Microsoft Entra 內建角色
在 Microsoft Entra ID 中,如果另一個系統管理員或非系統管理員需要管理 Microsoft Entra 資源,您可以為其指派提供其所需權限的 Microsoft Entra 角色。 例如,您可以 指派角色以允許新增 或 變更使用者、重設使用者密碼、管理使用者授權 或 管理網域名稱。
本文列出您可以指派的 Microsoft Entra 內建角色,以允許管理 Microsoft Entra 資源。 如需有關指派角色的詳細資訊,請參閱將 Microsoft Entra 角色指派給使用者。 如果您要尋找角色來管理 Azure 資源,請參閱 Azure 內建角色。
所有角色
| 角色 | 描述 | 範本識別碼 |
|---|---|---|
| 應用程式系統管理員 | 能夠建立及管理應用程式註冊與企業應用程式的所有層面。 |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| 應用程式開發人員 | 可以建立與「用戶可以註冊應用程式」設定無關的應用程式註冊。 |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| 攻擊承載作者 | 可建立系統管理員可稍後起始的攻擊酬載。 | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| 攻擊模擬 管理員 istrator | 可以建立和管理攻擊模擬活動的所有層面。 | c430b396-e693-46cc-96f3-db01bf8bb62a |
| 屬性指派系統管理員 | 將自訂安全性屬性索引鍵和值指派給支援的 Microsoft Entra 物件。 | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| 屬性指派讀取器 | 讀取支援的 Microsoft Entra 物件的自定義安全性屬性索引鍵和值。 | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| 屬性定義 管理員 istrator | 定義和管理自定義安全性屬性的定義。 | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| 屬性定義讀取器 | 讀取自定義安全性屬性的定義。 | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| 屬性記錄檔 管理員 istrator | 讀取稽核記錄,併為與自定義安全性屬性相關的事件設定診斷設定。 | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| 屬性記錄讀取器 | 讀取與自定義安全性屬性相關的稽核記錄。 | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| 驗證管理員 | 可以存取任何非系統管理員使用者的檢視、設定及重設驗證方法資訊。 |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| 驗證擴充性 管理員 istrator | 藉由建立和管理自定義驗證延伸模組,自定義使用者的登入和註冊體驗。 |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| 驗證原則 管理員 istrator | 可以建立和管理驗證方法原則、全租使用者 MFA 設定、密碼保護原則,以及可驗證的認證。 | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure DevOps 管理員 istrator | 可以管理 Azure DevOps 原則和設定。 | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure 資訊保護 管理員 istrator | 能夠管理 Azure 資訊保護產品的所有層面。 | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C IEF Keyset 管理員 istrator | 可以在身分識別體驗架構 (IEF) 中管理同盟和加密的秘密。 |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C IEF 原則 管理員 istrator | 可以在身分識別體驗架構 (IEF) 中建立和管理信任架構原則。 | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Billing 管理員 istrator | 能夠執行一般計費相關工作,例如更新付款資訊。 | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| 雲端 App 安全性 管理員 istrator | 可以管理 適用於雲端的 Defender Apps 產品的所有層面。 | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| 雲端應用程式 管理員 istrator | 除了應用程式 Proxy 之外,可以建立和管理應用程式註冊和企業應用程式的所有層面。 |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| 雲端裝置 管理員 istrator | 在 Microsoft Entra 識別碼中管理裝置的有限存取權。 |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| 合規性系統管理員 | 可以在 Microsoft Entra ID 和 Microsoft 365 中讀取和管理合規性設定和報告。 | 17315797-102d-40b4-93e0-432062caca18 |
| 合規性資料管理員 | 建立和管理合規性內容。 | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| 條件式存取系統管理員 | 可以管理條件式存取功能。 |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| 客戶 LockBox 存取核准者 | 可核准 Microsoft 支援要求以存取客戶組織數據。 | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| 電腦分析 管理員 istrator | 可存取及管理桌面管理工具與服務。 | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| 目錄讀取者 | 可以讀取基本目錄資訊。 通常用來將目錄讀取許可權授與應用程式和來賓。 | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| 目錄同步處理帳戶 | 只供 Microsoft Entra 連線 服務使用。 |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
| 目錄寫入器 | 可以讀取和寫入基本目錄資訊。 若要授與應用程式的存取權,不適用於使用者。 |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| 功能變數名稱 管理員 istrator | 可以在雲端和內部部署中管理功能變數名稱。 |
8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365 管理員 istrator | 可管理 Dynamics 365 產品的所有層面。 | 44367163-eba1-44c3-98af-f5787879f96a |
