Встроенные роли в Azure AD

Если в Azure Active Directory (Azure AD) другим администраторам или пользователям без прав администратора требуется управлять ресурсами Azure AD, назначьте им роль Azure AD, которая предоставляет необходимые разрешения. Например, можно назначить роли, чтобы разрешить добавление или изменение пользователей, сброс паролей пользователей, управление их лицензиями или управление доменными именами.

В этой статье перечислены встроенные роли Azure AD, которые можно назначить, чтобы разрешить управление ресурсами Azure AD. Сведения о назначении ролей см. в статье Назначение ролей Azure AD пользователям. Дополнительные сведения о ролях для управления ресурсами Azure см. в статье Встроенные роли Azure.

Все роли

Роль Описание Идентификатор шаблона
Администратор приложений Может создавать любые аспекты регистрации приложений и работы с корпоративными приложениями и управлять ими. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Разработчик приложений Может создавать регистрации приложений независимо от значения параметра "Пользователи могут регистрировать приложения". cf1c38e5-3621-4004-a7cb-879624dced7c
Автор атакующего кода Может создавать атакующий код, которые администратор может инициировать позже. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Администратор симуляции атаки Может создавать и контролировать все аспекты кампаний по симуляции атак. c430b396-e693-46cc-96f3-db01bf8bb62a
Администратор назначения атрибутов Назначение ключей и значений настраиваемых атрибутов безопасности поддерживаемым объектам Azure AD. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Читатель назначения атрибутов Чтение ключей и значений настраиваемых атрибутов безопасности поддерживаемым объектам Azure AD. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Администратор определения атрибутов Определение настраиваемых атрибутов безопасности и управление ими. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Читатель определения атрибутов Чтение определения настраиваемых атрибутов безопасности. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Администратор проверки подлинности Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любого пользователя, не являющегося администратором. c4e39bd9-1100-46d3-8c65-fb160da0071f
Администратор политики проверки подлинности Может создавать и администрировать политику методов проверки подлинности, параметры MFA для всего клиента, политику защиты паролем и проверяемые удостоверения. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Локальный администратор устройства, присоединенного к Azure AD Пользователи с этой ролью добавляются в группу локальных администраторов на устройствах, присоединенных к Azure AD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Администратор Azure DevOps Может управлять политиками и параметрами Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Администратор Azure Information Protection Может контролировать все аспекты продукта Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Администратор набора ключей IEF B2C Может управлять секретами для федерации и шифрования в Identity Experience Framework (IEF). aaf43236-0c0d-4d5f-883a-6955382ac081
Администратор политики IEF B2C Может создавать политики инфраструктуры доверия и управлять ими в Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Администратор выставления счетов Может выполнять основные задачи по выставлению счетов, например изменять платежную информацию. b0f54661-2d74-4c50-afa3-1ec803f12efe
Администратор Cloud App Security Может контролировать все аспекты продукта приложений Defender для облака. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Администратор облачных приложений Может задавать и контролировать любые аспекты регистрации приложений и работы с корпоративными приложениями, за исключением прокси приложения. 158c047a-c907-4556-b7ef-446551a6b5f7
Администратор облачных устройств Ограниченный доступ для управления устройствами в Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Администратор соответствия требованиям Может просматривать и изменять конфигурацию соответствия требованиям и отчеты в Azure AD и Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Администратор данных соответствия Создает и контролирует содержимое для соответствия. e6d1a23a-da11-4be4-9570-befc86d067a7
Администратор условного доступа Может контролировать возможности условного доступа. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Лицо, утверждающее доступ к защищенному хранилищу Может утверждать запросы в службу поддержки Майкрософт для получения доступа к данным организации клиента. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Администратор аналитики классических приложений Может получать доступ к службам и средствам управления компьютерами и управлять ими. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Читатели каталогов Может считывать сведения базового каталога. Обычно используется для предоставления доступа на чтение каталога приложениям и гостям. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Учетные записи синхронизации службы каталогов Используется только в службе Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Создатели каталогов Может считывать и записывать базовые сведения о каталоге. Предназначено для предоставления доступа приложениям, а не пользователям. 9360feb5-f418-4baa-8175-e2a00bac4301
Администратор доменных имен Может управлять доменными именами в облаке и локально. 8329153b-31d0-4727-b945-745eb3bc5f31
Администратор Dynamics 365 Может контролировать все аспекты продукта Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Администратор Edge Управление всеми аспектами Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Администратор Exchange Может контролировать все аспекты продукта Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Администратор получателей Exchange Может создавать или обновлять получателей Exchange Online в организации Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Администратор потоков пользователей с внешним идентификатором Может создавать все аспекты потоков пользователей и управлять ими. 6e591065-9bad-43ed-90f3-e9424366d2f0
Администратор атрибутов потоков пользователей с внешним идентификатором Может создавать схему атрибутов, доступную для всех потоков пользователей, и управлять ею. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Администратор внешнего поставщика удостоверений Может настраивать поставщики удостоверений для использования в прямой федерации. be2f45a1-457d-42af-a067-6ec1fa63bc45
глобальный администратор. Может контролировать все аспекты служб Azure AD и Майкрософт, использующих удостоверения Azure AD. 62e90394-69f5-4237-9190-012177145e10
Глобальный читатель Может читать то же, что и глобальный администратор, но не может ничего обновить. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Администратор групп Члены этой роли могут создавать группы и управлять ими, создавать и администрировать параметры групп, например политики именования и истечения срока действия, а также просматривать действия групп и отчеты об аудите. fdd7a751-b60b-444a-984c-02652fe8fa1c
Приглашающий гостей Может приглашать гостей независимо от значения параметра "Участники могут приглашать гостей". 95e79109-95c0-4d8e-aee3-d01accf2d47b
Администратор службы технической поддержки Может сбрасывать пароли пользователей, не являющихся администраторами, и пароли администраторов службы поддержки. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Администратор гибридных удостоверений Может управлять параметрами облачной подготовки из AD в Azure AD, Azure AD Connect, сквозной аутентификации (PTA), синхронизации хэшей паролей (PHS), легкого единого входа (простой единый вход) и федерации. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Администратор управления удостоверениями Управление доступом с помощью Azure AD для сценариев управления удостоверениями. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Администратор Insights Имеет административный доступ в приложении Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Аналитик Insights Доступ к аналитическим возможностям в Microsoft Viva Аналитика и выполнение настраиваемых запросов. 25df335f-86eb-4119-b717-0ff02de207e9
Руководитель предприятия Insights Может просматривать панели мониторинга и аналитические сведения и делиться ими через приложение Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Администратор Intune Может контролировать все аспекты продукта Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Администратор Kaizala Может управлять параметрами для Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Администратор базы знаний Может настраивать базы знаний, обучение и другие интеллектуальные функции. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Диспетчер базы знаний Может упорядочивать, создавать и распространять разделы и наборы знаний, а также управлять ими. 744ec460-397e-42ad-a462-8b3f9747a02c
Администратор лицензий Может управлять лицензиями продуктов для пользователей и групп. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Администратор рабочих процессов жизненного цикла Создание и изменение всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла в Azure AD. 59d46f88-662b-457b-bceb-5c3809e5908f
Читатель конфиденциальности данных Центра сообщений Может читать сообщения и обновления системы безопасности в Центре сообщений Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Читатель центра сообщений Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Администратор Майкрософт гарантии на оборудование Создавайте и управляйте всеми требованиями и правами на гарантии для Майкрософт оборудования, например Surface и HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
специалист по гарантии оборудования Майкрософт Создание и чтение утверждений о гарантии для Майкрософт изготовленного оборудования, например Surface и HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Пользователь современной коммерческой платформы Может управлять коммерческими покупками для компании, отдела или группы. d24aef57-1500-4070-84db-2666f29cf966
Администратор сети Может управлять сетевыми расположениями и просматривать аналитические данные о структуре корпоративной сети для приложений типа "ПО как услуга" Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Администратор приложений Office Может управлять облачными службами для приложений Office, в том числе изменять политики и параметры, а также контролировать выбор и публикацию содержимого "Новые возможности" на пользовательских устройствах. 2b745bdf-0803-4d80-aa65-822c4493daac
Модуль записи сообщений организации Создавайте, публикуйте, администрируете и просматривайте сообщения организации для конечных пользователей с помощью Майкрософт продуктов. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Служба поддержка партнеров уровня 1 Не используйте (не предназначено для общего применения). 4ba39ca4-527c-499a-b93d-d9b492c50246
Служба поддержка партнеров уровня 2 Не используйте (не предназначено для общего применения). e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Администратор паролей Может сбросить пароли для пользователей, не являющихся администраторами, и администраторов паролей. 966707d0-3269-4727-9be2-8c3a10f19b9d
Администратор управления разрешениями Управление всеми аспектами управления разрешениями Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Администратор Power BI Может контролировать все аспекты продукта Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Администратор Power Platform Может создавать и контролировать любые компоненты Microsoft Dynamics 365, PowerApps и Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Администратор принтеров Может управлять всеми аспектами принтеров и их соединителей. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Технический специалист по принтерам Может регистрировать и отменять регистрацию принтеров и обновлять их состояние. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Привилегированный администратор проверки подлинности Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любых пользователей (включая администраторов). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Администратор привилегированных ролей Может контролировать назначение ролей в Azure AD и все аспекты Privileged Identity Management. e8611ab8-c189-46e8-94e1-60213ab1f814
Читатель отчетов Может просматривать отчеты о входах и аудите. 4a5d8f65-41da-4de4-8968-e035b65339cf
Администратор поиска Может создавать и контролировать все параметры поиска (Майкрософт). 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Редактор поиска Может создавать и изменять редакторское содержимое, например закладки, вопросы и ответы, расположения или план этажа. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
администратор безопасности; Может просматривать отчеты и сведения для защиты, а также управлять конфигурацией Azure AD и Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Оператор безопасности Создает и контролирует события безопасности. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
читатель сведений о безопасности; Может просматривать отчеты и сведения о безопасности в Azure AD и Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Администратор поддержки служб Может просматривать сведения о работоспособности служб и работать с запросами в службу поддержки. f023fd81-a637-4b56-95fd-791ac0226033
Администратор SharePoint Может контролировать все аспекты службы SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Администратор Skype для бизнеса Может контролировать все аспекты продукта "Skype для бизнеса". 75941009-915a-4869-abe7-691bff18279e
Администратор Teams Может управлять службой Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Администратор связи Teams Может управлять функциями вызовов и собраний в пределах службы Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Инженер службы поддержки связи Teams Может устранять неполадки со связью в пределах Teams с помощью расширенных средств. f70938a0-fc10-4177-9e90-2178f8765737
Специалист службы поддержки связи Teams Может устранять неполадки со связью в пределах Teams с помощью базовых средств. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Администраторы устройств Teams Может выполнять задачи по управлению на сертифицированных устройствах Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Создатель клиента Создайте новые клиенты Azure AD или Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a6a
Читатель отчетов со сводными данными об использовании Может просматривать только агрегированные данные на уровне клиента в разделе "Аналитика использования и оценка производительности" в Microsoft 365. 75934031-6c7e-415a-99d7-48dbd49e875e
Администратор пользователей Может контролировать все аспекты работы пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами. fe930be7-5e62-47db-91af-98c3a49a38b1
Администратор виртуальных посещений Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Администратор Windows 365 Может выполнять подготовку к работе всех аспектов облачных компьютеров и управлять ими. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Администратор развертывания Центра обновления Windows Может создавать все аспекты и управлять всеми аспектами развертывания обновлений Windows через службы развертывания центра обновления Windows для бизнеса. 32696413-001a-46ae-978c-ce0f6b3620d2
Администратор Yammer Управление всеми аспектами службы Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Администратор приложений

пользователи с этой ролью могут создавать и контролировать все аспекты корпоративных приложений, регистрации приложений, а также параметры прокси приложения. Обратите внимание, что пользователи с этой ролью не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Кроме того, эта роль позволяет соглашаться на делегированные разрешения и разрешения приложений, за исключением разрешений приложений для Microsoft Graph.

Важно!

Это исключение означает, что вы по-прежнему можете соглашаться на разрешения приложений для других приложений (например, зарегистрированных приложений или приложений, не являющихся приложениями Майкрософт). Вы по-прежнему можете запрашивать эти разрешения в рамках регистрации приложения, но для предоставления этих разрешений (то есть согласия на них) требуется администратор с большими привилегиями, например глобальный администратор.

Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения был предоставлен доступ к ресурсу, например возможность создать или обновить пользователя или другие объекты, пользователь с данной ролью может выполнить эти действия при олицетворении приложения. Эта возможность олицетворить удостоверение приложения может представлять собой превышение привилегий пользователя по сравнению с назначенным ему ролям. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.

Действия Описание
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Управление политиками запроса согласия администратора в Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD
microsoft.directory/applications/create Создание всех типов приложений
microsoft.directory/applications/delete Удаление всех типов приложений
microsoft.directory/applications/applicationProxy/read Чтение всех свойств Application Proxy
microsoft.directory/applications/applicationProxy/update Обновление всех свойств Application Proxy
microsoft.directory/applications/applicationProxyAuthentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/applicationProxySslCertificate/update Обновление параметров SSL-сертификата для Application Proxy
microsoft.directory/applications/applicationProxyUrlSettings/update Обновление параметров URL-адреса для Application Proxy
microsoft.directory/applications/appRoles/update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление базовых свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/extensionProperties/update Обновление свойств расширения в приложениях
microsoft.directory/applications/notes/update Обновление заметок приложений
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/applications/tag/update Обновление тегов приложений
microsoft.directory/applications/verification/update Обновление свойства applicationsverification
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/connectors/create Создание соединителей Application Proxy
microsoft.directory/connectors/allProperties/read Чтение всех свойств соединителей Application Proxy
microsoft.directory/connectorGroups/create Создание групп соединителей Application Proxy
microsoft.directory/connectorGroups/delete Удаление групп соединителей Application Proxy
microsoft.directory/connectorGroups/allProperties/read Чтение всех свойств групп соединителей Application Proxy
microsoft.directory/connectorGroups/allProperties/update Обновление всех свойств групп соединителей Application Proxy
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Создание расширений настраиваемой проверки подлинности и управление ими
microsoft.directory/deletedItems.applications/delete Безвозвратное удаление приложений, которые будет невозможно восстановить
microsoft.directory/deletedItems.applications/restore Восстановление обратимо удаленных приложений в исходное состояние
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/applicationPolicies/create Создание политик приложений
microsoft.directory/applicationPolicies/delete Удаление политик приложений
microsoft.directory/applicationPolicies/standard/read Чтение стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/read Чтение сведений о владельцах политик приложений
microsoft.directory/applicationPolicies/policyAppliedTo/read Чтение списка политик приложений, назначенных объекту
microsoft.directory/applicationPolicies/basic/update Обновление стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/update Обновление свойства владельца политик приложений
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Управление учетными данными для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание и администрирование схемы и заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Чтение учетных данных для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности для субъектов-служб
microsoft.directory/servicePrincipals/basic/update Обновление базовых свойств для субъектов-служб
microsoft.directory/servicePrincipals/credentials/update Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/notes/update Обновление заметок субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик для субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства тега для субъектов-служб
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Разработчик приложения

пользователи с этой ролью могут создавать регистрации приложений, когда для параметра "Пользователи могут регистрировать приложения" задано значение "Нет". Кроме того, эта роль позволяет давать согласие от своего имени, когда для параметра "Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени" задано значение "Нет". Пользователи, которым назначена эта роль, добавляются в качестве владельцев при создании регистраций приложений.

Действия Описание
microsoft.directory/applications/createAsOwner Создание всех типов приложений, когда создатель добавляется как первый владелец
microsoft.directory/oAuth2PermissionGrants/createAsOwner Создание операций предоставления разрешений OAuth 2.0 с создателем в качестве первого владельца
microsoft.directory/servicePrincipals/createAsOwner Создание субъектов-служб с создателем в качестве первого владельца

Автор атакующего кода

Пользователи с этой ролью могут создавать атакующие коды, однако не могут запускать и планировать их. Полезные данные атаки после этого становятся доступными для всех администраторов в клиенте, которые могут использовать их для моделирования.

