロールのユーザーは、次の作業を実行できません。
- ロール割り当て可能なグループのメンバーと所有者の資格情報を変更したり、MFA をリセットしたりすることはできません。
| アクション | 説明 |
|---|---|
| microsoft.directory/users/password/update | すべてのユーザーのパスワードをリセットする |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Permissions Management の管理者
次のタスクを行う必要があるユーザーに、Permissions Management の管理者ロールを割り当てます。
- Entra Permissions Management のすべての側面の管理 (サービスが存在するとき)
Permissions Management のロールとポリシーの詳細については、ロール/ポリシーに関する情報を表示する方法に関するページを参照してください。
| アクション | 説明 |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Entra Permissions Management のすべての側面を管理する |
Power BI 管理者
このロールが割り当てられたユーザーは、Microsoft Power BI 内でグローバル アクセス許可を持ちます (このサービスが存在する場合)。また、サポート チケットを管理し、サービス正常性を監視できます。 詳しくは、「Power BI 管理者ロールについて」をご覧ください。
Note
Microsoft Graph API と Azure AD PowerShell では、このロールは Power BI サービス管理者という名前です。 Azure portal では、Power BI 管理者という名前です。
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.powerApps.powerBI/allEntities/allTasks | Power BI のすべての側面を管理する |
Power Platform 管理者
このロールのユーザーは、環境、Power Apps、フロー、データ損失防止ポリシーのすべての側面を作成および管理できます。 さらに、このロールを持つユーザーは、サポート チケットを管理し、サービス正常性を監視できます。
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.dynamics365/allEntities/allTasks | Dynamics 365 のすべての側面を管理する |
| microsoft.flow/allEntities/allTasks | Power Automate のすべての側面を管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.powerApps/allEntities/allTasks | Power Apps のすべての側面を管理する |
プリンター管理者
このロールのユーザーは、プリンターを登録して、ユニバーサル印刷コネクタの設定など、Microsoft ユニバーサル印刷ソリューションのすべてのプリンター構成のすべての側面を管理できます。 すべての委任された印刷アクセス許可要求に同意することができます。 プリンター管理者は、印刷レポートにアクセスすることもできます。
| アクション | 説明 |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Microsoft Print でプリンターとコネクタの作成と削除、すべてのプロパティの読み取りと更新を行う |
プリンター技術者
このロールのユーザーは、プリンターを登録して、Microsoft ユニバーサル印刷ソリューションでプリンターの状態を管理できます。 すべてのコネクタ情報を読み取ることもできます。 プリンター技術者が行うことができない主要なタスクは、プリンターに対するユーザー アクセス許可の設定と、プリンターの共有です。
| アクション | 説明 |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Microsoft Print でコネクタのすべてのプロパティを読み取る |
| microsoft.azure.print/printers/allProperties/read | Microsoft Print でプリンターのすべてのプロパティを読み取る |
| microsoft.azure.print/printers/register | Microsoft Print でプリンターを登録する |
| microsoft.azure.print/printers/unregister | Microsoft Print でプリンターを登録解除する |
| microsoft.azure.print/printers/basic/update | Microsoft Print でプリンターの基本プロパティを更新する |
特権認証管理者
次の作業を行う必要があるユーザーに、特権認証管理者ロールを割り当てます。
- グローバル管理者を含むユーザーの認証方法 (パスワードを含む) の設定またはリセット。
- グローバル管理者を含むユーザーの削除または復元。 詳細については、「機密性の高いアクションを実行できるロール」を参照してください。
- ユーザーへの、パスワード以外の既存の資格情報 (MFA や FIDO など) に対する再登録の強制と、このデバイスに MFA を記憶する機能を取り消すことによる、すべてのユーザーの次回サインイン時の MFA 入力要求。
- すべてのユーザーの機密性の高いプロパティの更新。 詳細については、「機密性の高いアクションを実行できるロール」を参照してください。
- Azure と Microsoft 365 管理センターでのサポート チケットの作成および管理。
このロールのユーザーは、次の作業を実行できません。
- 従来の MFA 管理ポータルでは、ユーザーごとの MFA を管理できません。 Azure AD PowerShell モジュールの Set-msoluser コマンドレットを使用して、同じ機能を実行できます。
このロールと関連ロールとの機能の比較を次の表に示します。
| Role | ユーザーの認証方法を管理する | ユーザーごとの MFA を管理する | MFA 設定を管理する | 認証方法ポリシーを管理する | パスワード保護ポリシーを管理する | 機密性の高いプロパティを更新する | ユーザーを削除および復元する |
|---|---|---|---|---|---|---|---|
| 認証管理者 | 一部のユーザーに対してはい | 一部のユーザーに対してはい | いいえ | いいえ | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
| 特権認証管理者 | すべてのユーザーに対してはい | すべてのユーザーに対してはい | いいえ | いいえ | No | すべてのユーザーに対してはい | すべてのユーザーに対してはい |
| 認証ポリシー管理者 | いいえ | いいえ | はい | はい | はい | いいえ | いいえ |
| ユーザー管理者 | いいえ | いいえ | いいえ | いいえ | いいえ | 一部のユーザーに対してはい | 一部のユーザーに対してはい |
重要
このロールのユーザーは、機密情報や個人情報または Azure Active Directory の内外の重要な構成にアクセスできるユーザーのパスワードを変更できます。 ユーザーの資格情報を変更することは、そのユーザーの ID とアクセス許可を引き受けることができることを意味します。 次に例を示します。
- 所有しているアプリの資格情報を管理できる、アプリケーションの登録とエンタープライズ アプリケーションの所有者。 これらのアプリには、認証管理者に付与されていないAzure AD およびその他の場所への特権アクセス許可がある場合があります。 認証管理者は、このパスからアプリケーション所有者の ID を引き受け、さらにそのアプリケーションの資格情報を更新して特権アプリケーションの ID を引き受けることができます。
- 機密情報や個人情報または Azure の重要な構成にアクセスできる Azure サブスクリプション所有者。
- グループ メンバーシップを管理できるセキュリティ グループと Microsoft 365 グループの所有者。 これらのグループは、機密情報や個人情報または Azure AD や別の場所の重要な構成へのアクセス権を付与される場合があります。
- Exchange Online、Microsoft 365 Defender ポータル、Microsoft Purview コンプライアンス ポータル、人事システムなど、Azure AD 以外の他のサービスの管理者。
- 機密情報や個人情報にアクセスできる場合がある役員、弁護士、人事担当者のような非管理者。
| アクション | 説明 |
|---|---|
| microsoft.directory/users/authenticationMethods/create | ユーザーの認証方法を作成する |
| microsoft.directory/users/authenticationMethods/delete | ユーザーの認証方法を削除する |
| microsoft.directory/users/authenticationMethods/standard/read | ユーザーの認証方法の標準プロパティを読み取る |
| microsoft.directory/users/authenticationMethods/basic/update | ユーザーの認証方法の基本プロパティを更新する |
| microsoft.directory/deletedItems.users/restore | 論理的に削除されたユーザーを元の状態に復元する |
| microsoft.directory/users/delete | ユーザーを削除する |
| microsoft.directory/users/disable | ユーザーの無効化 |
| microsoft.directory/users/enable | ユーザーの有効化 |
| microsoft.directory/users/invalidateAllRefreshTokens | ユーザー更新トークンを無効にして強制的にサインアウトする |
| microsoft.directory/users/restore | 削除されたユーザーを復元する |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/password/update | すべてのユーザーのパスワードをリセットする |
| microsoft.directory/users/userPrincipalName/update | ユーザーのユーザー プリンシパル名を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
特権ロール管理者
このロールが割り当てられたユーザーは、Azure Active Directory と Azure AD Privileged Identity Management 内でロールの割り当てを管理できます。 Azure AD ロールに割り当てることができるグループの作成と管理が可能です。 さらに、このロールは、Privileged Identity Management と管理単位のすべての側面を管理できます。