| Dynamics 365 Business Central 管理員 istrator | 可以存取 Dynamics 365 Business Central 環境,並在環境中執行所有系統管理工作。 | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| Edge 管理員 istrator | 管理 Microsoft Edge 的所有層面。 | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange 系統管理員 | 能夠管理 Exchange 產品的所有層面。 | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange Recipient 管理員 istrator | 可以在 Exchange Online 組織內建立或更新 Exchange Online 收件者。 | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| 外部標識碼使用者流程 管理員 istrator | 可以建立和管理使用者流程的所有層面。 | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| 外部標識碼使用者流程屬性 管理員 istrator | 可以建立和管理所有使用者流程可用的屬性架構。 | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| 外部識別提供者 管理員 istrator | 可以設定識別提供者以用於直接同盟。 |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Fabric 管理員 istrator | 可以管理網狀架構和Power BI產品的所有層面。 | a9ea8996-122f-4c74-9520-8edcd192826c |
| 全域管理員 | 可以管理使用 Microsoft Entra 身分識別之 Microsoft Entra 識別碼和 Microsoft 服務 的所有層面。 |
62e90394-69f5-4237-9190-012177145e10 |
| 全域讀取器 | 可以讀取 Global 管理員 istrator 可以讀取的一切,但無法更新任何專案。 |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| 全域安全存取 管理員 istrator | 建立和管理 Microsoft Entra 網際網路存取 和 Microsoft Entra 私人存取 的所有層面,包括管理公用和私人端點的存取權。 | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| 群組管理員 | 此角色的成員可以建立/管理群組、建立/管理群組設定,例如命名和到期原則,以及檢視群組活動和稽核報告。 | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| 來賓邀請者 | 能夠邀請不受 [成員能夠邀請來賓] 設定限制的來賓使用者。 | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| 服務台系統管理員 | 能夠為非系統管理員與技術服務人員系統管理員重設密碼。 |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| 混合式身分識別 管理員 istrator | 可以管理 Active Directory 至 Microsoft Entra 雲端布建、Microsoft Entra 連線、傳遞驗證 (PTA)、密碼哈希同步處理 (PHS)、無縫單一登錄 (無縫 SSO) 和同盟設定。 無法存取管理 Microsoft Entra 連線 Health。 |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance 管理員 istrator | 使用 Microsoft Entra ID 來管理身分識別治理案例的存取權。 | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| 深入解析系統管理員 | 在 Microsoft 365 Insights 應用程式中具有系統管理存取權。 | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| 深入解析分析師 | 存取 Microsoft Viva Insights 中的分析功能,並執行自定義查詢。 | 25df335f-86eb-4119-b717-0ff02de207e9 |
| 深入解析商務領導者 | 可透過 Microsoft 365 Insights 應用程式檢視和共用儀錶板和深入解析。 | 31e939ad-9672-4796-9c2e-873181342d2d2d |
| Intune 管理員 istrator | 能夠管理 Intune 產品的所有層面。 |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala 管理員 istrator | 可以管理 Microsoft Kaizala 的設定。 | 74ef975b-6605-40af-a5d2-b9539d836353 |
| 知識管理員 | 可以設定知識、學習和其他智慧型手機功能。 | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| 知識管理員 | 可以組織、建立、管理及推廣主題和知識。 | 744ec460-397e-42ad-a462-8b3f9747a02c |
| License 管理員 istrator | 可以管理使用者和群組上的產品授權。 | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| 生命週期工作流程 管理員 istrator | 在 Microsoft Entra ID 中建立和管理與生命週期工作流程相關聯的工作流程和工作的所有層面。 | 59d46f88-662b-457b-bceb-5c3809e5908f |
| 訊息中心隱私權閱讀程式 | 只能在 Office 365 訊息中心讀取安全性訊息和更新。 | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| 訊息中心讀取者 | 只能在 Office 365 訊息中心讀取其組織的訊息和更新。 | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsoft 365 移轉 管理員 istrator | 執行所有移轉功能,以使用移轉管理員將內容遷移至 Microsoft 365。 | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| 已加入 Microsoft Entra 的裝置本機 管理員 istrator | 指派給此角色的使用者會新增至已加入 Microsoft Entra 裝置的本機系統管理員群組。 | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Microsoft 硬體擔保 管理員 istrator | 建立和管理 Microsoft 製造硬體的所有層面保固索賠和權利,例如 Surface 和 HoloLens。 | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft 硬體保固專家 | 建立和讀取 Microsoft 製造硬體的保固索賠,例如 Surface 和 HoloLens。 | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| 現代商務 管理員 | 可以管理公司、部門或小組的商業購買。 | d24aef57-1500-4070-84db-2666f29cf966 |
| 網路系統管理員 | 可以管理網路位置,並檢閱 Microsoft 365 軟體即服務應用程式的企業網路設計見解。 | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office Apps 管理員 istrator | 可以管理雲端服務 Office 應用程式,包括原則和設定管理,以及管理選取、取消選取和發佈「新功能」功能內容給用戶裝置的能力。 | 2b745bdf-0803-4d80-aa65-822c4493daac |
| 組織商標 管理員 | 管理租用戶中組織商標的所有層面。 | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| 組織訊息核准者 | 在傳送給使用者之前,請先檢閱、核准或拒絕新組織訊息,以在 Microsoft 365 系統管理中心 中傳遞。 | e48398e2-f4bb-4074-8f31-4586725e205b |
