Встроенные роли Microsoft Entra

В идентификаторе Microsoft Entra, если другим администратором или неадминистратором необходимо управлять ресурсами Microsoft Entra, вы назначаете им роль Microsoft Entra, которая предоставляет необходимые им разрешения. Например, можно назначить роли, чтобы разрешить добавление или изменение пользователей, сброс паролей пользователей, управление их лицензиями или управление доменными именами.

В этой статье перечислены встроенные роли Microsoft Entra, которые можно назначить, чтобы разрешить управление ресурсами Microsoft Entra. Сведения о назначении ролей см. в статье Назначение ролей Microsoft Entra пользователям. Дополнительные сведения о ролях для управления ресурсами Azure см. в статье Встроенные роли Azure.

Все роли

Роль	Description	ИД шаблона
Администратор приложений	Может создавать любые аспекты регистрации приложений и работы с корпоративными приложениями и управлять ими.	9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Разработчик приложений	Может создавать регистрации приложений независимо от значения параметра "Пользователи могут регистрировать приложения".	cf1c38e5-3621-4004-a7cb-879624dced7c
Автор атакующего кода	Может создавать полезные данные атаки, для которых администратор может создать симуляцию позже.	9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Администратор симуляции атаки	Может создавать и контролировать все аспекты кампаний по симуляции атак.	c430b396-e693-46cc-96f3-db01bf8bb62a
Администратор назначения атрибутов	Назначьте пользовательские ключи и значения атрибутов безопасности поддерживаемым объектам Microsoft Entra.	58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Читатель назначения атрибутов	Чтение ключей и значений настраиваемых атрибутов безопасности для поддерживаемых объектов Microsoft Entra.	ffd52fa5-98dc-465c-991d-fc073eb59f8f
Администратор определения атрибутов	Определение настраиваемых атрибутов безопасности и управление ими.	8424c6f0-a189-499e-bbd0-26c1753c96d4
Читатель определения атрибутов	Чтение определения настраиваемых атрибутов безопасности.	1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Администратор журнала атрибутов	Чтение журналов аудита и настройка параметров диагностики для событий, связанных с пользовательскими атрибутами безопасности.	5b784334-f94b-471a-a387-e7219fc49ca2
Читатель журналов атрибутов	Чтение журналов аудита, связанных с настраиваемыми атрибутами безопасности.	9c99539d-8186-4804-835f-fd51ef9e2dcd
Администратор проверки подлинности	Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любого пользователя, не являющегося администратором.	c4e39bd9-1100-46d3-8c65-fb160da0071f
Администратор расширения проверки подлинности	Настройте возможности входа и регистрации для пользователей, создавая пользовательские расширения проверки подлинности и управляя ими.	25a516ed-2fa0-40ea-a2d0-12923a21473a
Администратор политики проверки подлинности	Может создавать и администрировать политику методов проверки подлинности, параметры MFA для всего клиента, политику защиты паролем и проверяемые удостоверения.	0526716b-113d-4c15-b2c8-68e3c22b9f80
Администратор Azure DevOps	Может управлять политиками и параметрами Azure DevOps.	e3973bdf-4987-49ae-837a-ba8e231c7286
Администратор Azure Information Protection	Может контролировать все аспекты продукта Azure Information Protection.	7495fdc4-34c4-4d15-a289-98788ce399fd
Администратор набора ключей IEF B2C	Может управлять секретами для федерации и шифрования в Identity Experience Framework (IEF).	aaf43236-0c0d-4d5f-883a-6955382ac081
Администратор политики IEF B2C	Может создавать политики инфраструктуры доверия и управлять ими в Identity Experience Framework (IEF).	3edaf663-341e-4475-9f94-5c398ef6c070
Администратор выставления счетов	Может выполнять основные задачи по выставлению счетов, например изменять платежную информацию.	b0f54661-2d74-4c50-afa3-1ec803f12efe
Администратор Cloud App Security	Может контролировать все аспекты продукта приложений Defender для облака.	892c5842-a9a6-463a-8041-72aa08ca3cf6
Администратор облачных приложений	Может задавать и контролировать любые аспекты регистрации приложений и работы с корпоративными приложениями, за исключением прокси приложения.	158c047a-c907-4556-b7ef-446551a6b5f7
Администратор облачных устройств	Ограниченный доступ к управлению устройствами в идентификаторе Microsoft Entra.	7698a772-787b-4ac8-901f-60d6b08affd2
Администратор соответствия требованиям	Может читать конфигурацию соответствия требованиям и отчеты в идентификаторе Microsoft Entra и Microsoft 365 и управлять ими.	17315797-102d-40b4-93e0-432062caca18
Администратор данных соответствия	Создает и контролирует содержимое для соответствия.	e6d1a23a-da11-4be4-9570-befc86d067a7
Администратор условного доступа	Может контролировать возможности условного доступа.	b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Лицо, утверждающее доступ к защищенному хранилищу	Может утверждать запросы в службу поддержки Майкрософт для получения доступа к данным организации клиента.	5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Администратор аналитики классических приложений	Может получать доступ к службам и средствам управления компьютерами и управлять ими.	38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Читатели каталогов	Может считывать сведения базового каталога. Обычно используется для предоставления доступа на чтение каталога приложениям и гостям.	88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Учетные записи синхронизации службы каталогов	Используется только службой Microsoft Entra Connect.	d29b2b05-8046-44ba-8758-1e26182fcf32
Создатели каталогов	Может считывать и записывать базовые сведения о каталоге. Предназначено для предоставления доступа приложениям, а не пользователям.	9360feb5-f418-4baa-8175-e2a00bac4301
Администратор доменного имени	Может управлять доменными именами в облаке и локально.	8329153b-31d0-4727-b945-745eb3bc5f31
Администратор Dynamics 365	Может контролировать все аспекты продукта Dynamics 365.	44367163-eba1-44c3-98af-f5787879f96a
администратор центра бизнеса Dynamics 365	Доступ и выполнение всех административных задач в средах Dynamics 365 Business Central.	963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Администратор Edge	Управление всеми аспектами Microsoft Edge.	3f1acade-1e04-4fbc-9b69-f0302cd84aef
Администратор Exchange	Может контролировать все аспекты продукта Exchange.	29232cdf-9323-42fd-ade2-1d097af3e4de
Администратор получателей Exchange	Может создавать или обновлять получателей Exchange Online в организации Exchange Online.	31392ffb-586c-42d1-9346-e59415a2cc4e
Администратор потока внешних идентификаторов	Может создавать все аспекты потоков пользователей и управлять ими.	6e591065-9bad-43ed-90f3-e9424366d2f0
Администратор атрибута внешнего потока идентификатора	Может создавать схему атрибутов, доступную для всех потоков пользователей, и управлять ею.	0f971eea-41eb-4569-a71e-57bb8a3eff1e
Администратор внешнего поставщика удостоверений	Может настраивать поставщики удостоверений для использования в прямой федерации.	be2f45a1-457d-42af-a067-6ec1fa63bc45
Администратор Структуры	Может управлять всеми аспектами продуктов Fabric и Power BI.	a9ea8996-122f-4c74-9520-8edcd192826c
Глобальный администратор	Может управлять всеми аспектами идентификатора Microsoft Entra и службы Майкрософт, использующих удостоверения Microsoft Entra.	62e90394-69f5-4237-9190-012177145e10
Глобальный читатель	Может читать то же, что и глобальный администратор, но не может ничего обновить.	f2ef992c-3afb-46b9-b7cf-a126ee74c451
Глобальный администратор безопасного доступа	Создайте и управляйте всеми аспектами Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra, включая управление доступом к общедоступным и частным конечным точкам.	ac434307-12b9-4fa1-a708-88bf58caabc1
Администратор групп	Члены этой роли могут создавать группы и управлять ими, создавать и администрировать параметры групп, например политики именования и истечения срока действия, а также просматривать действия групп и отчеты об аудите.	fdd7a751-b60b-444a-984c-02652fe8fa1c
Приглашающий гостей	Может приглашать гостей независимо от значения параметра "Участники могут приглашать гостей".	95e79109-95c0-4d8e-aee3-d01accf2d47b
Администратор службы технической поддержки	Может сбрасывать пароли пользователей, не являющихся администраторами, и пароли администраторов службы поддержки.	729827e3-9c14-49f7-bb1b-9608f156bbb8
Администратор гибридных удостоверений	Управление Active Directory для облачной подготовки Microsoft Entra, Microsoft Entra Connect, сквозной проверки подлинности (PTA), синхронизации хэша паролей (PHS), простого единого входа (простого единого входа) и параметров федерации. Не имеет доступа к управлению Microsoft Entra Connect Health.	8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Администратор управления удостоверениями	Управление доступом с помощью идентификатора Microsoft Entra для сценариев управления удостоверениями.	45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Администратор Insights	Имеет административный доступ в приложении Microsoft 365 Insights.	eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Аналитик Insights	Доступ к аналитическим возможностям в Microsoft Viva Аналитика и выполнение настраиваемых запросов.	25df335f-86eb-4119-b717-0ff02de207e9
Бизнес-руководитель Insights	Может просматривать панели мониторинга и аналитические сведения и делиться ими через приложение Microsoft 365 Insights.	31e939ad-9672-4796-9c2e-873181342d2d
Администратор Intune	Может контролировать все аспекты продукта Intune.	3a2c62db-5318-420d-8d74-23affee5d9d5
Администратор Kaizala	Может управлять параметрами для Microsoft Kaizala.	74ef975b-6605-40af-a5d2-b9539d836353
Администратор знаний	Может настраивать базы знаний, обучение и другие интеллектуальные функции.	b5a8dcf3-09d5-43a9-a639-8e29ef291470
Управляющий базой знаний	Может упорядочивать, создавать и распространять разделы и наборы знаний, а также управлять ими.	744ec460-397e-42ad-a462-8b3f9747a02c
Администратор лицензий	Может управлять лицензиями продуктов для пользователей и групп.	4d6ac14f-3453-41d0-bef9-a3e0c569773a
Администратор рабочих процессов жизненного цикла	Создание всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла, и управление ими в идентификаторе Microsoft Entra.	59d46f88-662b-457b-bceb-5c3809e5908f
Читатель конфиденциальности данных Центра сообщений	Может читать сообщения и обновления системы безопасности в Центре сообщений Office 365.	ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Читатель центра сообщений	Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365.	790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Администратор миграции Microsoft 365	Выполните все функции миграции для переноса содержимого в Microsoft 365 с помощью диспетчера миграции.	8c8b803f-96e1-4129-9349-20738d9f9652
Локальный администратор устройства, присоединенный к Microsoft Entra	Пользователи, назначенные этой роли, добавляются в группу локальных администраторов на устройствах, присоединенных к Microsoft Entra.	9f06204d-73c1-4d4c-880a-6edb90606fd8
Администратор гарантии оборудования Майкрософт	Создавайте и управляйте всеми аспектами утверждений и прав на оборудование, изготовленное корпорацией Майкрософт, например Surface и HoloLens.	1501b917-7653-4ff9-a4b5-203eaf333784f
Специалист по гарантии оборудования Майкрософт	Создание и чтение утверждений о гарантии для оборудования, изготовленного корпорацией Майкрософт, например Surface и HoloLens.	281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Администратор современной коммерческой платформы	Может управлять коммерческими покупками для компании, отдела или группы.	d24aef57-1500-4070-84db-2666f29cf966
Администратор сети	Может управлять сетевыми расположениями и просматривать аналитические данные о структуре корпоративной сети для приложений типа "ПО как услуга" Microsoft 365.	d37c8bed-0711-4417-ba38-b4abe66ce4c2
Администратор приложений Office	Может управлять облачными службами для приложений Office, в том числе изменять политики и параметры, а также контролировать выбор и публикацию содержимого "Новые возможности" на пользовательских устройствах.	2b745bdf-0803-4d80-aa65-822c4493daac
Администратор фирменной символики организации	Управление всеми аспектами фирменной символики организации в клиенте.	92ed04bf-c94a-4b82-9729-b799a7a4c178
Утверждающий организационные сообщения	Просмотр, утверждение или отклонение новых сообщений организации для доставки в Центр администрирования Microsoft 365 перед отправкой пользователям.	e48398e2-f4bb-4074-8f31-4586725e205b
Запись сообщений организации	Запись, публикация, управление и проверка сообщений организации для конечных пользователей с помощью продуктов Майкрософт.	507f53e4-4e52-4077-abd3-d2e1558b6ea2
Служба поддержка партнеров уровня 1	Не используйте (не предназначено для общего применения).	4ba39ca4-527c-499a-b93d-d9b492c50246
Служба поддержка партнеров уровня 2	Не используйте (не предназначено для общего применения).	e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Администратор паролей	Может сбросить пароли для пользователей, не являющихся администраторами, и администраторов паролей.	966707d0-3269-4727-9be2-8c3a10f19b9d
Администратор управления разрешениями	Управление всеми аспектами Управление разрешениями Microsoft Entra.	af78dc32-cf4d-46f9-ba4e-4428526346b5
Администратор Power Platform	Может создавать и контролировать любые компоненты Microsoft Dynamics 365, PowerApps и Power Automate.	11648597-926c-4cf3-9c36-bcebb0ba8dcc
Администратор принтеров	Может управлять всеми аспектами принтеров и их соединителей.	644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Технический специалист по принтерам	Может регистрировать и отменять регистрацию принтеров и обновлять их состояние.	e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Привилегированный администратор проверки подлинности	Может просматривать, задавать и сбрасывать сведения о способе проверки подлинности для любых пользователей (включая администраторов).	7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Администратор привилегированных ролей	Может управлять назначениями ролей в идентификаторе Microsoft Entra и всех аспектах управление привилегированными пользователями.	e8611ab8-c189-46e8-94e1-60213ab1f814
Читатель отчетов	Может просматривать отчеты о входах и аудите.	4a5d8f65-41da-4de4-8968-e035b65339cf
Администратор поиска	Может создавать и контролировать все параметры поиска (Майкрософт).	0964bb5e-9bdb-4d7b-ac29-58e794862a40
Редактор поиска	Может создавать и изменять редакторское содержимое, например закладки, вопросы и ответы, расположения или план этажа.	8835291a-918c-4fd7-a9ce-faa49f0cf7d9
администратор безопасности;	Может считывать сведения о безопасности и отчеты, а также управлять конфигурацией в идентификаторе Microsoft Entra и Office 365.	194ae4cb-b126-40b2-bd5b-6091b380977d
Оператор безопасности	Создает и контролирует события безопасности.	5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
читатель сведений о безопасности;	Может считывать сведения о безопасности и отчеты в идентификаторе Microsoft Entra и Office 365.	5d6b6bb7-de71-4623-b4af-96380a352509
Администратор поддержки служб	Может просматривать сведения о работоспособности служб и работать с запросами в службу поддержки.	f023fd81-a637-4b56-95fd-791ac0226033
Администратор SharePoint	Может контролировать все аспекты службы SharePoint.	f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Администратор SharePoint Embedded	Управление всеми аспектами контейнеров SharePoint Embedded.	1a7d78b6-429f-476b-b8eb-35fb715fffd4
Администратор Skype для бизнеса	Может контролировать все аспекты продукта "Skype для бизнеса".	75941009-915a-4869-abe7-691bff18279e
Администратор Teams	Может управлять службой Microsoft Teams.	69091246-20e8-4a56-aa4d-066075b2a7a8
Администратор связи Teams	Может управлять функциями вызовов и собраний в пределах службы Microsoft Teams.	baf37b3a-610e-45da-9e62-d9d1e5e8914b
Инженер службы поддержки связи Teams	Может устранять неполадки со связью в пределах Teams с помощью расширенных средств.	f70938a0-fc10-4177-9e90-2178f8765737
Специалист службы поддержки связи Teams	Может устранять неполадки со связью в пределах Teams с помощью базовых средств.	fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Администратор устройств Teams	Может выполнять задачи по управлению на сертифицированных устройствах Teams.	3d762c5a-1b6c-493f-843e-55a3b42923d4
Администратор телефонии Teams	Управление функциями голосовой связи и телефонии и устранение неполадок связи в службе Microsoft Teams.	aa38014f-0993-46e9-9b45-30501a20909d
Создатель клиента	Создайте новые клиенты Microsoft Entra или Azure AD B2C.	112ca1a2-15ad-4102-995e-45b0bc479a6a6a
Читатель отчетов со сводными данными об использовании	Чтение отчетов об использовании и оценка внедрения, но не может получить доступ к сведениям о пользователе.	75934031-6c7e-415a-99d7-48dbd49e875e
Администратор пользователей	Может контролировать все аспекты работы пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами.	fe930be7-5e62-47db-91af-98c3a49a38b1
Диспетчер успешности взаимодействия с пользователем	Просмотрите отзывы о продукте, результаты опроса и отчеты, чтобы найти возможности обучения и коммуникации.	27460883-1df1-4691-b032-3b79643e5e63
Администратор виртуальных посещений	Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование	e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Администратор целей Viva	Управление и настройка всех аспектов Microsoft Viva Targets.	92b086b3-e367-4ef2-b869-1de128fb986e
Администратор Viva Pulse	Может управлять всеми параметрами приложения Microsoft Viva Pulse.	87761b17-1ed2-4af3-9acd-92a150038160
Администратор Windows 365	Может выполнять подготовку к работе всех аспектов облачных компьютеров и управлять ими.	11451d60-acb2-45eb-a7d6-43d0f0125c13
Администратор развертывания Центра обновления Windows	Может создавать все аспекты и управлять всеми аспектами развертывания обновлений Windows через службы развертывания центра обновления Windows для бизнеса.	32696413-001a-46ae-978c-ce0f6b3620d2
Администратор Yammer	Управление всеми аспектами службы Yammer.	810a2642-a034-447f-a5e8-41beaa378541

Администратор приложений

Это привилегированная роль. пользователи с этой ролью могут создавать и контролировать все аспекты корпоративных приложений, регистрации приложений, а также параметры прокси приложения. Обратите внимание, что пользователи с этой ролью не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Эта роль также предоставляет возможность предоставления согласия на делегированные разрешения и разрешения приложения, за исключением разрешений приложений для Azure AD Graph и Microsoft Graph.

Внимание

Это исключение означает, что вы по-прежнему можете предоставить согласие на разрешения приложений для других приложений (например, других приложений Майкрософт, сторонних приложений или зарегистрированных приложений). Вы по-прежнему можете запросить эти разрешения в рамках регистрации приложения, но предоставление (то есть согласие) для этих разрешений требует более привилегированного администратора, например администратора привилегированных ролей.

Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения был предоставлен доступ к ресурсу, например возможность создать или обновить пользователя или другие объекты, пользователь с данной ролью может выполнить эти действия при олицетворении приложения. Эта возможность олицетворить удостоверение приложения может представлять собой превышение привилегий пользователя по сравнению с назначенным ему ролям. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Управление политиками запросов согласия администратора в идентификаторе Microsoft Entra
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Чтение всех свойств запросов на согласие для приложений, зарегистрированных с помощью идентификатора Microsoft Entra
microsoft.directory/applicationPolicies/basic/update	Обновление стандартных свойств политик приложений
microsoft.directory/applicationPolicies/create	Создание политик приложений
microsoft.directory/applicationPolicies/delete	Удаление политик приложений
microsoft.directory/applicationPolicies/owners/read	Чтение сведений о владельцах политик приложений
microsoft.directory/applicationPolicies/owners/update	Обновление свойства владельца политик приложений
microsoft.directory/applicationPolicies/policyAppliedTo/read	Чтение списка политик приложений, назначенных объекту
microsoft.directory/applicationPolicies/standard/read	Чтение стандартных свойств политик приложений
microsoft.directory/applications/applicationProxyAuthentication/update	Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/applicationProxy/read	Чтение всех свойств прокси приложения
microsoft.directory/applications/applicationProxySslCertificate/update	Обновление параметров SSL-сертификата для Application Proxy
microsoft.directory/applications/applicationProxy/update	Обновление всех свойств прокси приложения
microsoft.directory/applications/applicationProxyUrlSettings/update	Обновление параметров URL-адреса для Application Proxy
microsoft.directory/applications/appRoles/update	Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update	Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update	Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update	Обновление базовых свойств приложений
microsoft.directory/applications/create	Создание всех типов приложений
microsoft.directory/applications/credentials/update	Обновление учетных данных приложения
microsoft.directory/applications/delete	Удаление всех типов приложений
microsoft.directory/applications/extensionProperties/update	Обновление свойств расширения в приложениях
microsoft.directory/applications/notes/update	Обновление заметок приложений
microsoft.directory/applications/owners/update	Обновление владельцев приложений
microsoft.directory/applications/permissions/update	Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update	Обновление политик приложений
microsoft.directory/applications/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applications/tag/update	Обновление тегов приложений
microsoft.directory/applications/verification/update	Обновление свойства applicationsverification
microsoft.directory/applicationTemplates/instantiate	Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/connectorGroups/allProperties/read	Чтение всех свойств групп соединителей частной сети
microsoft.directory/connectorGroups/allProperties/update	Обновление всех свойств групп соединителей частной сети
microsoft.directory/connectorGroups/create	Создание групп соединителей частной сети
microsoft.directory/connectorGroups/delete	Удаление групп соединителей частной сети
microsoft.directory/connectors/allProperties/read	Чтение всех свойств соединителей частной сети
microsoft.directory/connectors/create	Создание соединителей частной сети
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	Создание расширений настраиваемой проверки подлинности и управление ими
microsoft.directory/deletedItems.applications/delete	Безвозвратное удаление приложений, которые будет невозможно восстановить
microsoft.directory/deletedItems.applications/restore	Восстановление обратимо удаленных приложений в исходное состояние
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/audience/update	Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update	Обновление свойств проверки подлинности для субъектов-служб
microsoft.directory/servicePrincipals/basic/update	Обновление базовых свойств для субъектов-служб
microsoft.directory/servicePrincipals/create	Создание субъектов-служб
microsoft.directory/servicePrincipals/credentials/update	Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/delete	Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable	Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable	Включение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	Управление учетными данными для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials	Чтение учетных данных для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph
microsoft.directory/servicePrincipals/notes/update	Обновление заметок субъектов-служб
microsoft.directory/servicePrincipals/owners/update	Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update	Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update	Обновление политик для субъектов-служб
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Управление учетными данными и секретами для подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Создание заданий синхронизации и схемы синхронизации подготовки приложений и управление ими.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/servicePrincipals/tag/update	Обновление свойства тега для субъектов-служб
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Разработчик приложения

Это привилегированная роль. пользователи с этой ролью могут создавать регистрации приложений, когда для параметра "Пользователи могут регистрировать приложения" задано значение "Нет". Кроме того, эта роль позволяет давать согласие от своего имени, когда для параметра "Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени" задано значение "Нет". Пользователи, которым назначена эта роль, добавляются в качестве владельцев при создании регистраций приложений.

