Azure AD 기본 제공 역할

Azure AD(Azure Active Directory)에서 다른 관리자 또는 관리자가 아닌 사람이 Azure AD 리소스를 관리해야 하는 경우 필요한 권한을 제공하는 Azure AD 역할을 그 사람에게 할당합니다. 예를 들어 사용자를 추가 또는 변경하고, 사용자 암호를 다시 설정하고, 사용자 라이선스를 관리하고, 도메인 이름을 관리할 수 있도록 허용하는 역할을 할당할 수 있습니다.

이 문서에는 Azure AD 리소스 관리를 허용할 사람에게 할당할 수 있는 Azure AD 기본 제공 역할이 나열되어 있습니다. 역할을 할당하는 방법에 대한 자세한 내용은 사용자에게 Azure AD 역할 할당을 참조하세요. Azure 리소스를 관리하는 역할을 찾고 있는 경우 Azure 기본 제공 역할을 참조하세요.

모든 역할

역할 설명 템플릿 ID
애플리케이션 관리자 앱 등록 및 엔터프라이즈 앱의 모든 측면을 만들고 관리할 수 있습니다. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
애플리케이션 개발자 '사용자가 애플리케이션을 등록할 수 있음' 설정에 관계없이 애플리케이션 등록을 만들 수 있습니다. cf1c38e5-3621-4004-a7cb-879624dced7c
공격 페이로드 작성자 관리자가 나중에 시작할 수 있는 공격 페이로드를 만들 수 있습니다. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
공격 시뮬레이션 관리자 공격 시뮬레이션 캠페인의 모든 측면을 만들고 관리할 수 있습니다. c430b396-e693-46cc-96f3-db01bf8bb62a
특성 할당 관리자 지원되는 Azure AD 개체에 사용자 지정 보안 특성 키 및 값을 할당합니다. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
특성 할당 읽기 권한자 지원되는 Azure AD 개체에 대한 사용자 지정 보안 특성 키 및 값을 읽습니다. ffd52fa5-98dc-465c-991d-fc073eb59f8f
특성 정의 관리자 사용자 지정 보안 특성의 의미를 정의하고 관리합니다. 8424c6f0-a189-499e-bbd0-26c1753c96d4
특성 정의 읽기 권한자 사용자 지정 보안 특성의 정의를 읽습니다. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
인증 관리자 관리 사용자가 아닌 사용자의 인증 방법 정보를 보고, 설정하고, 재설정하기 위해 액세스할 수 있습니다. c4e39bd9-1100-46d3-8c65-fb160da0071f
인증 정책 관리자 인증 방법 정책, 테넌트 전체 MFA 설정, 암호 보호 정책 및 확인 가능한 자격 증명을 만들고 관리할 수 있습니다. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure AD 조인 디바이스 로컬 관리자 이 역할에 할당된 사용자는 Azure AD에 조인된 디바이스의 로컬 관리자 그룹에 추가됩니다. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Azure DevOps 관리자 Azure DevOps 정책 및 설정을 관리할 수 있습니다. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection 관리자 Azure Information Protection 제품의 모든 측면을 관리할 수 있습니다. 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF 키 세트 관리자 IEF(Identity Experience Framework)에서 페더레이션 및 암호화의 비밀을 관리할 수 있습니다. aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF 정책 관리자 IEF(Identity Experience Framework)에서 보안 프레임워크 정책을 만들고 관리할 수 있습니다. 3edaf663-341e-4475-9f94-5c398ef6c070
대금 청구 관리자 결제 정보 업데이트와 같은 일반 결제 관련 작업을 수행할 수 있습니다. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security 관리자 클라우드용 Defender 앱 제품의 모든 측면을 관리할 수 있습니다. 892c5842-a9a6-463a-8041-72aa08ca3cf6
클라우드 애플리케이션 관리자 앱 프록시를 제외한 앱 등록 및 엔터프라이즈 앱의 모든 측면을 만들고 관리할 수 있습니다. 158c047a-c907-4556-b7ef-446551a6b5f7
클라우드 디바이스 관리자 Azure AD에서 액세스 권한이 디바이스 관리로 제한됩니다. 7698a772-787b-4ac8-901f-60d6b08affd2
규정 준수 관리자 Azure AD 및 Microsoft 365에서 준수 구성 및 보고서를 읽고 관리할 수 있습니다. 17315797-102d-40b4-93e0-432062caca18
규정 준수 데이터 관리자 규정 준수 콘텐츠를 만들고 관리합니다. e6d1a23a-da11-4be4-9570-befc86d067a7
조건부 액세스 관리자 조건부 액세스 기능을 관리할 수 있습니다. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
고객 Lockbox 액세스 승인자 고객 조직 데이터에 액세스하려는 Microsoft 지원 요청을 승인할 수 있습니다. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Desktop Analytics 관리자 데스크톱 관리 도구 및 서비스에 액세스하고 관리할 수 있습니다. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
디렉터리 읽기 권한자 기본 디렉터리 정보를 읽을 수 있습니다. 일반적으로 애플리케이션과 게스트에 대한 디렉터리 읽기 액세스 권한을 부여하는 데 사용됩니다. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
디렉터리 동기화 계정 Azure AD Connect에서만 사용됩니다. d29b2b05-8046-44ba-8758-1e26182fcf32
디렉터리 쓰기 권한자 기본 디렉터리 정보를 읽고 쓸 수 있습니다. 사용자를 대상으로 하지 않은 애플리케이션에 대한 접근 권한을 부여하기 위한 것입니다. 9360feb5-f418-4baa-8175-e2a00bac4301
도메인 이름 관리자 클라우드 및 온-프레미스에서 도메인 이름을 관리할 수 있습니다. 8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 관리자 Dynamics 365 제품의 모든 측면을 관리할 수 있습니다. 44367163-eba1-44c3-98af-f5787879f96a
Edge 관리자 Microsoft Edge의 모든 측면을 관리합니다. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange 관리자 Exchange 제품의 모든 측면을 관리할 수 있습니다. 29232cdf-9323-42fd-ade2-1d097af3e4de
EExchange 수신자 관리자 Exchange Online 조직 내에서 Exchange Online 수신자를 만들거나 업데이트할 수 있습니다. 31392ffb-586c-42d1-9346-e59415a2cc4e
외부 ID 사용자 흐름 관리자 사용자 흐름의 모든 측면을 만들고 관리할 수 있습니다. 6e591065-9bad-43ed-90f3-e9424366d2f0
외부 ID 사용자 흐름 특성 관리자 모든 사용자 흐름에 사용할 수 있는 특성 스키마를 만들고 관리할 수 있습니다. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
외부 ID 공급자 관리자 직접 페더레이션에 사용할 ID 공급자를 구성할 수 있습니다. be2f45a1-457d-42af-a067-6ec1fa63bc45
전역 관리자 Azure AD 및 Azure AD ID를 사용하는 Microsoft 서비스의 모든 측면을 관리할 수 있습니다. 62e90394-69f5-4237-9190-012177145e10
글로벌 읽기 권한자 전역 관리자가 할 수 있는 모든 것을 읽을 수는 있지만, 업데이트할 수는 없습니다. f2ef992c-3afb-46b9-b7cf-a126ee74c451
그룹 관리자 이 역할의 구성원은 그룹을 만들고/관리하고, 이름이나 만료 정책과 같은 그룹 설정을 만들고/관리하고, 그룹 작업 및 감사 보고서를 볼 수 있습니다. fdd7a751-b60b-444a-984c-02652fe8fa1c
게스트 초대자 '멤버가 게스트를 초대할 수 있음' 설정에 관계없이 게스트 사용자를 초대할 수 있습니다. 95e79109-95c0-4d8e-aee3-d01accf2d47b
기술 지원팀 관리자 관리자가 아닌 사용자 및 기술 지원팀 관리자의 암호를 재설정할 수 있습니다. 729827e3-9c14-49f7-bb1b-9608f156bbb8
하이브리드 ID 관리자 AD-Azure AD 클라우드 프로비저닝, Azure AD Connect, PTA(통과 인증), PHS(암호 해시 동기화), Seamless SSO(Seamless Single Sign-On) 및 페더레이션 설정을 관리할 수 있습니다. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance 관리자 ID 거버넌스 시나리오에 Azure AD를 사용하여 액세스를 관리합니다. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights 관리자 Microsoft 365 Insights 앱에서 관리 권한이 있습니다. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights 분석가 Microsoft Viva Insights의 분석 기능에 액세스하고 사용자 지정 쿼리를 실행합니다. 25df335f-86eb-4119-b717-0ff02de207e9
Insights 비즈니스 리더 Microsoft 365 Insights 앱을 통해 대시보드 및 인사이트를 보고 공유할 수 있습니다. 31e939ad-9672-4796-9c2e-873181342d2d
Intune 관리자 Intune 제품의 모든 측면을 관리할 수 있습니다. 3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala 관리자 Microsoft Kaizala의 설정을 관리할 수 있습니다. 74ef975b-6605-40af-a5d2-b9539d836353
지식 관리자 지식, 학습 및 기타 인텔리전트 기능을 구성할 수 있습니다. b5a8dcf3-09d5-43a9-a639-8e29ef291470
지식 관리자 항목과 지식을 구성, 생성, 관리 및 승격할 수 있습니다. 744ec460-397e-42ad-a462-8b3f9747a02c
라이선스 관리자 사용자 및 그룹의 제품 라이선스를 관리할 수 있습니다. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
수명 주기 워크플로 관리자 Azure AD에서 수명 주기 워크플로와 연결된 워크플로 및 작업의 모든 측면을 만들고 관리합니다. 59d46f88-662b-457b-bceb-5c3809e5908f
메시지 센터 개인 정보 읽기 권한자 Office 365 메시지 센터에서만 보안 메시지 및 업데이트를 읽을 수 있습니다. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
메시지 센터 읽기 권한자 Office 365 메시지 센터에서만 조직의 메시지 및 업데이트를 읽을 수 있습니다. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft 하드웨어 보증 관리자 Surface 및 HoloLens와 같은 Microsoft 제조된 하드웨어에 대한 모든 측면 보증 클레임 및 자격을 만들고 관리합니다. 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft 하드웨어 보증 전문가 Surface 및 HoloLens와 같은 Microsoft 제조된 하드웨어에 대한 보증 클레임을 만들고 읽습니다. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
최신 Commerce 사용자 회사, 부서 또는 팀의 상업적 구매를 관리할 수 있습니다. d24aef57-1500-4070-84db-2666f29cf966
네트워크 관리자 네트워크 위치를 관리하고 Microsoft 365 Software as a Service 애플리케이션에 대한 엔터프라이즈 네트워크 디자인 인사이트를 검토할 수 있습니다. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office 앱 관리자 정책 및 설정 관리를 포함하여 Office 앱의 클라우드 서비스를 관리할 수 있고,최종 사용자의 디바이스에서 "새로운 기능" 콘텐츠를 선택과 취소 및 게시하는 기능을 관리할 수 있습니다. 2b745bdf-0803-4d80-aa65-822c4493daac
조직 메시지 작성기 Microsoft 제품 화면을 통해 최종 사용자의 조직 메시지를 작성, 게시, 관리 및 검토합니다. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
파트너 계층1 지원 사용하지 마세요. 일반적인 용도로는 적합하지 않습니다. 4ba39ca4-527c-499a-b93d-d9b492c50246
파트너 계층2 지원 사용하지 마세요. 일반적인 용도로는 적합하지 않습니다. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
암호 관리자 비관리자 및 암호 관리자의 암호를 다시 설정할 수 있습니다. 966707d0-3269-4727-9be2-8c3a10f19b9d
권한 관리 관리자 Entra Permissions Management의 모든 측면을 관리합니다. af78dc32-cf4d-46f9-ba4e-4428526346b5
Power BI 관리자 Power BI 제품의 모든 측면을 관리할 수 있습니다. a9ea8996-122f-4c74-9520-8edcd192826c
Power Platform 관리자 Microsoft Dynamics 365, Power Apps, Power Automate의 모든 측면을 만들고 관리할 수 있습니다. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
프린터 관리자 프린터 및 프린터 커넥터의 모든 것을 관리할 수 있습니다. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
프린터 기술자 프린터를 등록/등록 취소하고 프린터 상태를 업데이트할 수 있습니다. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
권한 있는 인증 관리자 사용자(관리자 또는 비관리자)의 인증 방법 정보를 보고, 설정하고. 재설정하기 위해 액세스할 수 있습니다. 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
권한 있는 역할 관리자 Azure AD의 역할 할당 및 Privileged Identity Management의 모든 것을 관리할 수 있습니다. e8611ab8-c189-46e8-94e1-60213ab1f814
보고서 읽기 권한자 로그인 및 감사 보고서를 읽을 수 있습니다. 4a5d8f65-41da-4de4-8968-e035b65339cf
Search 관리자 Microsoft Search 설정의 모든 것을 만들고 관리할 수 있습니다. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Search 편집자 책갈피, 질문과 대답, 위치, 평면도와 같은 편집 콘텐츠를 만들고 관리할 수 있습니다. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
보안 관리자 Azure AD 및 Office 365에서 보안 정보 및 보고서를 읽고 구성을 관리할 수 있습니다. 194ae4cb-b126-40b2-bd5b-6091b380977d
보안 운영자 보안 이벤트를 만들고 관리합니다. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
보안 읽기 권한자 Azure AD 및 Office 365에서 보안 정보 및 보고서를 읽을 수 있습니다. 5d6b6bb7-de71-4623-b4af-96380a352509
서비스 지원 관리자 서비스 상태 정보를 읽고, 지원 티켓을 관리할 수 있습니다. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint 관리자 SharePoint 서비스의 모든 측면을 관리할 수 있습니다. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
비즈니스용 Skype 관리자 비즈니스용 Skype 제품의 모든 측면을 관리할 수 있습니다. 75941009-915a-4869-abe7-691bff18279e
Teams 관리자 Microsoft Teams 서비스를 관리할 수 있습니다. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams 통신 관리자 Microsoft Teams 서비스 내에서 호출 및 회의 기능을 관리할 수 있습니다. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams 통신 지원 엔지니어 고급 도구를 사용하여 Teams 내에서 통신 문제를 해결할 수 있습니다. f70938a0-fc10-4177-9e90-2178f8765737
Teams 통신 지원 전문가 기본 도구를 사용하여 Teams 내에서 통신 문제를 해결할 수 있습니다. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams 디바이스 관리자 Teams 인증 디바이스에서 관리 관련 작업을 수행할 수 있습니다. 3d762c5a-1b6c-493f-843e-55a3b42923d4
테넌트 작성자 새 Azure AD 만들거나 B2C 테넌트 Azure AD. 112ca1a2-15ad-4102-995e-45b0bc479a6a
사용 요약 보고서 읽기 권한자 Microsoft 365 사용량 현황 분석 및 생산성 점수에서 테넌트 수준 집계만 볼 수 있습니다. 75934031-6c7e-415a-99d7-48dbd49e875e
사용자 관리자 제한된 관리자의 암호 재설정을 비롯하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다. fe930be7-5e62-47db-91af-98c3a49a38b1
Virtual Visits 관리자 관리 센터 또는 Virtual Visits 앱에서 Virtual Visits 정보 및 메트릭 관리 및 공유 e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Windows 365 관리자 클라우드 PC의 모든 측면을 프로비전하고 관리할 수 있습니다. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows 업데이트 배포 관리자 비즈니스용 Windows 업데이트 배포 서비스를 통해 Windows Update 배포의 모든 측면을 생성하고 관리할 수 있습니다. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer 관리자 Yammer 서비스의 모든 측면을 관리합니다. 810a2642-a034-447f-a5e8-41beaa378541

애플리케이션 관리자

이 역할의 사용자는 엔터프라이즈 애플리케이션, 애플리케이션 등록 및 애플리케이션 프록시 설정의 모든 측면을 만들고 관리할 수 있습니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.

이 역할은 Microsoft Graph에 대한 애플리케이션 권한을 제외하고 위임된 권한 및 애플리케이션 권한에 동의하는 기능도 부여합니다.

중요

이 예외는 다른 앱(예: 타사 앱 또는 사용자가 등록한 앱)에 대한 애플리케이션 권한에는 동의할 수 있다는 뜻입니다. 여전히 앱을 등록할 때 이 권한을 요청할 수 있지만, 이 권한을 부여(즉, 동의)하려면 전역 관리자처럼 더 많은 권한이 있는 관리자여야 합니다.

이 역할은 애플리케이션 자격 증명을 관리하는 기능을 부여합니다. 이 역할이 할당된 사용자는 애플리케이션에 자격 증명을 추가하고 해당 자격 증명을 사용하여 애플리케이션의 ID를 가장할 수 있습니다. 애플리케이션의 ID에 사용자 또는 다른 개체를 만들거나 업데이트하는 기능과 같이 리소스에 대한 액세스 권한이 부여된 경우 이 역할에 할당된 사용자는 애플리케이션을 가장하는 동안 이러한 작업을 수행할 수 있습니다. 애플리케이션의 ID를 가장하는 이 기능은 본인의 역할 할당을 통해 사용자가 수행할 수 있는 권한 상승이 될 수 있습니다. 애플리케이션 관리자 역할에 사용자를 할당하면 애플리케이션의 ID를 가장하는 기능이 해당 사용자에게 부여된다는 점을 이해해야 합니다.

동작 Description
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Azure AD에서 관리자 동의 요청 정책 관리
microsoft.directory/appConsent/appConsentRequests/allProperties/read Azure AD에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기
microsoft.directory/applications/create 모든 유형의 애플리케이션 만들기
microsoft.directory/applications/delete 모든 유형의 애플리케이션 삭제
microsoft.directory/applications/applicationProxy/read 모든 애플리케이션 프록시 속성 읽기
microsoft.directory/applications/applicationProxy/update 모든 애플리케이션 프록시 속성 업데이트
microsoft.directory/applications/applicationProxyAuthentication/update 모든 유형의 애플리케이션에서 인증 업데이트
microsoft.directory/applications/applicationProxySslCertificate/update 애플리케이션 프록시에 대한 SSL 인증서 설정 업데이트
microsoft.directory/applications/applicationProxyUrlSettings/update 애플리케이션 프록시에 대한 URL 설정 업데이트
microsoft.directory/applications/appRoles/update 모든 유형의 애플리케이션에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 애플리케이션의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 애플리케이션에서 인증 업데이트
microsoft.directory/applications/basic/update 애플리케이션의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 애플리케이션 자격 증명 업데이트
microsoft.directory/applications/extensionProperties/update 애플리케이션의 확장 속성 업데이트
microsoft.directory/applications/notes/update 애플리케이션의 메모 업데이트
microsoft.directory/applications/owners/update 애플리케이션 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 애플리케이션 정책 업데이트
microsoft.directory/applications/tag/update 애플리케이션의 태그 업데이트
microsoft.directory/applications/verification/update applicationsverification 속성 업데이트
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/connectors/create 애플리케이션 프록시 커넥터 만들기
microsoft.directory/connectors/allProperties/read 애플리케이션 프록시 커넥터의 모든 속성 읽기
microsoft.directory/connectorGroups/create 애플리케이션 프록시 커넥터 그룹 만들기
microsoft.directory/connectorGroups/delete 애플리케이션 프록시 커넥터 그룹 삭제
microsoft.directory/connectorGroups/allProperties/read 애플리케이션 프록시 커넥터 그룹의 모든 속성 읽기
microsoft.directory/connectorGroups/allProperties/update 애플리케이션 프록시 커넥터 그룹의 모든 속성 업데이트
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 사용자 지정 인증 확장을 만들고 관리합니다.
microsoft.directory/deletedItems.applications/delete 더 이상 복원할 수 없는 애플리케이션 영구 삭제
microsoft.directory/deletedItems.applications/restore 일시 삭제된 애플리케이션을 원래 상태로 복원
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/applicationPolicies/create 애플리케이션 정책 만들기
microsoft.directory/applicationPolicies/delete 애플리케이션 정책 삭제
microsoft.directory/applicationPolicies/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/applicationPolicies/owners/read 애플리케이션 정책의 소유자 읽기
microsoft.directory/applicationPolicies/policyAppliedTo/read 개체 목록에 적용된 애플리케이션 정책 읽기
microsoft.directory/applicationPolicies/basic/update 애플리케이션 정책의 표준 속성 업데이트
microsoft.directory/applicationPolicies/owners/update 애플리케이션 정책의 소유자 속성 업데이트
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 주체 삭제
microsoft.directory/servicePrincipals/disable 서비스 주체를 사용하지 않도록 설정
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 서비스 주체의 암호 Single Sign-On 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 애플리케이션 프로비저닝 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 애플리케이션 프로비저닝 동기화 작업을 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 애플리케이션 프로비저닝 동기화 작업 및 스키마 만들기 및 관리
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 서비스 주체의 암호 Single Sign-On 자격 증명 읽기
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Microsoft Graph에 대한 애플리케이션 권한을 제외하고 모든 사용자 또는 모든 사용자를 대신하여 애플리케이션 권한 및 위임된 권한에 대한 동의를 부여합니다.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/servicePrincipals/audience/update 서비스 주체의 대상 그룹 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 주체의 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 주체의 기본 속성 업데이트
microsoft.directory/servicePrincipals/credentials/update 서비스 주체의 자격 증명 업데이트
microsoft.directory/servicePrincipals/notes/update 서비스 주체의 메모 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 주체의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 주체의 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 주체의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 주체의 태그 속성 업데이트
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

애플리케이션 개발자

이 역할의 사용자는 "사용자가 애플리케이션을 등록할 수 있음" 설정이 아니오로 설정된 경우 애플리케이션 등록을 만들 수 있습니다. 또한 이 역할은 “사용자가 앱이 사용자 대신 회사 데이터에 액세스하는 것에 동의할 수 있음” 설정이 [아니요]로 설정된 경우 대신 동의할 수 있는 권한을 부여합니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록을 만들 때 소유자로 추가됩니다.