| 組織訊息寫入器 | 透過 Microsoft 產品介面撰寫、發佈、管理及檢閱使用者的組織訊息。 | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| 合作夥伴第1層支援 | 請勿使用 - 不適用於一般用途。 |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| 合作夥伴第 2 層支援 | 請勿使用 - 不適用於一般用途。 |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| 密碼管理員 | 可以重設非系統管理員的密碼和密碼 管理員 istrators。 |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| 許可權管理 管理員 istrator | 管理 Microsoft Entra 權限管理 的所有層面。 | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Power Platform 管理員 istrator | 可以建立及管理 Microsoft Dynamics 365、Power Apps 和 Power Automate 的所有層面。 | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Printer 管理員 istrator | 可以管理印表機和印表機連接器的所有層面。 | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| 印表機技術人員 | 可以註冊和取消註冊印表機,並更新印表機狀態。 | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Privileged Authentication 管理員 istrator | 可以存取任何使用者(系統管理員或非系統管理員)的檢視、設定及重設驗證方法資訊。 |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| 特殊權限角色管理員 | 可以在 Microsoft Entra ID 中管理角色指派,以及 Privileged Identity Management 的所有層面。 |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| 報表讀取者 | 可以讀取登入和稽核報告。 | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| 搜尋 管理員 istrator | 可以建立和管理 Microsoft 搜尋 設定的所有層面。 | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| 搜尋編輯器 | 可以建立及管理編輯內容,例如書籤、Q 和 As、位置、平面表。 | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| 安全性系統管理員 | 可以讀取安全性資訊和報告,以及管理 Microsoft Entra ID 和 Office 365 中的設定。 |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| 安全性操作員 | 建立和管理安全性事件。 |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| 安全性讀取者 | 可以在 Microsoft Entra ID 和 Office 365 中讀取安全性信息和報告。 |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| 服務支援 管理員 istrator | 可以讀取服務健康情況資訊並管理支援票證。 | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint 管理員 istrator | 可以管理 SharePoint 服務的所有層面。 | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| 商務用 Skype 管理員 istrator | 可以管理 商務用 Skype 產品的所有層面。 | 75941009-915a-4869-abe7-691bff18279e |
| Teams 管理員 istrator | 可以管理 Microsoft Teams 服務。 | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams 通訊 管理員 istrator | 可以管理 Microsoft Teams 服務內的通話和會議功能。 | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Teams 通訊支持工程師 | 可以使用進階工具針對 Teams 內的通訊問題進行疑難解答。 | f70938a0-fc10-4177-9e90-2178f8765737 |
| Teams 通訊支持專家 | 可以使用基本工具對 Teams 內的通訊問題進行疑難解答。 | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams 裝置 管理員 istrator | 可以在 Teams 認證的裝置上執行管理相關工作。 | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| 租使用者建立者 | 建立新的 Microsoft Entra 或 Azure AD B2C 租使用者。 | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| 使用量摘要報告讀者 | 讀取使用量報告和採用分數,但無法存取使用者詳細數據。 | 75934031-6c7e-415a-99d7-48dbd49e875e |
| 使用者管理員 | 可以管理使用者和群組的所有層面,包括重設有限系統管理員的密碼。 |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Virtual Visits 管理員 istrator | 從系統管理中心或虛擬造訪應用程式管理及共用虛擬造訪資訊與計量。 | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva Goals 管理員 istrator | 管理及設定 Microsoft Viva 目標的所有層面。 | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse 管理員 istrator | 可以管理 Microsoft Viva Pulse 應用程式的所有設定。 | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Windows 365 管理員 istrator | 可以布建和管理雲端計算機的所有層面。 | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows Update 部署 管理員 istrator | 可以透過商務用 Windows Update 部署服務建立及管理 Windows Update 部署的所有層面。 | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Yammer 管理員 istrator | 管理 Yammer 服務的所有層面。 | 810a2642-a034-447f-a5e8-41beaa378541 |
應用程式系統管理員
這是 特殊許可權角色。 此角色中的使用者可以建立和管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 請注意,建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。
此角色也會授與同意委派許可權和應用程式許可權的能力,但 Azure AD Graph 和 Microsoft Graph 的應用程式許可權除外。
重要
此例外狀況表示您仍然可以同意其他應用程式的應用程式許可權(例如,其他 Microsoft 應用程式、第三方應用程式或您已註冊的應用程式)。 您仍然可以要求這些許可權作為應用程式註冊的一部分,但授與這些許可權需要更具特殊許可權的系統管理員,例如 Global 管理員 istrator。
此角色會授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式身分識別已獲授與資源的存取權,例如建立或更新 [使用者] 或其他物件的能力,則指派給此角色的使用者可以在模擬應用程式時執行這些動作。 這種模擬應用程式身分識別的能力,可能是對使用者可透過其角色指派執行的作業之特殊權限的提升。 請務必瞭解,將使用者指派給 [應用程式系統管理員] 角色,給予了他們模擬應用程式的身分識別之能力。
