Встроенные роли в Azure AD
Если в Azure Active Directory (Azure AD) другим администраторам или пользователям без прав администратора требуется управлять ресурсами Azure AD, назначьте им роль Azure AD, которая предоставляет необходимые разрешения. Например, можно назначить роли, чтобы разрешить добавление или изменение пользователей, сброс паролей пользователей, управление их лицензиями или управление доменными именами.
В этой статье перечислены встроенные роли Azure AD, которые можно назначить, чтобы разрешить управление ресурсами Azure AD. Сведения о назначении ролей см. в статье Назначение ролей Azure AD пользователям. Дополнительные сведения о ролях для управления ресурсами Azure см. в статье Встроенные роли Azure.
Все роли
| Роль | Описание | Идентификатор шаблона |
|---|---|---|
| Администратор приложений | Может создавать любые аспекты регистрации приложений и работы с корпоративными приложениями и управлять ими. | 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Разработчик приложений | Может создавать регистрации приложений независимо от значения параметра "Пользователи могут регистрировать приложения". | cf1c38e5-3621-4004-a7cb-879624dced7c |
| Автор атакующего кода | Может создавать атакующий код, которые администратор может инициировать позже. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Администратор симуляции атаки | Может создавать и контролировать все аспекты кампаний по симуляции атак. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Администратор назначения атрибутов | Назначение ключей и значений настраиваемых атрибутов безопасности поддерживаемым объектам Azure AD. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Читатель назначения атрибутов | Чтение ключей и значений настраиваемых атрибутов безопасности поддерживаемым объектам Azure AD. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Администратор определения атрибутов | Определение настраиваемых атрибутов безопасности и управление ими. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Читатель определения атрибутов | Чтение определения настраиваемых атрибутов безопасности. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Администратор проверки подлинности | Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любого пользователя, не являющегося администратором. | c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Администратор политики проверки подлинности | Может создавать и администрировать политику методов проверки подлинности, параметры MFA для всего клиента, политику защиты паролем и проверяемые удостоверения. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Локальный администратор устройства, присоединенного к Azure AD | Пользователи с этой ролью добавляются в группу локальных администраторов на устройствах, присоединенных к Azure AD. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Администратор Azure DevOps | Может управлять политиками и параметрами Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Администратор Azure Information Protection | Может контролировать все аспекты продукта Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Администратор набора ключей IEF B2C | Может управлять секретами для федерации и шифрования в Identity Experience Framework (IEF). | aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Администратор политики IEF B2C | Может создавать политики инфраструктуры доверия и управлять ими в Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Администратор выставления счетов | Может выполнять основные задачи по выставлению счетов, например изменять платежную информацию. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Администратор Cloud App Security | Может контролировать все аспекты продукта приложений Defender для облака. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Администратор облачных приложений | Может задавать и контролировать любые аспекты регистрации приложений и работы с корпоративными приложениями, за исключением прокси приложения. | 158c047a-c907-4556-b7ef-446551a6b5f7 |
| Администратор облачных устройств | Ограниченный доступ для управления устройствами в Azure AD. | 7698a772-787b-4ac8-901f-60d6b08affd2 |
| Администратор соответствия требованиям | Может просматривать и изменять конфигурацию соответствия требованиям и отчеты в Azure AD и Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Администратор данных соответствия | Создает и контролирует содержимое для соответствия. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Администратор условного доступа | Может контролировать возможности условного доступа. | b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Лицо, утверждающее доступ к защищенному хранилищу | Может утверждать запросы в службу поддержки Майкрософт для получения доступа к данным организации клиента. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Администратор аналитики классических приложений | Может получать доступ к службам и средствам управления компьютерами и управлять ими. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Читатели каталогов | Может считывать сведения базового каталога. Обычно используется для предоставления доступа на чтение каталога приложениям и гостям. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Учетные записи синхронизации службы каталогов | Используется только в службе Azure AD Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Создатели каталогов | Может считывать и записывать базовые сведения о каталоге. Предназначено для предоставления доступа приложениям, а не пользователям. | 9360feb5-f418-4baa-8175-e2a00bac4301 |
| Администратор доменных имен | Может управлять доменными именами в облаке и локально. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Администратор Dynamics 365 | Может контролировать все аспекты продукта Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Администратор Edge | Управление всеми аспектами Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Администратор Exchange | Может контролировать все аспекты продукта Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Администратор получателей Exchange | Может создавать или обновлять получателей Exchange Online в организации Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| Администратор потоков пользователей с внешним идентификатором | Может создавать все аспекты потоков пользователей и управлять ими. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Администратор атрибутов потоков пользователей с внешним идентификатором | Может создавать схему атрибутов, доступную для всех потоков пользователей, и управлять ею. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Администратор внешнего поставщика удостоверений | Может настраивать поставщики удостоверений для использования в прямой федерации. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| глобальный администратор. | Может контролировать все аспекты служб Azure AD и Майкрософт, использующих удостоверения Azure AD. | 62e90394-69f5-4237-9190-012177145e10 |
| Глобальный читатель | Может читать то же, что и глобальный администратор, но не может ничего обновить. | f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Администратор групп | Члены этой роли могут создавать группы и управлять ими, создавать и администрировать параметры групп, например политики именования и истечения срока действия, а также просматривать действия групп и отчеты об аудите. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Приглашающий гостей | Может приглашать гостей независимо от значения параметра "Участники могут приглашать гостей". | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Администратор службы технической поддержки | Может сбрасывать пароли пользователей, не являющихся администраторами, и пароли администраторов службы поддержки. | 729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Администратор гибридных удостоверений | Может управлять параметрами облачной подготовки из AD в Azure AD, Azure AD Connect, сквозной аутентификации (PTA), синхронизации хэшей паролей (PHS), легкого единого входа (простой единый вход) и федерации. | 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Администратор управления удостоверениями | Управление доступом с помощью Azure AD для сценариев управления удостоверениями. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Администратор Insights | Имеет административный доступ в приложении Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Аналитик Insights | Доступ к аналитическим возможностям в Microsoft Viva Аналитика и выполнение настраиваемых запросов. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Руководитель предприятия Insights | Может просматривать панели мониторинга и аналитические сведения и делиться ими через приложение Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Администратор Intune | Может контролировать все аспекты продукта Intune. | 3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Администратор Kaizala | Может управлять параметрами для Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Администратор базы знаний | Может настраивать базы знаний, обучение и другие интеллектуальные функции. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Диспетчер базы знаний | Может упорядочивать, создавать и распространять разделы и наборы знаний, а также управлять ими. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Администратор лицензий | Может управлять лицензиями продуктов для пользователей и групп. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Администратор рабочих процессов жизненного цикла | Создание и изменение всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла в Azure AD. | 59d46f88-662b-457b-bceb-5c3809e5908f |
| Читатель конфиденциальности данных Центра сообщений | Может читать сообщения и обновления системы безопасности в Центре сообщений Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Читатель центра сообщений | Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Администратор гарантии оборудования Майкрософт | Создавайте и управляйте всеми аспектами гарантий и правами на оборудование, произведенное корпорацией Майкрософт, например Surface и HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Специалист по гарантии оборудования Майкрософт | Создание и чтение заявлений о гарантии для оборудования, произведенного корпорацией Майкрософт, например Surface и HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| Пользователь современной коммерческой платформы | Может управлять коммерческими покупками для компании, отдела или группы. | d24aef57-1500-4070-84db-2666f29cf966 |
| Администратор сети | Может управлять сетевыми расположениями и просматривать аналитические данные о структуре корпоративной сети для приложений типа "ПО как услуга" Microsoft 365. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Администратор приложений Office | Может управлять облачными службами для приложений Office, в том числе изменять политики и параметры, а также контролировать выбор и публикацию содержимого "Новые возможности" на пользовательских устройствах. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Модуль записи сообщений организации | Создавайте, публикуйте, администрируете и просматривайте сообщения организации для конечных пользователей с помощью поверхностей продуктов Майкрософт. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| Служба поддержка партнеров уровня 1 | Не используйте (не предназначено для общего применения). | 4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Служба поддержка партнеров уровня 2 | Не используйте (не предназначено для общего применения). | e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Администратор паролей | Может сбросить пароли для пользователей, не являющихся администраторами, и администраторов паролей. | 966707d0-3269-4727-9be2-8c3a10f19b9d |
| Администратор управления разрешениями | Управление всеми аспектами управления разрешениями Entra. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Администратор Power BI | Может контролировать все аспекты продукта Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Администратор Power Platform | Может создавать и контролировать любые компоненты Microsoft Dynamics 365, PowerApps и Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Администратор принтеров | Может управлять всеми аспектами принтеров и их соединителей. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Технический специалист по принтерам | Может регистрировать и отменять регистрацию принтеров и обновлять их состояние. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Привилегированный администратор проверки подлинности | Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любых пользователей (включая администраторов). | 7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Администратор привилегированных ролей | Может контролировать назначение ролей в Azure AD и все аспекты Privileged Identity Management. | e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Читатель отчетов | Может просматривать отчеты о входах и аудите. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Администратор поиска | Может создавать и контролировать все параметры поиска (Майкрософт). | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Редактор поиска | Может создавать и изменять редакторское содержимое, например закладки, вопросы и ответы, расположения или план этажа. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| администратор безопасности; | Может просматривать отчеты и сведения для защиты, а также управлять конфигурацией Azure AD и Office 365. | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| Оператор безопасности | Создает и контролирует события безопасности. | 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| читатель сведений о безопасности; | Может просматривать отчеты и сведения о безопасности в Azure AD и Office 365. | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| Администратор поддержки служб | Может просматривать сведения о работоспособности служб и работать с запросами в службу поддержки. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Администратор SharePoint | Может контролировать все аспекты службы SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Администратор Skype для бизнеса | Может контролировать все аспекты продукта "Skype для бизнеса". | 75941009-915a-4869-abe7-691bff18279e |
| Администратор Teams | Может управлять службой Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Администратор связи Teams | Может управлять функциями вызовов и собраний в пределах службы Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Инженер службы поддержки связи Teams | Может устранять неполадки со связью в пределах Teams с помощью расширенных средств. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Специалист службы поддержки связи Teams | Может устранять неполадки со связью в пределах Teams с помощью базовых средств. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Администраторы устройств Teams | Может выполнять задачи по управлению на сертифицированных устройствах Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Создатель клиента | Создайте новые клиенты Azure AD или Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a6a |
| Читатель отчетов со сводными данными об использовании | Может просматривать только агрегированные данные на уровне клиента в разделе "Аналитика использования и оценка производительности" в Microsoft 365. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Администратор пользователей | Может контролировать все аспекты работы пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами. | fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Администратор виртуальных посещений | Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Администратор Viva Goals | Управление и настройка всех аспектов Microsoft Viva Goals. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Администратор Windows 365 | Может выполнять подготовку к работе всех аспектов облачных компьютеров и управлять ими. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Администратор развертывания Центра обновления Windows | Может создавать все аспекты и управлять всеми аспектами развертывания обновлений Windows через службы развертывания центра обновления Windows для бизнеса. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Администратор Yammer | Управление всеми аспектами службы Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Администратор приложений
пользователи с этой ролью могут создавать и контролировать все аспекты корпоративных приложений, регистрации приложений, а также параметры прокси приложения. Обратите внимание, что пользователи с этой ролью не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.
Кроме того, эта роль позволяет соглашаться на делегированные разрешения и разрешения приложений, за исключением разрешений приложений для Microsoft Graph.
Важно!
Это исключение означает, что вы по-прежнему можете соглашаться на разрешения приложений для других приложений (например, зарегистрированных приложений или приложений, не являющихся приложениями Майкрософт). Вы по-прежнему можете запрашивать эти разрешения в рамках регистрации приложения, но для предоставления этих разрешений (то есть согласия на них) требуется администратор с большими привилегиями, например глобальный администратор.
Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения был предоставлен доступ к ресурсу, например возможность создать или обновить пользователя или другие объекты, пользователь с данной ролью может выполнить эти действия при олицетворении приложения. Эта возможность олицетворить удостоверение приложения может представлять собой превышение привилегий пользователя по сравнению с назначенным ему ролям. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.
| Действия | Описание |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Управление политиками запроса согласия администратора в Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD |
| microsoft.directory/applications/create | Создание всех типов приложений |
| microsoft.directory/applications/delete | Удаление всех типов приложений |
| microsoft.directory/applications/applicationProxy/read | Чтение всех свойств Application Proxy |
| microsoft.directory/applications/applicationProxy/update | Обновление всех свойств Application Proxy |
| microsoft.directory/applications/applicationProxyAuthentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/applicationProxySslCertificate/update | Обновление параметров SSL-сертификата для Application Proxy |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Обновление параметров URL-адреса для Application Proxy |
| microsoft.directory/applications/appRoles/update | Обновление свойства appRoles для всех типов приложений |
| microsoft.directory/applications/audience/update | Обновление свойства audience для приложений |
| microsoft.directory/applications/authentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/basic/update | Обновление базовых свойств приложений |
| microsoft.directory/applications/credentials/update | Обновление учетных данных приложения |
| microsoft.directory/applications/extensionProperties/update | Обновление свойств расширения в приложениях |
| microsoft.directory/applications/notes/update | Обновление заметок приложений |
| microsoft.directory/applications/owners/update | Обновление владельцев приложений |
| microsoft.directory/applications/permissions/update | Обновление предоставляемых и требуемых разрешений для всех типов приложений |
| microsoft.directory/applications/policies/update | Обновление политик приложений |
| microsoft.directory/applications/tag/update | Обновление тегов приложений |
| microsoft.directory/applications/verification/update | Обновление свойства applicationsverification |
| microsoft.directory/applications/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с объектом приложения |
| microsoft.directory/applicationTemplates/instantiate | Создание экземпляров приложений коллекции из шаблонов приложений |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/connectors/create | Создание соединителей Application Proxy |
| microsoft.directory/connectors/allProperties/read | Чтение всех свойств соединителей Application Proxy |
| microsoft.directory/connectorGroups/create | Создание групп соединителей Application Proxy |
| microsoft.directory/connectorGroups/delete | Удаление групп соединителей Application Proxy |
| microsoft.directory/connectorGroups/allProperties/read | Чтение всех свойств групп соединителей Application Proxy |
| microsoft.directory/connectorGroups/allProperties/update | Обновление всех свойств групп соединителей Application Proxy |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Создание расширений настраиваемой проверки подлинности и управление ими |
| microsoft.directory/deletedItems.applications/delete | Безвозвратное удаление приложений, которые будет невозможно восстановить |
| microsoft.directory/deletedItems.applications/restore | Восстановление обратимо удаленных приложений в исходное состояние |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств |
| microsoft.directory/applicationPolicies/create | Создание политик приложений |
| microsoft.directory/applicationPolicies/delete | Удаление политик приложений |
| microsoft.directory/applicationPolicies/standard/read | Чтение стандартных свойств политик приложений |
| microsoft.directory/applicationPolicies/owners/read | Чтение сведений о владельцах политик приложений |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Чтение списка политик приложений, назначенных объекту |
| microsoft.directory/applicationPolicies/basic/update | Обновление стандартных свойств политик приложений |
| microsoft.directory/applicationPolicies/owners/update | Обновление свойства владельца политик приложений |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/servicePrincipals/create | Создание субъектов-служб |
| microsoft.directory/servicePrincipals/delete | Удаление субъектов-служб |
| microsoft.directory/servicePrincipals/disable | Отключение субъектов-служб |
| microsoft.directory/servicePrincipals/enable | Включение субъектов-служб |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Управление учетными данными для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Управление учетными данными и секретами для подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Создание заданий и схемы синхронизации подготовки приложений и управление ими |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Чтение учетных данных для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/servicePrincipals/audience/update | Обновление свойств аудитории для субъектов-служб |
| microsoft.directory/servicePrincipals/authentication/update | Обновление свойств проверки подлинности для субъектов-служб |
| microsoft.directory/servicePrincipals/basic/update | Обновление базовых свойств для субъектов-служб |
| microsoft.directory/servicePrincipals/credentials/update | Обновление учетных данных субъектов-служб |
| microsoft.directory/servicePrincipals/notes/update | Обновление заметок субъектов-служб |
| microsoft.directory/servicePrincipals/owners/update | Обновление владельцев субъектов-служб |
| microsoft.directory/servicePrincipals/permissions/update | Обновление разрешений субъектов-служб |
| microsoft.directory/servicePrincipals/policies/update | Обновление политик для субъектов-служб |
| microsoft.directory/servicePrincipals/tag/update | Обновление свойства тега для субъектов-служб |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с субъектом-службой |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Разработчик приложения
пользователи с этой ролью могут создавать регистрации приложений, когда для параметра "Пользователи могут регистрировать приложения" задано значение "Нет". Кроме того, эта роль позволяет давать согласие от своего имени, когда для параметра "Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени" задано значение "Нет". Пользователи, которым назначена эта роль, добавляются в качестве владельцев при создании регистраций приложений.
| Действия | Описание |
|---|---|
| microsoft.directory/applications/createAsOwner | Создание всех типов приложений, когда создатель добавляется как первый владелец |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Создание операций предоставления разрешений OAuth 2.0 с создателем в качестве первого владельца |
| microsoft.directory/servicePrincipals/createAsOwner | Создание субъектов-служб с создателем в качестве первого владельца |
Автор атакующего кода
Пользователи с этой ролью могут создавать атакующие коды, однако не могут запускать и планировать их. Полезные данные атаки после этого становятся доступными для всех администраторов в клиенте, которые могут использовать их для моделирования.
Дополнительные сведения см. в разделах разрешения Microsoft Defender для Office 365 на портале Microsoft 365 Defender и Разрешения в Портал соответствия требованиям Microsoft Purview.
| Действия | Описание |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Создание атакующих кодов и управление ими в эмуляторе атак |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Чтение отчетов о симуляции атак, ответных действиях и связанном обучении |
Администратор симуляции атаки
Пользователи с этой ролью могут создавать и администрировать все аспекты создания симуляции атаки, запускать или планировать симуляцию, а также просматривать ее результаты. Члены этой роли имеют доступ ко всем стимуляциям в клиенте.
Дополнительные сведения см. в разделах разрешения Microsoft Defender для Office 365 на портале Microsoft 365 Defender и Разрешения в Портал соответствия требованиям Microsoft Purview.
| Действия | Описание |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Создание атакующих кодов и управление ими в эмуляторе атак |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Чтение отчетов о симуляции атак, ответных действиях и связанном обучении |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Создание шаблонов симуляции атак и управление ими в эмуляторе атак |
Администратор назначения атрибутов
Пользователи с этой ролью могут назначать и удалять ключи и значения настраиваемых атрибутов безопасности для поддерживаемых объектов Azure AD, включая пользователей, субъекты-службы и устройства.
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.
| Действия | Описание |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Чтение всех свойств наборов атрибутов |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Чтение всех свойств определений настраиваемых атрибутов безопасности |
| microsoft.directory/devices/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для устройств |
| microsoft.directory/devices/customSecurityAttributes/update | Обновление значений настраиваемых атрибутов безопасности для устройств |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для субъектов-служб |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Обновление значений настраиваемых атрибутов безопасности для субъектов-служб |
| microsoft.directory/users/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для пользователей |
| microsoft.directory/users/customSecurityAttributes/update | Обновление значений настраиваемых атрибутов безопасности для пользователей |
Читатель назначения атрибутов
Пользователи с этой ролью могут читать ключи и значения настраиваемых атрибутов безопасности поддерживаемым объектам Azure AD.