Действия Описание
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Создание атакующих кодов и управление ими в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Чтение отчетов о реагировании на симуляции атак и соответствующем обучении

Администратор симуляции атаки

Пользователи с этой ролью могут создавать и администрировать все аспекты создания симуляции атаки, запускать или планировать симуляцию, а также просматривать ее результаты. Члены этой роли имеют доступ ко всем стимуляциям в клиенте.

Действия Описание
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Создание атакующих кодов и управление ими в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Чтение отчетов о реагировании на симуляции атак и соответствующем обучении
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Создание шаблонов симуляции атак и управление ими в эмуляторе атак

Администратор назначения атрибутов

Пользователи с этой ролью могут назначать и удалять ключи и значения настраиваемых атрибутов безопасности для поддерживаемых объектов Azure AD, включая пользователей, субъекты-службы и устройства.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.

Действия Описание
microsoft.directory/attributeSets/allProperties/read Чтение всех свойств наборов атрибутов
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Чтение всех свойств определений настраиваемых атрибутов безопасности
microsoft.directory/devices/customSecurityAttributes/read Чтение значений настраиваемых атрибутов безопасности для устройств
microsoft.directory/devices/customSecurityAttributes/update Обновление значений настраиваемых атрибутов безопасности для устройств
microsoft.directory/servicePrincipals/customSecurityAttributes/read Чтение значений настраиваемых атрибутов безопасности для субъектов-служб
microsoft.directory/servicePrincipals/customSecurityAttributes/update Обновление значений настраиваемых атрибутов безопасности для субъектов-служб
microsoft.directory/users/customSecurityAttributes/read Чтение значений настраиваемых атрибутов безопасности для пользователей
microsoft.directory/users/customSecurityAttributes/update Обновление значений настраиваемых атрибутов безопасности для пользователей

Читатель назначения атрибутов

Пользователи с этой ролью могут читать ключи и значения настраиваемых атрибутов безопасности поддерживаемым объектам Azure AD.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.

Действия Описание
microsoft.directory/attributeSets/allProperties/read Чтение всех свойств наборов атрибутов
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Чтение всех свойств определений настраиваемых атрибутов безопасности
microsoft.directory/devices/customSecurityAttributes/read Чтение значений настраиваемых атрибутов безопасности для устройств
microsoft.directory/servicePrincipals/customSecurityAttributes/read Чтение значений настраиваемых атрибутов безопасности для субъектов-служб
microsoft.directory/users/customSecurityAttributes/read Чтение значений настраиваемых атрибутов безопасности для пользователей

Администратор определения атрибутов

Пользователи с этой ролью могут определять допустимый набор настраиваемых атрибутов безопасности, которые могут назначаться поддерживаемым объектам Azure AD. Эта роль также может активировать и деактивировать настраиваемые атрибуты безопасности.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.

Действия Описание
microsoft.directory/attributeSets/allProperties/allTasks Управление всеми аспектами наборов атрибутов
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Управление всеми аспектами определений настраиваемых атрибутов безопасности

Читатель определения атрибутов

Пользователи с этой ролью могут читать определения настраиваемых атрибутов безопасности.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.

Действия Описание
microsoft.directory/attributeSets/allProperties/read Чтение всех свойств наборов атрибутов
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Чтение всех свойств определений настраиваемых атрибутов безопасности

Администратор проверки подлинности

Назначьте роль администратора проверки подлинности пользователям, которым необходимо выполнить следующие действия:

  • Задайте или сбросьте любой метод проверки подлинности (включая пароли) для пользователей, не являющихся администраторами, и некоторых ролей. Список ролей, для которых администратор проверки подлинности может считывать или обновлять способы проверки подлинности, см. в разделе Кто может сбрасывать пароли.
  • Требовать повторной регистрации пользователей, не являющихся администраторами или назначенных некоторым ролям, с использованием существующих учетных данных, не относящихся к паролю (например, MFA или FIDO), а также могут отозвать MFA на устройстве, что запрашивает MFA при следующем входе.
  • Выполнение конфиденциальных действий для некоторых пользователей. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
  • Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.

Пользователи с этой ролью не могут выполнять следующие действия:

  • Невозможно изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
  • Не удается управлять параметрами MFA на устаревшем портале управления MFA или аппаратных токенах OATH. Те же функции можно реализовать с помощью модуля PowerShell с командлетом Azure AD Set-MsolUser.

В следующей таблице сравниваются возможности этой роли со связанными ролями.

Должность Управление методами проверки подлинности пользователя Управление MFA для каждого пользователя Управление параметрами MFA Управление политикой выбора метода проверки подлинности Управление политикой защиты паролем Обновление конфиденциальных свойств Удаление и восстановление пользователей
Администратор проверки подлинности Да для некоторых пользователей Да для некоторых пользователей Нет нет Нет Да для некоторых пользователей Да для некоторых пользователей
Привилегированный администратор проверки подлинности Да для всех пользователей Да для всех пользователей Нет нет Нет Да для всех пользователей Да для всех пользователей
Администратор политики проверки подлинности Нет Нет Да Да Да нет нет
Администратор пользователей Нет нет нет нет Нет Да для некоторых пользователей Да для некоторых пользователей

Важно!

Пользователи с этой ролью могут изменять учетные данные для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам проверки подлинности. По этому пути администратор проверки подлинности сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office 365 и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
Действия Описание
microsoft.directory/users/authenticationMethods/create Создание способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/delete Удаление способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/standard/restrictedRead Считывание стандартных свойств способов проверки подлинности, не включающих личные сведения пользователей
microsoft.directory/users/authenticationMethods/basic/update Изменение стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/deletedItems.users/restore Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/users/delete Удаление пользователей
microsoft.directory/users/disable Отключение пользователей
microsoft.directory/users/enable Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление базовых параметров пользователей
microsoft.directory/users/manager/update Обновление менеджера для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор политики проверки подлинности

Назначьте роль администратора политики проверки подлинности пользователям, которым необходимо выполнить следующие действия:

  • Настройте политику методов проверки подлинности, параметры MFA на уровне клиента и политику защиты паролем, которые определяют, какие методы каждый пользователь может зарегистрировать и использовать.
  • Управление параметрами защиты паролем: конфигурации интеллектуальной блокировки и обновление пользовательского списка запрещенных паролей.
  • Создание проверяемых удостоверений и управление ими.
  • Создание запросов в службу поддержки Azure и управление ими.

Пользователи с этой ролью не могут выполнять следующие действия:

В следующей таблице сравниваются возможности этой роли со связанными ролями.

Должность Управление методами проверки подлинности пользователя Управление MFA для каждого пользователя Управление параметрами MFA Управление политикой выбора метода проверки подлинности Управление политикой защиты паролем Обновление конфиденциальных свойств Удаление и восстановление пользователей
Администратор проверки подлинности Да для некоторых пользователей Да для некоторых пользователей нет Нет нет Да для некоторых пользователей Да для некоторых пользователей
Привилегированный администратор проверки подлинности Да для всех пользователей Да для всех пользователей Нет Нет Нет Да для всех пользователей Да для всех пользователей
Администратор политики проверки подлинности Нет нет Да Да Да нет нет
Администратор пользователей нет нет нет нет нет Да для некоторых пользователей Да для некоторых пользователей
Действия Описание
microsoft.directory/organization/strongAuthentication/allTasks Управление всеми аспектами строгой проверки подлинности в организации
microsoft.directory/userCredentialPolicies/create Создание политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/delete Удаление политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/standard/read Чтение стандартных свойств политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/owners/read Чтение владельцев политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Чтение навигационной ссылки policy.appliesTo
microsoft.directory/userCredentialPolicies/basic/update Обновление базовых политик для пользователей
microsoft.directory/userCredentialPolicies/owners/update Обновление владельцев политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/tenantDefault/update Обновление свойства policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Чтение карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Отзыв карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/create Создание контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Чтение контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Обновление контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/create Создание конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/delete Удаление конфигурации, необходимой для создания проверяемых удостоверений и управления ими, а также удаление всех ее проверяемых удостоверений
microsoft.directory/verifiableCredentials/configuration/allProperties/read Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/allProperties/update Обновление конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими

Локальный администратор устройства, присоединенного к Azure AD

эту роль можно назначить только в качестве роли дополнительного локального администратора в параметрах устройства. Пользователи с этой ролью становятся администраторами локальных компьютеров на всех устройствах с Windows 10, присоединенных к Azure Active Directory. Они не могут управлять объектами устройств в Azure Active Directory.

Действия Описание
microsoft.directory/groupSettings/standard/read Чтение базовых свойств для параметров группы
microsoft.directory/groupSettingTemplates/standard/read Чтение базовых свойств для шаблонов параметров группы

Администратор Azure DevOps

Пользователи с этой ролью могут управлять всеми корпоративными политиками Azure DevOps, применимыми ко всем организациям Azure DevOps, поддерживаемым Azure AD. Пользователи с этой ролью могут управлять этими политиками через любую организацию Azure DevOps, которая поддерживается организацией Azure AD. Кроме того, пользователи с этой ролью могут заявлять права собственности на потерянные организации Azure DevOps. Эта роль не предоставляет никаких других особых разрешений Azure DevOps (например, для администраторов коллекции проектов) ни в одной из организаций Azure DevOps, поддерживаемых организацией Azure AD компании.

Действия Описание
microsoft.azure.devOps/allEntities/allTasks Чтение и настройка Azure DevOps

Администратор Azure Information Protection

пользователи с этой ролью имеют все разрешения в службе Azure Information Protection. Эта роль позволяет настраивать метки для политики Azure Information Protection, управлять шаблонами защиты и активировать защиту. Эта роль не предоставляет разрешений в центре защиты идентификации, Privileged Identity Management, службе отслеживания работоспособности служб Microsoft 365, а также Центре безопасности и соответствия требованиям Office 365.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.azure.informationProtection/allEntities/allTasks Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор наборов ключей IEF B2C

Пользователь может создавать ключи политики и секреты для шифрования маркеров, подписи маркеров и шифрования и расшифровки утверждений, а также управлять этими ключами. Добавляя новые ключи в существующие контейнеры ключей, этот администратор с ограниченными правами может при необходимости менять секреты без влияния на существующие приложения.  Этот пользователь может видеть полное содержимое секретов и даты окончания срока их действия даже после их создания.

Важно!

Это очень важная роль.  В подготовительной и рабочей средах роль администратора набора ключей должна проходить тщательную проверку и назначаться с особым вниманием.

Действия Описание
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Чтение и настройка наборов ключей в Azure Active Directory B2C

Администратор политик IEF B2C

Пользователи с этой ролью могут создавать, читать, обновлять и удалять все настраиваемые политики в Azure AD B2C и, таким образом, имеют полный доступ к Identity Experience Framework в соответствующей организации Azure AD B2C. Изменяя политики, эти пользователи могут устанавливать прямую федерацию с внешними поставщиками удостоверений, изменять схемы каталогов, изменять все содержимое для пользователей (HTML, CSS, JavaScript), изменять требования к прохождению проверки подлинности, создавать пользователей, отправлять данные пользователей во внешние системы, включая полную миграцию, и изменять все сведения о пользователях, включая поля с такими конфиденциальными данными, как пароли и номера телефонов. Но в то же время пользователи с этой ролью не могут изменять ключи шифрования или секреты, используемые для федерации в организации.

Важно!

Администратор политики IEF B2C — это очень важная роль, которую следует назначать в организациях в рабочей среде в весьма ограниченном количестве случаев.  Действия, выполняемые этими пользователями, необходимо тщательно проверять, особенно в организациях в рабочей среде.

Действия Описание
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Чтение и настройка пользовательских политик в Azure Active Directory B2C

администратора выставления счетов;

совершает покупки, управляет подписками, управляет запросами в службу поддержки и отслеживает работоспособность службы.

Действия Описание
microsoft.directory/organization/basic/update Обновление базовых свойств для организации
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.commerce.billing/allEntities/allProperties/allTasks Управление всеми аспектами выставления счетов в Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Cloud App Security

У пользователей с этой ролью есть полные разрешения в приложениях Defender для облака. Они могут добавлять администраторов, добавлять политики и параметры для приложений Microsoft Defender для облака, отправлять журналы и выполнять действия по управлению.

Действия Описание
microsoft.directory/cloudAppSecurity/allProperties/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор облачных приложений

пользователи с этой ролью имеют те же разрешения, что и для роли администратора приложений, за исключением возможности управления прокси приложения. Эта роль позволяет создавать и контролировать все аспекты корпоративных приложений и регистраций приложений. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Кроме того, эта роль позволяет соглашаться на делегированные разрешения и разрешения приложений, за исключением разрешений приложений для Microsoft Graph.

Важно!

Это исключение означает, что вы по-прежнему можете соглашаться на разрешения приложений для других приложений (например, зарегистрированных приложений или приложений, не являющихся приложениями Майкрософт). Вы по-прежнему можете запрашивать эти разрешения в рамках регистрации приложения, но для предоставления этих разрешений (то есть согласия на них) требуется администратор с большими привилегиями, например глобальный администратор.

Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения был предоставлен доступ к ресурсу, например возможность создать или обновить пользователя или другие объекты, пользователь с данной ролью может выполнить эти действия при олицетворении приложения. Эта возможность олицетворить удостоверение приложения может представлять собой превышение привилегий пользователя по сравнению с назначенным ему ролям. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.

Действия Описание
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Управление политиками запроса согласия администратора в Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD
microsoft.directory/applications/create Создание всех типов приложений
microsoft.directory/applications/delete Удаление всех типов приложений
microsoft.directory/applications/appRoles/update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление базовых свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/extensionProperties/update Обновление свойств расширения в приложениях
microsoft.directory/applications/notes/update Обновление заметок приложений
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/applications/tag/update Обновление тегов приложений
microsoft.directory/applications/verification/update Обновление свойства applicationsverification
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/deletedItems.applications/delete Безвозвратное удаление приложений, которые будет невозможно восстановить
microsoft.directory/deletedItems.applications/restore Восстановление обратимо удаленных приложений в исходное состояние
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/applicationPolicies/create Создание политик приложений
microsoft.directory/applicationPolicies/delete Удаление политик приложений
microsoft.directory/applicationPolicies/standard/read Чтение стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/read Чтение сведений о владельцах политик приложений
microsoft.directory/applicationPolicies/policyAppliedTo/read Чтение списка политик приложений, назначенных объекту
microsoft.directory/applicationPolicies/basic/update Обновление стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/update Обновление свойства владельца политик приложений
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Управление учетными данными для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание и администрирование схемы и заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Чтение учетных данных для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности для субъектов-служб
microsoft.directory/servicePrincipals/basic/update Обновление базовых свойств для субъектов-служб
microsoft.directory/servicePrincipals/credentials/update Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/notes/update Обновление заметок субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик для субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства тега для субъектов-служб
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор облачного устройства

пользователи с этой ролью могут включать, отключать и удалять устройства в Azure AD и считывать ключи BitLocker в Windows 10 (при наличии) на портале Azure. Роль не предоставляет разрешения на управление любыми другими свойствами устройства.

Действия Описание
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/deletedItems.devices/delete Окончательное удаление устройств, которые больше не могут быть восстановлены
microsoft.directory/deletedItems.devices/restore Восстановление обратимо удаленных устройств в исходное состояние
microsoft.directory/devices/delete Удаление устройств из Azure AD
microsoft.directory/devices/disable Отключение устройств в Azure AD
microsoft.directory/devices/enable Включение устройств в Azure AD
microsoft.directory/deviceManagementPolicies/standard/read Считывание стандартных свойств для политик приложения управления устройствами
microsoft.directory/deviceManagementPolicies/basic/update Обновление базовых свойств для политик приложения управления устройствами
microsoft.directory/deviceRegistrationPolicy/standard/read Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/deviceRegistrationPolicy/basic/update Обновление базовых свойств для политик регистрации устройств
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365

Администратор соответствия требованиям

У пользователей с этой ролью есть разрешения на управление функциями, связанными с соответствием, на Портале соответствия требованиям Microsoft Purview, в Центре администрирования Microsoft 365, Azure и Центре безопасности и соответствия требованиям Office 365. Они также могут управлять всеми функциями в Центре администрирования Exchange и Центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Дополнительные сведения см. в статье Роли администраторов в Microsoft 365.