동작 설명
microsoft.directory/applications/createAsOwner 모든 유형의 애플리케이션 만들기. 작성자는 첫 번째 소유자로 추가됨
microsoft.directory/oAuth2PermissionGrants/createAsOwner OAuth 2.0 권한 부여 만들기. 작성자는 첫 번째 소유자가 됨
microsoft.directory/servicePrincipals/createAsOwner 서비스 주체 만들기. 작성자는 첫 번째 소유자가 됨

공격 페이로드 작성자

이 역할의 사용자는 공격 페이로드를 만들 수 있지만 실제로 시작하거나 예약할 수는 없습니다. 그러면 테넌트의 모든 관리자가 공격 페이로드를 사용하여 시뮬레이션을 만들 수 있습니다.

동작 설명
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기

공격 시뮬레이션 관리자

이 역할의 사용자는 공격 시뮬레이션 만들기, 시뮬레이션 시작/예약, 시뮬레이션 결과 검토의 모든 측면을 만들고 관리할 수 있습니다. 이 역할의 구성원은 테넌트의 모든 시뮬레이션에 액세스할 수 있습니다.

동작 설명
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 공격 시뮬레이터에서 공격 시뮬레이션 템플릿 만들기 및 관리

특성 할당 관리자

이 역할의 사용자는 사용자, 서비스 주체 및 디바이스와 같은 지원되는 Azure AD 개체에 대한 사용자 지정 보안 특성 키 및 값을 할당하고 제거할 수 있습니다.

기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.

자세한 내용은 Azure AD에서 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.

작업 설명
microsoft.directory/attributeSets/allProperties/read 특성 집합의 모든 속성 읽기
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 사용자 지정 보안 특성 정의의 모든 속성 읽기
microsoft.directory/devices/customSecurityAttributes/read 디바이스에 대한 사용자 지정 보안 특성 값 읽기
microsoft.directory/devices/customSecurityAttributes/update 디바이스에 대한 사용자 지정 보안 특성 값 업데이트
microsoft.directory/servicePrincipals/customSecurityAttributes/read 서비스 주체에 대한 사용자 지정 보안 특성 값 읽기
microsoft.directory/servicePrincipals/customSecurityAttributes/update 서비스 주체에 대한 사용자 지정 보안 특성 값 업데이트
microsoft.directory/users/customSecurityAttributes/read 사용자에 대한 사용자 지정 보안 특성 값 읽기
microsoft.directory/users/customSecurityAttributes/update 사용자에 대한 사용자 지정 보안 특성 값 업데이트

특성 할당 읽기 권한자

이 역할의 사용자는 지원되는 Azure AD 개체에 대한 사용자 지정 보안 특성 키 및 값을 읽을 수 있습니다.

기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.

자세한 내용은 Azure AD에서 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.

작업 설명
microsoft.directory/attributeSets/allProperties/read 특성 집합의 모든 속성 읽기
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 사용자 지정 보안 특성 정의의 모든 속성 읽기
microsoft.directory/devices/customSecurityAttributes/read 디바이스에 대한 사용자 지정 보안 특성 값 읽기
microsoft.directory/servicePrincipals/customSecurityAttributes/read 서비스 주체에 대한 사용자 지정 보안 특성 값 읽기
microsoft.directory/users/customSecurityAttributes/read 사용자에 대한 사용자 지정 보안 특성 값 읽기

특성 정의 관리자

이 역할의 사용자는 지원되는 Azure AD 개체에 할당할 수 있는 유효한 사용자 지정 보안 특성 집합을 정의할 수 있습니다. 이 역할은 사용자 지정 보안 특성을 활성화 및 비활성화할 수도 있습니다.

기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.

자세한 내용은 Azure AD에서 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.

작업 설명
microsoft.directory/attributeSets/allProperties/allTasks 특성 집합의 모든 측면 관리
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks 사용자 지정 보안 특성 정의의 모든 측면 관리

특성 정의 읽기 권한자

이 역할의 사용자는 사용자 지정 보안 특성의 정의를 읽을 수 있습니다.

기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.

자세한 내용은 Azure AD에서 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.

작업 설명
microsoft.directory/attributeSets/allProperties/read 특성 집합의 모든 속성 읽기
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 사용자 지정 보안 특성 정의의 모든 속성 읽기

인증 관리자

다음을 수행해야 하는 사용자에게 인증 관리자 역할을 할당합니다.

  • 관리자가 아닌 역할 및 일부 역할에 대한 인증 방법(암호 포함)을 설정하거나 다시 설정합니다. 인증 관리자가 인증 방법을 읽거나 업데이트할 수 있는 역할 목록은 암호를 다시 설정할 수 있는 사용자를 참조하세요.
  • 관리자가 아니거나 일부 역할에 할당된 사용자가 기존 비 암호 자격 증명(예: MFA 또는 FIDO)에 대해 다시 등록하도록 요구하고 디바이스에서 MFA를 취소할 수도 있습니다. 그러면 다음 로그인 시 MFA를 묻는 메시지가 표시됩니다.
  • 일부 사용자에 대해 중요한 작업을 수행합니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
  • Azure 및 Microsoft 365 관리 센터 지원 티켓을 만들고 관리합니다.

이 역할을 가진 사용자는 다음을 수행할 수 없습니다 .

  • 역할 할당 가능 그룹의 멤버 및 소유자에 대한 자격 증명을 변경하거나 MFA를 다시 설정할 수 없습니다.
  • 레거시 MFA 관리 포털 또는 하드웨어 OATH 토큰에서 MFA 설정을 관리할 수 없습니다. Set-MsolUser commandlet Azure AD PowerShell 모듈을 사용하여 동일한 기능을 수행할 수 있습니다.

다음 표에서는 이 역할의 기능을 관련 역할과 비교합니다.

역할 사용자의 인증 방법 관리 사용자별 MFA 관리 MFA 설정 관리 인증 방법 정책 관리 암호 보호 정책 관리 중요한 속성 업데이트 사용자 삭제 및 복원
인증 관리자 일부 사용자에 대해 예 일부 사용자에 대해 예 아니요 아니요 아니요 일부 사용자에 대해 예 일부 사용자에 대해 예
권한 있는 인증 관리자 모든 사용자에 대해 예 모든 사용자에 대해 예 아니요 아니요 아니요 모든 사용자에 대해 예 모든 사용자에 대해 예
인증 정책 관리자 아니요 아니요 Yes 아니요 아니요
사용자 관리자 아니요 아니요 아니요 아니요 아니요 일부 사용자에 대해 예 일부 사용자에 대해 예

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에서 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 자격 증명을 변경할 수 있습니다. 사용자의 자격 증명을 변경한다는 것은 사용자의 ID 및 사용 권한을 가정할 수 있음을 의미할 수 있습니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 인증 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 인증 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 365 보안 및 규정 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부에 있는 다른 서비스의 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
동작 설명
microsoft.directory/users/authenticationMethods/create 사용자에 대한 인증 방법 만들기
microsoft.directory/users/authenticationMethods/delete 사용자에 대한 인증 방법 삭제
microsoft.directory/users/authenticationMethods/standard/restrictedRead 사용자에 대한 개인 식별 정보를 포함하지 않는 인증 방법의 표준 속성 읽기
microsoft.directory/users/authenticationMethods/basic/update 사용자에 대한 인증 방법의 기본 속성 업데이트
microsoft.directory/deletedItems.users/restore 일시 삭제된 사용자를 원래 상태로 복원
microsoft.directory/users/delete 사용자 삭제
microsoft.directory/users/disable 사용자를 사용하지 않도록 설정
microsoft.directory/users/enable 사용자를 사용하도록 설정
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃
microsoft.directory/users/restore 삭제된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자의 관리자 업데이트
microsoft.directory/users/password/update 모든 사용자 암호 재설정
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

인증 정책 관리자

다음을 수행해야 하는 사용자에게 인증 정책 관리자 역할을 할당합니다.

  • 각 사용자가 등록하고 사용할 수 있는 방법을 결정하는 인증 방법 정책, 테넌트 전체 MFA 설정 및 암호 보호 정책을 구성합니다.
  • 암호 보호 설정 관리: 스마트 잠금 구성 및 사용자 지정 금지 암호 목록 업데이트
  • 확인 가능한 자격 증명을 만들고 관리합니다.
  • Azure 지원 티켓을 만들고 관리합니다.

이 역할을 가진 사용자는 다음을 수행할 수 없습니다 .

다음 표에서는 이 역할의 기능을 관련 역할과 비교합니다.

역할 사용자의 인증 방법 관리 사용자별 MFA 관리 MFA 설정 관리 인증 방법 정책 관리 암호 보호 정책 관리 중요한 속성 업데이트 사용자 삭제 및 복원
인증 관리자 일부 사용자에 대해 예 일부 사용자에 대해 예 아니요 아니요 아니요 일부 사용자에 대해 예 일부 사용자에 대해 예
권한 있는 인증 관리자 모든 사용자에 대해 예 모든 사용자에 대해 예 아니요 아니요 아니요 모든 사용자에 대해 예 모든 사용자에 대해 예
인증 정책 관리자 아니요 아니요 Yes 아니요 아니요
사용자 관리자 아니요 아니요 아니요 아니요 아니요 일부 사용자에 대해 예 일부 사용자에 대해 예
동작 설명
microsoft.directory/organization/strongAuthentication/allTasks 조직의 강력한 인증 속성의 모든 측면 관리
microsoft.directory/userCredentialPolicies/create 사용자에 대한 자격 증명 정책 만들기
microsoft.directory/userCredentialPolicies/delete 사용자에 대한 자격 증명 정책 삭제
microsoft.directory/userCredentialPolicies/standard/read 사용자에 대한 자격 증명 정책의 표준 속성 읽기
microsoft.directory/userCredentialPolicies/owners/read 사용자에 대한 자격 증명 정책의 소유자 읽기
microsoft.directory/userCredentialPolicies/policyAppliedTo/read policy.appliesTo 탐색 링크 읽기
microsoft.directory/userCredentialPolicies/basic/update 사용자에 대한 기본 정책 업데이트
microsoft.directory/userCredentialPolicies/owners/update 사용자에 대한 자격 증명 정책의 소유자 업데이트
microsoft.directory/userCredentialPolicies/tenantDefault/update policy.isOrganizationDefault 속성 업데이트
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 확인 가능한 자격 증명 카드읽기
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke 확인 가능한 자격 증명 카드 해지
microsoft.directory/verifiableCredentials/configuration/contracts/create 확인 가능한 자격 증명 계약 만들기
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 확인 가능한 자격 증명 계약 읽기
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 확인 가능한 자격 증명 계약 업데이트
microsoft.directory/verifiableCredentials/configuration/create 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 만들기
microsoft.directory/verifiableCredentials/configuration/delete 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성을 삭제하고 확인 가능한 자격 증명을 모두 삭제
microsoft.directory/verifiableCredentials/configuration/allProperties/read 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 읽기
microsoft.directory/verifiableCredentials/configuration/allProperties/update 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 업데이트
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리

Azure AD 조인 디바이스 로컬 관리자

이 역할은 디바이스 설정의 추가 로컬 관리자로서 할당을 위해서만 사용할 수 있습니다. 이 역할을 가진 사용자가 Azure Active Directory에 가입된 모든 Windows 10 디바이스에서 로컬 컴퓨터 관리자가 됩니다. Azure Active Directory의 디바이스 개체를 관리하는 기능은 없습니다.

동작 설명
microsoft.directory/groupSettings/standard/read 그룹 설정의 기본 속성 읽기
microsoft.directory/groupSettingTemplates/standard/read 그룹 설정 템플릿의 기본 속성 읽기

Azure DevOps 관리자

이 역할의 사용자는 Azure AD에서 지원하는 모든 Azure DevOps 조직에 적용 가능한 모든 엔터프라이즈 Azure DevOps 정책을 관리할 수 있습니다. 이 역할의 사용자는 회사의 Azure AD에서 지원하는 Azure DevOps 조직으로 이동하여 이러한 정책을 관리할 수 있습니다. 또한 이 역할의 사용자는 분리된 Azure DevOps 조직의 소유권을 클레임할 수 있습니다. 이 역할은 회사의 Azure AD 조직에서 지원하는 Azure DevOps 조직 내부에서 다른 Azure DevOps 관련 권한(예: 프로젝트 컬렉션 관리자)을 부여하지 않습니다.

작업 설명
microsoft.azure.devOps/allEntities/allTasks Azure DevOps 읽기 및 구성

Azure Information Protection 관리자

이 역할을 가진 사용자는 Azure Information Protection 서비스에 대한 모든 사용 권한을 갖습니다. 이 역할은 Azure Information Protection 정책에 대한 레이블을 구성하고, 보호 템플릿을 관리하고, 보호를 활성화하는 권한을 갖습니다. 이 역할은 ID 보호 센터, Privileged Identity Management, Microsoft 365 Service Health 또는 Office 365 보안 및 규정 준수 센터에서 어떤 권한도 부여하지 않습니다.

작업 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.azure.informationProtection/allEntities/allTasks Azure Information Protection의 모든 측면 관리
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

B2C IEF 키 세트 관리자

사용자는 토큰 암호화, 토큰 서명 및 클레임 암호화/암호 해독을 위한 정책 키와 비밀을 만들고 관리할 수 있습니다. 기존 키 컨테이너에 새 키를 추가하면 이 제한된 관리자는 기존 애플리케이션에 영향을 주지 않고 필요에 따라 비밀을 롤오버할 수 있습니다.  이 사용자는 이러한 비밀을 만든 후에도 비밀의 전체 콘텐츠와 만료 날짜를 볼 수 있습니다.

중요

이 역할은 중요한 역할입니다.  사전 프로덕션 및 프로덕션 단계에서 키 세트 관리자 역할을 신중하게 감사하고 할당해야 합니다.

동작 설명
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Azure Active Directory B2C에서 키 집합 읽기 및 구성

B2C IEF 정책 관리자

이 역할의 사용자는 Azure AD B2C에서 모든 사용자 지정 정책을 만들고, 읽고, 업데이트하고, 삭제할 수 있으므로 관련 Azure AD B2C 조직의 ID 환경 프레임워크를 완전히 제어할 수 있습니다. 이 사용자는 정책을 편집하여 외부 ID 공급자와의 직접 페더레이션을 설정하고, 디렉터리 스키마를 변경하고, 모든 사용자 관련 콘텐츠(HTML, CSS, JavaScript)를 변경하고, 인증을 완료하기 위한 요구 사항을 변경하고, 새 사용자를 만들고, 전체 마이그레이션을 포함하여 외부 시스템으로 사용자 데이터를 보내고, 암호 및 전화 번호와 같은 중요한 필드를 비롯한 모든 사용자 정보를 편집할 수 있습니다. 반면 이 역할은 암호화 키를 변경하거나 조직의 페더레이션에 사용되는 비밀을 편집할 수 없습니다.

중요

B2 IEF 정책 관리자는 매우 중요한 역할이므로 프로덕션 환경의 조직에 대해 매우 제한적으로 할당해야 합니다.  이러한 사용자의 활동을 면밀하게 감사해야 하며, 특히 프로덕션 조직이 그렇습니다.

동작 설명
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Azure Active Directory B2C에서 사용자 지정 정책 읽기 및 구성

대금 청구 관리자

구매, 구독 관리, 지원 티켓 관리 및 서비스 상태 모니터링을 수행할 수 있습니다.

동작 설명
microsoft.directory/organization/basic/update 조직의 기본 속성 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.commerce.billing/allEntities/allProperties/allTasks Office 365 청구의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Cloud App Security 관리자

이 역할의 사용자는 클라우드용 Defender 앱에서 모든 권한을 갖습니다. 관리자를 추가하고 클라우드용 Microsoft Defender 앱 정책과 설정을 추가하고 로그를 업로드하고 거버넌스 작업을 수행할 수 있습니다.

동작 설명
microsoft.directory/cloudAppSecurity/allProperties/allTasks 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

클라우드 애플리케이션 관리자

이 역할의 사용자는 애플리케이션 관리자 역할과 동일한 권한을 가집니다. 다만 애플리케이션 프록시를 관리하는 권한은 없습니다. 이 역할은 엔터프라이즈 애플리케이션 및 애플리케이션 등록의 모든 측면을 만들고 관리하는 기능을 부여합니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.

이 역할은 Microsoft Graph에 대한 애플리케이션 권한을 제외하고 위임된 권한 및 애플리케이션 권한에 동의하는 기능도 부여합니다.

중요

이 예외는 다른 앱(예: 타사 앱 또는 사용자가 등록한 앱)에 대한 애플리케이션 권한에는 동의할 수 있다는 뜻입니다. 여전히 앱을 등록할 때 이 권한을 요청할 수 있지만, 이 권한을 부여(즉, 동의)하려면 전역 관리자처럼 더 많은 권한이 있는 관리자여야 합니다.

이 역할은 애플리케이션 자격 증명을 관리하는 기능을 부여합니다. 이 역할이 할당된 사용자는 애플리케이션에 자격 증명을 추가하고 해당 자격 증명을 사용하여 애플리케이션의 ID를 가장할 수 있습니다. 애플리케이션의 ID에 사용자 또는 다른 개체를 만들거나 업데이트하는 기능과 같이 리소스에 대한 액세스 권한이 부여된 경우 이 역할에 할당된 사용자는 애플리케이션을 가장하는 동안 이러한 작업을 수행할 수 있습니다. 애플리케이션의 ID를 가장하는 이 기능은 본인의 역할 할당을 통해 사용자가 수행할 수 있는 권한 상승이 될 수 있습니다. 애플리케이션 관리자 역할에 사용자를 할당하면 애플리케이션의 ID를 가장하는 기능이 해당 사용자에게 부여된다는 점을 이해해야 합니다.

동작 Description
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Azure AD에서 관리자 동의 요청 정책 관리
microsoft.directory/appConsent/appConsentRequests/allProperties/read Azure AD에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기
microsoft.directory/applications/create 모든 유형의 애플리케이션 만들기
microsoft.directory/applications/delete 모든 유형의 애플리케이션 삭제
microsoft.directory/applications/appRoles/update 모든 유형의 애플리케이션에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 애플리케이션의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 애플리케이션에서 인증 업데이트
microsoft.directory/applications/basic/update 애플리케이션의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 애플리케이션 자격 증명 업데이트
microsoft.directory/applications/extensionProperties/update 애플리케이션의 확장 속성 업데이트
microsoft.directory/applications/notes/update 애플리케이션의 메모 업데이트
microsoft.directory/applications/owners/update 애플리케이션 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 애플리케이션 정책 업데이트
microsoft.directory/applications/tag/update 애플리케이션의 태그 업데이트
microsoft.directory/applications/verification/update applicationsverification 속성 업데이트
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/deletedItems.applications/delete 더 이상 복원할 수 없는 애플리케이션 영구 삭제
microsoft.directory/deletedItems.applications/restore 일시 삭제된 애플리케이션을 원래 상태로 복원
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/applicationPolicies/create 애플리케이션 정책 만들기
microsoft.directory/applicationPolicies/delete 애플리케이션 정책 삭제
microsoft.directory/applicationPolicies/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/applicationPolicies/owners/read 애플리케이션 정책의 소유자 읽기
microsoft.directory/applicationPolicies/policyAppliedTo/read 개체 목록에 적용된 애플리케이션 정책 읽기
microsoft.directory/applicationPolicies/basic/update 애플리케이션 정책의 표준 속성 업데이트
microsoft.directory/applicationPolicies/owners/update 애플리케이션 정책의 소유자 속성 업데이트
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 주체 삭제
microsoft.directory/servicePrincipals/disable 서비스 주체를 사용하지 않도록 설정
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 서비스 주체의 암호 Single Sign-On 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 애플리케이션 프로비저닝 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 애플리케이션 프로비저닝 동기화 작업을 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 애플리케이션 프로비저닝 동기화 작업 및 스키마 만들기 및 관리
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 서비스 주체의 암호 Single Sign-On 자격 증명 읽기
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Microsoft Graph에 대한 애플리케이션 권한을 제외하고 모든 사용자 또는 모든 사용자를 대신하여 애플리케이션 권한 및 위임된 권한에 대한 동의를 부여합니다.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/servicePrincipals/audience/update 서비스 주체의 대상 그룹 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 주체의 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 주체의 기본 속성 업데이트
microsoft.directory/servicePrincipals/credentials/update 서비스 주체의 자격 증명 업데이트
microsoft.directory/servicePrincipals/notes/update 서비스 주체의 메모 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 주체의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 주체의 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 주체의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 주체의 태그 속성 업데이트
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

클라우드 디바이스 관리자

이 역할의 사용자는 Azure AD에서 디바이스를 사용하고 사용하지 않도록 설정하며, 삭제하고, Azure Portal에서 Windows 10 BitLocker 키(있는 경우)를 읽을 수 있습니다. 역할은 디바이스에서 다른 속성을 관리하는 사용 권한을 부여하지 않습니다.