Действия	Description
microsoft.directory/applications/createAsOwner	Создание всех типов приложений, когда создатель добавляется как первый владелец
microsoft.directory/oAuth2PermissionGrants/createAsOwner	Создание операций предоставления разрешений OAuth 2.0 с создателем в качестве первого владельца
microsoft.directory/servicePrincipals/createAsOwner	Создание субъектов-служб с создателем в качестве первого владельца

Автор атакующего кода

Пользователи с этой ролью могут создавать атакующие коды, однако не могут запускать и планировать их. Полезные данные атаки после этого становятся доступными для всех администраторов в клиенте, которые могут использовать их для моделирования.

Дополнительные сведения см. в разделе Microsoft Defender для Office 365 разрешения на портале Microsoft 365 Defender и разрешениях в Портал соответствия требованиям Microsoft Purview.

Действия	Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Создание атакующих кодов и управление ими в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Чтение отчетов об имитации атак, ответах и связанном обучении

Администратор симуляции атаки

Пользователи с этой ролью могут создавать и администрировать все аспекты создания симуляции атаки, запускать или планировать симуляцию, а также просматривать ее результаты. Члены этой роли имеют доступ ко всем стимуляциям в клиенте.

Дополнительные сведения см. в разделе Microsoft Defender для Office 365 разрешения на портале Microsoft 365 Defender и разрешениях в Портал соответствия требованиям Microsoft Purview.

Действия	Description
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Создание атакующих кодов и управление ими в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Чтение отчетов об имитации атак, ответах и связанном обучении
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	Создание шаблонов симуляции атак и управление ими в эмуляторе атак

Администратор назначения атрибутов

Пользователи с этой ролью могут назначать и удалять пользовательские ключи атрибутов безопасности и значения для поддерживаемых объектов Microsoft Entra, таких как пользователи, субъекты-службы и устройства.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.

Действия	Description
microsoft.directory/attributeSets/allProperties/read	Чтение всех свойств наборов атрибутов
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для управляемых удостоверений Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update	Обновление значений настраиваемых атрибутов безопасности для управляемых удостоверений Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Чтение всех свойств определений настраиваемых атрибутов безопасности
microsoft.directory/devices/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для устройств
microsoft.directory/devices/customSecurityAttributes/update	Обновление значений настраиваемых атрибутов безопасности для устройств
microsoft.directory/servicePrincipals/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для субъектов-служб
microsoft.directory/servicePrincipals/customSecurityAttributes/update	Обновление значений настраиваемых атрибутов безопасности для субъектов-служб
microsoft.directory/users/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для пользователей
microsoft.directory/users/customSecurityAttributes/update	Обновление значений настраиваемых атрибутов безопасности для пользователей

Читатель назначения атрибутов

Пользователи с этой ролью могут считывать пользовательские ключи и значения атрибутов безопасности для поддерживаемых объектов Microsoft Entra.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.

Действия	Description
microsoft.directory/attributeSets/allProperties/read	Чтение всех свойств наборов атрибутов
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для управляемых удостоверений Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Чтение всех свойств определений настраиваемых атрибутов безопасности
microsoft.directory/devices/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для устройств
microsoft.directory/servicePrincipals/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для субъектов-служб
microsoft.directory/users/customSecurityAttributes/read	Чтение значений настраиваемых атрибутов безопасности для пользователей

Администратор определения атрибутов

Пользователи с этой ролью могут определить допустимый набор настраиваемых атрибутов безопасности, которые могут быть назначены поддерживаемым объектам Microsoft Entra. Эта роль также может активировать и деактивировать настраиваемые атрибуты безопасности.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.

Действия	Description
microsoft.directory/attributeSets/allProperties/allTasks	Управление всеми аспектами наборов атрибутов
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks	Управление всеми аспектами определений настраиваемых атрибутов безопасности

Читатель определения атрибутов

Пользователи с этой ролью могут читать определение настраиваемых атрибутов безопасности.

По умолчанию у глобального администратора и других ролей администратора нет разрешений на чтение, определение и назначение настраиваемых атрибутов безопасности. Для работы с настраиваемыми атрибутами безопасности необходима одна из ролей настраиваемых атрибутов безопасности.

Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.

Действия	Description
microsoft.directory/attributeSets/allProperties/read	Чтение всех свойств наборов атрибутов
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Чтение всех свойств определений настраиваемых атрибутов безопасности

Администратор журнала атрибутов

Назначьте роль читателя журналов атрибутов пользователям, которым необходимо выполнить следующие задачи:

• Чтение журналов аудита для изменения значений настраиваемых атрибутов безопасности
• Чтение журналов аудита для изменений и назначений настраиваемых атрибутов безопасности
• Настройка параметров диагностики для настраиваемых атрибутов безопасности

Пользователи с этой ролью не могут считывать журналы аудита для других событий.

По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение журналов аудита для пользовательских атрибутов безопасности. Чтобы считывать журналы аудита для пользовательских атрибутов безопасности, необходимо назначить эту роль или роль читателя журналов атрибутов.

Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.

Действия	Description
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks	Настройка всех аспектов параметров диагностики настраиваемых атрибутов безопасности
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read	Чтение журналов аудита, связанных с настраиваемыми атрибутами безопасности

Читатель журналов атрибутов

Назначьте роль читателя журналов атрибутов пользователям, которым необходимо выполнить следующие задачи:

• Чтение журналов аудита для изменения значений настраиваемых атрибутов безопасности
• Чтение журналов аудита для изменений и назначений настраиваемых атрибутов безопасности

Пользователи с этой ролью не могут выполнять следующие задачи:

• Настройка параметров диагностики для настраиваемых атрибутов безопасности
• Чтение журналов аудита для других событий

По умолчанию глобальный администратор и другие роли администратора не имеют разрешений на чтение журналов аудита для пользовательских атрибутов безопасности. Чтобы считывать журналы аудита для пользовательских атрибутов безопасности, необходимо назначить эту роль или роль администратора журнала атрибутов.

Дополнительные сведения см. в разделе "Управление доступом к пользовательским атрибутам безопасности" в идентификаторе Microsoft Entra.

Действия	Description
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read	Чтение журналов аудита, связанных с настраиваемыми атрибутами безопасности

Администратор проверки подлинности

Это привилегированная роль. Назначьте роль администратора проверки подлинности пользователям, которым необходимо выполнить следующие действия:

• Задайте или сбросьте любой метод проверки подлинности (включая пароли) для неадминистраторов и некоторых ролей. Список ролей, для которых администратор проверки подлинности может считывать или обновлять способы проверки подлинности, см. в разделе Кто может сбрасывать пароли.
• Требовать, чтобы пользователи, не являющиеся администраторами или назначенные некоторым ролям, повторно регистрировались в существующих учетных данных без пароля (например, MFA или FIDO), а также могут отозвать MFA на устройстве, что запрашивает MFA на следующем входе.
• Управление параметрами MFA на устаревшем портале управления MFA.
• Выполнение конфиденциальных действий для некоторых пользователей. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
• Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
• Не удается управлять токенами OATH оборудования.

В следующей таблице сравниваются возможности ролей, связанных с проверкой подлинности.

Должность	Управление методами проверки подлинности пользователя	Управление MFA для каждого пользователя	Управление параметрами MFA	Управление политикой выбора метода проверки подлинности	Управление политикой защиты паролем	Обновление конфиденциальных свойств	Удаление и восстановление пользователей
Администратор проверки подлинности	Да для некоторых пользователей	Да для некоторых пользователей	Да	No	Нет	Да для некоторых пользователей	Да для некоторых пользователей
Привилегированный администратор проверки подлинности	Да для всех пользователей	Да для всех пользователей	Нет	No	Нет	Да для всех пользователей	Да для всех пользователей
Администратор политики проверки подлинности	No	Да	Да	Да	Да	No	Нет
Администратор пользователей	Нет	No	No	No	Нет	Да для некоторых пользователей	Да для некоторых пользователей

Внимание

Пользователи с этой ролью могут изменять учетные данные для пользователей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Например:

• Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам проверки подлинности. По этому пути администратор проверки подлинности сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
• Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
• Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
• Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и систем кадров.
• Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/deletedItems.users/restore	Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/users/authenticationMethods/basic/update	Изменение стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/create	Обновление методов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/delete	Удаление способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/standard/restrictedRead	Считывание стандартных свойств способов проверки подлинности, не включающих личные сведения пользователей
microsoft.directory/users/basic/update	Обновление базовых параметров пользователей
microsoft.directory/users/delete	Удаление пользователей
microsoft.directory/users/disable	Отключение пользователей
microsoft.directory/users/enable	Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens	Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/manager/update	Обновление менеджера для пользователей
microsoft.directory/users/password/update	Сброс паролей для всех пользователей
microsoft.directory/users/restore	Восстановить удаленных пользователей
microsoft.directory/users/userPrincipalName/update	Обновление имени субъекта-пользователя для пользователей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор расширения проверки подлинности

Это привилегированная роль. Назначьте роль администратора расширяемости проверки подлинности пользователям, которым необходимо выполнить следующие задачи:

• Создайте и управляйте всеми аспектами пользовательских расширений проверки подлинности.

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается назначить пользовательские расширения проверки подлинности приложениям, чтобы изменить интерфейс проверки подлинности, и не удается предоставить согласие на разрешения приложения или создать регистрации приложений, связанные с пользовательским расширением проверки подлинности. Вместо этого необходимо использовать роли администратора приложений, разработчика приложений или администратора облачных приложений.

Пользовательское расширение проверки подлинности — это конечная точка API, созданная разработчиком для событий проверки подлинности и зарегистрированная в идентификаторе Microsoft Entra. Администраторы приложений и владельцы приложений могут использовать пользовательские расширения проверки подлинности для настройки возможностей проверки подлинности приложения, таких как вход и регистрация, или сброс пароля.

Подробнее

Действия	Description
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	Создание расширений настраиваемой проверки подлинности и управление ими

Администратор политики проверки подлинности

Назначьте роль администратора политики проверки подлинности пользователям, которым необходимо выполнить следующие действия:

• Настройте политику методов проверки подлинности, параметры MFA на уровне клиента и политику защиты паролей, определяющие методы, которые могут регистрировать и использовать каждый пользователь.
• Управление параметрами защиты паролем: конфигурации смарт-блокировки и обновление списка настраиваемых запрещенных паролей.
• Управление параметрами MFA на устаревшем портале управления MFA.
• Создание и управление проверяемыми учетными данными.
• Создание запросов в службу поддержки Azure и управление ими.

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается обновить конфиденциальные свойства. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
• Не удается удалить или восстановить пользователей. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
• Не удается управлять токенами OATH оборудования.

В следующей таблице сравниваются возможности ролей, связанных с проверкой подлинности.

Должность	Управление методами проверки подлинности пользователя	Управление MFA для каждого пользователя	Управление параметрами MFA	Управление политикой выбора метода проверки подлинности	Управление политикой защиты паролем	Обновление конфиденциальных свойств	Удаление и восстановление пользователей
Администратор проверки подлинности	Да для некоторых пользователей	Да для некоторых пользователей	Да	No	Нет	Да для некоторых пользователей	Да для некоторых пользователей
Привилегированный администратор проверки подлинности	Да для всех пользователей	Да для всех пользователей	Нет	No	Нет	Да для всех пользователей	Да для всех пользователей
Администратор политики проверки подлинности	No	Да	Да	Да	Да	No	Нет
Администратор пользователей	Нет	No	No	No	Нет	Да для некоторых пользователей	Да для некоторых пользователей

Действия	Description
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/organization/strongAuthentication/allTasks	Управление всеми аспектами строгой проверки подлинности в организации
microsoft.directory/userCredentialPolicies/basic/update	Обновление базовых политик для пользователей
microsoft.directory/userCredentialPolicies/create	Создание политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/delete	Удаление политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/owners/read	Чтение владельцев политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/owners/update	Обновление владельцев политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/policyAppliedTo/read	Чтение навигационной ссылки policy.appliesTo
microsoft.directory/userCredentialPolicies/standard/read	Чтение стандартных свойств политик учетных данных для пользователей
microsoft.directory/userCredentialPolicies/tenantDefault/update	Обновление свойства policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/allProperties/read	Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/allProperties/update	Обновление конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	Чтение контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update	Обновление контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	Чтение карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke	Отзыв карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/create	Создание контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/create	Создание конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/delete	Удаление конфигурации, необходимой для создания проверяемых удостоверений и управления ими, а также удаление всех ее проверяемых удостоверений

Администратор Azure DevOps

Пользователи с этой ролью могут управлять всеми корпоративными политиками Azure DevOps, применимыми ко всем организациям Azure DevOps, поддерживаемым идентификатором Microsoft Entra. Пользователи этой роли могут управлять этими политиками, перейдя к любой организации Azure DevOps, поддерживаемой идентификатором Microsoft Entra компании. Кроме того, пользователи с этой ролью могут заявлять права собственности на потерянные организации Azure DevOps. Эта роль не предоставляет никаких других разрешений azure DevOps (например, администраторов коллекции проектов) в любой из организаций Azure DevOps, поддерживаемых организацией Microsoft Entra компании.

Действия	Description
microsoft.azure.devOps/allEntities/allTasks	Чтение и настройка Azure DevOps

Администратор Azure Information Protection

пользователи с этой ролью имеют все разрешения в службе Azure Information Protection. Эта роль позволяет настраивать метки для политики Azure Information Protection, управлять шаблонами защиты и активировать защиту. Эта роль не предоставляет никаких разрешений на Защита идентификации Microsoft Entra, управление привилегированными пользователями, мониторинг работоспособности служб Microsoft 365, портала Microsoft 365 Defender или Портал соответствия требованиям Microsoft Purview.

Действия	Description
microsoft.azure.informationProtection/allEntities/allTasks	Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор набора ключей IEF B2C

Это привилегированная роль. Пользователь может создавать ключи политики и секреты для шифрования маркеров, подписи маркеров и шифрования и расшифровки утверждений, а также управлять этими ключами. Добавляя новые ключи в существующие контейнеры ключей, этот администратор с ограниченными правами может при необходимости менять секреты без влияния на существующие приложения. Этот пользователь может видеть полное содержимое секретов и даты окончания срока их действия даже после их создания.

Внимание

Это очень важная роль. В подготовительной и рабочей средах роль администратора набора ключей должна проходить тщательную проверку и назначаться с особым вниманием.

Действия	Description
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks	Чтение и настройка наборов ключей в Azure Active Directory B2C

Администратор политики IEF B2C

Пользователи с этой ролью могут создавать, читать, обновлять и удалять все настраиваемые политики в Azure AD B2C и, таким образом, имеют полный доступ к Identity Experience Framework в соответствующей организации Azure AD B2C. Изменяя политики, эти пользователи могут устанавливать прямую федерацию с внешними поставщиками удостоверений, изменять схемы каталогов, изменять все содержимое для пользователей (HTML, CSS, JavaScript), изменять требования к прохождению проверки подлинности, создавать пользователей, отправлять данные пользователей во внешние системы, включая полную миграцию, и изменять все сведения о пользователях, включая поля с такими конфиденциальными данными, как пароли и номера телефонов. Но в то же время пользователи с этой ролью не могут изменять ключи шифрования или секреты, используемые для федерации в организации.

Внимание

Администратор политики IEF B2C — это очень важная роль, которую следует назначать в организациях в рабочей среде в весьма ограниченном количестве случаев. Действия, выполняемые этими пользователями, необходимо тщательно проверять, особенно в организациях в рабочей среде.

Действия	Description
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks	Чтение и настройка пользовательских политик в Azure Active Directory B2C

администратора выставления счетов;

совершает покупки, управляет подписками, управляет запросами в службу поддержки и отслеживает работоспособность службы.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.commerce.billing/allEntities/allProperties/allTasks	Управление всеми аспектами выставления счетов в Office 365
microsoft.directory/organization/basic/update	Обновление базовых свойств для организации
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Cloud App Security

У пользователей с этой ролью есть полные разрешения в приложениях Defender для облака. Они могут добавлять администраторов, добавлять политики и параметры для приложений Microsoft Defender для облака, отправлять журналы и выполнять действия по управлению.

Действия	Description
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор облачных приложений

Это привилегированная роль. пользователи с этой ролью имеют те же разрешения, что и для роли администратора приложений, за исключением возможности управления прокси приложения. Эта роль позволяет создавать и контролировать все аспекты корпоративных приложений и регистраций приложений. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Эта роль также предоставляет возможность предоставления согласия на делегированные разрешения и разрешения приложения, за исключением разрешений приложений для Azure AD Graph и Microsoft Graph.

Внимание

Это исключение означает, что вы по-прежнему можете предоставить согласие на разрешения приложений для других приложений (например, других приложений Майкрософт, сторонних приложений или зарегистрированных приложений). Вы по-прежнему можете запросить эти разрешения в рамках регистрации приложения, но предоставление (то есть согласие) для этих разрешений требует более привилегированного администратора, например администратора привилегированных ролей.

Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения был предоставлен доступ к ресурсу, например возможность создать или обновить пользователя или другие объекты, пользователь с данной ролью может выполнить эти действия при олицетворении приложения. Эта возможность олицетворить удостоверение приложения может представлять собой превышение привилегий пользователя по сравнению с назначенным ему ролям. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Управление политиками запросов согласия администратора в идентификаторе Microsoft Entra
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Чтение всех свойств запросов на согласие для приложений, зарегистрированных с помощью идентификатора Microsoft Entra
microsoft.directory/applicationPolicies/basic/update	Обновление стандартных свойств политик приложений
microsoft.directory/applicationPolicies/create	Создание политик приложений
microsoft.directory/applicationPolicies/delete	Удаление политик приложений
microsoft.directory/applicationPolicies/owners/read	Чтение сведений о владельцах политик приложений
microsoft.directory/applicationPolicies/owners/update	Обновление свойства владельца политик приложений
microsoft.directory/applicationPolicies/policyAppliedTo/read	Чтение списка политик приложений, назначенных объекту
microsoft.directory/applicationPolicies/standard/read	Чтение стандартных свойств политик приложений
microsoft.directory/applications/appRoles/update	Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update	Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update	Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update	Обновление базовых свойств приложений
microsoft.directory/applications/create	Создание всех типов приложений
microsoft.directory/applications/credentials/update	Обновление учетных данных приложения
microsoft.directory/applications/delete	Удаление всех типов приложений
microsoft.directory/applications/extensionProperties/update	Обновление свойств расширения в приложениях
microsoft.directory/applications/notes/update	Обновление заметок приложений
microsoft.directory/applications/owners/update	Обновление владельцев приложений
microsoft.directory/applications/permissions/update	Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update	Обновление политик приложений
microsoft.directory/applications/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applications/tag/update	Обновление тегов приложений
microsoft.directory/applications/verification/update	Обновление свойства applicationsverification
microsoft.directory/applicationTemplates/instantiate	Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/deletedItems.applications/delete	Безвозвратное удаление приложений, которые будет невозможно восстановить
microsoft.directory/deletedItems.applications/restore	Восстановление обратимо удаленных приложений в исходное состояние
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/audience/update	Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update	Обновление свойств проверки подлинности для субъектов-служб
microsoft.directory/servicePrincipals/basic/update	Обновление базовых свойств для субъектов-служб
microsoft.directory/servicePrincipals/create	Создание субъектов-служб
microsoft.directory/servicePrincipals/credentials/update	Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/delete	Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable	Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable	Включение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	Управление учетными данными для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials	Чтение учетных данных для единого входа на основе пароля в субъектах-службах
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph
microsoft.directory/servicePrincipals/notes/update	Обновление заметок субъектов-служб
microsoft.directory/servicePrincipals/owners/update	Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update	Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update	Обновление политик для субъектов-служб
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Управление учетными данными и секретами для подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Создание заданий синхронизации и схемы синхронизации подготовки приложений и управление ими.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/servicePrincipals/tag/update	Обновление свойства тега для субъектов-служб
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор облачных устройств

Это привилегированная роль. Пользователи этой роли могут включать, отключать и удалять устройства в идентификаторе Microsoft Entra и читать ключи BitLocker Windows 10 (если они присутствуют) в портал Azure. Роль не предоставляет разрешения на управление любыми другими свойствами устройства.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read	Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/deletedItems.devices/delete	Окончательное удаление устройств, которые больше не могут быть восстановлены
microsoft.directory/deletedItems.devices/restore	Восстановление обратимо удаленных устройств в исходном состоянии
microsoft.directory/deviceLocalCredentials/password/read	Чтение всех свойств учетных данных учетной записи локального администратора для устройств, присоединенных к Microsoft Entra, включая пароль
microsoft.directory/deviceManagementPolicies/basic/update	Обновление основных свойств в политиках управления мобильными устройствами и мобильных приложений
microsoft.directory/deviceManagementPolicies/standard/read	Чтение стандартных свойств в политиках управления мобильными устройствами и мобильных приложений
microsoft.directory/deviceRegistrationPolicy/basic/update	Обновление базовых свойств для политик регистрации устройств
microsoft.directory/deviceRegistrationPolicy/standard/read	Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/devices/delete	Удаление устройств из идентификатора Microsoft Entra
microsoft.directory/devices/disable	Отключение устройств в идентификаторе Microsoft Entra
microsoft.directory/devices/enable	Включение устройств в идентификаторе Microsoft Entra
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365

Администратор соответствия требованиям

Пользователи с этой ролью имеют разрешения на управление функциями, связанными с соответствием требованиям, на портале Портал соответствия требованиям Microsoft Purview, Центр администрирования Microsoft 365, Azure и Microsoft 365 Defender. Назначаемые также могут управлять всеми функциями в Центре администрирования Exchange и создавать запросы в службу поддержки Для Azure и Microsoft 365. Дополнительные сведения см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.