В Может
Портал соответствия требованиям Microsoft Purview Защита данных организации и управление ими в службах Майкрософт 365Управление оповещениями о соответствии требованиям
Диспетчер соответствия Отслеживание, назначение и проверка деятельности организации на соответствие требованиям.
Центр безопасности и соответствия требованиям Office 365 Управление даннымиУправление юридическими вопросами и анализом данныхУправление запросом субъекта данныхЭто роль имеет те же разрешения, что и группа ролей администратора соответствия требованиям в Office 365 управление доступом на основе ролей в Центре соответствия требованиям безопасности&.
Intune Просмотр всех данных проверки Intune.
Microsoft Defender для облачных приложений Имеет разрешения только для чтения и может управлять оповещениямиКать создавать и изменять политики файлов и разрешать действия по управлению файламиКак просматривать все встроенные отчеты в Управление данными
Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/entitlementManagement/allProperties/read Чтение всех свойств в системе управления правами Azure AD
microsoft.office365.complianceManager/allEntities/allTasks Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор соответствия данных требованиям

У пользователей с этой ролью есть разрешения на отслеживание данных на Портале соответствия требованиям Microsoft Purview, в Центре администрирования Microsoft 365 и Azure. Пользователи также могут отслеживать данные соответствия в центре администрирования Exchange, диспетчере соответствия требованиям и центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Эта документация содержит подробные сведения о различиях между администратором соответствия требованиям и администратором данных соответствия требованиям.

В Может
Портал соответствия требованиям Microsoft Purview Мониторинг политик, связанных с соответствием требованиям, в службах Майкрософт 365Управление оповещениями о соответствии
Диспетчер соответствия Отслеживание, назначение и проверка деятельности организации на соответствие требованиям.
Центр безопасности и соответствия требованиям Office 365 Управление даннымиУправление юридическими вопросами и анализом данныхУправление запросом субъекта данныхЭто роль имеет те же разрешения, что и роль администратора данных соответствия требованиям в Office 365 управление доступом на основе ролей в Центре соответствия требованиям & безопасности.
Intune Просмотр всех данных проверки Intune.
Microsoft Defender для облачных приложений Имеет разрешения только для чтения и может управлять оповещениямиКать создавать и изменять политики файлов и разрешать действия по управлению файламиКак просматривать все встроенные отчеты в Управление данными
Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/cloudAppSecurity/allProperties/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.azure.informationProtection/allEntities/allTasks Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.complianceManager/allEntities/allTasks Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор условного доступа

Пользователи с этой ролью могут управлять параметрами условного доступа в Azure Active Directory.

Действия Описание
microsoft.directory/namedLocations/create Создание настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/delete Удаление настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/standard/read Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/basic/update Обновление основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/conditionalAccessPolicies/create Создание политик условного доступа
microsoft.directory/conditionalAccessPolicies/delete Удаление политик условного доступа
microsoft.directory/conditionalAccessPolicies/standard/read Условный доступ на чтение для политик
microsoft.directory/conditionalAccessPolicies/owners/read Считывание владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Чтение свойства "Применяется к" для политик условного доступа
microsoft.directory/conditionalAccessPolicies/basic/update Обновление базовых свойств для политик условного доступа
microsoft.directory/conditionalAccessPolicies/owners/update Обновление владельцев для политик условного доступа
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Обновление клиента по умолчанию для политик условного доступа

Лицо, утверждающее доступ клиентов к LockBox

Управляет запросами защищенного хранилища в вашей организации. Для запросов защищенного хранилища они получают уведомления по электронной почте и могут утверждать и отклонять запросы из Центра администрирования Microsoft 365. Они могут также выключать функции защищенного хранилища. Только глобальные администраторы могут сбрасывать пароли пользователей, которым назначены эти роли.

Действия Описание
microsoft.office365.lockbox/allEntities/allTasks Управление всеми аспектами защищенного хранилища
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор аналитики классических приложений

Пользователи с этой ролью могут управлять службами портала "Аналитика компьютеров". В частности, возможностями просмотра наличных ресурсов, создания планов развертывания, просмотра развертывания и состояния работоспособности.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.desktopAnalytics/allEntities/allTasks Управление всеми аспектами Аналитики компьютеров

Читатели каталогов

Пользователи с этой ролью могут считывать основные сведения о каталогах. Эта роль должна использоваться в следующих целях:

  • предоставление доступа на чтение лишь определенному набору гостевых пользователей, а не всем;
  • предоставление доступа к порталу Azure определенному набору пользователей, не являющихся администраторами, когда для параметра "Предоставлять доступ к порталу Azure AD только администраторам" установлено значение "Да";
  • предоставление субъектам-службам доступа к каталогам, для которых не установлен параметр Directory.Read.All.
Действия Описание
microsoft.directory/administrativeUnits/standard/read Чтение базовых свойств единиц администрирования
microsoft.directory/administrativeUnits/members/read Считывание членов административных единиц
microsoft.directory/applications/standard/read Чтение стандартных свойств приложений
microsoft.directory/applications/owners/read Считывание владельцев приложений
microsoft.directory/applications/policies/read Чтение политик приложений
microsoft.directory/contacts/standard/read Чтение базовых свойств контактов в Azure AD
microsoft.directory/contacts/memberOf/read Чтение членства в группах для всех контактов в Azure AD
microsoft.directory/contracts/standard/read Чтение базовых свойств контрактов с партнерами
microsoft.directory/devices/standard/read Чтение базовых свойств для устройств
microsoft.directory/devices/memberOf/read Чтение членства для устройств
microsoft.directory/devices/registeredOwners/read Считывание зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/read Считывание зарегистрированных пользователей устройств
microsoft.directory/directoryRoles/standard/read Считывание базовых свойств в ролях Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Считывание подходящих членов ролей Azure AD
microsoft.directory/directoryRoles/members/read Считывание всех членов ролей Azure AD
microsoft.directory/domains/standard/read Чтение базовых свойств для доменов
microsoft.directory/groups/standard/read Чтение стандартных свойств групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/appRoleAssignments/read Чтение назначений ролей приложения для групп
microsoft.directory/groups/memberOf/read Чтение свойств memberOf для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/members/read Чтение данных о членстве в группах безопасности и группах Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/owners/read Чтение данных о владельцах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/settings/read Чтение параметров групп
microsoft.directory/groupSettings/standard/read Чтение базовых свойств для параметров группы
microsoft.directory/groupSettingTemplates/standard/read Чтение базовых свойств для шаблонов параметров группы
microsoft.directory/oAuth2PermissionGrants/standard/read Чтение базовых свойств для операций предоставления разрешений OAuth 2.0
microsoft.directory/organization/standard/read Чтение базовых свойств для организации
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Чтение доверенных центров сертификации для проверки подлинности без пароля
microsoft.directory/applicationPolicies/standard/read Чтение стандартных свойств политик приложений
microsoft.directory/roleAssignments/standard/read Чтение базовых свойств назначений ролей
microsoft.directory/roleDefinitions/standard/read Чтение базовых свойств определений ролей
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Чтение назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/appRoleAssignments/read Чтение назначений ролей, назначенных субъекту-службе
microsoft.directory/servicePrincipals/standard/read Чтение базовых свойств субъектов-служб
microsoft.directory/servicePrincipals/memberOf/read Чтение данных о членстве в группах для субъектов-служб
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Чтение данных об операциях предоставления делегированных разрешений для субъекта-служб
microsoft.directory/servicePrincipals/owners/read Чтение сведений о владельцах субъектов-служб
microsoft.directory/servicePrincipals/ownedObjects/read Чтение находящихся во владении объектов субъектов-служб
microsoft.directory/servicePrincipals/policies/read Чтение политик субъектов-служб
microsoft.directory/subscribedSkus/standard/read Чтение базовых свойств для подписок
microsoft.directory/users/standard/read Чтение базовых свойств для пользователей
microsoft.directory/users/appRoleAssignments/read Чтение назначений ролей приложения для пользователей
microsoft.directory/users/deviceForResourceAccount/read Чтение свойства deviceForResourceAccount для пользователей
microsoft.directory/users/directReports/read Считывание подчиненных конкретного пользователя
microsoft.directory/users/licenseDetails/read Чтение сведений о лицензиях для пользователей
microsoft.directory/users/manager/read Считывание менеджера пользователей
microsoft.directory/users/memberOf/read Считывание данных о членстве пользователей в группах
microsoft.directory/users/oAuth2PermissionGrants/read Чтение операций предоставления делегированных разрешений для пользователей
microsoft.directory/users/ownedDevices/read Считывание устройств, принадлежащих пользователям
microsoft.directory/users/ownedObjects/read Считывание объектов, принадлежащих пользователям
microsoft.directory/users/photo/read Просмотр фотографий пользователей
microsoft.directory/users/registeredDevices/read Считывание зарегистрированных устройств пользователей
microsoft.directory/users/scopedRoleMemberOf/read Чтение данных о членстве пользователей в роли Azure AD с областью действия административного подразделения

Учетные записи синхронизации службы каталогов

Не используйте. Эта роль автоматически назначается службе Azure AD Connect, она не предназначена для любого другого использования.

Действия Описание
microsoft.directory/applications/create Создание всех типов приложений
microsoft.directory/applications/delete Удаление всех типов приложений
microsoft.directory/applications/appRoles/update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление базовых свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/notes/update Обновление заметок приложений
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/applications/tag/update Обновление тегов приложений
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Управление политикой гибридной проверки подлинности в Azure AD
microsoft.directory/organization/dirSync/update Обновление свойства синхронизации каталога организации
microsoft.directory/passwordHashSync/allProperties/allTasks Управление всеми аспектами синхронизации хэша паролей (PHS) в Azure AD.
microsoft.directory/policies/create Создание политик в Azure AD
microsoft.directory/policies/delete Удаление политик в Azure AD
microsoft.directory/policies/standard/read Чтение базовых свойств для политик
microsoft.directory/policies/owners/read Считывание владельцев политик
microsoft.directory/policies/policyAppliedTo/read Чтение свойства policies.policyAppliedTo
microsoft.directory/policies/basic/update Обновление базовых свойств для политик
microsoft.directory/policies/owners/update Обновление владельцев политик
microsoft.directory/policies/tenantDefault/update Обновление политик организации по умолчанию
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Управление учетными данными для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Чтение учетных данных для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Чтение назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/appRoleAssignments/read Чтение назначений ролей, назначенных субъекту-службе
microsoft.directory/servicePrincipals/standard/read Чтение базовых свойств субъектов-служб
microsoft.directory/servicePrincipals/memberOf/read Чтение данных о членстве в группах для субъектов-служб
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Чтение данных об операциях предоставления делегированных разрешений для субъекта-служб
microsoft.directory/servicePrincipals/owners/read Чтение сведений о владельцах субъектов-служб
microsoft.directory/servicePrincipals/ownedObjects/read Чтение находящихся во владении объектов субъектов-служб
microsoft.directory/servicePrincipals/policies/read Чтение политик субъектов-служб
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности для субъектов-служб
microsoft.directory/servicePrincipals/basic/update Обновление базовых свойств для субъектов-служб
microsoft.directory/servicePrincipals/credentials/update Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/notes/update Обновление заметок субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик для субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства тега для субъектов-служб

Создатели каталогов

Пользователи с этой ролью могут читать и обновлять базовые сведения о пользователях, группах и субъектах-службах.

Действия Описание
microsoft.directory/applications/extensionProperties/update Обновление свойств расширения в приложениях
microsoft.directory/contacts/create Создание контактов
microsoft.directory/groups/assignLicense Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/create Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/reprocessLicenseAssignment Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/basic/update Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/classification/update Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/dynamicMembershipRule/update Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/groupType/update Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/members/update Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/onPremWriteBack/update Обновление групп Azure Active Directory для обратной записи в локальную среду с помощью Azure AD Connect
microsoft.directory/groups/owners/update Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/settings/update Обновление параметров групп
microsoft.directory/groups/visibility/update Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groupSettings/create Create group settings (Создание параметров группы)
microsoft.directory/groupSettings/delete Delete group settings (Удаление параметров группы)
microsoft.directory/groupSettings/basic/update Обновление базовых свойств для параметров группы
microsoft.directory/oAuth2PermissionGrants/create Создание операций предоставления разрешений OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/basic/update Обновление операций предоставления разрешений OAuth 2.0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание и администрирование схемы и заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
microsoft.directory/users/disable Отключение пользователей
microsoft.directory/users/enable Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/inviteGuest Приглашение гостевых пользователей
microsoft.directory/users/reprocessLicenseAssignment Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/basic/update Обновление базовых параметров пользователей
microsoft.directory/users/manager/update Обновление менеджера для пользователей
microsoft.directory/users/photo/update Обновление фотографий пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей

Администратор доменных имен

Пользователи с этой ролью могут управлять доменными именами (чтение, добавление, проверка, обновление и удаление). Они также могут считывать данные каталога о пользователях, группах и приложениях, поскольку эти объекты имеют зависимости от домена. Для локальных сред пользователи с этой ролью могут настроить доменные имена для федерации, чтобы для связанных пользователей всегда выполнялась проверка подлинности в локальной среде. Затем эти пользователи могут войти в службы на основе Azure AD, используя свои локальные пароли, посредством единого входа. Параметры федерации должны быть синхронизировать через Azure AD Connect, поэтому у пользователей также есть разрешения на управление Azure AD Connect.

Действия Описание
microsoft.directory/domains/allProperties/allTasks Создание и удаление доменов, а также чтение и обновление всех свойств
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Dynamics 365

пользователи с этой ролью имеют глобальные разрешения в Microsoft Dynamics 365 Online (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Использование роли администратора службы для управления организацией Azure AD.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Dynamics 365". На портале Azure она называется "Администратор Dynamics 365".

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.dynamics365/allEntities/allTasks Управление всеми аспектами Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Edge

Пользователи с этой ролью могут создавать список сайтов предприятия, необходимый для работы в режиме Internet Explorer в Microsoft Edge, и управлять им. Эта роль предоставляет разрешения на создание, изменение и публикацию списка сайтов, а также позволяет управлять запросами в службу поддержки. Подробнее

Действия Описание
microsoft.edge/allEntities/allProperties/allTasks Управление всеми аспектами Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Exchange

пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online (если служба используется). У них также есть возможность создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения см. в статье Роли администраторов в Microsoft 365.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Exchange". На портале Azure она называется "Администратор Exchange". Это "Администратор Exchange Online" в Центре администрирования Exchange.

Действия Описание
microsoft.directory/groups/hiddenMembers/read Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/create Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.directory/groups.unified/basic/update Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.exchange/allEntities/basic/allTasks Управление всеми аспектами Exchange Online
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор получателей Exchange

Пользователи с этой ролью имеют доступ для чтения к получателям и доступ для записи к атрибутам получателей в Exchange Online. См. дополнительные сведения о получателях Exchange.

Действия Описание
microsoft.office365.exchange/recipients/allProperties/allTasks Создание и удаление всех получателей, а также чтение и обновление всех свойств получателей в Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Управление всеми задачами, относящимися к миграции получателей в Exchange Online

Администратор потоков пользователей с внешним идентификатором

Пользователи с этой ролью могут создавать потоки пользователей (также называемые "встроенными" политиками) и управлять ими на портале Azure. Эти пользователи могут настраивать содержимое HTML, CSS или JavaScript, изменять требования MFA, выбирать утверждения в маркере, управлять соединителями API и их учетными данными, а также настраивать параметры сеанса для всех потоков пользователей в организации Azure AD. С другой стороны, пользователи с этой ролью не могут просматривать данные пользователей или вносить изменения в атрибуты, включенные в схему организации. Они также не могут изменять политики Identity Experience Framework (так называемые настраиваемые политики).