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.
| Действия | Описание |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Чтение всех свойств наборов атрибутов |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Чтение всех свойств определений настраиваемых атрибутов безопасности |
| microsoft.directory/devices/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для устройств |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для субъектов-служб |
| microsoft.directory/users/customSecurityAttributes/read | Чтение значений настраиваемых атрибутов безопасности для пользователей |
Администратор определения атрибутов
Пользователи с этой ролью могут определять допустимый набор настраиваемых атрибутов безопасности, которые могут назначаться поддерживаемым объектам Azure AD. Эта роль также может активировать и деактивировать настраиваемые атрибуты безопасности.
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.
| Действия | Описание |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Управление всеми аспектами наборов атрибутов |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Управление всеми аспектами определений настраиваемых атрибутов безопасности |
Читатель определения атрибутов
Пользователи с этой ролью могут читать определения настраиваемых атрибутов безопасности.
По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.
Дополнительные сведения см. в статье Управление доступом к настраиваемым атрибутам безопасности в Azure AD.
| Действия | Описание |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Чтение всех свойств наборов атрибутов |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Чтение всех свойств определений настраиваемых атрибутов безопасности |
Администратор проверки подлинности
Назначьте роль администратора проверки подлинности пользователям, которым необходимо выполнить следующие действия:
- Задайте или сбросьте любой метод проверки подлинности (включая пароли) для пользователей, не являющихся администраторами, и некоторых ролей. Список ролей, для которых администратор проверки подлинности может считывать или обновлять способы проверки подлинности, см. в разделе Кто может сбрасывать пароли.
- Требовать повторной регистрации пользователей, не являющихся администраторами или назначенных некоторым ролям, с использованием существующих учетных данных, не относящихся к паролю (например, MFA или FIDO), а также могут отозвать MFA на устройстве, что запрашивает MFA при следующем входе.
- Выполнение конфиденциальных действий для некоторых пользователей. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
- Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.
Пользователи с этой ролью не могут выполнять следующие действия:
- Невозможно изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
- Не удается управлять параметрами MFA на устаревшем портале управления MFA или аппаратных токенах OATH. Те же функции можно реализовать с помощью модуля PowerShell с командлетом Azure AD Set-MsolUser.
В следующей таблице сравниваются возможности этой роли со связанными ролями.
| Должность | Управление методами проверки подлинности пользователя | Управление MFA для каждого пользователя | Управление параметрами MFA | Управление политикой выбора метода проверки подлинности | Управление политикой защиты паролем | Обновление конфиденциальных свойств | Удаление и восстановление пользователей |
|---|---|---|---|---|---|---|---|
| Администратор проверки подлинности | Да для некоторых пользователей | Да для некоторых пользователей | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
| Привилегированный администратор проверки подлинности | Да для всех пользователей | Да для всех пользователей | Нет | Нет | Нет | Да для всех пользователей | Да для всех пользователей |
| Администратор политики проверки подлинности | Нет | Нет | Да | Да | Да | Нет | Нет |
| Администратор пользователей | Нет | Нет | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Важно!
Пользователи с этой ролью могут изменять учетные данные для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:
- Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам проверки подлинности. По этому пути администратор проверки подлинности сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
- Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
- Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
- Администраторы других служб за пределами Azure AD, таких как Exchange Online, портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и системы управления персоналом.
- Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
| Действия | Описание |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Создание способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/delete | Удаление способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Считывание стандартных свойств способов проверки подлинности, не включающих личные сведения пользователей |
| microsoft.directory/users/authenticationMethods/basic/update | Изменение стандартных свойств способов проверки подлинности для пользователей |
| microsoft.directory/deletedItems.users/restore | Восстановление обратимо удаленных пользователей в исходное состояние |
| microsoft.directory/users/delete | Удаление пользователей |
| microsoft.directory/users/disable | Отключение пользователей |
| microsoft.directory/users/enable | Включение пользователей |
| microsoft.directory/users/invalidateAllRefreshTokens | Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых |
| microsoft.directory/users/restore | Восстановление удаленных пользователей |
| microsoft.directory/users/basic/update | Обновление базовых параметров пользователей |
| microsoft.directory/users/manager/update | Обновление менеджера для пользователей |
| microsoft.directory/users/password/update | Сброс паролей для всех пользователей |
| microsoft.directory/users/userPrincipalName/update | Обновление имени субъекта-пользователя для пользователей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор политики проверки подлинности
Назначьте роль администратора политики проверки подлинности пользователям, которым необходимо выполнить следующие действия:
- Настройте политику методов проверки подлинности, параметры MFA на уровне клиента и политику защиты паролем, которые определяют, какие методы каждый пользователь может зарегистрировать и использовать.
- Управление параметрами защиты паролем: конфигурации интеллектуальной блокировки и обновление пользовательского списка запрещенных паролей.
- Создание проверяемых удостоверений и управление ими.
- Создание запросов в службу поддержки Azure и управление ими.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается обновить конфиденциальные свойства. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
- Не удается удалить или восстановить пользователей. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
- Не удается управлять параметрами MFA на устаревшем портале управления MFA или аппаратных токенах OATH.
В следующей таблице сравниваются возможности этой роли со связанными ролями.
| Должность | Управление методами проверки подлинности пользователя | Управление MFA для каждого пользователя | Управление параметрами MFA | Управление политикой выбора метода проверки подлинности | Управление политикой защиты паролем | Обновление конфиденциальных свойств | Удаление и восстановление пользователей |
|---|---|---|---|---|---|---|---|
| Администратор проверки подлинности | Да для некоторых пользователей | Да для некоторых пользователей | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
| Привилегированный администратор проверки подлинности | Да для всех пользователей | Да для всех пользователей | Нет | Нет | Нет | Да для всех пользователей | Да для всех пользователей |
| Администратор политики проверки подлинности | Нет | Нет | Да | Да | Да | Нет | Нет |
| Администратор пользователей | Нет | Нет | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
| Действия | Описание |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Управление всеми аспектами строгой проверки подлинности в организации |
| microsoft.directory/userCredentialPolicies/create | Создание политик учетных данных для пользователей |
| microsoft.directory/userCredentialPolicies/delete | Удаление политик учетных данных для пользователей |
| microsoft.directory/userCredentialPolicies/standard/read | Чтение стандартных свойств политик учетных данных для пользователей |
| microsoft.directory/userCredentialPolicies/owners/read | Чтение владельцев политик учетных данных для пользователей |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Чтение навигационной ссылки policy.appliesTo |
| microsoft.directory/userCredentialPolicies/basic/update | Обновление базовых политик для пользователей |
| microsoft.directory/userCredentialPolicies/owners/update | Обновление владельцев политик учетных данных для пользователей |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Обновление свойства policy.isOrganizationDefault |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Чтение карточки проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Отзыв карточки проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Создание контракта для проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Чтение контракта для проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Обновление контракта для проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/create | Создание конфигурации, необходимой для создания проверяемых удостоверений и управления ими |
| microsoft.directory/verifiableCredentials/configuration/delete | Удаление конфигурации, необходимой для создания проверяемых удостоверений и управления ими, а также удаление всех ее проверяемых удостоверений |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Обновление конфигурации, необходимой для создания проверяемых удостоверений и управления ими |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
Локальный администратор устройства, присоединенного к Azure AD
эту роль можно назначить только в качестве роли дополнительного локального администратора в параметрах устройства. Пользователи с этой ролью становятся администраторами локальных компьютеров на всех устройствах с Windows 10, присоединенных к Azure Active Directory. Они не могут управлять объектами устройств в Azure Active Directory.
| Действия | Описание |
|---|---|
| microsoft.directory/groupSettings/standard/read | Чтение базовых свойств для параметров группы |
| microsoft.directory/groupSettingTemplates/standard/read | Чтение базовых свойств для шаблонов параметров группы |
Администратор Azure DevOps
Пользователи с этой ролью могут управлять всеми корпоративными политиками Azure DevOps, применимыми ко всем организациям Azure DevOps, поддерживаемым Azure AD. Пользователи с этой ролью могут управлять этими политиками через любую организацию Azure DevOps, которая поддерживается организацией Azure AD. Кроме того, пользователи с этой ролью могут заявлять права собственности на потерянные организации Azure DevOps. Эта роль не предоставляет никаких других особых разрешений Azure DevOps (например, для администраторов коллекции проектов) ни в одной из организаций Azure DevOps, поддерживаемых организацией Azure AD компании.
| Действия | Описание |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Чтение и настройка Azure DevOps |
Администратор Azure Information Protection
пользователи с этой ролью имеют все разрешения в службе Azure Information Protection. Эта роль позволяет настраивать метки для политики Azure Information Protection, управлять шаблонами защиты и активировать защиту. Эта роль не предоставляет никаких разрешений для защиты идентификации, управление привилегированными пользователями, мониторинга работоспособности служб Microsoft 365, Microsoft 365 Defender портала или Портал соответствия требованиям Microsoft Purview.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.azure.informationProtection/allEntities/allTasks | Управление всеми аспектами Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор наборов ключей IEF B2C
Пользователь может создавать ключи политики и секреты для шифрования маркеров, подписи маркеров и шифрования и расшифровки утверждений, а также управлять этими ключами. Добавляя новые ключи в существующие контейнеры ключей, этот администратор с ограниченными правами может при необходимости менять секреты без влияния на существующие приложения. Этот пользователь может видеть полное содержимое секретов и даты окончания срока их действия даже после их создания.
Важно!
Это очень важная роль. В подготовительной и рабочей средах роль администратора набора ключей должна проходить тщательную проверку и назначаться с особым вниманием.
| Действия | Описание |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Чтение и настройка наборов ключей в Azure Active Directory B2C |
Администратор политик IEF B2C
Пользователи с этой ролью могут создавать, читать, обновлять и удалять все настраиваемые политики в Azure AD B2C и, таким образом, имеют полный доступ к Identity Experience Framework в соответствующей организации Azure AD B2C. Изменяя политики, эти пользователи могут устанавливать прямую федерацию с внешними поставщиками удостоверений, изменять схемы каталогов, изменять все содержимое для пользователей (HTML, CSS, JavaScript), изменять требования к прохождению проверки подлинности, создавать пользователей, отправлять данные пользователей во внешние системы, включая полную миграцию, и изменять все сведения о пользователях, включая поля с такими конфиденциальными данными, как пароли и номера телефонов. Но в то же время пользователи с этой ролью не могут изменять ключи шифрования или секреты, используемые для федерации в организации.
Важно!
Администратор политики IEF B2C — это очень важная роль, которую следует назначать в организациях в рабочей среде в весьма ограниченном количестве случаев. Действия, выполняемые этими пользователями, необходимо тщательно проверять, особенно в организациях в рабочей среде.
| Действия | Описание |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Чтение и настройка пользовательских политик в Azure Active Directory B2C |
администратора выставления счетов;
совершает покупки, управляет подписками, управляет запросами в службу поддержки и отслеживает работоспособность службы.
| Действия | Описание |
|---|---|
| microsoft.directory/organization/basic/update | Обновление базовых свойств для организации |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Управление всеми аспектами выставления счетов в Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Cloud App Security
У пользователей с этой ролью есть полные разрешения в приложениях Defender для облака. Они могут добавлять администраторов, добавлять политики и параметры для приложений Microsoft Defender для облака, отправлять журналы и выполнять действия по управлению.
| Действия | Описание |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор облачных приложений
пользователи с этой ролью имеют те же разрешения, что и для роли администратора приложений, за исключением возможности управления прокси приложения. Эта роль позволяет создавать и контролировать все аспекты корпоративных приложений и регистраций приложений. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.
Кроме того, эта роль позволяет соглашаться на делегированные разрешения и разрешения приложений, за исключением разрешений приложений для Microsoft Graph.
Важно!
Это исключение означает, что вы по-прежнему можете соглашаться на разрешения приложений для других приложений (например, зарегистрированных приложений или приложений, не являющихся приложениями Майкрософт). Вы по-прежнему можете запрашивать эти разрешения в рамках регистрации приложения, но для предоставления этих разрешений (то есть согласия на них) требуется администратор с большими привилегиями, например глобальный администратор.
Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения был предоставлен доступ к ресурсу, например возможность создать или обновить пользователя или другие объекты, пользователь с данной ролью может выполнить эти действия при олицетворении приложения. Эта возможность олицетворить удостоверение приложения может представлять собой превышение привилегий пользователя по сравнению с назначенным ему ролям. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.
| Действия | Описание |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Управление политиками запроса согласия администратора в Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD |
| microsoft.directory/applications/create | Создание всех типов приложений |
| microsoft.directory/applications/delete | Удаление всех типов приложений |
| microsoft.directory/applications/appRoles/update | Обновление свойства appRoles для всех типов приложений |
| microsoft.directory/applications/audience/update | Обновление свойства audience для приложений |
| microsoft.directory/applications/authentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/basic/update | Обновление базовых свойств приложений |
| microsoft.directory/applications/credentials/update | Обновление учетных данных приложения |
| microsoft.directory/applications/extensionProperties/update | Обновление свойств расширения в приложениях |
| microsoft.directory/applications/notes/update | Обновление заметок приложений |
| microsoft.directory/applications/owners/update | Обновление владельцев приложений |
| microsoft.directory/applications/permissions/update | Обновление предоставляемых и требуемых разрешений для всех типов приложений |
| microsoft.directory/applications/policies/update | Обновление политик приложений |
| microsoft.directory/applications/tag/update | Обновление тегов приложений |
| microsoft.directory/applications/verification/update | Обновление свойства applicationsverification |
| microsoft.directory/applications/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с объектом приложения |
| microsoft.directory/applicationTemplates/instantiate | Создание экземпляров приложений коллекции из шаблонов приложений |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/deletedItems.applications/delete | Безвозвратное удаление приложений, которые будет невозможно восстановить |
| microsoft.directory/deletedItems.applications/restore | Восстановление обратимо удаленных приложений в исходное состояние |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств |
| microsoft.directory/applicationPolicies/create | Создание политик приложений |
| microsoft.directory/applicationPolicies/delete | Удаление политик приложений |
| microsoft.directory/applicationPolicies/standard/read | Чтение стандартных свойств политик приложений |
| microsoft.directory/applicationPolicies/owners/read | Чтение сведений о владельцах политик приложений |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Чтение списка политик приложений, назначенных объекту |
| microsoft.directory/applicationPolicies/basic/update | Обновление стандартных свойств политик приложений |
| microsoft.directory/applicationPolicies/owners/update | Обновление свойства владельца политик приложений |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/servicePrincipals/create | Создание субъектов-служб |
| microsoft.directory/servicePrincipals/delete | Удаление субъектов-служб |
| microsoft.directory/servicePrincipals/disable | Отключение субъектов-служб |
| microsoft.directory/servicePrincipals/enable | Включение субъектов-служб |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Управление учетными данными для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Управление учетными данными и секретами для подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Создание заданий и схемы синхронизации подготовки приложений и управление ими |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Чтение учетных данных для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/servicePrincipals/audience/update | Обновление свойств аудитории для субъектов-служб |
| microsoft.directory/servicePrincipals/authentication/update | Обновление свойств проверки подлинности для субъектов-служб |
| microsoft.directory/servicePrincipals/basic/update | Обновление базовых свойств для субъектов-служб |
| microsoft.directory/servicePrincipals/credentials/update | Обновление учетных данных субъектов-служб |
| microsoft.directory/servicePrincipals/notes/update | Обновление заметок субъектов-служб |
| microsoft.directory/servicePrincipals/owners/update | Обновление владельцев субъектов-служб |
| microsoft.directory/servicePrincipals/permissions/update | Обновление разрешений субъектов-служб |
| microsoft.directory/servicePrincipals/policies/update | Обновление политик для субъектов-служб |
| microsoft.directory/servicePrincipals/tag/update | Обновление свойства тега для субъектов-служб |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с субъектом-службой |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор облачного устройства
пользователи с этой ролью могут включать, отключать и удалять устройства в Azure AD и считывать ключи BitLocker в Windows 10 (при наличии) на портале Azure. Роль не предоставляет разрешения на управление любыми другими свойствами устройства.
| Действия | Описание |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/deletedItems.devices/delete | Окончательное удаление устройств, которые больше не могут быть восстановлены |
| microsoft.directory/deletedItems.devices/restore | Восстановление обратимо удаленных устройств в исходное состояние |
| microsoft.directory/devices/delete | Удаление устройств из Azure AD |
| microsoft.directory/devices/disable | Отключение устройств в Azure AD |
| microsoft.directory/devices/enable | Включение устройств в Azure AD |
| microsoft.directory/deviceLocalCredentials/password/read | Чтение всех свойств учетных данных учетной записи локального администратора для Azure AD присоединенных устройств, включая пароль. |
| microsoft.directory/deviceManagementPolicies/standard/read | Считывание стандартных свойств для политик приложения управления устройствами |
| microsoft.directory/deviceManagementPolicies/basic/update | Обновление базовых свойств для политик приложения управления устройствами |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Считывание стандартных свойств для политики регистрации устройств |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Обновление базовых свойств для политик регистрации устройств |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
Администратор соответствия требованиям
Пользователи с этой ролью имеют разрешения на управление функциями, связанными с соответствием требованиям, на портале Портал соответствия требованиям Microsoft Purview, Центр администрирования Microsoft 365, Azure и Microsoft 365 Defender. Назначенные также могут управлять всеми функциями в Центре администрирования Exchange и создавать запросы в службу поддержки для Azure и Microsoft 365. Дополнительные сведения см. в разделах Роли и группы ролей в Microsoft Defender для Office 365 и Соответствие требованиям Microsoft Purview.
| В | Может |
|---|---|
| Портал соответствия требованиям Microsoft Purview | Защита данных организации и управление ими во всех службах Microsoft 365. Управление оповещениями по соответствию. |
| Диспетчер соответствия требованиям Microsoft Purview | Отслеживание, назначение и проверка деятельности организации на соответствие требованиям. |
| Портал Microsoft 365 Defender | Управление системой управления данными. Выполнение юридического расследование и анализа данных. Управление запросом субъекта данных. Эта роль имеет те же разрешения, что и группа ролей "Администратор соответствия требованиям" в Microsoft 365 Defender управления доступом на основе ролей на портале. |
| Intune | Просмотр всех данных проверки Intune. |
| Microsoft Defender для облачных приложений | Обладает разрешением только для чтения и может управлять оповещениями. Может создавать и изменять файловые политики и давать разрешение на управление файлом. Позволяет просматривать все встроенные отчеты в разделе "Управление данными". |
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.directory/entitlementManagement/allProperties/read | Чтение всех свойств в системе управления правами Azure AD |
| microsoft.office365.complianceManager/allEntities/allTasks | Управление всеми аспектами Office 365 Compliance Manager. |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор соответствия данных требованиям
У пользователей с этой ролью есть разрешения на отслеживание данных на Портале соответствия требованиям Microsoft Purview, в Центре администрирования Microsoft 365 и Azure. Пользователи также могут отслеживать данные соответствия в центре администрирования Exchange, диспетчере соответствия требованиям и центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Дополнительные сведения о различиях между администратором соответствия требованиям и администратором данных соответствия требованиям см. в разделах Роли и группы ролей в Microsoft Defender для Office 365 и Соответствие требованиям Microsoft Purview.