동작 설명
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/bitlockerKeys/key/read 디바이스의 bitlocker 메타데이터 및 키 읽기
microsoft.directory/deletedItems.devices/delete 더 이상 복원할 수 없는 디바이스를 영구적으로 삭제
microsoft.directory/deletedItems.devices/restore 일시 삭제된 디바이스를 원래 상태로 복원
microsoft.directory/devices/delete Azure AD에서 디바이스 삭제
microsoft.directory/devices/disable Azure AD에서 디바이스를 사용하지 않도록 설정
microsoft.directory/devices/enable Azure AD에서 디바이스를 사용하도록 설정
microsoft.directory/deviceManagementPolicies/standard/read 디바이스 관리 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/deviceManagementPolicies/basic/update 디바이스 관리 애플리케이션 정책의 기본 속성 업데이트
microsoft.directory/deviceRegistrationPolicy/standard/read 디바이스 등록 정책의 표준 속성 읽기
microsoft.directory/deviceRegistrationPolicy/basic/update 디바이스 등록 정책의 기본 속성 업데이트
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성

규정 준수 관리자

이 역할이 있는 사용자에게는 Microsoft Purview 규정 준수 포털, Microsoft 365 관리 센터, Azure, Office 365 보안 및 준수 센터에서 규정 준수 관련 기능을 관리할 권한이 있습니다. 또한 담당자는 Exchange 관리 센터와 Teams 및 비즈니스용 Skype 관리 센터 내의 모든 기능을 관리하고, Azure 및 Microsoft 365에 대한 지원 티켓을 만들 수 있습니다. 자세한 내용은 Microsoft 365 관리자 역할 정보를 참조하세요.

그런 다음 가능한 작업
Microsoft Purview 규정 준수 포털 Microsoft 365 서비스 전반에 걸쳐 조직의 데이터 보호 및 관리
규정 준수 경고 관리
준수 관리자 조직의 규정 준수 활동 추적, 할당, 확인
Office 365 보안 및 규정 준수 센터 데이터 거버넌스 관리
법적 조사/데이터 조사 수행
데이터 주체 요청 관리

이 역할은 Office 365 보안 및 규정 준수 센터 역할 기반 액세스 제어의 규정 준수 관리자 역할 그룹과 동일한 권한을 갖습니다.
Intune 모든 Intune 감사 데이터 확인
Microsoft Defender for Cloud 앱 읽기 전용 권한 소유/경고를 관리할 수 있음
파일 정책을 생성/수정하고 파일 거버넌스 작업을 허용할 수 있음
데이터 관리에서 모든 기본 제공 보고서를 확인할 수 있음
동작 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.directory/entitlementManagement/allProperties/read Azure AD 권한 관리에서 모든 속성 읽기
microsoft.office365.complianceManager/allEntities/allTasks Office 365 준수 관리자의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

규정 준수 데이터 관리자

이 역할이 있는 사용자는 Microsoft Purview 규정 준수 포털, Microsoft 365 관리 센터, Azure에서 데이터를 추적할 수 있는 권한이 있습니다. 또한 사용자는 Exchange 관리 센터, 준수 관리자, Teams 및 비즈니스용 Skype 관리 센터 내에서 규정 준수 데이터를 추적하고, Azure 및 Microsoft 365에 대한 지원 티켓을 만들 수 있습니다. 이 설명서에서는 규정 준수 관리자와 규정 준수 데이터 관리자의 차이점에 대해 자세히 설명합니다.

그런 다음 가능한 작업
Microsoft Purview 규정 준수 포털 Microsoft 365 서비스 전반의 규정 준수 관련 정책 모니터링
규정 준수 경고 관리
준수 관리자 조직의 규정 준수 활동 추적, 할당, 확인
Office 365 보안 및 규정 준수 센터 데이터 거버넌스 관리
법적 조사/데이터 조사 수행
데이터 주체 요청 관리

이 역할은 Office 365 보안 및 규정 준수 센터 역할 기반 액세스 제어의 규정 준수 데이터 관리자 역할 그룹과 동일한 권한을 갖습니다.
Intune 모든 Intune 감사 데이터 확인
Microsoft Defender for Cloud 앱 읽기 전용 권한 소유/경고를 관리할 수 있음
파일 정책을 생성/수정하고 파일 거버넌스 작업을 허용할 수 있음
데이터 관리에서 모든 기본 제공 보고서를 확인할 수 있음
동작 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/cloudAppSecurity/allProperties/allTasks 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.azure.informationProtection/allEntities/allTasks Azure Information Protection의 모든 측면 관리
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.complianceManager/allEntities/allTasks Office 365 준수 관리자의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

조건부 액세스 관리자

이 역할을 가진 사용자는 Azure Active Directory 조건부 액세스 설정을 관리할 수 있습니다.

동작 Description
microsoft.directory/namedLocations/create 네트워크 위치를 정의하는 사용자 지정 규칙 만들기
microsoft.directory/namedLocations/delete 네트워크 위치를 정의하는 사용자 지정 규칙 삭제
microsoft.directory/namedLocations/standard/read 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기
microsoft.directory/namedLocations/basic/update 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 업데이트
microsoft.directory/conditionalAccessPolicies/create 조건부 액세스 정책 만들기
microsoft.directory/conditionalAccessPolicies/delete 조건부 액세스 정책 삭제
microsoft.directory/conditionalAccessPolicies/standard/read 정책에 대한 조건부 액세스 읽기
microsoft.directory/conditionalAccessPolicies/owners/read 조건부 액세스 정책 소유자 읽기
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 조건부 액세스 정책에 대한 "적용 대상" 속성 읽기
microsoft.directory/conditionalAccessPolicies/basic/update 조건부 액세스 정책의 기본 속성 업데이트
microsoft.directory/conditionalAccessPolicies/owners/update 조건부 액세스 정책에 대한 소유자 업데이트
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 조건부 액세스 정책에 대한 기본 테넌트 업데이트

고객 LockBox 액세스 승인자

조직에서 고객 Lockbox 요청을 관리합니다. 이러한 고객 Lockbox 요청에 대한 이메일 알림을 수신하고 Microsoft 365 관리 센터에서 요청을 승인 및 거부할 수 있습니다. 고객 Lockbox 기능을 켜거나 끌 수도 있습니다. 전역 관리자만이 이 역할에 할당된 사용자의 암호를 다시 설정할 수 있습니다.

동작 설명
microsoft.office365.lockbox/allEntities/allTasks 고객 Lockbox의 모든 측면 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

데스크톱 분석 관리자

이 역할의 사용자는 Desktop Analytics 서비스를 관리할 수 있습니다. 여기에는 자산 인벤토리를 확인하고, 배포 계획을 만들고, 배포 및 상태를 볼 수 있는 기능이 포함됩니다.

동작 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.desktopAnalytics/allEntities/allTasks 데스크톱 분석의 모든 측면 관리

디렉터리 읽기 권한자

이 역할의 사용자는 기본 디렉터리 정보를 읽을 수 있습니다. 이 역할은 다음 용도로 사용해야 합니다.

  • 모든 게스트 사용자가 아닌 특정 게스트 사용자에게만 읽기 권한을 부여합니다.
  • "Azure AD 포털에 대한 액세스 권한을 관리자로만 제한"이 "예"로 설정된 경우 관리자가 아닌 특정 사용자에게 Azure Portal에 대한 액세스 권한을 부여합니다.
  • Directory.Read.All을 사용할 수 없는 디렉터리에 대한 액세스 권한을 서비스 주체에게 부여합니다.
동작 설명
microsoft.directory/administrativeUnits/standard/read 관리 단위의 기본 속성 읽기
microsoft.directory/administrativeUnits/members/read 관리 단위의 구성원 읽기
microsoft.directory/applications/standard/read 애플리케이션의 표준 속성 읽기
microsoft.directory/applications/owners/read 애플리케이션 소유자 읽기
microsoft.directory/applications/policies/read 애플리케이션 정책 읽기
microsoft.directory/contacts/standard/read Azure AD에서 연락처의 표준 속성 읽기
microsoft.directory/contacts/memberOf/read Azure AD의 모든 연락처에 대한 그룹 멤버 자격 읽기
microsoft.directory/contracts/standard/read 파트너 계약의 기본 속성 읽기
microsoft.directory/devices/standard/read 디바이스의 기본 속성 읽기
microsoft.directory/devices/memberOf/read 디바이스 멤버 자격 읽기
microsoft.directory/devices/registeredOwners/read 등록된 디바이스 소유자 읽기
microsoft.directory/devices/registeredUsers/read 등록된 디바이스 사용자 읽기
microsoft.directory/directoryRoles/standard/read Azure AD 역할의 기본 속성 읽기
microsoft.directory/directoryRoles/eligibleMembers/read Azure AD 역할의 적격 구성원 읽기
microsoft.directory/directoryRoles/members/read Azure AD 역할의 모든 구성원 읽기
microsoft.directory/domains/standard/read 도메인의 기본 속성 읽기
microsoft.directory/groups/standard/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 표준 속성 읽기
microsoft.directory/groups/appRoleAssignments/read 그룹의 애플리케이션 역할 할당 읽기
microsoft.directory/groups/memberOf/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 memberOf 속성 읽기
microsoft.directory/groups/members/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 구성원 읽기
microsoft.directory/groups/owners/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 소유자 읽기
microsoft.directory/groups/settings/read 그룹 설정 읽기
microsoft.directory/groupSettings/standard/read 그룹 설정의 기본 속성 읽기
microsoft.directory/groupSettingTemplates/standard/read 그룹 설정 템플릿의 기본 속성 읽기
microsoft.directory/oAuth2PermissionGrants/standard/read OAuth 2.0 권한 부여의 기본 속성 읽기
microsoft.directory/organization/standard/read 조직의 기본 속성 읽기
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read 암호 없는 인증에 대한 신뢰할 수 있는 인증 기관 읽기
microsoft.directory/applicationPolicies/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/roleAssignments/standard/read 역할 할당의 기본 속성 읽기
microsoft.directory/roleDefinitions/standard/read 역할 정의의 기본 속성 읽기
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 서비스 주체 역할 할당 읽기
microsoft.directory/servicePrincipals/appRoleAssignments/read 서비스 주체에 할당된 역할 할당 읽기
microsoft.directory/servicePrincipals/standard/read 서비스 주체의 기본 속성 읽기
microsoft.directory/servicePrincipals/memberOf/read 서비스 주체의 그룹 멤버 자격 읽기
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 서비스 주체의 위임된 권한 부여 읽기
microsoft.directory/servicePrincipals/owners/read 서비스 주체의 소유자 읽기
microsoft.directory/servicePrincipals/ownedObjects/read 서비스 주체 소유의 개체 읽기
microsoft.directory/servicePrincipals/policies/read 서비스 주체의 정책 읽기
microsoft.directory/subscribedSkus/standard/read 구독의 기본 속성 읽기
microsoft.directory/users/standard/read 사용자의 기본 속성 읽기
microsoft.directory/users/appRoleAssignments/read 사용자의 애플리케이션 역할 할당 읽기
microsoft.directory/users/deviceForResourceAccount/read 사용자의 deviceForResourceAccount 읽기
microsoft.directory/users/directReports/read 사용자에 대한 직접 보고서 읽기
microsoft.directory/users/licenseDetails/read 사용자의 라이선스 세부 정보 읽기
microsoft.directory/users/manager/read 사용자의 관리자 읽기
microsoft.directory/users/memberOf/read 사용자의 그룹 멤버 자격 읽기
microsoft.directory/users/oAuth2PermissionGrants/read 사용자에게 위임된 권한 부여 읽기
microsoft.directory/users/ownedDevices/read 사용자 소유의 디바이스 읽기
microsoft.directory/users/ownedObjects/read 사용자 소유의 개체 읽기
microsoft.directory/users/photo/read 사용자 사진 읽기
microsoft.directory/users/registeredDevices/read 등록된 사용자 디바이스 읽기
microsoft.directory/users/scopedRoleMemberOf/read 관리 단위로 범위가 한정된 Azure AD 역할의 사용자 멤버 자격 읽기

디렉터리 동기화 계정

사용하지 마십시오. 이 역할은 Azure AD Connect 서비스에 자동으로 할당되고 다른 사용에 적합하거나 지원되지 않습니다.

동작 설명
microsoft.directory/applications/create 모든 유형의 애플리케이션 만들기
microsoft.directory/applications/delete 모든 유형의 애플리케이션 삭제
microsoft.directory/applications/appRoles/update 모든 유형의 애플리케이션에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 애플리케이션의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 애플리케이션에서 인증 업데이트
microsoft.directory/applications/basic/update 애플리케이션의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 애플리케이션 자격 증명 업데이트
microsoft.directory/applications/notes/update 애플리케이션의 메모 업데이트
microsoft.directory/applications/owners/update 애플리케이션 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 애플리케이션 정책 업데이트
microsoft.directory/applications/tag/update 애플리케이션의 태그 업데이트
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Azure AD에서 하이브리드 인증 정책을 관리합니다.
microsoft.directory/organization/dirSync/update 조직 디렉터리 동기화 속성 업데이트
microsoft.directory/passwordHashSync/allProperties/allTasks Azure AD에서 PHS(암호 해시 동기화)의 모든 측면 관리
microsoft.directory/policies/create Azure AD에서 정책 만들기
microsoft.directory/policies/delete Azure AD에서 정책 삭제
microsoft.directory/policies/standard/read 정책의 기본 속성 읽기
microsoft.directory/policies/owners/read 정책의 소유자 읽기
microsoft.directory/policies/policyAppliedTo/read policies.policyAppliedTo 속성 읽기
microsoft.directory/policies/basic/update 정책의 기본 속성 업데이트
microsoft.directory/policies/owners/update 정책의 소유자 업데이트
microsoft.directory/policies/tenantDefault/update 기본 조직 정책 업데이트
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 주체 삭제
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/disable 서비스 주체를 사용하지 않도록 설정
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 서비스 주체의 암호 Single Sign-On 자격 증명 관리
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 서비스 주체의 암호 Single Sign-On 자격 증명 읽기
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 서비스 주체 역할 할당 읽기
microsoft.directory/servicePrincipals/appRoleAssignments/read 서비스 주체에 할당된 역할 할당 읽기
microsoft.directory/servicePrincipals/standard/read 서비스 주체의 기본 속성 읽기
microsoft.directory/servicePrincipals/memberOf/read 서비스 주체의 그룹 멤버 자격 읽기
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 서비스 주체의 위임된 권한 부여 읽기
microsoft.directory/servicePrincipals/owners/read 서비스 주체의 소유자 읽기
microsoft.directory/servicePrincipals/ownedObjects/read 서비스 주체 소유의 개체 읽기
microsoft.directory/servicePrincipals/policies/read 서비스 주체의 정책 읽기
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/servicePrincipals/audience/update 서비스 주체의 대상 그룹 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 주체의 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 주체의 기본 속성 업데이트
microsoft.directory/servicePrincipals/credentials/update 서비스 주체의 자격 증명 업데이트
microsoft.directory/servicePrincipals/notes/update 서비스 주체의 메모 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 주체의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 주체의 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 주체의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 주체의 태그 속성 업데이트

디렉터리 작성자

이 역할의 사용자는 사용자, 그룹 및 서비스 주체의 기본 정보를 읽고 업데이트할 수 있습니다.

동작 설명
microsoft.directory/applications/extensionProperties/update 애플리케이션의 확장 속성 업데이트
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/groups/assignLicense 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기
microsoft.directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스의 라이선스 할당 다시 처리
microsoft.directory/groups/basic/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 기본 속성 업데이트
microsoft.directory/groups/classification/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 분류 속성 업데이트
microsoft.directory/groups/dynamicMembershipRule/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 동적 멤버 관리 규칙 업데이트
microsoft.directory/groups/groupType/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 그룹 유형에 영향을 주는 속성 업데이트
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups/onPremWriteBack/update Azure AD Connect를 사용하여 온-프레미스에 다시 쓸 Azure Active Directory 그룹 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트
microsoft.directory/groups/settings/update 그룹 설정 업데이트
microsoft.directory/groups/visibility/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 가시성 속성 업데이트
microsoft.directory/groupSettings/create 그룹 설정 만들기
microsoft.directory/groupSettings/delete 그룹 설정 삭제
microsoft.directory/groupSettings/basic/update 그룹 설정의 기본 속성 업데이트
microsoft.directory/oAuth2PermissionGrants/create OAuth 2.0 권한 부여 만들기
microsoft.directory/oAuth2PermissionGrants/basic/update OAuth 2.0 권한 부여 업데이트
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 애플리케이션 프로비저닝 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 애플리케이션 프로비저닝 동기화 작업을 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 애플리케이션 프로비저닝 동기화 작업 및 스키마 만들기 및 관리
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft.directory/users/disable 사용자를 사용하지 않도록 설정
microsoft.directory/users/enable 사용자를 사용하도록 설정
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃
microsoft.directory/users/inviteGuest 게스트 사용자 초대
microsoft.directory/users/reprocessLicenseAssignment 사용자에 대한 라이선스 할당 다시 처리
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자의 관리자 업데이트
microsoft.directory/users/photo/update 사용자 사진 업데이트
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트

도메인 이름 관리자

이 역할을 가진 사용자는 도메인 이름을 관리(읽기, 추가, 확인, 업데이트, 삭제)할 수 있습니다. 뿐만 아니라 사용자, 그룹 및 애플리케이션에 대한 디렉터리 정보를 읽을 수도 있습니다. 이러한 개체는 도메인 종속성을 갖고 있기 때문입니다. 온-프레미스 환경의 경우, 해당 역할을 가진 사용자는 연결된 사용자가 항상 온-프레미스에서 인증되도록 페더레이션을 위한 도메인 이름을 구성할 수 있습니다. 해당 사용자는 Single Sign-On을 통해 온-프레미스 암호를 사용하여 Azure AD 기반 서비스에 로그인할 수 있습니다. 페더레이션 설정은 Azure AD Connect를 통해 동기화해야 하므로 사용자는 Azure AD Connect를 관리할 수 있는 권한도 있습니다.

동작 설명
microsoft.directory/domains/allProperties/allTasks 도메인 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Dynamics 365 Administrator

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Dynamics 365 Online 내에서 글로벌 사용 권한을 가질 뿐만 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 서비스 관리자 역할을 사용하여 Azure AD 조직 관리를 참조하세요.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Dynamics 365 서비스 관리자"로 식별됩니다. 이는 Azure Portal에서 "Dynamics 365 관리자"입니다.

작업 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.dynamics365/allEntities/allTasks Dynamics 365의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Edge 관리자

이 역할의 사용자는 Microsoft Edge에서 Internet Explorer 모드에 필요한 엔터프라이즈 사이트 목록을 만들고 관리할 수 있습니다. 이 역할은 사이트 목록을 만들고, 편집하고, 게시할 수 있는 권한을 부여하고, 추가적으로 지원 티켓을 관리할 수 있는 액세스 권한을 허용합니다. 자세히 알아보기

동작 설명
microsoft.edge/allEntities/allProperties/allTasks Microsoft Edge의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Exchange 관리자

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Exchange Online 내에서 글로벌 사용 권한을 갖습니다. 또한 모든 Microsoft 365 그룹을 만들고 관리하고, 지원 티켓을 관리하고, 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 Microsoft 365 관리자 역할 정보를 참조하세요.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Exchange 서비스 관리자"로 식별됩니다. 이는 Azure Portal에서 "Exchange 관리자"입니다. Exchange 관리 센터의 "Exchange Online 관리자"입니다.

동작 설명
microsoft.directory/groups/hiddenMembers/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기
microsoft.directory/groups.unified/create 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기
microsoft.directory/groups.unified/delete 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제
microsoft.directory/groups.unified/restore 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원
microsoft.directory/groups.unified/basic/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트
microsoft.directory/groups.unified/members/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups.unified/owners/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.exchange/allEntities/basic/allTasks Exchange Online의 모든 측면 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Exchange 수신자 관리자

이 역할을 가진 사용자는 받는 사람에 대한 읽기 권한과 Exchange Online에서 해당 받는 사람의 특성에 대한 쓰기 권한을 갖습니다. 자세한 내용은 Exchange 수신자를 참조하세요.

동작 Description
microsoft.office365.exchange/recipients/allProperties/allTasks Exchange Online에서 모든 받는 사람을 생성 및 삭제하고, 받는 사람의 모든 속성을 읽고 업데이트합니다.
microsoft.office365.exchange/migration/allProperties/allTasks Exchange Online에서 받는 사람 마이그레이션과 관련한 모든 작업을 관리합니다.