重要
このロールは、全体管理者ロールを含むすべての Azure AD ロールの割り当てを管理する権限を付与します。 このロールには、Azure AD でユーザーの作成や更新などの特権付きの機能が含まれていません。 ただし、このロールが割り当てられたユーザーは、追加のロールを割り当てることで、自分または他のユーザーの追加の特権を付与できます。
| アクション | 説明 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Azure AD でアプリケーション ロール割り当てのアクセス レビューのすべてのプロパティを読み取る |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Azure AD ロール割り当てに対するアクセス レビューを管理する |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Azure AD ロールに割り当て可能なグループ内のメンバーシップに対するアクセス レビューのすべてのプロパティを更新する |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Azure AD ロールに割り当て可能なグループ内のメンバーシップに対するアクセス レビューを作成する |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Azure AD ロールに割り当て可能なグループ内のメンバーシップに対するアクセス レビューを削除する |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | ロールを割り当て可能なグループを含む、セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューのすべてのプロパティを読み取る。 |
| microsoft.directory/administrativeUnits/allProperties/allTasks | 管理単位 (メンバーを含む) の作成と管理する |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | 認可ポリシーのすべての側面を管理する |
| microsoft.directory/directoryRoles/allProperties/allTasks | ディレクトリ ロールの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/groupsAssignableToRoles/create | ロールを割り当て可能なグループを作成する |
| microsoft.directory/groupsAssignableToRoles/delete | ロールを割り当て可能なグループを削除する |
| microsoft.directory/groupsAssignableToRoles/restore | ロールを割り当て可能なグループを復元する |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | ロールを割り当て可能なグループを更新する |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 アクセス許可の付与の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Privileged Identity Management ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.directory/roleAssignments/allProperties/allTasks | ロールの割り当ての作成と削除、およびすべてのロールの割り当てプロパティの読み取りと更新 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | ロールの定義の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | scopedRoleMemberships の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/servicePrincipals/permissions/update | サービスプリンシパルのアクセス許可を更新する |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | 任意のアプリケーションに対するすべてのアクセス許可に同意を付与する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
レポート閲覧者
このロールが割り当てられたユーザーは、Microsoft 365 管理センターで使用状況のレポート データとレポート ダッシュボードを表示できます。また、Power BI で導入コンテキスト パックを表示できます。 さらに、このロールからは、Azure AD 内のすべてのサインイン ログ、監査ログ、アクティビティ レポートと、Microsoft Graph レポート API から返されるデータにもアクセスできます。 レポート閲覧者ロールが割り当てられたユーザーは、関連する使用状況と導入メトリックにのみアクセスできます。 製品固有の管理センター (Exchange など) の設定を構成したり、アクセスしたりする管理者アクセス許可はありません。 このロールには、サポート チケットの表示、作成、管理のためのアクセス権がありません。
| アクション | 説明 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Search 管理者
このロールのユーザーには、Microsoft 365 管理センター内のすべての Microsoft Search 管理機能へのフル アクセスがあります。 さらに、これらのユーザーは、メッセージ センターを表示し、サービス正常性を監視し、サービス要求を作成することができます。
| アクション | 説明 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.search/content/manage | Microsoft Search でコンテンツの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Search エディター
このロールのユーザーは、ブックマーク、Q&A、および場所を含め、Microsoft 365 管理センターで Microsoft Search のコンテンツを作成、管理、および削除できます。
| アクション | 説明 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.search/content/manage | Microsoft Search でコンテンツの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
セキュリティ管理者
このロールが割り当てられたユーザーは、Microsoft 365 Defender ポータル、Azure Active Directory Identity Protection、Azure Active Directory Authentication、Azure Information Protection、および Microsoft Purview コンプライアンス ポータルのセキュリティ関連機能を管理するアクセス許可を持ちます。 Office 365 のアクセス許可の詳細については、「Microsoft Defender for Office 365 および Microsoft Purview コンプライアンスのロールとロール グループ」を参照してください。
| 場所 | できること |
|---|---|
| Microsoft 365 Defender ポータル | Microsoft 365サービス全体のセキュリティ関連ポリシーの監視 セキュリティ脅威とアラートの管理 レポートの表示 |
| Identity Protection | セキュリティ閲覧者ロールのすべてのアクセス許可 パスワードのリセットを除く Identity Protection のすべての操作を実行します |
| Privileged Identity Management | セキュリティ閲覧者ロールのすべてのアクセス許可 Azure AD ロールの割り当てまたは設定を管理することはできません |
| Microsoft Purview コンプライアンス ポータル | セキュリティ ポリシーの管理 セキュリティの脅威の表示、調査、対応 レポートの表示 |
| Azure Advanced Threat Protection | 疑わしいセキュリティ アクティビティの監視と対応 |
| Microsoft Defender for Endpoint | ロールを割り当てる コンピューター グループを管理する エンドポイントの脅威の検出と自動修復の構成 アラートの表示、調査、対応 マシンまたはデバイス インベントリを表示する |
| Intune | ユーザー、デバイス、登録、構成、アプリケーション情報の表示 Intune に変更を加えることはできません |
| Microsoft Defender for Cloud Apps | 管理者の追加、ポリシーと設定の追加、ログのアップロード、ガバナンス アクションの実行 |
| Microsoft 365 サービス正常性 | Microsoft 365 サービスの正常性の表示 |
| スマート ロックアウト | サインイン イベントが失敗したときのロックアウトのしきい値と期間を定義します。 |
| パスワード保護 | カスタムの禁止パスワードの一覧またはオンプレミスのパスワード保護を構成します。 |
| アクション | 説明 |
|---|---|
| microsoft.directory/applications/policies/update | アプリケーションのポリシーを更新する |
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/crossTenantAccessPolicy/standard/read | テナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | テナント間アクセスポリシーの許可されたクラウドエンドポイントを更新する |