In	Разрешено
Портал соответствия требованиям Microsoft Purview	Защита данных организации и управление ими во всех службах Microsoft 365. Управление оповещениями по соответствию.
Диспетчер соответствия требованиям Microsoft Purview	Отслеживание, назначение и проверка деятельности организации на соответствие требованиям.
Портал Microsoft 365 Defender	Управление системой управления данными. Выполнение юридического расследование и анализа данных. Управление запросом субъекта данных. Эта роль имеет те же разрешения, что и группа ролей администратора соответствия требованиям в службе управления доступом на портале Microsoft 365 Defender.
Intune	Просмотр всех данных проверки Intune.
Microsoft Defender for Cloud Apps	Обладает разрешением только для чтения и может управлять оповещениями. Может создавать и изменять файловые политики и давать разрешение на управление файлом. Позволяет просматривать все встроенные отчеты в разделе "Управление данными".

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/entitlementManagement/allProperties/read	Чтение всех свойств в управлении правами Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks	Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор данных соответствия

У пользователей с этой ролью есть разрешения на отслеживание данных на Портале соответствия требованиям Microsoft Purview, в Центре администрирования Microsoft 365 и Azure. Пользователи также могут отслеживать данные соответствия в центре администрирования Exchange, диспетчере соответствия требованиям и центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Дополнительные сведения о различиях между администратором соответствия требованиям и администратором данных соответствия требованиям см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.

In	Разрешено
Портал соответствия требованиям Microsoft Purview	Отслеживает политики, связанные с соответствием требованиями, во всех службах Microsoft 365. Управление оповещениями по соответствию.
Диспетчер соответствия требованиям Microsoft Purview	Отслеживание, назначение и проверка деятельности организации на соответствие требованиям.
Портал Microsoft 365 Defender	Управление системой управления данными. Выполнение юридического расследование и анализа данных. Управление запросом субъекта данных. Эта роль имеет те же разрешения, что и группа ролей администратора данных соответствия требованиям в портале Microsoft 365 Defender на основе ролей.
Intune	Просмотр всех данных проверки Intune.
Microsoft Defender for Cloud Apps	Обладает разрешением только для чтения и может управлять оповещениями. Может создавать и изменять файловые политики и давать разрешение на управление файлом. Позволяет просматривать все встроенные отчеты в разделе "Управление данными".

Действия	Description
microsoft.azure.informationProtection/allEntities/allTasks	Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.office365.complianceManager/allEntities/allTasks	Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор условного доступа

Это привилегированная роль. Пользователи с этой ролью могут управлять параметрами условного доступа Microsoft Entra.

Действия	Description
microsoft.directory/conditionalAccessPolicies/basic/update	Обновление базовых свойств политик условного доступа
microsoft.directory/conditionalAccessPolicies/create	Создание политик условного доступа
microsoft.directory/conditionalAccessPolicies/delete	Удаление политик условного доступа
microsoft.directory/conditionalAccessPolicies/owners/read	Чтение владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/owners/update	Обновление владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Чтение свойства "применено к" для политик условного доступа
microsoft.directory/conditionalAccessPolicies/standard/read	Чтение условного доступа для политик
microsoft.directory/conditionalAccessPolicies/tenantDefault/update	Обновление клиента по умолчанию для политик условного доступа
microsoft.directory/namedLocations/basic/update	Обновление основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/create	Создание настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/delete	Удаление настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/standard/read	Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update	Обновление контекста проверки подлинности условного доступа для действий ресурсов на основе ролей Microsoft 365 (RBAC)

Лицо, утверждающее доступ к защищенному хранилищу

Управляет запросами microsoft Purview Customer Lockbox в вашей организации. Для запросов защищенного хранилища они получают уведомления по электронной почте и могут утверждать и отклонять запросы из Центра администрирования Microsoft 365. Они могут также выключать функции защищенного хранилища. Только глобальные администраторы могут сбрасывать пароли пользователей, которым назначены эти роли.

Действия	Description
microsoft.office365.lockbox/allEntities/allTasks	Управление всеми аспектами защищенного хранилища
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Аналитики компьютеров

Пользователи с этой ролью могут управлять службами портала "Аналитика компьютеров". В частности, возможностями просмотра наличных ресурсов, создания планов развертывания, просмотра развертывания и состояния работоспособности.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.office365.desktopAnalytics/allEntities/allTasks	Управление всеми аспектами Аналитики компьютеров

Читатели каталогов

Пользователи с этой ролью могут считывать основные сведения о каталогах. Эта роль должна использоваться в следующих целях:

• предоставление доступа на чтение лишь определенному набору гостевых пользователей, а не всем;
• Предоставление определенного набора пользователей, не являющихся администраторами, доступа к Центру администрирования Microsoft Entra, если для параметра "Ограничить доступ к Центру администрирования Microsoft Entra" задано значение "Да".
• предоставление субъектам-службам доступа к каталогам, для которых не установлен параметр Directory.Read.All.

Действия	Description
microsoft.directory/administrativeUnits/members/read	Считывание членов административных единиц
microsoft.directory/administrativeUnits/standard/read	Чтение базовых свойств единиц администрирования
microsoft.directory/applicationPolicies/standard/read	Чтение стандартных свойств политик приложений
microsoft.directory/applications/owners/read	Считывание владельцев приложений
microsoft.directory/applications/policies/read	Чтение политик приложений
microsoft.directory/applications/standard/read	Чтение стандартных свойств приложений
microsoft.directory/contacts/memberOf/read	Чтение членства в группе для всех контактов в идентификаторе Microsoft Entra
microsoft.directory/contacts/standard/read	Чтение базовых свойств контактов в идентификаторе Microsoft Entra
microsoft.directory/contracts/standard/read	Чтение базовых свойств контрактов с партнерами
microsoft.directory/devices/memberOf/read	Чтение членства для устройств
microsoft.directory/devices/registeredOwners/read	Считывание зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/read	Считывание зарегистрированных пользователей устройств
microsoft.directory/devices/standard/read	Чтение базовых свойств для устройств
microsoft.directory/directoryRoles/eligibleMembers/read	Чтение соответствующих членов ролей Microsoft Entra
microsoft.directory/directoryRoles/members/read	Чтение всех членов ролей Microsoft Entra
microsoft.directory/directoryRoles/standard/read	Чтение основных свойств ролей Microsoft Entra
microsoft.directory/domains/standard/read	Чтение базовых свойств для доменов
microsoft.directory/groups/appRoleAssignments/read	Чтение назначений ролей приложения для групп
microsoft.directory/groupSettings/standard/read	Чтение базовых свойств для параметров группы
microsoft.directory/groupSettingTemplates/standard/read	Чтение базовых свойств для шаблонов параметров группы
microsoft.directory/groups/memberOf/read	Чтение свойств memberOf для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/members/read	Чтение данных о членстве в группах безопасности и группах Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/owners/read	Чтение данных о владельцах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/settings/read	Чтение параметров групп
microsoft.directory/groups/standard/read	Чтение стандартных свойств групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/standard/read	Чтение базовых свойств для операций предоставления разрешений OAuth 2.0
microsoft.directory/organization/standard/read	Чтение базовых свойств для организации
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read	Чтение доверенных центров сертификации для проверки подлинности без пароля
microsoft.directory/roleAssignments/standard/read	Чтение базовых свойств назначений ролей
microsoft.directory/roleDefinitions/standard/read	Чтение базовых свойств определений ролей
microsoft.directory/servicePrincipals/appRoleAssignedTo/read	Чтение назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/appRoleAssignments/read	Чтение назначений ролей, назначенных субъекту-службе
microsoft.directory/servicePrincipals/memberOf/read	Чтение данных о членстве в группах для субъектов-служб
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read	Чтение данных об операциях предоставления делегированных разрешений для субъекта-служб
microsoft.directory/servicePrincipals/ownedObjects/read	Чтение находящихся во владении объектов субъектов-служб
microsoft.directory/servicePrincipals/owners/read	Чтение сведений о владельцах субъектов-служб
microsoft.directory/servicePrincipals/policies/read	Чтение политик субъектов-служб
microsoft.directory/servicePrincipals/standard/read	Чтение базовых свойств субъектов-служб
microsoft.directory/subscribedSkus/standard/read	Чтение базовых свойств для подписок
microsoft.directory/users/appRoleAssignments/read	Чтение назначений ролей приложения для пользователей
microsoft.directory/users/deviceForResourceAccount/read	Чтение свойства deviceForResourceAccount для пользователей
microsoft.directory/users/directReports/read	Считывание подчиненных конкретного пользователя
microsoft.directory/users/invitedBy/read	Чтение пользователя, приглашающего внешнего пользователя в клиент
microsoft.directory/users/licenseDetails/read	Чтение сведений о лицензиях для пользователей
microsoft.directory/users/manager/read	Считывание менеджера пользователей
microsoft.directory/users/memberOf/read	Считывание данных о членстве пользователей в группах
microsoft.directory/users/oAuth2PermissionGrants/read	Чтение операций предоставления делегированных разрешений для пользователей
microsoft.directory/users/ownedDevices/read	Считывание устройств, принадлежащих пользователям
microsoft.directory/users/ownedObjects/read	Считывание объектов, принадлежащих пользователям
microsoft.directory/users/photo/read	Просмотр фотографий пользователей
microsoft.directory/users/registeredDevices/read	Считывание зарегистрированных устройств пользователей
microsoft.directory/users/scopedRoleMemberOf/read	Чтение членства пользователя в роли Microsoft Entra, которая распространяется на административную единицу.
microsoft.directory/users/sponsors/read	Чтение спонсоров пользователей
microsoft.directory/users/standard/read	Чтение базовых свойств для пользователей

Учетные записи синхронизации службы каталогов

Не используйте. Эта роль автоматически назначается службе Microsoft Entra Connect и не предназначена или не поддерживается для любого другого использования.

Действия	Description
microsoft.directory/onPremisesSynchronization/standard/read	Чтение объектов и управление ими для включения синхронизации локальных каталогов

Редакторы каталогов

Это привилегированная роль. Пользователи с этой ролью могут читать и обновлять базовые сведения о пользователях, группах и субъектах-службах.

Действия	Description
microsoft.directory/applications/extensionProperties/update	Обновление свойств расширения в приложениях
microsoft.directory/contacts/create	Создание контактов
microsoft.directory/groups/assignLicense	Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/basic/update	Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/classification/update	Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/create	Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/dynamicMembershipRule/update	Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groupSettings/basic/update	Обновление базовых свойств для параметров группы
microsoft.directory/groupSettings/create	Create group settings (Создание параметров группы)
microsoft.directory/groupSettings/delete	Delete group settings (Удаление параметров группы)
microsoft.directory/groups/groupType/update	Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/members/update	Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/onPremWriteBack/update	Обновление групп Microsoft Entra для записи обратно в локальную среду с помощью Microsoft Entra Connect
microsoft.directory/groups/owners/update	Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/reprocessLicenseAssignment	Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/settings/update	Обновление параметров групп
microsoft.directory/groups/visibility/update	Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/basic/update	Обновление операций предоставления разрешений OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/create	Создание операций предоставления разрешений OAuth 2.0
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	Управление облачным клиентом в облачных приложениях подготовки секретов и учетных данных.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage	Запуск, перезапуск и приостановка облачных клиентов в заданиях синхронизации синхронизации облачных приложений клиента.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage	Создание и управление облачным клиентом для облачных приложений для подготовки заданий синхронизации и схемы.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Управление учетными данными и секретами для подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Создание заданий синхронизации и схемы синхронизации подготовки приложений и управление ими.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/users/assignLicense	Управление лицензиями пользователей
microsoft.directory/users/basic/update	Обновление базовых параметров пользователей
microsoft.directory/users/create	Добавить пользователей
microsoft.directory/users/disable	Отключение пользователей
microsoft.directory/users/enable	Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens	Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/inviteGuest	Приглашение гостевых пользователей
microsoft.directory/users/manager/update	Обновление менеджера для пользователей
microsoft.directory/users/photo/update	Обновление фотографий пользователей
microsoft.directory/users/reprocessLicenseAssignment	Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/спонсирует/update	Обновление спонсоров пользователей
microsoft.directory/users/userPrincipalName/update	Обновление имени субъекта-пользователя для пользователей

Администратор доменных имен

Это привилегированная роль. Пользователи с этой ролью могут управлять доменными именами (чтение, добавление, проверка, обновление и удаление). Они также могут считывать данные каталога о пользователях, группах и приложениях, поскольку эти объекты имеют зависимости от домена. Для локальных сред пользователи с этой ролью могут настроить доменные имена для федерации, чтобы для связанных пользователей всегда выполнялась проверка подлинности в локальной среде. Затем эти пользователи могут войти в службы на основе Microsoft Entra с помощью локальных паролей с помощью единого входа. Параметры федерации необходимо синхронизировать с помощью Microsoft Entra Connect, поэтому у пользователей также есть разрешения на управление Microsoft Entra Connect.

Действия	Description
microsoft.directory/domains/allProperties/allTasks	Создание и удаление доменов, а также чтение и обновление всех свойств
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Dynamics 365

пользователи с этой ролью имеют глобальные разрешения в Microsoft Dynamics 365 Online (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье "Использование ролей администратора службы для управления клиентом".

Примечание.

В API Microsoft Graph и Microsoft Graph PowerShell эта роль называется администратором службы Dynamics 365. В портал Azure он называется администратором Dynamics 365.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.dynamics365/allEntities/allTasks	Управление всеми аспектами Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

администратор центра бизнеса Dynamics 365

Назначьте роль администратора Dynamics 365 Business Central пользователям, которым необходимо выполнить следующие задачи:

• Доступ к средам Dynamics 365 Business Central
• Выполнение всех административных задач в средах
• Управление жизненным циклом сред клиента
• Контроль расширений, установленных в средах
• Управление обновлениями сред
• Выполнение экспорта данных сред
• Чтение и настройка панелей мониторинга работоспособности служб Azure и Microsoft 365

Эта роль не предоставляет никаких разрешений для других продуктов Dynamics 365.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.directory/domains/standard/read	Чтение базовых свойств для доменов
microsoft.directory/organization/standard/read	Чтение базовых свойств для организации
microsoft.directory/subscribedSkus/standard/read	Чтение базовых свойств для подписок
microsoft.directory/users/standard/read	Чтение базовых свойств для пользователей
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks	Управление всеми аспектами Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Edge

Пользователи с этой ролью могут создавать список сайтов предприятия, необходимый для работы в режиме Internet Explorer в Microsoft Edge, и управлять им. Эта роль предоставляет разрешения на создание, изменение и публикацию списка сайтов, а также позволяет управлять запросами в службу поддержки. Подробнее

Действия	Description
microsoft.edge/allEntities/allProperties/allTasks	Управление всеми аспектами Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Exchange

пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online (если служба используется). У них также есть возможность создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения см. в О ролях администратора в центре администрирования Microsoft 365.

Примечание.

В API Microsoft Graph и Microsoft Graph PowerShell эта роль называется администратором службы Exchange. В портал Azure он называется администратором Exchange. В Центре администрирования Exchange он называется администратором Exchange Online.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks	Создание политики защиты Exchange Online и управление ими в Microsoft 365 Backup
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks	Чтение и настройка сеанса восстановления для Exchange Online в Службе архивации Microsoft 365
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks	Управление всеми точками восстановления, связанными с выбранными почтовыми ящиками Exchange Online в резервном копировании M365
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks	Управление почтовыми ящиками, добавленными в политику защиты Exchange Online в Службе архивации Microsoft 365
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks	Управление почтовыми ящиками, добавленными для восстановления сеанса для Exchange Online в Службе архивации Microsoft 365
microsoft.directory/groups/hiddenMembers/read	Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/basic/update	Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/create	Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete	Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update	Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update	Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore	Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.office365.exchange/allEntities/basic/allTasks	Управление всеми аспектами Exchange Online
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор получателей Exchange

Пользователи с этой ролью имеют доступ для чтения к получателям и доступ для записи к атрибутам получателей в Exchange Online. Дополнительные сведения см. в разделе "Получатели" в Exchange Server.

Действия	Description
microsoft.office365.exchange/migration/allProperties/allTasks	Управление всеми задачами, относящимися к миграции получателей в Exchange Online
microsoft.office365.exchange/recipients/allProperties/allTasks	Создание и удаление всех получателей, а также чтение и обновление всех свойств получателей в Exchange Online

Администратор потоков пользователей с внешним идентификатором

Пользователи с этой ролью могут создавать потоки пользователей (также называемые "встроенными" политиками) и управлять ими на портале Azure. Эти пользователи могут настраивать содержимое HTML/CSS/JavaScript, изменять требования MFA, выбирать утверждения в маркере, управлять соединителями API и их учетными данными, а также настраивать параметры сеанса для всех потоков пользователей в организации Microsoft Entra. С другой стороны, пользователи с этой ролью не могут просматривать данные пользователей или вносить изменения в атрибуты, включенные в схему организации. Они также не могут изменять политики Identity Experience Framework (так называемые настраиваемые политики).

Действия	Description
microsoft.directory/b2cUserFlow/allProperties/allTasks	Чтение и настройка потоков пользователей в Azure Active Directory B2C.

Администратор атрибутов потоков пользователей с внешним идентификатором

Пользователи с этой ролью добавляют или удаляют пользовательские атрибуты, доступные всем потокам пользователей в организации Microsoft Entra. Таким образом, эти пользователи могут изменять или добавлять новые элементы в схему конечного пользователя, влиять на поведение всех потоков пользователей и косвенно приводить к изменениям данных, запрашиваемых у конечных пользователей и в результате отправляемых в виде утверждений в приложения. Пользователи с этой ролью не могут изменять потоки пользователей.

Действия	Description
microsoft.directory/b2cUserAttribute/allProperties/allTasks	Чтение и настройка атрибутов пользователей в Azure Active Directory B2C

Администратор внешних поставщиков удостоверений

Это привилегированная роль. Этот администратор управляет федерацией между организациями Microsoft Entra и внешними поставщиками удостоверений. Пользователи с этой ролью могут добавлять новые поставщики удостоверений и настраивать все доступные параметры (например, путь для проверки подлинности, идентификатор службы, назначенные контейнеры ключей). Этот пользователь может разрешить организации Microsoft Entra доверять аутентификации от внешних поставщиков удостоверений. Итоговое влияние на работу конечного пользователя зависит от типа организации:

• Организации Microsoft Entra для сотрудников и партнеров: добавление федерации (например, с Gmail) сразу повлияет на все приглашения гостей, которые еще не активированы. см. статью Добавление Google в качестве поставщика удостоверений для гостевых пользователей B2B;
• Организации Azure Active Directory B2C: добавление федерации (например, с Facebook или с другой организацией Microsoft Entra) не сразу влияет на потоки конечных пользователей, пока поставщик удостоверений не будет добавлен в поток пользователя (также называется встроенной политикой). Пример см. в статье Настройка учетной записи Microsoft в качестве поставщика удостоверений. Для изменения потоков пользователей требуется роль администратора потоков пользователей B2C с ограниченными правами.

Действия	Description
microsoft.directory/domains/federation/update	Обновление свойства федерации для доменов
microsoft.directory/identityProviders/allProperties/allTasks	Чтение и настройка поставщиков идентификаторов в Azure Active Directory B2C

Администратор Структуры

Пользователи с этой ролью имеют глобальные разрешения в Microsoft Fabric и Power BI, когда служба присутствует, а также возможность управлять запросами в службу поддержки и отслеживать работоспособности служб. Дополнительные сведения см. в разделе "Общие сведения о ролях администратора Fabric".