외부 ID 사용자 흐름 관리자

이 역할이 할당된 사용자는 Azure Portal에서 사용자 흐름("기본 제공" 정책이라고도 함)을 만들고 관리할 수 있습니다. 이러한 사용자는 HTML/CSS/JavaScript 콘텐츠를 사용자 지정하고, MFA 요구 사항을 변경하고, 토큰에서 클레임을 선택하고, API 커넥터 및 해당 자격 증명을 관리하고, Azure AD 조직의 모든 사용자 흐름에 대한 세션 설정을 구성할 수 있습니다. 반면 이 역할은 사용자 데이터를 검토하거나 조직 스키마에 포함된 특성을 변경할 수 없습니다. Identity Experience Framework(사용자 지정 정책이라고도 함) 정책을 변경하는 것도 이 역할의 범위를 벗어납니다.

동작 설명
microsoft.directory/b2cUserFlow/allProperties/allTasks Azure Active Directory B2C에서 사용자 흐름 읽기 및 구성

외부 ID 사용자 흐름 특성 관리자

이 역할의 사용자는 Azure AD 조직의 모든 사용자 흐름에서 사용할 수 있는 사용자 지정 특성을 추가 또는 삭제할 수 있습니다.  따라서 이 역할의 사용자는 새 요소를 변경하거나 최종 사용자 스키마에 추가하고 모든 사용자 흐름의 동작에 영향을 줄 수 있으며, 이로 인해 최종 사용자에게 요청하여 결국 애플리케이션에 대한 클레임으로 전송되는 데이터를 간접적으로 변경할 수 있습니다.  이 역할은 사용자 흐름을 편집할 수 없습니다.

동작 설명
microsoft.directory/b2cUserAttribute/allProperties/allTasks Azure Active Directory B2C에서 사용자 특성 읽기 및 구성

외부 ID 공급자 관리자

이 관리자는 Azure AD 조직과 외부 ID 공급자 간의 페더레이션을 관리합니다.  이 역할의 사용자는 새 ID 공급자를 추가하고 사용 가능한 모든 설정(예: 인증 경로, 서비스 ID, 할당된 키 컨테이너)을 구성할 수 있습니다.  이 사용자는 Azure AD 조직이 외부 ID 공급자의 인증을 신뢰할 수 있게 해줍니다.  최종 사용자 환경에 미치는 영향은 조직의 유형에 따라 달라집니다.

  • 직원 및 파트너를 위한 Azure AD 조직: 페더레이션을 추가하면(예: Gmail을 사용하여) 아직 사용되지 않은 모든 게스트 초대에 즉시 영향을 줍니다. Google을 B2B 게스트 사용자에 대한 ID 공급자로 추가를 참조하세요.
  • Azure Active Directory B2C 조직: 페더레이션을 추가해도(예: Facebook 또는 다른 Azure AD 조직을 사용하여) 사용자 흐름(기본 제공 정책이라고도 함)에서 ID 공급자를 옵션으로 추가하기 전에는 최종 사용자 흐름에 즉시 영향을 주지 않습니다. 관련 예제는 Microsoft 계정을 ID 공급자로 구성을 참조하세요.  사용자 흐름을 변경하려면 "B2C 사용자 흐름 관리자"의 제한된 역할이 필요합니다.
동작 Description
microsoft.directory/domains/federation/update 도메인의 페더레이션 속성 업데이트
microsoft.directory/identityProviders/allProperties/allTasks Azure Active Directory B2C에서 ID 공급자 읽기 및 구성

전역 관리자

이 역할의 사용자는 Azure Active Directory의 모든 관리 기능과 Microsoft 365 Defender, 포털, Microsoft Purview 규정 준수 포털, Exchange Online, SharePoint Online, 비즈니스용 Skype Online과 같은 Azure Active Directory ID를 사용하는 서비스에 액세스할 수 있습니다. 뿐만 아니라 전역 관리자는 모든 Azure 구독 및 관리 그룹을 관리하기 위해 액세스 권한을 승격할 수 있습니다. 이렇게 하면 전역 관리자가 각 Azure AD 테넌트를 사용하여 모든 Azure 리소스에 대한 전체 액세스 권한을 얻을 수 있습니다. Azure AD 조직에 가입하는 사람은 전역 관리자가 됩니다. 회사에 여러 전역 관리자가 있을 수 있습니다. 전역 관리자는 모든 사용자 및 모든 다른 관리자의 암호를 다시 설정할 수 있습니다.

참고

모범 사례에 따라 조직 내에서 5명 미만의 사람에게만 전역 관리자 역할을 할당하는 것이 좋습니다. 자세한 내용은 Azure AD 역할에 대한 모범 사례를 참조하세요.

동작 설명
microsoft.directory/accessReviews/allProperties/allTasks (사용되지 않음) Azure AD에서 액세스 검토 작성 및 삭제, 액세스 검토의 모든 속성 업데이트 및 그룹의 액세스 검토 관리
microsoft.directory/accessReviews/definitions/allProperties/allTasks Azure AD에서 검토 가능한 모든 리소스에 대한 액세스 검토 관리
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Azure AD에서 관리자 동의 요청 정책 관리
microsoft.directory/administrativeUnits/allProperties/allTasks 관리 단위(구성원 포함)를 만들고 관리합니다.
microsoft.directory/appConsent/appConsentRequests/allProperties/read Azure AD에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기
microsoft.directory/applications/allProperties/allTasks 애플리케이션 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/users/authenticationMethods/create 사용자에 대한 인증 방법 만들기
microsoft.directory/users/authenticationMethods/delete 사용자에 대한 인증 방법 삭제
microsoft.directory/users/authenticationMethods/standard/read 사용자에 대한 인증 방법의 표준 속성 읽기
microsoft.directory/users/authenticationMethods/basic/update 사용자에 대한 인증 방법의 기본 속성 업데이트
microsoft.directory/authorizationPolicy/allProperties/allTasks 권한 부여 정책의 모든 측면 관리
microsoft.directory/bitlockerKeys/key/read 디바이스의 bitlocker 메타데이터 및 키 읽기
microsoft.directory/cloudAppSecurity/allProperties/allTasks 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.directory/connectors/create 애플리케이션 프록시 커넥터 만들기
microsoft.directory/connectors/allProperties/read 애플리케이션 프록시 커넥터의 모든 속성 읽기
microsoft.directory/connectorGroups/create 애플리케이션 프록시 커넥터 그룹 만들기
microsoft.directory/connectorGroups/delete 애플리케이션 프록시 커넥터 그룹 삭제
microsoft.directory/connectorGroups/allProperties/read 애플리케이션 프록시 커넥터 그룹의 모든 속성 읽기
microsoft.directory/connectorGroups/allProperties/update 애플리케이션 프록시 커넥터 그룹의 모든 속성 업데이트
microsoft.directory/contacts/allProperties/allTasks 연락처 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/contracts/allProperties/allTasks 파트너 계약 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 사용자 지정 인증 확장을 만들고 관리합니다.
microsoft.directory/deletedItems/delete 더 이상 복원할 수 없는 개체 영구 삭제
microsoft.directory/deletedItems/restore 일시 삭제된 개체를 원래 상태로 복원
microsoft.directory/devices/allProperties/allTasks 디바이스 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/namedLocations/create 네트워크 위치를 정의하는 사용자 지정 규칙 만들기
microsoft.directory/namedLocations/delete 네트워크 위치를 정의하는 사용자 지정 규칙 삭제
microsoft.directory/namedLocations/standard/read 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기
microsoft.directory/namedLocations/basic/update 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 업데이트
microsoft.directory/deviceManagementPolicies/standard/read 디바이스 관리 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/deviceManagementPolicies/basic/update 디바이스 관리 애플리케이션 정책의 기본 속성 업데이트
microsoft.directory/deviceRegistrationPolicy/standard/read 디바이스 등록 정책의 표준 속성 읽기
microsoft.directory/deviceRegistrationPolicy/basic/update 디바이스 등록 정책의 기본 속성 업데이트
microsoft.directory/directoryRoles/allProperties/allTasks 디렉터리 역할 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Azure AD 역할 템플릿 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/domains/allProperties/allTasks 도메인 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/entitlementManagement/allProperties/allTasks Azure AD 권한 관리에서 리소스 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/groups/allProperties/allTasks 그룹 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/groupsAssignableToRoles/create 역할 할당 가능 그룹 만들기
microsoft.directory/groupsAssignableToRoles/delete 역할 할당 가능 그룹 삭제
microsoft.directory/groupsAssignableToRoles/restore 역할 할당 가능 그룹 복원
microsoft.directory/groupsAssignableToRoles/allProperties/update 역할 할당 가능 그룹 업데이트
microsoft.directory/groupSettings/allProperties/allTasks 그룹 설정 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/groupSettingTemplates/allProperties/allTasks 그룹 설정 템플릿 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Azure AD에서 하이브리드 인증 정책을 관리합니다.
microsoft.directory/identityProtection/allProperties/allTasks Azure AD Identity Protection에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.directory/loginOrganizationBranding/allProperties/allTasks loginTenantBranding 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/organization/allProperties/allTasks 조직의 모든 속성 읽기 및 업데이트
microsoft.directory/passwordHashSync/allProperties/allTasks Azure AD에서 PHS(암호 해시 동기화)의 모든 측면 관리
microsoft.directory/policies/allProperties/allTasks 정책 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks 조건부 액세스 정책의 모든 속성 관리
microsoft.directory/crossTenantAccessPolicy/standard/read 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 테넌트 간 액세스 정책의 허용된 클라우드 엔드포인트 업데이트
microsoft.directory/crossTenantAccessPolicy/basic/update 테넌트 간 액세스 정책의 기본 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/standard/read 기본 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 기본 테넌트 간 액세스 정책의 Azure AD B2B 협업 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update 기본 테넌트 간 액세스 정책의 Azure AD B2B 직접 연결 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 기본 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 기본 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/create 파트너에 대한 테넌트 간 액세스 정책 만들기
microsoft.directory/crossTenantAccessPolicy/partners/delete 파트너에 대한 테넌트 간 액세스 정책 삭제
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 파트너에 대한 테넌트 간 액세스 정책의 Azure AD B2B 협업 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update 파트너에 대한 테넌트 간 액세스 정책의 Azure AD B2B 직접 연결 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 파트너에 대한 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 파트너에 대한 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트
microsoft.directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management에서 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/roleAssignments/allProperties/allTasks 역할 할당 만들기 및 삭제, 모든 역할 할당 속성 읽기 및 업데이트
microsoft.directory/roleDefinitions/allProperties/allTasks 역할 정의 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/scopedRoleMemberships/allProperties/allTasks scopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/serviceAction/activateService 서비스에 대해 "서비스 활성화" 작업 수행 가능
microsoft.directory/serviceAction/disableDirectoryFeature "디렉터리 기능 사용 안 함" 서비스 작업 수행 가능
microsoft.directory/serviceAction/enableDirectoryFeature "디렉터리 기능 사용" 서비스 작업 수행 가능
microsoft.directory/serviceAction/getAvailableExtentionProperties Getavailableextentionproperties 서비스 작업 수행 가능
microsoft.directory/servicePrincipals/allProperties/allTasks 서비스 주체 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 애플리케이션에 대한 권한 부여 동의
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.directory/subscribedSkus/allProperties/allTasks 구독 구입, 관리 및 삭제
microsoft.directory/users/allProperties/allTasks 사용자 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/permissionGrantPolicies/create 권한 부여 정책 만들기
microsoft.directory/permissionGrantPolicies/delete 권한 부여 정책 삭제
microsoft.directory/permissionGrantPolicies/standard/read 권한 부여 정책의 표준 속성 읽기
microsoft.directory/permissionGrantPolicies/basic/update 권한 부여 정책의 기본 속성 업데이트
microsoft.directory/servicePrincipalCreationPolicies/create 서비스 주체 만들기 정책 만들기
microsoft.directory/servicePrincipalCreationPolicies/delete 서비스 주체 만들기 정책 삭제
microsoft.directory/servicePrincipalCreationPolicies/standard/read 서비스 주체 만들기 정책의 표준 속성 읽기
microsoft.directory/servicePrincipalCreationPolicies/basic/update 서비스 주체 만들기 정책의 기본 속성 업데이트
microsoft.directory/tenantManagement/tenants/create Azure Active Directory에서 새 테넌트 만들기
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 확인 가능한 자격 증명 카드읽기
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke 확인 가능한 자격 증명 카드 해지
microsoft.directory/verifiableCredentials/configuration/contracts/create 확인 가능한 자격 증명 계약 만들기
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 확인 가능한 자격 증명 계약 읽기
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 확인 가능한 자격 증명 계약 업데이트
microsoft.directory/verifiableCredentials/configuration/create 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 만들기
microsoft.directory/verifiableCredentials/configuration/delete 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성을 삭제하고 확인 가능한 자격 증명을 모두 삭제
microsoft.directory/verifiableCredentials/configuration/allProperties/read 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 읽기
microsoft.directory/verifiableCredentials/configuration/allProperties/update 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 업데이트
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Azure AD 수명 주기 워크플로 및 작업의 모든 측면 관리
microsoft.azure.advancedThreatProtection/allEntities/allTasks Azure Advanced Threat Protection의 모든 측면 관리
microsoft.azure.informationProtection/allEntities/allTasks Azure Information Protection의 모든 측면 관리
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.cloudPC/allEntities/allProperties/allTasks Windows 365의 모든 측면 관리
microsoft.commerce.billing/allEntities/allProperties/allTasks Office 365 청구의 모든 측면 관리
microsoft.dynamics365/allEntities/allTasks Dynamics 365의 모든 측면 관리
microsoft.edge/allEntities/allProperties/allTasks Microsoft Edge의 모든 측면 관리
microsoft.flow/allEntities/allTasks Microsoft Power Automate의 모든 측면 관리
microsoft.insights/allEntities/allProperties/allTasks Insights 앱의 모든 측면 관리
microsoft.intune/allEntities/allTasks Microsoft Intune의 모든 측면 관리
microsoft.office365.complianceManager/allEntities/allTasks Office 365 준수 관리자의 모든 측면 관리
microsoft.office365.desktopAnalytics/allEntities/allTasks 데스크톱 분석의 모든 측면 관리
microsoft.office365.exchange/allEntities/basic/allTasks Exchange Online의 모든 측면 관리
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Microsoft 365 관리 센터에서 콘텐츠 이해의 모든 속성 읽기 및 업데이트
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Microsoft 365 관리 센터에서 콘텐츠 이해에 대한 분석 보고서 읽기
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Microsoft 365 관리 센터에서 지식 네트워크의 모든 속성 읽기 및 업데이트
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Microsoft 365 관리 센터에서 지식 네트워크의 항목 표시 유형 관리
microsoft.office365.knowledge/learningSources/allProperties/allTasks 학습 앱에서 학습 원본 및 모든 속성 관리
microsoft.office365.lockbox/allEntities/allTasks 고객 Lockbox의 모든 측면 관리
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.messageCenter/securityMessages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지 읽기
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Microsoft 365 조직 메시지의 모든 제작 측면 관리
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks 보안 및 규정 준수 센터의 모든 측면 관리
microsoft.office365.search/content/manage Microsoft Search에서 콘텐츠 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.office365.securityComplianceCenter/allEntities/allTasks Microsoft 365 보안 및 규정 준수 센터에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.sharePoint/allEntities/allTasks SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.userCommunication/allEntities/allTasks 새로운 기능 메시지를 읽고 표시 여부 업데이트
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.office365.yammer/allEntities/allProperties/allTasks Yammer의 모든 측면 관리
microsoft.permissionsManagement/allEntities/allProperties/allTasks Entra Permissions Management의 모든 측면 관리
microsoft.powerApps/allEntities/allTasks Power Apps의 모든 측면 관리
microsoft.powerApps.powerBI/allEntities/allTasks Power BI의 모든 측면 관리
microsoft.teams/allEntities/allProperties/allTasks Teams에서 모든 리소스 관리
microsoft.virtualVisits/allEntities/allProperties/allTasks 관리 센터 또는 Virtual Visits 앱에서 Virtual Visits 정보 및 메트릭 관리 및 공유
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 엔드포인트용 Microsoft Defender의 모든 측면 관리
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Windows Update 서비스의 모든 측면 읽기 및 구성

전역 Reader

이 역할의 사용자는 모든 Microsoft 365 서비스의 설정 및 관리 정보를 읽을 수 있지만 관리 작업을 수행할 수는 없습니다. 전역 읽기 권한자는 전역 관리자에 대응되는 읽기 전용입니다. 계획, 감사 또는 조사에는 전역 관리자 대신 전역 읽기 권한자를 할당합니다. 전역 관리자 역할을 할당하지 않고 Exchange 관리자처럼 제한된 다른 관리자 역할과 함께 전역 읽기 권한자를 사용하면 작업을 쉽게 수행할 수 있습니다. 전역 읽기 권한자는 Microsoft 365 관리 센터, Exchange 관리 센터, SharePoint 관리 센터, Teams 관리 센터, 보안 센터, 규정 준수 센터, Azure AD 관리 센터 및 디바이스 관리 센터에서 작동합니다.

이 역할을 가진 사용자는 다음을 수행할 수 없습니다 .

  • Microsoft 365 관리 센터 구매 서비스 영역에 액세스할 수 없습니다.

참고

전역 읽기 권한자 역할에는 다음과 같은 제한 사항이 있습니다.

동작 설명
microsoft.directory/accessReviews/allProperties/read (사용되지 않음) 액세스 검토의 모든 속성 읽기
microsoft.directory/accessReviews/definitions/allProperties/read Azure AD에서 검토 가능한 모든 리소스에 대한 액세스 검토의 모든 속성 읽기
microsoft.directory/adminConsentRequestPolicy/allProperties/read Azure AD에서 관리자 동의 요청 정책의 모든 속성 읽기
microsoft.directory/administrativeUnits/allProperties/read 멤버를 포함하여 관리 단위의 모든 속성 읽기
microsoft.directory/appConsent/appConsentRequests/allProperties/read Azure AD에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기
microsoft.directory/applications/allProperties/read 모든 유형의 애플리케이션에서 권한 있는 속성을 포함한 모든 속성 읽기
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/users/authenticationMethods/standard/restrictedRead 사용자에 대한 개인 식별 정보를 포함하지 않는 인증 방법의 표준 속성 읽기
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/bitlockerKeys/key/read 디바이스의 bitlocker 메타데이터 및 키 읽기
microsoft.directory/cloudAppSecurity/allProperties/read 클라우드용 Defender 앱에 대한 모든 속성 읽기
microsoft.directory/connectors/allProperties/read 애플리케이션 프록시 커넥터의 모든 속성 읽기
microsoft.directory/connectorGroups/allProperties/read 애플리케이션 프록시 커넥터 그룹의 모든 속성 읽기
microsoft.directory/contacts/allProperties/read 연락처에 대한 모든 속성 읽기
microsoft.directory/customAuthenticationExtensions/allProperties/read 사용자 지정 인증 확장 읽기
microsoft.directory/devices/allProperties/read 모든 디바이스 속성 읽기
microsoft.directory/directoryRoles/allProperties/read 디렉터리 역할의 모든 속성 읽기
microsoft.directory/directoryRoleTemplates/allProperties/read 디렉터리 역할 템플릿의 모든 속성 읽기
microsoft.directory/domains/allProperties/read 도메인의 모든 속성 읽기
microsoft.directory/entitlementManagement/allProperties/read Azure AD 권한 관리에서 모든 속성 읽기
microsoft.directory/groups/allProperties/read 역할 할당 가능한 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 모든 속성(권한 있는 속성 포함) 읽기
microsoft.directory/groupSettings/allProperties/read 그룹 설정의 모든 속성 읽기
microsoft.directory/groupSettingTemplates/allProperties/read 그룹 설정 템플릿의 모든 속성 읽기
microsoft.directory/identityProtection/allProperties/read Azure AD Identity Protection에서 모든 리소스 읽기
microsoft.directory/loginOrganizationBranding/allProperties/read 조직의 브랜드 로그인 페이지에 대한 모든 속성 읽기
microsoft.directory/namedLocations/standard/read 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기
microsoft.directory/oAuth2PermissionGrants/allProperties/read OAuth 2.0 권한 부여의 모든 속성 읽기
microsoft.directory/organization/allProperties/read 조직에 대한 모든 속성 읽기
microsoft.directory/permissionGrantPolicies/standard/read 권한 부여 정책의 표준 속성 읽기
microsoft.directory/policies/allProperties/read 모든 정책 속성 읽기
microsoft.directory/conditionalAccessPolicies/allProperties/read 조건부 액세스 정책의 모든 속성 읽기
microsoft.directory/crossTenantAccessPolicy/standard/read 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/default/standard/read 기본 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/deviceManagementPolicies/standard/read 디바이스 관리 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/deviceRegistrationPolicy/standard/read 디바이스 등록 정책의 표준 속성 읽기
microsoft.directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management에서 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/roleAssignments/allProperties/read 역할 할당의 모든 속성 읽기
microsoft.directory/roleDefinitions/allProperties/read 역할 정의의 모든 속성 읽기
microsoft.directory/scopedRoleMemberships/allProperties/read 관리 단위의 멤버 보기
microsoft.directory/serviceAction/getAvailableExtentionProperties Getavailableextentionproperties 서비스 작업 수행 가능
microsoft.directory/servicePrincipals/allProperties/read servicePrincipals에서 권한 있는 속성을 포함한 모든 속성 읽기
microsoft.directory/servicePrincipalCreationPolicies/standard/read 서비스 주체 만들기 정책의 표준 속성 읽기
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.directory/subscribedSkus/allProperties/read 제품 구독의 모든 속성 읽기
microsoft.directory/users/allProperties/read 모든 사용자 속성 읽기
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 확인 가능한 자격 증명 카드읽기
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 확인 가능한 자격 증명 계약 읽기
microsoft.directory/verifiableCredentials/configuration/allProperties/read 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 읽기
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Azure AD 수명 주기 워크플로 및 작업의 모든 속성을 읽습니다.
microsoft.cloudPC/allEntities/allProperties/read Windows 365의 모든 측면 읽기
microsoft.commerce.billing/allEntities/allProperties/read Office 365 청구의 모든 리소스 읽기
microsoft.edge/allEntities/allProperties/read Microsoft Edge의 모든 측면 읽기
microsoft.insights/allEntities/allProperties/read Viva Insights의 모든 측면 읽기
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.messageCenter/securityMessages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지 읽기
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.organizationalMessages/allEntities/allProperties/read Microsoft 365 조직 메시지의 모든 측면 읽기
microsoft.office365.protectionCenter/allEntities/allProperties/read 보안 및 규정 준수 센터에서 모든 속성 읽기
microsoft.office365.securityComplianceCenter/allEntities/read Microsoft 365 보안 및 규정 준수 센터에서 표준 속성 읽기
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.office365.yammer/allEntities/allProperties/read Yammer의 모든 측면 읽기
microsoft.permissionsManagement/allEntities/allProperties/read Entra Permissions Management의 모든 측면 읽기
microsoft.teams/allEntities/allProperties/read Microsoft Teams 모든 속성 읽기
microsoft.virtualVisits/allEntities/allProperties/read Virtual Visits의 모든 측면 읽기
microsoft.windows.updatesDeployments/allEntities/allProperties/read Windows Update 서비스의 모든 측면 읽기

그룹 관리자

이 역할의 사용자는 그룹과 해당 설정(이름, 만료 정책 등)을 만들고 관리할 수 있습니다. 사용자를 이 역할에 할당하면 Outlook뿐 아니라 Teams, SharePoint, Yammer 등의 다양한 워크로드에서 조직의 모든 그룹을 관리하는 기능이 부여됩니다. 또한 사용자는 Microsoft 관리 센터, Azure Portal과 같은 다양한 관리 포털에서 다양한 그룹 설정뿐만 아니라 Teams 및 SharePoint 관리 센터와 같은 워크로드 관련 그룹 설정을 관리할 수 있습니다.