| В | Может |
|---|---|
| Портал соответствия требованиям Microsoft Purview | Отслеживает политики, связанные с соответствием требованиями, во всех службах Microsoft 365. Управление оповещениями по соответствию. |
| Диспетчер соответствия требованиям Microsoft Purview | Отслеживание, назначение и проверка деятельности организации на соответствие требованиям. |
| Портал Microsoft 365 Defender | Управление системой управления данными. Выполнение юридического расследование и анализа данных. Управление запросом субъекта данных. Эта роль имеет те же разрешения, что и группа ролей "Администратор данных соответствия" в управлении доступом на основе ролей на портале Microsoft 365 Defender. |
| Intune | Просмотр всех данных проверки Intune. |
| Microsoft Defender для облачных приложений | Обладает разрешением только для чтения и может управлять оповещениями. Может создавать и изменять файловые политики и давать разрешение на управление файлом. Позволяет просматривать все встроенные отчеты в разделе "Управление данными". |
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака |
| microsoft.azure.informationProtection/allEntities/allTasks | Управление всеми аспектами Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.complianceManager/allEntities/allTasks | Управление всеми аспектами Office 365 Compliance Manager. |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор условного доступа
Пользователи с этой ролью могут управлять параметрами условного доступа в Azure Active Directory.
| Действия | Описание |
|---|---|
| microsoft.directory/namedLocations/create | Создание настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/delete | Удаление настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/standard/read | Чтение основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/basic/update | Обновление основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/conditionalAccessPolicies/create | Создание политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/delete | Удаление политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/standard/read | Условный доступ на чтение для политик |
| microsoft.directory/conditionalAccessPolicies/owners/read | Считывание владельцев политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Чтение свойства "Применяется к" для политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/basic/update | Обновление базовых свойств для политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/owners/update | Обновление владельцев для политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Обновление клиента по умолчанию для политик условного доступа |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Обновление контекста проверки подлинности условного доступа для действий ресурсов управления доступом на основе ролей (RBAC) Microsoft 365 |
Лицо, утверждающее доступ клиентов к LockBox
Управляет запросами к защищенному хранилищу Microsoft Purview в вашей организации. Для запросов защищенного хранилища они получают уведомления по электронной почте и могут утверждать и отклонять запросы из Центра администрирования Microsoft 365. Они могут также выключать функции защищенного хранилища. Только глобальные администраторы могут сбрасывать пароли пользователей, которым назначены эти роли.
| Действия | Описание |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Управление всеми аспектами защищенного хранилища |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор аналитики классических приложений
Пользователи с этой ролью могут управлять службами портала "Аналитика компьютеров". В частности, возможностями просмотра наличных ресурсов, создания планов развертывания, просмотра развертывания и состояния работоспособности.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Управление всеми аспектами Аналитики компьютеров |
Читатели каталогов
Пользователи с этой ролью могут считывать основные сведения о каталогах. Эта роль должна использоваться в следующих целях:
- предоставление доступа на чтение лишь определенному набору гостевых пользователей, а не всем;
- Предоставление определенному набору пользователей, не являющихся администраторами, доступа к портал Azure если для параметра "Ограничить доступ к портал Azure только администраторам" задано значение "Да".
- предоставление субъектам-службам доступа к каталогам, для которых не установлен параметр Directory.Read.All.
| Действия | Описание |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Чтение базовых свойств единиц администрирования |
| microsoft.directory/administrativeUnits/members/read | Считывание членов административных единиц |
| microsoft.directory/applications/standard/read | Чтение стандартных свойств приложений |
| microsoft.directory/applications/owners/read | Считывание владельцев приложений |
| microsoft.directory/applications/policies/read | Чтение политик приложений |
| microsoft.directory/contacts/standard/read | Чтение базовых свойств контактов в Azure AD |
| microsoft.directory/contacts/memberOf/read | Чтение членства в группах для всех контактов в Azure AD |
| microsoft.directory/contracts/standard/read | Чтение базовых свойств контрактов с партнерами |
| microsoft.directory/devices/standard/read | Чтение базовых свойств для устройств |
| microsoft.directory/devices/memberOf/read | Чтение членства для устройств |
| microsoft.directory/devices/registeredOwners/read | Считывание зарегистрированных владельцев устройств |
| microsoft.directory/devices/registeredUsers/read | Считывание зарегистрированных пользователей устройств |
| microsoft.directory/directoryRoles/standard/read | Считывание базовых свойств в ролях Azure AD |
| microsoft.directory/directoryRoles/eligibleMembers/read | Считывание подходящих членов ролей Azure AD |
| microsoft.directory/directoryRoles/members/read | Считывание всех членов ролей Azure AD |
| microsoft.directory/domains/standard/read | Чтение базовых свойств для доменов |
| microsoft.directory/groups/standard/read | Чтение стандартных свойств групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/appRoleAssignments/read | Чтение назначений ролей приложения для групп |
| microsoft.directory/groups/memberOf/read | Чтение свойств memberOf для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/members/read | Чтение данных о членстве в группах безопасности и группах Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/owners/read | Чтение данных о владельцах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/settings/read | Чтение параметров групп |
| microsoft.directory/groupSettings/standard/read | Чтение базовых свойств для параметров группы |
| microsoft.directory/groupSettingTemplates/standard/read | Чтение базовых свойств для шаблонов параметров группы |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Чтение базовых свойств для операций предоставления разрешений OAuth 2.0 |
| microsoft.directory/organization/standard/read | Чтение базовых свойств для организации |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Чтение доверенных центров сертификации для проверки подлинности без пароля |
| microsoft.directory/applicationPolicies/standard/read | Чтение стандартных свойств политик приложений |
| microsoft.directory/roleAssignments/standard/read | Чтение базовых свойств назначений ролей |
| microsoft.directory/roleDefinitions/standard/read | Чтение базовых свойств определений ролей |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Чтение назначений ролей субъекта-службы |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Чтение назначений ролей, назначенных субъекту-службе |
| microsoft.directory/servicePrincipals/standard/read | Чтение базовых свойств субъектов-служб |
| microsoft.directory/servicePrincipals/memberOf/read | Чтение данных о членстве в группах для субъектов-служб |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Чтение данных об операциях предоставления делегированных разрешений для субъекта-служб |
| microsoft.directory/servicePrincipals/owners/read | Чтение сведений о владельцах субъектов-служб |
| microsoft.directory/servicePrincipals/ownedObjects/read | Чтение находящихся во владении объектов субъектов-служб |
| microsoft.directory/servicePrincipals/policies/read | Чтение политик субъектов-служб |
| microsoft.directory/subscribedSkus/standard/read | Чтение базовых свойств для подписок |
| microsoft.directory/users/standard/read | Чтение базовых свойств для пользователей |
| microsoft.directory/users/appRoleAssignments/read | Чтение назначений ролей приложения для пользователей |
| microsoft.directory/users/deviceForResourceAccount/read | Чтение свойства deviceForResourceAccount для пользователей |
| microsoft.directory/users/directReports/read | Считывание подчиненных конкретного пользователя |
| microsoft.directory/users/licenseDetails/read | Чтение сведений о лицензиях для пользователей |
| microsoft.directory/users/manager/read | Считывание менеджера пользователей |
| microsoft.directory/users/memberOf/read | Считывание данных о членстве пользователей в группах |
| microsoft.directory/users/oAuth2PermissionGrants/read | Чтение операций предоставления делегированных разрешений для пользователей |
| microsoft.directory/users/ownedDevices/read | Считывание устройств, принадлежащих пользователям |
| microsoft.directory/users/ownedObjects/read | Считывание объектов, принадлежащих пользователям |
| microsoft.directory/users/photo/read | Просмотр фотографий пользователей |
| microsoft.directory/users/registeredDevices/read | Считывание зарегистрированных устройств пользователей |
| microsoft.directory/users/scopedRoleMemberOf/read | Чтение данных о членстве пользователей в роли Azure AD с областью действия административного подразделения |
| microsoft.directory/users/sponsors/read | Чтение спонсоров пользователей |
Учетные записи синхронизации службы каталогов
Не используйте. Эта роль автоматически назначается службе Azure AD Connect, она не предназначена для любого другого использования.
| Действия | Описание |
|---|---|
| microsoft.directory/applications/create | Создание всех типов приложений |
| microsoft.directory/applications/delete | Удаление всех типов приложений |
| microsoft.directory/applications/appRoles/update | Обновление свойства appRoles для всех типов приложений |
| microsoft.directory/applications/audience/update | Обновление свойства audience для приложений |
| microsoft.directory/applications/authentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/basic/update | Обновление базовых свойств приложений |
| microsoft.directory/applications/credentials/update | Обновление учетных данных приложения |
| microsoft.directory/applications/notes/update | Обновление заметок приложений |
| microsoft.directory/applications/owners/update | Обновление владельцев приложений |
| microsoft.directory/applications/permissions/update | Обновление предоставляемых и требуемых разрешений для всех типов приложений |
| microsoft.directory/applications/policies/update | Обновление политик приложений |
| microsoft.directory/applications/tag/update | Обновление тегов приложений |
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Управление политикой гибридной проверки подлинности в Azure AD |
| microsoft.directory/organization/dirSync/update | Обновление свойства синхронизации каталога организации |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Управление всеми аспектами синхронизации хэша паролей (PHS) в Azure AD. |
| microsoft.directory/policies/create | Создание политик в Azure AD |
| microsoft.directory/policies/delete | Удаление политик в Azure AD |
| microsoft.directory/policies/standard/read | Чтение базовых свойств для политик |
| microsoft.directory/policies/owners/read | Считывание владельцев политик |
| microsoft.directory/policies/policyAppliedTo/read | Чтение свойства policies.policyAppliedTo |
| microsoft.directory/policies/basic/update | Обновление базовых свойств для политик |
| microsoft.directory/policies/owners/update | Обновление владельцев политик |
| microsoft.directory/policies/tenantDefault/update | Обновление политик организации по умолчанию |
| microsoft.directory/servicePrincipals/create | Создание субъектов-служб |
| microsoft.directory/servicePrincipals/delete | Удаление субъектов-служб |
| microsoft.directory/servicePrincipals/enable | Включение субъектов-служб |
| microsoft.directory/servicePrincipals/disable | Отключение субъектов-служб |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Управление учетными данными для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Чтение учетных данных для единого входа на основе пароля в субъектах-службах |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Чтение назначений ролей субъекта-службы |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Чтение назначений ролей, назначенных субъекту-службе |
| microsoft.directory/servicePrincipals/standard/read | Чтение базовых свойств субъектов-служб |
| microsoft.directory/servicePrincipals/memberOf/read | Чтение данных о членстве в группах для субъектов-служб |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Чтение данных об операциях предоставления делегированных разрешений для субъекта-служб |
| microsoft.directory/servicePrincipals/owners/read | Чтение сведений о владельцах субъектов-служб |
| microsoft.directory/servicePrincipals/ownedObjects/read | Чтение находящихся во владении объектов субъектов-служб |
| microsoft.directory/servicePrincipals/policies/read | Чтение политик субъектов-служб |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/servicePrincipals/audience/update | Обновление свойств аудитории для субъектов-служб |
| microsoft.directory/servicePrincipals/authentication/update | Обновление свойств проверки подлинности для субъектов-служб |
| microsoft.directory/servicePrincipals/basic/update | Обновление базовых свойств для субъектов-служб |
| microsoft.directory/servicePrincipals/credentials/update | Обновление учетных данных субъектов-служб |
| microsoft.directory/servicePrincipals/notes/update | Обновление заметок субъектов-служб |
| microsoft.directory/servicePrincipals/owners/update | Обновление владельцев субъектов-служб |
| microsoft.directory/servicePrincipals/permissions/update | Обновление разрешений субъектов-служб |
| microsoft.directory/servicePrincipals/policies/update | Обновление политик для субъектов-служб |
| microsoft.directory/servicePrincipals/tag/update | Обновление свойства тега для субъектов-служб |
Создатели каталогов
Пользователи с этой ролью могут читать и обновлять базовые сведения о пользователях, группах и субъектах-службах.
| Действия | Описание |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Обновление свойств расширения в приложениях |
| microsoft.directory/contacts/create | Создание контактов |
| microsoft.directory/groups/assignLicense | Назначение группам лицензий на продукты для группового лицензирования |
| microsoft.directory/groups/create | Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/reprocessLicenseAssignment | Повторная обработка назначений лицензий для группового лицензирования |
| microsoft.directory/groups/basic/update | Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/classification/update | Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/dynamicMembershipRule/update | Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/groupType/update | Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/members/update | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/onPremWriteBack/update | Обновление групп Azure Active Directory для обратной записи в локальную среду с помощью Azure AD Connect |
| microsoft.directory/groups/owners/update | Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/settings/update | Обновление параметров групп |
| microsoft.directory/groups/visibility/update | Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groupSettings/create | Create group settings (Создание параметров группы) |
| microsoft.directory/groupSettings/delete | Delete group settings (Удаление параметров группы) |
| microsoft.directory/groupSettings/basic/update | Обновление базовых свойств для параметров группы |
| microsoft.directory/oAuth2PermissionGrants/create | Создание операций предоставления разрешений OAuth 2.0 |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Обновление операций предоставления разрешений OAuth 2.0 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Управление учетными данными и секретами для подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Создание заданий и схемы синхронизации подготовки приложений и управление ими |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/users/assignLicense | Управление лицензиями пользователей |
| microsoft.directory/users/create | Добавление пользователей |
| microsoft.directory/users/disable | Отключение пользователей |
| microsoft.directory/users/enable | Включение пользователей |
| microsoft.directory/users/invalidateAllRefreshTokens | Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых |
| microsoft.directory/users/inviteGuest | Приглашение гостевых пользователей |
| microsoft.directory/users/reprocessLicenseAssignment | Повторная обработка назначений лицензий для пользователей |
| microsoft.directory/users/basic/update | Обновление базовых параметров пользователей |
| microsoft.directory/users/manager/update | Обновление менеджера для пользователей |
| microsoft.directory/users/photo/update | Обновление фотографий пользователей |
| microsoft.directory/users/sponsors/update | Обновление спонсоров пользователей |
| microsoft.directory/users/userPrincipalName/update | Обновление имени субъекта-пользователя для пользователей |
Администратор доменных имен
Пользователи с этой ролью могут управлять доменными именами (чтение, добавление, проверка, обновление и удаление). Они также могут считывать данные каталога о пользователях, группах и приложениях, поскольку эти объекты имеют зависимости от домена. Для локальных сред пользователи с этой ролью могут настроить доменные имена для федерации, чтобы для связанных пользователей всегда выполнялась проверка подлинности в локальной среде. Затем эти пользователи могут войти в службы на основе Azure AD, используя свои локальные пароли, посредством единого входа. Параметры федерации должны быть синхронизировать через Azure AD Connect, поэтому у пользователей также есть разрешения на управление Azure AD Connect.
| Действия | Описание |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Создание и удаление доменов, а также чтение и обновление всех свойств |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Dynamics 365
пользователи с этой ролью имеют глобальные разрешения в Microsoft Dynamics 365 Online (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Использование ролей администратора службы для управления клиентом.
Примечание
В Microsoft API Graph и Azure AD PowerShell эта роль называется Dynamics 365 администратор службы. В портал Azure он называется Dynamics 365 Администратор.
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.dynamics365/allEntities/allTasks | Управление всеми аспектами Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Edge
Пользователи с этой ролью могут создавать список сайтов предприятия, необходимый для работы в режиме Internet Explorer в Microsoft Edge, и управлять им. Эта роль предоставляет разрешения на создание, изменение и публикацию списка сайтов, а также позволяет управлять запросами в службу поддержки. Подробнее
| Действия | Описание |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Управление всеми аспектами Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Exchange
пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online (если служба используется). У них также есть возможность создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения см. в разделе Сведения о ролях администраторов в Центр администрирования Microsoft 365.
Примечание
В Microsoft API Graph и Azure AD PowerShell эта роль называется Администратор служб Exchange. В портал Azure он называется Администратор Exchange. В Центре администрирования Exchange он называется Exchange Online администратором.
| Действия | Описание |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли |
| microsoft.directory/groups.unified/basic/update | Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.exchange/allEntities/basic/allTasks | Управление всеми аспектами Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор получателей Exchange
Пользователи с этой ролью имеют доступ для чтения к получателям и доступ для записи к атрибутам получателей в Exchange Online. Дополнительные сведения см. в разделе Получатели в Exchange Server.
| Действия | Описание |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Создание и удаление всех получателей, а также чтение и обновление всех свойств получателей в Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Управление всеми задачами, относящимися к миграции получателей в Exchange Online |
Администратор потоков пользователей с внешним идентификатором
Пользователи с этой ролью могут создавать потоки пользователей (также называемые "встроенными" политиками) и управлять ими на портале Azure. Эти пользователи могут настраивать содержимое HTML, CSS или JavaScript, изменять требования MFA, выбирать утверждения в маркере, управлять соединителями API и их учетными данными, а также настраивать параметры сеанса для всех потоков пользователей в организации Azure AD. С другой стороны, пользователи с этой ролью не могут просматривать данные пользователей или вносить изменения в атрибуты, включенные в схему организации. Они также не могут изменять политики Identity Experience Framework (так называемые настраиваемые политики).
| Действия | Описание |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Чтение и настройка потоков пользователей в Azure Active Directory B2C. |
Администратор атрибутов потоков пользователей с внешним идентификатором
Пользователи с этой ролью добавляют или удаляют настраиваемые атрибуты, доступные для всех потоков пользователей в организации Azure AD. Таким образом, эти пользователи могут изменять или добавлять новые элементы в схему конечного пользователя, влиять на поведение всех потоков пользователей и косвенно приводить к изменениям данных, запрашиваемых у конечных пользователей и в результате отправляемых в виде утверждений в приложения. Пользователи с этой ролью не могут изменять потоки пользователей.
| Действия | Описание |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Чтение и настройка атрибутов пользователей в Azure Active Directory B2C |
Администратор внешних поставщиков удостоверений
Этот администратор управляет федерацией между организациями Azure AD и внешними поставщиками удостоверений. Пользователи с этой ролью могут добавлять новые поставщики удостоверений и настраивать все доступные параметры (например, путь для проверки подлинности, идентификатор службы, назначенные контейнеры ключей). Эти пользователи могут включать для организации Azure AD доверие к проверкам подлинности из внешних поставщиков удостоверений. Итоговое влияние на работу конечного пользователя зависит от типа организации:
- организации Azure AD для сотрудников и партнеров — добавление федерации (например, с Gmail) сразу же затронет все приглашения гостей, которые еще не активированы; см. статью Добавление Google в качестве поставщика удостоверений для гостевых пользователей B2B;
- организации Azure Active Directory B2C — добавление федерации (например, с Facebook или другой организацией Azure AD) затронет потоки конечных пользователей только после добавления поставщика удостоверений в поток пользователей (также называемый встроенной политикой). Пример см. в статье Настройка учетной записи Microsoft в качестве поставщика удостоверений. Для изменения потоков пользователей требуется роль администратора потоков пользователей B2C с ограниченными правами.
| Действия | Описание |
|---|---|
| microsoft.directory/domains/federation/update | Обновление свойства федерации для доменов |
| microsoft.directory/identityProviders/allProperties/allTasks | Чтение и настройка поставщиков идентификаторов в Azure Active Directory B2C |
глобальный администратор
У пользователей с этой ролью есть доступ ко всем административным функциям Azure Active Directory, а также к службам, использующим удостоверения Azure Active Directory (портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview, Exchange Online, SharePoint Online, Skype для бизнеса Online и др.). Глобальные администраторы могут просматривать журналы действий каталога. Кроме того, глобальные администраторы могут повысить свой уровень доступа и получить право управления всеми подписками и группами управления Azure. Это позволяет глобальным администраторам получить полный доступ ко всем ресурсам Azure с помощью соответствующего клиента Azure AD. Пользователь, зарегистрировавший организацию Azure AD, становится глобальным администратором. В компании может быть несколько глобальных администраторов. Глобальные администраторы могут сбросить пароль любого пользователя и администратора. Глобальный администратор не может удалить собственное назначение глобального администратора. Это необходимо для предотвращения ситуации, когда в организации нет глобальных администраторов.