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks	Управление всеми аспектами Fabric и Power BI

Глобальный администратор

Это привилегированная роль. Пользователи с этой ролью имеют доступ ко всем административным функциям в идентификаторе Microsoft Entra, а также службам, используюющим удостоверения Microsoft Entra, такие как портал Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview, Exchange Online, SharePoint Online и Skype для бизнеса Online. Глобальные администраторы могут просматривать журналы действий каталога. Кроме того, глобальные администраторы могут повысить свой уровень доступа и получить право управления всеми подписками и группами управления Azure. Это позволяет глобальным администраторам получить полный доступ ко всем ресурсам Azure с помощью соответствующего клиента Microsoft Entra. Пользователь, который регистрируется в организации Microsoft Entra, становится глобальным администратором. В компании может быть несколько глобальных администраторов. Глобальные администраторы могут сбросить пароль любого пользователя и администратора. Глобальный администратор не может удалить собственное назначение глобального администратора. Это позволит предотвратить ситуацию, когда у организации нет глобальных администраторов.

Примечание.

Корпорация Майкрософт рекомендует назначать роль глобального администратора менее чем пяти людям в вашей организации. Дополнительные сведения см. в рекомендациях по ролям Microsoft Entra.

Действия	Description
microsoft.azure.advancedThreatProtection/allEntities/allTasks	Управление всеми аспектами Расширенной защиты от угроз Azure
microsoft.azure.informationProtection/allEntities/allTasks	Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.backup/allEntities/allProperties/allTasks	Управление всеми аспектами резервного копирования Microsoft 365
microsoft.cloudPC/allEntities/allProperties/allTasks	Управление всеми аспектами Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks	Управление всеми аспектами выставления счетов в Office 365
microsoft.commerce.billing/purchases/standard/read	Чтение служб покупки в Центре администрирования M365.
microsoft.directory/accessReviews/allProperties/allTasks	(не рекомендуется) Создание и удаление проверок доступа, чтение и обновление всех свойств проверок доступа и управление проверками доступа групп в идентификаторе Microsoft Entra
microsoft.directory/accessReviews/definitions/allProperties/allTasks	Управление проверками доступа для всех проверяемых ресурсов в идентификаторе Microsoft Entra
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Управление политиками запросов согласия администратора в идентификаторе Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks	Создание административных единиц и управление ими (включая члены)
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Чтение всех свойств запросов на согласие для приложений, зарегистрированных с помощью идентификатора Microsoft Entra
microsoft.directory/applications/allProperties/allTasks	Создание и удаление приложений, а также чтение и обновление всех свойств
microsoft.directory/applications/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate	Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/authorizationPolicy/allProperties/allTasks	Управление всеми аспектами политики авторизации
microsoft.directory/bitlockerKeys/key/read	Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks	Управление всеми свойствами политик условного доступа
microsoft.directory/connectorGroups/allProperties/read	Чтение всех свойств групп соединителей частной сети
microsoft.directory/connectorGroups/allProperties/update	Обновление всех свойств групп соединителей частной сети
microsoft.directory/connectorGroups/create	Создание групп соединителей частной сети
microsoft.directory/connectorGroups/delete	Удаление групп соединителей частной сети
microsoft.directory/connectors/allProperties/read	Чтение всех свойств соединителей частной сети
microsoft.directory/connectors/create	Создание соединителей частной сети
microsoft.directory/contacts/allProperties/allTasks	Создание и удаление контактов, а также чтение и обновление всех свойств
microsoft.directory/contracts/allProperties/allTasks	Создание и удаление контактов партнеров, а также чтение и обновление всех свойств
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Обновление разрешенных облачных конечных точек политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicies/basic/update	Обновление основных параметров политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	Обновление параметров совместной работы Microsoft Entra B2B политики доступа между клиентами по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update	Обновление параметров прямого подключения Microsoft Entra B2B политики доступа между клиентами по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	Обновление ограничений для клиентов политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	Обновление параметров совместной работы Microsoft Entra B2B для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update	Обновление параметров прямого подключения Microsoft Entra B2B для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/create	Создание политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/delete	Удаление политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update	Обновление базовых параметров политики синхронизации между клиентами
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create	Создание политики синхронизации между клиентами для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	Чтение базовых свойств политики синхронизации между клиентами
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update	Обновление шаблонов политик синхронизации между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings	Сброс шаблона политики синхронизации между клиентами для многотенантной организации до параметров по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Чтение базовых свойств шаблонов политик синхронизации между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update	Обновление шаблонов политик доступа между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings	Сброс шаблона политики доступа между клиентами для мультитенантной организации до параметров по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Чтение базовых свойств шаблонов политик доступа между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	Обновление ограничений для клиентов политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/standard/read	Чтение базовых свойств политики межклиентского доступа
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	Создание расширений настраиваемой проверки подлинности и управление ими
microsoft.directory/deletedItems/delete	Безвозвратное удаление объектов, которые будет невозможно восстановить
microsoft.directory/deletedItems/restore	Восстановление обратимо удаленных объектов в исходное состояние
microsoft.directory/deviceLocalCredentials/password/read	Чтение всех свойств учетных данных учетной записи локального администратора для устройств, присоединенных к Microsoft Entra, включая пароль
microsoft.directory/deviceManagementPolicies/basic/update	Обновление основных свойств в политиках управления мобильными устройствами и мобильных приложений
microsoft.directory/deviceManagementPolicies/standard/read	Чтение стандартных свойств в политиках управления мобильными устройствами и мобильных приложений
microsoft.directory/deviceRegistrationPolicy/basic/update	Обновление базовых свойств для политик регистрации устройств
microsoft.directory/deviceRegistrationPolicy/standard/read	Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/devices/allProperties/allTasks	Создание и удаление устройств, а также чтение и обновление всех свойств
microsoft.directory/directoryRoles/allProperties/allTasks	Создание и удаление ролей каталога, а также чтение и обновление всех свойств
microsoft.directory/directoryRoleTemplates/allProperties/allTasks	Создание и удаление шаблонов ролей Microsoft Entra, а также чтение и обновление всех свойств
microsoft.directory/domains/allProperties/allTasks	Создание и удаление доменов, а также чтение и обновление всех свойств
microsoft.directory/domains/federationConfiguration/basic/update	Обновление базовой конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/create	Создание конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/delete	Удаление конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/standard/read	Чтение стандартных свойств конфигурации федерации для доменов
microsoft.directory/entitlementManagement/allProperties/allTasks	Создание и удаление ресурсов, а также чтение и обновление всех свойств в управлении правами Microsoft Entra
microsoft.directory/externalUserProfiles/basic/update	Обновление основных свойств профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/externalUserProfiles/delete	Удаление профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/externalUserProfiles/standard/read	Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams
microsoft.directory/groups/allProperties/allTasks	Создание и удаление групп, а также чтение и обновление всех свойств
microsoft.directory/groupsAssignableToRoles/allProperties/update	Обновление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/assignLicense	Назначение лицензии группам с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/create	Создание групп с назначением ролей
microsoft.directory/groupsAssignableToRoles/delete	Удаление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment	Повторная обработка назначений лицензий для групп, назначаемых ролями
microsoft.directory/groupsAssignableToRoles/restore	Восстановление групп с возможностью назначения ролей
microsoft.directory/groupSettings/allProperties/allTasks	Создание и удаление параметров групп, а также чтение и обновление всех свойств
microsoft.directory/groupSettingTemplates/allProperties/allTasks	Создание и удаление шаблонов параметров групп, а также чтение и обновление всех свойств
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	Управление политикой гибридной проверки подлинности в идентификаторе Microsoft Entra
microsoft.directory/identityProtection/allProperties/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Защита идентификации Microsoft Entra
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks	Управление всеми аспектами рабочих процессов и задач жизненного цикла в идентификаторе Microsoft Entra
microsoft.directory/loginOrganizationBranding/allProperties/allTasks	Создание и удаление элемента loginTenantBranding, а также чтение и обновление всех свойств
microsoft.directory/multiTenantOrganization/basic/update	Обновление базовых свойств мультитенантной организации
microsoft.directory/multiTenantOrganization/create	Создание мультитенантной организации
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update	Присоединение к многотенантной организации
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Чтение свойств запроса на присоединение к организации с несколькими клиентами
microsoft.directory/multiTenantOrganization/standard/read	Чтение базовых свойств мультитенантной организации
microsoft.directory/multiTenantOrganization/tenants/create	Создание клиента в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/delete	Удаление клиента, участвующего в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Чтение сведений о организации клиента, участвующего в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update	Обновление базовых свойств клиента, участвующих в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/standard/read	Чтение базовых свойств клиента, участвующих в многотенантной организации
microsoft.directory/namedLocations/basic/update	Обновление основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/create	Создание настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/delete	Удаление настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/standard/read	Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/onPremisesSynchronization/basic/update	Обновление базовых сведений о синхронизации локальных каталогов
microsoft.directory/onPremisesSynchronization/standard/read	Чтение стандартных сведений о синхронизации локальных каталогов
microsoft.directory/organization/allProperties/allTasks	Чтение и обновление всех свойств для организации
microsoft.directory/passwordHashSync/allProperties/allTasks	Управление всеми аспектами синхронизации хэша паролей (PHS) в идентификаторе Microsoft Entra
microsoft.directory/pendingExternalUserProfiles/basic/update	Обновление основных свойств профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/pendingExternalUserProfiles/create	Создание профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/pendingExternalUserProfiles/delete	Удаление профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/pendingExternalUserProfiles/standard/read	Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams
microsoft.directory/permissionGrantPolicies/basic/update	Обновление базовых свойств для политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/create	Создание политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/delete	Удаление политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/standard/read	Чтение стандартных свойств для политик предоставления разрешений
microsoft.directory/policies/allProperties/allTasks	Создание и удаление политик, а также чтение и обновление всех свойств
microsoft.directory/privilegedIdentityManagement/allProperties/read	Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update	Обновление контекста проверки подлинности условного доступа для действий ресурсов на основе ролей Microsoft 365 (RBAC)
microsoft.directory/roleAssignments/allProperties/allTasks	Создание и удаление назначений ролей, а также чтение и обновление всех их свойств
microsoft.directory/roleDefinitions/allProperties/allTasks	Создание и удаление определений ролей, а также чтение и обновление всех их свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств
microsoft.directory/serviceAction/activateService	Возможность выполнения действия "активировать службу" для службы
microsoft.directory/serviceAction/disableDirectoryFeature	Возможность выполнения действия "отключить функцию каталога" для службы
microsoft.directory/serviceAction/enableDirectoryFeature	Возможность выполнения действия "включить функцию каталога" для службы
microsoft.directory/serviceAction/getAvailableExtentionProperties	Возможность выполнения действия getAvailableExtentionProperties для службы
microsoft.directory/servicePrincipalCreationPolicies/basic/update	Обновление базовых свойств политик создания субъектов-служб
microsoft.directory/servicePrincipalCreationPolicies/create	Создание политик создания субъектов-служб
microsoft.directory/servicePrincipalCreationPolicies/delete	Удаление политик создания субъектов-служб
microsoft.directory/servicePrincipalCreationPolicies/standard/read	Чтение стандартных свойств политик создания субъектов-служб
microsoft.directory/servicePrincipals/allProperties/allTasks	Создание и удаление субъектов-служб, а также чтение и обновление всех свойств
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	Предоставление любому приложению согласия для любого разрешения
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	Управление облачным клиентом в облачных приложениях подготовки секретов и учетных данных.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage	Запуск, перезапуск и приостановка облачных клиентов в заданиях синхронизации синхронизации облачных приложений клиента.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage	Создание и управление облачным клиентом для облачных приложений для подготовки заданий синхронизации и схемы.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Управление учетными данными и секретами для подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Создание заданий синхронизации и схемы синхронизации подготовки приложений и управление ими.
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.directory/subscribedSkus/allProperties/allTasks	Приобретение подписок, управление ими и их удаление
microsoft.directory/tenantManagement/tenants/create	Создание новых клиентов в идентификаторе Microsoft Entra
microsoft.directory/users/allProperties/allTasks	Создание и удаление пользователей, а также чтение и обновление всех свойств
microsoft.directory/users/authenticationMethods/basic/update	Изменение стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/create	Обновление методов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/delete	Удаление способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/standard/read	Считывание стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/users/convertExternalToInternalMemberUser	Преобразование внешнего пользователя во внутренний пользователь
microsoft.directory/verifiableCredentials/configuration/allProperties/read	Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/allProperties/update	Обновление конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	Чтение контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update	Обновление контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	Чтение карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke	Отзыв карточки проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/create	Создание контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/create	Создание конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/delete	Удаление конфигурации, необходимой для создания проверяемых удостоверений и управления ими, а также удаление всех ее проверяемых удостоверений
microsoft.dynamics365/allEntities/allTasks	Управление всеми аспектами Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks	Управление всеми аспектами Microsoft Edge
microsoft.flow/allEntities/allTasks	Управление всеми аспектами Microsoft Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks	Управление аспектами Подключение к данным Microsoft Graph
microsoft.hardware.support/shippingAddress/allProperties/allTasks	Создание, чтение, обновление и удаление адресов доставки для утверждений гарантии оборудования Майкрософт, включая адреса доставки, созданные другими пользователями
microsoft.hardware.support/shippingStatus/allProperties/read	Чтение состояния доставки для открытых утверждений о гарантии оборудования Майкрософт
microsoft.hardware.support/warrantyClaims/allProperties/allTasks	Создание и управление всеми аспектами утверждений на гарантии оборудования Майкрософт
microsoft.insights/allEntities/allProperties/allTasks	Управление всеми аспектами приложения Insights
microsoft.intune/allEntities/allTasks	Управление всеми аспектами Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks	Управление всеми аспектами доступа к сети Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks	Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.desktopAnalytics/allEntities/allTasks	Управление всеми аспектами Аналитики компьютеров
microsoft.office365.exchange/allEntities/basic/allTasks	Управление всеми аспектами Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks	Управление всеми аспектами контейнеров SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	Чтение и обновление всех свойств осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	Чтение аналитических отчетов осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	Чтение и обновление всех свойств сети знаний в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	Управление видимостью разделов сети знаний в Центре администрирования Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks	Управление источниками обучения и всеми их свойствами в приложении для обучения
microsoft.office365.lockbox/allEntities/allTasks	Управление всеми аспектами защищенного хранилища
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.messageCenter/securityMessages/read	Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks	Управление всеми аспектами миграции Microsoft 365
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks	Управление всеми аспектами разработки сообщений организации Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks	Управляйте всеми аспектами Центров безопасности и соответствия требованиям
microsoft.office365.search/content/manage	Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)"
microsoft.office365.securityComplianceCenter/allEntities/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Центре безопасности и соответствия требованиям Office 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks	Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.userCommunication/allEntities/allTasks	Чтение сообщений о новых возможностях и обновление их видимости
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks	Управление всеми аспектами Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks	Управление всеми аспектами Управление разрешениями Microsoft Entra
microsoft.powerApps/allEntities/allTasks	Управление всеми аспектами Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks	Управление всеми аспектами Fabric и Power BI
microsoft.teams/allEntities/allProperties/allTasks	Управление всеми ресурсами в Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks	Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование
microsoft.viva.goals/allEntities/allProperties/allTasks	Управление всеми аспектами целей Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/allTasks	Управление всеми аспектами Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	Управление всеми аспектами Microsoft Defender для конечной точки
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	Чтение и настройка всех аспектов службы Центра обновления Windows

Глобальный читатель

Это привилегированная роль. Пользователи с этой ролью могут просматривать параметры и административные сведения в службах Microsoft 365, но не могут выполнять действия по управлению. Роль "Глобальный читатель" является аналогом роли "Глобальный администратор", но имеет доступ только на чтение. Назначайте роль "Глобальный читатель" вместо роли "Глобальный администратор" для планирования, аудита и исследований. Используйте роль "Глобальный читатель" в сочетании с другими ограниченными ролями администраторов, такими как "Администратор Exchange", для выполнения необходимых действий без использования роли "Глобальный администратор". Global Reader работает с Центр администрирования Microsoft 365, Центром администрирования Exchange, Центром администрирования SharePoint, Центром администрирования Teams, порталом Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview, портал Azure и Управление устройствами центре администрирования.

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается получить доступ к области "Службы покупки" в Центр администрирования Microsoft 365.

Примечание.

Роль глобального читателя имеет следующие ограничения:

• Центр администрирования OneDrive. Не поддерживает роль глобального читателя.
• Портал Microsoft 365 Defender . Глобальный читатель не может читать журналы аудита SCC, выполнять поиск контента или просматривать оценку безопасности.
• Центр администрирования Teams. Глобальный читатель не может читать жизненный цикл Teams, аналитику и отчеты, управление устройствами IP-телефонов и каталог приложений. Дополнительные сведения см. в разделе Использование ролей администратора Microsoft Teams для управления Teams.
• Управление привилегированным доступом не поддерживает роль глобального читателя.
• Azure Information Protection — глобальный читатель поддерживается только для централизованной отчетности , и если ваша организация Microsoft Entra не находится на единой платформе меток.
• SharePoint — глобальный читатель имеет доступ на чтение к командлетам PowerShell SharePoint Online и API чтения.
• Центр администрирования Power Platform. Здесь пока не поддерживается глобальный читатель.
• Microsoft Purview не поддерживает роль глобального читателя.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.backup/allEntities/allProperties/read	Чтение всех аспектов резервного копирования Microsoft 365
microsoft.cloudPC/allEntities/allProperties/read	Чтение всех аспектов Windows 365
microsoft.commerce.billing/allEntities/allProperties/read	Чтение всех ресурсов выставления счетов Office 365
microsoft.commerce.billing/purchases/standard/read	Чтение служб покупки в Центре администрирования M365.
microsoft.directory/accessReviews/allProperties/read	(Не рекомендуется) Чтение всех свойств проверок доступа
microsoft.directory/accessReviews/definitions/allProperties/read	Чтение всех свойств проверок доступа всех проверяемых ресурсов в идентификаторе Microsoft Entra
microsoft.directory/adminConsentRequestPolicy/allProperties/read	Чтение всех свойств политик запроса согласия администратора в идентификаторе Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/read	Считывание всех свойств административных единиц, в том числе их членов
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Чтение всех свойств запросов на согласие для приложений, зарегистрированных с помощью идентификатора Microsoft Entra
microsoft.directory/applications/allProperties/read	Чтение всех свойств (включая привилегированные) для всех типов приложений
microsoft.directory/applications/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read	Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/cloudAppSecurity/allProperties/read	Чтение всех свойств для приложений Defender для облака.
microsoft.directory/conditionalAccessPolicies/allProperties/read	Чтение всех свойств политик условного доступа
microsoft.directory/connectorGroups/allProperties/read	Чтение всех свойств групп соединителей частной сети
microsoft.directory/connectors/allProperties/read	Чтение всех свойств соединителей частной сети
microsoft.directory/contacts/allProperties/read	Чтение всех свойств для контактов
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	Чтение базовых свойств политики синхронизации между клиентами
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Чтение базовых свойств шаблонов политик синхронизации между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Чтение базовых свойств шаблонов политик доступа между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/standard/read	Чтение базовых свойств политики межклиентского доступа
microsoft.directory/customAuthenticationExtensions/allProperties/read	Считывание настраиваемых расширений для проверки подлинности
microsoft.directory/deviceLocalCredentials/standard/read	Чтение всех свойств учетных данных учетной записи локального администратора для устройств, присоединенных к Microsoft Entra, кроме пароля
microsoft.directory/deviceManagementPolicies/standard/read	Чтение стандартных свойств в политиках управления мобильными устройствами и мобильных приложений
microsoft.directory/deviceRegistrationPolicy/standard/read	Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/devices/allProperties/read	Чтение всех свойств устройств
microsoft.directory/directoryRoles/allProperties/read	Считывание всех свойств ролей каталога
microsoft.directory/directoryRoleTemplates/allProperties/read	Считывание всех свойств шаблонов ролей каталога
microsoft.directory/domains/allProperties/read	Чтение всех свойств доменов
microsoft.directory/domains/federationConfiguration/standard/read	Чтение стандартных свойств конфигурации федерации для доменов
microsoft.directory/entitlementManagement/allProperties/read	Чтение всех свойств в управлении правами Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read	Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams
microsoft.directory/groups/allProperties/read	Чтение всех свойств (включая привилегированные) для групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groupSettings/allProperties/read	Чтение всех свойств для параметров групп
microsoft.directory/groupSettingTemplates/allProperties/read	Чтение всех свойств для шаблонов параметров групп
microsoft.directory/identityProtection/allProperties/read	Чтение всех ресурсов в Защита идентификации Microsoft Entra
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read	Чтение всех свойств рабочих процессов и задач жизненного цикла в идентификаторе Microsoft Entra
microsoft.directory/loginOrganizationBranding/allProperties/read	Чтение всех свойств для страницы входа с фирменной символикой организации
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Чтение свойств запроса на присоединение к организации с несколькими клиентами
microsoft.directory/multiTenantOrganization/standard/read	Чтение базовых свойств мультитенантной организации
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Чтение сведений о организации клиента, участвующего в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/standard/read	Чтение базовых свойств клиента, участвующих в многотенантной организации
microsoft.directory/namedLocations/standard/read	Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/oAuth2PermissionGrants/allProperties/read	Чтение всех свойств для предоставлений разрешений OAuth 2.0
microsoft.directory/organization/allProperties/read	Чтение всех свойств для организации
microsoft.directory/pendingExternalUserProfiles/standard/read	Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams
microsoft.directory/permissionGrantPolicies/standard/read	Чтение стандартных свойств для политик предоставления разрешений
microsoft.directory/policies/allProperties/read	Чтение всех свойств политик
microsoft.directory/privilegedIdentityManagement/allProperties/read	Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/roleAssignments/allProperties/read	Чтение всех свойств для назначений ролей
microsoft.directory/roleDefinitions/allProperties/read	Чтение всех свойств для определений ролей
microsoft.directory/scopedRoleMemberships/allProperties/read	Просмотр членов в административных единицах
microsoft.directory/serviceAction/getAvailableExtentionProperties	Возможность выполнения действия getAvailableExtentionProperties для службы
microsoft.directory/servicePrincipalCreationPolicies/standard/read	Чтение стандартных свойств политик создания субъектов-служб
microsoft.directory/servicePrincipals/allProperties/read	Чтение всех свойств (включая привилегированные свойства) для servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.directory/subscribedSkus/allProperties/read	Чтение всех свойств для подписок на продукты
microsoft.directory/users/allProperties/read	Чтение всех свойств пользователей
microsoft.directory/users/authenticationMethods/standard/restrictedRead	Считывание стандартных свойств способов проверки подлинности, не включающих личные сведения пользователей
microsoft.directory/verifiableCredentials/configuration/allProperties/read	Чтение конфигурации, необходимой для создания проверяемых удостоверений и управления ими
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	Чтение контракта для проверяемого удостоверения
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	Чтение карточки проверяемого удостоверения
microsoft.edge/allEntities/allProperties/read	Чтение всех аспектов Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read	Чтение аспектов Подключение к данным Microsoft Graph
microsoft.hardware.support/shippingAddress/allProperties/read	Чтение адресов доставки для утверждений о гарантии оборудования Майкрософт, включая существующие адреса доставки, созданные другими пользователями
microsoft.hardware.support/shippingStatus/allProperties/read	Чтение состояния доставки для открытых утверждений о гарантии оборудования Майкрософт
microsoft.hardware.support/warrantyClaims/allProperties/read	Чтение утверждений о гарантии оборудования Майкрософт
microsoft.insights/allEntities/allProperties/read	Чтение всех аспектов Viva Insights
microsoft.networkAccess/allEntities/allProperties/read	Чтение всех аспектов доступа к сети Microsoft Entra
microsoft.office365.fileStorageContainers/allEntities/allProperties/read	Чтение сущностей и разрешений контейнеров SharePoint Embedded
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.messageCenter/securityMessages/read	Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Чтение всех аспектов сообщений организации Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read	Чтение всех свойств в Центрах безопасности и соответствия требованиям
microsoft.office365.securityComplianceCenter/allEntities/read	Чтение стандартных свойств в Центрах безопасности и соответствия требованиям Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read	Считывание всех аспектов Yammer
microsoft.permissionsManagement/allEntities/allProperties/read	Чтение всех аспектов Управление разрешениями Microsoft Entra
microsoft.teams/allEntities/allProperties/read	Считывание всех свойств Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read	Запись всех аспектов Viva Insights
microsoft.viva.goals/allEntities/allProperties/read	Чтение всех аспектов целей Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/read	Чтение всех аспектов Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read	Чтение всех аспектов службы Центра обновления Windows