Действия Описание
microsoft.directory/b2cUserFlow/allProperties/allTasks Чтение и настройка потоков пользователей в Azure Active Directory B2C.

Администратор атрибутов потоков пользователей с внешним идентификатором

Пользователи с этой ролью добавляют или удаляют настраиваемые атрибуты, доступные для всех потоков пользователей в организации Azure AD.  Таким образом, эти пользователи могут изменять или добавлять новые элементы в схему конечного пользователя, влиять на поведение всех потоков пользователей и косвенно приводить к изменениям данных, запрашиваемых у конечных пользователей и в результате отправляемых в виде утверждений в приложения.  Пользователи с этой ролью не могут изменять потоки пользователей.

Действия Описание
microsoft.directory/b2cUserAttribute/allProperties/allTasks Чтение и настройка атрибутов пользователей в Azure Active Directory B2C

Администратор внешних поставщиков удостоверений

Этот администратор управляет федерацией между организациями Azure AD и внешними поставщиками удостоверений.  Пользователи с этой ролью могут добавлять новые поставщики удостоверений и настраивать все доступные параметры (например, путь для проверки подлинности, идентификатор службы, назначенные контейнеры ключей).  Эти пользователи могут включать для организации Azure AD доверие к проверкам подлинности из внешних поставщиков удостоверений.  Итоговое влияние на работу конечного пользователя зависит от типа организации:

Действия Описание
microsoft.directory/domains/federation/update Обновление свойства федерации для доменов
microsoft.directory/identityProviders/allProperties/allTasks Чтение и настройка поставщиков идентификаторов в Azure Active Directory B2C

глобальный администратор

У пользователей с этой ролью есть доступ ко всем административным функциям Azure Active Directory, а также к службам, использующим удостоверения Azure Active Directory (портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview, Exchange Online, SharePoint Online, Skype для бизнеса Online и др.). Кроме того, глобальные администраторы могут повысить свой уровень доступа и получить право управления всеми подписками и группами управления Azure. Это позволяет глобальным администраторам получить полный доступ ко всем ресурсам Azure с помощью соответствующего клиента Azure AD. Пользователь, зарегистрировавший организацию Azure AD, становится глобальным администратором. В компании может быть несколько глобальных администраторов. Глобальные администраторы могут сбросить пароль любого пользователя и администратора.

Примечание

Майкрософт настоятельно рекомендует назначить роль глобального администратора не более пяти сотрудникам в организации. Дополнительные сведения см. в разделе Рекомендации по работе с ролями Azure AD.

Действия Описание
microsoft.directory/accessReviews/allProperties/allTasks (Не рекомендуется) Создание и удаление проверок доступа, чтение и обновление всех свойств проверок доступа, управление проверками доступа для групп в Azure AD
microsoft.directory/accessReviews/definitions/allProperties/allTasks Управление проверками доступа всех проверяемых ресурсов в Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Управление политиками запроса согласия администратора в Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Создание административных единиц и управление ими (включая члены)
microsoft.directory/appConsent/appConsentRequests/allProperties/read Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD
microsoft.directory/applications/allProperties/allTasks Создание и удаление приложений, а также чтение и обновление всех свойств
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/users/authenticationMethods/create Создание способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/delete Удаление способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/standard/read Считывание стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/basic/update Изменение стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/authorizationPolicy/allProperties/allTasks Управление всеми аспектами политики авторизации
microsoft.directory/bitlockerKeys/key/read Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/cloudAppSecurity/allProperties/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.directory/connectors/create Создание соединителей Application Proxy
microsoft.directory/connectors/allProperties/read Чтение всех свойств соединителей Application Proxy
microsoft.directory/connectorGroups/create Создание групп соединителей Application Proxy
microsoft.directory/connectorGroups/delete Удаление групп соединителей Application Proxy
microsoft.directory/connectorGroups/allProperties/read Чтение всех свойств групп соединителей Application Proxy
microsoft.directory/connectorGroups/allProperties/update Обновление всех свойств групп соединителей Application Proxy
microsoft.directory/contacts/allProperties/allTasks Создание и удаление контактов, а также чтение и обновление всех свойств
microsoft.directory/contracts/allProperties/allTasks Создание и удаление контактов партнеров, а также чтение и обновление всех свойств
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Создание расширений настраиваемой проверки подлинности и управление ими
microsoft.directory/deletedItems/delete Безвозвратное удаление объектов, которые будет невозможно восстановить
microsoft.directory/deletedItems/restore Восстановление обратимо удаленных объектов в исходное состояние
microsoft.directory/devices/allProperties/allTasks Создание и удаление устройств, а также чтение и обновление всех свойств
microsoft.directory/namedLocations/create Создание настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/delete Удаление настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/standard/read Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/basic/update Обновление основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/deviceManagementPolicies/standard/read Считывание стандартных свойств для политик приложения управления устройствами
microsoft.directory/deviceManagementPolicies/basic/update Обновление базовых свойств для политик приложения управления устройствами
microsoft.directory/deviceRegistrationPolicy/standard/read Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/deviceRegistrationPolicy/basic/update Обновление базовых свойств для политик регистрации устройств
microsoft.directory/directoryRoles/allProperties/allTasks Создание и удаление ролей каталога, а также чтение и обновление всех свойств
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Создание и удаление шаблонов ролей Azure AD, а также чтение и обновление всех свойств
microsoft.directory/domains/allProperties/allTasks Создание и удаление доменов, а также чтение и обновление всех свойств
microsoft.directory/entitlementManagement/allProperties/allTasks Создание и удаление ресурсов, а также чтение и обновление всех свойств в системе управления правами Azure AD
microsoft.directory/groups/allProperties/allTasks Создание и удаление групп, а также чтение и обновление всех свойств
microsoft.directory/groupsAssignableToRoles/create Создание групп с назначением ролей
microsoft.directory/groupsAssignableToRoles/delete Удаление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/restore Восстановление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/allProperties/update Обновление групп с возможностью назначения ролей
microsoft.directory/groupSettings/allProperties/allTasks Создание и удаление параметров групп, а также чтение и обновление всех свойств
microsoft.directory/groupSettingTemplates/allProperties/allTasks Создание и удаление шаблонов параметров групп, а также чтение и обновление всех свойств
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Управление политикой гибридной проверки подлинности в Azure AD
microsoft.directory/identityProtection/allProperties/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в службе "Защита идентификации Azure Active Directory"
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Создание и удаление элемента loginTenantBranding, а также чтение и обновление всех свойств
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/organization/allProperties/allTasks Чтение и обновление всех свойств для организации
microsoft.directory/passwordHashSync/allProperties/allTasks Управление всеми аспектами синхронизации хэша паролей (PHS) в Azure AD.
microsoft.directory/policies/allProperties/allTasks Создание и удаление политик, а также чтение и обновление всех свойств
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Управление всеми свойствами политик условного доступа
microsoft.directory/crossTenantAccessPolicy/standard/read Чтение базовых свойств политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Обновление разрешенных облачных конечных точек политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicies/basic/update Обновление основных параметров политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/default/standard/read Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Обновление ограничений для клиентов политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/create Создание политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/delete Удаление политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Обновление ограничений для клиентов политики межклиентского доступа для партнеров
microsoft.directory/privilegedIdentityManagement/allProperties/read Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/roleAssignments/allProperties/allTasks Создание и удаление назначений ролей, а также чтение и обновление всех их свойств
microsoft.directory/roleDefinitions/allProperties/allTasks Создание и удаление определений ролей, а также чтение и обновление всех их свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств
microsoft.directory/serviceAction/activateService Возможность выполнения действия "активировать службу" для службы
microsoft.directory/serviceAction/disableDirectoryFeature Возможность выполнения действия "отключить функцию каталога" для службы
microsoft.directory/serviceAction/enableDirectoryFeature Возможность выполнения действия "включить функцию каталога" для службы
microsoft.directory/serviceAction/getAvailableExtentionProperties Возможность выполнения действия getAvailableExtentionProperties для службы
microsoft.directory/servicePrincipals/allProperties/allTasks Создание и удаление субъектов-служб, а также чтение и обновление всех свойств
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Предоставление любому приложению согласия для любого разрешения
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.directory/subscribedSkus/allProperties/allTasks Приобретение подписок, управление ими и их удаление
microsoft.directory/users/allProperties/allTasks Создание и удаление пользователей, а также чтение и обновление всех свойств
microsoft.directory/permissionGrantPolicies/create Создание политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/delete Удаление политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/standard/read Чтение стандартных свойств для политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/basic/update Обновление базовых свойств для политик предоставления разрешений
microsoft.directory/servicePrincipalCreationPolicies/create Создание политик создания субъектов-служб
microsoft.directory/servicePrincipalCreationPolicies/delete Удаление политик создания субъектов-служб
microsoft.directory/servicePrincipalCreationPolicies/standard/read Чтение стандартных свойств политик создания субъектов-служб
microsoft.directory/servicePrincipalCreationPolicies/basic/update Обновление базовых свойств политик создания субъектов-служб
microsoft.directory/tenantManagement/tenants/create Создание новых клиентов в Azure Active Directory
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Чтение карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Отзыв карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/create Создание контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Чтение контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Обновление контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/create Создание конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/delete Удаление конфигурации, необходимой для создания проверяемых удостоверений и управления ими, а также удаление всех ее проверяемых удостоверений
microsoft.directory/verifiableCredentials/configuration/allProperties/read Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/allProperties/update Обновление конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Управление всеми аспектами рабочих процессов и задач жизненного цикла в Azure AD
microsoft.azure.advancedThreatProtection/allEntities/allTasks Управление всеми аспектами Расширенной защиты от угроз Azure
microsoft.azure.informationProtection/allEntities/allTasks Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.cloudPC/allEntities/allProperties/allTasks Управление всеми аспектами Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Управление всеми аспектами выставления счетов в Office 365
microsoft.dynamics365/allEntities/allTasks Управление всеми аспектами Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Управление всеми аспектами Microsoft Edge
microsoft.flow/allEntities/allTasks Управление всеми аспектами Microsoft Power Automate
microsoft.insights/allEntities/allProperties/allTasks Управление всеми аспектами приложения Insights
microsoft.intune/allEntities/allTasks Управление всеми аспектами Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.desktopAnalytics/allEntities/allTasks Управление всеми аспектами Аналитики компьютеров
microsoft.office365.exchange/allEntities/basic/allTasks Управление всеми аспектами Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Чтение и обновление всех свойств осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Чтение аналитических отчетов осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Чтение и обновление всех свойств сети знаний в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Управление видимостью разделов сети знаний в Центре администрирования Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Управление источниками обучения и всеми их свойствами в приложении для обучения
microsoft.office365.lockbox/allEntities/allTasks Управление всеми аспектами защищенного хранилища
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.messageCenter/securityMessages/read Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Управление всеми аспектами разработки Майкрософт 365 организационных сообщений
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Управляйте всеми аспектами Центров безопасности и соответствия требованиям
microsoft.office365.search/content/manage Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)"
microsoft.office365.securityComplianceCenter/allEntities/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Центре безопасности и соответствия Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.userCommunication/allEntities/allTasks Чтение сообщений о новых возможностях и обновление их видимости
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Управление всеми аспектами Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Управление всеми аспектами управления разрешениями Entra
microsoft.powerApps/allEntities/allTasks Управление всеми аспектами Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Управление всеми аспектами Power BI
microsoft.teams/allEntities/allProperties/allTasks Управление всеми ресурсами в Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Управление всеми аспектами Microsoft Defender для конечной точки
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Чтение и настройка всех аспектов службы Центра обновления Windows

Глобальный читатель

Пользователи с этой ролью могут просматривать параметры и административные сведения в службах Microsoft 365, но не могут выполнять действия по управлению. Роль "Глобальный читатель" является аналогом роли "Глобальный администратор", но имеет доступ только на чтение. Назначайте роль "Глобальный читатель" вместо роли "Глобальный администратор" для планирования, аудита и исследований. Используйте роль "Глобальный читатель" в сочетании с другими ограниченными ролями администраторов, такими как "Администратор Exchange", для выполнения необходимых действий без использования роли "Глобальный администратор". Роль "Глобальный читатель" поддерживается в Центре администрирования Microsoft 365, Центре администрирования Exchange, Центре администрирования SharePoint, Центре администрирования Teams, Центре безопасности, Центре соответствия требованиям, Центре администрирования Azure AD и в Центре администрирования для управления устройствами.

Пользователи с этой ролью не могут выполнять следующие действия:

  • Не удается получить доступ к области "Службы покупки" в Центр администрирования Microsoft 365.

Примечание

Роль глобального читателя имеет следующие ограничения.

Действия Описание
microsoft.directory/accessReviews/allProperties/read (Не рекомендуется) Чтение всех свойств проверок доступа
microsoft.directory/accessReviews/definitions/allProperties/read Чтение всех свойств проверок доступа для всех проверяемых ресурсов в Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/read Чтение всех свойств политик запроса согласия администратора в Azure AD
microsoft.directory/administrativeUnits/allProperties/read Считывание всех свойств административных единиц, в том числе их членов
microsoft.directory/appConsent/appConsentRequests/allProperties/read Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD
microsoft.directory/applications/allProperties/read Чтение всех свойств (включая привилегированные) для всех типов приложений
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/users/authenticationMethods/standard/restrictedRead Считывание стандартных свойств способов проверки подлинности, не включающих личные сведения пользователей
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/cloudAppSecurity/allProperties/read Чтение всех свойств для приложений Defender для облака.
microsoft.directory/connectors/allProperties/read Чтение всех свойств соединителей Application Proxy
microsoft.directory/connectorGroups/allProperties/read Чтение всех свойств групп соединителей Application Proxy
microsoft.directory/contacts/allProperties/read Чтение всех свойств для контактов
microsoft.directory/customAuthenticationExtensions/allProperties/read Считывание настраиваемых расширений для проверки подлинности
microsoft.directory/devices/allProperties/read Чтение всех свойств устройств
microsoft.directory/directoryRoles/allProperties/read Считывание всех свойств ролей каталога
microsoft.directory/directoryRoleTemplates/allProperties/read Считывание всех свойств шаблонов ролей каталога
microsoft.directory/domains/allProperties/read Чтение всех свойств доменов
microsoft.directory/entitlementManagement/allProperties/read Чтение всех свойств в системе управления правами Azure AD
microsoft.directory/groups/allProperties/read Чтение всех свойств (включая привилегированные) для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groupSettings/allProperties/read Чтение всех свойств для параметров групп
microsoft.directory/groupSettingTemplates/allProperties/read Чтение всех свойств для шаблонов параметров групп
microsoft.directory/identityProtection/allProperties/read Чтение всех ресурсов в службе "Защита идентификации Azure AD"
microsoft.directory/loginOrganizationBranding/allProperties/read Чтение всех свойств для страницы входа с фирменной символикой организации
microsoft.directory/namedLocations/standard/read Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/oAuth2PermissionGrants/allProperties/read Чтение всех свойств для предоставлений разрешений OAuth 2.0
microsoft.directory/organization/allProperties/read Чтение всех свойств для организации
microsoft.directory/permissionGrantPolicies/standard/read Чтение стандартных свойств для политик предоставления разрешений
microsoft.directory/policies/allProperties/read Чтение всех свойств политик
microsoft.directory/conditionalAccessPolicies/allProperties/read Чтение всех свойств для политик условного доступа
microsoft.directory/crossTenantAccessPolicy/standard/read Чтение базовых свойств политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/default/standard/read Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/deviceManagementPolicies/standard/read Считывание стандартных свойств для политик приложения управления устройствами
microsoft.directory/deviceRegistrationPolicy/standard/read Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/privilegedIdentityManagement/allProperties/read Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/roleAssignments/allProperties/read Чтение всех свойств для назначений ролей
microsoft.directory/roleDefinitions/allProperties/read Чтение всех свойств для определений ролей
microsoft.directory/scopedRoleMemberships/allProperties/read Просмотр членов в административных единицах
microsoft.directory/serviceAction/getAvailableExtentionProperties Возможность выполнения действия getAvailableExtentionProperties для службы
microsoft.directory/servicePrincipals/allProperties/read Чтение всех свойств (включая привилегированные свойства) для servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Чтение стандартных свойств политик создания субъектов-служб
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.directory/subscribedSkus/allProperties/read Чтение всех свойств для подписок на продукты
microsoft.directory/users/allProperties/read Чтение всех свойств пользователей
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Чтение карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Чтение контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/allProperties/read Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Чтение всех свойств рабочих процессов и задач жизненного цикла в Azure AD
microsoft.cloudPC/allEntities/allProperties/read Чтение всех аспектов Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Чтение всех ресурсов выставления счетов Office 365
microsoft.edge/allEntities/allProperties/read Чтение всех аспектов Microsoft Edge
microsoft.insights/allEntities/allProperties/read Чтение всех аспектов Viva Insights
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.messageCenter/securityMessages/read Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Чтение всех аспектов Майкрософт 365 организационных сообщений
microsoft.office365.protectionCenter/allEntities/allProperties/read Чтение всех свойств в Центрах безопасности и соответствия требованиям
microsoft.office365.securityComplianceCenter/allEntities/read Чтение стандартных свойств в Центрах безопасности и соответствия требованиям Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Считывание всех аспектов Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Ознакомьтесь со всеми аспектами управления разрешениями Entra.
microsoft.teams/allEntities/allProperties/read Считывание всех свойств Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Запись всех аспектов Viva Insights
microsoft.windows.updatesDeployments/allEntities/allProperties/read Чтение всех аспектов службы Центра обновления Windows