| microsoft.directory/crossTenantAccessPolicy/basic/update | テナント間アクセスポリシーの基本設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 既定のテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 既定のテナント間アクセスポリシーのAzure AD B2Bコラボレーション設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 既定のテナント間アクセスポリシーのAzure AD B2B直接接続設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 既定のクロステナントアクセスポリシーのクロスクラウドTeams会議設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 既定のテナント間アクセスポリシーのテナント制限を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/create | パートナーのテナント間アクセスポリシーを作成する |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | パートナーのテナント間アクセスポリシーを削除する |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | パートナーのテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | パートナーのテナント間アクセスポリシーのAzure AD B2Bコラボレーション設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | パートナーのテナント間アクセスポリシーのAzure AD B2B直接接続設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | パートナーのテナント間アクセスポリシーのクロスクラウドTeams会議設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | パートナーのテナント間アクセスポリシーのテナント制限を更新する |
| microsoft.directory/domains/federation/update | ドメインのフェデレーション プロパティを更新する |
| microsoft.directory/domains/federationConfiguration/standard/read | ドメインのフェデレーション構成の標準プロパティを読み取る |
| microsoft.directory/domains/federationConfiguration/basic/update | ドメインの基本的なフェデレーション構成を更新する |
| microsoft.directory/domains/federationConfiguration/create | ドメインのフェデレーション構成を作成する |
| microsoft.directory/domains/federationConfiguration/delete | ドメインのフェデレーション構成を削除する |
| microsoft.directory/entitlementManagement/allProperties/read | Azure AD エンタイトルメント管理ですべてのプロパティを読み取る |
| microsoft.directory/identityProtection/allProperties/read | Azure AD Identity Protection のすべてのリソースを読み取る |
| microsoft.directory/identityProtection/allProperties/update | Azure AD Identity Protection のすべてのリソースを更新する |
| microsoft.directory/namedLocations/create | ネットワークの場所を定義するカスタム ルールを作成する |
| microsoft.directory/namedLocations/delete | ネットワークの場所を定義するカスタム ルールを削除する |
| microsoft.directory/namedLocations/standard/read | ネットワークの場所を定義するカスタム ルールの基本プロパティを読み取る |
| microsoft.directory/namedLocations/basic/update | ネットワークの場所を定義するカスタム ルールの基本プロパティを更新する |
| microsoft.directory/policies/create | Azure AD でポリシーを作成する |
| microsoft.directory/policies/delete | Azure AD でポリシーを削除する |
| microsoft.directory/policies/basic/update | ポリシーの基本プロパティを更新する |
| microsoft.directory/policies/owners/update | ポリシーの所有者を更新する |
| microsoft.directory/policies/tenantDefault/update | 既定の組織ポリシーを更新する |
| microsoft.directory/conditionalAccessPolicies/create | 条件付きアクセス ポリシーを作成する |
| microsoft.directory/conditionalAccessPolicies/delete | 条件付きアクセス ポリシーを削除する |
| microsoft.directory/conditionalAccessPolicies/standard/read | ポリシーの条件付きアクセスを読み取る |
| microsoft.directory/conditionalAccessPolicies/owners/read | 条件付きアクセス ポリシーの所有者を読み取る |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 条件付きアクセス ポリシーの "適用先" プロパティを読み取る |
| microsoft.directory/conditionalAccessPolicies/basic/update | 条件付きアクセス ポリシーの基本プロパティを更新する |
| microsoft.directory/conditionalAccessPolicies/owners/update | 条件付きアクセス ポリシーの所有者を更新する |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | 条件付きアクセス ポリシーのデフォルト テナントを更新する |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management のすべてのリソースを読み取る |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Microsoft 365 ロールベースのアクセス制御 (RBAC) リソース アクションの条件付きアクセス認証コンテキストを更新します |
| microsoft.directory/servicePrincipals/policies/update | サービス プリンシパルのポリシーを更新する |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.protectionCenter/allEntities/standard/read | セキュリティおよびコンプライアンス センターのすべてリソースの標準プロパティを読み取る |
| microsoft.office365.protectionCenter/allEntities/basic/update | セキュリティおよびコンプライアンス センターのすべてリソースの基本プロパティを読み取る |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 攻撃シミュレーターで攻撃ペイロードを作成および管理する |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 攻撃のシミュレーション、応答、関連付けられているトレーニングのレポートを読み取る |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 攻撃シミュレーターで攻撃のシミュレーション テンプレートを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
セキュリティ オペレーター
このロールのユーザーはアラートを管理できるほか、Microsoft 365 Defender ポータル、Azure Active Directory、Identity Protection、Privileged Identity Management、および Microsoft Purview コンプライアンス ポータルにおけるすべての情報を含むセキュリティ関連機能への読み取り専用グローバル アクセス権があります。 Office 365 のアクセス許可の詳細については、「Microsoft Defender for Office 365 および Microsoft Purview コンプライアンスのロールとロール グループ」を参照してください。
| 場所 | できること |
|---|---|
| Microsoft 365 Defender ポータル | セキュリティ閲覧者ロールのすべてのアクセス許可 セキュリティの脅威アラートの表示、調査、対応 Microsoft 365 Defender ポータルでセキュリティ設定を管理する |
| Identity Protection | セキュリティ閲覧者ロールのすべてのアクセス許可 リスクベースのポリシーの構成または変更、パスワードのリセット、アラート メールの構成を除く、Identity Protection のすべての操作を実行します。 |
| Privileged Identity Management | セキュリティ閲覧者ロールのすべてのアクセス許可 |
| Microsoft Purview コンプライアンス ポータル | セキュリティ閲覧者ロールのすべてのアクセス許可 セキュリティ アラートの表示、調査、対応 |
| Microsoft Defender for Endpoint | セキュリティ閲覧者ロールのすべてのアクセス許可 セキュリティ アラートの表示、調査、対応 Windows Defender for Endpoint でロールベースのアクセス制御を有効にすると、セキュリティ閲覧者ロールなどの読み取り専用アクセス許可を持つユーザーは、Windows Defender ATP ロールが割り当てられるまで、アクセスできません。 |
| Intune | セキュリティ閲覧者ロールのすべてのアクセス許可 |
| Microsoft Defender for Cloud Apps | セキュリティ閲覧者ロールのすべてのアクセス許可 セキュリティ アラートの表示、調査、対応 |
| Microsoft 365 サービス正常性 | Microsoft 365 サービスの正常性の表示 |
| アクション | 説明 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Microsoft Defender for Cloud Apps ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.directory/identityProtection/allProperties/allTasks | Azure AD Identity Protection ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management のすべてのリソースを読み取る |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Azure Advanced Threat Protection のすべての側面を管理する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.intune/allEntities/read | Microsoft Intune のすべてのリソースを読み取る |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Office 365 セキュリティ/コンプライアンス センターであらゆるリソースを作成し、削除し、標準プロパティを読み取り、更新する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | エンドポイントに対して Microsoft Defender のすべての側面を管理する |