Глобальный администратор безопасного доступа

Назначьте роль глобального администратора безопасного доступа пользователям, которым необходимо выполнить следующие действия:

• Создание и управление всеми аспектами Интернет-доступ Microsoft Entra и Частный доступ Microsoft Entra
• Управление доступом к общедоступным и частным конечным точкам

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается управлять корпоративными приложениями, регистрациями приложений, условным доступом или параметрами прокси приложения

Подробнее

Действия	Description
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/applicationPolicies/standard/read	Чтение стандартных свойств политик приложений
microsoft.directory/applications/applicationProxy/read	Чтение всех свойств прокси приложения
microsoft.directory/applications/owners/read	Считывание владельцев приложений
microsoft.directory/applications/policies/read	Чтение политик приложений
microsoft.directory/applications/standard/read	Чтение стандартных свойств приложений
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/conditionalAccessPolicies/standard/read	Чтение условного доступа для политик
microsoft.directory/connectorGroups/allProperties/read	Чтение всех свойств групп соединителей частной сети
microsoft.directory/connectors/allProperties/read	Чтение всех свойств соединителей частной сети
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/standard/read	Чтение базовых свойств политики межклиентского доступа
microsoft.directory/namedLocations/standard/read	Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.networkAccess/allEntities/allProperties/allTasks	Управление всеми аспектами доступа к сети Microsoft Entra
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор групп

Пользователи с этой ролью могут создавать группы и управлять ими, а также создавать параметры групп, такие как политики именования и срока действия, и управлять ими. Важно понимать, что при назначении пользователю этой роли он получит возможность управлять всеми группами в организации для различных рабочих нагрузок, таких как Teams, SharePoint и Yammer, в дополнение к Outlook. Пользователь также сможет управлять разными параметрами групп на разных порталах администрирования, таких как Центр администрирования Майкрософт и портал Azure, а также в центрах администрирования для определенных рабочих нагрузок, таких как центры администрирования Teams и SharePoint.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/deletedItems.groups/delete	Безвозвратное удаление групп, которые будет невозможно восстановить
microsoft.directory/deletedItems.groups/restore	Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/groups/assignLicense	Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/basic/update	Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/classification/update	Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/create	Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete	Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/dynamicMembershipRule/update	Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/groupType/update	Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/hiddenMembers/read	Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/members/update	Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/onPremWriteBack/update	Обновление групп Microsoft Entra для записи обратно в локальную среду с помощью Microsoft Entra Connect
microsoft.directory/groups/owners/update	Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/reprocessLicenseAssignment	Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/restore	Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/groups/settings/update	Обновление параметров групп
microsoft.directory/groups/visibility/update	Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Приглашающий гостей

Пользователи в этой роли могут управлять приглашениями гостевых пользователей Microsoft Entra B2B, когда участники могут приглашать параметр пользователя в значение No. Дополнительные сведения о совместной работе B2B см. в описании совместной работы Microsoft Entra B2B. В нее не входят какие-либо другие разрешения.

Действия	Description
microsoft.directory/users/appRoleAssignments/read	Чтение назначений ролей приложения для пользователей
microsoft.directory/users/deviceForResourceAccount/read	Чтение свойства deviceForResourceAccount для пользователей
microsoft.directory/users/directReports/read	Считывание подчиненных конкретного пользователя
microsoft.directory/users/invitedBy/read	Чтение пользователя, приглашающего внешнего пользователя в клиент
microsoft.directory/users/inviteGuest	Приглашение гостевых пользователей
microsoft.directory/users/licenseDetails/read	Чтение сведений о лицензиях для пользователей
microsoft.directory/users/manager/read	Считывание менеджера пользователей
microsoft.directory/users/memberOf/read	Считывание данных о членстве пользователей в группах
microsoft.directory/users/oAuth2PermissionGrants/read	Чтение операций предоставления делегированных разрешений для пользователей
microsoft.directory/users/ownedDevices/read	Считывание устройств, принадлежащих пользователям
microsoft.directory/users/ownedObjects/read	Считывание объектов, принадлежащих пользователям
microsoft.directory/users/photo/read	Просмотр фотографий пользователей
microsoft.directory/users/registeredDevices/read	Считывание зарегистрированных устройств пользователей
microsoft.directory/users/scopedRoleMemberOf/read	Чтение членства пользователя в роли Microsoft Entra, которая распространяется на административную единицу.
microsoft.directory/users/sponsors/read	Чтение спонсоров пользователей
microsoft.directory/users/standard/read	Чтение базовых свойств для пользователей

Администратор службы технической поддержки

Это привилегированная роль. Пользователи с этой ролью могут изменять пароли, аннулировать токены обновления, создавать запросы в службу поддержки корпорации Майкрософт для служб Azure и Microsoft 365 и управлять ими, а также отслеживать работоспособность служб. После аннулирования маркера обновления пользователь должен выполнить вход еще раз. Наличие у администратора службы поддержки возможности сбросить пароль пользователя и сделать маркеры обновления недействительными, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор службы технической поддержки может сбросить пароли и сделать маркеры обновления недействительными, см. в разделе Кто может сбрасывать пароли.

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.

Внимание

Пользователи с этой ролью могут изменять пароли для людей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Например:

• Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам Helpdesk. По этому пути администратор службы технической поддержки сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
• Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
• Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
• Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и систем кадров.
• Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Делегировать разрешения администратора в подмножества пользователей, а также применять политики к подмножеству пользователей можно с помощью административных единиц.

Эта роль ранее была названа администратором паролей в портал Azure. Он был переименован в службу "Администратор службы поддержки", чтобы выровнять существующее имя в API Microsoft Graph и Microsoft Graph PowerShell.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/bitlockerKeys/key/read	Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/deviceLocalCredentials/standard/read	Чтение всех свойств учетных данных учетной записи локального администратора для устройств, присоединенных к Microsoft Entra, кроме пароля
microsoft.directory/users/invalidateAllRefreshTokens	Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/password/update	Сброс паролей для всех пользователей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор гибридных удостоверений

Это привилегированная роль. Пользователи этой роли могут создавать, администрировать и развертывать настройку конфигурации подготовки из Active Directory в идентификатор Microsoft Entra ID с помощью облачной подготовки, а также управлять Microsoft Entra Connect, сквозной проверкой подлинности (PTA), синхронизацией хэша паролей (PHS), простым единым входом (простой единый вход) и параметрами федерации. Не имеет доступа к управлению Microsoft Entra Connect Health. Эта роль также позволяет отслеживать журналы и устранять неполадки.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/applications/appRoles/update	Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update	Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update	Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update	Обновление базовых свойств приложений
microsoft.directory/applications/create	Создание всех типов приложений
microsoft.directory/applications/delete	Удаление всех типов приложений
microsoft.directory/applications/notes/update	Обновление заметок приложений
microsoft.directory/applications/owners/update	Обновление владельцев приложений
microsoft.directory/applications/permissions/update	Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update	Обновление политик приложений
microsoft.directory/applications/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applications/tag/update	Обновление тегов приложений
microsoft.directory/applicationTemplates/instantiate	Создание экземпляров приложений коллекции из шаблонов приложений
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/cloudProvisioning/allProperties/allTasks	Чтение и настройка всех свойств облачной службы подготовки Microsoft Entra.
microsoft.directory/deletedItems.applications/delete	Безвозвратное удаление приложений, которые будет невозможно восстановить
microsoft.directory/deletedItems.applications/restore	Восстановление обратимо удаленных приложений в исходное состояние
microsoft.directory/domains/allProperties/read	Чтение всех свойств доменов
microsoft.directory/domains/federationConfiguration/basic/update	Обновление базовой конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/create	Создание конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/delete	Удаление конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/standard/read	Чтение стандартных свойств конфигурации федерации для доменов
microsoft.directory/domains/federation/update	Обновление свойства федерации для доменов
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	Управление политикой гибридной проверки подлинности в идентификаторе Microsoft Entra
microsoft.directory/onPremisesSynchronization/basic/update	Обновление базовых сведений о синхронизации локальных каталогов
microsoft.directory/onPremisesSynchronization/standard/read	Чтение стандартных сведений о синхронизации локальных каталогов
microsoft.directory/organization/dirSync/update	Обновление свойства синхронизации каталога организации
microsoft.directory/passwordHashSync/allProperties/allTasks	Управление всеми аспектами синхронизации хэша паролей (PHS) в идентификаторе Microsoft Entra
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/audience/update	Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update	Обновление свойств проверки подлинности для субъектов-служб
microsoft.directory/servicePrincipals/basic/update	Обновление базовых свойств для субъектов-служб
microsoft.directory/servicePrincipals/create	Создание субъектов-служб
microsoft.directory/servicePrincipals/delete	Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable	Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable	Включение субъектов-служб
microsoft.directory/servicePrincipals/notes/update	Обновление заметок субъектов-служб
microsoft.directory/servicePrincipals/owners/update	Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update	Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update	Обновление политик для субъектов-служб
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage	Управление облачным клиентом в облачных приложениях подготовки секретов и учетных данных.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage	Запуск, перезапуск и приостановка облачных клиентов в заданиях синхронизации синхронизации облачных приложений клиента.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage	Создание и управление облачным клиентом для облачных приложений для подготовки заданий синхронизации и схемы.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage	Управление учетными данными и секретами для подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage	Создание заданий синхронизации и схемы синхронизации подготовки приложений и управление ими.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Управление учетными данными и секретами для подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Запуск, перезапуск и приостановка заданий синхронизации подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Создание заданий и схем синхронизации подготовки приложений и управление ими
microsoft.directory/servicePrincipals/synchronization/standard/read	Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/servicePrincipals/tag/update	Обновление свойства тега для субъектов-служб
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.directory/users/authorizationInfo/update	Обновление свойства идентификаторов пользователей с несколькими значениями сертификата для пользователей
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор управления удостоверениями

Пользователи с этой ролью могут управлять конфигурацией Управление идентификацией Microsoft Entra, включая пакеты доступа, проверки доступа, каталоги и политики, обеспечивая утверждение и проверку доступа, а также гостевых пользователей, которые больше не нуждаются в доступе, удаляются.

Действия	Description
microsoft.directory/accessReviews/allProperties/allTasks	(не рекомендуется) Создание и удаление проверок доступа, чтение и обновление всех свойств проверок доступа и управление проверками доступа групп в идентификаторе Microsoft Entra
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	Управление проверками доступа назначений ролей приложения в идентификаторе Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	Управление проверками доступа для назначений пакетов для доступа в системе управления правами
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groups/allProperties/update	Обновление всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groups/create	Создание проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete	Удаление проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/entitlementManagement/allProperties/allTasks	Создание и удаление ресурсов, а также чтение и обновление всех свойств в управлении правами Microsoft Entra
microsoft.directory/groups/members/update	Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы

Администратор Insights

Пользователям с этой ролью предоставляется доступ к полному набору административных возможностей приложения Microsoft Viva Insights. Эта роль позволяет считывать данные каталога, следить за работоспособностью служб, отправлять запросы в службу поддержки и получать доступ к аспектам параметров администратора Insights.

Подробнее

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.insights/allEntities/allProperties/allTasks	Управление всеми аспектами приложения Insights
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Аналитик Insights

Назначьте роль Аналитика Insights пользователям, которым требуется выполнять следующие операции:

• анализ данных в приложении Microsoft Viva Insights, но при этом он не должен иметь возможности управлять параметрами конфигурации;
• создание, управление и выполнение запросов;
• просмотр основных параметров и отчетов в Центре администрирования Microsoft 365;
• создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.

Подробнее

Действия	Description
microsoft.insights/queries/allProperties/allTasks	Выполнение запросов в приложении "Viva Аналитика" и управление ими
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Аналитика для руководителей компаний

Пользователи с этой ролью могут получить доступ к набору панелей мониторинга и аналитике через приложение Microsoft Viva Insights. Им полностью доступны все панели мониторинга и предлагаемые функции аналитики и исследования данных. Пользователи в этой роли не имеют доступа к параметрам конфигурации продукта, которые относятся к сфере ответственности администратора Insights.

Подробнее

Действия	Description
microsoft.insights/programs/allProperties/update	Развертывание программ и управление ими в приложении Insights
microsoft.insights/reports/allProperties/read	Просмотр отчетов и панели мониторинга в приложении Insights

Администратор Intune

Это привилегированная роль. пользователи с этой ролью имеют глобальные разрешения в Microsoft Intune Online (если служба используется). Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими. Дополнительные сведения см. в разделе управления администрированием на основе ролей (RBAC) с помощью Microsoft Intune.

Эта роль позволяет создавать все группы безопасности и управлять ими. Однако у администратора Intune нет прав администратора для групп Office. Это значит, что администратор не может изменять владельцев или членство групп Office в организации. Однако он может управлять созданной им группой Office, которая входит в состав его прав конечного пользователя. Таким образом, любая созданная им группа Office (не группа безопасности) должна включаться в квоту, размер которой составляет 250 групп.

Примечание.

В API Microsoft Graph и Microsoft Graph PowerShell эта роль называется администратором службы Intune. В портал Azure он называется администратором Intune.

Действия	Description
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.cloudPC/allEntities/allProperties/allTasks	Управление всеми аспектами Windows 365
microsoft.directory/bitlockerKeys/key/read	Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/contacts/basic/update	Обновление базовых параметров контактов
microsoft.directory/contacts/create	Создание контактов
microsoft.directory/contacts/delete	Удаление контактов
microsoft.directory/deletedItems.devices/delete	Окончательное удаление устройств, которые больше не могут быть восстановлены
microsoft.directory/deletedItems.devices/restore	Восстановление обратимо удаленных устройств в исходном состоянии
microsoft.directory/deviceLocalCredentials/password/read	Чтение всех свойств учетных данных учетной записи локального администратора для устройств, присоединенных к Microsoft Entra, включая пароль
microsoft.directory/deviceManagementPolicies/standard/read	Чтение стандартных свойств в политиках управления мобильными устройствами и мобильных приложений
microsoft.directory/deviceRegistrationPolicy/standard/read	Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/devices/basic/update	Обновление базовых свойств для устройств
microsoft.directory/devices/create	Создание устройств (регистрация в идентификаторе Microsoft Entra)
microsoft.directory/devices/delete	Удаление устройств из идентификатора Microsoft Entra
microsoft.directory/devices/disable	Отключение устройств в идентификаторе Microsoft Entra
microsoft.directory/devices/enable	Включение устройств в идентификаторе Microsoft Entra
microsoft.directory/devices/extensionAttributeSet1/update	Обновление свойств с extensionAttribute1 по extensionAttribute5 на устройствах
microsoft.directory/devices/extensionAttributeSet2/update	Обновление свойств с extensionAttribute6 по extensionAttribute10 на устройствах
microsoft.directory/devices/extensionAttributeSet3/update	Обновление свойств с extensionAttribute11 по extensionAttribute15 на устройствах
microsoft.directory/devices/registeredOwners/update	Обновление зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/update	Обновление зарегистрированных пользователей устройств
microsoft.directory/groups/hiddenMembers/read	Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.security/basic/update	Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/classification/update	Обновление свойств классификации для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/create	Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/delete	Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/dynamicMembershipRule/update	Обновление динамического правила членства в коллекции в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update	Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update	Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/visibility/update	Обновление свойства видимости для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/users/basic/update	Обновление базовых параметров пользователей
microsoft.directory/users/manager/update	Обновление менеджера для пользователей
microsoft.directory/users/photo/update	Обновление фотографий пользователей
microsoft.intune/allEntities/allTasks	Управление всеми аспектами Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Чтение всех аспектов сообщений организации Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Kaizala

Пользователи с этой ролью имеют глобальные разрешения на управление параметрами в Microsoft Kaizala при наличии этой службы, а также возможность управления запросами в службу поддержки и мониторинга работоспособности службы. Кроме того, пользователю доступны отчеты об установке и использовании Kaizala членами организации, а также бизнес-отчеты, создаваемые по действиям Kaizala.

Действия	Description
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор знаний

Пользователи с этой ролью имеют полный доступ ко всем параметрам функций базы знаний, обучения и аналитики в Центре администрирования Microsoft 365. Они имеют общее представление о наборе продуктов, сведений о лицензировании и несут ответственность за контроль доступа. Администратор базы знаний может создавать и администрировать содержимое, например разделы, акронимы и учебные материалы. Кроме того, эти пользователи могут создать центры контента, отслеживать работоспособность служб и создавать запросы на обслуживание.

Действия	Description
microsoft.directory/groups.security/basic/update	Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/create	Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/createAsOwner	Создание групп безопасности, за исключением групп с возможностью назначения ролей Первым владельцем назначается создатель.
microsoft.directory/groups.security/delete	Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update	Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update	Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	Чтение и обновление всех свойств осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	Чтение и обновление всех свойств сети знаний в Центре администрирования Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks	Управление источниками обучения и всеми их свойствами в приложении для обучения
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read	Чтение всех свойств меток конфиденциальности в Центрах обеспечения безопасности и соответствия требованиям
microsoft.office365.sharePoint/allEntities/allTasks	Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Управляющий базой знаний

Пользователи с этой ролью могут создавать и администрировать контент, например разделы, акронимы и обучающие материалы. Эти пользователи в основном отвечают за качество и структуру набора знаний. Этот пользователь имеет полные права на действия по управлению разделами (подтверждение, утверждение или удаление). Эта роль также позволяет управлять таксономиями в рамках средства управления хранилищем терминов и создавать центры контента.

Действия	Description
microsoft.directory/groups.security/basic/update	Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/create	Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/createAsOwner	Создание групп безопасности, за исключением групп с возможностью назначения ролей Первым владельцем назначается создатель.
microsoft.directory/groups.security/delete	Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update	Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update	Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	Чтение аналитических отчетов осмысления контента в Центре администрирования Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	Управление видимостью разделов сети знаний в Центре администрирования Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор лицензий

Пользователи этой роли могут читать, добавлять, удалять и обновлять назначения лицензий для пользователей, групп (с помощью группового лицензирования) и управлять расположением использования для пользователей. Роль не предоставляет возможности управления подписками или их приобретения, создания групп или управления ими, или создания и управления пользователями за пределами расположения использования. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/groups/assignLicense	Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/reprocessLicenseAssignment	Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/users/assignLicense	Управление лицензиями пользователей
microsoft.directory/users/reprocessLicenseAssignment	Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/usageLocation/update	Обновление расположения использования пользователей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор рабочих процессов жизненного цикла

Это привилегированная роль. Назначьте роль администратора рабочих процессов жизненного цикла пользователям, которым необходимо выполнять следующие задачи:

• Создание всех аспектов рабочих процессов и задач, связанных с рабочими процессами жизненного цикла, и управление ими в идентификаторе Microsoft Entra
• Проверка выполнения запланированных рабочих процессов
• Запуск рабочих процессов по запросу
• Проверка журналов выполнения рабочего процесса

Действия	Description
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks	Управление всеми аспектами рабочих процессов и задач жизненного цикла в идентификаторе Microsoft Entra
microsoft.directory/organization/strongAuthentication/read	Чтение свойств строгой проверки подлинности организации
microsoft.directory/users/lifeCycleInfo/read	Чтение сведений о жизненном цикле пользователей, таких как employeeLeaveDateTime

Читатель конфиденциальности данных Центра сообщений

Пользователи с этой ролью могут отслеживать все уведомления в Центре сообщений, включая сообщения о конфиденциальности данных. Читатели конфиденциальных данных Центра сообщений получают уведомления по электронной почте, в том числе относящиеся к конфиденциальности данных, и могут отменить подписку в его настройках. Чтение сообщений о конфиденциальности доступно только глобальным администраторам и читателям конфиденциальности данных Центра сообщений. Кроме того, эта роль включает возможность просмотра групп, доменов и подписок. Она не дает разрешения на просмотр, создание и обработку запросов на обслуживание.