| 動作 | 描述 |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | 在 Microsoft Entra ID 中管理系統管理員同意要求原則 |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性 |
| microsoft.directory/applications/create | 建立所有類型的應用程式 |
| microsoft.directory/applications/delete | 刪除所有類型的應用程式 |
| microsoft.directory/applications/applicationProxy/read | 讀取所有應用程式 Proxy 屬性 |
| microsoft.directory/applications/applicationProxy/update | 更新所有應用程式 Proxy 屬性 |
| microsoft.directory/applications/applicationProxyAuthentication/update | 更新所有類型的應用程式上的驗證 |
| microsoft.directory/applications/applicationProxySslCertificate/update | 更新應用程式 Proxy 的 SSL 憑證設定 |
| microsoft.directory/applications/applicationProxyUrlSettings/update | 更新應用程式 Proxy 的 URL 設定 |
| microsoft.directory/applications/appRoles/update | 更新所有類型之應用程式上的 appRole 屬性 |
| microsoft.directory/applications/audience/update | 更新應用程式的對象屬性 |
| microsoft.directory/applications/authentication/update | 更新所有類型的應用程式上的驗證 |
| microsoft.directory/applications/basic/update | 更新應用程式的基本屬性 |
| microsoft.directory/applications/credentials/update | 更新應用程式認證 |
| microsoft.directory/applications/extensionProperties/update | 更新應用程式的擴充功能屬性 |
| microsoft.directory/applications/notes/update | 更新應用程式注意事項 |
| microsoft.directory/applications/owners/update | 更新應用程式的擁有者 |
| microsoft.directory/applications/permissions/update | 更新所有類型之應用程式的公開權限及必要權限 |
| microsoft.directory/applications/policies/update | 更新應用程式原則 |
| microsoft.directory/applications/tag/update | 更新應用程式的標籤 |
| microsoft.directory/applications/verification/update | 更新 applicationsverification 屬性 |
| microsoft.directory/applications/synchronization/standard/read | 讀取此應用程式物件相關聯的佈建設定 |
| microsoft.directory/applicationTemplates/instantiate | 從應用程式範本具現化資源庫應用程式 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/connectors/create | 建立專用網連接器 |
| microsoft.directory/connectors/allProperties/read | 讀取專用網連接器的所有屬性 |
| microsoft.directory/connectorGroups/create | 建立專用網連接器群組 |
| microsoft.directory/connectorGroups/delete | 刪除專用網連接器群組 |
| microsoft.directory/connectorGroups/allProperties/read | 讀取專用網連接器群組的所有屬性 |
| microsoft.directory/connectorGroups/allProperties/update | 更新專用網連接器群組的所有屬性 |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | 建立及管理自訂驗證延伸模組 |
| microsoft.directory/deletedItems.applications/delete | 永久删除應用程式,這意味著將無法還原它們 |
| microsoft.directory/deletedItems.applications/restore | 將虛刪除的應用程式還原為原始狀態 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性 |
| microsoft.directory/applicationPolicies/create | 建立應用程式原則 |
| microsoft.directory/applicationPolicies/delete | 刪除應用程式原則 |
| microsoft.directory/applicationPolicies/standard/read | 讀取應用程式原則的標準屬性 |
| microsoft.directory/applicationPolicies/owners/read | 讀取應用程式原則的擁有者 |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | 讀取套用到物件清單的應用程式原則 |
| microsoft.directory/applicationPolicies/basic/update | 更新應用程式原則的標準屬性 |
| microsoft.directory/applicationPolicies/owners/update | 更新應用程式原則的擁有者屬性 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/servicePrincipals/create | 建立服務主體 |
| microsoft.directory/servicePrincipals/delete | 刪除服務主體 |
| microsoft.directory/servicePrincipals/disable | 停用服務主體 |
| microsoft.directory/servicePrincipals/enable | 啟用服務主體 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 管理服務主體上的密碼單一登入認證 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 管理應用程式佈建祕密及認證 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 建立及管理應用程式佈建同步作業及結構描述 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 管理應用程式佈建密碼及認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 建立及管理應用程式佈建同步作業及結構描述。 |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 讀取服務主體的密碼單一登入認證 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | 代表任何使用者或所有使用者授與應用程式許可權和委派許可權的同意,但 Azure AD Graph 和 Microsoft Graph 的應用程式許可權除外 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/servicePrincipals/audience/update | 更新服務主體的對象屬性 |
| microsoft.directory/servicePrincipals/authentication/update | 更新服務主體的驗證屬性 |