Примечание
Майкрософт настоятельно рекомендует назначить роль глобального администратора не более пяти сотрудникам в организации. Дополнительные сведения см. в разделе Рекомендации по работе с ролями Azure AD.
| Действия | Описание |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Не рекомендуется) Создание и удаление проверок доступа, чтение и обновление всех свойств проверок доступа, управление проверками доступа для групп в Azure AD |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Управление проверками доступа всех проверяемых ресурсов в Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Управление политиками запроса согласия администратора в Azure AD |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Создание административных единиц и управление ими (включая члены) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD |
| microsoft.directory/applications/allProperties/allTasks | Создание и удаление приложений, а также чтение и обновление всех свойств |
| microsoft.directory/applications/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с объектом приложения |
| microsoft.directory/applicationTemplates/instantiate | Создание экземпляров приложений коллекции из шаблонов приложений |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/users/authenticationMethods/create | Создание способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/delete | Удаление способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/standard/read | Считывание стандартных свойств способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/basic/update | Изменение стандартных свойств способов проверки подлинности для пользователей |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Управление всеми аспектами политики авторизации |
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака |
| microsoft.directory/connectors/create | Создание соединителей Application Proxy |
| microsoft.directory/connectors/allProperties/read | Чтение всех свойств соединителей Application Proxy |
| microsoft.directory/connectorGroups/create | Создание групп соединителей Application Proxy |
| microsoft.directory/connectorGroups/delete | Удаление групп соединителей Application Proxy |
| microsoft.directory/connectorGroups/allProperties/read | Чтение всех свойств групп соединителей Application Proxy |
| microsoft.directory/connectorGroups/allProperties/update | Обновление всех свойств групп соединителей Application Proxy |
| microsoft.directory/contacts/allProperties/allTasks | Создание и удаление контактов, а также чтение и обновление всех свойств |
| microsoft.directory/contracts/allProperties/allTasks | Создание и удаление контактов партнеров, а также чтение и обновление всех свойств |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Создание расширений настраиваемой проверки подлинности и управление ими |
| microsoft.directory/deletedItems/delete | Безвозвратное удаление объектов, которые будет невозможно восстановить |
| microsoft.directory/deletedItems/restore | Восстановление обратимо удаленных объектов в исходное состояние |
| microsoft.directory/devices/allProperties/allTasks | Создание и удаление устройств, а также чтение и обновление всех свойств |
| microsoft.directory/namedLocations/create | Создание настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/delete | Удаление настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/standard/read | Чтение основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/basic/update | Обновление основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/deviceLocalCredentials/password/read | Чтение всех свойств учетных данных учетной записи локального администратора для Azure AD присоединенных устройств, включая пароль. |
| microsoft.directory/deviceManagementPolicies/standard/read | Считывание стандартных свойств для политик приложения управления устройствами |
| microsoft.directory/deviceManagementPolicies/basic/update | Обновление базовых свойств для политик приложения управления устройствами |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Считывание стандартных свойств для политики регистрации устройств |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Обновление базовых свойств для политик регистрации устройств |
| microsoft.directory/directoryRoles/allProperties/allTasks | Создание и удаление ролей каталога, а также чтение и обновление всех свойств |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Создание и удаление шаблонов ролей Azure AD, а также чтение и обновление всех свойств |
| microsoft.directory/domains/allProperties/allTasks | Создание и удаление доменов, а также чтение и обновление всех свойств |
| microsoft.directory/domains/federationConfiguration/standard/read | Чтение стандартных свойств конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/basic/update | Обновление базовой конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/create | Создание конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/delete | Удаление конфигурации федерации для доменов |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Создание и удаление ресурсов, а также чтение и обновление всех свойств в системе управления правами Azure AD |
| microsoft.directory/groups/allProperties/allTasks | Создание и удаление групп, а также чтение и обновление всех свойств |
| microsoft.directory/groupsAssignableToRoles/create | Создание групп с назначением ролей |
| microsoft.directory/groupsAssignableToRoles/delete | Удаление групп с возможностью назначения ролей |
| microsoft.directory/groupsAssignableToRoles/restore | Восстановление групп с возможностью назначения ролей |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Обновление групп с возможностью назначения ролей |
| microsoft.directory/groupSettings/allProperties/allTasks | Создание и удаление параметров групп, а также чтение и обновление всех свойств |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Создание и удаление шаблонов параметров групп, а также чтение и обновление всех свойств |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Управление политикой гибридной проверки подлинности в Azure AD |
| microsoft.directory/identityProtection/allProperties/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в службе "Защита идентификации Azure Active Directory" |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Создание и удаление элемента loginTenantBranding, а также чтение и обновление всех свойств |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств |
| microsoft.directory/organization/allProperties/allTasks | Чтение и обновление всех свойств для организации |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Управление всеми аспектами синхронизации хэша паролей (PHS) в Azure AD. |
| microsoft.directory/policies/allProperties/allTasks | Создание и удаление политик, а также чтение и обновление всех свойств |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Управление всеми свойствами политик условного доступа |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Чтение базовых свойств политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Обновление разрешенных облачных конечных точек политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicies/basic/update | Обновление основных параметров политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Чтение базовых свойств политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Обновление ограничений для клиентов политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Создание политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Удаление политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Чтение базовых свойств политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Обновление ограничений для клиентов политики межклиентского доступа для партнеров |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Чтение всех ресурсов в Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Обновление контекста проверки подлинности условного доступа для действий ресурсов управления доступом на основе ролей (RBAC) Microsoft 365 |
| microsoft.directory/roleAssignments/allProperties/allTasks | Создание и удаление назначений ролей, а также чтение и обновление всех их свойств |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Создание и удаление определений ролей, а также чтение и обновление всех их свойств |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств |
| microsoft.directory/serviceAction/activateService | Возможность выполнения действия "активировать службу" для службы |
| microsoft.directory/serviceAction/disableDirectoryFeature | Возможность выполнения действия "отключить функцию каталога" для службы |
| microsoft.directory/serviceAction/enableDirectoryFeature | Возможность выполнения действия "включить функцию каталога" для службы |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Возможность выполнения действия getAvailableExtentionProperties для службы |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Создание и удаление субъектов-служб, а также чтение и обновление всех свойств |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Предоставление любому приложению согласия для любого разрешения |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с субъектом-службой |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Приобретение подписок, управление ими и их удаление |
| microsoft.directory/users/allProperties/allTasks | Создание и удаление пользователей, а также чтение и обновление всех свойств |
| microsoft.directory/permissionGrantPolicies/create | Создание политик предоставления разрешений |
| microsoft.directory/permissionGrantPolicies/delete | Удаление политик предоставления разрешений |
| microsoft.directory/permissionGrantPolicies/standard/read | Чтение стандартных свойств для политик предоставления разрешений |
| microsoft.directory/permissionGrantPolicies/basic/update | Обновление базовых свойств для политик предоставления разрешений |
| microsoft.directory/servicePrincipalCreationPolicies/create | Создание политик создания субъектов-служб |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Удаление политик создания субъектов-служб |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Чтение стандартных свойств политик создания субъектов-служб |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Обновление базовых свойств политик создания субъектов-служб |
| microsoft.directory/tenantManagement/tenants/create | Создание новых клиентов в Azure Active Directory |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Чтение карточки проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Отзыв карточки проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | Создание контракта для проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Чтение контракта для проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Обновление контракта для проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/create | Создание конфигурации, необходимой для создания проверяемых удостоверений и управления ими |
| microsoft.directory/verifiableCredentials/configuration/delete | Удаление конфигурации, необходимой для создания проверяемых удостоверений и управления ими, а также удаление всех ее проверяемых удостоверений |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | Обновление конфигурации, необходимой для создания проверяемых удостоверений и управления ими |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Управление всеми аспектами рабочих процессов и задач жизненного цикла в Azure AD |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Управление всеми аспектами Расширенной защиты от угроз Azure |
| microsoft.azure.informationProtection/allEntities/allTasks | Управление всеми аспектами Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Управление всеми аспектами Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Управление всеми аспектами выставления счетов в Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Чтение сведений о приобретении служб в M365 Администратор Center. |
| microsoft.dynamics365/allEntities/allTasks | Управление всеми аспектами Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Управление всеми аспектами Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Управление всеми аспектами Microsoft Power Automate |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Создание, чтение, обновление и удаление адресов доставки для утверждений о гарантии оборудования Майкрософт, включая адреса доставки, созданные другими пользователями. |
| microsoft.hardware.support/shippingStatus/allProperties/read | Чтение состояния доставки для открытых заявлений о гарантии оборудования Майкрософт |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Создание и администрирование всех аспектов утверждений о гарантии оборудования Майкрософт |
| microsoft.insights/allEntities/allProperties/allTasks | Управление всеми аспектами приложения Insights |
| microsoft.intune/allEntities/allTasks | Управление всеми аспектами Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Управление всеми аспектами Office 365 Compliance Manager. |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Управление всеми аспектами Аналитики компьютеров |
| microsoft.office365.exchange/allEntities/basic/allTasks | Управление всеми аспектами Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Чтение и обновление всех свойств осмысления контента в Центре администрирования Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Чтение аналитических отчетов осмысления контента в Центре администрирования Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Чтение и обновление всех свойств сети знаний в Центре администрирования Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Управление видимостью разделов сети знаний в Центре администрирования Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Управление источниками обучения и всеми их свойствами в приложении для обучения |
| microsoft.office365.lockbox/allEntities/allTasks | Управление всеми аспектами защищенного хранилища |
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.messageCenter/securityMessages/read | Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Управление всеми аспектами разработки корпоративных сообщений Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Управляйте всеми аспектами Центров безопасности и соответствия требованиям |
| microsoft.office365.search/content/manage | Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)" |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Центре безопасности и соответствия Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Чтение сообщений о новых возможностях и обновление их видимости |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Управление всеми аспектами Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Управление всеми аспектами управления разрешениями Entra |
| microsoft.powerApps/allEntities/allTasks | Управление всеми аспектами Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Управление всеми аспектами Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Управление всеми ресурсами в Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Управление всеми аспектами Microsoft Defender для конечной точки |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Чтение и настройка всех аспектов службы Центра обновления Windows |
Глобальный читатель
Пользователи с этой ролью могут просматривать параметры и административные сведения в службах Microsoft 365, но не могут выполнять действия по управлению. Роль "Глобальный читатель" является аналогом роли "Глобальный администратор", но имеет доступ только на чтение. Назначайте роль "Глобальный читатель" вместо роли "Глобальный администратор" для планирования, аудита и исследований. Используйте роль "Глобальный читатель" в сочетании с другими ограниченными ролями администраторов, такими как "Администратор Exchange", для выполнения необходимых действий без использования роли "Глобальный администратор". Global Reader работает с Центр администрирования Microsoft 365, Центром администрирования Exchange, Центром администрирования SharePoint, Центром администрирования Teams, порталом Microsoft 365 Defender Портал соответствия требованиям Microsoft Purview портал Azure и центр администрирования Управление устройствами.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается получить доступ к области "Службы покупки" в Центр администрирования Microsoft 365.
Примечание
Роль глобального читателя имеет следующие ограничения.
- Центр администрирования OneDrive. Не поддерживает роль глобального читателя.
- Центр администрирования Microsoft 365. Глобальный читатель не может считывать данные интегрированных приложений. в Центра администрирования Microsoft 365 отсутствует вкладка Интегрированные приложения в разделе Параметры в области слева.
- Microsoft 365 Defender портале — глобальный читатель не может читать журналы аудита SCC, выполнять поиск контента или просматривать оценку безопасности.
- Центр администрирования Teams. Глобальный читатель не может просматривать жизненный цикл Teams, аналитику и отчеты, данные об управлении устройствами IP-телефонии и каталог приложений. Дополнительные сведения см. в разделе Использование ролей администратора Microsoft Teams для управления Teams.
- Управление привилегированным доступом не поддерживает роль глобального читателя.
- Azure Information Protection. Роль глобального читателя поддерживается только для централизованных отчетов и когда ваша организация Azure AD не размещается на единой платформе меток.
- SharePoint. Глобальный читатель в настоящее время не имеет доступа к SharePoint через PowerShell.
- Центр администрирования Power Platform. Здесь пока не поддерживается глобальный читатель.
- Microsoft Purview не поддерживает роль глобального читателя.
| Действия | Описание |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (Не рекомендуется) Чтение всех свойств проверок доступа |
| microsoft.directory/accessReviews/definitions/allProperties/read | Чтение всех свойств проверок доступа для всех проверяемых ресурсов в Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Чтение всех свойств политик запроса согласия администратора в Azure AD |
| microsoft.directory/administrativeUnits/allProperties/read | Считывание всех свойств административных единиц, в том числе их членов |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Чтение всех свойств запросов согласия для приложений, зарегистрированных в Azure AD |
| microsoft.directory/applications/allProperties/read | Чтение всех свойств (включая привилегированные) для всех типов приложений |
| microsoft.directory/applications/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с объектом приложения |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Считывание стандартных свойств способов проверки подлинности, не включающих личные сведения пользователей |
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/cloudAppSecurity/allProperties/read | Чтение всех свойств для приложений Defender для облака. |
| microsoft.directory/connectors/allProperties/read | Чтение всех свойств соединителей Application Proxy |
| microsoft.directory/connectorGroups/allProperties/read | Чтение всех свойств групп соединителей Application Proxy |
| microsoft.directory/contacts/allProperties/read | Чтение всех свойств для контактов |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Считывание настраиваемых расширений для проверки подлинности |
| microsoft.directory/deviceLocalCredentials/standard/read | Чтение всех свойств учетных данных учетной записи локального администратора, для Azure AD присоединенных устройств, кроме пароля. |
| microsoft.directory/devices/allProperties/read | Чтение всех свойств устройств |
| microsoft.directory/directoryRoles/allProperties/read | Считывание всех свойств ролей каталога |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Считывание всех свойств шаблонов ролей каталога |
| microsoft.directory/domains/allProperties/read | Чтение всех свойств доменов |
| microsoft.directory/domains/federationConfiguration/standard/read | Чтение стандартных свойств конфигурации федерации для доменов |
| microsoft.directory/entitlementManagement/allProperties/read | Чтение всех свойств в системе управления правами Azure AD |
| microsoft.directory/groups/allProperties/read | Чтение всех свойств (включая привилегированные) для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groupSettings/allProperties/read | Чтение всех свойств для параметров групп |
| microsoft.directory/groupSettingTemplates/allProperties/read | Чтение всех свойств для шаблонов параметров групп |
| microsoft.directory/identityProtection/allProperties/read | Чтение всех ресурсов в службе "Защита идентификации Azure AD" |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Чтение всех свойств для страницы входа с фирменной символикой организации |
| microsoft.directory/namedLocations/standard/read | Чтение основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Чтение всех свойств для предоставлений разрешений OAuth 2.0 |
| microsoft.directory/organization/allProperties/read | Чтение всех свойств для организации |
| microsoft.directory/permissionGrantPolicies/standard/read | Чтение стандартных свойств для политик предоставления разрешений |
| microsoft.directory/policies/allProperties/read | Чтение всех свойств политик |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | Чтение всех свойств для политик условного доступа |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Чтение базовых свойств политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Чтение базовых свойств политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Чтение базовых свойств политики межклиентского доступа для партнеров |
| microsoft.directory/deviceManagementPolicies/standard/read | Считывание стандартных свойств для политик приложения управления устройствами |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Считывание стандартных свойств для политики регистрации устройств |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Чтение всех ресурсов в Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/roleAssignments/allProperties/read | Чтение всех свойств для назначений ролей |
| microsoft.directory/roleDefinitions/allProperties/read | Чтение всех свойств для определений ролей |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Просмотр членов в административных единицах |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Возможность выполнения действия getAvailableExtentionProperties для службы |
| microsoft.directory/servicePrincipals/allProperties/read | Чтение всех свойств (включая привилегированные свойства) для servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Чтение стандартных свойств политик создания субъектов-служб |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с субъектом-службой |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.directory/subscribedSkus/allProperties/read | Чтение всех свойств для подписок на продукты |
| microsoft.directory/users/allProperties/read | Чтение всех свойств пользователей |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Чтение карточки проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Чтение контракта для проверяемого удостоверения |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Чтение всех свойств рабочих процессов и задач жизненного цикла в Azure AD |
| microsoft.cloudPC/allEntities/allProperties/read | Чтение всех аспектов Windows 365 |
| microsoft.commerce.billing/allEntities/allProperties/read | Чтение всех ресурсов выставления счетов Office 365 |
| microsoft.commerce.billing/purchases/standard/read | Чтение служб покупки в центре Администратор M365. |
| microsoft.edge/allEntities/allProperties/read | Чтение всех аспектов Microsoft Edge |
| microsoft.hardware.support/shippingAddress/allProperties/read | Чтение адресов доставки для утверждений о гарантии оборудования Майкрософт, включая существующие адреса доставки, созданные другими пользователями. |
| microsoft.hardware.support/shippingStatus/allProperties/read | Чтение состояния доставки для открытых утверждений о гарантии оборудования Майкрософт |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Ознакомьтесь с утверждениями о гарантии оборудования Майкрософт |
| microsoft.insights/allEntities/allProperties/read | Чтение всех аспектов Viva Insights |
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.messageCenter/securityMessages/read | Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Чтение всех аспектов сообщений организации Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Чтение всех свойств в Центрах безопасности и соответствия требованиям |
| microsoft.office365.securityComplianceCenter/allEntities/read | Чтение стандартных свойств в Центрах безопасности и соответствия требованиям Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Считывание всех аспектов Yammer |
| microsoft.permissionsManagement/allEntities/allProperties/read | Чтение всех аспектов управления разрешениями Entra |
| microsoft.teams/allEntities/allProperties/read | Считывание всех свойств Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Запись всех аспектов Viva Insights |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Чтение всех аспектов службы Центра обновления Windows |
Администратор групп
Пользователи с этой ролью могут создавать группы и управлять ими, а также создавать параметры групп, такие как политики именования и срока действия, и управлять ими. Важно понимать, что при назначении пользователю этой роли он получит возможность управлять всеми группами в организации для различных рабочих нагрузок, таких как Teams, SharePoint и Yammer, в дополнение к Outlook. Пользователь также сможет управлять разными параметрами групп на разных порталах администрирования, таких как Центр администрирования Майкрософт и портал Azure, а также в центрах администрирования для определенных рабочих нагрузок, таких как центры администрирования Teams и SharePoint.