Администратор групп

Пользователи с этой ролью могут создавать группы и управлять ими, а также создавать параметры групп, такие как политики именования и срока действия, и управлять ими. Важно понимать, что при назначении пользователю этой роли он получит возможность управлять всеми группами в организации для различных рабочих нагрузок, таких как Teams, SharePoint и Yammer, в дополнение к Outlook. Пользователь также сможет управлять разными параметрами групп на разных порталах администрирования, таких как Центр администрирования Майкрософт и портал Azure, а также в центрах администрирования для определенных рабочих нагрузок, таких как центры администрирования Teams и SharePoint.

Действия Описание
microsoft.directory/deletedItems.groups/delete Безвозвратное удаление групп, которые будет невозможно восстановить
microsoft.directory/deletedItems.groups/restore Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/groups/assignLicense Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/create Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/hiddenMembers/read Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/reprocessLicenseAssignment Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/restore Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/groups/basic/update Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/classification/update Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/dynamicMembershipRule/update Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/groupType/update Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/members/update Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/onPremWriteBack/update Обновление групп Azure Active Directory для обратной записи в локальную среду с помощью Azure AD Connect
microsoft.directory/groups/owners/update Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/settings/update Обновление параметров групп
microsoft.directory/groups/visibility/update Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Приглашающий гостей

пользователи с этой ролью могут управлять приглашениями пользователей-гостей Azure Active Directory B2B, если для параметра Участники могут приглашать задано значение "Нет". Дополнительные сведения о службе совместной работы Azure AD B2B см. в этой статье. В нее не входят какие-либо другие разрешения.

Действия Описание
microsoft.directory/users/inviteGuest Приглашение гостевых пользователей
microsoft.directory/users/standard/read Чтение базовых свойств для пользователей
microsoft.directory/users/appRoleAssignments/read Чтение назначений ролей приложения для пользователей
microsoft.directory/users/deviceForResourceAccount/read Чтение свойства deviceForResourceAccount для пользователей
microsoft.directory/users/directReports/read Считывание подчиненных конкретного пользователя
microsoft.directory/users/licenseDetails/read Чтение сведений о лицензиях для пользователей
microsoft.directory/users/manager/read Считывание менеджера пользователей
microsoft.directory/users/memberOf/read Считывание данных о членстве пользователей в группах
microsoft.directory/users/oAuth2PermissionGrants/read Чтение операций предоставления делегированных разрешений для пользователей
microsoft.directory/users/ownedDevices/read Считывание устройств, принадлежащих пользователям
microsoft.directory/users/ownedObjects/read Считывание объектов, принадлежащих пользователям
microsoft.directory/users/photo/read Просмотр фотографий пользователей
microsoft.directory/users/registeredDevices/read Считывание зарегистрированных устройств пользователей
microsoft.directory/users/scopedRoleMemberOf/read Чтение данных о членстве пользователей в роли Azure AD с областью действия административного подразделения

Администратор службы технической поддержки

Пользователи с этой ролью могут изменять пароли, аннулировать токены обновления, создавать запросы в службу поддержки корпорации Майкрософт для служб Azure и Microsoft 365 и управлять ими, а также отслеживать работоспособность служб. После аннулирования маркера обновления пользователь должен выполнить вход еще раз. Наличие у администратора службы поддержки возможности сбросить пароль пользователя и сделать маркеры обновления недействительными, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор службы технической поддержки может сбросить пароли и сделать маркеры обновления недействительными, см. в разделе Кто может сбрасывать пароли.

Пользователи с этой ролью не могут выполнять следующие действия:

Важно!

Пользователи с этой ролью могут изменять пароли для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам службы технической поддержки. По этому пути администратор службы технической поддержки сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Делегировать разрешения администратора в подмножества пользователей, а также применять политики к подмножеству пользователей можно с помощью административных единиц.

Эта роль ранее называлась "Администратор паролей" на портале Azure. Название роли "Администратор службы технической поддержки" в Azure AD теперь соответствует названию аналогичной роли в Azure AD PowerShell и API Microsoft Graph.

Действия Описание
microsoft.directory/bitlockerKeys/key/read Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор гибридных удостоверений

Пользователи с этой ролью могут создавать, контролировать и развертывать настройку конфигурации подготовки из AD в Azure AD на базе облачной подготовки, а также управлять параметрами Azure AD Connect, сквозной аутентификации (PTA), синхронизации хэшей паролей (PHS), легкого единого входа (простой единый вход) и федерации. Эта роль также позволяет отслеживать журналы и устранять неполадки.

Действия Описание
microsoft.directory/applications/create Создание всех типов приложений
microsoft.directory/applications/delete Удаление всех типов приложений
microsoft.directory/applications/appRoles/update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление базовых свойств приложений
microsoft.directory/applications/notes/update Обновление заметок приложений
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/applications/tag/update Обновление тегов приложений
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/cloudProvisioning/allProperties/allTasks Чтение и настройка всех свойств службы подготовки облачных решений Azure AD.
microsoft.directory/deletedItems.applications/delete Безвозвратное удаление приложений, которые будет невозможно восстановить
microsoft.directory/deletedItems.applications/restore Восстановление обратимо удаленных приложений в исходное состояние
microsoft.directory/domains/allProperties/read Чтение всех свойств доменов
microsoft.directory/domains/federation/update Обновление свойства федерации для доменов
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Управление политикой гибридной проверки подлинности в Azure AD
microsoft.directory/organization/dirSync/update Обновление свойства синхронизации каталога организации
microsoft.directory/passwordHashSync/allProperties/allTasks Управление всеми аспектами синхронизации хэша паролей (PHS) в Azure AD.
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание и администрирование схемы и заданий синхронизации для подготовки приложений
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности для субъектов-служб
microsoft.directory/servicePrincipals/basic/update Обновление базовых свойств для субъектов-служб
microsoft.directory/servicePrincipals/notes/update Обновление заметок субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик для субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства тега для субъектов-служб
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор управления удостоверениями

Пользователи с этой ролью могут управлять конфигурацией системы управления удостоверениями Azure AD, в том числе пакетами доступа, проверками доступа, каталогами и политиками, обеспечивая проверку и утверждение доступа, а также удаление гостей, которым доступ больше не нужен.

Действия Описание
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Управление проверками доступа для назначений ролей приложений в Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Управление проверками доступа для назначений пакетов для доступа в системе управления правами
microsoft.directory/accessReviews/definitions.groups/allProperties/read Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Обновление всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groups/create Создание проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Удаление проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/accessReviews/allProperties/allTasks (Не рекомендуется) Создание и удаление проверок доступа, чтение и обновление всех свойств проверок доступа, управление проверками доступа для групп в Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks Создание и удаление ресурсов, а также чтение и обновление всех свойств в системе управления правами Azure AD
microsoft.directory/groups/members/update Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы

Администратор Insights

Пользователям с этой ролью предоставляется доступ к полному набору административных возможностей приложения Microsoft Viva Insights. Эта роль позволяет считывать данные каталога, следить за работоспособностью служб, отправлять запросы в службу поддержки и получать доступ к аспектам параметров администратора Insights.

Подробнее

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.insights/allEntities/allProperties/allTasks Управление всеми аспектами приложения Insights
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Аналитик Insights

Назначьте роль Аналитика Insights пользователям, которым требуется выполнять следующие операции:

  • анализ данных в приложении Microsoft Viva Insights, но при этом он не должен иметь возможности управлять параметрами конфигурации;
  • создание, управление и выполнение запросов;
  • просмотр основных параметров и отчетов в Центре администрирования Microsoft 365;
  • создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.

Подробнее

Действия Описание
microsoft.insights/queries/allProperties/allTasks Выполнение запросов в приложении "Viva Аналитика" и управление ими
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Руководитель предприятия Insights

Пользователям с этой ролью предоставляется доступ к набору панелей мониторинга и аналитических данных с помощью приложения Microsoft Viva Аналитика. Им полностью доступны все панели мониторинга и предлагаемые функции аналитики и исследования данных. Пользователи в этой роли не имеют доступа к параметрам конфигурации продукта, которые относятся к сфере ответственности администратора Insights.

Подробнее

Действия Описание
microsoft.insights/reports/allProperties/read Просмотр отчетов и панели мониторинга в приложении Insights
microsoft.insights/programs/allProperties/update Развертывание программ и управление ими в приложении Insights

Администратор Intune

пользователи с этой ролью имеют глобальные разрешения в Microsoft Intune Online (если служба используется). Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими. Дополнительные сведения см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Эта роль позволяет создавать все группы безопасности и управлять ими. Однако у администратора Intune нет прав администратора для групп Office. Это значит, что администратор не может изменять владельцев или членство групп Office в организации. Однако он может управлять созданной им группой Office, которая входит в состав его прав конечного пользователя. Таким образом, любая созданная им группа Office (не группа безопасности) должна включаться в квоту, размер которой составляет 250 групп.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Intune". На портале Azure она называется "Администратор Intune".

Действия Описание
microsoft.directory/bitlockerKeys/key/read Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удаление контактов
microsoft.directory/contacts/basic/update Обновление базовых параметров контактов
microsoft.directory/deletedItems.devices/delete Окончательное удаление устройств, которые больше не могут быть восстановлены
microsoft.directory/deletedItems.devices/restore Восстановление обратимо удаленных устройств в исходное состояние
microsoft.directory/devices/create Создание устройств (регистрация в Azure AD)
microsoft.directory/devices/delete Удаление устройств из Azure AD
microsoft.directory/devices/disable Отключение устройств в Azure AD
microsoft.directory/devices/enable Включение устройств в Azure AD
microsoft.directory/devices/basic/update Обновление базовых свойств для устройств
microsoft.directory/devices/extensionAttributeSet1/update Обновление свойств с extensionAttribute1 по extensionAttribute5 на устройствах
microsoft.directory/devices/extensionAttributeSet2/update Обновление свойств с extensionAttribute6 по extensionAttribute10 на устройствах
microsoft.directory/devices/extensionAttributeSet3/update Обновление свойств с extensionAttribute11 по extensionAttribute15 на устройствах
microsoft.directory/devices/registeredOwners/update Обновление зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/update Обновление зарегистрированных пользователей устройств
microsoft.directory/deviceManagementPolicies/standard/read Считывание стандартных свойств для политик приложения управления устройствами
microsoft.directory/deviceRegistrationPolicy/standard/read Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/groups/hiddenMembers/read Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.security/create Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/delete Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/basic/update Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/classification/update Обновление свойств классификации для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/dynamicMembershipRule/update Обновление динамического правила членства в коллекции в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/visibility/update Обновление свойства видимости для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/users/basic/update Обновление базовых параметров пользователей
microsoft.directory/users/manager/update Обновление менеджера для пользователей
microsoft.directory/users/photo/update Обновление фотографий пользователей
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.cloudPC/allEntities/allProperties/allTasks Управление всеми аспектами Windows 365
microsoft.intune/allEntities/allTasks Управление всеми аспектами Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Чтение всех аспектов Майкрософт 365 организационных сообщений
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Kaizala

Пользователи с этой ролью имеют глобальные разрешения на управление параметрами в Microsoft Kaizala при наличии этой службы, а также возможность управления запросами в службу поддержки и мониторинга работоспособности службы. Кроме того, пользователю доступны отчеты об установке и использовании Kaizala членами организации, а также бизнес-отчеты, создаваемые по действиям Kaizala.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор базы знаний

Пользователи с этой ролью имеют полный доступ ко всем параметрам функций базы знаний, обучения и аналитики в Центре администрирования Microsoft 365. Они имеют общее представление о наборе продуктов, сведениях о лицензировании и отвечают за управление доступом. Администратор базы знаний может создавать и администрировать содержимое, например разделы, акронимы и учебные материалы. Кроме того, эти пользователи могут создать центры контента, отслеживать работоспособность служб и создавать запросы на обслуживание.

Действия Описание
microsoft.directory/groups.security/create Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/createAsOwner Создание групп безопасности, за исключением групп с возможностью назначения ролей Первым владельцем назначается создатель.
microsoft.directory/groups.security/delete Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/basic/update Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Чтение и обновление всех свойств осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Чтение и обновление всех свойств сети знаний в Центре администрирования Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Управление источниками обучения и всеми их свойствами в приложении для обучения
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Чтение всех свойств меток конфиденциальности в Центрах обеспечения безопасности и соответствия требованиям
microsoft.office365.sharePoint/allEntities/allTasks Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Диспетчер базы знаний

Пользователи с этой ролью могут создавать и администрировать контент, например разделы, акронимы и обучающие материалы. Эти пользователи в основном отвечают за качество и структуру набора знаний. Этот пользователь имеет полные права на действия по управлению разделами (подтверждение, утверждение или удаление). Эта роль также позволяет управлять таксономиями в рамках средства управления хранилищем терминов и создавать центры контента.