セキュリティ閲覧者
このロールのユーザーには、Microsoft 365 Defender ポータル、Azure Active Directory、Identity Protection、Privileged Identity Management におけるすべての情報を含むセキュリティ関連機能への読み取り専用グローバル アクセス権に加えて、Azure Active Directory サインイン レポートと監査ログ、および Microsoft Purview コンプライアンス ポータルで閲覧する権限があります。 Office 365 のアクセス許可の詳細については、「Microsoft Defender for Office 365 および Microsoft Purview コンプライアンスのロールとロール グループ」を参照してください。
| 場所 | できること |
|---|---|
| Microsoft 365 Defender ポータル | Microsoft 365 サービス全体のセキュリティ関連ポリシーの表示 セキュリティの脅威とアラートの表示 レポートの表示 |
| Identity Protection | 各セキュリティ機能の全セキュリティ レポートと設定情報の閲覧
|
| Privileged Identity Management | Azure AD Privileged Identity Management に表示されるすべての情報への読み取り専用アクセス権を持ちます。Azure AD ロール割り当てに関するポリシーとレポート、およびセキュリティ レビュー。 Azure AD Privileged Identity Management へのサインアップおよびそれに対する変更を行うことはできません。 このロールのユーザーは、追加のロール (グローバル管理者や特権ロール管理者など) の資格がある場合、Privileged Identity Management ポータルまたは PowerShell からそれらのロールを有効化することができます。 |
| Microsoft Purview コンプライアンス ポータル | セキュリティ ポリシーの表示 セキュリティの脅威の表示および調査 レポートの表示 |
| Microsoft Defender for Endpoint | アラートの表示と調査 Windows Defender for Endpoint でロールベースのアクセス制御を有効にすると、セキュリティ閲覧者ロールなどの読み取り専用アクセス許可を持つユーザーは、Windows Defender ATP ロールが割り当てられるまで、アクセスできません。 |
| Intune | ユーザー、デバイス、登録、構成、アプリケーション情報の表示。 Intune に変更を加えることはできません。 |
| Microsoft Defender for Cloud Apps | 読み取りアクセス許可があります。 |
| Microsoft 365 サービス正常性 | Microsoft 365 サービスの正常性の表示 |
| アクション | 説明 |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Azure AD ですべてのレビュー可能なリソースのアクセス レビューのすべてのプロパティを読み取る |
| microsoft.directory/auditLogs/allProperties/read | 監査ログのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/domains/federationConfiguration/standard/read | ドメインのフェデレーション構成の標準プロパティを読み取る |
| microsoft.directory/entitlementManagement/allProperties/read | Azure AD エンタイトルメント管理ですべてのプロパティを読み取る |
| microsoft.directory/identityProtection/allProperties/read | Azure AD Identity Protection のすべてのリソースを読み取る |
| microsoft.directory/namedLocations/standard/read | ネットワークの場所を定義するカスタム ルールの基本プロパティを読み取る |
| microsoft.directory/policies/standard/read | ポリシーの基本プロパティを読み取る |
| microsoft.directory/policies/owners/read | ポリシーの所有者を読み取る |
| microsoft.directory/policies/policyAppliedTo/read | policies.policyAppliedTo プロパティを読み取る |
| microsoft.directory/conditionalAccessPolicies/standard/read | ポリシーの条件付きアクセスを読み取る |
| microsoft.directory/conditionalAccessPolicies/owners/read | 条件付きアクセス ポリシーの所有者を読み取る |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 条件付きアクセス ポリシーの "適用先" プロパティを読み取る |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management のすべてのリソースを読み取る |
| microsoft.directory/provisioningLogs/allProperties/read | プロビジョニング ログのすべてのプロパティを読み取ります。 |
| microsoft.directory/signInReports/allProperties/read | サインイン情報レポートのすべてのプロパティ (特権プロパティを含む) を読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.office365.protectionCenter/allEntities/standard/read | セキュリティおよびコンプライアンス センターのすべてリソースの標準プロパティを読み取る |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | 攻撃シミュレーターで攻撃ペイロードのすべてのプロパティを読み取る |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 攻撃のシミュレーション、応答、関連付けられているトレーニングのレポートを読み取る |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | 攻撃シミュレーターで攻撃シミュレーション テンプレートのすべてのプロパティを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
サービス サポート管理者
このロールが割り当てられたユーザーは、Azure サービスと Microsoft 365 サービスについて Microsoft へのサポート要求を作成して管理することができます。また、Azure portal と Microsoft 365 管理センターで、サービス ダッシュボードとメッセージ センターを表示できます。 詳しくは、「Microsoft 365 管理センターでの管理者ロールについて」をご覧ください。
Note
Azure portal と Microsoft 365 管理センターでのこのロールの以前の名前は、サービス管理者でした。 Microsoft Graph API と Azure AD PowerShell での既存の名前に合わせて、サービス サポート管理者という名前に変更されました。
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
SharePoint 管理者
このロールが割り当てられたユーザーは、Microsoft SharePoint Online 内でグローバル アクセス許可を持ちます (このサービスが存在する場合)。また、すべての Microsoft 365 グループを作成および管理し、サポート チケットを管理し、サービス正常性を監視できます。 詳しくは、「Microsoft 365 管理センターでの管理者ロールについて」をご覧ください。
Note
Microsoft Graph API と Azure AD PowerShell では、このロールは SharePoint サービス管理者という名前です。 Azure portal では、SharePoint 管理者という名前です。
注意
このロールでは、Microsoft Intune 用の Microsoft Graph API に対するスコープ付きのアクセス許可も付与されます。これにより、SharePoint リソースと OneDrive リソースに関連するポリシーの管理と構成を行うことができます。
| アクション | 説明 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを読み取る |
| microsoft.directory/groups.unified/create | ロールを割り当て可能なグループを除き、Microsoft 365 グループを作成する |
| microsoft.directory/groups.unified/delete | ロールを割り当て可能なグループを除き、Microsoft 365 グループを削除する |
| microsoft.directory/groups.unified/restore | ロール割り当て可能なグループを除く、論理的に削除されたコンテナーから Microsoft 365 グループを復元する |
| microsoft.directory/groups.unified/basic/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの基本プロパティを更新する |
| microsoft.directory/groups.unified/members/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups.unified/owners/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの所有者を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint ですべてのリソースの作成と削除、標準プロパティの読み取りと更新を行う |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Skype for Business 管理者