| microsoft.directory/servicePrincipals/basic/update | 更新服務主體的基本屬性 |
| microsoft.directory/servicePrincipals/credentials/update | 更新服務主體的認證 |
| microsoft.directory/servicePrincipals/notes/update | 更新服務主體的注意事項 |
| microsoft.directory/servicePrincipals/owners/update | 更新服務主體的擁有者 |
| microsoft.directory/servicePrincipals/permissions/update | 更新服務主體的權限 |
| microsoft.directory/servicePrincipals/policies/update | 更新服務主體的原則 |
| microsoft.directory/servicePrincipals/tag/update | 更新服務主體的標籤屬性 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
應用程式開發人員
這是 特殊許可權角色。 在此角色中的使用者可以在「使用者可註冊應用程式」設定為 [否] 時,建立應用程式註冊。 將「使用者可同意應用程式代表自己存取公司資料」設定設為 [否] 時,此角色也會被授與代表某人同意的權限。 建立新的應用程式註冊時,獲指派此角色的使用者會新增為擁有者。
| 動作 | 描述 |
|---|---|
| microsoft.directory/applications/createAsOwner | 建立所有類型的應用程式,建立者已新增為第一位擁有者 |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | 建立 OAuth 2.0 權限授與,建立者為第一個擁有者 |
| microsoft.directory/servicePrincipals/createAsOwner | 建立服務主體,建立者為第一個擁有者 |
攻擊承載作者
具備此角色的使用者可以建立攻擊承載,但無法實際啟動或排程攻擊承載。 然後,租使用者中的所有系統管理員都可以使用攻擊承載來建立模擬。
如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中 適用於 Office 365 的 Microsoft Defender 許可權和 Microsoft Purview 合規性入口網站 的許可權。
| 動作 | 描述 |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 在攻擊模擬器中建立和管理攻擊承載 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 閱讀攻擊模擬、回應和相關聯訓練的報告 |
攻擊模擬系統管理員
具備此角色的使用者可建立及管理攻擊模擬的各個層面,包含建立、啟動/排程模擬,以及檢閱模擬結果。 此角色的成員對於租用戶中的所有模擬都有此存取權。
如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中的 適用於 Office 365 的 Microsoft Defender 許可權和 Microsoft Purview 合規性入口網站 的許可權。
| 動作 | 描述 |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 在攻擊模擬器中建立和管理攻擊承載 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 閱讀攻擊模擬、回應和相關聯訓練的報告 |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 在攻擊模擬器中建立和管理攻擊模擬範本 |
屬性指派系統管理員
具有此角色的使用者可以為支援的 Microsoft Entra 物件 (使用者、服務主體和裝置) 指派和移除自訂安全性屬性金鑰和值。
根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。
如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | 讀取 Microsoft Entra 受控識別的自訂安全性屬性值 |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | 更新 Microsoft Entra 受控識別的自訂安全性屬性值 |
| microsoft.directory/attributeSets/allProperties/read | 讀取屬性集的所有屬性 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 讀取自訂安全性屬性定義的所有屬性 |
| microsoft.directory/devices/customSecurityAttributes/read | 讀取裝置的自訂安全性屬性值 |
| microsoft.directory/devices/customSecurityAttributes/update | 更新裝置的自訂安全性屬性值 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | 讀取服務主體的自定安全性屬性值 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | 更新服務主體的自定安全性屬性值 |
| microsoft.directory/users/customSecurityAttributes/read | 讀取使用者的自訂安全性屬性值 |
| microsoft.directory/users/customSecurityAttributes/update | 更新使用者的自訂安全性屬性值 |
屬性指派讀取者
具有此角色的使用者可以讀取支援 Microsoft Entra 物件的自訂安全性屬性金鑰和值。
根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。
如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 讀取屬性集的所有屬性 |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | 讀取 Microsoft Entra 受控識別的自訂安全性屬性值 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 讀取自訂安全性屬性定義的所有屬性 |
| microsoft.directory/devices/customSecurityAttributes/read | 讀取裝置的自訂安全性屬性值 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | 讀取服務主體的自定安全性屬性值 |
| microsoft.directory/users/customSecurityAttributes/read | 讀取使用者的自訂安全性屬性值 |
屬性定義系統管理員
具有此角色的使用者可以定義一組有效的自訂安全性屬性,這些屬性可以指派給支援的 Microsoft Entra 物件。 此角色也可以啟用和停用自訂安全性屬性。
根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。
如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | 管理屬性集的所有層面 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | 管理自訂安全性屬性定義的所有層面 |
屬性定義讀取者
具有此角色的使用者可以讀取自訂安全性屬性的定義。
根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。
如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 讀取屬性集的所有屬性 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 讀取自訂安全性屬性定義的所有屬性 |
屬性記錄系統管理員
將屬性記錄讀取者角色指派給需要執行下列工作的使用者:
- 讀取自訂安全性屬性值變更的稽核記錄