동작 설명
microsoft.directory/deletedItems.groups/delete 더 이상 복원할 수 없는 그룹을 영구적으로 삭제
microsoft.directory/deletedItems.groups/restore 일시 삭제된 그룹을 원래 상태로 복원
microsoft.directory/groups/assignLicense 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제
microsoft.directory/groups/hiddenMembers/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기
microsoft.directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스의 라이선스 할당 다시 처리
microsoft.directory/groups/restore 일시 삭제된 컨테이너에서 그룹 복원
microsoft.directory/groups/basic/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 기본 속성 업데이트
microsoft.directory/groups/classification/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 분류 속성 업데이트
microsoft.directory/groups/dynamicMembershipRule/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 동적 멤버 관리 규칙 업데이트
microsoft.directory/groups/groupType/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 그룹 유형에 영향을 주는 속성 업데이트
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups/onPremWriteBack/update Azure AD Connect를 사용하여 온-프레미스에 다시 쓸 Azure Active Directory 그룹 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트
microsoft.directory/groups/settings/update 그룹 설정 업데이트
microsoft.directory/groups/visibility/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 가시성 속성 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

게스트 초대자

이 역할의 사용자는 멤버가 초대할 수 있음 사용자 설정을 아니요로 설정하는 경우 Azure Active Directory B2B 게스트 사용자 초대를 관리할 수 있습니다. B2B 협업에 대한 자세한 내용은 Azure AD B2B 협업 정보를 참조하세요. 다른 권한은 포함되지 않습니다.

동작 설명
microsoft.directory/users/inviteGuest 게스트 사용자 초대
microsoft.directory/users/standard/read 사용자의 기본 속성 읽기
microsoft.directory/users/appRoleAssignments/read 사용자의 애플리케이션 역할 할당 읽기
microsoft.directory/users/deviceForResourceAccount/read 사용자의 deviceForResourceAccount 읽기
microsoft.directory/users/directReports/read 사용자에 대한 직접 보고서 읽기
microsoft.directory/users/licenseDetails/read 사용자의 라이선스 세부 정보 읽기
microsoft.directory/users/manager/read 사용자의 관리자 읽기
microsoft.directory/users/memberOf/read 사용자의 그룹 멤버 자격 읽기
microsoft.directory/users/oAuth2PermissionGrants/read 사용자에게 위임된 권한 부여 읽기
microsoft.directory/users/ownedDevices/read 사용자 소유의 디바이스 읽기
microsoft.directory/users/ownedObjects/read 사용자 소유의 개체 읽기
microsoft.directory/users/photo/read 사용자 사진 읽기
microsoft.directory/users/registeredDevices/read 등록된 사용자 디바이스 읽기
microsoft.directory/users/scopedRoleMemberOf/read 관리 단위로 범위가 한정된 Azure AD 역할의 사용자 멤버 자격 읽기

기술 지원팀 관리자

이 역할이 있는 사용자는 암호를 변경하고, 새로 고침 토큰을 무효화하고, Azure 및 Microsoft 365 서비스에 대한 Microsoft의 지원 요청을 만들기 및 관리하고, 서비스 상태를 모니터링할 수 있습니다. 새로 고침 토큰을 무효화하면 사용자가 다시 로그인해야 합니다. 기술 지원팀 관리자가 사용자의 암호를 다시 설정하고 새로 고침 토큰을 무효화할 수 있는지 여부는 사용자에게 할당된 역할에 따라 달라집니다. 기술 지원팀 관리자가 암호를 다시 설정하고 새로 고침 토큰을 무효화할 수 있는 역할 목록은 암호를 다시 설정할 수 있는 사용자를 참조하세요.

이 역할이 있는 사용자는 다음을 수행할 수 없습니다 .

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 암호를 변경할 수 있습니다. 사용자의 암호를 변경한다는 것은 사용자의 ID 및 권한을 가정할 수 있다는 것을 의미합니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 권한이 부여되었을 수 있으며, 다른 위치에서는 기술 지원 팀 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 기술 지원 팀 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure의 중요한 정보나 개인 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 보안 및 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부의 다른 서비스에 있는 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.

관리 단위를 사용하여 일부 사용자에게 관리 권한을 위임하고 일부 사용자에게 정책을 적용할 수 있습니다.

이 역할을 이전에는 Azure Portal에서 "암호 관리자"라고 했습니다. Azure AD의 "기술 지원팀 관리자" 이름이 이제는 Azure AD PowerShell 및 Microsoft Graph API의 이름과 일치합니다.

동작 설명
microsoft.directory/bitlockerKeys/key/read 디바이스의 bitlocker 메타데이터 및 키 읽기
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃
microsoft.directory/users/password/update 모든 사용자 암호 재설정
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

하이브리드 ID 관리자

이 역할의 사용자는 Azure AD Connect, PTA(통과 인증), PHS(암호 해시 동기화), Seamless SSO(Seamless Single Sign-On) 및 페더레이션 설정을 관리할 수 있을 뿐 아니라 클라우드 프로비저닝을 사용하여 AD에서 Azure AD로의 프로비전 구성 설정을 만들고 관리하고 배포할 수 있습니다. 또한 사용자는 이 역할을 사용하여 로그 문제를 해결하고 모니터링할 수 있습니다.

동작 설명
microsoft.directory/applications/create 모든 유형의 애플리케이션 만들기
microsoft.directory/applications/delete 모든 유형의 애플리케이션 삭제
microsoft.directory/applications/appRoles/update 모든 유형의 애플리케이션에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 애플리케이션의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 애플리케이션에서 인증 업데이트
microsoft.directory/applications/basic/update 애플리케이션의 기본 속성 업데이트
microsoft.directory/applications/notes/update 애플리케이션의 메모 업데이트
microsoft.directory/applications/owners/update 애플리케이션 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 애플리케이션 정책 업데이트
microsoft.directory/applications/tag/update 애플리케이션의 태그 업데이트
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/cloudProvisioning/allProperties/allTasks Azure AD 클라우드 프로비저닝 서비스의 모든 속성을 읽고 구성하기
microsoft.directory/deletedItems.applications/delete 더 이상 복원할 수 없는 애플리케이션 영구 삭제
microsoft.directory/deletedItems.applications/restore 일시 삭제된 애플리케이션을 원래 상태로 복원
microsoft.directory/domains/allProperties/read 도메인의 모든 속성 읽기
microsoft.directory/domains/federation/update 도메인의 페더레이션 속성 업데이트
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Azure AD에서 하이브리드 인증 정책을 관리합니다.
microsoft.directory/organization/dirSync/update 조직 디렉터리 동기화 속성 업데이트
microsoft.directory/passwordHashSync/allProperties/allTasks Azure AD에서 PHS(암호 해시 동기화)의 모든 측면 관리
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 주체 삭제
microsoft.directory/servicePrincipals/disable 서비스 주체를 사용하지 않도록 설정
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 애플리케이션 프로비저닝 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 애플리케이션 프로비저닝 동기화 작업을 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 애플리케이션 프로비저닝 동기화 작업 및 스키마 만들기 및 관리
microsoft.directory/servicePrincipals/audience/update 서비스 주체의 대상 그룹 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 주체의 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 주체의 기본 속성 업데이트
microsoft.directory/servicePrincipals/notes/update 서비스 주체의 메모 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 주체의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 주체의 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 주체의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 주체의 태그 속성 업데이트
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Identity Governance 관리자

이 역할을 가진 사용자는 액세스 패키지, 액세스 검토, 카탈로그 및 정책을 비롯한 Azure AD Identity Governance 구성을 관리할 수 있으며, 액세스를 승인하고 검토하며 더 이상 액세스가 필요하지 않은 게스트 사용자를 제거할 수 있습니다.

동작 Description
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Azure AD에서 애플리케이션 역할 할당의 액세스 검토 관리
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 자격 관리에서 액세스 패키지 할당에 대한 액세스 검토 관리
microsoft.directory/accessReviews/definitions.groups/allProperties/read 역할을 할당할 수 있는 그룹을 포함하여 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다.
microsoft.directory/accessReviews/definitions.groups/allProperties/update 역할을 할당할 수 있는 그룹을 제외하고 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다.
microsoft.directory/accessReviews/definitions.groups/create 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 만듭니다.
microsoft.directory/accessReviews/definitions.groups/delete 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 삭제합니다.
microsoft.directory/accessReviews/allProperties/allTasks (사용되지 않음) Azure AD에서 액세스 검토 작성 및 삭제, 액세스 검토의 모든 속성 업데이트 및 그룹의 액세스 검토 관리
microsoft.directory/entitlementManagement/allProperties/allTasks Azure AD 권한 관리에서 리소스 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트

Insights 관리자

이 역할의 사용자는 Microsoft Viva Insights 앱의 모든 관리 기능 세트에 액세스할 수 있습니다. 이 역할은 디렉터리 정보를 읽고 서비스 상태를 모니터링하고 지원 티켓을 제출하고 Insights 관리자 설정에 액세스할 수 있습니다.

자세히 알아보기

동작 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.insights/allEntities/allProperties/allTasks Insights 앱의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Insights 분석가

다음 작업을 수행해야 하는 사용자에게 Insights 분석가 역할을 할당합니다.

  • Microsoft Viva Insights 앱에서 데이터 분석(구성 설정은 관리할 수 없음)
  • 쿼리 만들기, 관리 및 실행
  • Microsoft 365 관리 센터에서 기본 설정 및 보고서 보기
  • Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리

자세히 알아보기

동작 Description
microsoft.insights/queries/allProperties/allTasks Viva Insights에서 쿼리 실행 및 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Insights 비즈니스 리더

이 역할의 사용자는 Microsoft Viva Insights 앱을 통해 대시보드 및 정보 세트에 액세스할 수 있습니다. 여기에는 모든 대시보드에 대한 전체 액세스 권한과 제공되는 인사이트 및 데이터 탐색 기능이 포함됩니다. 이 역할의 사용자는 제품 구성 설정에 액세스할 수 없습니다. 제품 구성 설정은 Insights 관리자 역할의 책임입니다.

자세히 알아보기

동작 Description
microsoft.insights/reports/allProperties/read Insights 앱에서 보고서 및 대시보드 보기
microsoft.insights/programs/allProperties/update Insights 앱에서 프로그램 배포 및 관리

Intune 관리자

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Intune Online 내에서 전역 사용 권한을 갖습니다 또한 이 역할은 정책을 연결하고 그룹을 만들고 관리하기 위해 사용자와 디바이스를 관리하는 기능을 포함합니다. 자세한 내용은 Microsoft Intune에서 RBAC(역할 기반 관리 제어)를 참조하세요

이 역할은 모든 보안 그룹을 만들고 관리할 수 있습니다. 그러나 Intune 관리자에게는 Office 그룹에 대한 관리자 권한이 없습니다. 즉, 관리자는 조직 내 모든 Office 그룹의 소유자 또는 멤버를 업데이트할 수 없습니다. 그러나 관리자는 자신이 만드는 Office 그룹을 관리할 수 있으며, 이 권한은 최종 사용자 권한의 일부로 제공됩니다. 따라서 관리자가 만드는 모든 Office 그룹(보안 그룹 아님)은 관리자의 250 할당량을 기준으로 계산되어야 합니다.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Intune 서비스 관리자"로 식별됩니다. 이는 Azure Portal에서 "Intune 관리자"입니다.

작업 설명
microsoft.directory/bitlockerKeys/key/read 디바이스의 bitlocker 메타데이터 및 키 읽기
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처의 기본 속성 업데이트
microsoft.directory/deletedItems.devices/delete 더 이상 복원할 수 없는 디바이스를 영구적으로 삭제
microsoft.directory/deletedItems.devices/restore 일시 삭제된 디바이스를 원래 상태로 복원
microsoft.directory/devices/create 디바이스 만들기(Azure AD에 등록)
microsoft.directory/devices/delete Azure AD에서 디바이스 삭제
microsoft.directory/devices/disable Azure AD에서 디바이스를 사용하지 않도록 설정
microsoft.directory/devices/enable Azure AD에서 디바이스를 사용하도록 설정
microsoft.directory/devices/basic/update 디바이스의 기본 속성 업데이트
microsoft.directory/devices/extensionAttributeSet1/update 디바이스에서 extensionAttribute1을 extensionAttribute5 속성으로 업데이트
microsoft.directory/devices/extensionAttributeSet2/update 디바이스에서 extensionAttribute6을 extensionAttribute10 속성으로 업데이트
microsoft.directory/devices/extensionAttributeSet3/update 디바이스에서 extensionAttribute11을 extensionAttribute15 속성으로 업데이트
microsoft.directory/devices/registeredOwners/update 등록된 디바이스 소유자 업데이트
microsoft.directory/devices/registeredUsers/update 등록된 디바이스 사용자 업데이트
microsoft.directory/deviceManagementPolicies/standard/read 디바이스 관리 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/deviceRegistrationPolicy/standard/read 디바이스 등록 정책의 표준 속성 읽기
microsoft.directory/groups/hiddenMembers/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기
microsoft.directory/groups.security/create 역할 할당 가능 그룹을 제외한 보안 그룹 만들기
microsoft.directory/groups.security/delete 역할 할당 가능 그룹을 제외한 보안 그룹 삭제
microsoft.directory/groups.security/basic/update 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트
microsoft.directory/groups.security/classification/update 역할 할당 가능 그룹을 제외한 보안 그룹의 분류 속성 업데이트
microsoft.directory/groups.security/dynamicMembershipRule/update 역할 할당 가능한 그룹을 제외한 보안 그룹에 대한 동적 멤버십 규칙 업데이트
microsoft.directory/groups.security/members/update 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트
microsoft.directory/groups.security/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트
microsoft.directory/groups.security/visibility/update 역할 할당 가능 그룹을 제외한 보안 그룹의 가시성 속성 업데이트
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자의 관리자 업데이트
microsoft.directory/users/photo/update 사용자 사진 업데이트
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.cloudPC/allEntities/allProperties/allTasks Windows 365의 모든 측면 관리
microsoft.intune/allEntities/allTasks Microsoft Intune의 모든 측면 관리
microsoft.office365.organizationalMessages/allEntities/allProperties/read Microsoft 365 조직 메시지의 모든 측면 읽기
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Kaizala 관리자

Microsoft Kaizala 서비스가 있는 경우 이 역할의 사용자에게는 서비스 내에서 설정을 관리할 수 있을 뿐 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있는 글로벌 권한이 부여됩니다. 또한 사용자는 조직 구성원의 Kaizala 채택 및 사용과 관련된 보고서 및 Kaizala 작업을 사용하여 생성된 비즈니스 보고서에 액세스할 수 있습니다.

작업 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

지식 관리자

이 역할의 사용자는 Microsoft 365 관리 센터에서 모든 지식, 학습 및 인텔리전트 기능 설정에 액세스할 수 있습니다. 제품군과 라이선스 정보에 대한 일반적인 지식을 갖고 있으며 액세스를 제어할 책임이 있습니다. 지식 관리자는 토픽, 머리글자어 및 학습 리소스와 같은 콘텐츠를 만들고 관리할 수 있습니다. 또한 콘텐츠 센터를 만들고, 서비스 상태를 모니터링하고, 서비스 요청을 만들 수 있습니다.

동작 설명
microsoft.directory/groups.security/create 역할 할당 가능 그룹을 제외한 보안 그룹 만들기
microsoft.directory/groups.security/createAsOwner 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 작성자가 첫 번째 소유자로 추가됩니다.
microsoft.directory/groups.security/delete 역할 할당 가능 그룹을 제외한 보안 그룹 삭제
microsoft.directory/groups.security/basic/update 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트
microsoft.directory/groups.security/members/update 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트
microsoft.directory/groups.security/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Microsoft 365 관리 센터에서 콘텐츠 이해의 모든 속성 읽기 및 업데이트
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Microsoft 365 관리 센터에서 지식 네트워크의 모든 속성 읽기 및 업데이트
microsoft.office365.knowledge/learningSources/allProperties/allTasks 학습 앱에서 학습 원본 및 모든 속성 관리
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read 보안 및 규정 준수 센터에서 민감도 레이블의 모든 속성 읽기
microsoft.office365.sharePoint/allEntities/allTasks SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

지식 매니저

이 역할의 사용자는 항목, 약자 및 학습 콘텐츠와 같은 콘텐츠를 만들고 관리할 수 있습니다. 이러한 사용자는 주로 정보의 품질 및 구조를 담당합니다. 이 사용자는 항목을 확인하거나, 편집 내용을 승인하거나, 항목을 삭제할 수 있는 항목 관리 작업에 대한 모든 권한을 가집니다. 이 역할은 용어 저장소 관리 도구의 일부로 분류를 관리하고 콘텐츠 센터를 만들 수도 있습니다.

동작 설명
microsoft.directory/groups.security/create 역할 할당 가능 그룹을 제외한 보안 그룹 만들기
microsoft.directory/groups.security/createAsOwner 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 작성자가 첫 번째 소유자로 추가됩니다.
microsoft.directory/groups.security/delete 역할 할당 가능 그룹을 제외한 보안 그룹 삭제
microsoft.directory/groups.security/basic/update 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트
microsoft.directory/groups.security/members/update 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트
microsoft.directory/groups.security/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Microsoft 365 관리 센터에서 콘텐츠 이해에 대한 분석 보고서 읽기
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Microsoft 365 관리 센터에서 지식 네트워크의 항목 표시 유형 관리
microsoft.office365.sharePoint/allEntities/allTasks SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

라이선스 관리자

이 역할의 사용자는 사용자 및 그룹의(그룹 기반 라이선스 사용) 라이선스 할당을 추가, 제거 및 업데이트하고, 사용자의 사용 위치를 관리합니다. 이 역할은 사용 위치를 벗어나서 구독을 구매 또는 관리하고, 그룹을 만들거나 관리하고, 사용자를 만들거나 관리하는 기능을 부여하지 않습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/groups/assignLicense 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft.directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스의 라이선스 할당 다시 처리
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/reprocessLicenseAssignment 사용자에 대한 라이선스 할당 다시 처리
microsoft.directory/users/usageLocation/update 사용자의 사용 위치 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

수명 주기 워크플로 관리자

다음 작업을 수행해야 하는 사용자에게 수명 주기 워크플로 관리자 역할을 할당합니다.