このロールが割り当てられたユーザーは、Microsoft Skype for Business 内でグローバル アクセス許可を持ちます (このサービスが存在する場合)。また、Azure Active Directory で Skype 固有のユーザー属性を管理します。 さらに、このロールはサポート チケットを管理し、サービスの正常性を監視することができ、Teams および Skype for Business 管理センターにアクセスできます。 アカウントには、Teams のライセンスが付与されている必要もあります。そうでないと、Teams の PowerShell コマンドレットを実行できません。 詳しくは、「Skype for Business Online の管理」と、「Skype for Business アドオンのライセンス」の Teams のライセンス情報をご覧ください。
Note
Microsoft Graph API と Azure AD PowerShell では、このロールは Lync サービス管理者という名前です。 Azure portal では、Skype for Business 管理者という名前です。
| アクション | 説明 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Skype for Business Online の全側面の管理 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Teams 管理者
このロールのユーザーは、Microsoft Teams および Skype for Business の管理センターと、対応する PowerShell モジュールを使用して、Microsoft Teams のワークロードの全側面を管理できます。 これにはその他の領域の、テレフォニー、メッセージング、会議、およびチーム自体に関連するすべての管理ツールが含まれます。 このロールはさらに、すべての Microsoft 365 グループの作成および管理、サポート チケットの管理、サービスの正常性の監視を行うこともできます。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.directory/groups/hiddenMembers/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを読み取る |
| microsoft.directory/groups.unified/create | ロールを割り当て可能なグループを除き、Microsoft 365 グループを作成する |
| microsoft.directory/groups.unified/delete | ロールを割り当て可能なグループを除き、Microsoft 365 グループを削除する |
| microsoft.directory/groups.unified/restore | ロール割り当て可能なグループを除く、論理的に削除されたコンテナーから Microsoft 365 グループを復元する |
| microsoft.directory/groups.unified/basic/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの基本プロパティを更新する |
| microsoft.directory/groups.unified/members/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups.unified/owners/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの所有者を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Skype for Business Online の全側面の管理 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.teams/allEntities/allProperties/allTasks | Teams のすべてのリソースを管理する |
| microsoft.directory/crossTenantAccessPolicy/standard/read | テナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | テナント間アクセスポリシーの許可されたクラウドエンドポイントを更新する |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 既定のテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 既定のクロステナントアクセスポリシーのクロスクラウドTeams会議設定を更新する |
| microsoft.directory/crossTenantAccessPolicy/partners/create | パートナーのテナント間アクセスポリシーを作成する |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | パートナーのテナント間アクセスポリシーの基本プロパティを読み取る |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | パートナーのテナント間アクセスポリシーのクロスクラウドTeams会議設定を更新する |
Teams 通信管理者
このロールのユーザーは、音声とテレフォニーに関連する Microsoft Teams のワークロードの各側面を管理できます。 これには、電話番号の割り当て、音声と会議のポリシー、および通話分析ツールセットへのフル アクセスのための管理ツールが含まれます。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Skype for Business Online の全側面の管理 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.teams/callQuality/allProperties/read | 通話品質ダッシュボード (CQD) のすべてのデータを読み取る |
| microsoft.teams/meetings/allProperties/allTasks | 会議ポリシー、構成、会議ブリッジを含む、会議を管理する |
| microsoft.teams/voice/allProperties/allTasks | 通話ポリシーや電話番号のインベントリおよび割り当てを含む、音声を管理する |
Teams 通信サポート エンジニア
このロールのユーザーは、Microsoft Teams と Skype for Business の管理センターでユーザー通話のトラブルシューティング ツールを使用して、Microsoft Teams と Skype for Business での通信に関する問題をトラブルシューティングできます。 このロールのユーザーは、関係するすべての参加者の完全な通話記録情報を表示できます。 このロールには、サポート チケットの表示、作成、管理のためのアクセス権がありません。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Skype for Business Online の全側面の管理 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.teams/callQuality/allProperties/read | 通話品質ダッシュボード (CQD) のすべてのデータを読み取る |
Teams 通信サポート スペシャリスト
このロールのユーザーは、Microsoft Teams と Skype for Business の管理センターでユーザー通話のトラブルシューティング ツールを使用して、Microsoft Teams と Skype for Business での通信に関する問題をトラブルシューティングできます。 このロールのユーザーが表示できるのは、調査した特定ユーザーの通話における詳細のみです。 このロールには、サポート チケットの表示、作成、管理のためのアクセス権がありません。
| アクション | 説明 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 認証ポリシーの標準プロパティを読み取る |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Skype for Business Online の全側面の管理 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.teams/callQuality/standard/read | 通話品質ダッシュボード (CQD) の基本データを読み取る |
Teams デバイス管理者
このロールを持つユーザーは、Teams 管理センターから Teams 認定デバイスを管理できます。 このロールでは、すべてのデバイスを一目で見ることができ、デバイスの検索とフィルター処理を行えます。 ユーザーは、ログイン アカウント、デバイスの製造元やモデルなど、各デバイスの詳細を確認できます。 ユーザーは、デバイスの設定を変更したり、ソフトウェアのバージョンを更新したりできます。 このロールでは、Teams アクティビティとデバイスの通話品質を調べるアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.teams/devices/standard/read | 構成ポリシーを含む、Teams 認定デバイスのすべての側面を管理する |
テナント作成者
次のタスクを行う必要があるユーザーに、テナント作成者ロールを割り当てます。
- ユーザー設定でテナント作成の切り替えがオフになっている場合でも、Azure Active Directory と Azure Active Directory B2C の両方のテナントを作成する
Note
テナント作成者には、作成した新しいテナントでグローバル管理者ロールが割り当てられます。
| アクション | 説明 |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Azure Active Directory で新しいテナントを作成する |
使用状況の概要のレポート閲覧者
このロールを持つユーザーは、使用状況と生産性スコアについて、Microsoft 365 管理センターでテナント レベルの集計データおよび関連する分析情報にアクセスできますが、ユーザー レベルの詳細や分析情報にはアクセスできません。 2 つのレポートについて、Microsoft 365 管理センターでは、テナント レベルの集計データとユーザー レベルの詳細が区別されます。 このロールは、顧客と法務チームの両方によって求められた個々のユーザーの識別可能データに対して追加の保護レイヤーを提供します。
| アクション | 説明 |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.usageReports/allEntities/standard/read | テナントレベルの集計された Office 365 利用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