| Действия | Описание |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Безвозвратное удаление групп, которые будет невозможно восстановить |
| microsoft.directory/deletedItems.groups/restore | Восстановление обратимо удаленных групп в исходное состояние |
| microsoft.directory/groups/assignLicense | Назначение группам лицензий на продукты для группового лицензирования |
| microsoft.directory/groups/create | Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/delete | Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/hiddenMembers/read | Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/reprocessLicenseAssignment | Повторная обработка назначений лицензий для группового лицензирования |
| microsoft.directory/groups/restore | Восстановление групп из обратимо удаленных контейнеров |
| microsoft.directory/groups/basic/update | Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/classification/update | Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/dynamicMembershipRule/update | Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/groupType/update | Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/members/update | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/onPremWriteBack/update | Обновление групп Azure Active Directory для обратной записи в локальную среду с помощью Azure AD Connect |
| microsoft.directory/groups/owners/update | Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/settings/update | Обновление параметров групп |
| microsoft.directory/groups/visibility/update | Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Приглашающий гостей
пользователи с этой ролью могут управлять приглашениями пользователей-гостей Azure Active Directory B2B, если для параметра Участники могут приглашать задано значение "Нет". Дополнительные сведения о службе совместной работы Azure AD B2B см. в этой статье. В нее не входят какие-либо другие разрешения.
| Действия | Описание |
|---|---|
| microsoft.directory/users/inviteGuest | Приглашение гостевых пользователей |
| microsoft.directory/users/standard/read | Чтение базовых свойств для пользователей |
| microsoft.directory/users/appRoleAssignments/read | Чтение назначений ролей приложения для пользователей |
| microsoft.directory/users/deviceForResourceAccount/read | Чтение свойства deviceForResourceAccount для пользователей |
| microsoft.directory/users/directReports/read | Считывание подчиненных конкретного пользователя |
| microsoft.directory/users/licenseDetails/read | Чтение сведений о лицензиях для пользователей |
| microsoft.directory/users/manager/read | Считывание менеджера пользователей |
| microsoft.directory/users/memberOf/read | Считывание данных о членстве пользователей в группах |
| microsoft.directory/users/oAuth2PermissionGrants/read | Чтение операций предоставления делегированных разрешений для пользователей |
| microsoft.directory/users/ownedDevices/read | Считывание устройств, принадлежащих пользователям |
| microsoft.directory/users/ownedObjects/read | Считывание объектов, принадлежащих пользователям |
| microsoft.directory/users/photo/read | Просмотр фотографий пользователей |
| microsoft.directory/users/registeredDevices/read | Считывание зарегистрированных устройств пользователей |
| microsoft.directory/users/scopedRoleMemberOf/read | Чтение данных о членстве пользователей в роли Azure AD с областью действия административного подразделения |
| microsoft.directory/users/sponsors/read | Чтение спонсоров пользователей |
Администратор службы технической поддержки
Пользователи с этой ролью могут изменять пароли, аннулировать токены обновления, создавать запросы в службу поддержки корпорации Майкрософт для служб Azure и Microsoft 365 и управлять ими, а также отслеживать работоспособность служб. После аннулирования маркера обновления пользователь должен выполнить вход еще раз. Наличие у администратора службы поддержки возможности сбросить пароль пользователя и сделать маркеры обновления недействительными, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор службы технической поддержки может сбросить пароли и сделать маркеры обновления недействительными, см. в разделе Кто может сбрасывать пароли.
Пользователи с этой ролью не могут выполнять следующие действия:
- Невозможно изменить учетные данные или сбросить MFA для участников и владельцев группы, назначаемой ролями.
Важно!
Пользователи с этой ролью могут изменять пароли для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:
- Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам службы технической поддержки. По этому пути администратор службы технической поддержки сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
- Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
- Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
- Администраторы других служб за пределами Azure AD, таких как Exchange Online, портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и системы управления персоналом.
- Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
Делегировать разрешения администратора в подмножества пользователей, а также применять политики к подмножеству пользователей можно с помощью административных единиц.
Эта роль ранее называлась администратором паролей в портал Azure. Он был переименован в Администратор службы технической поддержки в соответствии с существующим именем в Microsoft API Graph и Azure AD PowerShell.
| Действия | Описание |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/deviceLocalCredentials/standard/read | Чтение всех свойств учетных данных учетной записи локального администратора, для Azure AD присоединенных устройств, кроме пароля. |
| microsoft.directory/users/invalidateAllRefreshTokens | Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых |
| microsoft.directory/users/password/update | Сброс паролей для всех пользователей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор гибридных удостоверений
Пользователи с этой ролью могут создавать, контролировать и развертывать настройку конфигурации подготовки из AD в Azure AD на базе облачной подготовки, а также управлять параметрами Azure AD Connect, сквозной аутентификации (PTA), синхронизации хэшей паролей (PHS), легкого единого входа (простой единый вход) и федерации. Эта роль также позволяет отслеживать журналы и устранять неполадки.
| Действия | Описание |
|---|---|
| microsoft.directory/applications/create | Создание всех типов приложений |
| microsoft.directory/applications/delete | Удаление всех типов приложений |
| microsoft.directory/applications/appRoles/update | Обновление свойства appRoles для всех типов приложений |
| microsoft.directory/applications/audience/update | Обновление свойства audience для приложений |
| microsoft.directory/applications/authentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/basic/update | Обновление базовых свойств приложений |
| microsoft.directory/applications/notes/update | Обновление заметок приложений |
| microsoft.directory/applications/owners/update | Обновление владельцев приложений |
| microsoft.directory/applications/permissions/update | Обновление предоставляемых и требуемых разрешений для всех типов приложений |
| microsoft.directory/applications/policies/update | Обновление политик приложений |
| microsoft.directory/applications/tag/update | Обновление тегов приложений |
| microsoft.directory/applications/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с объектом приложения |
| microsoft.directory/applicationTemplates/instantiate | Создание экземпляров приложений коллекции из шаблонов приложений |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Чтение и настройка всех свойств службы подготовки облачных решений Azure AD. |
| microsoft.directory/deletedItems.applications/delete | Безвозвратное удаление приложений, которые будет невозможно восстановить |
| microsoft.directory/deletedItems.applications/restore | Восстановление обратимо удаленных приложений в исходное состояние |
| microsoft.directory/domains/allProperties/read | Чтение всех свойств доменов |
| microsoft.directory/domains/federation/update | Обновление свойства федерации для доменов |
| microsoft.directory/domains/federationConfiguration/standard/read | Чтение стандартных свойств конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/basic/update | Обновление базовой конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/create | Создание конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/delete | Удаление конфигурации федерации для доменов |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Управление политикой гибридной проверки подлинности в Azure AD |
| microsoft.directory/organization/dirSync/update | Обновление свойства синхронизации каталога организации |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Управление всеми аспектами синхронизации хэша паролей (PHS) в Azure AD. |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/servicePrincipals/create | Создание субъектов-служб |
| microsoft.directory/servicePrincipals/delete | Удаление субъектов-служб |
| microsoft.directory/servicePrincipals/disable | Отключение субъектов-служб |
| microsoft.directory/servicePrincipals/enable | Включение субъектов-служб |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Управление учетными данными и секретами для подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Создание заданий и схемы синхронизации подготовки приложений и управление ими |
| microsoft.directory/servicePrincipals/audience/update | Обновление свойств аудитории для субъектов-служб |
| microsoft.directory/servicePrincipals/authentication/update | Обновление свойств проверки подлинности для субъектов-служб |
| microsoft.directory/servicePrincipals/basic/update | Обновление базовых свойств для субъектов-служб |
| microsoft.directory/servicePrincipals/notes/update | Обновление заметок субъектов-служб |
| microsoft.directory/servicePrincipals/owners/update | Обновление владельцев субъектов-служб |
| microsoft.directory/servicePrincipals/permissions/update | Обновление разрешений субъектов-служб |
| microsoft.directory/servicePrincipals/policies/update | Обновление политик для субъектов-служб |
| microsoft.directory/servicePrincipals/tag/update | Обновление свойства тега для субъектов-служб |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Чтение параметров подготовки к работе, связанных с субъектом-службой |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.directory/users/authorizationInfo/update | Обновление свойства идентификаторов пользователей многозначного сертификата |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор управления удостоверениями
Пользователи с этой ролью могут управлять конфигурацией системы управления удостоверениями Azure AD, в том числе пакетами доступа, проверками доступа, каталогами и политиками, обеспечивая проверку и утверждение доступа, а также удаление гостей, которым доступ больше не нужен.
| Действия | Описание |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Управление проверками доступа для назначений ролей приложений в Azure AD |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Управление проверками доступа для назначений пакетов для доступа в системе управления правами |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Обновление всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей. |
| microsoft.directory/accessReviews/definitions.groups/create | Создание проверок доступа для членства в группах безопасности и группах Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Удаление проверок доступа для членства в группах безопасности и группах Microsoft 365. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Не рекомендуется) Создание и удаление проверок доступа, чтение и обновление всех свойств проверок доступа, управление проверками доступа для групп в Azure AD |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Создание и удаление ресурсов, а также чтение и обновление всех свойств в системе управления правами Azure AD |
| microsoft.directory/groups/members/update | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
Администратор Insights
Пользователям с этой ролью предоставляется доступ к полному набору административных возможностей приложения Microsoft Viva Insights. Эта роль позволяет считывать данные каталога, следить за работоспособностью служб, отправлять запросы в службу поддержки и получать доступ к аспектам параметров администратора Insights.
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.insights/allEntities/allProperties/allTasks | Управление всеми аспектами приложения Insights |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Аналитик Insights
Назначьте роль Аналитика Insights пользователям, которым требуется выполнять следующие операции:
- анализ данных в приложении Microsoft Viva Insights, но при этом он не должен иметь возможности управлять параметрами конфигурации;
- создание, управление и выполнение запросов;
- просмотр основных параметров и отчетов в Центре администрирования Microsoft 365;
- создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
| Действия | Описание |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Выполнение запросов в приложении "Viva Аналитика" и управление ими |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Руководитель предприятия Insights
Пользователям с этой ролью предоставляется доступ к набору панелей мониторинга и аналитических данных с помощью приложения Microsoft Viva Аналитика. Им полностью доступны все панели мониторинга и предлагаемые функции аналитики и исследования данных. Пользователи в этой роли не имеют доступа к параметрам конфигурации продукта, которые относятся к сфере ответственности администратора Insights.
| Действия | Описание |
|---|---|
| microsoft.insights/reports/allProperties/read | Просмотр отчетов и панели мониторинга в приложении Insights |
| microsoft.insights/programs/allProperties/update | Развертывание программ и управление ими в приложении Insights |
Администратор Intune
пользователи с этой ролью имеют глобальные разрешения в Microsoft Intune Online (если служба используется). Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими. Дополнительные сведения см. в разделе Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.
Эта роль позволяет создавать все группы безопасности и управлять ими. Однако у администратора Intune нет прав администратора для групп Office. Это значит, что администратор не может изменять владельцев или членство групп Office в организации. Однако он может управлять созданной им группой Office, которая входит в состав его прав конечного пользователя. Таким образом, любая созданная им группа Office (не группа безопасности) должна включаться в квоту, размер которой составляет 250 групп.
Примечание
В Microsoft API Graph и Azure AD PowerShell эта роль называется Intune администратор службы. В портал Azure он называется Intune администратором.
| Действия | Описание |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/contacts/create | Создание контактов |
| microsoft.directory/contacts/delete | Удаление контактов |
| microsoft.directory/contacts/basic/update | Обновление базовых параметров контактов |
| microsoft.directory/deletedItems.devices/delete | Окончательное удаление устройств, которые больше не могут быть восстановлены |
| microsoft.directory/deletedItems.devices/restore | Восстановление обратимо удаленных устройств в исходное состояние |
| microsoft.directory/devices/create | Создание устройств (регистрация в Azure AD) |
| microsoft.directory/devices/delete | Удаление устройств из Azure AD |
| microsoft.directory/devices/disable | Отключение устройств в Azure AD |
| microsoft.directory/devices/enable | Включение устройств в Azure AD |
| microsoft.directory/devices/basic/update | Обновление базовых свойств для устройств |
| microsoft.directory/devices/extensionAttributeSet1/update | Обновление свойств с extensionAttribute1 по extensionAttribute5 на устройствах |
| microsoft.directory/devices/extensionAttributeSet2/update | Обновление свойств с extensionAttribute6 по extensionAttribute10 на устройствах |
| microsoft.directory/devices/extensionAttributeSet3/update | Обновление свойств с extensionAttribute11 по extensionAttribute15 на устройствах |
| microsoft.directory/devices/registeredOwners/update | Обновление зарегистрированных владельцев устройств |
| microsoft.directory/devices/registeredUsers/update | Обновление зарегистрированных пользователей устройств |
| microsoft.directory/deviceLocalCredentials/password/read | Чтение всех свойств учетных данных учетной записи локального администратора для Azure AD присоединенных устройств, включая пароль. |
| microsoft.directory/deviceManagementPolicies/standard/read | Считывание стандартных свойств для политик приложения управления устройствами |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Считывание стандартных свойств для политики регистрации устройств |
| microsoft.directory/groups/hiddenMembers/read | Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/delete | Удаление групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/basic/update | Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/classification/update | Обновление свойств классификации для групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Обновление динамического правила членства в коллекции в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/owners/update | Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/visibility/update | Обновление свойства видимости для групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/users/basic/update | Обновление базовых параметров пользователей |
| microsoft.directory/users/manager/update | Обновление менеджера для пользователей |
| microsoft.directory/users/photo/update | Обновление фотографий пользователей |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Управление всеми аспектами Windows 365 |
| microsoft.intune/allEntities/allTasks | Управление всеми аспектами Microsoft Intune |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Чтение всех аспектов сообщений организации Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Kaizala
Пользователи с этой ролью имеют глобальные разрешения на управление параметрами в Microsoft Kaizala при наличии этой службы, а также возможность управления запросами в службу поддержки и мониторинга работоспособности службы. Кроме того, пользователю доступны отчеты об установке и использовании Kaizala членами организации, а также бизнес-отчеты, создаваемые по действиям Kaizala.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор базы знаний
Пользователи с этой ролью имеют полный доступ ко всем параметрам функций базы знаний, обучения и аналитики в Центре администрирования Microsoft 365. Они имеют общее представление о наборе продуктов, сведениях о лицензировании и несут ответственность за управление доступом. Администратор базы знаний может создавать и администрировать содержимое, например разделы, акронимы и учебные материалы. Кроме того, эти пользователи могут создать центры контента, отслеживать работоспособность служб и создавать запросы на обслуживание.
| Действия | Описание |
|---|---|
| microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/createAsOwner | Создание групп безопасности, за исключением групп с возможностью назначения ролей Первым владельцем назначается создатель. |
| microsoft.directory/groups.security/delete | Удаление групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/basic/update | Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/owners/update | Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Чтение и обновление всех свойств осмысления контента в Центре администрирования Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Чтение и обновление всех свойств сети знаний в Центре администрирования Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Управление источниками обучения и всеми их свойствами в приложении для обучения |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Чтение всех свойств меток конфиденциальности в Центрах обеспечения безопасности и соответствия требованиям |
| microsoft.office365.sharePoint/allEntities/allTasks | Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Диспетчер базы знаний
Пользователи с этой ролью могут создавать и администрировать контент, например разделы, акронимы и обучающие материалы. Эти пользователи в основном отвечают за качество и структуру набора знаний. Этот пользователь имеет полные права на действия по управлению разделами (подтверждение, утверждение или удаление). Эта роль также позволяет управлять таксономиями в рамках средства управления хранилищем терминов и создавать центры контента.
| Действия | Описание |
|---|---|
| microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/createAsOwner | Создание групп безопасности, за исключением групп с возможностью назначения ролей Первым владельцем назначается создатель. |
| microsoft.directory/groups.security/delete | Удаление групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/basic/update | Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/owners/update | Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Чтение аналитических отчетов осмысления контента в Центре администрирования Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Управление видимостью разделов сети знаний в Центре администрирования Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор лицензий
Пользователи с этой ролью могут читать, добавлять, удалять и обновлять назначения лицензий для пользователей, групп (с помощью группового лицензирования) и управлять расположением использования для пользователей. Роль не предоставляет возможности управления подписками или их приобретения, создания групп или управления ими, или создания и управления пользователями за пределами расположения использования. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/groups/assignLicense | Назначение группам лицензий на продукты для группового лицензирования |
| microsoft.directory/groups/reprocessLicenseAssignment | Повторная обработка назначений лицензий для группового лицензирования |
| microsoft.directory/users/assignLicense | Управление лицензиями пользователей |
| microsoft.directory/users/reprocessLicenseAssignment | Повторная обработка назначений лицензий для пользователей |
| microsoft.directory/users/usageLocation/update | Обновление расположения использования пользователей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор рабочих процессов жизненного цикла
Назначьте роль администратора рабочих процессов жизненного цикла пользователям, которым необходимо выполнять следующие задачи:
- Создание и изменение всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла в Azure AD
- Проверка выполнения запланированных рабочих процессов
- Запуск рабочих процессов по запросу
- Проверка журналов выполнения рабочего процесса
| Действия | Описание |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Управление всеми аспектами рабочих процессов и задач жизненного цикла в Azure AD |
Читатель конфиденциальности данных Центра сообщений
Пользователи с этой ролью могут отслеживать все уведомления в Центре сообщений, включая сообщения о конфиденциальности данных. Читатели конфиденциальных данных Центра сообщений получают уведомления по электронной почте, в том числе относящиеся к конфиденциальности данных, и могут отменить подписку в его настройках. Чтение сообщений о конфиденциальности доступно только глобальным администраторам и читателям конфиденциальности данных Центра сообщений. Кроме того, эта роль включает возможность просмотра групп, доменов и подписок. Она не дает разрешения на просмотр, создание и обработку запросов на обслуживание.
| Действия | Описание |
|---|---|
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.messageCenter/securityMessages/read | Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Читатель Центра сообщений
Пользователи с этой ролью могут отслеживать уведомления и рекомендации по обновлениям работоспособности в Центре сообщений для своей организации в настроенных службах, таких как Exchange, Intune и Microsoft Teams. Читатели Центра сообщений еженедельно получают по электронной почте хэш-коды публикаций, обновлений и могут размещать общедоступные публикации в центре сообщений в Microsoft 365. В Azure AD у пользователей с этой ролью будет только доступ на чтение данных в службах Azure AD, например данных пользователей и групп. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.