  • Azure AD에서 수명 주기 워크플로와 연결된 워크플로 및 작업의 모든 측면을 만들고 관리합니다.
  • 예약된 워크플로 실행 확인
  • 주문형 워크플로 실행 시작
  • 워크플로 실행 로그 검사
작업 Description
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Azure AD 수명 주기 워크플로 및 작업의 모든 측면 관리

메시지 센터 개인 정보 읽기 권한자

이 역할의 사용자는 데이터 개인 정보 메시지를 포함하여 메시지 센터의 모든 알림을 모니터링할 수 있습니다. 메시지 센터 개인 정보 읽기 권한자는 데이터 개인 정보와 관련된 알림을 비롯한 이메일 알림을 수신하며, 메시지 센터 기본 설정을 사용하여 구독을 취소할 수 있습니다. 전역 관리자와 메시지 센터 개인 정보 읽기 권한자만 데이터 개인 정보 메시지를 읽을 수 있습니다. 또한 이 역할은 그룹, 도메인 및 구독을 볼 수 있습니다. 이 역할에는 서비스 요청을 보고, 만들고, 관리할 수 있는 권한이 없습니다.

동작 설명
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.messageCenter/securityMessages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

메시지 센터 읽기 권한자

이 역할의 사용자는 Exchange, Intune 및 Microsoft Teams와 같은 구성된 서비스에서 조직에 대한 메시지 센터의 알림 및 자문 상태 업데이트를 모니터링할 수 있습니다. 메시지 센터 읽기 권한자는 게시물 및 업데이트 이메일 다이제스트를 매주 수신하며, 메시지 센터 게시물을 Microsoft 365에 공유할 수 있습니다. Azure AD에서 이 역할에 할당된 사용자는 Azure AD 서비스에서 사용자 및 그룹처럼 읽기 전용 권한만 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 설명
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Microsoft 하드웨어 보증 관리자

다음 작업을 수행해야 하는 사용자에게 Microsoft 하드웨어 보증 관리자 역할을 할당합니다.

  • Surface 및 HoloLens와 같은 Microsoft 제조된 하드웨어에 대한 새 보증 클레임 만들기
  • 열린 보증 클레임 또는 종결 보증 클레임 검색 및 읽기
  • 일련 번호로 보증 클레임 검색 및 읽기
  • 배송 주소 만들기, 읽기, 업데이트 및 삭제
  • 오픈 보증 클레임에 대한 배송 상태 읽기
  • Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리
  • Microsoft 365 관리 센터 메시지 센터 공지 사항 읽기

보증 청구는 보증 조건에 따라 하드웨어를 수리하거나 교체하도록 요청하는 것입니다. 자세한 내용은 Surface 보증 & 서비스 요청 셀프 서비스를 참조하세요.

동작 설명
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Microsoft 하드웨어 보증 전문가

다음 작업을 수행해야 하는 사용자에게 Microsoft 하드웨어 보증 전문가 역할을 할당합니다.

  • Surface 및 HoloLens와 같은 Microsoft 제조된 하드웨어에 대한 새 보증 클레임 만들기
  • 만든 보증 클레임 읽기
  • 기존 배송 주소 읽기 및 업데이트
  • 만든 오픈 보증 클레임에 대한 배송 상태를 읽습니다.
  • Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리

보증 청구는 보증 조건에 따라 하드웨어를 수리하거나 교체하도록 요청하는 것입니다. 자세한 내용은 Surface 보증 & 서비스 요청 셀프 서비스를 참조하세요.

동작 Description
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

최신 Commerce 사용자

사용하지 마십시오. 이 역할은 상거래에서 자동으로 할당되며 다른 용도로 사용하기에 적합하거나 지원되지 않습니다. 아래에서 자세한 내용을 참조하세요.

최신 상거래 사용자 역할은 특정 사용자에게 Microsoft 365 관리 센터에 액세스하여 , 청구지원에 대한 왼쪽 탐색 항목을 볼 수 있는 권한을 부여합니다. 이러한 영역에 제공되는 콘텐츠는 사용자가 직접 구매했거나 조직을 대신해서 구매한 제품을 관리하기 사용자에게 할당된 상거래 관련 역할을통해 제어됩니다. 여기에는 요금 결제 또는 청구 계정 및 청구 프로필 액세스와 같은 작업이 포함될 수 있습니다.

최신 상거래 사용자 역할이 있는 사용자에게는 일반적으로 다른 Microsoft 구매 시스템에 관리 권한이 있지만 관리 센터에 액세스하는 데 사용되는 전역 관리자나 대금 청구 관리자 역할은 없습니다.

최신 상거래 사용자 역할은 언제 할당되나요?

  • Microsoft 365 관리 센터에서 셀프 서비스 구매 – 사용자는 셀프 서비스 구매를 통해 제품을 직접 구매하거나 가입하여 신제품을 사용해 볼 수 있습니다. 이러한 제품은 관리 센터에서 관리됩니다. 셀프 서비스로 구매하는 사용자에게는 상거래 시스템의 역할과 최신 상거래 사용자 역할이 할당되므로 관리 센터에서 구매를 관리할 수 있습니다. 관리자는 PowerShell을 통해(Power BI, Power Apps 및 Power Automate에 대한) 셀프 서비스 구매를 차단할 수 있습니다. 자세한 내용은 셀프 서비스 구매 질문과 대답을 참조하세요.
  • Microsoft 상업용 Marketplace에서 구매 – 셀프 서비스 구매와 마찬가지로 사용자가 Microsoft AppSource 또는 Azure Marketplace에서 제품이나 서비스를 구매할 때 사용자에게 전역 관리자나 대금 청구 관리자 역할이 없으면 최신 상거래 사용자 역할이 할당됩니다. 경우에 따라 사용자가 제품을 구매하지 못하게 차단될 수도 있습니다. 자세한 내용은 Microsoft 상업용 마켓플레이스를 참조하세요.
  • Microsoft의 제안 – 제안은 조직에 Microsoft 제품 및 서비스를 구매할 것을 권유하는 Microsoft의 공식 제안입니다. 제안을 수락하는 사람이 Azure AD의 전역 관리자나 대금 청구 관리자 역할이 없으면  제안을 완료하기 위한 상거래 관련 역할과 관리 센터에 액세스하기 위한 최신 상거래 사용자 역할이 모두 할당됩니다. 이 사람은 관리 센터에 액세스할 때 자신의 상거래 관련 역할에 의해 권한이 부여된 기능만 사용할 수 있습니다.
  • 상거래 관련 역할 - 일부 사용자에게 상거래 관련 역할이 할당됩니다. 전역 관리자나 대금 청구 관리자가 아닌 사용자에게는 관리 센터에 액세스할 수 있도록 최신 상거래 관리자 역할이 할당됩니다.

사용자가 최신 상거래 사용자 역할의 할당을 해제하면 Microsoft 365 관리 센터에 액세스할 수 없게 됩니다. 직접 또는 조직을 대신해서 제품을 관리하는 사용자는 제품을 관리할 수 없게 됩니다. 여기에는 라이선스 할당, 결제 방법 변경, 청구서 결제 또는 구독 관리에 대한 기타 작업이 포함될 수 있습니다.

동작 설명
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks 볼륨 라이선스 서비스 센터의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/basic/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

네트워크 관리자

이 역할의 사용자는 사용자 위치의 네트워크 원격 분석 데이터를 기반으로 작성되는 Microsoft의 네트워크 경계 아키텍처 권장 사항을 검토할 수 있습니다. Microsoft 365의 네트워크 성능은 일반적으로 사용자 위치와 관련이 있는 신중한 엔터프라이즈 고객 네트워크 경계 아키텍처에 좌우됩니다. 이 역할이 있으면 검색된 사용자 위치와 해당 위치의 네트워크 매개 변수 구성을 편집하여 원격 분석 측정 및 디자인 권장 사항을 쉽게 개선할 수 있습니다.

동작 설명
microsoft.office365.network/locations/allProperties/allTasks 네트워크 위치의 모든 측면 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Office 앱 관리자

이 역할의 사용자는 Microsoft 365 앱의 클라우드 설정을 관리할 수 있습니다. 여기에는 클라우드 정책 관리, 셀프 서비스 다운로드 관리, Office 앱 관련 보고서를 살펴보는 기능이 포함됩니다. 이 역할은 주 관리 센터 내에서 지원 티켓을 관리하고 서비스 상태를 모니터링하는 기능도 부여합니다. 이 역할이 할당된 사용자는 Office 앱 최신 기능의 통신도 관리할 수도 있습니다.

동작 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.userCommunication/allEntities/allTasks 새로운 기능 메시지를 읽고 표시 여부 업데이트
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

조직 메시지 작성기

다음 작업을 수행해야 하는 사용자에게 조직 메시지 기록기 역할을 할당합니다.

  • Microsoft 365 관리 센터 또는 Microsoft Endpoint Manager를 사용하여 조직 메시지 작성, 게시 및 삭제
  • Microsoft 365 관리 센터 또는 Microsoft Endpoint Manager를 사용하여 조직 메시지 배달 옵션 관리
  • Microsoft 365 관리 센터 또는 Microsoft Endpoint Manager를 사용하여 조직 메시지 배달 결과 읽기
  • Microsoft 365 관리 센터 사용 현황 보고서 및 대부분의 설정을 볼 수 있지만 변경할 수는 없습니다.
동작 Description
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Microsoft 365 조직 메시지의 모든 제작 측면 관리
microsoft.office365.usageReports/allEntities/standard/read 테넌트 수준에서 집계된 Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

파트너 계층1 지원

사용하지 마십시오. 이 역할은 사용되지 않으며 향후 Azure AD에서 제거됩니다. 이 역할은 적은 수의 Microsoft 전매 파트너에서 사용하기 위한 것으로 일반적인 용도로는 적합하지 않습니다.

중요

이 역할은 관리자가 아닌 사용자의 암호를 다시 설정하고 새로 고침 토큰을 무효화할 수 있습니다. 이 역할은 더 이상 사용되지 않으며 API에서 더 이상 반환되지 않으므로 사용하면 안 됩니다.

동작 설명
microsoft.directory/applications/appRoles/update 모든 유형의 애플리케이션에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 애플리케이션의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 애플리케이션에서 인증 업데이트
microsoft.directory/applications/basic/update 애플리케이션의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 애플리케이션 자격 증명 업데이트
microsoft.directory/applications/notes/update 애플리케이션의 메모 업데이트
microsoft.directory/applications/owners/update 애플리케이션 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 애플리케이션 정책 업데이트
microsoft.directory/applications/tag/update 애플리케이션의 태그 업데이트
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처의 기본 속성 업데이트
microsoft.directory/deletedItems.groups/restore 일시 삭제된 그룹을 원래 상태로 복원
microsoft.directory/deletedItems.users/restore 일시 삭제된 사용자를 원래 상태로 복원
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제
microsoft.directory/groups/restore 일시 삭제된 컨테이너에서 그룹 복원
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft.directory/users/delete 사용자 삭제
microsoft.directory/users/disable 사용자를 사용하지 않도록 설정
microsoft.directory/users/enable 사용자를 사용하도록 설정
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃
microsoft.directory/users/restore 삭제된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자의 관리자 업데이트
microsoft.directory/users/password/update 모든 사용자 암호 재설정
microsoft.directory/users/photo/update 사용자 사진 업데이트
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

파트너 계층2 지원

사용하지 마십시오. 이 역할은 사용되지 않으며 향후 Azure AD에서 제거됩니다. 이 역할은 적은 수의 Microsoft 전매 파트너에서 사용하기 위한 것으로 일반적인 용도로는 적합하지 않습니다.

중요

이 역할은 암호를 다시 설정할 수 있으며 관리자가 아닌 모든 사용자와 관리자(전역 관리자 포함)의 새로 고침 토큰을 무효화할 수 있습니다. 이 역할은 더 이상 사용되지 않으며 API에서 더 이상 반환되지 않으므로 사용하면 안 됩니다.

동작 설명
microsoft.directory/applications/appRoles/update 모든 유형의 애플리케이션에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 애플리케이션의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 애플리케이션에서 인증 업데이트
microsoft.directory/applications/basic/update 애플리케이션의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 애플리케이션 자격 증명 업데이트
microsoft.directory/applications/notes/update 애플리케이션의 메모 업데이트
microsoft.directory/applications/owners/update 애플리케이션 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 애플리케이션 정책 업데이트
microsoft.directory/applications/tag/update 애플리케이션의 태그 업데이트
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처의 기본 속성 업데이트
microsoft.directory/deletedItems.groups/restore 일시 삭제된 그룹을 원래 상태로 복원
microsoft.directory/deletedItems.users/restore 일시 삭제된 사용자를 원래 상태로 복원
microsoft.directory/domains/allProperties/allTasks 도메인 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제
microsoft.directory/groups/restore 일시 삭제된 컨테이너에서 그룹 복원
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/organization/basic/update 조직의 기본 속성 업데이트
microsoft.directory/roleAssignments/allProperties/allTasks 역할 할당 만들기 및 삭제, 모든 역할 할당 속성 읽기 및 업데이트
microsoft.directory/roleDefinitions/allProperties/allTasks 역할 정의 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/scopedRoleMemberships/allProperties/allTasks scopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/subscribedSkus/standard/read 구독의 기본 속성 읽기
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft.directory/users/delete 사용자 삭제
microsoft.directory/users/disable 사용자를 사용하지 않도록 설정
microsoft.directory/users/enable 사용자를 사용하도록 설정
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃
microsoft.directory/users/restore 삭제된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자의 관리자 업데이트
microsoft.directory/users/password/update 모든 사용자 암호 재설정
microsoft.directory/users/photo/update 사용자 사진 업데이트
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

암호 관리자

이 역할의 사용자는 제한적으로 암호를 관리할 수 있습니다. 이 역할은 서비스 요청을 관리하거나 서비스 상태를 모니터링하는 기능을 부여하지 않습니다. 암호 관리자가 사용자의 암호를 다시 설정할 수 있는지 여부는 사용자에게 할당된 역할에 따라 달라집니다. 암호 관리자가 암호를 다시 설정할 수 있는 역할 목록은 암호를 다시 설정할 수 있는 사용자를 참조하세요.

이 역할이 있는 사용자는 다음을 수행할 수 없습니다 .

동작 설명
microsoft.directory/users/password/update 모든 사용자 암호 재설정
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Permissions Management Administrator

다음 작업을 수행해야 하는 사용자에게 Permissions Management 관리자 역할을 할당합니다.

  • 서비스가 있는 경우 Entra Permissions Management의 모든 측면 관리

역할/정책에 대한 정보 보기에서 권한 관리 역할 및 정책에 대해 자세히 알아봅니다.

동작 Description
microsoft.permissionsManagement/allEntities/allProperties/allTasks Entra Permissions Management의 모든 측면 관리

Power BI 관리자

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Power BI 내에서 글로벌 사용 권한을 가질 뿐만 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 Power BI 관리자 역할 이해를 참조하세요.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Power BI 서비스 관리자"로 식별됩니다. Azure Portal에서 이 역할은 "Power BI 관리자"입니다.

동작 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.powerApps.powerBI/allEntities/allTasks Power BI의 모든 측면 관리

Power Platform 관리자

이 역할의 사용자는 환경, Power Apps, 흐름, 데이터 손실 방지 정책의 모든 측면을 만들고 관리할 수 있습니다. 또한 이 역할이 할당된 사용자는 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다.

동작 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.dynamics365/allEntities/allTasks Dynamics 365의 모든 측면 관리
microsoft.flow/allEntities/allTasks Microsoft Power Automate의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.powerApps/allEntities/allTasks Power Apps의 모든 측면 관리

프린터 관리자

이 역할의 사용자는 Microsoft 유니버설 인쇄 솔루션에서 프린터를 등록하고 유니버설 인쇄 커넥터 설정을 비롯한 모든 프린터 구성을 관리할 수 있습니다. 모든 위임된 인쇄 권한 요청에 동의할 수 있습니다. 또한 프린터 관리자는 보고서를 인쇄할 수 있습니다.

동작 설명
microsoft.azure.print/allEntities/allProperties/allTasks Microsoft 인쇄에서 프린터 및 커넥터 만들기 및 삭제, 모든 속성 읽기 및 업데이트

프린터 기술자

이 역할의 사용자는 Microsoft 유니버설 인쇄 솔루션에서 프린터를 등록하고 프린터 상태를 관리할 수 있습니다. 또한 모든 커넥터 정보를 읽을 수 있습니다. 프린터 기술자가 할 수 없는 주요 작업은 프린터 및 공유 프린터에 대한 사용자 권한을 설정하는 것입니다.

동작 설명
microsoft.azure.print/connectors/allProperties/read Microsoft 인쇄에서 모든 커넥터 속성 읽기
microsoft.azure.print/printers/allProperties/read Microsoft 인쇄에서 프린터의 모든 속성 읽기
microsoft.azure.print/printers/register Microsoft 인쇄에서 프린터 등록
microsoft.azure.print/printers/unregister Microsoft 인쇄에서 프린터 등록 취소
microsoft.azure.print/printers/basic/update Microsoft 인쇄에서 프린터의 기본 속성 업데이트

권한 있는 인증 관리자

다음을 수행해야 하는 사용자에게 권한 있는 인증 관리자 역할을 할당합니다.

  • 전역 관리자를 포함하여 모든 사용자에 대한 인증 방법(암호 포함)을 설정하거나 다시 설정합니다.
  • 전역 관리자를 포함한 모든 사용자를 삭제하거나 복원합니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
  • 사용자가 기존의 비 암호 자격 증명(예: MFA 또는 FIDO)에 대해 다시 등록하고 디바이스에서 MFA 기억 을 취소하도록 강제하여 모든 사용자의 다음 로그인 시 MFA를 요청합니다.
  • 모든 사용자의 중요한 속성을 업데이트합니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
  • Azure 및 Microsoft 365 관리 센터 지원 티켓을 만들고 관리합니다.

이 역할이 있는 사용자는 다음을 수행할 수 없습니다 .

  • 레거시 MFA 관리 포털에서 사용자별 MFA를 관리할 수 없습니다. Set-MsolUser commandlet Azure AD PowerShell 모듈을 사용하여 동일한 기능을 수행할 수 있습니다.

다음 표에서는 이 역할의 기능을 관련 역할과 비교합니다.

역할 사용자의 인증 방법 관리 사용자별 MFA 관리 MFA 설정 관리 인증 방법 정책 관리 암호 보호 정책 관리 중요한 속성 업데이트 사용자 삭제 및 복원
인증 관리자 일부 사용자의 경우 예 일부 사용자의 경우 예 아니요 아니요 아니요 일부 사용자의 경우 예 일부 사용자의 경우 예
권한 있는 인증 관리자 모든 사용자에 대해 예 모든 사용자에 대해 예 아니요 아니요 아니요 모든 사용자에 대해 예 모든 사용자에 대해 예
인증 정책 관리자 아니요 아니요 Yes 아니요 아니요
사용자 관리자 아니요 아니요 아니요 아니요 아니요 일부 사용자의 경우 예 일부 사용자의 경우 예

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에서 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 자격 증명을 변경할 수 있습니다. 사용자의 자격 증명을 변경한다는 것은 사용자의 ID 및 사용 권한을 가정할 수 있음을 의미할 수 있습니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 인증 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 인증 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 보안 및 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부의 다른 서비스에 있는 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
동작 설명
microsoft.directory/users/authenticationMethods/create 사용자에 대한 인증 방법 만들기
microsoft.directory/users/authenticationMethods/delete 사용자에 대한 인증 방법 삭제
microsoft.directory/users/authenticationMethods/standard/read 사용자에 대한 인증 방법의 표준 속성 읽기
microsoft.directory/users/authenticationMethods/basic/update 사용자에 대한 인증 방법의 기본 속성 업데이트
microsoft.directory/deletedItems.users/restore 일시 삭제된 사용자를 원래 상태로 복원
microsoft.directory/users/delete 사용자 삭제
microsoft.directory/users/disable 사용자를 사용하지 않도록 설정
microsoft.directory/users/enable 사용자를 사용하도록 설정
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃
microsoft.directory/users/restore 삭제된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자의 관리자 업데이트
microsoft.directory/users/password/update 모든 사용자 암호 재설정
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

권한 있는 역할 관리자

이 역할을 가진 사용자는 Azure Active Directory 및 Azure AD Privileged Identity Management에서 역할 할당을 관리할 수 있습니다. Azure AD 역할에 할당 가능한 그룹을 만들고 관리할 수 있습니다. 또한 이 역할을 통해 Privileged Identity Management 및 관리 단위의 모든 것을 관리할 수 있습니다.

중요

이 역할은 전역 관리자 역할을 포함하여 모든 Azure AD 역할의 할당을 관리할 수 있습니다. 이 역할은 사용자 생성 또는 업데이트와 같은 Azure AD의 다른 모든 권한 있는 기능을 포함하지는 않습니다. 그러나 이 역할에 할당된 사용자는 추가 역할을 할당하여 본인 또는 다른 사용자에게 추가 권한을 부여할 수 있습니다.