ユーザー管理者
次の作業を行う必要があるユーザーに、ユーザー管理者ロールを割り当てます。
| 権限 | 説明を見る |
|---|---|
| ユーザーの作成 | |
| すべてのユーザー (すべての管理者を含む) のほとんどのユーザー プロパティの更新 | 機密性の高いアクションを実行できるロール |
| 一部のユーザーの機密性の高いプロパティ (ユーザー プリンシパル名を含む) の更新 | 機密性の高いアクションを実行できるロール |
| 一部のユーザーの無効化または有効化 | 機密性の高いアクションを実行できるロール |
| 一部のユーザーの削除または復元 | 機密性の高いアクションを実行できるロール |
| ユーザー ビューの作成と管理 | |
| すべてのグループの作成と管理 | |
| すべての管理者を含むすべてのユーザーのライセンスの割り当ておよび読み取り | |
| パスワードをリセットする | パスワードをリセットできるロール |
| 更新トークンを無効にする | パスワードをリセットできるロール |
| (FIDO) デバイス キーを更新する | |
| パスワードの有効期限ポリシーを更新する | |
| Azure と Microsoft 365 管理センターでのサポート チケットの作成および管理 | |
| サービス正常性の監視 |
このロールのユーザーは、次の作業を実行できません。
- MFA を管理できません。
- ロール割り当て可能なグループのメンバーと所有者の資格情報を変更したり、MFA をリセットしたりすることはできません。
- 共有メールボックスを管理できません。
重要
このロールを持つユーザーは、機密情報や個人情報または Azure Active Directory の内外の重要な構成にアクセスできるユーザーのパスワードを変更できます。 ユーザーのパスワードを変更することは、そのユーザーの ID およびアクセス許可を取得できることを意味します。 次に例を示します。
- 所有しているアプリの資格情報を管理できる、アプリケーションの登録とエンタープライズ アプリケーションの所有者。 これらのアプリには、Azure AD およびユーザー管理者に付与されていない場所への特権アクセス許可がある場合があります。 ユーザー管理者は、このパスからアプリケーション所有者の ID を取得し、さらにそのアプリケーションの資格情報を更新して特権アプリケーションの ID を取得できる場合があります。
- 機密情報や個人情報または Azure の重要な構成にアクセスできる Azure サブスクリプション所有者。
- グループ メンバーシップを管理できるセキュリティ グループと Microsoft 365 グループの所有者。 これらのグループは、機密情報や個人情報または Azure AD や別の場所の重要な構成へのアクセス権を付与される場合があります。
- Exchange Online、Microsoft 365 Defender ポータル、Microsoft Purview コンプライアンス ポータル、人事システムなど、Azure AD 以外の他のサービスの管理者。
- 機密情報や個人情報にアクセスできる場合がある役員、弁護士、人事担当者のような非管理者。
| アクション | 説明 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Azure AD のアプリケーション ロールの割り当てのアクセス レビューを管理 |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Azure AD ロール割り当てに対するアクセス レビューのすべてのプロパティを読み取る |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | エンタイトルメント管理でアクセス パッケージの割り当てに対するアクセス レビューを管理する |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | ロールを割り当て可能なグループを除く、セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューのすべてのプロパティを更新する。 |
| microsoft.directory/accessReviews/definitions.groups/create | セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューを作成する。 |
| microsoft.directory/accessReviews/definitions.groups/delete | セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューを削除する。 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | ロールを割り当て可能なグループを含む、セキュリティおよび Microsoft 365 グループ内のメンバーシップに対するアクセス レビューのすべてのプロパティを読み取る。 |
| microsoft.directory/contacts/create | 連絡先を作成する |
| microsoft.directory/contacts/delete | 連絡先を削除する |
| microsoft.directory/contacts/basic/update | 連絡先の基本プロパティを更新する |
| microsoft.directory/deletedItems.groups/restore | 論理的に削除されたグループを元の状態に復元する |
| microsoft.directory/deletedItems.users/restore | 論理的に削除されたユーザーを元の状態に復元する |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Azure AD エンタイトルメント管理でのリソースの作成と削除、すべてのプロパティの読み取りと更新を行う |
| microsoft.directory/groups/assignLicense | グループベースのライセンスのグループに製品ライセンスを割り当てる |
| microsoft.directory/groups/create | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを作成する |
| microsoft.directory/groups/delete | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループを削除する |
| microsoft.directory/groups/hiddenMembers/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを読み取る |
| microsoft.directory/groups/reprocessLicenseAssignment | グループベースのライセンスのライセンス割り当てを再処理する |
| microsoft.directory/groups/restore | ソフト削除されたコンテナーからグループを復元する |
| microsoft.directory/groups/basic/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの基本プロパティを更新する |
| microsoft.directory/groups/classification/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの分類プロパティを更新する |
| microsoft.directory/groups/dynamicMembershipRule/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの動的メンバーシップ ルールを更新する |
| microsoft.directory/groups/groupType/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのグループの種類に影響を与えるプロパティを更新する |
| microsoft.directory/groups/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups/onPremWriteBack/update | Azure AD Connect を使用してオンプレミスに書き戻す Azure Active Directory グループを更新する |
| microsoft.directory/groups/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの所有者を更新する |
| microsoft.directory/groups/settings/update | グループの設定を更新する |
| microsoft.directory/groups/visibility/update | ロールを割り当て可能なグループを除き、セキュリティ グループと Microsoft 365 グループの可視性プロパティを更新する |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 アクセス許可の付与の作成と削除、およびすべてのプロパティの読み取りと更新 |
| microsoft.directory/policies/standard/read | ポリシーの基本プロパティを読み取る |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | サービス プリンシパルのロールの割り当ての更新 |
| microsoft.directory/users/assignLicense | ユーザー ライセンスの管理 |
| microsoft.directory/users/create | ユーザーの追加 |
| microsoft.directory/users/delete | ユーザーを削除する |
| microsoft.directory/users/disable | ユーザーの無効化 |
| microsoft.directory/users/enable | ユーザーの有効化 |
| microsoft.directory/users/inviteGuest | ゲスト ユーザーを招待する |
| microsoft.directory/users/invalidateAllRefreshTokens | ユーザー更新トークンを無効にして強制的にサインアウトする |
| microsoft.directory/users/reprocessLicenseAssignment | ユーザーのライセンス割り当てを再処理する |
| microsoft.directory/users/restore | 削除されたユーザーを復元する |
| microsoft.directory/users/basic/update | ユーザーの基本プロパティを更新する |
| microsoft.directory/users/manager/update | ユーザーのマネージャーを更新する |
| microsoft.directory/users/password/update | すべてのユーザーのパスワードをリセットする |
| microsoft.directory/users/photo/update | ユーザーの写真を更新する |