Действия Описание
microsoft.directory/groups.security/create Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/createAsOwner Создание групп безопасности, за исключением групп с возможностью назначения ролей Первым владельцем назначается создатель.
microsoft.directory/groups.security/delete Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/basic/update Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Чтение аналитических отчетов осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Управление видимостью разделов сети знаний в Центре администрирования Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор лицензий

пользователи с этой ролью могут добавлять, удалять и изменять назначенные лицензии для пользователей и групп (с использованием группового лицензирования), а также управлять расположением использования для пользователей. Роль не предоставляет возможности управления подписками или их приобретения, создания групп или управления ими, или создания и управления пользователями за пределами расположения использования. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/groups/assignLicense Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/reprocessLicenseAssignment Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/reprocessLicenseAssignment Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/usageLocation/update Обновление расположения использования пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор рабочих процессов жизненного цикла

Назначьте роль администратора рабочих процессов жизненного цикла пользователям, которым необходимо выполнять следующие задачи:

  • Создание и изменение всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла в Azure AD
  • Проверка выполнения запланированных рабочих процессов
  • Запуск рабочих процессов по запросу
  • Проверка журналов выполнения рабочего процесса
Действия Описание
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Управление всеми аспектами рабочих процессов и задач жизненного цикла в Azure AD

Читатель конфиденциальности данных Центра сообщений

Пользователи с этой ролью могут отслеживать все уведомления в Центре сообщений, включая сообщения о конфиденциальности данных. Читатели конфиденциальных данных Центра сообщений получают уведомления по электронной почте, в том числе относящиеся к конфиденциальности данных, и могут отменить подписку в его настройках. Чтение сообщений о конфиденциальности доступно только глобальным администраторам и читателям конфиденциальности данных Центра сообщений. Кроме того, эта роль включает возможность просмотра групп, доменов и подписок. Она не дает разрешения на просмотр, создание и обработку запросов на обслуживание.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.messageCenter/securityMessages/read Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Читатель Центра сообщений

Пользователи с этой ролью могут отслеживать уведомления и рекомендации по обновлениям работоспособности в Центре сообщений для своей организации в настроенных службах, таких как Exchange, Intune и Microsoft Teams. Читатели Центра сообщений еженедельно получают по электронной почте хэш-коды публикаций, обновлений и могут размещать общедоступные публикации в центре сообщений в Microsoft 365. В Azure AD у пользователей с этой ролью будет только доступ на чтение данных в службах Azure AD, например данных пользователей и групп. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Майкрософт гарантии на оборудование

Назначьте Майкрософт роль администратора гарантии оборудования пользователям, которым необходимо выполнить следующие задачи:

  • Создание новых утверждений о гарантии для Майкрософт изготовленного оборудования, например Surface и HoloLens
  • Поиск и чтение открытых или закрытых утверждений гарантии
  • Поиск и чтение утверждений гарантии по серийному номеру
  • Создание, чтение, обновление и удаление адресов доставки
  • Чтение состояния доставки для открытых утверждений гарантии
  • создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
  • Чтение объявлений Центра сообщений в Центр администрирования Microsoft 365

Претензия по гарантии — это запрос на ремонт или замену оборудования в соответствии с условиями гарантии. Дополнительные сведения см. в статье Самостоятельное обслуживание запросов на гарантийное & обслуживание Surface.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Специалист по гарантии оборудования Майкрософт

Назначьте роль специалиста по гарантии оборудования Майкрософт пользователям, которым необходимо выполнить следующие задачи:

  • Создание новых гарантий для Майкрософт изготовленного оборудования, например Surface и HoloLens
  • Чтение утверждений о гарантии, которые они создали
  • Чтение и обновление существующих адресов доставки
  • Чтение состояния доставки для открытых утверждений о гарантии, которые они создали
  • создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.

Претензия по гарантии — это запрос на ремонт или замену оборудования в соответствии с условиями гарантии. Дополнительные сведения см. в статье Самостоятельное обслуживание запросов на гарантийное & обслуживание Surface.

Действия Описание
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Пользователь современной коммерческой платформы

Не используйте. Эта роль автоматически назначается коммерческой платформой и не предназначена для любого другого использования. Этот процесс описан ниже.

Роль пользователя современной коммерческой платформы предоставляет определенным пользователям разрешение на доступ к Центру администрирования Microsoft 365, а также возможность видеть в области навигации слева элементы Главная, Выставление счетов и Поддержка. Содержимое, доступное в этих областях, контролируется ролями коммерческой платформы, назначенными пользователям для управления продуктами, которые они приобрели для себя или для организации. Это могут быть такие задачи, как оплата счетов или доступ к учетным записям и профилям выставления счетов.

Пользователи с ролью пользователя современной коммерческой платформы обычно имеют административные разрешения в других коммерческих системах Майкрософт, но не имеют ролей глобального администратора или администратора выставления счетов, используемых для доступа к центру администрирования.

Когда назначается роль пользователя современной коммерческой платформы

  • Самостоятельная покупка в Центре администрирования Microsoft 365 — самостоятельная покупка дает пользователям возможность опробовать новые продукты, самостоятельно купив их или зарегистрировавшись в них. Управление этими продуктами осуществляется в центре администрирования. Пользователям, которые самостоятельно совершают покупку, назначается роль в коммерческой системе, а также роль пользователя современной коммерческой платформы для управления покупками в центре администрирования. Администраторы могут блокировать самостоятельную покупку (для Power BI, Power Apps, Power Automate) с помощью PowerShell. Дополнительные сведения см. на странице Вопросы и ответы по самостоятельной покупке.
  • Покупки на коммерческой платформе Майкрософт — аналогично самостоятельной покупке: когда пользователь покупает продукт или службу в Microsoft AppSource или Azure Marketplace, назначается роль пользователя современной коммерческой платформы, если у него нет роли глобального администратора или администратора выставления счетов. В некоторых случаях пользователям может запрещаться совершать эти покупки. Дополнительные сведения см. в статье Коммерческая платформа Майкрософт.
  • Предложения от Майкрософт — официальное предложение от корпорации Майкрософт приобрести продукты и службы Майкрософт. Если у пользователя, принимающего предложение, нет роли глобального администратора или администратора выставления счетов в Azure AD, ему назначается роль, необходимая для принятия предложения, и роль пользователя современной коммерческой платформы для доступа к центру администрирования. При доступе к центру администрирования он может использовать только те функции, которые разрешены его коммерческой ролью.
  • Коммерческие роли — некоторым пользователям назначаются коммерческие роли. Если пользователь не является глобальным администратором или администратором выставления счетов, он получает роль пользователя современной коммерческой платформы для доступа к центру администрирования.

Когда назначение роли пользователя современной коммерческой платформы пользователю отменяется, он утрачивает доступ к центру администрирования Microsoft 365. Если он управлял любыми продуктами для самостоятельного использования или для организации, то больше не сможет управлять ими. Это относится в том числе к назначению лицензий, изменению методов оплаты, оплате счетов и другим задачам управления подписками.

Действия Описание
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Управление всеми аспектами Volume Licensing Service Center
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/basic/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор сети

Пользователи с этой ролью могут просматривать рекомендации по архитектуре периметра сети от Майкрософт, основанные на телеметрии сети, получаемой из расположений пользователей. Производительность сети для Microsoft 365 зависит от тщательного планирования корпоративной архитектуры периметра сети клиентов, которая, как правило, специфична для каждого расположения. Данная роль позволяет изменять обнаруженные расположения пользователей, настраивать их сетевые параметры и получать более оптимальную телеметрию и рекомендации по проектированию.

Действия Описание
microsoft.office365.network/locations/allProperties/allTasks Управление всеми аспектами сетевых расположений
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор приложений Office

Пользователи с этой ролью могут управлять параметрами облака приложений Microsoft 365. Сюда входит управление облачными политиками, самостоятельное управление скачиванием и возможность просмотра отчета по приложениям Office. Эта роль также позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб в главном центре администрирования. Пользователи, которым назначена эта роль, могут также управлять взаимодействием новых функций в приложениях Office.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.userCommunication/allEntities/allTasks Чтение сообщений о новых возможностях и обновление их видимости
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Модуль записи сообщений организации

Назначьте роль "Модуль записи сообщений организации" пользователям, которым необходимо выполнить следующие задачи:

  • Запись, публикация и удаление сообщений организации с помощью Центр администрирования Microsoft 365 или Майкрософт Endpoint Manager
  • Управление вариантами доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Майкрософт Endpoint Manager
  • Чтение результатов доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Майкрософт Endpoint Manager
  • Просмотр отчетов об использовании и большинства параметров в Центр администрирования Microsoft 365, но не может вносить изменения
Действия Описание
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Управление всеми аспектами разработки Майкрософт 365 организационных сообщений
microsoft.office365.usageReports/allEntities/standard/read Чтение агрегированных отчетов об использовании Office 365 на уровне клиента
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Служба поддержка партнеров уровня 1

Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

Важно!

Эта роль может сбрасывать пароли и проверять маркеры обновления только для пользователей, не являющихся администраторами. Эту роль не следует использовать, так как она нерекомендуемая и больше не будет возвращаться в API.

Действия Описание
microsoft.directory/applications/appRoles/update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление базовых свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/notes/update Обновление заметок приложений
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/applications/tag/update Обновление тегов приложений
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удаление контактов
microsoft.directory/contacts/basic/update Обновление базовых параметров контактов
microsoft.directory/deletedItems.groups/restore Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/deletedItems.users/restore Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/groups/create Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/restore Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/groups/members/update Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/owners/update Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
microsoft.directory/users/delete Удаление пользователей
microsoft.directory/users/disable Отключение пользователей
microsoft.directory/users/enable Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление базовых параметров пользователей
microsoft.directory/users/manager/update Обновление менеджера для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/photo/update Обновление фотографий пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Служба поддержка партнеров уровня 2

Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

Важно!

Эта роль позволяет сбрасывать пароли и делать маркеры обновления недействительными для всех пользователей, не являющихся администраторами, а также администраторов (включая глобальных). Эту роль не следует использовать, так как она нерекомендуемая и больше не будет возвращаться в API.

Действия Описание
microsoft.directory/applications/appRoles/update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление базовых свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/notes/update Обновление заметок приложений
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/applications/tag/update Обновление тегов приложений
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удаление контактов
microsoft.directory/contacts/basic/update Обновление базовых параметров контактов
microsoft.directory/deletedItems.groups/restore Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/deletedItems.users/restore Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/domains/allProperties/allTasks Создание и удаление доменов, а также чтение и обновление всех свойств
microsoft.directory/groups/create Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/restore Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/groups/members/update Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/owners/update Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/organization/basic/update Обновление базовых свойств для организации
microsoft.directory/roleAssignments/allProperties/allTasks Создание и удаление назначений ролей, а также чтение и обновление всех их свойств
microsoft.directory/roleDefinitions/allProperties/allTasks Создание и удаление определений ролей, а также чтение и обновление всех их свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/subscribedSkus/standard/read Чтение базовых свойств для подписок
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
microsoft.directory/users/delete Удаление пользователей
microsoft.directory/users/disable Отключение пользователей
microsoft.directory/users/enable Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление базовых параметров пользователей
microsoft.directory/users/manager/update Обновление менеджера для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/photo/update Обновление фотографий пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

администратора паролей.

Пользователи с этой ролью имеют ограниченные возможности управления паролями. Эта роль не позволяет управлять запросами на обслуживание или отслеживать работоспособность служб. Возможность администратора паролей сбрасывать пароль пользователя, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор паролей может сбросить пароли, см. в разделе Кто может сбрасывать пароли.

Пользователи с этой ролью не могут выполнять следующие действия:

Действия Описание
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор управления разрешениями

Назначьте роль администратора управления разрешениями пользователям, которым необходимо выполнить следующие задачи:

  • Управление всеми аспектами управления разрешениями Entra при наличии службы

Дополнительные сведения о ролях и политиках управления разрешениями см. в статье Просмотр сведений о ролях и политиках.

Действия Описание
microsoft.permissionsManagement/allEntities/allProperties/allTasks Управление всеми аспектами управления разрешениями Entra

Администратор Power BI

пользователи с этой ролью имеют глобальные разрешения в Microsoft Power BI (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Основные сведения о роли администратора Power BI.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Power BI". На портале Azure она называется "Администратор Power BI".

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Управление всеми аспектами Power BI

Администратор Power Platform

Пользователи с этой ролью могут создавать все аспекты сред, Power Apps, потоков и политик предотвращения потери данных и управлять ими. Кроме того, пользователи с этой ролью могут управлять запросами в службу поддержки и отслеживать работоспособность службы.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.dynamics365/allEntities/allTasks Управление всеми аспектами Dynamics 365
microsoft.flow/allEntities/allTasks Управление всеми аспектами Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.powerApps/allEntities/allTasks Управление всеми аспектами Power Apps

Администратор принтеров

Пользователи с этой ролью могут регистрировать принтеры и управлять всеми аспектами конфигурации всех принтеров в решении универсальной печати Майкрософт, в том числе параметрами соединителя универсальной печати. Они могут предоставлять согласие на все запросы делегирования разрешений на печать. Администраторы принтеров также имеют доступ к отчетам о печати.

Действия Описание
microsoft.azure.print/allEntities/allProperties/allTasks Создание и удаление принтеров и соединителей, а также чтение и обновление всех свойств в Microsoft Print

Технический специалист по принтерам

Пользователи с этой ролью могут регистрировать принтеры и управлять состоянием принтера в решении универсальной печати Майкрософт. Им также доступно чтение всей информации о соединителях. Техническому специалисту по принтерам недоступны такие задачи, как предоставление пользователям разрешений и общего доступа к принтерам.

Действия Описание
microsoft.azure.print/connectors/allProperties/read Чтение всех свойств соединителей в Microsoft Print
microsoft.azure.print/printers/allProperties/read Чтение всех свойств принтеров в Microsoft Print
microsoft.azure.print/printers/register Регистрация принтеров в Microsoft Print
microsoft.azure.print/printers/unregister Отмена регистрации принтеров в Microsoft Print
microsoft.azure.print/printers/basic/update Обновление базовых свойств принтеров в Microsoft Print

Привилегированный администратор проверки подлинности

Назначьте роль администратора привилегированной проверки подлинности пользователям, которым необходимо выполнить следующие действия:

  • Задайте или сбросьте любой метод проверки подлинности (включая пароли) для любого пользователя, включая глобальных администраторов.
  • Удаление или восстановление всех пользователей, включая глобальных администраторов. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
  • Принудительная повторная регистрация пользователей с использованием существующих учетных данных, не относящихся к паролю (например, MFA или FIDO) и отмена запоминания MFA на устройстве с запросом MFA при следующем входе всех пользователей.
  • Обновление конфиденциальных свойств для всех пользователей. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
  • Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.

Пользователи с этой ролью не могут выполнять следующие действия:

  • Не удается управлять MFA для каждого пользователя на устаревшем портале управления MFA. Те же функции можно реализовать с помощью модуля PowerShell с командлетом Azure AD Set-MsolUser.

В следующей таблице сравниваются возможности этой роли со связанными ролями.

Должность Управление методами проверки подлинности пользователя Управление MFA для каждого пользователя Управление параметрами MFA Управление политикой выбора метода проверки подлинности Управление политикой защиты паролем Обновление конфиденциальных свойств Удаление и восстановление пользователей
Администратор проверки подлинности Да для некоторых пользователей Да для некоторых пользователей Нет Нет Нет Да для некоторых пользователей Да для некоторых пользователей
Привилегированный администратор проверки подлинности Да для всех пользователей Да для всех пользователей Нет нет Нет Да для всех пользователей Да для всех пользователей
Администратор политики проверки подлинности Нет Нет Да Да Да Нет нет
Администратор пользователей Нет Нет Нет нет нет Да для некоторых пользователей Да для некоторых пользователей

Важно!

Пользователи с этой ролью могут изменять учетные данные для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам проверки подлинности. По этому пути администратор проверки подлинности сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
Действия Описание
microsoft.directory/users/authenticationMethods/create Создание способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/delete Удаление способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/standard/read Считывание стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/basic/update Изменение стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/deletedItems.users/restore Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/users/delete Удаление пользователей
microsoft.directory/users/disable Отключение пользователей
microsoft.directory/users/enable Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление базовых параметров пользователей
microsoft.directory/users/manager/update Обновление менеджера для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор привилегированных ролей

пользователи с этой ролью могут управлять назначениями ролей в Azure Active Directory и Azure AD Privileged Identity Management. Они могут создавать группы, которые можно назначить ролям Azure AD, и управлять ими. Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными удостоверениями и административными единицами.

Важно!

Эта роль предоставляет возможность управлять членством во всех ролях Azure AD, включая роль глобального администратора. Эта роль не включает в себя какие-либо другие привилегированные возможности Azure AD, например создание или обновление пользователей. Тем не менее пользователи, которым назначена эта роль, могут предоставить себе или другим пользователям дополнительные привилегии, назначив дополнительные роли.