Действия	Description
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.messageCenter/securityMessages/read	Чтение сообщений системы безопасности в центре сообщений Центра администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Читатель центра сообщений

Пользователи с этой ролью могут отслеживать уведомления и рекомендации по обновлениям работоспособности в Центре сообщений для своей организации в настроенных службах, таких как Exchange, Intune и Microsoft Teams. Читатели Центра сообщений еженедельно получают по электронной почте хэш-коды публикаций, обновлений и могут размещать общедоступные публикации в центре сообщений в Microsoft 365. В идентификаторе Microsoft Entra пользователи, назначенные этой роли, будут иметь доступ только для чтения в службах Microsoft Entra, таких как пользователи и группы. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия	Description
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор миграции Microsoft 365

Назначьте роль администратора миграции Microsoft 365 пользователям, которым необходимо выполнить следующие задачи:

• Используйте диспетчер миграции в Центр администрирования Microsoft 365 для управления миграцией содержимого в Microsoft 365, включая Teams, OneDrive для бизнеса и сайты SharePoint, из Google Drive, Dropbox, Box и Egnyte
• Выбор источников миграции, создание инвентаризаций миграции (например, списки пользователей Google Drive), планирование и выполнение миграции и скачивание отчетов
• Создание новых сайтов SharePoint, если целевые сайты еще не существуют, создайте списки SharePoint на сайтах администрирования SharePoint и создайте и обновите элементы в списках SharePoint.
• Управление параметрами проекта миграции и жизненным циклом миграции для задач
• Управление сопоставлениями разрешений из источника в назначение

Примечание.

Эта роль не позволяет выполнять миграцию из источников общей папки с помощью Центра администрирования SharePoint. Роль администратора SharePoint можно использовать для миграции из источников общей папки.

Подробнее

Действия	Description
microsoft.office365.migrations/allEntities/allProperties/allTasks	Управление всеми аспектами миграции Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Локальный администратор устройства, присоединенный к Microsoft Entra

эту роль можно назначить только в качестве роли дополнительного локального администратора в параметрах устройства. Пользователи с этой ролью становятся локальными администраторами компьютеров на всех устройствах Windows 10, присоединенных к идентификатору Microsoft Entra. У них нет возможности управлять объектами устройств в идентификаторе Microsoft Entra.

Действия	Description
microsoft.directory/groupSettings/standard/read	Чтение базовых свойств для параметров группы
microsoft.directory/groupSettingTemplates/standard/read	Чтение базовых свойств для шаблонов параметров группы

Администратор гарантии оборудования Майкрософт

Назначьте роль администратора гарантии оборудования Майкрософт пользователям, которым необходимо выполнить следующие задачи:

• Создание новых утверждений о гарантии для оборудования, изготовленного корпорацией Майкрософт, например Surface и HoloLens
• Поиск и чтение открытых или закрытых утверждений гарантии
• Поиск и чтение утверждений гарантии по серийным номерам
• Создание, чтение, обновление и удаление адресов доставки
• Чтение состояния доставки для открытых утверждений гарантии
• создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
• Чтение объявлений центра сообщений в Центр администрирования Microsoft 365

Утверждение гарантии — это запрос на ремонт оборудования или замена в соответствии с условиями гарантии. Дополнительные сведения см. в разделе "Самообслуживание" для запросов на обслуживание и гарантии Surface.

Действия	Description
microsoft.hardware.support/shippingAddress/allProperties/allTasks	Создание, чтение, обновление и удаление адресов доставки для утверждений гарантии оборудования Майкрософт, включая адреса доставки, созданные другими пользователями
microsoft.hardware.support/shippingStatus/allProperties/read	Чтение состояния доставки для открытых утверждений о гарантии оборудования Майкрософт
microsoft.hardware.support/warrantyClaims/allProperties/allTasks	Создание и управление всеми аспектами утверждений на гарантии оборудования Майкрософт
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Специалист по гарантии оборудования Майкрософт

Назначьте роль специалиста по гарантии оборудования Майкрософт пользователям, которым необходимо выполнить следующие задачи:

• Создание новых утверждений о гарантии для оборудования, изготовленного корпорацией Майкрософт, например Surface и HoloLens
• Чтение утверждений о гарантии, которые они создали
• Чтение и обновление существующих адресов доставки
• Чтение состояния доставки для открытых утверждений о гарантии, которые они создали
• создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.

Утверждение гарантии — это запрос на ремонт оборудования или замена в соответствии с условиями гарантии. Дополнительные сведения см. в разделе "Самообслуживание" для запросов на обслуживание и гарантии Surface.

Действия	Description
microsoft.hardware.support/shippingAddress/allProperties/read	Чтение адресов доставки для утверждений о гарантии оборудования Майкрософт, включая существующие адреса доставки, созданные другими пользователями
microsoft.hardware.support/warrantyClaims/createAsOwner	Создание утверждений о гарантии оборудования Майкрософт, где создатель является владельцем
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read	Чтение состояния доставки для открытых утверждений о гарантии оборудования Майкрософт
microsoft.hardware.support/warrantyClaims/allProperties/read	Чтение утверждений о гарантии оборудования Майкрософт

Администратор современной коммерческой платформы

Не используйте. Эта роль автоматически назначается коммерческой платформой и не предназначена для любого другого использования. Этот процесс описан ниже.

Роль администратора современной коммерческой платформы предоставляет определенным пользователям разрешение на доступ к центру администрирования Microsoft 365, а также возможность видеть в левой области навигации элементы Главная, Выставление счетов и Поддержка. Содержимое, доступное в этих областях, контролируется ролями коммерческой платформы, назначенными пользователям для управления продуктами, которые они приобрели для себя или для организации. Это могут быть такие задачи, как оплата счетов или доступ к учетным записям и профилям выставления счетов.

Пользователи с ролью администратора современной коммерции обычно имеют административные разрешения в других системах приобретения Майкрософт, но не имеют роли глобального администратора или администратора выставления счетов, используемые для доступа к центру администрирования.

Когда назначается роль администратора современной коммерческой платформы

• Самостоятельная покупка в Центре администрирования Microsoft 365 — самостоятельная покупка дает пользователям возможность опробовать новые продукты, самостоятельно купив их или зарегистрировавшись в них. Управление этими продуктами осуществляется в центре администрирования. Пользователям, которые самостоятельно совершают покупку, назначается роль в коммерческой системе, а также роль администратора современной коммерческой платформы для управления покупками в центре администрирования. Администраторы могут блокировать самостоятельные покупки (для Fabric, Power BI, Power Apps, Power Automate) с помощью PowerShell. Дополнительные сведения см. на странице Вопросы и ответы по самостоятельной покупке.
• Покупки из коммерческой платформы Майкрософт— аналогично самостоятельной покупке, когда пользователь покупает продукт или службу из Microsoft AppSource или Azure Marketplace, роль администратора современной коммерции назначается, если у них нет роли глобального администратора или администратора выставления счетов. В некоторых случаях пользователям может запрещаться совершать эти покупки. Дополнительные сведения см. в статье Коммерческая платформа Майкрософт.
• Предложения от Майкрософт — официальное предложение от корпорации Майкрософт приобрести продукты и службы Майкрософт. Когда пользователь, принимающий предложение, не имеет роли глобального администратора или администратора выставления счетов в идентификаторе Microsoft Entra ID, они назначаются как для выполнения предложения, так и роли администратора современной коммерции для доступа к центру администрирования. При доступе к центру администрирования он может использовать только те функции, которые разрешены его коммерческой ролью.
• Коммерческие роли — некоторым пользователям назначаются коммерческие роли. Если пользователь не является глобальным администратором или администратором выставления счетов, он получает роль администратора современной коммерции, чтобы получить доступ к центру администрирования.

Когда назначение роли администратора современной коммерческой платформы пользователю отменяется, он утрачивает доступ к центру администрирования Microsoft 365. Если он управлял любыми продуктами для самостоятельного использования или для организации, то больше не сможет управлять ими. Это относится в том числе к назначению лицензий, изменению методов оплаты, оплате счетов и другим задачам управления подписками.

Действия	Description
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks	Управление всеми аспектами Volume Licensing Service Center
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/basic/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Network Administrator

Пользователи с этой ролью могут просматривать рекомендации по архитектуре периметра сети от Майкрософт, основанные на телеметрии сети, получаемой из расположений пользователей. Производительность сети для Microsoft 365 зависит от тщательного планирования корпоративной архитектуры периметра сети клиентов, которая, как правило, специфична для каждого расположения. Данная роль позволяет изменять обнаруженные расположения пользователей, настраивать их сетевые параметры и получать более оптимальную телеметрию и рекомендации по проектированию.

Действия	Description
microsoft.office365.network/locations/allProperties/allTasks	Управление всеми аспектами сетевых расположений
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор приложений Office

Пользователи с этой ролью могут управлять параметрами облака приложений Microsoft 365. Сюда входит управление облачными политиками, самостоятельное управление скачиванием и возможность просмотра отчета по приложениям Office. Эта роль также позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб в главном центре администрирования. Пользователи, которым назначена эта роль, могут также управлять взаимодействием новых функций в приложениях Office.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.userCommunication/allEntities/allTasks	Чтение сообщений о новых возможностях и обновление их видимости
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор фирменной символики организации

Назначьте роль администратора фирменной символики организации пользователям, которым необходимо выполнить следующие задачи:

• Управление всеми аспектами фирменной символики организации в клиенте
• Чтение, создание, обновление и удаление тем фирменной символики
• Управление темой фирменной символики по умолчанию и всеми темами локализации фирменной символики

Действия	Description
microsoft.directory/loginOrganizationBranding/allProperties/allTasks	Создание и удаление элемента loginTenantBranding, а также чтение и обновление всех свойств

Утверждающий организационные сообщения

Назначьте роль утверждающего сообщений организации пользователям, которым необходимо выполнить следующие задачи:

• Просмотр, утверждение или отклонение новых сообщений организации для доставки в Центр администрирования Microsoft 365 перед отправкой пользователям с помощью платформы сообщений организации Microsoft 365
• Чтение всех аспектов сообщений организации
• Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Действия	Description
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Чтение всех аспектов сообщений организации Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/update	Утверждение или отклонение новых сообщений организации для доставки в Центр администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Запись сообщений организации

Назначьте роль записи сообщений организации пользователям, которым необходимо выполнить следующие задачи:

• Запись, публикация и удаление сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
• Управление параметрами доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
• Чтение результатов доставки сообщений организации с помощью Центр администрирования Microsoft 365 или Microsoft Intune
• Просмотр отчетов об использовании и большинства параметров в Центр администрирования Microsoft 365, но не может вносить изменения.

Действия	Description
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks	Управление всеми аспектами разработки сообщений организации Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read	Чтение агрегированных отчетов об использовании Office 365 на уровне клиента
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Поддержка партнеров уровня 1

Это привилегированная роль. Не используйте. Эта роль устарела и будет удалена из идентификатора Microsoft Entra в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

Внимание

Эта роль может сбрасывать пароли и проверять маркеры обновления только для пользователей, не являющихся администраторами. Эта роль не должна использоваться, так как она не рекомендуется.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/applications/appRoles/update	Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update	Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update	Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update	Обновление базовых свойств приложений
microsoft.directory/applications/credentials/update	Обновление учетных данных приложения
microsoft.directory/applications/notes/update	Обновление заметок приложений
microsoft.directory/applications/owners/update	Обновление владельцев приложений
microsoft.directory/applications/permissions/update	Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update	Обновление политик приложений
microsoft.directory/applications/tag/update	Обновление тегов приложений
microsoft.directory/contacts/basic/update	Обновление базовых параметров контактов
microsoft.directory/contacts/create	Создание контактов
microsoft.directory/contacts/delete	Удаление контактов
microsoft.directory/deletedItems.groups/restore	Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/deletedItems.users/restore	Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/groups/create	Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete	Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/members/update	Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/owners/update	Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/restore	Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/users/assignLicense	Управление лицензиями пользователей
microsoft.directory/users/basic/update	Обновление базовых параметров пользователей
microsoft.directory/users/create	Добавить пользователей
microsoft.directory/users/delete	Удаление пользователей
microsoft.directory/users/disable	Отключение пользователей
microsoft.directory/users/enable	Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens	Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/manager/update	Обновление менеджера для пользователей
microsoft.directory/users/password/update	Сброс паролей для всех пользователей
microsoft.directory/users/photo/update	Обновление фотографий пользователей
microsoft.directory/users/restore	Восстановить удаленных пользователей
microsoft.directory/users/userPrincipalName/update	Обновление имени субъекта-пользователя для пользователей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Поддержка партнеров уровня 2

Это привилегированная роль. Не используйте. Эта роль устарела и будет удалена из идентификатора Microsoft Entra в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

Внимание

Эта роль позволяет сбрасывать пароли и делать маркеры обновления недействительными для всех пользователей, не являющихся администраторами, а также администраторов (включая глобальных). Эта роль не должна использоваться, так как она не рекомендуется.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/applications/appRoles/update	Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update	Обновление свойства audience для приложений
microsoft.directory/applications/authentication/update	Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update	Обновление базовых свойств приложений
microsoft.directory/applications/credentials/update	Обновление учетных данных приложения
microsoft.directory/applications/notes/update	Обновление заметок приложений
microsoft.directory/applications/owners/update	Обновление владельцев приложений
microsoft.directory/applications/permissions/update	Обновление предоставляемых и требуемых разрешений для всех типов приложений
microsoft.directory/applications/policies/update	Обновление политик приложений
microsoft.directory/applications/tag/update	Обновление тегов приложений
microsoft.directory/contacts/basic/update	Обновление базовых параметров контактов
microsoft.directory/contacts/create	Создание контактов
microsoft.directory/contacts/delete	Удаление контактов
microsoft.directory/deletedItems.groups/restore	Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/deletedItems.users/restore	Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/domains/allProperties/allTasks	Создание и удаление доменов, а также чтение и обновление всех свойств
microsoft.directory/groups/create	Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete	Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/members/update	Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/owners/update	Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/restore	Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/organization/basic/update	Обновление базовых свойств для организации
microsoft.directory/roleAssignments/allProperties/allTasks	Создание и удаление назначений ролей, а также чтение и обновление всех их свойств
microsoft.directory/roleDefinitions/allProperties/allTasks	Создание и удаление определений ролей, а также чтение и обновление всех их свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/subscribedSkus/standard/read	Чтение базовых свойств для подписок
microsoft.directory/users/assignLicense	Управление лицензиями пользователей
microsoft.directory/users/basic/update	Обновление базовых параметров пользователей
microsoft.directory/users/create	Добавить пользователей
microsoft.directory/users/delete	Удаление пользователей
microsoft.directory/users/disable	Отключение пользователей
microsoft.directory/users/enable	Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens	Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/manager/update	Обновление менеджера для пользователей
microsoft.directory/users/password/update	Сброс паролей для всех пользователей
microsoft.directory/users/photo/update	Обновление фотографий пользователей
microsoft.directory/users/restore	Восстановить удаленных пользователей
microsoft.directory/users/userPrincipalName/update	Обновление имени субъекта-пользователя для пользователей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор паролей

Это привилегированная роль. Пользователи с этой ролью имеют ограниченные возможности управления паролями. Эта роль не позволяет управлять запросами на обслуживание или отслеживать работоспособность служб. Возможность администратора паролей сбрасывать пароль пользователя, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор паролей может сбросить пароли, см. в разделе Кто может сбрасывать пароли.

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.

Действия	Description
microsoft.directory/users/password/update	Сброс паролей для всех пользователей
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор управления разрешениями

Назначьте роль администратора управления разрешениями пользователям, которым необходимо выполнить следующие задачи:

• Управление всеми аспектами Управление разрешениями Microsoft Entra, когда служба присутствует

Дополнительные сведения о ролях и политиках управления разрешениями см. в разделе "Просмотр сведений о ролях и политиках".

Действия	Description
microsoft.permissionsManagement/allEntities/allProperties/allTasks	Управление всеми аспектами Управление разрешениями Microsoft Entra

Администратор Power Platform

Пользователи с этой ролью могут создавать все аспекты сред, Power Apps, потоков и политик предотвращения потери данных и управлять ими. Кроме того, пользователи с этой ролью могут управлять запросами в службу поддержки и отслеживать работоспособность службы.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.dynamics365/allEntities/allTasks	Управление всеми аспектами Dynamics 365
microsoft.flow/allEntities/allTasks	Управление всеми аспектами Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.powerApps/allEntities/allTasks	Управление всеми аспектами Power Apps

Администратор принтеров

Пользователи с этой ролью могут регистрировать принтеры и управлять всеми аспектами конфигурации всех принтеров в решении универсальной печати Майкрософт, в том числе параметрами соединителя универсальной печати. Они могут предоставлять согласие на все запросы делегирования разрешений на печать. Администраторы принтеров также имеют доступ к отчетам о печати.

Действия	Description
microsoft.azure.print/allEntities/allProperties/allTasks	Создание и удаление принтеров и соединителей, а также чтение и обновление всех свойств в Microsoft Print

Технический специалист по принтерам

Пользователи с этой ролью могут регистрировать принтеры и управлять состоянием принтера в решении универсальной печати Майкрософт. Им также доступно чтение всей информации о соединителях. Техническому специалисту по принтерам недоступны такие задачи, как предоставление пользователям разрешений и общего доступа к принтерам.

Действия	Description
microsoft.azure.print/connectors/allProperties/read	Чтение всех свойств соединителей в Microsoft Print
microsoft.azure.print/printers/allProperties/read	Чтение всех свойств принтеров в Microsoft Print
microsoft.azure.print/printers/basic/update	Обновление базовых свойств принтеров в Microsoft Print
microsoft.azure.print/printers/register	Регистрация принтеров в Microsoft Print
microsoft.azure.print/printers/unregister	Отмена регистрации принтеров в Microsoft Print

Привилегированный администратор проверки подлинности

Это привилегированная роль. Назначьте роль администратора привилегированной проверки подлинности пользователям, которым необходимо выполнить следующие действия:

• Задайте или сбросьте любой метод проверки подлинности (включая пароли) для любого пользователя, включая глобальных администраторов.
• Удалите или восстановите всех пользователей, включая глобальных администраторов. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
• Принудительно заставить пользователей повторно зарегистрировать существующие учетные данные без пароля (например, MFA или FIDO) и отозвать MFA на устройстве, запрашивая MFA на следующем входе всех пользователей.
• Обновите конфиденциальные свойства для всех пользователей. Дополнительные сведения см. в разделе "Кто может выполнять конфиденциальные действия".
• Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365.

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается управлять MFA для каждого пользователя на устаревшем портале управления MFA.

В следующей таблице сравниваются возможности ролей, связанных с проверкой подлинности.

Должность	Управление методами проверки подлинности пользователя	Управление MFA для каждого пользователя	Управление параметрами MFA	Управление политикой выбора метода проверки подлинности	Управление политикой защиты паролем	Обновление конфиденциальных свойств	Удаление и восстановление пользователей
Администратор проверки подлинности	Да для некоторых пользователей	Да для некоторых пользователей	Да	No	Нет	Да для некоторых пользователей	Да для некоторых пользователей
Привилегированный администратор проверки подлинности	Да для всех пользователей	Да для всех пользователей	Нет	No	Нет	Да для всех пользователей	Да для всех пользователей
Администратор политики проверки подлинности	No	Да	Да	Да	Да	No	Нет
Администратор пользователей	Нет	No	No	No	Нет	Да для некоторых пользователей	Да для некоторых пользователей

Внимание

Пользователи с этой ролью могут изменять учетные данные для пользователей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Например:

• Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам проверки подлинности. По этому пути администратор проверки подлинности сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
• Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
• Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
• Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, а также Портал соответствия требованиям Microsoft Purview и систем кадровых ресурсов.
• Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/deletedItems.users/restore	Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/users/authenticationMethods/basic/update	Изменение стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/create	Обновление методов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/delete	Удаление способов проверки подлинности для пользователей
microsoft.directory/users/authenticationMethods/standard/read	Считывание стандартных свойств способов проверки подлинности для пользователей
microsoft.directory/users/authorizationInfo/update	Обновление свойства идентификаторов пользователей с несколькими значениями сертификата для пользователей
microsoft.directory/users/basic/update	Обновление базовых параметров пользователей
microsoft.directory/users/delete	Удаление пользователей
microsoft.directory/users/disable	Отключение пользователей
microsoft.directory/users/enable	Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens	Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/manager/update	Обновление менеджера для пользователей
microsoft.directory/users/password/update	Сброс паролей для всех пользователей
microsoft.directory/users/restore	Восстановить удаленных пользователей
microsoft.directory/users/userPrincipalName/update	Обновление имени субъекта-пользователя для пользователей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор привилегированных ролей

Это привилегированная роль. Пользователи с этой ролью могут управлять назначениями ролей в идентификаторе Microsoft Entra, а также в управление привилегированными пользователями Microsoft Entra. Они могут создавать группы и управлять ими, которые могут быть назначены ролям Microsoft Entra. Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными удостоверениями и административными единицами.