- 讀取自訂安全性屬性定義變更和指派的稽核記錄
- 設定自訂安全性屬性的診斷設定
具有此角色的使用者 無法 讀取其他事件的稽核記錄。
依預設,全域管理員和其他系統管理員角色無權讀取自訂安全性屬性的稽核記錄。 若要讀取自訂安全性屬性的稽核記錄,您必須獲指派此角色或屬性記錄讀取者角色。
如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 讀取與自訂安全性屬性相關的稽核記錄 |
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | 設定自訂安全性屬性診斷設定的所有層面 |
屬性記錄讀取者
將屬性記錄讀取者角色指派給需要執行下列工作的使用者:
- 讀取自訂安全性屬性值變更的稽核記錄
- 讀取自訂安全性屬性定義變更和指派的稽核記錄
具有此角色的使用者 無法 執行以下工作:
- 設定自訂安全性屬性的診斷設定
- 讀取其他事件的稽核記錄
依預設,全域管理員和其他系統管理員角色無權讀取自訂安全性屬性的稽核記錄。 若要讀取自訂安全性屬性的稽核記錄,您必須獲指派此角色或屬性記錄系統管理員角色。
如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 讀取與自訂安全性屬性相關的稽核記錄 |
驗證管理員
這是 特殊許可權角色。 將驗證管理員角色指派給需要執行下列工作的使用者:
- 針對非系統管理員和某些角色,設定或重設任何驗證方法 (包括密碼)。 如需驗證 管理員 istrator 可以讀取或更新驗證方法的角色清單,請參閱 神秘 可以重設密碼。
- 要求非系統管理員或指派給某些角色的使用者,以針對現有的非密碼認證重新註冊(例如 MFA 或 FIDO),也可以撤銷 裝置上的 MFA,這會在下一次登入時提示 MFA。
- 為某些使用者執行敏感性動作。 如需詳細資訊,請參閱 神秘 可執行敏感性動作。
- 在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證。
具有此角色的使用者 無法 執行下列項目:
- 無法為可指派角色群組的成員和擁有者變更認證或重設 MFA。
- 無法管理舊版 MFA 管理入口網站或硬體 OATH 權杖中的 MFA 設定。
下表比較驗證相關角色的功能。
| 角色 | 管理使用者的驗證方法 | 管理每個使用者的 MFA | 管理 MFA 設定 | 管理驗證方法原則 | 管理密碼保護原則 | 更新敏感性屬性 | 刪除和還原使用者 |
|---|---|---|---|---|---|---|---|
| 驗證管理員 | 對某些使用者是 | 對某些使用者是 | No | 無 | No | 對某些使用者是 | 對某些使用者是 |
| Privileged Authentication 管理員 istrator | 適用於所有使用者 | 適用於所有使用者 | 否 | 無 | 否 | 適用於所有使用者 | 適用於所有使用者 |
| 驗證原則 管理員 istrator | 否 | 無 | .是 | .是 | .是 | 無 | No |
| 使用者管理員 | 否 | 無 | 無 | 無 | No | 對某些使用者是 | 對某些使用者是 |
重要
具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要設定的人員變更認證。 變更使用者的認證可能表示能夠採用使用者的身分識別和權限。 例如:
- 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 和其他位置可能具有未授與 [驗證系統管理員] 的特殊權限。 [驗證系統管理員] 可以透過此路徑採用應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
- Azure 訂用帳戶擁有者,他們具有敏感性或私人資訊或者 Azure 中重要設定的存取權。
- 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
- Microsoft Entra ID 外部其他服務 (例如 Exchange Online, Microsoft 365 Defender portal, Microsoft Purview 合規性入口網站和人力資源系統) 中的系統管理員。
- 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。
| 動作 | 描述 |
|---|---|
| microsoft.directory/users/authenticationMethods/create | 更新使用者的驗證方法 |
| microsoft.directory/users/authenticationMethods/delete | 刪除使用者的驗證方法 |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | 讀取不包括使用者個人識別資訊之驗證方法的標準屬性 |
| microsoft.directory/users/authenticationMethods/basic/update | 更新使用者驗證方法的基本屬性 |
| microsoft.directory/deletedItems.users/restore | 將虛刪除的使用者還原為原始狀態 |
| microsoft.directory/users/delete | 刪除使用者 |
| microsoft.directory/users/disable | 停用使用者 |
| microsoft.directory/users/enable | 啟用使用者 |
| microsoft.directory/users/invalidateAllRefreshTokens | 讓使用者重新整理權杖無效以強制登出 |
| microsoft.directory/users/restore | 還原已刪除的使用者 |
| microsoft.directory/users/basic/update | 更新使用者的基本屬性 |
| microsoft.directory/users/manager/update | 更新使用者的管理員 |
| microsoft.directory/users/password/update | 重設所有使用者的密碼 |
| microsoft.directory/users/userPrincipalName/update | 更新使用者的使用者主體名稱 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
驗證擴充性 管理員 istrator
這是 特殊許可權角色。 將驗證擴充性 管理員 istrator 角色指派給需要執行下列工作的使用者:
- 建立和管理自定義驗證延伸模組的所有層面。
具有此角色的使用者 無法 執行下列項目:
- 無法將自定義驗證延伸模組指派給應用程式以修改驗證體驗,且無法同意應用程式許可權或建立與自定義驗證延伸模組相關聯的應用程式註冊。 相反地,您必須使用Application 管理員 istrator、Application Developer 或 Cloud Application 管理員 istrator 角色。
自定義驗證延伸模組是由開發人員建立的 API 端點,用於驗證事件,並在 Microsoft Entra ID 中註冊。 應用程式系統管理員和應用程式擁有者可以使用自定義驗證延伸模組來自定義其應用程式的驗證體驗,例如登入和註冊,或密碼重設。
| 動作 | 描述 |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | 建立及管理自訂驗證延伸模組 |
驗證原則管理員
將驗證原則系統管理員角色指派給需要執行下列工作的使用者:
- 設定驗證方法原則、整個租用戶的 MFA 設定和密碼保護原則,以決定每位使用者可以註冊和使用的方法。
- 管理密碼保護設定的權限: 智慧鎖定設定和更新自訂禁用密碼清單。
- 建立和管理可驗認證。
- 建立及管理 Azure 支援票證。
具有此角色的使用者 無法 執行下列項目:
- 無法更新敏感性屬性。 如需詳細資訊,請參閱 神秘 可執行敏感性動作。
- 無法刪除或還原使用者。 如需詳細資訊,請參閱 神秘 可執行敏感性動作。
- 無法管理舊版 MFA 管理入口網站或硬體 OATH 權杖中的 MFA 設定。
下表比較驗證相關角色的功能。
| 角色 | 管理使用者的驗證方法 | 管理每個使用者的 MFA | 管理 MFA 設定 | 管理驗證方法原則 | 管理密碼保護原則 | 更新敏感性屬性 | 刪除和還原使用者 |
|---|---|---|---|---|---|---|---|
| 驗證管理員 | 對某些使用者是 | 對某些使用者是 | No | 無 | No | 對某些使用者是 | 對某些使用者是 |