Действия Описание
microsoft.directory/accessReviews/definitions.applications/allProperties/read Чтение всех свойств проверок доступа для назначений ролей приложений в Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Управление проверками доступа для назначений ролей Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Обновление всех свойств проверок доступа для членства в группах, которым можно назначить роли Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Создание проверок доступа для членства в группах, которым можно назначить роли Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Удаление проверок доступа для членства в группах, которым можно назначить роли Azure AD
microsoft.directory/accessReviews/definitions.groups/allProperties/read Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/administrativeUnits/allProperties/allTasks Создание административных единиц и управление ими (включая члены)
microsoft.directory/authorizationPolicy/allProperties/allTasks Управление всеми аспектами политики авторизации
microsoft.directory/directoryRoles/allProperties/allTasks Создание и удаление ролей каталога, а также чтение и обновление всех свойств
microsoft.directory/groupsAssignableToRoles/create Создание групп с назначением ролей
microsoft.directory/groupsAssignableToRoles/delete Удаление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/restore Восстановление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/allProperties/update Обновление групп с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Создание и удаление назначений ролей, а также чтение и обновление всех их свойств
microsoft.directory/roleDefinitions/allProperties/allTasks Создание и удаление определений ролей, а также чтение и обновление всех их свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Предоставление любому приложению согласия для любого разрешения
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Читатель отчетов

Пользователи с этой ролью могут просматривать данные отчетов об использовании и панель мониторинга отчетов в центре администрирования Microsoft 365, а также пакет контекста внедрения в Power BI. Кроме того, эта роль предоставляет доступ ко всем журналам входов, отчетам о действиях в Azure AD и данным от API отчетов Microsoft Graph. Пользователь с ролью "Читатель отчетов" имеет доступ только к релевантным метрикам использования и внедрения. Он не приобретает полномочия администратора по настройке или использованию центров администрирования отдельных продуктов (например, Excahange). Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор поиска

Пользователи с этой ролью имеют полный доступ ко всем функциям управления поиска (Майкрософт) в Центре администрирования Microsoft 365. Кроме того, эти пользователи могут просматривать Центр сообщений, отслеживать работоспособность служб и создавать запросы на обслуживание.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.search/content/manage Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)"
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Редактор поиска

Пользователи с этой ролью могут создавать, изменять и удалять содержимое поиска (Майкрософт) в Центре администрирования Microsoft 365, включая закладки, расположения или вопросы и ответы.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.search/content/manage Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)"
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор безопасности

Пользователи с этой ролью обладают разрешениями на управление функциями, связанными с безопасностью, на портале Microsoft 365 Defender, в службе "Защита идентификации Azure Active Directory", службе проверки подлинности Azure Active Directory, Azure Information Protection и Центре безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях в Office 365 см. в статье Разрешения в Центре безопасности и соответствия требованиям.

В Может
Центр безопасности Microsoft 365 Мониторинг политик, связанных с безопасностью, в службах Майкрософт 365Управление угрозами безопасности и оповещениямиПросмотр отчетов
Центр защиты идентификации Все разрешения роли читателя безопасностиДобавление к возможности выполнять все операции центра защиты идентификации, кроме сброса паролей.
Управление привилегированными пользователями Все разрешения роли читателя безопасностине могут управлять назначениями или параметрами ролей Azure AD
Центр безопасности и соответствия требованиям Office 365 Управление политиками безопасностиПросмотр, исследование угроз безопасности и реагирование на нихПросмотр отчетов
Расширенная защита от угроз Azure Мониторинг и реагирование на подозрительные безопасные действия.
Защитник Майкрософт для конечных точек Назначение ролейУправление группами компьютеровНастройка обнаружения угроз конечной точки и автоматическое исправлениеПросмотр, исследование и реагирование на оповещенияПросмотр инвентаризации компьютеров и устройств
Intune Просмотры сведений о пользователях, устройствах, регистрациях, конфигурации и приложенияхСправление Intune
Microsoft Defender для облачных приложений Добавление администраторов, политики и параметров, загрузка журналов и выполнение действия системы управления.
Работоспособность службы Microsoft 365 Просмотр состояния служб Microsoft 365
Смарт-блокировка Укажите пороговое значение и длительность блокировки при событиях неудачного входа.
Защита паролем Настройте пользовательский список запрещенных паролей или локальную защиту паролем.
Действия Описание
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/crossTenantAccessPolicy/standard/read Чтение базовых свойств политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Обновление разрешенных облачных конечных точек политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicies/basic/update Обновление основных параметров политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/default/standard/read Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Обновление ограничений для клиентов политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/create Создание политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/delete Удаление политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Обновление ограничений для клиентов политики межклиентского доступа для партнеров
microsoft.directory/domains/federation/update Обновление свойства федерации для доменов
microsoft.directory/entitlementManagement/allProperties/read Чтение всех свойств в системе управления правами Azure AD
microsoft.directory/identityProtection/allProperties/read Чтение всех ресурсов в службе "Защита идентификации Azure AD"
microsoft.directory/identityProtection/allProperties/update Обновление всех ресурсов в службе "Защита идентификации Azure AD"
microsoft.directory/namedLocations/create Создание настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/delete Удаление настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/standard/read Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/basic/update Обновление основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/policies/create Создание политик в Azure AD
microsoft.directory/policies/delete Удаление политик в Azure AD
microsoft.directory/policies/basic/update Обновление базовых свойств для политик
microsoft.directory/policies/owners/update Обновление владельцев политик
microsoft.directory/policies/tenantDefault/update Обновление политик организации по умолчанию
microsoft.directory/conditionalAccessPolicies/create Создание политик условного доступа
microsoft.directory/conditionalAccessPolicies/delete Удаление политик условного доступа
microsoft.directory/conditionalAccessPolicies/standard/read Условный доступ на чтение для политик
microsoft.directory/conditionalAccessPolicies/owners/read Считывание владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Чтение свойства "Применяется к" для политик условного доступа
microsoft.directory/conditionalAccessPolicies/basic/update Обновление базовых свойств для политик условного доступа
microsoft.directory/conditionalAccessPolicies/owners/update Обновление владельцев для политик условного доступа
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Обновление клиента по умолчанию для политик условного доступа
microsoft.directory/privilegedIdentityManagement/allProperties/read Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/policies/update Обновление политик для субъектов-служб
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.protectionCenter/allEntities/standard/read Чтение стандартных свойств всех ресурсов в Центрах безопасности и соответствия требованиям
microsoft.office365.protectionCenter/allEntities/basic/update Обновление базовых свойств всех ресурсов в Центрах безопасности и соответствия требованиям
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Создание атакующих кодов и управление ими в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Чтение отчетов о реагировании на симуляции атак и соответствующем обучении
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Создание шаблонов симуляции атак и управление ими в эмуляторе атак
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Оператор безопасности

Пользователи с этой ролью могут управлять оповещениями и имеют глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию в Центре безопасности Microsoft 365, Azure Active Directory, службе "Защита идентификации", Privileged Identity Management и Центре безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях в Office 365 см. в статье Разрешения в Центре безопасности и соответствия требованиям.

В Может
Центр безопасности Microsoft 365 Все разрешения роли читателя безопасностиПросмотр, исследование и реагирование на оповещения об угрозах безопасностиУправление параметрами безопасности в центре безопасности
Защита идентификации Azure AD Все разрешения роли читателя безопасности. Кроме того, возможность выполнять все операции Центра защиты идентификации, за исключением сброса паролей и настройки электронных сообщений с оповещениями.
Управление привилегированными пользователями Все разрешения роли читателя сведений о безопасности.
Центр безопасности и соответствия требованиям Office 365 Все разрешения роли читателя безопасностиПросмотр, изучение оповещений системы безопасности и реагирование на них
Защитник Майкрософт для конечных точек Все разрешения роли читателя безопасностиПросмотр, исследование и реагирование на оповещения системы безопасностиПри включении управления доступом на основе ролей в Microsoft Defender для конечной точки пользователи с разрешениями только для чтения, такие как роль читателя безопасности, теряют доступ, пока им не будет назначена Microsoft Defender для конечной точки Роль.
Intune Все разрешения роли читателя сведений о безопасности.
Microsoft Defender для облачных приложений Все разрешения роли читателя безопасностиПросмотр, изучение оповещений системы безопасности и реагирование на них
Работоспособность службы Microsoft 365 Просмотр состояния служб Microsoft 365
Действия Описание
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/cloudAppSecurity/allProperties/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.directory/identityProtection/allProperties/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в службе "Защита идентификации Azure Active Directory"
microsoft.directory/privilegedIdentityManagement/allProperties/read Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.advancedThreatProtection/allEntities/allTasks Управление всеми аспектами Расширенной защиты от угроз Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.intune/allEntities/read Чтение всех ресурсов в Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Центре безопасности и соответствия Office 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Управление всеми аспектами Microsoft Defender для конечной точки

Читатель сведений о безопасности

Пользователи с этой ролью имеют глобальный доступ только для чтения для функций, связанных с безопасностью, включая все данные в Центре безопасности Microsoft 365, Azure Active Directory, Защите идентификации и Privileged Identity Management, а также могут просматривать отчеты и журналы аудита входа в Azure Active Directory и Центр безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях в Office 365 см. в статье Разрешения в Центре безопасности и соответствия требованиям.

В Может
Центр безопасности Microsoft 365 Просмотр политик, связанных с безопасностью, в службах Майкрософт 365Просмотр угроз безопасности и оповещенийПросмотр отчетов
Центр защиты идентификации Чтение всех отчетов о безопасности и сведений о параметрах для функций безопасностиAnti-spamEncryptionЗащита от потери данныхAnti-malwareДополнения защиты от угрозAnti-phishingMail
Управление привилегированными пользователями Имеет доступ только для чтения ко всем сведениям, представленным в Azure AD управление привилегированными пользователями: политики и отчеты для назначений ролей Azure AD и проверок безопасности. Не удается зарегистрироваться для Azure AD управление привилегированными пользователями или внести в него какие-либо изменения. Используя портал Privileged Identity Management или PowerShell, кто-то в этой роли может активировать дополнительные роли (например, глобального администратора или администратора привилегированных ролей), если пользователь для них подходит.
Центр безопасности и соответствия требованиям Office 365 Просмотр политик безопасностиПросмотр и исследование угроз безопасностиПросмотр отчетов
Защитник Майкрософт для конечных точек Просмотр и изучение оповещенийПри включении управления доступом на основе ролей в Microsoft Defender для конечной точки пользователи с разрешениями только для чтения, такие как роль читателя безопасности, теряют доступ, пока им не будет назначена роль Microsoft Defender для конечной точки.
Intune Просмотр пользователя, устройства, соглашения о регистрации, настроек и сведений о приложении. Не может вносить изменения в Intune.
Microsoft Defender для облачных приложений Имеет разрешения на чтение.
Работоспособность службы Microsoft 365 Просмотр состояния служб Microsoft 365
Действия Описание
microsoft.directory/accessReviews/definitions/allProperties/read Чтение всех свойств проверок доступа для всех проверяемых ресурсов в Azure AD
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/entitlementManagement/allProperties/read Чтение всех свойств в системе управления правами Azure AD
microsoft.directory/identityProtection/allProperties/read Чтение всех ресурсов в службе "Защита идентификации Azure AD"
microsoft.directory/namedLocations/standard/read Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/policies/standard/read Чтение базовых свойств для политик
microsoft.directory/policies/owners/read Считывание владельцев политик
microsoft.directory/policies/policyAppliedTo/read Чтение свойства policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Условный доступ на чтение для политик
microsoft.directory/conditionalAccessPolicies/owners/read Считывание владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Чтение свойства "Применяется к" для политик условного доступа
microsoft.directory/privilegedIdentityManagement/allProperties/read Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.office365.protectionCenter/allEntities/standard/read Чтение стандартных свойств всех ресурсов в Центрах безопасности и соответствия требованиям
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Чтение всех свойств атакующего кода в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Чтение отчетов о реагировании на симуляции атак и соответствующем обучении
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Чтение всех свойств шаблонов симуляции в эмуляторе атак
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор службы поддержки

Пользователи с этой ролью могут создавать запросы в службу поддержки корпорации Майкрософт для служб Azure и Microsoft 365 и управлять ими, а также просматривать панель мониторинга служб и центр сообщений на портале Azure и в Центре администрирования Microsoft 365. Дополнительные сведения см. в статье Роли администраторов.

Примечание

Ранее эта роль называлась "Администратор служб" на портале Azure и в Центре администрирования Microsoft 365. Она была переименована в "Администратор поддержки служб" в соответствии с существующим названием в API Microsoft Graph и Azure AD PowerShell.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор SharePoint

пользователи с этой ролью имеют глобальные разрешения в Microsoft SharePoint Online при наличии этой службы, возможность создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения см. в статье Роли администраторов.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы SharePoint". На портале Azure она называется "Администратор SharePoint".

Примечание

Эта роль также предоставляет доступ к API Microsoft Graph для Microsoft Intune, что позволяет настраивать политики, связанные с ресурсами SharePoint и OneDrive, и управлять ими.

Действия Описание
microsoft.directory/groups/hiddenMembers/read Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/create Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.directory/groups.unified/basic/update Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Skype для бизнеса

у пользователей с этой ролью есть глобальные разрешения в Microsoft Skype для бизнеса при наличии этой службы, а также возможность управлять определенными атрибутами пользователя Skype в Azure Active Directory. Кроме того, эта роль позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб, а также предоставляет доступ к центру администрирования Teams и Skype для бизнеса. Учетная запись также должна иметь лицензию Teams, иначе она не сможет запускать командлеты PowerShell Teams. Дополнительные сведения см. в руководствах по использованию роли администратора Skype для бизнеса и лицензировании дополнительных компонентов Skype для бизнеса и Microsoft Teams.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Lync". На портале Azure она называется "Администратор Skype для бизнеса".

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Teams

пользователи с этой ролью могут управлять всеми функциями рабочей нагрузки Microsoft Teams с помощью центра администрирования Microsoft Teams и Skype для бизнеса и соответствующих модулей PowerShell. Сюда входят, помимо прочего, все средства управления, связанные с телефонией, обменом сообщениями, собраниями и самими командами Teams. Кроме того, эта роль позволяет создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.directory/groups/hiddenMembers/read Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/create Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.directory/groups.unified/basic/update Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Управление всеми ресурсами в Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Чтение базовых свойств политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Обновление разрешенных облачных конечных точек политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/default/standard/read Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/create Создание политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров

Администратор связи Teams

пользователи с этой ролью могут управлять функциями рабочей нагрузки Microsoft Teams, связанными с голосовой связью и телефонией. Сюда входят средства управления для назначения номера телефона, политики голосовой связи и собраний, а также полный доступ к набору инструментов анализа вызовов.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/callQuality/allProperties/read Чтение всех данных на Панели мониторинга качества звонка (ПМКЗ)
microsoft.teams/meetings/allProperties/allTasks Управление собраниями, включая политики собраний, конфигурации и мосты конференц-связи
microsoft.teams/voice/allProperties/allTasks Управление голосовой связью, включая политики звонков, а также инвентаризацию и назначение номеров телефонов

Инженер службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать полные сведения о записях вызовов для всех задействованных участников. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/callQuality/allProperties/read Чтение всех данных на Панели мониторинга качества звонка (ПМКЗ)

Специалист службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать сведения об определенном пользователе только при его вызове. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.directory/authorizationPolicy/standard/read Чтение стандартных свойств политики авторизации
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/callQuality/standard/read Чтение основных данных в Панели мониторинга качества звонка (ПМКЗ)

Администраторы устройств Teams

Пользователи с этой ролью могут управлять устройствами, сертифицированными для Teams, из Центра администрирования Teams. Эта роль позволяет быстро просматривать все устройства и обеспечивает возможности поиска и фильтрации устройств. Пользователь может проверить сведения о каждом устройстве, включая учетную запись входа, а также марку и модель устройства. Пользователь может изменять параметры устройства и обновлять версии программного обеспечения. Эта роль не предоставляет разрешения на проверку действий в Teams и качества звонков устройства.

Действия Описание
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/devices/standard/read Управление всеми аспектами работы сертифицированных для Teams устройств, включая политики конфигурации

Создатель клиента

Назначьте роль Создатель Teant пользователям, которым необходимо выполнить следующие задачи:

  • Создание клиентов Azure Active Directory и Azure Active Directory B2C, даже если переключатель создания клиента отключен в параметрах пользователя

Примечание

Создателям клиента будет назначена роль глобальный администратор в новых клиентах, которые они создают.