Внимание

Эта роль предоставляет возможность управлять назначениями для всех ролей Microsoft Entra, включая роль глобального администратора. Эта роль не включает другие привилегированные возможности в идентификатор Microsoft Entra, например создание или обновление пользователей. Тем не менее пользователи, которым назначена эта роль, могут предоставить себе или другим пользователям дополнительные привилегии, назначив дополнительные роли.

Действия	Description
microsoft.directory/accessReviews/definitions.applications/allProperties/read	Чтение всех свойств проверок доступа назначений ролей приложения в идентификаторе Microsoft Entra
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks	Управление проверками доступа для назначений ролей Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update	Обновление всех свойств проверок доступа для членства в группах, которые можно назначить ролям Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create	Создание проверок доступа для членства в группах, которые можно назначить ролям Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete	Удаление проверок доступа для членства в группах, которые можно назначить ролям Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks	Создание административных единиц и управление ими (включая члены)
microsoft.directory/authorizationPolicy/allProperties/allTasks	Управление всеми аспектами политики авторизации
microsoft.directory/directoryRoles/allProperties/allTasks	Создание и удаление ролей каталога, а также чтение и обновление всех свойств
microsoft.directory/groupsAssignableToRoles/allProperties/update	Обновление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/assignLicense	Назначение лицензии группам с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/create	Создание групп с назначением ролей
microsoft.directory/groupsAssignableToRoles/delete	Удаление групп с возможностью назначения ролей
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment	Повторная обработка назначений лицензий для групп, назначаемых ролями
microsoft.directory/groupsAssignableToRoles/restore	Восстановление групп с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/permissionGrantPolicies/allProperties/read	Чтение всех свойств политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/allProperties/update	Обновление всех свойств политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/create	Создание политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/delete	Удаление политик предоставления разрешений
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks	Создание и удаление назначений ролей, а также чтение и обновление всех их свойств
microsoft.directory/roleDefinitions/allProperties/allTasks	Создание и удаление определений ролей, а также чтение и обновление всех их свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Создание и удаление объектов scopedRoleMembership, а также чтение и обновление всех их свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	Предоставление любому приложению согласия для любого разрешения
microsoft.directory/servicePrincipals/permissions/update	Обновление разрешений субъектов-служб
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Читатель отчетов

Пользователи с этой ролью могут просматривать данные отчетов об использовании и панель мониторинга отчетов в Центр администрирования Microsoft 365 и пакет контекста внедрения в Fabric и Power BI. Кроме того, роль предоставляет доступ ко всем журналам входа, журналам аудита и отчетам о действиях в идентификаторе и данных Microsoft Graph, возвращаемых API отчетов Microsoft Graph. Пользователь с ролью "Читатель отчетов" имеет доступ только к релевантным метрикам использования и внедрения. Он не приобретает полномочия администратора по настройке или использованию центров администрирования отдельных продуктов (например, Excahange). Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор поиска

Пользователи с этой ролью имеют полный доступ ко всем функциям управления поиска (Майкрософт) в Центре администрирования Microsoft 365. Кроме того, эти пользователи могут просматривать Центр сообщений, отслеживать работоспособность служб и создавать запросы на обслуживание.

Действия	Description
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.search/content/manage	Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)"
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Редактор поиска

Пользователи с этой ролью могут создавать, изменять и удалять содержимое поиска (Майкрософт) в Центре администрирования Microsoft 365, включая закладки, расположения или вопросы и ответы.

Действия	Description
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.search/content/manage	Создание и удаление содержимого, а также чтение и обновление всех свойств в средстве "Поиск (Майкрософт)"
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор безопасности

Это привилегированная роль. Пользователи с этой ролью имеют разрешения на управление функциями, связанными с безопасностью, на портале Microsoft 365 Defender, Защита идентификации Microsoft Entra, аутентификации Microsoft Entra Authentication, Azure Information Protection и Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.

In	Разрешено
Портал Microsoft 365 Defender	Отслеживает политики, связанные с безопасностью во всех службах Microsoft 365. Управляет угрозами безопасности и оповещениями. Просмотр отчетов
Защита идентификации Microsoft Entra	Все разрешения роли читателя сведений о безопасности. Выполнение всех операций защиты идентификаторов, за исключением сброса паролей
Управление привилегированными пользователями	Все разрешения роли читателя сведений о безопасности. Не удается управлять назначениями ролей и параметрами ролей Microsoft Entra
Портал соответствия требованиям Microsoft Purview	Управление политиками безопасности. Просмотр, исследование и реагирование на угрозы безопасности. Просмотр отчетов
Расширенная защита от угроз Azure	Мониторинг и реагирование на подозрительные безопасные действия.
Microsoft Defender для конечной точки	Назначение ролей Управление группами компьютеров Настройка выявления угроз в конечной точке и автоматизированном исправлении. Просмотр, исследование и реагирование на оповещения. Просмотр инвентаризации устройств и компьютеров
Intune	Сопоставляется с ролью Диспетчера безопасности конечных точек Intune
Microsoft Defender for Cloud Apps	Добавление администраторов, политики и параметров, загрузка журналов и выполнение действия системы управления.
Работоспособность службы Microsoft 365	Просмотр состояния служб Microsoft 365
Смарт-блокировка	Укажите пороговое значение и длительность блокировки при событиях неудачного входа.
Защита паролем	Настройте пользовательский список запрещенных паролей или локальную защиту паролем.
Синхронизация между клиентами	Настройка параметров доступа между клиентами для пользователей в другом клиенте. Администраторы безопасности не могут напрямую создавать и удалять пользователей, но могут косвенно создавать и удалять синхронизированных пользователей из другого клиента, если оба клиента настроены для синхронизации между клиентами, что является привилегированным разрешением.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/applications/policies/update	Обновление политик приложений
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read	Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/conditionalAccessPolicies/basic/update	Обновление базовых свойств политик условного доступа
microsoft.directory/conditionalAccessPolicies/create	Создание политик условного доступа
microsoft.directory/conditionalAccessPolicies/delete	Удаление политик условного доступа
microsoft.directory/conditionalAccessPolicies/owners/read	Чтение владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/owners/update	Обновление владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Чтение свойства "применено к" для политик условного доступа
microsoft.directory/conditionalAccessPolicies/standard/read	Чтение условного доступа для политик
microsoft.directory/conditionalAccessPolicies/tenantDefault/update	Обновление клиента по умолчанию для политик условного доступа
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Обновление разрешенных облачных конечных точек политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicies/basic/update	Обновление основных параметров политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	Обновление параметров совместной работы Microsoft Entra B2B политики доступа между клиентами по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update	Обновление параметров прямого подключения Microsoft Entra B2B политики доступа между клиентами по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	Обновление ограничений для клиентов политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	Обновление параметров совместной работы Microsoft Entra B2B для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update	Обновление параметров прямого подключения Microsoft Entra B2B для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/create	Создание политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/delete	Удаление политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update	Обновление базовых параметров политики синхронизации между клиентами
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create	Создание политики синхронизации между клиентами для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read	Чтение базовых свойств политики синхронизации между клиентами
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update	Обновление шаблонов политик синхронизации между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings	Сброс шаблона политики синхронизации между клиентами для многотенантной организации до параметров по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Чтение базовых свойств шаблонов политик синхронизации между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update	Обновление шаблонов политик доступа между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings	Сброс шаблона политики доступа между клиентами для мультитенантной организации до параметров по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Чтение базовых свойств шаблонов политик доступа между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	Обновление ограничений для клиентов политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/standard/read	Чтение базовых свойств политики межклиентского доступа
microsoft.directory/deviceLocalCredentials/standard/read	Чтение всех свойств учетных данных учетной записи локального администратора для устройств, присоединенных к Microsoft Entra, кроме пароля
microsoft.directory/domains/federationConfiguration/basic/update	Обновление базовой конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/create	Создание конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/delete	Удаление конфигурации федерации для доменов
microsoft.directory/domains/federationConfiguration/standard/read	Чтение стандартных свойств конфигурации федерации для доменов
microsoft.directory/domains/federation/update	Обновление свойства федерации для доменов
microsoft.directory/entitlementManagement/allProperties/read	Чтение всех свойств в управлении правами Microsoft Entra
microsoft.directory/identityProtection/allProperties/read	Чтение всех ресурсов в Защита идентификации Microsoft Entra
microsoft.directory/identityProtection/allProperties/update	Обновление всех ресурсов в Защита идентификации Microsoft Entra
microsoft.directory/multiTenantOrganization/basic/update	Обновление базовых свойств мультитенантной организации
microsoft.directory/multiTenantOrganization/create	Создание мультитенантной организации
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update	Присоединение к многотенантной организации
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Чтение свойств запроса на присоединение к организации с несколькими клиентами
microsoft.directory/multiTenantOrganization/standard/read	Чтение базовых свойств мультитенантной организации
microsoft.directory/multiTenantOrganization/tenants/create	Создание клиента в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/delete	Удаление клиента, участвующего в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Чтение сведений о организации клиента, участвующего в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update	Обновление базовых свойств клиента, участвующих в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/standard/read	Чтение базовых свойств клиента, участвующих в многотенантной организации
microsoft.directory/namedLocations/basic/update	Обновление основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/create	Создание настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/delete	Удаление настраиваемых правил, определяющих расположения в сети.
microsoft.directory/namedLocations/standard/read	Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/policies/basic/update	Обновление базовых свойств для политик
microsoft.directory/policies/create	Создание политик в идентификаторе Microsoft Entra
microsoft.directory/policies/delete	Удаление политик в идентификаторе Microsoft Entra
microsoft.directory/policies/owners/update	Обновление владельцев политик
microsoft.directory/policies/tenantDefault/update	Обновление политик организации по умолчанию
microsoft.directory/privilegedIdentityManagement/allProperties/read	Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update	Обновление контекста проверки подлинности условного доступа для действий ресурсов на основе ролей Microsoft 365 (RBAC)
microsoft.directory/servicePrincipals/policies/update	Обновление политик для субъектов-служб
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.networkAccess/allEntities/allProperties/allTasks	Управление всеми аспектами доступа к сети Microsoft Entra
microsoft.office365.protectionCenter/allEntities/basic/update	Обновление базовых свойств всех ресурсов в Центрах безопасности и соответствия требованиям
microsoft.office365.protectionCenter/allEntities/standard/read	Чтение стандартных свойств всех ресурсов в Центрах безопасности и соответствия требованиям
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Создание атакующих кодов и управление ими в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Чтение отчетов об имитации атак, ответах и связанном обучении
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	Создание шаблонов симуляции атак и управление ими в эмуляторе атак
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Оператор безопасности

Это привилегированная роль. Пользователи с этой ролью могут управлять оповещениями и иметь глобальный доступ только для чтения для функций, связанных с безопасностью, включая все сведения на портале Microsoft 365 Defender, Защита идентификации Microsoft Entra, управление привилегированными пользователями и Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.

In	Разрешено
Портал Microsoft 365 Defender	Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения об угрозах безопасности. Управление параметрами безопасности на портале Microsoft 365 Defender
Защита идентификации Microsoft Entra	Все разрешения роли читателя сведений о безопасности. Выполняйте все операции защиты идентификаторов, за исключением настройки или изменения политик на основе рисков, сброса паролей и настройки сообщений электронной почты оповещений.
Управление привилегированными пользователями	Все разрешения роли читателя сведений о безопасности.
Портал соответствия требованиям Microsoft Purview	Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения системы безопасности.
Microsoft Defender для конечной точки	Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения системы безопасности. Если включить управление доступом на основе ролей в Microsoft Defender для конечной точки, пользователи с разрешениями только для чтения, такими как роль читателя безопасности, теряют доступ, пока они не будут назначены Microsoft Defender для конечной точки роли.
Intune	Все разрешения роли читателя сведений о безопасности.
Microsoft Defender for Cloud Apps	Все разрешения роли читателя сведений о безопасности. Просмотр, исследование и реагирование на оповещения системы безопасности.
Работоспособность службы Microsoft 365	Просмотр состояния служб Microsoft 365

Действия	Description
microsoft.azure.advancedThreatProtection/allEntities/allTasks	Управление всеми аспектами Расширенной защиты от угроз Azure
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в приложениях Microsoft Defender для облака
microsoft.directory/identityProtection/allProperties/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Защита идентификации Microsoft Entra
microsoft.directory/privilegedIdentityManagement/allProperties/read	Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.intune/allEntities/read	Чтение всех ресурсов в Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks	Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Центре безопасности и соответствия требованиям Office 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	Управление всеми аспектами Microsoft Defender для конечной точки

Читатель сведений о безопасности

Это привилегированная роль. Пользователи с этой ролью имеют глобальный доступ только для чтения для функций, связанных с безопасностью, включая все сведения на портале Microsoft 365 Defender, Защита идентификации Microsoft Entra, управление привилегированными пользователями, а также возможность читать отчеты о входе в Microsoft Entra и журналы аудита, а также в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о разрешениях Office 365 см. в разделе "Роли и группы ролей" в Microsoft Defender для Office 365 и соответствии требованиям Microsoft Purview.

In	Разрешено
Портал Microsoft 365 Defender	Просмотр политик связанных с безопасностью во всех службах Microsoft 365. Просмотр угроз безопасности и оповещений. Просмотр отчетов
Защита идентификации Microsoft Entra	Просмотр всех отчетов защиты идентификаторов и обзор
Управление привилегированными пользователями	Имеет доступ только для чтения ко всем сведениям, представленным в Microsoft Entra управление привилегированными пользователями: политики и отчеты для назначений ролей Microsoft Entra и проверок безопасности. Не удается зарегистрироваться для Microsoft Entra управление привилегированными пользователями или внести в него какие-либо изменения. На портале управление привилегированными пользователями или с помощью PowerShell пользователь в этой роли может активировать дополнительные роли (например, администратор привилегированных ролей), если пользователь имеет право на их использование.
Портал соответствия требованиям Microsoft Purview	Просмотр политик безопасности Просмотр и анализ угроз безопасности. Просмотр отчетов
Microsoft Defender для конечной точки	Просмотр и анализ оповещений. Если включить управление доступом на основе ролей в Microsoft Defender для конечной точки, пользователи с разрешениями только для чтения, такими как роль читателя безопасности, теряют доступ, пока они не будут назначены Microsoft Defender для конечной точки роли.
Intune	Просмотр пользователя, устройства, соглашения о регистрации, настроек и сведений о приложении. Не может вносить изменения в Intune.
Microsoft Defender for Cloud Apps	Имеет разрешения на чтение.
Работоспособность службы Microsoft 365	Просмотр состояния служб Microsoft 365

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.directory/accessReviews/definitions/allProperties/read	Чтение всех свойств проверок доступа всех проверяемых ресурсов в идентификаторе Microsoft Entra
microsoft.directory/auditLogs/allProperties/read	Чтение всех свойств в журналах аудита, за исключением пользовательских журналов аудита атрибутов безопасности
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/bitlockerKeys/key/read	Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/conditionalAccessPolicies/owners/read	Чтение владельцев политик условного доступа
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Чтение свойства "применено к" для политик условного доступа
microsoft.directory/conditionalAccessPolicies/standard/read	Чтение условного доступа для политик
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read	Чтение базовых свойств шаблонов политик синхронизации между клиентами для многотенантной организации
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read	Чтение базовых свойств шаблонов политик доступа между клиентами для многотенантной организации
microsoft.directory/deviceLocalCredentials/standard/read	Чтение всех свойств учетных данных учетной записи локального администратора для устройств, присоединенных к Microsoft Entra, кроме пароля
microsoft.directory/domains/federationConfiguration/standard/read	Чтение стандартных свойств конфигурации федерации для доменов
microsoft.directory/entitlementManagement/allProperties/read	Чтение всех свойств в управлении правами Microsoft Entra
microsoft.directory/identityProtection/allProperties/read	Чтение всех ресурсов в Защита идентификации Microsoft Entra
microsoft.directory/multiTenantOrganization/joinRequest/standard/read	Чтение свойств запроса на присоединение к организации с несколькими клиентами
microsoft.directory/multiTenantOrganization/standard/read	Чтение базовых свойств мультитенантной организации
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read	Чтение сведений о организации клиента, участвующего в многотенантной организации
microsoft.directory/multiTenantOrganization/tenants/standard/read	Чтение базовых свойств клиента, участвующих в многотенантной организации
microsoft.directory/namedLocations/standard/read	Чтение основных свойств настраиваемых правил, определяющих расположения в сети.
microsoft.directory/policies/owners/read	Считывание владельцев политик
microsoft.directory/policies/policyAppliedTo/read	Чтение свойства policies.policyAppliedTo
microsoft.directory/policies/standard/read	Чтение базовых свойств для политик
microsoft.directory/privilegedIdentityManagement/allProperties/read	Чтение всех ресурсов в Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read	Чтение всех свойств отчета о входах, включая привилегированные свойства
microsoft.networkAccess/allEntities/allProperties/read	Чтение всех аспектов доступа к сети Microsoft Entra
microsoft.office365.protectionCenter/allEntities/standard/read	Чтение стандартных свойств всех ресурсов в Центрах безопасности и соответствия требованиям
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read	Чтение всех свойств атакующего кода в эмуляторе атак
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Чтение отчетов об имитации атак, ответах и связанном обучении
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read	Чтение всех свойств шаблонов симуляции в эмуляторе атак
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор службы поддержки

Пользователи с этой ролью могут создавать запросы в службу поддержки корпорации Майкрософт для служб Azure и Microsoft 365 и управлять ими, а также просматривать панель мониторинга служб и центр сообщений на портале Azure и в Центре администрирования Microsoft 365. Дополнительные сведения см. в О ролях администратора в центре администрирования Microsoft 365.

Примечание.

Эта роль ранее была названа администратором службы в портал Azure и Центр администрирования Microsoft 365. Она была переименована в администратора службы поддержки, чтобы выровнять существующее имя в API Microsoft Graph и Microsoft Graph PowerShell.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор SharePoint

пользователи с этой ролью имеют глобальные разрешения в Microsoft SharePoint Online при наличии этой службы, возможность создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения см. в О ролях администратора в центре администрирования Microsoft 365.

Примечание.

В API Microsoft Graph и Microsoft Graph PowerShell эта роль называется администратором службы SharePoint. В портал Azure он называется администратором SharePoint.

Примечание.

Эта роль также предоставляет доступ к API Microsoft Graph для Microsoft Intune, что позволяет настраивать политики, связанные с ресурсами SharePoint и OneDrive, и управлять ими.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks	Создание политики защиты OneDrive и управление ими в Microsoft 365 Backup
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks	Чтение и настройка сеанса восстановления для OneDrive в Службе архивации Microsoft 365
microsoft.backup/restorePoints/sites/allProperties/allTasks	Управление всеми точками восстановления, связанными с выбранными сайтами SharePoint в резервном копировании M365
microsoft.backup/restorePoints/userDrives/allProperties/allTasks	Управление всеми точками восстановления, связанными с выбранными учетными записями OneDrive в резервном копировании M365
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks	Создание политики защиты SharePoint и управление ими в Microsoft 365 Backup
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks	Чтение и настройка сеанса восстановления для SharePoint в Microsoft 365 Backup
microsoft.backup/siteProtectionUnits/allProperties/allTasks	Управление сайтами, добавленными в политику защиты SharePoint в Службе архивации Microsoft 365
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks	Управление сайтами, добавленными для восстановления сеанса для SharePoint в Службе архивации Microsoft 365
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks	Управление учетными записями, добавленными в политику защиты OneDrive в Службе архивации Microsoft 365
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks	Управление учетными записями, добавленными для восстановления сеанса для OneDrive в Службе архивации Microsoft 365
microsoft.directory/groups/hiddenMembers/read	Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/basic/update	Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/create	Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete	Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update	Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update	Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore	Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.office365.migrations/allEntities/allProperties/allTasks	Управление всеми аспектами миграции Microsoft 365
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор SharePoint Embedded

Назначьте роль администратора SharePoint Embedded пользователям, которым необходимо выполнить следующие задачи:

• Выполнение всех задач с помощью PowerShell, API Microsoft Graph или Центра администрирования SharePoint
• Управление, настройка и обслуживание контейнеров SharePoint Embedded
• Перечисление контейнеров SharePoint Embedded и управление ими
• Перечисление разрешений и управление ими для контейнеров SharePoint Embedded
• Управление хранилищем контейнеров SharePoint Embedded в клиенте
• Назначение политик безопасности и соответствия контейнерам SharePoint Embedded
• Применение политик безопасности и соответствия контейнерам SharePoint Embedded в клиенте

Подробнее

Действия	Description
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks	Управление всеми аспектами контейнеров SharePoint Embedded
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Skype для бизнеса

Пользователи с этой ролью имеют глобальные разрешения в Microsoft Skype для бизнеса, когда служба присутствует, а также управление атрибутами пользователей skype в идентификаторе Microsoft Entra ID. Кроме того, эта роль позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб, а также предоставляет доступ к центру администрирования Teams и Skype для бизнеса. Учетная запись также должна иметь лицензию Teams, иначе она не сможет запускать командлеты PowerShell Teams. Дополнительные сведения см. в статье Skype для бизнеса Сведения о лицензировании администратора Online и Teams по Skype для бизнеса лицензированию надстроек.