동작 Description
microsoft.directory/accessReviews/definitions.applications/allProperties/read Azure AD에서 애플리케이션 역할 할당에 대한 액세스 검토의 모든 속성 읽기
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Azure AD 역할 할당에 대한 액세스 검토 관리
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Azure AD 역할에 할당할 수 있는 그룹의 멤버십에 대한 액세스 검토의 모든 속성 업데이트
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Azure AD 역할에 할당할 수 있는 그룹의 멤버십에 대한 액세스 검토 만들기
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Azure AD 역할에 할당할 수 있는 그룹의 멤버십에 대한 액세스 검토 삭제
microsoft.directory/accessReviews/definitions.groups/allProperties/read 역할을 할당할 수 있는 그룹을 포함하여 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다.
microsoft.directory/administrativeUnits/allProperties/allTasks 관리 단위(구성원 포함)를 만들고 관리합니다.
microsoft.directory/authorizationPolicy/allProperties/allTasks 권한 부여 정책의 모든 측면 관리
microsoft.directory/directoryRoles/allProperties/allTasks 디렉터리 역할 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/groupsAssignableToRoles/create 역할 할당 가능 그룹 만들기
microsoft.directory/groupsAssignableToRoles/delete 역할 할당 가능 그룹 삭제
microsoft.directory/groupsAssignableToRoles/restore 역할 할당 가능 그룹 복원
microsoft.directory/groupsAssignableToRoles/allProperties/update 역할 할당 가능 그룹 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Privileged Identity Management에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.directory/roleAssignments/allProperties/allTasks 역할 할당 만들기 및 삭제, 모든 역할 할당 속성 읽기 및 업데이트
microsoft.directory/roleDefinitions/allProperties/allTasks 역할 정의 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/scopedRoleMemberships/allProperties/allTasks scopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 주체의 권한 업데이트
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 애플리케이션에 대한 권한 부여 동의
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

보고서 구독자

이 역할의 사용자는 Microsoft 365 관리 센터의 사용 현황 보고 데이터 및 보고서 대시보드와 Power BI의 채택 컨텍스트 팩을 볼 수 있습니다. 또한 이 역할은 Azure AD의 모든 로그인 로그, 감사 로그, 작업 보고서 및 Microsoft Graph Reporting API에서 반환되는 데이터에 대한 액세스를 제공합니다. 보고서 구독자 역할에 할당된 사용자는 관련된 사용량 및 채택 메트릭에만 액세스할 수 있습니다. 설정을 구성하거나 Exchange와 같은 제품 특정 관리 센터에 액세스할 수 있는 관리자 권한은 없습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 설명
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Search 관리자

이 역할의 사용자는 Microsoft 365 관리 센터의 모든 Microsoft Search 관리 기능에 액세스할 수 있습니다. 또한 이 역할의 사용자는 메시지 센터를 살펴보고, 서비스 상태를 모니터링하고, 서비스 요청을 만들 수 있습니다.

동작 설명
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.search/content/manage Microsoft Search에서 콘텐츠 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Search 편집자

이 역할의 사용자는 책갈피, Q&A 및 위치를 포함하여 Microsoft 365 관리 센터에서 Microsoft Search에 대한 콘텐츠를 만들고, 관리하고, 삭제할 수 있습니다.

작업 설명
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.search/content/manage Microsoft Search에서 콘텐츠 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

보안 관리자

이 역할의 사용자는 Microsoft 365 Defender 포털, Azure Active Directory ID 보호, Azure Active Directory Authentication, Azure Information Protection, Office 365 보안 및 규정 준수 센터의 보안 관련 기능을 관리할 수 있는 권한을 갖습니다. Office 365 권한에 대한 자세한 내용은 보안 및 규정 준수 센터의 권한에서 확인할 수 있습니다.

그런 다음 가능한 작업
Microsoft 365 보안 센터 Microsoft 365 서비스 전반의 보안 관련 정책 모니터링
보안 위협과 경고 관리
보고서 보기
ID 보호 센터 보안 읽기 권한자 역할의 모든 권한
암호 재설정을 제외한 모든 ID 보호 센터 작업을 수행하는 기능도 있음
Privileged Identity Management 보안 읽기 권한자 역할의 모든 권한
Azure AD 역할 할당 또는 설정을 관리할 수 없음
Office 365 보안 및 규정 준수 센터 보안 정책 관리
보안 위협 확인/조사/대응
보고서 보기
Azure Advanced Threat Protection 의심스러운 보안 활동 모니터링/대응
엔드포인트에 대한 Microsoft Defender 역할 할당
머신 그룹 관리
엔드포인트 위협 검색 및 자동 수정 구성
경고 확인/조사/대응
컴퓨터/디바이스 인벤토리 보기
Intune 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보 확인
Intune을 변경할 수는 없음
Microsoft Defender for Cloud 앱 관리자/정책/설정 추가, 로그 업로드, 거버넌스 작업 수행
Microsoft 365 서비스 상태 Office 365 서비스의 상태 보기
스마트 잠금 실패한 로그인 이벤트가 발생할 때 잠금의 임계값 및 기간을 정의합니다.
암호 보호 사용자 지정 금지 암호 목록 또는 온-프레미스 암호 보호를 구성합니다.
동작 설명
microsoft.directory/applications/policies/update 애플리케이션 정책 업데이트
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/bitlockerKeys/key/read 디바이스의 bitlocker 메타데이터 및 키 읽기
microsoft.directory/crossTenantAccessPolicy/standard/read 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 테넌트 간 액세스 정책의 허용된 클라우드 엔드포인트 업데이트
microsoft.directory/crossTenantAccessPolicy/basic/update 테넌트 간 액세스 정책의 기본 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/standard/read 기본 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 기본 테넌트 간 액세스 정책의 Azure AD B2B 협업 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update 기본 테넌트 간 액세스 정책의 Azure AD B2B 직접 연결 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 기본 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 기본 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/create 파트너에 대한 테넌트 간 액세스 정책 만들기
microsoft.directory/crossTenantAccessPolicy/partners/delete 파트너에 대한 테넌트 간 액세스 정책 삭제
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 파트너에 대한 테넌트 간 액세스 정책의 Azure AD B2B 협업 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update 파트너에 대한 테넌트 간 액세스 정책의 Azure AD B2B 직접 연결 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 파트너에 대한 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 파트너에 대한 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트
microsoft.directory/domains/federation/update 도메인의 페더레이션 속성 업데이트
microsoft.directory/entitlementManagement/allProperties/read Azure AD 권한 관리에서 모든 속성 읽기
microsoft.directory/identityProtection/allProperties/read Azure AD Identity Protection에서 모든 리소스 읽기
microsoft.directory/identityProtection/allProperties/update Azure AD Identity Protection에서 모든 리소스 업데이트
microsoft.directory/namedLocations/create 네트워크 위치를 정의하는 사용자 지정 규칙 만들기
microsoft.directory/namedLocations/delete 네트워크 위치를 정의하는 사용자 지정 규칙 삭제
microsoft.directory/namedLocations/standard/read 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기
microsoft.directory/namedLocations/basic/update 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 업데이트
microsoft.directory/policies/create Azure AD에서 정책 만들기
microsoft.directory/policies/delete Azure AD에서 정책 삭제
microsoft.directory/policies/basic/update 정책의 기본 속성 업데이트
microsoft.directory/policies/owners/update 정책의 소유자 업데이트
microsoft.directory/policies/tenantDefault/update 기본 조직 정책 업데이트
microsoft.directory/conditionalAccessPolicies/create 조건부 액세스 정책 만들기
microsoft.directory/conditionalAccessPolicies/delete 조건부 액세스 정책 삭제
microsoft.directory/conditionalAccessPolicies/standard/read 정책에 대한 조건부 액세스 읽기
microsoft.directory/conditionalAccessPolicies/owners/read 조건부 액세스 정책 소유자 읽기
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 조건부 액세스 정책에 대한 "적용 대상" 속성 읽기
microsoft.directory/conditionalAccessPolicies/basic/update 조건부 액세스 정책의 기본 속성 업데이트
microsoft.directory/conditionalAccessPolicies/owners/update 조건부 액세스 정책에 대한 소유자 업데이트
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 조건부 액세스 정책에 대한 기본 테넌트 업데이트
microsoft.directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management에서 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/policies/update 서비스 주체의 정책 업데이트
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.protectionCenter/allEntities/standard/read 보안 및 규정 준수 센터에서 모든 리소스의 표준 속성 읽기
microsoft.office365.protectionCenter/allEntities/basic/update 보안 및 규정 준수 센터에서 모든 리소스의 기본 속성 업데이트
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 공격 시뮬레이터에서 공격 시뮬레이션 템플릿 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

보안 운영자

이 역할의 사용자는 경고를 관리하고, Microsoft 365 보안 센터, Azure Active Directory, ID 보호, Privileged Identity Management, Office 365 보안 및 규정 준수 센터의 모든 정보를 포함하여 보안 관련 기능에 대한 전역 읽기 전용 액세스 권한을 가질 수 있습니다. Office 365 권한에 대한 자세한 내용은 보안 및 규정 준수 센터의 권한에서 확인할 수 있습니다.

그런 다음 가능한 작업
Microsoft 365 보안 센터 보안 읽기 권한자 역할의 모든 권한
보안 위협 경고 확인/조사/대응
보안 센터의 보안 설정 관리
Azure AD ID 보호 보안 읽기 권한자 역할의 모든 권한
암호 재설정 및 경고 이메일 구성을 제외한 모든 ID 보호 센터 작업도 수행 가능
Privileged Identity Management 보안 읽기 권한자 역할의 모든 권한
Office 365 보안 및 규정 준수 센터 보안 읽기 권한자 역할의 모든 권한
보안 경고 확인/조사/대응
엔드포인트에 대한 Microsoft Defender 보안 읽기 권한자 역할의 모든 권한
보안 경고 확인/조사/대응
엔드포인트용 Microsoft Defender 역할 기반 액세스 제어를 켜면 보안 읽기 권한자 역할과 같은 읽기 전용 권한이 있는 사용자는 엔드포인트용 Microsoft Defender 역할이 할당될 때까지 액세스 권한을 잃게 됩니다.
Intune 보안 읽기 권한자 역할의 모든 권한
Microsoft Defender for Cloud 앱 보안 읽기 권한자 역할의 모든 권한
보안 경고 확인/조사/대응
Microsoft 365 서비스 상태 Office 365 서비스의 상태 보기
동작 설명
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/cloudAppSecurity/allProperties/allTasks 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.directory/identityProtection/allProperties/allTasks Azure AD Identity Protection에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management에서 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.advancedThreatProtection/allEntities/allTasks Azure Advanced Threat Protection의 모든 측면 관리
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.intune/allEntities/read Microsoft Intune에서 모든 리소스 읽기
microsoft.office365.securityComplianceCenter/allEntities/allTasks Microsoft 365 보안 및 규정 준수 센터에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 엔드포인트용 Microsoft Defender의 모든 측면 관리

보안 Reader

이 역할의 사용자는 Microsoft 365 보안 센터, Azure Active Directory, ID 보호, Privileged Identity Management의 모든 정보와 Office 365 보안 및 규정 준수 센터의 Azure Active Directory 로그인 보고서 및 감사 로그를 읽을 수 있는 기능을 포함하여 보안 관련 기능에 대한 전역 읽기 전용 액세스 권한을 갖습니다. Office 365 권한에 대한 자세한 내용은 보안 및 규정 준수 센터의 권한에서 확인할 수 있습니다.

그런 다음 가능한 작업
Microsoft 365 보안 센터 Microsoft 365 서비스 전반에서 보안 관련 정책 확인
보안 위협 및 경고 확인
보고서 보기
ID 보호 센터 모든 보안 보고서 및 보안 기능에 대한 설정 정보를 읽습니다.
  • 스팸 방지
  • 암호화
  • 데이터 손실 방지
  • 맬웨어 방지
  • Advanced Threat Protection
  • 피싱 방지
  • 메일 흐름 규칙
Privileged Identity Management Azure AD Privileged Identity Management에 표시되는 다음과 같은 모든 정보에 대한 읽기 전용 액세스 권한이 있습니다. Azure AD 역할 할당 및 보안 검토에 대한 정책 및 보고서.
Azure AD Privileged Identity Management에 가입하거나 변경할 수 없습니다. 이 역할에 속한 사람은 Privileged Identity Management 포털 또는 PowerShell에서 적격 사용자를 대상으로 전역 관리자, 권한 있는 역할 관리자 등의 추가 역할을 활성화할 수 있습니다.
Office 365 보안 및 규정 준수 센터 보안 정책 보기
보안 위협 확인/조사
보고서 보기
엔드포인트에 대한 Microsoft Defender 경고 확인/조사
엔드포인트용 Microsoft Defender 역할 기반 액세스 제어를 켜면 보안 읽기 권한자 역할과 같은 읽기 전용 권한이 있는 사용자는 엔드포인트용 Microsoft Defender 역할이 할당될 때까지 액세스 권한을 잃게 됩니다.
Intune 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보 확인. Intune을 변경할 수는 없음
Microsoft Defender for Cloud 앱 읽기 권한이 있음.
Microsoft 365 서비스 상태 Office 365 서비스의 상태 보기
동작 Description
microsoft.directory/accessReviews/definitions/allProperties/read Azure AD에서 검토 가능한 모든 리소스에 대한 액세스 검토의 모든 속성 읽기
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함하여 감사 로그의 모든 속성 읽기
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/bitlockerKeys/key/read 디바이스의 bitlocker 메타데이터 및 키 읽기
microsoft.directory/entitlementManagement/allProperties/read Azure AD 권한 관리에서 모든 속성 읽기
microsoft.directory/identityProtection/allProperties/read Azure AD Identity Protection에서 모든 리소스 읽기
microsoft.directory/namedLocations/standard/read 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기
microsoft.directory/policies/standard/read 정책의 기본 속성 읽기
microsoft.directory/policies/owners/read 정책의 소유자 읽기
microsoft.directory/policies/policyAppliedTo/read policies.policyAppliedTo 속성 읽기
microsoft.directory/conditionalAccessPolicies/standard/read 정책에 대한 조건부 액세스 읽기
microsoft.directory/conditionalAccessPolicies/owners/read 조건부 액세스 정책 소유자 읽기
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 조건부 액세스 정책에 대한 "적용 대상" 속성 읽기
microsoft.directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management에서 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.protectionCenter/allEntities/standard/read 보안 및 규정 준수 센터에서 모든 리소스의 표준 속성 읽기
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read 공격 시뮬레이터에서 공격 페이로드의 모든 속성 읽기
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read 공격 시뮬레이터에서 공격 시뮬레이션 템플릿의 모든 속성 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

서비스 지원 관리자

이 역할이 있는 사용자는 Azure 및 Microsoft 365 서비스에 대한 Microsoft 지원 요청을 만들고 관리할 수 있으며 Azure PortalMicrosoft 365 관리 센터에서 서비스 대시보드 및 메시지 센터를 볼 수 있습니다. 자세한 내용은 관리자 역할 정보를 참조하세요.

참고

이전에는 Azure PortalMicrosoft 365 관리 센터에서 이 역할을 "서비스 관리자"라고 했습니다. Microsoft Graph API 및 Azure AD PowerShell의 기존 이름과 일치하도록 이름을 "서비스 지원 관리자"로 변경했습니다.

동작 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

SharePoint 관리자

이 역할의 사용자는 해당 서비스가 있는 경우 Microsoft SharePoint Online 내에서 글로벌 사용 권한을 가질 뿐만 아니라 모든 Microsoft 365 그룹을 생성 및 관리하고, 지원 티켓을 관리하고, 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 관리자 역할 정보를 참조하세요.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "SharePoint 서비스 관리자"로 식별됩니다. 이는 Azure Portal에서 "SharePoint 관리자"입니다.

참고

또한 이 역할은 Microsoft Graph API for Microsoft Intune에 범위가 지정된 권한을 부여하여 SharePoint 및 OneDrive 리소스와 관련된 정책을 관리하고 구성할 수 있게 합니다.

동작 설명
microsoft.directory/groups/hiddenMembers/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기
microsoft.directory/groups.unified/create 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기
microsoft.directory/groups.unified/delete 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제
microsoft.directory/groups.unified/restore 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원
microsoft.directory/groups.unified/basic/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트
microsoft.directory/groups.unified/members/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups.unified/owners/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.sharePoint/allEntities/allTasks SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

비즈니스용 Skype 관리자

이 역할의 사용자는 해당 서비스가 있는 경우 Microsoft 비즈니스용 Skype 내에서 글로벌 사용 권한을 가질 뿐만 아니라 Azure Active Directory에서 Skype 관련 사용자 특성을 관리할 수 있습니다. 또한 이 역할은 지원 티켓을 관리하고 서비스 상태를 모니터링하고 Teams 및 Business용 Skype 관리 센터에 액세스하는 기능을 부여합니다. 계정에는 Teams에 대한 라이선스가 있어야 합니다. 그렇지 않으면 Teams PowerShell cmdlet을 실행할 수 없습니다. 비즈니스용 Skype 관리자 역할 정보의 자세한 내용 및 비즈니스용 Skype 및 Microsoft Teams 추가 기능 라이선스의 Teams 라이선스 정보

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Lync Service 서비스 관리자"로 식별됩니다. 이는 Azure Portal에서 "비즈니스용 Skype 관리자"입니다.

작업 설명
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Teams 관리자

이 역할의 사용자는 Microsoft Teams 및 비즈니스용 Skype 관리 센터와 해당 PowerShell 모듈을 통해 Microsoft Teams 워크로드의 모든 측면을 관리할 수 있습니다. 여기에는 다른 영역 중 전화 통신, 메시징, 회의 및 팀 자체와 관련된 모든 관리 도구가 포함됩니다. 이 역할은 추가적으로 모든 Microsoft 365 그룹 만들기 및 관리 기능뿐 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링하는 기능도 부여합니다.

동작 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/groups/hiddenMembers/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기
microsoft.directory/groups.unified/create 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기
microsoft.directory/groups.unified/delete 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제
microsoft.directory/groups.unified/restore 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원
microsoft.directory/groups.unified/basic/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트
microsoft.directory/groups.unified/members/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups.unified/owners/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.teams/allEntities/allProperties/allTasks Teams에서 모든 리소스 관리
microsoft.directory/crossTenantAccessPolicy/standard/read 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 테넌트 간 액세스 정책의 허용된 클라우드 엔드포인트 업데이트
microsoft.directory/crossTenantAccessPolicy/default/standard/read 기본 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 기본 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트
microsoft.directory/crossTenantAccessPolicy/partners/create 파트너에 대한 테넌트 간 액세스 정책 만들기
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 파트너에 대한 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트

Teams 통신 관리자

이 역할의 사용자는 음성 및 전화 통신과 관련된 Microsoft Teams 워크로드의 측면을 관리할 수 있습니다. 여기에는 전화 번호 할당, 음성 및 회의 정책 및 호출 분석 도구 집합에 대한 전체 액세스를 위한 관리 도구가 포함됩니다.

동작 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.teams/callQuality/allProperties/read CQD(통화 품질 대시보드)에서 모든 데이터 읽기
microsoft.teams/meetings/allProperties/allTasks 모임 정책, 구성 및 회의 브리지를 포함한 모임 관리
microsoft.teams/voice/allProperties/allTasks 통화 정책을 비롯한 음성, 전화번호 인벤토리 및 할당 관리

Teams 통신 지원 엔지니어

이 역할의 사용자는 Microsoft Teams 및 비즈니스용 Skype 관리 센터에서 사용자 통화 문제 해결 도구를 사용하여 Microsoft Teams 및 비즈니스용 Skype 내에서 통신 문제를 해결할 수 있습니다. 이 역할의 사용자는 관련된 모든 참가자에 대한 전체 호출 레코드 정보를 볼 수 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.teams/callQuality/allProperties/read CQD(통화 품질 대시보드)에서 모든 데이터 읽기

Teams 통신 지원 전문가

이 역할의 사용자는 Microsoft Teams 및 비즈니스용 Skype 관리 센터에서 사용자 통화 문제 해결 도구를 사용하여 Microsoft Teams 및 비즈니스용 Skype 내에서 통신 문제를 해결할 수 있습니다. 이 역할의 사용자는 조회하는 특정 사용자에 대한 호출에서 사용자 세부 정보를 보기만 할 수 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 설명
microsoft.directory/authorizationPolicy/standard/read 애플리케이션 정책의 표준 속성 읽기
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.teams/callQuality/standard/read CQD(통화 품질 대시보드)에서 기본 데이터 읽기

Teams 디바이스 관리자

이 역할이 할당된 사용자는 Teams 관리 센터에서 Teams 인증 디바이스를 관리할 수 있습니다. 이 역할을 통해 디바이스를 한 눈에 보고 디바이스를 검색 및 필터링할 수 있습니다. 사용자는 로그인된 계정, 디바이스 제조업체 및 모델을 포함하여 각 디바이스의 세부 정보를 확인할 수 있습니다. 사용자는 디바이스에서 설정을 변경하고 소프트웨어 버전을 업데이트할 수 있습니다. 이 역할은 Teams 활동 및 디바이스의 통화 품질을 확인할 수 있는 권한을 부여하지 않습니다.