Действия Описание
microsoft.directory/tenantManagement/tenants/create Создание новых клиентов в Azure Active Directory

Читатель отчетов со сводными данными об использовании

Пользователи с этой ролью могут получать доступ к агрегированным данным уровня клиента и связанным аналитическим сведениям в Центре администрирования Microsoft 365 для оценки эффективности использования и производительности, но не могут получить доступ к сведениям или аналитике на уровне пользователя. В Центре администрирования Microsoft 365 представлены два типа отчетов: агрегированные данные уровня клиента и сведения уровня пользователя. Эта роль обеспечивает дополнительный уровень защиты для отдельных определяемых пользователем данных, которые были запрошены и клиентами, и юридическими отделами.

Действия Описание
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Чтение агрегированных отчетов об использовании Office 365 на уровне клиента
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

администратора пользователей;

Назначьте роль администратора пользователей пользователям, которым необходимо выполнить следующие действия:

Разрешение Дополнительные сведения
Создание пользователей
Обновление большинства свойств пользователей для всех пользователей, включая всех администраторов Кто может выполнять конфиденциальные действия
Обновление конфиденциальных свойств (включая имя участника-пользователя) для некоторых пользователей Кто может выполнять конфиденциальные действия
Отключение или включение некоторых пользователей Кто может выполнять конфиденциальные действия
Удаление или восстановление некоторых пользователей Кто может выполнять конфиденциальные действия
Создание представлений пользователя и управление ими
Создание всех групп и управление ими
Назначение лицензий для всех пользователей, включая всех администраторов
Сброс паролей Кто может сбрасывать пароли
Недействительные маркеры обновления Кто может сбрасывать пароли
Обновление ключей устройства (FIDO)
Изменение политик срока действия паролей
Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365
Мониторинг работоспособности служб

Пользователи с этой ролью не могут выполнять следующие действия:

  • Не удается управлять многофакторной проверкой подлинности.
  • Невозможно изменить учетные данные или сбросить MFA для участников и владельцев группы, назначаемой ролями.
  • Не удается управлять общими почтовыми ящиками.

Важно!

Пользователи с этой ролью могут изменять пароли для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам пользователей. По этому пути администратор пользователей сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
Действия Описание
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Управление проверками доступа для назначений ролей приложений в Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Чтение всех свойств проверок доступа для назначений ролей Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Управление проверками доступа для назначений пакетов для доступа в системе управления правами
microsoft.directory/accessReviews/definitions.groups/allProperties/update Обновление всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groups/create Создание проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Удаление проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удаление контактов
microsoft.directory/contacts/basic/update Обновление базовых параметров контактов
microsoft.directory/deletedItems.groups/restore Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/deletedItems.users/restore Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/entitlementManagement/allProperties/allTasks Создание и удаление ресурсов, а также чтение и обновление всех свойств в системе управления правами Azure AD
microsoft.directory/groups/assignLicense Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/create Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/hiddenMembers/read Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/reprocessLicenseAssignment Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/restore Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/groups/basic/update Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/classification/update Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/dynamicMembershipRule/update Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/groupType/update Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/members/update Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/onPremWriteBack/update Обновление групп Azure Active Directory для обратной записи в локальную среду с помощью Azure AD Connect
microsoft.directory/groups/owners/update Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/settings/update Обновление параметров групп
microsoft.directory/groups/visibility/update Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/policies/standard/read Чтение базовых свойств для политик
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей для субъекта-службы
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
microsoft.directory/users/delete Удаление пользователей
microsoft.directory/users/disable Отключение пользователей
microsoft.directory/users/enable Включение пользователей
microsoft.directory/users/inviteGuest Приглашение гостевых пользователей
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/reprocessLicenseAssignment Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление базовых параметров пользователей
microsoft.directory/users/manager/update Обновление менеджера для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/photo/update Обновление фотографий пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор виртуальных посещений

Пользователи с этой ролью могут выполнять следующие задачи:

  • Управление всеми аспектами виртуальных посещений в Bookings в Центре администрирования Microsoft 365 и в соединителе команд EHR
  • Просмотр отчетов об использовании виртуальных посещений в Центре администрирования Teams, Центре администрирования Microsoft 365 и PowerBI
  • Просмотр функций и параметров в Центре администрирования Microsoft 365, но не может изменять параметры.

Виртуальные визиты — это простой способ планирования онлайн-встреч и видео-встреч для сотрудников и участников. Например, отчеты об использовании могут показать, как отправление текстовых sms-сообщений перед встречами может уменьшить количество людей, которые являются на встречи.

Действия Описание
microsoft.virtualVisits/allEntities/allProperties/allTasks Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Windows 365

Пользователи с этой ролью имеют глобальные разрешения на ресурсы Windows 365, если служба установлена. Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими.

Эта роль может создавать группы безопасности и управлять ими, но не имеет прав администратора в группах Microsoft 365. Это означает, что администраторы не могут изменять владельцев или членов групп Microsoft 365 в организации. Но они могут управлять созданной ими группой Microsoft 365, которая входит в область их привилегий конечных пользователей. Поэтому любая созданная ими группа Microsoft 365 (не группа безопасности) учитывается в их квоте на 250 групп.

Назначьте роль администратора Windows 365 пользователям, которым необходимо выполнять следующие задачи:

  • управление облачными компьютерами Windows 365 в Microsoft Endpoint Manager;
  • регистрация устройств и управление ими в Azure AD, включая назначение пользователей и политик;
  • создание групп безопасности и управление ими (но не групп с возможностью назначения ролей);
  • просмотр основных свойств в Центре администрирования Microsoft 365;
  • просмотр отчетов об использовании в Центре администрирования Microsoft 365;
  • Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365
Действия Описание
microsoft.directory/deletedItems.devices/delete Окончательное удаление устройств, которые больше не могут быть восстановлены
microsoft.directory/deletedItems.devices/restore Восстановление обратимо удаленных устройств в исходное состояние
microsoft.directory/devices/create Создание устройств (регистрация в Azure AD)
microsoft.directory/devices/delete Удаление устройств из Azure AD
microsoft.directory/devices/disable Отключение устройств в Azure AD
microsoft.directory/devices/enable Включение устройств в Azure AD
microsoft.directory/devices/basic/update Обновление базовых свойств для устройств
microsoft.directory/devices/extensionAttributeSet1/update Обновление свойств с extensionAttribute1 по extensionAttribute5 на устройствах
microsoft.directory/devices/extensionAttributeSet2/update Обновление свойств с extensionAttribute6 по extensionAttribute10 на устройствах
microsoft.directory/devices/extensionAttributeSet3/update Обновление свойств с extensionAttribute11 по extensionAttribute15 на устройствах
microsoft.directory/devices/registeredOwners/update Обновление зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/update Обновление зарегистрированных пользователей устройств
microsoft.directory/groups.security/create Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/delete Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/basic/update Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/classification/update Обновление свойств классификации для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/dynamicMembershipRule/update Обновление динамического правила членства в коллекции в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/visibility/update Обновление свойства видимости для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/deviceManagementPolicies/standard/read Считывание стандартных свойств для политик приложения управления устройствами
microsoft.directory/deviceRegistrationPolicy/standard/read Считывание стандартных свойств для политики регистрации устройств
microsoft.azure.supportTickets/allEntities/allTasks Создание запросов в службу поддержки Azure и управление ими
microsoft.cloudPC/allEntities/allProperties/allTasks Управление всеми аспектами Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор развертывания Центра обновления Windows

Пользователи с этой ролью могут создавать и администрировать все аспекты развертываний в Центре обновления Windows с помощью службы развертывания Центра обновления Windows для бизнеса. С помощью службы развертывания пользователи могут задавать параметры, определяющие время и способ развертывания обновлений, а также выбирать предлагаемые обновления для групп устройств в своем арендаторе. Они также могут отслеживать процесс обновления.

Действия Описание
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Чтение и настройка всех аспектов службы Центра обновления Windows

Администратор Yammer

Назначьте роль администратора Yammer пользователям, которым необходимо выполнять следующие задачи:

  • Управление всеми аспектами Yammer
  • Создание, управление и восстановление групп Microsoft 365, но не групп с возможностью назначения ролей
  • Просмотр данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
  • просмотр отчетов об использовании в Центре администрирования Microsoft 365;
  • создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
  • Просмотр объявлений в Центре сообщений, но не объявлений системы безопасности
  • Просмотр работоспособности службы

Подробнее

Действия Описание
microsoft.directory/groups/hiddenMembers/read Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/create Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.directory/groups.unified/basic/update Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Управление всеми аспектами Yammer

Общие сведения о разрешениях ролей

Схема для разрешений не точно соответствует формату REST для Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Пример.

microsoft.directory/applications/credentials/update

Элемент разрешения Описание
namespace Продукт или служба, которые предоставляют задачу и которым предшествует microsoft. Например, все задачи в Azure AD используют пространство имен microsoft.directory.
сущность Логическая функция или компонент, предоставляемый службой в Microsoft Graph. Например, Azure AD предоставляет пользователей и группы, OneNote предоставляет заметки, а Exchange предоставляет почтовые ящики и календари. Для указания всех сущностей в пространстве имен существует специальное ключевое слово allEntities. Это часто используется в ролях, которые предоставляют доступ ко всему продукту.
propertySet Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например, microsoft.directory/applications/authentication/read предоставляет возможность чтения URL-адреса ответа, URL-адреса выхода и свойства неявного потока объекта приложения в Azure AD.allProperties Обозначает все свойства сущности, включая привилегированные свойства.standard обозначает общие свойства, за исключением привилегированных, связанных с действием read. Например, microsoft.directory/user/standard/read включает возможность чтения стандартных свойств, таких как общедоступный номер телефона и адрес электронной почты, но не позволяет считать частный дополнительный номер телефона или адрес электронной почты, используемый для многофакторной проверки подлинности.basic обозначает общие свойства, за исключением привилегированных, связанных с действием update. Набор свойств, которые можно читать, может отличаться от того, который можно обновить. Вот почему предусмотрено два ключевых слова: standard и basic.
action Как правило, предоставляется разрешение на такие операции, как создание, чтение, обновление или удаление (CRUD). Для указания всех перечисленных выше возможностей (создание, чтение, обновление и удаление) существует специальное ключевое слово allTasks.

Устаревшие роли

Не рекомендуется использовать следующие роли. Они больше не поддерживаются и будут удалены из Azure AD в будущем.

  • Администратор отдельных лицензий
  • Device Join (Присоединение устройства)
  • Диспетчеры устройств
  • Device Users (Пользователи устройства)
  • Создатель проверенного пользователя электронной почты
  • администратор почтовых ящиков;
  • Присоединение устройства к рабочей области

Роли, не отображаемые на портале

Не все роли, возвращаемые PowerShell или API MS Graph, отображаются на портале Azure. В следующей таблице представлены различия.

Имя API Название на портале Azure Примечания
Device Join (Присоединение устройства) Не рекомендуется Документация по устаревшим ролям
Диспетчеры устройств Не рекомендуется Документация по устаревшим ролям
Device Users (Пользователи устройства) Не рекомендуется Документация по устаревшим ролям
Учетные записи синхронизации службы каталогов Не отображается, так как не должно использоваться. Документация по учетным записям для синхронизации службы каталогов
Гостевой пользователь Не отображается, так как не может использоваться. Н/Д
"Partner Tier 1 Support" (Поддержка для партнеров уровня 1); Не отображается, так как не должно использоваться. Документация по поддержке партнеров уровня 1
"Partner Tier 2 Support" (Поддержка для партнеров уровня 2); Не отображается, так как не должно использоваться. Документация по поддержке партнеров уровня 2
Гостевой пользователь с ограниченными правами Не отображается, так как не может использоваться. Н/Д
Пользователь Не отображается, так как не может использоваться. Н/Д
Присоединение устройства к рабочей области Не рекомендуется Документация по устаревшим ролям

Кто может сбрасывать пароли

В следующей таблице перечислены роли, которые могут сбрасывать пароли и сделать маркеры обновления недействительными. Строки содержат роли, для которых можно сбросить пароль.

Следующая таблица предназначена для ролей, назначенных в области клиента. Для ролей, назначенных в области административной единицы, применяются дополнительные ограничения.

Роль, для которой можно сбросить пароль Администратор паролей Администратор службы технической поддержки Администратор проверки подлинности Администратор пользователей Привилегированный администратор проверки подлинности глобальный администратор.
Администратор проверки подлинности     ✔️   ✔️ ✔️
Читатели каталогов ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
глобальный администратор.         ✔️ ✔️*
Администратор групп       ✔️ ✔️ ✔️
Приглашающий гостей ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Администратор службы технической поддержки   ✔️   ✔️ ✔️ ✔️
Читатель Центра сообщений   ✔️ ✔️ ✔️ ✔️ ✔️
Администратор паролей ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Привилегированный администратор проверки подлинности         ✔️ ✔️
Администратор привилегированными ролями         ✔️ ✔️
Читатель отчетов   ✔️ ✔️ ✔️ ✔️ ✔️
Пользователь(без роли администратора) ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Пользователь (без роли администратора, но член или владелец группы с назначением ролей)         ✔️ ✔️
Администратор пользователей       ✔️ ✔️ ✔️
Читатель отчетов со сводными данными об использовании   ✔️ ✔️ ✔️ ✔️ ✔️

* Глобальный администратор не может удалить собственное назначение глобального администратора. Это позволяет избежать ситуации, когда у организации не остается ни одного глобального администратора.

Примечание

Возможность сброса пароля включает возможность обновления следующих конфиденциальных свойств, необходимых для самостоятельного сброса пароля:

  • businessPhones
  • mobilePhone
  • otherMails

Кто может выполнять конфиденциальные действия

Некоторые администраторы могут выполнять следующие конфиденциальные действия для некоторых пользователей. Все пользователи могут считывать конфиденциальные свойства.

Конфиденциальное действие Имя конфиденциального свойства
Отключение или включение пользователей accountEnabled
Обновление бизнес-телефона businessPhones
Обновление мобильного телефона mobilePhone
Обновление локального неизменяемого идентификатора onPremisesImmutableId
Обновление других сообщений электронной почты otherMails
Обновление профиля пароля passwordProfile
Обновление имени участника-пользователя userPrincipalName
Удаление или восстановление пользователей Неприменимо

В следующей таблице в столбцах перечислены роли, которые могут выполнять конфиденциальные действия. В строках перечислены роли, для которых может выполняться конфиденциальное действие.

Следующая таблица предназначена для ролей, назначенных в области клиента. Для ролей, назначенных в области административной единицы, применяются дополнительные ограничения.

Роль, с которой может выполняться конфиденциальное действие Администратор проверки подлинности Администратор пользователей Привилегированный администратор проверки подлинности глобальный администратор.
Администратор проверки подлинности ✔️   ✔️ ✔️
Читатели каталогов ✔️ ✔️ ✔️ ✔️
глобальный администратор.     ✔️ ✔️
Администратор групп   ✔️ ✔️ ✔️
Приглашающий гостей ✔️ ✔️ ✔️ ✔️
Администратор службы технической поддержки   ✔️ ✔️ ✔️
Читатель Центра сообщений ✔️ ✔️ ✔️ ✔️
Администратор паролей ✔️ ✔️ ✔️ ✔️
Привилегированный администратор проверки подлинности     ✔️ ✔️
Администратор привилегированными ролями     ✔️ ✔️
Читатель отчетов ✔️ ✔️ ✔️ ✔️
Пользователь(без роли администратора) ✔️ ✔️ ✔️ ✔️
Пользователь (без роли администратора, но член или владелец группы с назначением ролей)     ✔️ ✔️
Администратор пользователей   ✔️ ✔️ ✔️
Читатель отчетов со сводными данными об использовании ✔️ ✔️ ✔️ ✔️

Дальнейшие действия