Примечание.

В API Microsoft Graph и Microsoft Graph PowerShell эта роль называется администратором службы Lync. В портал Azure он называется администратором Skype для бизнеса.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор Teams

пользователи с этой ролью могут управлять всеми функциями рабочей нагрузки Microsoft Teams с помощью центра администрирования Microsoft Teams и Skype для бизнеса и соответствующих модулей PowerShell. Сюда входят, помимо прочего, все средства управления, связанные с телефонией, обменом сообщениями, собраниями и самими командами Teams. Кроме того, эта роль позволяет создавать все группы Microsoft 365 и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Обновление разрешенных облачных конечных точек политики межклиентского доступа
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Обновление параметров межоблачных совещаний Команд политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Чтение базовых свойств политики межклиентского доступа по умолчанию
microsoft.directory/crossTenantAccessPolicy/partners/create	Создание политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Обновление параметров межоблачных совещаний Команд политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Чтение базовых свойств политики межклиентского доступа для партнеров
microsoft.directory/crossTenantAccessPolicy/standard/read	Чтение базовых свойств политики межклиентского доступа
microsoft.directory/externalUserProfiles/basic/update	Обновление основных свойств профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/externalUserProfiles/delete	Удаление профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/externalUserProfiles/standard/read	Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams
microsoft.directory/groups/hiddenMembers/read	Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/basic/update	Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/create	Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete	Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update	Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update	Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore	Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.directory/pendingExternalUserProfiles/basic/update	Обновление основных свойств профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/pendingExternalUserProfiles/create	Создание профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/pendingExternalUserProfiles/delete	Удаление профилей внешних пользователей в расширенном каталоге для Teams
microsoft.directory/pendingExternalUserProfiles/standard/read	Чтение стандартных свойств внешних профилей пользователей в расширенном каталоге для Teams
microsoft.directory/permissionGrantPolicies/standard/read	Чтение стандартных свойств для политик предоставления разрешений
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks	Управление всеми ресурсами в Teams

Администратор связи Teams

пользователи с этой ролью могут управлять функциями рабочей нагрузки Microsoft Teams, связанными с голосовой связью и телефонией. Сюда входят средства управления для назначения номера телефона, политики голосовой связи и собраний, а также полный доступ к набору инструментов анализа вызовов.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/callQuality/allProperties/read	Чтение всех данных на Панели мониторинга качества звонка (ПМКЗ)
microsoft.teams/meetings/allProperties/allTasks	Управление собраниями, включая политики собраний, конфигурации и мосты конференц-связи
microsoft.teams/voice/allProperties/allTasks	Управление голосовой связью, включая политики звонков, а также инвентаризацию и назначение номеров телефонов

Инженер службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать полные сведения о записях вызовов для всех задействованных участников. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/callQuality/allProperties/read	Чтение всех данных на Панели мониторинга качества звонка (ПМКЗ)

Специалист службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать сведения об определенном пользователе только при его вызове. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/callQuality/standard/read	Чтение основных данных в Панели мониторинга качества звонка (ПМКЗ)

Администраторы устройств Teams

Пользователи с этой ролью могут управлять устройствами, сертифицированными для Teams, из Центра администрирования Teams. Эта роль позволяет быстро просматривать все устройства и обеспечивает возможности поиска и фильтрации устройств. Пользователь может проверить сведения о каждом устройстве, включая учетную запись входа, а также марку и модель устройства. Пользователь может изменять параметры устройства и обновлять версии программного обеспечения. Эта роль не предоставляет разрешения на проверку действий в Teams и качества звонков устройства.

Действия	Description
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/devices/standard/read	Управление всеми аспектами работы сертифицированных для Teams устройств, включая политики конфигурации

Администратор телефонии Teams

Назначьте роль администратора телефонии Teams пользователям, которым необходимо выполнить следующие задачи:

• Управление голосовой связью и телефонией, включая политики звонков, управление номерами телефонов и назначение, а также голосовые приложения
• Доступ только к отчетам об использовании общедоступной телефонной сети (ТСОП) из Центра администрирования Teams
• Просмотр страницы профиля пользователя
• Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365

Подробнее

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/authorizationPolicy/standard/read	Чтение стандартных свойств политики авторизации
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.teams/callQuality/allProperties/read	Чтение всех данных на Панели мониторинга качества звонка (ПМКЗ)
microsoft.teams/voice/allProperties/allTasks	Управление голосовой связью, включая политики звонков, а также инвентаризацию и назначение номеров телефонов

Создатель клиента

Назначьте роль создателя клиента пользователям, которым необходимо выполнить следующие задачи:

• Создание клиентов Microsoft Entra и Azure Active Directory B2C, даже если переключатель создания клиента отключен в параметрах пользователя

Примечание.

Создатели клиента будут назначены роли глобального администратора для новых клиентов, которые они создают.

Действия	Description
microsoft.directory/tenantManagement/tenants/create	Создание новых клиентов в идентификаторе Microsoft Entra

Средство чтения сводки об использовании

Назначьте роль читателя сводных отчетов об использовании пользователям, которым необходимо выполнить следующие задачи в Центр администрирования Microsoft 365:

• Просмотр отчетов об использовании и оценка внедрения
• Чтение аналитических сведений организации, но не личных сведений (PII) пользователей

Эта роль позволяет пользователям просматривать данные уровня организации со следующими исключениями:

• Пользователи-члены могут просматривать данные и параметры управления пользователями.
• Гостевые пользователи, назначенные этой роли, не могут просматривать данные и параметры управления пользователями.

Действия	Description
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read	Чтение агрегированных отчетов об использовании Office 365 на уровне клиента
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор пользователей

Это привилегированная роль. Назначьте роль администратора пользователей пользователям, которым необходимо выполнить следующие действия:

Разрешение	Дополнительные сведения
Создание пользователей
Обновление большинства свойств пользователей для всех пользователей, включая всех администраторов	Кто может выполнять конфиденциальные действия
Обновление конфиденциальных свойств (включая имя участника-пользователя) для некоторых пользователей	Кто может выполнять конфиденциальные действия
Отключение или включение некоторых пользователей	Кто может выполнять конфиденциальные действия
Удаление или восстановление некоторых пользователей	Кто может выполнять конфиденциальные действия
Создание представлений пользователя и управление ими
Создание всех групп и управление ими
Назначение и чтение лицензий для всех пользователей, включая всех администраторов
Сброс паролей	Кто может сбрасывать пароли
Недопустимые маркеры обновления	Кто может сбрасывать пароли
Обновление ключей устройства (FIDO)
Изменение политик срока действия паролей
Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365
Мониторинг работоспособности служб

Пользователи с этой ролью не могут выполнять следующие действия:

• Не удается управлять MFA.
• Не удается изменить учетные данные или сбросить MFA для членов и владельцев группы, назначаемой ролями.
• Не удается управлять общими почтовыми ящиками.
• Не удается изменить вопросы безопасности для операции сброса пароля.

Внимание

Пользователи с этой ролью могут изменять пароли для людей, которые могут иметь доступ к конфиденциальной или частной информации или критической конфигурации внутри и за пределами идентификатора Microsoft Entra. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Например:

• Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. Эти приложения могут иметь привилегированные разрешения в идентификаторе Microsoft Entra ID и в других местах, не предоставленных администраторам пользователей. По этому пути администратор пользователей сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
• Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
• Владельцы групп безопасности и групп Microsoft 365, которые могут управлять принадлежностью к группе. Эти группы могут предоставлять доступ к конфиденциальной или частной информации или критической конфигурации в идентификаторе Microsoft Entra и в других местах.
• Администраторы других служб за пределами идентификатора Microsoft Entra, например Exchange Online, портала Microsoft 365 Defender, Портал соответствия требованиям Microsoft Purview и систем кадров.
• Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Действия	Description
microsoft.azure.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб Azure" и ее настройка
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	Управление проверками доступа назначений ролей приложения в идентификаторе Microsoft Entra
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read	Чтение всех свойств проверок доступа для назначений ролей Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	Управление проверками доступа для назначений пакетов для доступа в системе управления правами
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Чтение всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groups/allProperties/update	Обновление всех свойств проверок доступа для членства в группах безопасности и группах Microsoft 365, включая группы с назначением ролей.
microsoft.directory/accessReviews/definitions.groups/create	Создание проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete	Удаление проверок доступа для членства в группах безопасности и группах Microsoft 365.
microsoft.directory/contacts/basic/update	Обновление базовых параметров контактов
microsoft.directory/contacts/create	Создание контактов
microsoft.directory/contacts/delete	Удаление контактов
microsoft.directory/deletedItems.groups/restore	Восстановление обратимо удаленных групп в исходное состояние
microsoft.directory/deletedItems.users/restore	Восстановление обратимо удаленных пользователей в исходное состояние
microsoft.directory/entitlementManagement/allProperties/allTasks	Создание и удаление ресурсов, а также чтение и обновление всех свойств в управлении правами Microsoft Entra
microsoft.directory/groups/assignLicense	Назначение группам лицензий на продукты для группового лицензирования
microsoft.directory/groups/basic/update	Обновление базовых свойств групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/classification/update	Обновление свойств классификации групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/create	Создание групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/delete	Удаление групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/dynamicMembershipRule/update	Обновление правил динамического членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/groupType/update	Обновление свойств, которые могут повлиять на тип группы для групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/hiddenMembers/read	Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups/members/update	Обновление членства в группах безопасности и группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/onPremWriteBack/update	Обновление групп Microsoft Entra для записи обратно в локальную среду с помощью Microsoft Entra Connect
microsoft.directory/groups/owners/update	Обновление владельцев групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups/reprocessLicenseAssignment	Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/restore	Восстановление групп из обратимо удаленных контейнеров
microsoft.directory/groups/settings/update	Обновление параметров групп
microsoft.directory/groups/visibility/update	Обновление свойств видимости групп безопасности и групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Создание и удаление операций предоставления разрешений OAuth 2.0, а также чтение и обновление всех свойств
microsoft.directory/policies/standard/read	Чтение базовых свойств для политик
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Обновление назначений ролей для субъекта-службы
microsoft.directory/users/assignLicense	Управление лицензиями пользователей
microsoft.directory/users/basic/update	Обновление базовых параметров пользователей
microsoft.directory/users/convertExternalToInternalMemberUser	Преобразование внешнего пользователя во внутренний пользователь
microsoft.directory/users/create	Добавить пользователей
microsoft.directory/users/delete	Удаление пользователей
microsoft.directory/users/disable	Отключение пользователей
microsoft.directory/users/enable	Включение пользователей
microsoft.directory/users/invalidateAllRefreshTokens	Принудительный выход путем обозначения маркеров обновления пользователя как недопустимых
microsoft.directory/users/inviteGuest	Приглашение гостевых пользователей
microsoft.directory/users/manager/update	Обновление менеджера для пользователей
microsoft.directory/users/password/update	Сброс паролей для всех пользователей
microsoft.directory/users/photo/update	Обновление фотографий пользователей
microsoft.directory/users/reprocessLicenseAssignment	Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/restore	Восстановить удаленных пользователей
microsoft.directory/users/спонсирует/update	Обновление спонсоров пользователей
microsoft.directory/users/usageLocation/update	Обновление расположения использования пользователей
microsoft.directory/users/userPrincipalName/update	Обновление имени субъекта-пользователя для пользователей
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Диспетчер успешных операций с пользовательским интерфейсом

Назначьте роль диспетчера успешного взаимодействия пользователей пользователям, которым необходимо выполнить следующие задачи:

• Чтение отчетов об использовании на уровне организации для Приложения Microsoft 365 и служб, но не сведений о пользователях
• Просмотр отзывов о продуктах вашей организации, результатов опроса Net Promoter Score (NPS) и справки по выявлению возможностей для взаимодействия и обучения
• Чтение записей центра сообщений и данных о работоспособности служб

Подробнее

Действия	Description
microsoft.commerce.billing/purchases/standard/read	Чтение служб покупки в Центре администрирования M365.
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read	Чтение всех аспектов сообщений организации Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read	Чтение агрегированных отчетов об использовании Office 365 на уровне клиента
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор виртуальных посещений

Пользователи с этой ролью могут выполнять следующие задачи:

• Управление всеми аспектами виртуальных посещений в Bookings в Центре администрирования Microsoft 365 и в соединителе команд EHR
• Просмотр отчетов об использовании для виртуальных посещений в Центре администрирования Teams, Центр администрирования Microsoft 365, Fabric и Power BI
• Просмотр функций и параметров в Центре администрирования Microsoft 365, но не может изменять параметры.

Виртуальные визиты — это простой способ планирования онлайн-встреч и видео-встреч для сотрудников и участников. Например, отчеты об использовании могут показать, как отправление текстовых sms-сообщений перед встречами может уменьшить количество людей, которые являются на встречи.

Действия	Description
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.virtualVisits/allEntities/allProperties/allTasks	Управление данными и метриками виртуальных посещений, полученных из центров администрирования или из приложения "Виртуальные посещения", и предоставление этих данных в совместное использование

Администратор целей Viva

Назначьте роль администратора Viva Goals пользователям, которым необходимо выполнить следующие задачи:

• Управление и настройка всех аспектов приложения Microsoft Viva Goals
• Настройка параметров администратора Microsoft Viva Goals
• Чтение сведений о клиенте Microsoft Entra
• Мониторинг работоспособности службы Microsoft 365
• Создание запросов на обслуживание Microsoft 365 и управление ими

Дополнительные сведения см. в разделе "Роли и разрешения" в разделе "Цели Viva" и "Введение в цели Microsoft Viva".

Действия	Description
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks	Управление всеми аспектами целей Microsoft Viva

Администратор Viva Pulse

Назначьте роль администратора Viva Pulse пользователям, которым необходимо выполнить следующие задачи:

• Чтение и настройка всех параметров Viva Pulse
• Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
• Чтение данных службы "Работоспособность служб Azure" и ее настройка
• Создание запросов в службу поддержки Azure и управление ими
• Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
• просмотр отчетов об использовании в Центре администрирования Microsoft 365;

Дополнительные сведения см. в разделе "Назначение администратора Viva Pulse" в Центр администрирования Microsoft 365.

Действия	Description
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks	Управление всеми аспектами Microsoft Viva Pulse

Администратор Windows 365

Пользователи с этой ролью имеют глобальные разрешения на ресурсы Windows 365, если служба установлена. Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими.

Эта роль может создавать группы безопасности и управлять ими, но не имеет прав администратора в группах Microsoft 365. Это означает, что администраторы не могут изменять владельцев или членов групп Microsoft 365 в организации. Но они могут управлять созданной ими группой Microsoft 365, которая входит в область их привилегий конечных пользователей. Поэтому любая созданная ими группа Microsoft 365 (не группа безопасности) учитывается в их квоте на 250 групп.

Назначьте роль администратора Windows 365 пользователям, которым необходимо выполнять следующие задачи:

• Управление Облачный компьютер Windows 365 в Microsoft Intune
• Регистрация устройств и управление ими в идентификаторе Microsoft Entra, включая назначение пользователей и политик
• создание групп безопасности и управление ими (но не групп с возможностью назначения ролей);
• просмотр основных свойств в Центре администрирования Microsoft 365;
• просмотр отчетов об использовании в Центре администрирования Microsoft 365;
• Создание запросов в службу поддержки и управление ими в Azure и Центр администрирования Microsoft 365

Действия	Description
microsoft.azure.supportTickets/allEntities/allTasks	Создание запросов в службу поддержки Azure и управление ими
microsoft.cloudPC/allEntities/allProperties/allTasks	Управление всеми аспектами Windows 365
microsoft.directory/deletedItems.devices/delete	Окончательное удаление устройств, которые больше не могут быть восстановлены
microsoft.directory/deletedItems.devices/restore	Восстановление обратимо удаленных устройств в исходном состоянии
microsoft.directory/deviceManagementPolicies/standard/read	Чтение стандартных свойств в политиках управления мобильными устройствами и мобильных приложений
microsoft.directory/deviceRegistrationPolicy/standard/read	Считывание стандартных свойств для политики регистрации устройств
microsoft.directory/devices/basic/update	Обновление базовых свойств для устройств
microsoft.directory/devices/create	Создание устройств (регистрация в идентификаторе Microsoft Entra)
microsoft.directory/devices/delete	Удаление устройств из идентификатора Microsoft Entra
microsoft.directory/devices/disable	Отключение устройств в идентификаторе Microsoft Entra
microsoft.directory/devices/enable	Включение устройств в идентификаторе Microsoft Entra
microsoft.directory/devices/extensionAttributeSet1/update	Обновление свойств с extensionAttribute1 по extensionAttribute5 на устройствах
microsoft.directory/devices/extensionAttributeSet2/update	Обновление свойств с extensionAttribute6 по extensionAttribute10 на устройствах
microsoft.directory/devices/extensionAttributeSet3/update	Обновление свойств с extensionAttribute11 по extensionAttribute15 на устройствах
microsoft.directory/devices/registeredOwners/update	Обновление зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/update	Обновление зарегистрированных пользователей устройств
microsoft.directory/groups.security/basic/update	Обновление базовых свойств групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/classification/update	Обновление свойств классификации для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/create	Создание групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/delete	Удаление групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/dynamicMembershipRule/update	Обновление динамического правила членства в коллекции в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/members/update	Обновление членства в группах безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/owners/update	Обновление владельцев групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.security/visibility/update	Обновление свойства видимости для групп безопасности, за исключением групп с возможностью назначения ролей
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365

Администратор развертывания Центра обновления Windows

Пользователи с этой ролью могут создавать и администрировать все аспекты развернутых экземпляров Центра обновления Windows с помощью службы развертывания Центра обновления Windows для бизнеса. С помощью службы развертывания пользователи могут задавать параметры, определяющие время и способ развертывания обновлений, а также выбирать предлагаемые обновления для групп устройств в своем арендаторе. Они также могут отслеживать процесс обновления.

Действия	Description
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	Чтение и настройка всех аспектов службы Центра обновления Windows

Администратор Yammer

Назначьте роль администратора Yammer пользователям, которым необходимо выполнять следующие задачи:

• Управление всеми аспектами Yammer
• Создание, управление и восстановление групп Microsoft 365, но не групп с возможностью назначения ролей
• Просмотр данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
• просмотр отчетов об использовании в Центре администрирования Microsoft 365;
• создание запросов на обслуживание и управление ими в Центре администрирования Microsoft 365.
• Просмотр объявлений в Центре сообщений, но не объявлений системы безопасности
• Просмотр работоспособности службы

Подробнее

Действия	Description
microsoft.directory/groups/hiddenMembers/read	Чтение данных о скрытых членах групп безопасности и групп Microsoft 365, включая группы с возможностью назначения ролей
microsoft.directory/groups.unified/basic/update	Обновление базовых свойств групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/create	Создание групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/delete	Удаление групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/members/update	Обновление членства в группах Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/owners/update	Обновление владельцев групп Microsoft 365, за исключением групп с возможностью назначения ролей
microsoft.directory/groups.unified/restore	Восстановление групп Microsoft 365 из обратимо удаленных контейнеров, за исключением групп с назначением роли
microsoft.office365.messageCenter/messages/read	Чтение сообщений в центре сообщений Центра администрирования Microsoft 365, за исключением сообщений системы безопасности
microsoft.office365.network/performance/allProperties/read	Чтение всех свойств производительности сети в Центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Чтение данных службы "Работоспособность служб" и ее настройка в Центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.usageReports/allEntities/allProperties/read	Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read	Чтение основных свойств всех ресурсов в Центре администрирования Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks	Управление всеми аспектами Yammer

Устаревшие роли

Не рекомендуется использовать следующие роли. Они устарели и будут удалены из идентификатора Microsoft Entra в будущем.

• Администратор отдельных лицензий
• Device Join (Присоединение устройства)
• Диспетчеры устройств
• Device Users (Пользователи устройства)
• Создатель проверенного пользователя электронной почты
• администратор почтовых ящиков;
• Присоединение устройства к рабочей области

Роли, не отображаемые на портале

Не все роли, возвращаемые PowerShell или API MS Graph, отображаются на портале Azure. В следующей таблице представлены различия.

Имя API	Название на портале Azure	Примечания.
Device Join (Присоединение устройства)	Устарело	Документация по устаревшим ролям
Диспетчеры устройств	Устарело	Документация по устаревшим ролям
Device Users (Пользователи устройства)	Устарело	Документация по устаревшим ролям
Учетные записи синхронизации службы каталогов	Не отображается, так как не должно использоваться.	Документация по учетным записям для синхронизации службы каталогов
Гостевой пользователь	Не отображается, так как не может использоваться.	Неприменимо
"Partner Tier 1 Support" (Поддержка для партнеров уровня 1);	Не отображается, так как не должно использоваться.	Документация по поддержке партнеров уровня 1
"Partner Tier 2 Support" (Поддержка для партнеров уровня 2);	Не отображается, так как не должно использоваться.	Документация по поддержке партнеров уровня 2
Гостевой пользователь с ограниченными правами	Не отображается, так как не может использоваться.	Неприменимо
User	Не отображается, так как не может использоваться.	Неприменимо
Присоединение устройства к рабочей области	Устарело	Документация по устаревшим ролям

Следующие шаги

• Назначение ролей Microsoft Entra группам
• Общие сведения о различных ролях
• Назначение пользователя в качестве администратора подписки Azure