| 特殊許可權驗證 管理員 istrator | 適用於所有使用者 | 適用於所有使用者 | 否 | 無 | 否 | 適用於所有使用者 | 適用於所有使用者 |
| 驗證原則 管理員 istrator | 否 | 無 | .是 | .是 | .是 | 無 | No |
| 使用者管理員 | 否 | 無 | 無 | 無 | No | 對某些使用者是 | 對某些使用者是 |
| 動作 | 描述 |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | 管理組織增強式驗證屬性的所有層面 |
| microsoft.directory/userCredentialPolicies/create | 建立使用者的認證原則 |
| microsoft.directory/userCredentialPolicies/delete | 刪除使用者的認證原則 |
| microsoft.directory/userCredentialPolicies/standard/read | 讀取使用者認證原則的標準屬性 |
| microsoft.directory/userCredentialPolicies/owners/read | 讀取使用者的認證原則擁有者 |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | 讀取 policy.appliesTo 瀏覽連結 |
| microsoft.directory/userCredentialPolicies/basic/update | 更新使用者的基本原則 |
| microsoft.directory/userCredentialPolicies/owners/update | 更新使用者認證原則的擁有者 |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | 更新 policy.isOrganizationDefault 屬性 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 讀取可驗認證卡 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 撤銷可驗認證卡 |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | 建立可驗認證合約 |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 讀取可驗認證合約 |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 更新可驗認證合約 |
| microsoft.directory/verifiableCredentials/configuration/create | 建立要建立和管理可驗認證所需的設定 |
| microsoft.directory/verifiableCredentials/configuration/delete | 刪除建立和管理可驗認證所需的設定,並刪除其所有可驗認證 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 讀取建立和管理可驗認證所需的設定 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | 更新建立和管理可驗認證所需的設定 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
Azure DevOps 系統管理員
具有此角色的使用者可以管理所有企業 Azure DevOps 原則,適用於 Microsoft Entra ID 所支援的所有 Azure DevOps 組織。 此角色中的使用者可以瀏覽至公司 Microsoft Entra ID 所支援的任何 Azure DevOps 組織,來管理這些原則。 此外,此角色中的使用者可以宣告孤立 Azure DevOps 組織的擁有權。 此角色不會授與公司 Microsoft Entra 組織所支援任何 Azure DevOps 組織內的任何其他 Azure DevOps 特定權限 (例如專案集合管理員)。
| 動作 | 描述 |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | 讀取和設定 Azure DevOps |
Azure 資訊保護管理員
具有此角色的使用者在 Azure 資訊保護服務中擁有所有權限。 此角色允許設定 Azure 資訊保護原則的標籤、管理保護範本,以及啟用保護。 此角色不會授與 Identity Protection、Privileged Identity Management、Monitor Microsoft 365 Service Health、Microsoft 365 Defender 入口網站或 Microsoft Purview 合規性入口網站 的任何許可權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.azure.informationProtection/allEntities/allTasks | 管理 Azure 資訊保護 的所有層面 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
B2C IEF 索引鍵集管理員
這是 特殊許可權角色。 用戶可以建立和管理令牌加密、令牌簽章和宣告加密/解密的原則密鑰和秘密。 藉由將新的金鑰新增至現有的金鑰容器,此有限的系統管理員可以視需要變換祕密,而不會影響現有的應用程式。 此使用者可以看到這些祕密的完整內容,以及其到期日,即使建立之後也是如此。
重要
這是敏感性角色。 在生產前和生產期間,應仔細稽核並指派密鑰集系統管理員角色。
| 動作 | 描述 |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | 在 Azure Active Directory B2C 中讀取和設定金鑰集 |
B2C IEF 原則管理員
具備此角色的使用者能夠在 Azure AD B2C 中建立、讀取、更新及刪除所有自訂原則,因此能完全掌控相關 Azure AD B2C 組織中的 Identity Experience Framework。 藉由編輯原則,此使用者可以建立與外部識別提供者的直接同盟、變更目錄架構、變更所有用戶對應內容 (HTML、CSS、JavaScript)、變更完成驗證的需求、建立新的使用者、將用戶數據傳送至外部系統,包括完整移轉,以及編輯所有用戶資訊,包括密碼和電話號碼等敏感性字段。 相反地,此角色無法變更加密密鑰,或編輯用於組織中的同盟秘密。
重要
B2 IEF 原則 管理員 istrator 是高度敏感的角色,應該為生產中的組織指派非常有限。 應仔細稽核這些用戶的活動,特別是針對生產環境中的組織。
| 動作 | 描述 |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | 在 Azure Active Directory B2C 中讀取和設定自定義原則 |
計費管理員
進行採購、管理訂閱、管理支援票證以及監控服務健康狀況。
| 動作 | 描述 |
|---|---|
| microsoft.directory/organization/basic/update | 更新組織的基本屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | 管理 Office 365 計費的所有層面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Cloud App Security 系統管理員
具有此角色的使用者在 Defender for Cloud Apps 中具有完整權限。 他們可以新增系統管理員、新增 Microsoft Defender for Cloud Apps 原則和設定、上傳記錄,以及執行治理動作。
| 動作 | 描述 |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
雲端應用程式系統管理員
這是 特殊許可權角色。 此角色中的使用者具有與應用程式系統管理員角色相同的權限,但不包括管理應用程式 Proxy 的能力。 此角色會授與能力來建立和管理企業應用程式和應用程式註冊的所有層面。 建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。
此角色也會授與同意委派許可權和應用程式許可權的能力,但 Azure AD Graph 和 Microsoft Graph 的應用程式許可權除外。