| microsoft.directory/users/userPrincipalName/update | ユーザーのユーザー プリンシパル名を更新する |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health を読み取り、構成する |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
仮想アクセス管理者
このロールのユーザーは、次のタスクを実行できます。
- Microsoft 365管理センターとTeams EHRコネクタで、BookingsでのVirtual Visitsのすべての側面を管理および構成する
- Teams管理センター、Microsoft 365管理センター、PowerBIで仮想アクセスの使用状況レポートを表示する
- Microsoft 365管理センターで機能と設定を表示しますが、設定を編集することはできません
仮想アクセスは、スタッフと出席者のオンラインおよびビデオの予定をスケジュールおよび管理するための簡単な方法です。 たとえば、使用状況レポートでは、予定の前にSMSテキストメッセージを送信すると、予定に表示されないユーザーの数をどのように減らすことができるか示すことができます。
| アクション | 説明 |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 管理センターまたは Virtual Visits アプリから Virtual Visits の情報とメトリックを管理および共有する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Viva ゴール管理者
次のタスクを行う必要があるユーザーに、Viva ゴール管理者ロールを割り当てます。
- Microsoft Viva ゴール アプリケーションのあらゆる側面を管理および構成する
- Microsoft Viva ゴール管理者設定を構成する
- Azure AD テナント情報を読み取る
- Microsoft 365 サービスの正常性を監視する
- Microsoft 365 サービス要求を作成および管理する
詳細については、「Viva ゴールのロールとアクセス許可」および「Microsoft Viva ゴールの概要」を参照してください。
| アクション | 説明 |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Windows 365 管理者
このロールのユーザーには Windows 365 リソースに対するグローバル アクセス許可があります (そのサービスが存在する場合)。 さらに、このロールはポリシーを関連付けるためにユーザーとデバイスを管理することができ、グループを作成および管理することもできます。
このロールはセキュリティ グループを作成および管理できますが、Microsoft 365 グループに対する管理者権限はありません。 つまり、管理者は、組織内の Microsoft 365 グループの所有者およびメンバーシップを更新することはできません。 ただし、自分で作成した Microsoft 365 グループを管理することはできます。これは、エンドユーザーの特権の一部です。 そのため、自分で作成したすべての Microsoft 365 グループ (セキュリティ グループではない) は、自分の 250 のクォータに対してカウントされます。
次のタスクを行う必要があるユーザーに、Windows 365 管理者ロールを割り当てます。
- Microsoft Intune で Windows 365 クラウド PC を管理する
- Azure AD でデバイスを登録および管理する (ユーザーとポリシーの割り当てを含む)
- セキュリティ グループを作成および管理する (ロールを割り当て可能なグループを除く)
- Microsoft 365 管理センターで基本プロパティを表示する
- Microsoft 365 管理センターで使用状況レポートを読み取る
- Azure と Microsoft 365 管理センターでのサポート チケットの作成および管理
| アクション | 説明 |
|---|---|
| microsoft.directory/deletedItems.devices/delete | 復元できなくなったデバイスを完全に削除する |
| microsoft.directory/deletedItems.devices/restore | 論理的に削除されたデバイスを元の状態に復元する |
| microsoft.directory/devices/create | デバイスを作成する (Azure AD に登録する) |
| microsoft.directory/devices/delete | Azure AD からデバイスを削除する |
| microsoft.directory/devices/disable | Azure AD でデバイスを無効にする |
| microsoft.directory/devices/enable | Azure AD でデバイスを有効にする |
| microsoft.directory/devices/basic/update | デバイスの基本プロパティを更新する |
| microsoft.directory/devices/extensionAttributeSet1/update | デバイスの extensionAttribute1 から extensionAttribute5 プロパティを更新する |
| microsoft.directory/devices/extensionAttributeSet2/update | デバイスの extensionAttribute6 から extensionAttribute10 プロパティを更新する |
| microsoft.directory/devices/extensionAttributeSet3/update | デバイスの extensionAttribute11 から extensionAttribute15 プロパティを更新する |
| microsoft.directory/devices/registeredOwners/update | デバイスの登録済み所有者を更新する |
| microsoft.directory/devices/registeredUsers/update | デバイスの登録済みユーザーを更新する |
| microsoft.directory/groups.security/create | ロールを割り当て可能なグループを除き、セキュリティ グループを作成する |
| microsoft.directory/groups.security/delete | ロールを割り当て可能なグループを除き、セキュリティ グループを削除する |
| microsoft.directory/groups.security/basic/update | ロールを割り当て可能なグループを除き、セキュリティ グループの基本プロパティを更新する |
| microsoft.directory/groups.security/classification/update | ロールを割り当て可能なグループを除き、セキュリティ グループの分類プロパティを更新する |
| microsoft.directory/groups.security/dynamicMembershipRule/update | ロール割り当て可能なグループを除き、セキュリティ グループの動的メンバーシップ ルールを更新する |
| microsoft.directory/groups.security/members/update | ロールを割り当て可能なグループを除き、セキュリティ グループのメンバーを更新する |
| microsoft.directory/groups.security/owners/update | ロールを割り当て可能なグループを除き、セキュリティ グループの所有者を更新する |
| microsoft.directory/groups.security/visibility/update | ロールを割り当て可能なグループを除き、セキュリティ グループの可視性プロパティを更新する |
| microsoft.directory/deviceManagementPolicies/standard/read | デバイス管理アプリケーション ポリシーの標準プロパティの読み取り |
| microsoft.directory/deviceRegistrationPolicy/standard/read | デバイス登録ポリシーの標準プロパティの読み取り |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure サポート チケットを作成および管理する |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Windows 365 のすべての側面を管理する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
Windows Update デプロイ管理者
このロールに含まれるユーザーは、Windows Update for Business 展開サービスを使用して、Windows Update の展開のすべての側面を作成および管理できます。 このデプロイ サービスを使用すると、ユーザーは更新プログラムをいつ、どのようにデプロイするかの設定を定義でき、テナント内のデバイスのグループに提供する更新プログラムを指定できます。 それだけでなく、ユーザーは更新の進捗状況を監視することもできます。
| アクション | 説明 |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Windows Update Service のすべての側面の読み取りと構成を行う |
Yammer 管理者
次のタスクを行う必要があるユーザーに、Yammer 管理者ロールを割り当てます。
- Yammer の全側面の管理
- Microsoft 365 グループ (ただし、ロール割り当て可能なグループ以外) の作成、管理、復元
- ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを確認する
- Microsoft 365 管理センターで使用状況レポートを読み取る
- Microsoft 365 管理センターでサービス要求を作成および管理する
- メッセージ センターのお知らせ (セキュリティのお知らせ以外) を確認する
- サービスの正常性を表示する
| アクション | 説明 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | ロールを割り当て可能なグループを含め、セキュリティ グループと Microsoft 365 グループの非表示メンバーを読み取る |
| microsoft.directory/groups.unified/create | ロールを割り当て可能なグループを除き、Microsoft 365 グループを作成する |
| microsoft.directory/groups.unified/delete | ロールを割り当て可能なグループを除き、Microsoft 365 グループを削除する |
| microsoft.directory/groups.unified/restore | ロール割り当て可能なグループを除く、論理的に削除されたコンテナーから Microsoft 365 グループを復元する |