동작 설명
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.teams/devices/standard/read 구성 정책을 비롯한 Teams 인증 디바이스의 모든 측면 관리

테넌트 작성자

다음 작업을 수행해야 하는 사용자에게 Teant Creator 역할을 할당합니다.

  • 사용자 설정에서 테넌트 만들기 토글이 꺼져 있는 경우에도 Azure Active Directory 및 Azure Active Directory B2C 테넌트 만들기

참고

테넌트 작성자는 만든 새 테넌트에서 전역 관리자 역할이 할당됩니다.

동작 Description
microsoft.directory/tenantManagement/tenants/create Azure Active Directory에서 새 테넌트 만들기

사용 요약 보고서 읽기 권한자

이 역할이 할당된 사용자는 사용 및 생산성 점수에 대한 Microsoft 365 관리 센터에서 테넌트 수준 집계 데이터와 관련 인사이트에 액세스할 수 있지만 사용자 수준 세부 정보나 인사이트에는 액세스할 수 없습니다. 두 보고서에 대한 Microsoft 365 관리 센터에서는 테넌트 수준 집계 데이터와 사용자 수준 세부 정보가 구분되어 있습니다. 이 역할은 고객과 법률 팀의 요청에 따라 개별 사용자 식별 가능 데이터에 대한 추가 보호 단계를 제공합니다.

동작 설명
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.usageReports/allEntities/standard/read 테넌트 수준에서 집계된 Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

사용자 관리자

다음을 수행해야 하는 사용자에게 사용자 관리자 역할을 할당합니다.

사용 권한 추가 정보
사용자 만들기
모든 관리자를 포함하여 모든 사용자에 대한 대부분의 사용자 속성 업데이트 중요한 작업을 수행할 수 있는 사용자
일부 사용자의 중요한 속성(사용자 계정 이름 포함)을 업데이트합니다. 중요한 작업을 수행할 수 있는 사용자
일부 사용자 사용 안 함 또는 사용 중요한 작업을 수행할 수 있는 사용자
일부 사용자 삭제 또는 복원 중요한 작업을 수행할 수 있는 사용자
사용자 보기 만들기 및 관리
모든 그룹 만들기 및 관리
모든 관리자를 포함하여 모든 사용자에 대한 라이선스 할당
암호 재설정 암호를 재설정할 수 있는 사용자
새로 고침 토큰 무효화 암호를 재설정할 수 있는 사용자
(FIDO) 디바이스 키 업데이트
암호 만료 정책 업데이트
Azure 및 Microsoft 365 관리 센터 지원 티켓 만들기 및 관리
서비스 상태 모니터링

이 역할이 있는 사용자는 다음을 수행할 수 없습니다 .

  • MFA를 관리할 수 없습니다.
  • 역할 할당 가능 그룹의 멤버 및 소유자에 대한 자격 증명을 변경하거나 MFA를 다시 설정할 수 없습니다.
  • 공유 사서함을 관리할 수 없습니다.

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 암호를 변경할 수 있습니다. 사용자의 암호를 변경한다는 것은 사용자의 ID 및 권한을 가정할 수 있다는 것을 의미합니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 권한이 부여되었을 수 있으며, 다른 위치에서는 사용자 관리자에게 권한이 부여되지 않습니다. 이 경로를 통해 사용자 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 보안 및 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부의 다른 서비스에 있는 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
동작 Description
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Azure AD에서 애플리케이션 역할 할당의 액세스 검토 관리
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Azure AD 역할 할당에 대한 액세스 검토의 모든 속성 읽기
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 자격 관리에서 액세스 패키지 할당에 대한 액세스 검토 관리
microsoft.directory/accessReviews/definitions.groups/allProperties/update 역할을 할당할 수 있는 그룹을 제외하고 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다.
microsoft.directory/accessReviews/definitions.groups/create 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 만듭니다.
microsoft.directory/accessReviews/definitions.groups/delete 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 삭제합니다.
microsoft.directory/accessReviews/definitions.groups/allProperties/read 역할을 할당할 수 있는 그룹을 포함하여 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다.
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처의 기본 속성 업데이트
microsoft.directory/deletedItems.groups/restore 일시 삭제된 그룹을 원래 상태로 복원
microsoft.directory/deletedItems.users/restore 일시 삭제된 사용자를 원래 상태로 복원
microsoft.directory/entitlementManagement/allProperties/allTasks Azure AD 권한 관리에서 리소스 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/groups/assignLicense 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제
microsoft.directory/groups/hiddenMembers/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기
microsoft.directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스의 라이선스 할당 다시 처리
microsoft.directory/groups/restore 일시 삭제된 컨테이너에서 그룹 복원
microsoft.directory/groups/basic/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 기본 속성 업데이트
microsoft.directory/groups/classification/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 분류 속성 업데이트
microsoft.directory/groups/dynamicMembershipRule/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 동적 멤버 관리 규칙 업데이트
microsoft.directory/groups/groupType/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 그룹 유형에 영향을 주는 속성 업데이트
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups/onPremWriteBack/update Azure AD Connect를 사용하여 온-프레미스에 다시 쓸 Azure Active Directory 그룹 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트
microsoft.directory/groups/settings/update 그룹 설정 업데이트
microsoft.directory/groups/visibility/update 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 가시성 속성 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/policies/standard/read 정책의 기본 속성 읽기
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 주체 역할 할당 업데이트
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft.directory/users/delete 사용자 삭제
microsoft.directory/users/disable 사용자를 사용하지 않도록 설정
microsoft.directory/users/enable 사용자를 사용하도록 설정
microsoft.directory/users/inviteGuest 게스트 사용자 초대
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃
microsoft.directory/users/reprocessLicenseAssignment 사용자에 대한 라이선스 할당 다시 처리
microsoft.directory/users/restore 삭제된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자의 관리자 업데이트
microsoft.directory/users/password/update 모든 사용자 암호 재설정
microsoft.directory/users/photo/update 사용자 사진 업데이트
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Virtual Visits 관리자

이 역할이 있는 사용자는 다음 작업을 수행할 수 있습니다.

  • Microsoft 365 관리 센터의 예약 및 Teams EHR 커넥터에서 모든 Virtual Visits의 특성 관리 및 구성
  • Teams 관리 센터, Microsoft 365 관리 센터 및 PowerBI에서 Virtual Visits에 대한 사용 보고서 보기
  • Microsoft 365 관리 센터에서 기능 및 설정 보기(설정 편집 불가)

Virtual Visits를 사용하면 직원 및 참석자의 온라인 및 동영상 약속을 쉽게 예약하고 관리할 수 있습니다. 예를 들어 약속에 나타나지 않는 사용자 수를 줄이기 위해 약속 전 SMS 텍스트 메시지를 전송하는 방법을 사용 보고에 표시할 수 있습니다.

동작 Description
microsoft.virtualVisits/allEntities/allProperties/allTasks 관리 센터 또는 Virtual Visits 앱에서 Virtual Visits 정보 및 메트릭 관리 및 공유
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Windows 365 관리자

서비스가 있는 경우 이 역할의 사용자에게는 Windows 365 리소스에 대한 전역 권한이 있습니다. 또한 이 역할은 정책을 연결하고 그룹을 만들고 관리하기 위해 사용자와 디바이스를 관리하는 기능을 포함합니다.

이 역할은 보안 그룹을 만들고 관리할 수 있지만, Microsoft 365 그룹에 대한 관리자 권한이 없습니다. 즉, 관리자는 조직에서 Microsoft 365 그룹의 소유자 또는 멤버 자격을 업데이트할 수 없습니다. 그러나 관리자는 자신이 만드는 Microsoft 365 그룹을 관리할 수 있습니다. 이는 최종 사용자 권한의 일부입니다. 따라서 관리자가 만드는 Microsoft 365 그룹(보안 그룹이 아님)은 250개의 할당량에 대해 계산됩니다.

다음 작업을 수행해야 하는 사용자에게 Windows 365 관리자 역할을 할당합니다.

  • Microsoft Endpoint Manager에서 Windows 365 클라우드 PC 관리
  • 사용자 및 정책 할당을 포함하여 Azure AD에서 디바이스 등록 및 관리
  • 역할을 할당할 수 있는 그룹이 아닌 보안 그룹 만들기 및 관리
  • Microsoft 365 관리 센터에서 기본 속성 보기
  • Microsoft 365 관리 센터에서 사용 현황 보고서 읽기
  • Azure 및 Microsoft 365 관리 센터 지원 티켓 만들기 및 관리
동작 Description
microsoft.directory/deletedItems.devices/delete 더 이상 복원할 수 없는 디바이스를 영구적으로 삭제
microsoft.directory/deletedItems.devices/restore 일시 삭제된 디바이스를 원래 상태로 복원
microsoft.directory/devices/create 디바이스 만들기(Azure AD에 등록)
microsoft.directory/devices/delete Azure AD에서 디바이스 삭제
microsoft.directory/devices/disable Azure AD에서 디바이스를 사용하지 않도록 설정
microsoft.directory/devices/enable Azure AD에서 디바이스를 사용하도록 설정
microsoft.directory/devices/basic/update 디바이스의 기본 속성 업데이트
microsoft.directory/devices/extensionAttributeSet1/update 디바이스에서 extensionAttribute1을 extensionAttribute5 속성으로 업데이트
microsoft.directory/devices/extensionAttributeSet2/update 디바이스에서 extensionAttribute6을 extensionAttribute10 속성으로 업데이트
microsoft.directory/devices/extensionAttributeSet3/update 디바이스에서 extensionAttribute11을 extensionAttribute15 속성으로 업데이트
microsoft.directory/devices/registeredOwners/update 등록된 디바이스 소유자 업데이트
microsoft.directory/devices/registeredUsers/update 등록된 디바이스 사용자 업데이트
microsoft.directory/groups.security/create 역할 할당 가능 그룹을 제외한 보안 그룹 만들기
microsoft.directory/groups.security/delete 역할 할당 가능 그룹을 제외한 보안 그룹 삭제
microsoft.directory/groups.security/basic/update 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트
microsoft.directory/groups.security/classification/update 역할 할당 가능 그룹을 제외한 보안 그룹의 분류 속성 업데이트
microsoft.directory/groups.security/dynamicMembershipRule/update 역할 할당 가능한 그룹을 제외한 보안 그룹에 대한 동적 멤버십 규칙 업데이트
microsoft.directory/groups.security/members/update 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트
microsoft.directory/groups.security/owners/update 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트
microsoft.directory/groups.security/visibility/update 역할 할당 가능 그룹을 제외한 보안 그룹의 가시성 속성 업데이트
microsoft.directory/deviceManagementPolicies/standard/read 디바이스 관리 애플리케이션 정책의 표준 속성 읽기
microsoft.directory/deviceRegistrationPolicy/standard/read 디바이스 등록 정책의 표준 속성 읽기
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.cloudPC/allEntities/allProperties/allTasks Windows 365의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기

Windows 업데이트 배포 관리자

이 역할의 사용자는 비즈니스용 Windows 업데이트 배포 서비스를 통해 Windows 업데이트 배포의 모든 측면을 만들고 관리할 수 있습니다. 배포 서비스를 사용하면 사용자가 업데이트 배포 시기와 방법에 대한 설정을 정의하고, 테넌트에서 디바이스 그룹에 제공되는 업데이트를 지정할 수 있습니다. 사용자가 업데이트 진행 상황도 모니터링할 수 있도록 합니다.

동작 설명
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Windows Update 서비스의 모든 측면 읽기 및 구성

Yammer 관리자

다음 작업을 수행해야 하는 사용자에게 Yammer 관리자 역할을 할당합니다.

  • Yammer의 모든 측면 관리
  • Microsoft 365 그룹 만들기, 관리 및 복원(역할 할당 가능 그룹 제외)
  • 역할 할당 가능 그룹을 포함하여 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 보기
  • Microsoft 365 관리 센터에서 사용 현황 보고서 읽기
  • Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리
  • 메시지 센터에서 공지 사항을 볼 수 있지만 보안 공지 사항은 볼 수 없습니다.
  • 서비스 상태 보기

자세히 알아보기

동작 설명
microsoft.directory/groups/hiddenMembers/read 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기
microsoft.directory/groups.unified/create 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기
microsoft.directory/groups.unified/delete 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제
microsoft.directory/groups.unified/restore 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원
microsoft.directory/groups.unified/basic/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트
microsoft.directory/groups.unified/members/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트
microsoft.directory/groups.unified/owners/update 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트
microsoft.office365.messageCenter/messages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.usageReports/allEntities/allProperties/read Office 365 사용량 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
microsoft.office365.yammer/allEntities/allProperties/allTasks Yammer의 모든 측면 관리

역할 권한을 이해하는 방법

권한에 대한 스키마는 Microsoft Graph의 REST 형식을 느슨하게 따릅니다.

<namespace>/<entity>/<propertySet>/<action>

예를 들면 다음과 같습니다.

microsoft.directory/applications/credentials/update

권한 요소 Description
namespace 작업을 노출하고 앞에 microsoft가 붙는 제품 또는 서비스입니다. 예를 들어 Azure AD의 모든 작업은 microsoft.directory 네임스페이스를 사용합니다.
엔터티 Microsoft Graph의 서비스에서 노출하는 논리적 기능 또는 구성 요소입니다. 예를 들어 Azure AD는 사용자 및 그룹을 노출하고, OneNote는 노트를 노출하고, Exchange는 사서함과 달력을 노출합니다. 네임스페이스의 모든 엔터티를 지정하는 특수 키워드 allEntities가 있습니다. 이 키워드는 전체 제품에 대한 액세스 권한을 부여하는 역할에 자주 사용됩니다.
propertySet 특정한 액세스 권한이 부여되는 엔터티의 속성 또는 요소입니다. 예를 들어 microsoft.directory/applications/authentication/read는 Azure AD의 애플리케이션 개체에서 회신 URL, 로그아웃 URL 및 암시적 흐름 속성을 읽을 수 있는 기능을 부여합니다.
  • allProperties는 권한 있는 속성을 포함하여 엔터티의 모든 속성을 지정합니다.
  • standard는 공통 속성을 지정하지만 read 작업과 관련된 권한 있는 속성을 제외합니다. 예를 들어 microsoft.directory/user/standard/read는 퍼블릭 전화 번호 및 이메일 주소와 같은 표준 속성을 읽을 수 있지만, 다단계 인증에 사용되는 프라이빗 보조 전화 번호 또는 이메일 주소는 읽을 수 없습니다.
  • basic은 공통 속성을 지정하지만 update 작업과 관련된 권한 있는 속성을 제외합니다. 읽을 수 있는 속성 세트는 업데이트할 수 있는 속성과 다를 수 있습니다. 이를 반영하기 위해 standardbasic 키워드가 있습니다.
action 부여되는 작업은 대부분 만들기, 읽기, 업데이트 또는 삭제(CRUD) 작업입니다.  위의 모든 기능(만들기, 읽기, 업데이트 및 삭제)을 지정하는 특수 키워드 allTasks가 있습니다.

사용되지 않는 역할

다음 역할은 사용할 수 없습니다. 해당 역할은 사용되지 않으며 향후 Azure AD에서 제거됩니다.

  • 임시 라이선스 관리자
  • 디바이스 연결
  • 디바이스 관리자
  • 디바이스 사용자
  • 전자 메일 확인 사용자 생성자
  • 사서함 관리자
  • 작업 공간 디바이스 연결

포털에 표시되지 않는 역할

PowerShell 또는 MS Graph API에서 반환된 모든 역할이 Azure Portal에 표시되는 것은 아닙니다. 다음 표에는 이러한 차이점이 정리되어 있습니다.

API 이름 Azure Portal 이름 메모
디바이스 연결 사용되지 않음 사용되지 않는 역할 설명서
디바이스 관리자 사용되지 않음 사용되지 않는 역할 설명서
디바이스 사용자 사용되지 않음 사용되지 않는 역할 설명서
디렉터리 동기화 계정 사용하면 안되므로 표시되지 않습니다. 디렉터리 동기화 계정 설명서
게스트 사용자 사용하면 안되므로 표시되지 않습니다. 해당 없음
파트너 계층 1 지원 사용하면 안되므로 표시되지 않습니다. 파트너 계층1 지원 설명서
파트너 계층 2 지원 사용하면 안되므로 표시되지 않습니다. 파트너 계층2 지원 설명서
제한된 게스트 사용자 사용하면 안되므로 표시되지 않습니다. 해당 없음
사용자 사용하면 안되므로 표시되지 않습니다. 해당 없음
작업 공간 디바이스 연결 사용되지 않음 사용되지 않는 역할 설명서

암호를 다시 설정할 수 있는 사용자

다음 표에서 열에는 암호를 재설정하고 새로 고침 토큰을 무효화할 수 있는 역할이 나열되어 있습니다. 행에는 암호를 다시 설정할 수 있는 역할이 나열되어 있습니다.

다음 표는 테넌트 범위에서 할당된 역할에 대한 것입니다. 관리 단위 범위에서 할당된 역할의 경우 추가 제한 사항이 적용됩니다.

암호를 다시 설정할 수 있는 역할 암호 관리자 기술 지원팀 관리자 인증 관리자 사용자 관리 권한 있는 인증 관리자 전역 관리자
인증 관리자     ✔️   ✔️ ✔️
디렉터리 읽기 권한자 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
전역 관리자         ✔️ ✔️*
그룹 관리자       ✔️ ✔️ ✔️
게스트 초대자 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
기술 지원팀 관리자   ✔️   ✔️ ✔️ ✔️
메시지 센터 읽기 권한자   ✔️ ✔️ ✔️ ✔️ ✔️
암호 관리자 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
권한 있는 인증 관리자         ✔️ ✔️
권한 있는 역할 관리자         ✔️ ✔️
보고서 구독자   ✔️ ✔️ ✔️ ✔️ ✔️
사용자
(관리자 역할 없음)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
사용자
(관리자 역할은 없지만 역할 할당 가능 그룹의 구성원 또는 소유자)
        ✔️ ✔️
사용자 관리       ✔️ ✔️ ✔️
사용 요약 보고서 읽기 권한자   ✔️ ✔️ ✔️ ✔️ ✔️

* 전역 관리자는 자신의 전역 관리자 할당을 제거할 수 없습니다. 조직의 전역 관리자가 한 명도 없는 상황을 방지하기 위한 조치입니다.

참고

암호를 재설정하는 기능에는 셀프 서비스 암호 재설정에 필요한 다음과 같은 중요한 속성을 업데이트하는 기능이 포함됩니다.

  • businessPhones
  • MobilePhone
  • otherMails

중요한 작업을 수행할 수 있는 사용자

일부 관리자는 일부 사용자에 대해 다음과 같은 중요한 작업을 수행할 수 있습니다. 모든 사용자는 중요한 속성을 읽을 수 있습니다.

중요한 작업 중요한 속성 이름
사용자 사용 안 함 또는 사용 accountEnabled
회사 전화 업데이트 businessPhones
휴대폰 업데이트 mobilePhone
변경할 수 없는 온-프레미스 ID 업데이트 onPremisesImmutableId
다른 전자 메일 업데이트 otherMails
암호 프로필 업데이트 passwordProfile
사용자 계정 이름 업데이트 userPrincipalName
사용자 삭제 또는 복원 해당 없음

다음 표에서 열에는 중요한 작업을 수행할 수 있는 역할이 나열되어 있습니다. 행에는 중요한 작업을 수행할 수 있는 역할이 나열됩니다.

다음 표는 테넌트 범위에서 할당된 역할에 대한 것입니다. 관리 단위 범위에서 할당된 역할의 경우 추가 제한 사항이 적용됩니다.

중요한 작업을 수행할 수 있는 역할 인증 관리자 사용자 관리 권한 있는 인증 관리자 전역 관리자
인증 관리자 ✔️   ✔️ ✔️
디렉터리 읽기 권한자 ✔️ ✔️ ✔️ ✔️
전역 관리자     ✔️ ✔️
그룹 관리자   ✔️ ✔️ ✔️
게스트 초대자 ✔️ ✔️ ✔️ ✔️
기술 지원팀 관리자   ✔️ ✔️ ✔️
메시지 센터 읽기 권한자 ✔️ ✔️ ✔️ ✔️
암호 관리자 ✔️ ✔️ ✔️ ✔️
권한 있는 인증 관리자     ✔️ ✔️
권한 있는 역할 관리자     ✔️ ✔️
보고서 구독자 ✔️ ✔️ ✔️ ✔️
사용자
(관리자 역할 없음)
✔️ ✔️ ✔️ ✔️
사용자
(관리자 역할은 없지만 역할 할당 가능 그룹의 구성원 또는 소유자)
    ✔️ ✔️
사용자 관리   ✔️ ✔️ ✔️
사용 요약 보고서 읽기 권한자 ✔️ ✔️ ✔️ ✔️

다음 단계