| Действия | Описание |
|---|---|
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор гарантии оборудования Майкрософт
Назначьте роль администратора гарантии оборудования Майкрософт пользователям, которым необходимо выполнить следующие задачи:
- Создание новых утверждений о гарантии для оборудования, произведенного корпорацией Майкрософт, например Surface и HoloLens
- Поиск и чтение открытых или закрытых утверждений о гарантии
- Поиск и чтение утверждений о гарантии по серийному номеру
- Создание, чтение, обновление и удаление адресов доставки
- Чтение состояния доставки для открытых заявлений о гарантии
- создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
- Чтение объявлений центра сообщений в Центр администрирования Microsoft 365
Претензия по гарантии — это запрос на ремонт или замену оборудования в соответствии с условиями гарантии. Дополнительные сведения см. в статье Самостоятельное обслуживание запросов на гарантийное & обслуживание Surface.
| Действия | Описание |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | Создание, чтение, обновление и удаление адресов доставки для утверждений о гарантии оборудования Майкрософт, включая адреса доставки, созданные другими пользователями. |
| microsoft.hardware.support/shippingStatus/allProperties/read | Чтение состояния доставки для открытых заявлений о гарантии оборудования Майкрософт |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Создание и администрирование всех аспектов утверждений о гарантии оборудования Майкрософт |
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Специалист по гарантии оборудования Майкрософт
Назначьте роль специалиста по гарантиям оборудования Майкрософт пользователям, которым необходимо выполнить следующие задачи:
- Создание новых утверждений о гарантии для оборудования, произведенного корпорацией Майкрософт, например Surface и HoloLens
- Чтение утверждений о гарантии, которые они создали
- Чтение и обновление существующих адресов доставки
- Чтение состояния доставки для открытых утверждений о гарантии, которые они создали
- создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
Претензия по гарантии — это запрос на ремонт или замену оборудования в соответствии с условиями гарантии. Дополнительные сведения см. в статье Самостоятельное обслуживание запросов на гарантийное & обслуживание Surface.
| Действия | Описание |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | Чтение адресов доставки для утверждений о гарантии оборудования Майкрософт, включая существующие адреса доставки, созданные другими пользователями. |
| microsoft.hardware.support/warrantyClaims/createAsOwner | Создание утверждений о гарантии оборудования Майкрософт, где создатель является владельцем |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.hardware.support/shippingStatus/allProperties/read | Чтение состояния доставки для открытых заявлений о гарантии оборудования Майкрософт |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Ознакомьтесь с утверждениями о гарантиях на оборудование Майкрософт |
Пользователь современной коммерческой платформы
Не используйте. Эта роль автоматически назначается коммерческой платформой и не предназначена для любого другого использования. Этот процесс описан ниже.
Роль пользователя современной коммерческой платформы предоставляет определенным пользователям разрешение на доступ к Центру администрирования Microsoft 365, а также возможность видеть в области навигации слева элементы Главная, Выставление счетов и Поддержка. Содержимое, доступное в этих областях, контролируется ролями коммерческой платформы, назначенными пользователям для управления продуктами, которые они приобрели для себя или для организации. Это могут быть такие задачи, как оплата счетов или доступ к учетным записям и профилям выставления счетов.
Пользователи с ролью пользователя современной коммерческой платформы обычно имеют административные разрешения в других коммерческих системах Майкрософт, но не имеют ролей глобального администратора или администратора выставления счетов, используемых для доступа к центру администрирования.
Когда назначается роль пользователя современной коммерческой платформы
- Самостоятельная покупка в Центре администрирования Microsoft 365 — самостоятельная покупка дает пользователям возможность опробовать новые продукты, самостоятельно купив их или зарегистрировавшись в них. Управление этими продуктами осуществляется в центре администрирования. Пользователям, которые самостоятельно совершают покупку, назначается роль в коммерческой системе, а также роль пользователя современной коммерческой платформы для управления покупками в центре администрирования. Администраторы могут блокировать самостоятельную покупку (для Power BI, Power Apps, Power Automate) с помощью PowerShell. Дополнительные сведения см. на странице Вопросы и ответы по самостоятельной покупке.
- Покупки на коммерческой платформе Майкрософт — аналогично самостоятельной покупке: когда пользователь покупает продукт или службу в Microsoft AppSource или Azure Marketplace, назначается роль пользователя современной коммерческой платформы, если у него нет роли глобального администратора или администратора выставления счетов. В некоторых случаях пользователям может запрещаться совершать эти покупки. Дополнительные сведения см. в статье Коммерческая платформа Майкрософт.
- Предложения от Майкрософт — официальное предложение от корпорации Майкрософт приобрести продукты и службы Майкрософт. Если у пользователя, принимающего предложение, нет роли глобального администратора или администратора выставления счетов в Azure AD, ему назначается роль, необходимая для принятия предложения, и роль пользователя современной коммерческой платформы для доступа к центру администрирования. При доступе к центру администрирования он может использовать только те функции, которые разрешены его коммерческой ролью.
- Коммерческие роли — некоторым пользователям назначаются коммерческие роли. Если пользователь не является глобальным администратором или администратором выставления счетов, он получает роль пользователя современной коммерческой платформы для доступа к центру администрирования.
Когда назначение роли пользователя современной коммерческой платформы пользователю отменяется, он утрачивает доступ к центру администрирования Microsoft 365. Если он управлял любыми продуктами для самостоятельного использования или для организации, то больше не сможет управлять ими. Это относится в том числе к назначению лицензий, изменению методов оплаты, оплате счетов и другим задачам управления подписками.
| Действия | Описание |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Управление всеми аспектами Volume Licensing Service Center |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/basic/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор сети
Пользователи с этой ролью могут просматривать рекомендации по архитектуре периметра сети от Майкрософт, основанные на телеметрии сети, получаемой из расположений пользователей. Производительность сети для Microsoft 365 зависит от тщательного планирования корпоративной архитектуры периметра сети клиентов, которая, как правило, специфична для каждого расположения. Данная роль позволяет изменять обнаруженные расположения пользователей, настраивать их сетевые параметры и получать более оптимальную телеметрию и рекомендации по проектированию.
| Действия | Описание |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Управление всеми аспектами сетевых расположений |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор приложений Office
Пользователи с этой ролью могут управлять параметрами облака приложений Microsoft 365. Сюда входит управление облачными политиками, самостоятельное управление скачиванием и возможность просмотра отчета по приложениям Office. Эта роль также позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб в главном центре администрирования. Пользователи, которым назначена эта роль, могут также управлять взаимодействием новых функций в приложениях Office.
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.userCommunication/allEntities/allTasks | Чтение сообщений о новых возможностях и обновление их видимости |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Модуль записи сообщений организации
Назначьте роль "Модуль записи сообщений организации" пользователям, которым необходимо выполнить следующие задачи:
- Запись, публикация и удаление сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
- Управление вариантами доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
- Чтение результатов доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
- Просмотр отчетов об использовании и большинства параметров в Центр администрирования Microsoft 365, но не может вносить изменения
| Действия | Описание |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Управление всеми аспектами разработки сообщений организации Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Чтение агрегированных отчетов об использовании Office 365 на уровне клиента |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Служба поддержка партнеров уровня 1
Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.
Важно!
Эта роль может сбрасывать пароли и проверять маркеры обновления только для пользователей, не являющихся администраторами. Эту роль не следует использовать, так как она является устаревшей.
| Действия | Описание |
|---|---|
| microsoft.directory/applications/appRoles/update | Обновление свойства appRoles для всех типов приложений |
| microsoft.directory/applications/audience/update | Обновление свойства audience для приложений |
| microsoft.directory/applications/authentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/basic/update | Обновление базовых свойств приложений |
| microsoft.directory/applications/credentials/update | Обновление учетных данных приложения |
| microsoft.directory/applications/notes/update | Обновление заметок приложений |
| microsoft.directory/applications/owners/update | Обновление владельцев приложений |
| microsoft.directory/applications/permissions/update | Обновление предоставляемых и требуемых разрешений для всех типов приложений |
| microsoft.directory/applications/policies/update | Обновление политик приложений |
| microsoft.directory/applications/tag/update | Обновление тегов приложений |
| microsoft.directory/contacts/create | Создание контактов |
| microsoft.directory/contacts/delete | Удаление контактов |
| microsoft.directory/contacts/basic/update | Обновление базовых параметров контактов |
| microsoft.directory/deletedItems.groups/restore | Восстановление обратимо удаленных групп в исходное состояние |
| microsoft.directory/deletedItems.users/restore | Восстановление обратимо удаленных пользователей в исходное состояние |
| microsoft.directory/groups/create | Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/delete | Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/restore | Восстановление групп из обратимо удаленных контейнеров |
| microsoft.directory/groups/members/update | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/owners/update | Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/users/assignLicense | Управление лицензиями пользователей |
| microsoft.directory/users/create | Добавление пользователей |
| microsoft.directory/users/delete | Удаление пользователей |
| microsoft.directory/users/disable | Отключение пользователей |
| microsoft.directory/users/enable | Включение пользователей |
| microsoft.directory/users/invalidateAllRefreshTokens | Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых |
| microsoft.directory/users/restore | Восстановление удаленных пользователей |
| microsoft.directory/users/basic/update | Обновление базовых параметров пользователей |
| microsoft.directory/users/manager/update | Обновление менеджера для пользователей |
| microsoft.directory/users/password/update | Сброс паролей для всех пользователей |
| microsoft.directory/users/photo/update | Обновление фотографий пользователей |
| microsoft.directory/users/userPrincipalName/update | Обновление имени субъекта-пользователя для пользователей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Служба поддержка партнеров уровня 2
Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.
Важно!
Эта роль позволяет сбрасывать пароли и делать маркеры обновления недействительными для всех пользователей, не являющихся администраторами, а также администраторов (включая глобальных). Эту роль не следует использовать, так как она является устаревшей.
| Действия | Описание |
|---|---|
| microsoft.directory/applications/appRoles/update | Обновление свойства appRoles для всех типов приложений |
| microsoft.directory/applications/audience/update | Обновление свойства audience для приложений |
| microsoft.directory/applications/authentication/update | Обновление проверки подлинности для всех типов приложений |
| microsoft.directory/applications/basic/update | Обновление базовых свойств приложений |
| microsoft.directory/applications/credentials/update | Обновление учетных данных приложения |
| microsoft.directory/applications/notes/update | Обновление заметок приложений |
| microsoft.directory/applications/owners/update | Обновление владельцев приложений |
| microsoft.directory/applications/permissions/update | Обновление предоставляемых и требуемых разрешений для всех типов приложений |
| microsoft.directory/applications/policies/update | Обновление политик приложений |
| microsoft.directory/applications/tag/update | Обновление тегов приложений |
| microsoft.directory/contacts/create | Создание контактов |
| microsoft.directory/contacts/delete | Удаление контактов |
| microsoft.directory/contacts/basic/update | Обновление базовых параметров контактов |
| microsoft.directory/deletedItems.groups/restore | Восстановление обратимо удаленных групп в исходное состояние |
| microsoft.directory/deletedItems.users/restore | Восстановление обратимо удаленных пользователей в исходное состояние |
| microsoft.directory/domains/allProperties/allTasks | Создание и удаление доменов, а также чтение и обновление всех свойств |
| microsoft.directory/groups/create | Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/delete | Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/restore | Восстановление групп из обратимо удаленных контейнеров |
| microsoft.directory/groups/members/update | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/owners/update | Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств |
| microsoft.directory/organization/basic/update | Обновление базовых свойств для организации |
| microsoft.directory/roleAssignments/allProperties/allTasks | Создание и удаление назначений ролей, а также чтение и обновление всех их свойств |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Создание и удаление определений ролей, а также чтение и обновление всех их свойств |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/subscribedSkus/standard/read | Чтение базовых свойств для подписок |
| microsoft.directory/users/assignLicense | Управление лицензиями пользователей |
| microsoft.directory/users/create | Добавление пользователей |
| microsoft.directory/users/delete | Удаление пользователей |
| microsoft.directory/users/disable | Отключение пользователей |
| microsoft.directory/users/enable | Включение пользователей |
| microsoft.directory/users/invalidateAllRefreshTokens | Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых |
| microsoft.directory/users/restore | Восстановление удаленных пользователей |
| microsoft.directory/users/basic/update | Обновление базовых параметров пользователей |
| microsoft.directory/users/manager/update | Обновление менеджера для пользователей |
| microsoft.directory/users/password/update | Сброс паролей для всех пользователей |
| microsoft.directory/users/photo/update | Обновление фотографий пользователей |
| microsoft.directory/users/userPrincipalName/update | Обновление имени субъекта-пользователя для пользователей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
администратора паролей.
Пользователи с этой ролью имеют ограниченные возможности управления паролями. Эта роль не позволяет управлять запросами на обслуживание или отслеживать работоспособность служб. Возможность администратора паролей сбрасывать пароль пользователя, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор паролей может сбросить пароли, см. в разделе Кто может сбрасывать пароли.
Пользователи с этой ролью не могут выполнять следующие действия:
- Невозможно изменить учетные данные или сбросить MFA для участников и владельцев группы, назначаемой ролями.
| Действия | Описание |
|---|---|
| microsoft.directory/users/password/update | Сброс паролей для всех пользователей |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор управления разрешениями
Назначьте роль администратора управления разрешениями пользователям, которым необходимо выполнить следующие задачи:
- Управление всеми аспектами управления разрешениями Entra при наличии службы
Дополнительные сведения о ролях и политиках управления разрешениями см. в статье Просмотр сведений о ролях и политиках.
| Действия | Описание |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Управление всеми аспектами управления разрешениями Entra |
Администратор Power BI
пользователи с этой ролью имеют глобальные разрешения в Microsoft Power BI (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Общие сведения о ролях администраторов Power BI.
Примечание
В microsoft API Graph и Azure AD PowerShell эта роль называется Администратор службы Power BI. В портал Azure он называется АдминистраторОм Power BI.
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Управление всеми аспектами Power BI |
Администратор Power Platform
Пользователи с этой ролью могут создавать все аспекты сред, Power Apps, потоков и политик предотвращения потери данных и управлять ими. Кроме того, пользователи с этой ролью могут управлять запросами в службу поддержки и отслеживать работоспособность службы.
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.dynamics365/allEntities/allTasks | Управление всеми аспектами Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Управление всеми аспектами Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Управление всеми аспектами Power Apps |
Администратор принтеров
Пользователи с этой ролью могут регистрировать принтеры и управлять всеми аспектами конфигурации всех принтеров в решении универсальной печати Майкрософт, в том числе параметрами соединителя универсальной печати. Они могут предоставлять согласие на все запросы делегирования разрешений на печать. Администраторы принтеров также имеют доступ к отчетам о печати.
| Действия | Описание |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Создание и удаление принтеров и соединителей, а также чтение и обновление всех свойств в Microsoft Print |
Технический специалист по принтерам
Пользователи с этой ролью могут регистрировать принтеры и управлять состоянием принтера в решении универсальной печати Майкрософт. Им также доступно чтение всей информации о соединителях. Техническому специалисту по принтерам недоступны такие задачи, как предоставление пользователям разрешений и общего доступа к принтерам.
| Действия | Описание |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Чтение всех свойств соединителей в Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Чтение всех свойств принтеров в Microsoft Print |
| microsoft.azure.print/printers/register | Регистрация принтеров в Microsoft Print |
| microsoft.azure.print/printers/unregister | Отмена регистрации принтеров в Microsoft Print |
| microsoft.azure.print/printers/basic/update | Обновление базовых свойств принтеров в Microsoft Print |
Привилегированный администратор проверки подлинности
Назначьте роль администратора привилегированной проверки подлинности пользователям, которым необходимо выполнить следующие действия:
- Задайте или сбросьте любой метод проверки подлинности (включая пароли) для любого пользователя, включая глобальных администраторов.
- Удалите или восстановите всех пользователей, включая глобальных администраторов. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
- Принудительная повторная регистрация пользователей с использованием существующих учетных данных, не относящихся к паролю (например, MFA или FIDO) и отмена запоминания MFA на устройстве с запросом MFA при следующем входе всех пользователей.
- Обновление конфиденциальных свойств для всех пользователей. Дополнительные сведения см. в разделе Кто может выполнять конфиденциальные действия.
- Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается управлять MFA для каждого пользователя на устаревшем портале управления MFA. Те же функции можно реализовать с помощью модуля PowerShell с командлетом Azure AD Set-MsolUser.
В следующей таблице сравниваются возможности этой роли со связанными ролями.
| Должность | Управление методами проверки подлинности пользователя | Управление MFA для каждого пользователя | Управление параметрами MFA | Управление политикой выбора метода проверки подлинности | Управление политикой защиты паролем | Обновление конфиденциальных свойств | Удаление и восстановление пользователей |
|---|---|---|---|---|---|---|---|
| Администратор проверки подлинности | Да для некоторых пользователей | Да для некоторых пользователей | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
| Привилегированный администратор проверки подлинности | Да для всех пользователей | Да для всех пользователей | Нет | Нет | Нет | Да для всех пользователей | Да для всех пользователей |
| Администратор политики проверки подлинности | Нет | Нет | Да | Да | Да | Нет | Нет |
| Администратор пользователей | Нет | Нет | Нет | Нет | Нет | Да для некоторых пользователей | Да для некоторых пользователей |
Важно!
Пользователи с этой ролью могут изменять учетные данные для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:
- Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам проверки подлинности. По этому пути администратор проверки подлинности сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
- Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
- Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
- Администраторы других служб за пределами Azure AD, таких как Exchange Online, портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и системы управления персоналом.
- Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
| Действия | Описание |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Создание способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/delete | Удаление способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/standard/read | Считывание стандартных свойств способов проверки подлинности для пользователей |
| microsoft.directory/users/authenticationMethods/basic/update | Изменение стандартных свойств способов проверки подлинности для пользователей |
| microsoft.directory/deletedItems.users/restore | Восстановление обратимо удаленных пользователей в исходное состояние |
| microsoft.directory/users/delete | Удаление пользователей |
| microsoft.directory/users/disable | Отключение пользователей |
| microsoft.directory/users/enable | Включение пользователей |
| microsoft.directory/users/invalidateAllRefreshTokens | Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых |
| microsoft.directory/users/restore | Восстановление удаленных пользователей |
| microsoft.directory/users/basic/update | Обновление базовых параметров пользователей |
| microsoft.directory/users/authorizationInfo/update | Обновление свойства идентификаторов пользователей с многозначным сертификатом |
| microsoft.directory/users/manager/update | Обновление менеджера для пользователей |
| microsoft.directory/users/password/update | Сброс паролей для всех пользователей |
| microsoft.directory/users/userPrincipalName/update | Обновление имени субъекта-пользователя для пользователей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор привилегированных ролей
пользователи с этой ролью могут управлять назначениями ролей в Azure Active Directory и Azure AD Privileged Identity Management. Они могут создавать группы, которые можно назначить ролям Azure AD, и управлять ими. Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными удостоверениями и административными единицами.