| microsoft.directory/groups.unified/basic/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの基本プロパティを更新する |
| microsoft.directory/groups.unified/members/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループのメンバーを更新する |
| microsoft.directory/groups.unified/owners/update | ロールを割り当て可能なグループを除き、Microsoft 365 グループの所有者を更新する |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 管理センターのメッセージ センターで、セキュリティ メッセージを除くメッセージを読み取る |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 管理センターで、すべてのネットワーク パフォーマンス プロパティを読み取る |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 管理センターで Service Health を読み取り、構成する |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 サービス要求を作成および管理する |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 の使用状況レポートを読み取る |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 管理センターですべてのリソースの基本プロパティを読み取る |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Yammer の全側面の管理 |
ロールのアクセス許可を理解する方法
アクセス許可のスキーマは、Microsoft Graph の REST 形式にほぼ従っています。
<namespace>/<entity>/<propertySet>/<action>
次に例を示します。
microsoft.directory/applications/credentials/update
| アクセス許可の要素 | 説明 |
|---|---|
| namespace | タスクが公開される、前に microsoft が付加された製品またはサービス。 たとえば、Azure AD 内のすべてのタスクには、microsoft.directory 名前空間が使用されます。 |
| エンティティ | Microsoft Graph でサービスによって公開される論理機能またはコンポーネント。 たとえば、Azure AD からはユーザーとグループ、OneNote からはメモ、Exchange からはメールボックスと予定表が公開されます。 名前空間内のすべてのエンティティを指定するための特別な allEntities キーワードがあります。 これは、製品全体へのアクセスを許可するロールでよく使用されます。 |
| propertySet | アクセスが許可されているエンティティの特定のプロパティまたは側面。 たとえば、microsoft.directory/applications/authentication/read の場合は、Azure AD 内のアプリケーション オブジェクトで、応答 URL、ログアウト URL、暗黙的なフロー プロパティを読み取ることが許可されます。
|
| action | 許可される操作。最も一般的なものは、作成、読み取り、更新、または削除 (CRUD) です。 上記のすべての能力 (作成、読み取り、更新、削除) を指定するための特別な allTasks キーワードがあります。 |
非推奨のロール
次のロールは使用しないでください。 これらは非推奨となっており、将来的に Azure AD から削除されます。
- アドホック ライセンス管理者
- デバイスの参加
- デバイス マネージャー
- デバイス ユーザー
- メールで確認済みのユーザー作成者
- メールボックス管理者
- デバイスの社内参加
ポータルに表示されないロール
PowerShell または MS Graph API によって返されるすべてのロールが Azure portal に表示されるわけではありません。 それらの違いを次の表にまとめます。
| API 名 | Azure portal での名前 | Notes |
|---|---|---|
| デバイスの参加 | 非推奨 | 非推奨になったロールのドキュメント |
| デバイス マネージャー | 非推奨 | 非推奨になったロールのドキュメント |
| デバイス ユーザー | 非推奨 | 非推奨になったロールのドキュメント |
| ディレクトリ同期アカウント | 使用するべきではないため、表示されません | ディレクトリ同期アカウントのドキュメント |
| ゲスト ユーザー | 使用できないため、表示されません | NA |
| Partner Tier 1 サポート | 使用するべきではないため、表示されません | Partner Tier 1 サポートのドキュメント |
| Partner Tier 2 サポート | 使用するべきではないため、表示されません | Partner Tier 2 サポートのドキュメント |
| 制限されたゲストユーザー | 使用できないため、表示されません | NA |
| User | 使用できないため、表示されません | NA |
| デバイスの社内参加 | 非推奨 | 非推奨になったロールのドキュメント |
パスワードをリセットできるロール
次の表の列には、パスワードをリセットして、更新トークンを無効にできるロールが一覧表示されています。 行には、パスワードをリセットできる対象のロールが一覧表示されています。
次の表は、テナントのスコープで割り当てられたロールを対象にしています。 管理単位のスコープで割り当てられたロールについては、さらに制限が適用されます。
| パスワードをリセットできる対象のロール | パスワード管理者 | ヘルプデスク管理者 | 認証管理者 | [ユーザー管理者] | 特権認証管理者 | 全体管理者 |
|---|---|---|---|---|---|---|
| 認証管理者 | ✔️ | ✔️ | ✔️ | |||
| ディレクトリ リーダー | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 全体管理者 | ✔️ | ✔️* | ||||
| グループ管理者 | ✔️ | ✔️ | ✔️ | |||
| ゲスト招待元 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| ヘルプデスク管理者 | ✔️ | ✔️ | ✔️ | ✔️ | ||
| メッセージ センター閲覧者 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| パスワード管理者 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 特権認証管理者 | ✔️ | ✔️ | ||||
| 特権ロール管理者 | ✔️ | ✔️ | ||||
| レポート閲覧者 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| User (管理者ロールなし) |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| User (管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者) |
✔️ | ✔️ | ||||
| [ユーザー管理者] | ✔️ | ✔️ | ✔️ | |||
| 使用状況の概要のレポート閲覧者 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| すべてのカスタム ロール | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
重要
パートナー レベル 2 のサポート ロールでは、すべての非管理者および管理者 (全体管理者を含む) のパスワードをリセットし、更新トークンを無効にすることができます。 パートナー レベル 1 のサポート ロールでは、非管理者のみに対してパスワードをリセットし、更新トークンを無効にすることができます。 これらのロールは非推奨であるため、使用しないでください。
パスワードのリセット機能には、セルフサービスのパスワード リセットに必要な次の機密プロパティを更新する機能が含まれています。
- businessPhones
- MobilePhone
- otherMails
機密性の高いアクションを実行できるロール
一部の管理者は、一部のユーザーに対して次の機密性の高いアクションを実行できます。 すべてのユーザーは、機密性の高いプロパティを読み取ることができます。
| 機密性の高いアクション | 機密性の高いプロパティ名 |
|---|---|
| ユーザーの無効化または有効化 | accountEnabled |
| 勤務先の電話番号の更新 | businessPhones |
| 携帯電話番号の更新 | mobilePhone |
| オンプレミスの不変 ID の更新 | onPremisesImmutableId |
| その他のメールアドレスの更新 | otherMails |
| パスワード プロファイルの更新 | passwordProfile |
| ユーザー プリンシパル名の更新 | userPrincipalName |
| ユーザーの削除または復元 | 該当なし |
次の表の列には、機密性の高いアクションを実行できるロールが一覧表示されています。 行には、機密性の高いアクションを実行できる対象のロールが一覧表示されています。
次の表は、テナントのスコープで割り当てられたロールを対象にしています。 管理単位のスコープで割り当てられたロールについては、さらに制限が適用されます。
| 機密性の高いアクションを実行できる対象のロール | 認証管理者 | [ユーザー管理者] | 特権認証管理者 | 全体管理者 |
|---|---|---|---|---|
| 認証管理者 | ✔️ | ✔️ | ✔️ | |
| ディレクトリ リーダー | ✔️ | ✔️ | ✔️ | ✔️ |
| 全体管理者 | ✔️ | ✔️ | ||
| グループ管理者 | ✔️ | ✔️ | ✔️ | |
| ゲスト招待元 | ✔️ | ✔️ | ✔️ | ✔️ |
| ヘルプデスク管理者 | ✔️ | ✔️ | ✔️ | |
| メッセージ センター閲覧者 | ✔️ | ✔️ | ✔️ | ✔️ |
| パスワード管理者 | ✔️ | ✔️ | ✔️ | ✔️ |
| 特権認証管理者 | ✔️ | ✔️ | ||
| 特権ロール管理者 | ✔️ | ✔️ | ||
| レポート閲覧者 | ✔️ | ✔️ | ✔️ | ✔️ |
| User (管理者ロールなし) |
✔️ | ✔️ | ✔️ | ✔️ |
| User (管理者ロールはないが、ロールを割り当て可能なグループのメンバーまたは所有者) |
✔️ | ✔️ | ||
| [ユーザー管理者] | ✔️ | ✔️ | ✔️ | |
| 使用状況の概要のレポート閲覧者 | ✔️ | ✔️ | ✔️ | ✔️ |
| すべてのカスタム ロール | ✔️ | ✔️ | ✔️ | ✔️ |