Важно!
Эта роль предоставляет возможность управлять членством во всех ролях Azure AD, включая роль глобального администратора. Эта роль не включает в себя какие-либо другие привилегированные возможности Azure AD, например создание или обновление пользователей. Тем не менее пользователи, которым назначена эта роль, могут предоставить себе или другим пользователям дополнительные привилегии, назначив дополнительные роли.
| Действия | Описание |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Чтение всех свойств проверок доступа для назначений ролей приложений в Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Управление проверками доступа для назначений ролей Azure AD |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Обновление всех свойств проверок доступа для членства в группах, которым можно назначить роли Azure AD |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Создание проверок доступа для членства в группах, которым можно назначить роли Azure AD |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Удаление проверок доступа для членства в группах, которым можно назначить роли Azure AD |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей. |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Создание административных единиц и управление ими (включая члены) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Управление всеми аспектами политики авторизации |
| microsoft.directory/directoryRoles/allProperties/allTasks | Создание и удаление ролей каталога, а также чтение и обновление всех свойств |
| microsoft.directory/groupsAssignableToRoles/create | Создание групп с назначением ролей |
| microsoft.directory/groupsAssignableToRoles/delete | Удаление групп с возможностью назначения ролей |
| microsoft.directory/groupsAssignableToRoles/restore | Восстановление групп с возможностью назначения ролей |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Обновление групп с возможностью назначения ролей |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Создание и удаление назначений ролей, а также чтение и обновление всех их свойств |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Создание и удаление определений ролей, а также чтение и обновление всех их свойств |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/servicePrincipals/permissions/update | Обновление разрешений субъектов-служб |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Предоставление любому приложению согласия для любого разрешения |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Читатель отчетов
Пользователи с этой ролью могут просматривать данные отчетов об использовании и панель мониторинга отчетов в центре администрирования Microsoft 365, а также пакет контекста внедрения в Power BI. Кроме того, эта роль предоставляет доступ ко всем журналам входов, отчетам о действиях в Azure AD и данным от API отчетов Microsoft Graph. Пользователь с ролью "Читатель отчетов" имеет доступ только к релевантным метрикам использования и внедрения. Он не приобретает полномочия администратора по настройке или использованию центров администрирования отдельных продуктов (например, Excahange). Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.
| Действия | Описание |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор поиска
Пользователи с этой ролью имеют полный доступ ко всем функциям управления поиска (Майкрософт) в Центре администрирования Microsoft 365. Кроме того, эти пользователи могут просматривать Центр сообщений, отслеживать работоспособность служб и создавать запросы на обслуживание.
| Действия | Описание |
|---|---|
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.search/content/manage | Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)" |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Редактор поиска
Пользователи с этой ролью могут создавать, изменять и удалять содержимое поиска (Майкрософт) в Центре администрирования Microsoft 365, включая закладки, расположения или вопросы и ответы.
| Действия | Описание |
|---|---|
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.search/content/manage | Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)" |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор безопасности
Пользователи с этой ролью имеют разрешения на управление функциями, связанными с безопасностью, на портале Microsoft 365 Defender, защите идентификации Azure Active Directory, проверке подлинности Azure Active Directory, Azure Information Protection и Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделах Роли и группы ролей в Microsoft Defender для Office 365 и Соответствие требованиям Microsoft Purview.
| В | Может |
|---|---|
| Портал Microsoft 365 Defender | Отслеживает политики, связанные с безопасностью во всех службах Microsoft 365. Управляет угрозами безопасности и оповещениями. Просмотр отчетов |
| Защита идентификации | Все разрешения роли читателя сведений о безопасности. Выполнение всех операций защиты идентификации, кроме сброса паролей |
| Управление привилегированными пользователями | Все разрешения роли читателя сведений о безопасности. Не может управлять членством в роли или параметрами ролей Azure AD. |
| Портал соответствия требованиям Microsoft Purview | Управление политиками безопасности. Просмотр, исследование и реагирование на угрозы безопасности. Просмотр отчетов |
| Расширенная защита от угроз Azure | Мониторинг и реагирование на подозрительные безопасные действия. |
| Защитник Майкрософт для конечных точек | Назначение ролей Управление группами компьютеров Настройка выявления угроз в конечной точке и автоматизированном исправлении. Просмотр, исследование и реагирование на оповещения. Просмотр инвентаризации устройств и компьютеров |
| Intune | Просмотр пользователя, устройства, соглашения о регистрации, конфигурации и сведений о приложении. Не может вносить изменения в Intune. |
| Microsoft Defender для облачных приложений | Добавление администраторов, политики и параметров, загрузка журналов и выполнение действия системы управления. |
| Работоспособность службы Microsoft 365 | Просмотр состояния служб Microsoft 365 |
| Смарт-блокировка | Укажите пороговое значение и длительность блокировки при событиях неудачного входа. |
| Защита паролем | Настройте пользовательский список запрещенных паролей или локальную защиту паролем. |
| Синхронизация клиентов | Настройка параметров доступа между арендаторами для пользователей в другом клиенте. Администраторы безопасности не могут напрямую создавать и удалять пользователей, но могут косвенно создавать и удалять синхронизированных пользователей из другого клиента, если оба клиента настроены для синхронизации между клиентами, что является привилегированным разрешением. |
| Действия | Описание |
|---|---|
| microsoft.directory/applications/policies/update | Обновление политик приложений |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Чтение базовых свойств политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Обновление разрешенных облачных конечных точек политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicies/basic/update | Обновление основных параметров политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Чтение базовых свойств политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Обновление ограничений для клиентов политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Создание политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Удаление политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Чтение базовых свойств политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Обновление параметров совместной работы B2B в Azure AD в рамках политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Обновление параметров прямого соединения B2B в Azure AD в рамках политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Обновление ограничений для клиентов политики межклиентского доступа для партнеров |
| microsoft.directory/deviceLocalCredentials/standard/read | Чтение всех свойств учетных данных учетной записи локального администратора, для Azure AD присоединенных устройств, кроме пароля. |
| microsoft.directory/domains/federation/update | Обновление свойства федерации для доменов |
| microsoft.directory/domains/federationConfiguration/standard/read | Чтение стандартных свойств конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/basic/update | Обновление базовой конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/create | Создание конфигурации федерации для доменов |
| microsoft.directory/domains/federationConfiguration/delete | Удаление конфигурации федерации для доменов |
| microsoft.directory/entitlementManagement/allProperties/read | Чтение всех свойств в системе управления правами Azure AD |
| microsoft.directory/identityProtection/allProperties/read | Чтение всех ресурсов в службе "Защита идентификации Azure AD" |
| microsoft.directory/identityProtection/allProperties/update | Обновление всех ресурсов в службе "Защита идентификации Azure AD" |
| microsoft.directory/namedLocations/create | Создание настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/delete | Удаление настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/standard/read | Чтение основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/namedLocations/basic/update | Обновление основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/policies/create | Создание политик в Azure AD |
| microsoft.directory/policies/delete | Удаление политик в Azure AD |
| microsoft.directory/policies/basic/update | Обновление базовых свойств для политик |
| microsoft.directory/policies/owners/update | Обновление владельцев политик |
| microsoft.directory/policies/tenantDefault/update | Обновление политик организации по умолчанию |
| microsoft.directory/conditionalAccessPolicies/create | Создание политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/delete | Удаление политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/standard/read | Условный доступ на чтение для политик |
| microsoft.directory/conditionalAccessPolicies/owners/read | Считывание владельцев политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Чтение свойства "Применяется к" для политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/basic/update | Обновление базовых свойств для политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/owners/update | Обновление владельцев для политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Обновление клиента по умолчанию для политик условного доступа |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Чтение всех ресурсов в Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | Обновление контекста проверки подлинности условного доступа для действий ресурсов управления доступом на основе ролей (RBAC) Microsoft 365 |
| microsoft.directory/servicePrincipals/policies/update | Обновление политик для субъектов-служб |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.protectionCenter/allEntities/standard/read | Чтение стандартных свойств всех ресурсов в Центрах безопасности и соответствия требованиям |
| microsoft.office365.protectionCenter/allEntities/basic/update | Обновление базовых свойств всех ресурсов в Центрах безопасности и соответствия требованиям |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Создание атакующих кодов и управление ими в эмуляторе атак |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Чтение отчетов об имитации атак, реагированиях и связанном обучении |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Создание шаблонов симуляции атак и управление ими в эмуляторе атак |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Оператор безопасности
Пользователи с этой ролью могут управлять оповещениями и иметь глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию на портале Microsoft 365 Defender, Azure Active Directory, Защите идентификации управление привилегированными пользователями и Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделах Роли и группы ролей в Microsoft Defender для Office 365 и Соответствие требованиям Microsoft Purview.
| В | Может |
|---|---|
| Портал Microsoft 365 Defender | Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения об угрозах безопасности. Управление параметрами безопасности на портале Microsoft 365 Defender |
| Защита идентификации | Все разрешения роли читателя сведений о безопасности. Выполнение всех операций защиты идентификации, за исключением настройки или изменения политик на основе рисков, сброса паролей и настройки оповещений электронной почты. |
| Управление привилегированными пользователями | Все разрешения роли читателя сведений о безопасности. |
| Портал соответствия требованиям Microsoft Purview | Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения системы безопасности. |
| Защитник Майкрософт для конечных точек | Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения системы безопасности. При включении управления доступом на основе ролей в Microsoft Defender для конечной точки пользователи с разрешениями только для чтения, такими как роль Читатель безопасности, теряют доступ, пока им не будет назначена роль Microsoft Defender для конечной точки. |
| Intune | Все разрешения роли читателя сведений о безопасности. |
| Microsoft Defender для облачных приложений | Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения системы безопасности. |
| Работоспособность службы Microsoft 365 | Просмотр состояния служб Microsoft 365 |
| Действия | Описание |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака |
| microsoft.directory/identityProtection/allProperties/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в службе "Защита идентификации Azure Active Directory" |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Чтение всех ресурсов в Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Управление всеми аспектами Расширенной защиты от угроз Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.intune/allEntities/read | Чтение всех ресурсов в Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Центре безопасности и соответствия Office 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Управление всеми аспектами Microsoft Defender для конечной точки |
Читатель сведений о безопасности
Пользователи с этой ролью имеют глобальный доступ только для чтения к функции, связанной с безопасностью, включая всю информацию на портале Microsoft 365 Defender, Azure Active Directory, Защите идентификации управление привилегированными пользователями, а также возможность читать отчеты о входе в Azure Active Directory и журналы аудита, а также в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделах Роли и группы ролей в Microsoft Defender для Office 365 и Соответствие требованиям Microsoft Purview.
| В | Может |
|---|---|
| Портал Microsoft 365 Defender | Просмотр политик связанных с безопасностью во всех службах Microsoft 365. Просмотр угроз безопасности и оповещений. Просмотр отчетов |
| Защита идентификации | Просмотр всех отчетов Защиты идентификации и страницы обзора |
| Управление привилегированными пользователями | Имеет доступ только для чтения ко всем сведениям, отображаемым в Azure AD Privileged Identity Management: политикам и отчетам по назначению ролей Azure AD и проверке безопасности. Не может регистрироваться в службе Azure AD Privileged Identity Management или вносить в нее какие-либо изменения. Используя портал Privileged Identity Management или PowerShell, кто-то в этой роли может активировать дополнительные роли (например, глобального администратора или администратора привилегированных ролей), если пользователь для них подходит. |
| Портал соответствия требованиям Microsoft Purview | Просмотр политик безопасности Просмотр и анализ угроз безопасности. Просмотр отчетов |
| Защитник Майкрософт для конечных точек | Просмотр и анализ оповещений. При включении управления доступом на основе ролей в Microsoft Defender для конечной точки пользователи с разрешениями только для чтения, такими как роль читателя сведений о безопасности, теряют доступ до тех пор, пока им не будет назначена Microsoft Defender для конечной точки роль. |
| Intune | Просмотр пользователя, устройства, соглашения о регистрации, настроек и сведений о приложении. Не может вносить изменения в Intune. |
| Microsoft Defender для облачных приложений | Имеет разрешения на чтение. |
| Работоспособность службы Microsoft 365 | Просмотр состояния служб Microsoft 365 |
| Действия | Описание |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Чтение всех свойств проверок доступа для всех проверяемых ресурсов в Azure AD |
| microsoft.directory/auditLogs/allProperties/read | Чтение всех свойств журналов аудита, включая привилегированные свойства |
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/bitlockerKeys/key/read | Чтение метаданных и ключа BitLocker на устройствах |
| microsoft.directory/deviceLocalCredentials/standard/read | Чтение всех свойств учетных данных учетной записи локального администратора, для Azure AD присоединенных устройств, кроме пароля. |
| microsoft.directory/domains/federationConfiguration/standard/read | Чтение стандартных свойств конфигурации федерации для доменов |
| microsoft.directory/entitlementManagement/allProperties/read | Чтение всех свойств в системе управления правами Azure AD |
| microsoft.directory/identityProtection/allProperties/read | Чтение всех ресурсов в службе "Защита идентификации Azure AD" |
| microsoft.directory/namedLocations/standard/read | Чтение основных свойств настраиваемых правил, определяющих расположения в сети. |
| microsoft.directory/policies/standard/read | Чтение базовых свойств для политик |
| microsoft.directory/policies/owners/read | Считывание владельцев политик |
| microsoft.directory/policies/policyAppliedTo/read | Чтение свойства policies.policyAppliedTo |
| microsoft.directory/conditionalAccessPolicies/standard/read | Условный доступ на чтение для политик |
| microsoft.directory/conditionalAccessPolicies/owners/read | Считывание владельцев политик условного доступа |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Чтение свойства "Применяется к" для политик условного доступа |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Чтение всех ресурсов в Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Чтение всех свойств журналов подготовки к работе. |
| microsoft.directory/signInReports/allProperties/read | Чтение всех свойств отчета о входах, включая привилегированные свойства |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.office365.protectionCenter/allEntities/standard/read | Чтение стандартных свойств всех ресурсов в Центрах безопасности и соответствия требованиям |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Чтение всех свойств атакующего кода в эмуляторе атак |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Чтение отчетов о симуляции атак, ответных действиях и связанном обучении |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Чтение всех свойств шаблонов симуляции в эмуляторе атак |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор службы поддержки
Пользователи с этой ролью могут создавать запросы в службу поддержки корпорации Майкрософт для служб Azure и Microsoft 365 и управлять ими, а также просматривать панель мониторинга служб и центр сообщений на портале Azure и в Центре администрирования Microsoft 365. Дополнительные сведения см. в статье Сведения о ролях администраторов в Центр администрирования Microsoft 365.
Примечание
Эта роль ранее называлась администратором служб в портал Azure и Центр администрирования Microsoft 365. Она была переименована в Service Support Administrator (Администратор поддержки служб) в соответствии с существующим именем в microsoft API Graph и Azure AD PowerShell.
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор SharePoint
пользователи с этой ролью имеют глобальные разрешения в Microsoft SharePoint Online при наличии этой службы, возможность создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения см. в статье Сведения о ролях администраторов в Центр администрирования Microsoft 365.
Примечание
В microsoft API Graph и Azure AD PowerShell эта роль называется Администратор службы SharePoint. В портал Azure он называется Администратор SharePoint.
Примечание
Эта роль также предоставляет доступ к API Microsoft Graph для Microsoft Intune, что позволяет настраивать политики, связанные с ресурсами SharePoint и OneDrive, и управлять ими.
| Действия | Описание |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли |
| microsoft.directory/groups.unified/basic/update | Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Skype для бизнеса
у пользователей с этой ролью есть глобальные разрешения в Microsoft Skype для бизнеса при наличии этой службы, а также возможность управлять определенными атрибутами пользователя Skype в Azure Active Directory. Кроме того, эта роль позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб, а также предоставляет доступ к центру администрирования Teams и Skype для бизнеса. Учетная запись также должна иметь лицензию Teams, иначе она не сможет запускать командлеты PowerShell Teams. Дополнительные сведения см. в разделе Skype для бизнеса Online Администратор и сведения о лицензировании Teams в разделе лицензирование надстройки Skype для бизнеса.
Примечание
В microsoft API Graph и Azure AD PowerShell эта роль называется Администратор службы Lync. В портал Azure он называется Skype для бизнеса Администратор.
| Действия | Описание |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Teams
пользователи с этой ролью могут управлять всеми функциями рабочей нагрузки Microsoft Teams с помощью центра администрирования Microsoft Teams и Skype для бизнеса и соответствующих модулей PowerShell. Сюда входят, помимо прочего, все средства управления, связанные с телефонией, обменом сообщениями, собраниями и самими командами Teams. Кроме того, эта роль позволяет создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.directory/groups/hiddenMembers/read | Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли |
| microsoft.directory/groups.unified/basic/update | Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Управление всеми ресурсами в Teams |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Чтение базовых свойств политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Обновление разрешенных облачных конечных точек политики межклиентского доступа |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Чтение базовых свойств политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Создание политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Чтение базовых свойств политики межклиентского доступа для партнеров |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров |
Администратор связи Teams
пользователи с этой ролью могут управлять функциями рабочей нагрузки Microsoft Teams, связанными с голосовой связью и телефонией. Сюда входят средства управления для назначения номера телефона, политики голосовой связи и собраний, а также полный доступ к набору инструментов анализа вызовов.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Чтение всех данных на Панели мониторинга качества звонка (ПМКЗ) |
| microsoft.teams/meetings/allProperties/allTasks | Управление собраниями, включая политики собраний, конфигурации и мосты конференц-связи |
| microsoft.teams/voice/allProperties/allTasks | Управление голосовой связью, включая политики звонков, а также инвентаризацию и назначение номеров телефонов |
Инженер службы поддержки связи Teams
пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать полные сведения о записях вызовов для всех задействованных участников. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Чтение всех данных на Панели мониторинга качества звонка (ПМКЗ) |
Специалист службы поддержки связи Teams
пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать сведения об определенном пользователе только при его вызове. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.
| Действия | Описание |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Чтение стандартных свойств политики авторизации |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Управление всеми аспектами Skype для бизнеса Online |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Чтение основных данных в Панели мониторинга качества звонка (ПМКЗ) |
Администраторы устройств Teams
Пользователи с этой ролью могут управлять устройствами, сертифицированными для Teams, из Центра администрирования Teams. Эта роль позволяет быстро просматривать все устройства и обеспечивает возможности поиска и фильтрации устройств. Пользователь может проверить сведения о каждом устройстве, включая учетную запись входа, а также марку и модель устройства. Пользователь может изменять параметры устройства и обновлять версии программного обеспечения. Эта роль не предоставляет разрешения на проверку действий в Teams и качества звонков устройства.
| Действия | Описание |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.teams/devices/standard/read | Управление всеми аспектами работы сертифицированных для Teams устройств, включая политики конфигурации |
Создатель клиента
Назначьте роль Создатель клиента пользователям, которым необходимо выполнить следующие задачи:
- Создание клиентов Azure Active Directory и Azure Active Directory B2C, даже если переключатель создания клиента отключен в параметрах пользователя
Примечание
Создателям клиентов будет назначена роль глобальный администратор в новых клиентах, которые они создают.
| Действия | Описание |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Создание новых клиентов в Azure Active Directory |
Читатель отчетов со сводными данными об использовании
Пользователи с этой ролью могут получать доступ к агрегированным данным уровня клиента и связанным аналитическим сведениям в Центре администрирования Microsoft 365 для оценки эффективности использования и производительности, но не могут получить доступ к сведениям или аналитике на уровне пользователя. В Центре администрирования Microsoft 365 представлены два типа отчетов: агрегированные данные уровня клиента и сведения уровня пользователя. Эта роль обеспечивает дополнительный уровень защиты для отдельных определяемых пользователем данных, которые были запрошены и клиентами, и юридическими отделами.
| Действия | Описание |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Чтение агрегированных отчетов об использовании Office 365 на уровне клиента |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
администратора пользователей;
Назначьте роль администратора пользователей пользователям, которым необходимо выполнить следующие действия:
| Разрешение | Дополнительные сведения |
|---|---|
| Создание пользователей | |
| Обновление большинства свойств пользователей для всех пользователей, включая всех администраторов | Кто может выполнять конфиденциальные действия |
| Обновление конфиденциальных свойств (включая имя субъекта-пользователя) для некоторых пользователей | Кто может выполнять конфиденциальные действия |
| Отключение или включение некоторых пользователей | Кто может выполнять конфиденциальные действия |
| Удаление или восстановление некоторых пользователей | Кто может выполнять конфиденциальные действия |
| Создание представлений пользователя и управление ими | |
| Создание всех групп и управление ими | |
| Назначение и чтение лицензий для всех пользователей, включая всех администраторов | |
| Сброс паролей | Кто может сбрасывать пароли |
| Недопустимое обновление маркеров | Кто может сбрасывать пароли |
| Обновление ключей устройства (FIDO) | |
| Изменение политик срока действия паролей | |
| Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365 | |
| Мониторинг работоспособности служб |
Пользователи с этой ролью не могут выполнять следующие действия:
- Не удается управлять MFA.
- Невозможно изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
- Не удается управлять общими почтовыми ящиками.
Важно!
Пользователи с этой ролью могут изменять пароли для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:
- Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам пользователей. По этому пути администратор пользователей сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
- Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
- Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
- Администраторы других служб за пределами Azure AD, таких как Exchange Online, портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и системы управления персоналом.
- Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
| Действия | Описание |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Управление проверками доступа для назначений ролей приложений в Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Чтение всех свойств проверок доступа для назначений ролей Azure AD |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Управление проверками доступа для назначений пакетов для доступа в системе управления правами |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Обновление всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей. |
| microsoft.directory/accessReviews/definitions.groups/create | Создание проверок доступа для членства в группах безопасности и группах Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Удаление проверок доступа для членства в группах безопасности и группах Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей. |
| microsoft.directory/contacts/create | Создание контактов |
| microsoft.directory/contacts/delete | Удаление контактов |
| microsoft.directory/contacts/basic/update | Обновление базовых параметров контактов |
| microsoft.directory/deletedItems.groups/restore | Восстановление обратимо удаленных групп в исходное состояние |
| microsoft.directory/deletedItems.users/restore | Восстановление обратимо удаленных пользователей в исходное состояние |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Создание и удаление ресурсов, а также чтение и обновление всех свойств в системе управления правами Azure AD |
| microsoft.directory/groups/assignLicense | Назначение группам лицензий на продукты для группового лицензирования |
| microsoft.directory/groups/create | Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/delete | Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/hiddenMembers/read | Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups/reprocessLicenseAssignment | Повторная обработка назначений лицензий для группового лицензирования |
| microsoft.directory/groups/restore | Восстановление групп из обратимо удаленных контейнеров |
| microsoft.directory/groups/basic/update | Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/classification/update | Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/dynamicMembershipRule/update | Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/groupType/update | Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/members/update | Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/onPremWriteBack/update | Обновление групп Azure Active Directory для обратной записи в локальную среду с помощью Azure AD Connect |
| microsoft.directory/groups/owners/update | Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups/settings/update | Обновление параметров групп |
| microsoft.directory/groups/visibility/update | Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств |
| microsoft.directory/policies/standard/read | Чтение базовых свойств для политик |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Обновление назначений ролей для субъекта-службы |
| microsoft.directory/users/assignLicense | Управление лицензиями пользователей |
| microsoft.directory/users/create | Добавление пользователей |
| microsoft.directory/users/delete | Удаление пользователей |
| microsoft.directory/users/disable | Отключение пользователей |
| microsoft.directory/users/enable | Включение пользователей |
| microsoft.directory/users/inviteGuest | Приглашение гостевых пользователей |
| microsoft.directory/users/invalidateAllRefreshTokens | Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых |
| microsoft.directory/users/reprocessLicenseAssignment | Повторная обработка назначений лицензий для пользователей |
| microsoft.directory/users/restore | Восстановление удаленных пользователей |
| microsoft.directory/users/basic/update | Обновление базовых параметров пользователей |
| microsoft.directory/users/manager/update | Обновление менеджера для пользователей |
| microsoft.directory/users/password/update | Сброс паролей для всех пользователей |
| microsoft.directory/users/photo/update | Обновление фотографий пользователей |
| microsoft.directory/users/sponsors/update | Обновление спонсоров пользователей |
| microsoft.directory/users/usageLocation/update | Обновление расположения использования пользователей |
| microsoft.directory/users/userPrincipalName/update | Обновление имени субъекта-пользователя для пользователей |
| microsoft.azure.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб Azure" и ее настройка |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор виртуальных посещений
Пользователи с этой ролью могут выполнять следующие задачи:
- Управление всеми аспектами виртуальных посещений в Bookings в Центре администрирования Microsoft 365 и в соединителе команд EHR
- Просмотр отчетов об использовании виртуальных посещений в Центре администрирования Teams, Центр администрирования Microsoft 365 и Power BI
- Просмотр функций и параметров в Центре администрирования Microsoft 365, но не может изменять параметры.
Виртуальные визиты — это простой способ планирования онлайн-встреч и видео-встреч для сотрудников и участников. Например, отчеты об использовании могут показать, как отправление текстовых sms-сообщений перед встречами может уменьшить количество людей, которые являются на встречи.
| Действия | Описание |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Viva Goals
Назначьте роль администратора Viva Goals пользователям, которым необходимо выполнить следующие задачи:
- Управление и настройка всех аспектов приложения Microsoft Viva Goals
- Настройка параметров администратора Microsoft Viva Goals
- Чтение сведений о клиенте Azure AD
- Мониторинг работоспособности службы Microsoft 365
- Создание запросов на обслуживание Microsoft 365 и управление ими
Дополнительные сведения см. в статьях Роли и разрешения в Viva Goals и Введение в Microsoft Viva Goals.
| Действия | Описание |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор Windows 365
Пользователи с этой ролью имеют глобальные разрешения на ресурсы Windows 365, если служба установлена. Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими.
Эта роль может создавать группы безопасности и управлять ими, но не имеет прав администратора в группах Microsoft 365. Это означает, что администраторы не могут изменять владельцев или членов групп Microsoft 365 в организации. Но они могут управлять созданной ими группой Microsoft 365, которая входит в область их привилегий конечных пользователей. Поэтому любая созданная ими группа Microsoft 365 (не группа безопасности) учитывается в их квоте на 250 групп.
Назначьте роль администратора Windows 365 пользователям, которым необходимо выполнять следующие задачи:
- Управление облачными компьютерами Windows 365 в Microsoft Intune
- регистрация устройств и управление ими в Azure AD, включая назначение пользователей и политик;
- создание групп безопасности и управление ими (но не групп с возможностью назначения ролей);
- просмотр основных свойств в Центре администрирования Microsoft 365;
- просмотр отчетов об использовании в Центре администрирования Microsoft 365;
- Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365
| Действия | Описание |
|---|---|
| microsoft.directory/deletedItems.devices/delete | Окончательное удаление устройств, которые больше не могут быть восстановлены |
| microsoft.directory/deletedItems.devices/restore | Восстановление обратимо удаленных устройств в исходное состояние |
| microsoft.directory/devices/create | Создание устройств (регистрация в Azure AD) |
| microsoft.directory/devices/delete | Удаление устройств из Azure AD |
| microsoft.directory/devices/disable | Отключение устройств в Azure AD |
| microsoft.directory/devices/enable | Включение устройств в Azure AD |
| microsoft.directory/devices/basic/update | Обновление базовых свойств для устройств |
| microsoft.directory/devices/extensionAttributeSet1/update | Обновление свойств с extensionAttribute1 по extensionAttribute5 на устройствах |
| microsoft.directory/devices/extensionAttributeSet2/update | Обновление свойств с extensionAttribute6 по extensionAttribute10 на устройствах |
| microsoft.directory/devices/extensionAttributeSet3/update | Обновление свойств с extensionAttribute11 по extensionAttribute15 на устройствах |
| microsoft.directory/devices/registeredOwners/update | Обновление зарегистрированных владельцев устройств |
| microsoft.directory/devices/registeredUsers/update | Обновление зарегистрированных пользователей устройств |
| microsoft.directory/groups.security/create | Создание групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/delete | Удаление групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/basic/update | Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/classification/update | Обновление свойств классификации для групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Обновление динамического правила членства в коллекции в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/members/update | Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/owners/update | Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.security/visibility/update | Обновление свойства видимости для групп безопасности, за исключением групп с возможностью назначения ролей |
| microsoft.directory/deviceManagementPolicies/standard/read | Считывание стандартных свойств для политик приложения управления устройствами |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Считывание стандартных свойств для политики регистрации устройств |
| microsoft.azure.supportTickets/allEntities/allTasks | Создание запросов в службу поддержки Azure и управление ими |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Управление всеми аспектами Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
Администратор развертывания Центра обновления Windows
Пользователи с этой ролью могут создавать и администрировать все аспекты развертываний в Центре обновления Windows с помощью службы развертывания Центра обновления Windows для бизнеса. С помощью службы развертывания пользователи могут задавать параметры, определяющие время и способ развертывания обновлений, а также выбирать предлагаемые обновления для групп устройств в своем арендаторе. Они также могут отслеживать процесс обновления.
| Действия | Описание |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Чтение и настройка всех аспектов службы Центра обновления Windows |
Администратор Yammer
Назначьте роль администратора Yammer пользователям, которым необходимо выполнять следующие задачи:
- Управление всеми аспектами Yammer
- Создание, управление и восстановление групп Microsoft 365, но не групп с возможностью назначения ролей
- Просмотр данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
- просмотр отчетов об использовании в Центре администрирования Microsoft 365;
- создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
- Просмотр объявлений в Центре сообщений, но не объявлений системы безопасности
- Просмотр работоспособности службы
| Действия | Описание |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей |
| microsoft.directory/groups.unified/create | Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/delete | Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/restore | Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли |
| microsoft.directory/groups.unified/basic/update | Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/members/update | Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.directory/groups.unified/owners/update | Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей |
| microsoft.office365.messageCenter/messages/read | Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности |
| microsoft.office365.network/performance/allProperties/read | Чтение всех свойств производительности сети в Центре администрирования Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Создание запросов на обслуживание Microsoft 365 и управление ими |
| microsoft.office365.usageReports/allEntities/allProperties/read | Чтение отчетов об использовании Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Управление всеми аспектами Yammer |
Общие сведения о разрешениях ролей
Схема для разрешений не точно соответствует формату REST для Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Пример.
microsoft.directory/applications/credentials/update
| Элемент разрешения | Описание |
|---|---|
| namespace | Продукт или служба, которые предоставляют задачу и которым предшествует microsoft. Например, все задачи в Azure AD используют пространство имен microsoft.directory. |
| сущность | Логическая функция или компонент, предоставляемый службой в Microsoft Graph. Например, Azure AD предоставляет пользователей и группы, OneNote предоставляет заметки, а Exchange предоставляет почтовые ящики и календари. Для указания всех сущностей в пространстве имен существует специальное ключевое слово allEntities. Это часто используется в ролях, которые предоставляют доступ ко всему продукту. |
| propertySet | Конкретные свойства или аспекты сущности, для которой предоставляется доступ. Например, microsoft.directory/applications/authentication/read предоставляет возможность чтения URL-адреса ответа, URL-адреса выхода и свойства неявного потока для объекта приложения в Azure AD.
|
| action | Как правило, предоставляется разрешение на такие операции, как создание, чтение, обновление или удаление (CRUD). Для указания всех перечисленных выше возможностей (создание, чтение, обновление и удаление) существует специальное ключевое слово allTasks. |
Устаревшие роли
Не рекомендуется использовать следующие роли. Они больше не поддерживаются и будут удалены из Azure AD в будущем.
- Администратор отдельных лицензий
- Device Join (Присоединение устройства)
- Диспетчеры устройств
- Device Users (Пользователи устройства)
- Создатель проверенного пользователя электронной почты
- администратор почтовых ящиков;
- Присоединение устройства к рабочей области
Роли, не отображаемые на портале
Не все роли, возвращаемые PowerShell или API MS Graph, отображаются на портале Azure. В следующей таблице представлены различия.
| Имя API | Название на портале Azure | Примечания |
|---|---|---|
| Device Join (Присоединение устройства) | Не рекомендуется | Документация по устаревшим ролям |
| Диспетчеры устройств | Не рекомендуется | Документация по устаревшим ролям |
| Device Users (Пользователи устройства) | Не рекомендуется | Документация по устаревшим ролям |
| Учетные записи синхронизации службы каталогов | Не отображается, так как не должно использоваться. | Документация по учетным записям для синхронизации службы каталогов |
| Гостевой пользователь | Не отображается, так как не может использоваться. | Н/Д |
| "Partner Tier 1 Support" (Поддержка для партнеров уровня 1); | Не отображается, так как не должно использоваться. | Документация по поддержке партнеров уровня 1 |
| "Partner Tier 2 Support" (Поддержка для партнеров уровня 2); | Не отображается, так как не должно использоваться. | Документация по поддержке партнеров уровня 2 |
| Гостевой пользователь с ограниченными правами | Не отображается, так как не может использоваться. | Н/Д |
| Пользователь | Не отображается, так как не может использоваться. | Н/Д |
| Присоединение устройства к рабочей области | Не рекомендуется | Документация по устаревшим ролям |
Кто может сбрасывать пароли
В следующей таблице в столбцах перечислены роли, которые могут сбрасывать пароли и сделать недействительными маркеры обновления. Строки содержат роли, для которых можно сбросить пароль.
Следующая таблица предназначена для ролей, назначенных в области клиента. Для ролей, назначенных в области административной единицы, применяются дополнительные ограничения.
| Роль, для которой можно сбросить пароль | Администратор паролей | Администратор службы технической поддержки | Администратор проверки подлинности | Администратор пользователей | Привилегированный администратор проверки подлинности | глобальный администратор. |
|---|---|---|---|---|---|---|
| Администратор проверки подлинности | ✔️ | ✔️ | ✔️ | |||
| Читатели каталогов | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| глобальный администратор. | ✔️ | ✔️* | ||||
| Администратор групп | ✔️ | ✔️ | ✔️ | |||
| Приглашающий гостей | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Администратор службы технической поддержки | ✔️ | ✔️ | ✔️ | ✔️ | ||
| Читатель Центра сообщений | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Администратор паролей | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Привилегированный администратор проверки подлинности | ✔️ | ✔️ | ||||
| Администратор привилегированными ролями | ✔️ | ✔️ | ||||
| Читатель отчетов | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Пользователь (без роли администратора) |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Пользователь (нет роли администратора, но член или владелец группы, назначаемой ролью) |
✔️ | ✔️ | ||||
| Администратор пользователей | ✔️ | ✔️ | ✔️ | |||
| Читатель отчетов со сводными данными об использовании | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Все настраиваемые роли | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
Важно!
Роль поддержки уровня "Партнер" уровня 2 может сбрасывать пароли и отменять маркеры обновления для всех неадминистраторов и администраторов (включая глобальных администраторов). Роль поддержки партнера уровня 1 может сбросить пароли и сделать недействительными маркеры обновления только для пользователей, не являющихся администраторами. Эти роли не следует использовать, так как они являются устаревшими.
Возможность сброса пароля включает в себя возможность обновления следующих конфиденциальных свойств, необходимых для самостоятельного сброса пароля:
- businessPhones
- mobilePhone
- otherMails
Кто может выполнять конфиденциальные действия
Некоторые администраторы могут выполнять следующие конфиденциальные действия для некоторых пользователей. Все пользователи могут считывать конфиденциальные свойства.
| Конфиденциальное действие | Имя конфиденциального свойства |
|---|---|
| Отключение или включение пользователей | accountEnabled |
| Обновление бизнес-телефона | businessPhones |
| Обновление мобильного телефона | mobilePhone |
| Обновление локального неизменяемого идентификатора | onPremisesImmutableId |
| Обновление других сообщений электронной почты | otherMails |
| Обновление профиля пароля | passwordProfile |
| Обновление имени участника-пользователя | userPrincipalName |
| Удаление или восстановление пользователей | Неприменимо |
В следующей таблице в столбцах перечислены роли, которые могут выполнять конфиденциальные действия. В строках перечислены роли, для которых может выполняться конфиденциальное действие.
Следующая таблица предназначена для ролей, назначенных в области клиента. Для ролей, назначенных в области административной единицы, применяются дополнительные ограничения.
| Роль, с которой может выполняться конфиденциальное действие | Администратор проверки подлинности | Администратор пользователей | Привилегированный администратор проверки подлинности | глобальный администратор. |
|---|---|---|---|---|
| Администратор проверки подлинности | ✔️ | ✔️ | ✔️ | |
| Читатели каталогов | ✔️ | ✔️ | ✔️ | ✔️ |
| глобальный администратор. | ✔️ | ✔️ | ||
| Администратор групп | ✔️ | ✔️ | ✔️ | |
| Приглашающий гостей | ✔️ | ✔️ | ✔️ | ✔️ |
| Администратор службы технической поддержки | ✔️ | ✔️ | ✔️ | |
| Читатель Центра сообщений | ✔️ | ✔️ | ✔️ | ✔️ |
| Администратор паролей | ✔️ | ✔️ | ✔️ | ✔️ |
| Привилегированный администратор проверки подлинности | ✔️ | ✔️ | ||
| Администратор привилегированными ролями | ✔️ | ✔️ | ||
| Читатель отчетов | ✔️ | ✔️ | ✔️ | ✔️ |
| Пользователь (без роли администратора) |
✔️ | ✔️ | ✔️ | ✔️ |
| Пользователь (нет роли администратора, но член или владелец группы, назначаемой ролью) |
✔️ | ✔️ | ||
| Администратор пользователей | ✔️ | ✔️ | ✔️ | |
| Читатель отчетов со сводными данными об использовании | ✔️ | ✔️ | ✔️ | ✔️ |
| Все настраиваемые роли | ✔️ | ✔️ | ✔️ | ✔️ |