重要
此例外狀況表示您仍然可以同意其他應用程式的應用程式許可權(例如,其他 Microsoft 應用程式、第三方應用程式或您已註冊的應用程式)。 您仍然可以要求這些許可權作為應用程式註冊的一部分,但授與這些許可權需要更具特殊許可權的系統管理員,例如 Global 管理員 istrator。
此角色會授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式身分識別已獲授與資源的存取權,例如建立或更新 [使用者] 或其他物件的能力,則指派給此角色的使用者可以在模擬應用程式時執行這些動作。 這種模擬應用程式身分識別的能力,可能是對使用者可透過其角色指派執行的作業之特殊權限的提升。 請務必瞭解,將使用者指派給 [應用程式系統管理員] 角色,給予了他們模擬應用程式的身分識別之能力。
| 動作 | 描述 |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | 在 Microsoft Entra ID 中管理系統管理員同意要求原則 |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性 |
| microsoft.directory/applications/create | 建立所有類型的應用程式 |
| microsoft.directory/applications/delete | 刪除所有類型的應用程式 |
| microsoft.directory/applications/appRoles/update | 更新所有類型之應用程式上的 appRole 屬性 |
| microsoft.directory/applications/audience/update | 更新應用程式的對象屬性 |
| microsoft.directory/applications/authentication/update | 更新所有類型的應用程式上的驗證 |
| microsoft.directory/applications/basic/update | 更新應用程式的基本屬性 |
| microsoft.directory/applications/credentials/update | 更新應用程式認證 |
| microsoft.directory/applications/extensionProperties/update | 更新應用程式的擴充功能屬性 |
| microsoft.directory/applications/notes/update | 更新應用程式注意事項 |
| microsoft.directory/applications/owners/update | 更新應用程式的擁有者 |
| microsoft.directory/applications/permissions/update | 更新所有類型之應用程式的公開權限及必要權限 |
| microsoft.directory/applications/policies/update | 更新應用程式原則 |
| microsoft.directory/applications/tag/update | 更新應用程式的標籤 |
| microsoft.directory/applications/verification/update | 更新 applicationsverification 屬性 |
| microsoft.directory/applications/synchronization/standard/read | 讀取此應用程式物件相關聯的佈建設定 |
| microsoft.directory/applicationTemplates/instantiate | 從應用程式範本具現化資源庫應用程式 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/deletedItems.applications/delete | 永久删除應用程式,這意味著將無法還原它們 |
| microsoft.directory/deletedItems.applications/restore | 將虛刪除的應用程式還原為原始狀態 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性 |
| microsoft.directory/applicationPolicies/create | 建立應用程式原則 |
| microsoft.directory/applicationPolicies/delete | 刪除應用程式原則 |
| microsoft.directory/applicationPolicies/standard/read | 讀取應用程式原則的標準屬性 |
| microsoft.directory/applicationPolicies/owners/read | 讀取應用程式原則的擁有者 |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | 讀取套用到物件清單的應用程式原則 |
| microsoft.directory/applicationPolicies/basic/update | 更新應用程式原則的標準屬性 |
| microsoft.directory/applicationPolicies/owners/update | 更新應用程式原則的擁有者屬性 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/servicePrincipals/create | 建立服務主體 |
| microsoft.directory/servicePrincipals/delete | 刪除服務主體 |
| microsoft.directory/servicePrincipals/disable | 停用服務主體 |
| microsoft.directory/servicePrincipals/enable | 啟用服務主體 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 管理服務主體上的密碼單一登入認證 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 管理應用程式佈建祕密及認證 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 建立及管理應用程式佈建同步作業及結構描述 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 管理應用程式佈建密碼及認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 建立及管理應用程式佈建同步作業及結構描述。 |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 讀取服務主體的密碼單一登入認證 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | 代表任何使用者或所有使用者授與應用程式許可權和委派許可權的同意,但 Azure AD Graph 和 Microsoft Graph 的應用程式許可權除外 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/servicePrincipals/audience/update | 更新服務主體的對象屬性 |
| microsoft.directory/servicePrincipals/authentication/update | 更新服務主體的驗證屬性 |
| microsoft.directory/servicePrincipals/basic/update | 更新服務主體的基本屬性 |
| microsoft.directory/servicePrincipals/credentials/update | 更新服務主體的認證 |
| microsoft.directory/servicePrincipals/notes/update | 更新服務主體的注意事項 |
| microsoft.directory/servicePrincipals/owners/update | 更新服務主體的擁有者 |
| microsoft.directory/servicePrincipals/permissions/update | 更新服務主體的權限 |
| microsoft.directory/servicePrincipals/policies/update | 更新服務主體的原則 |
| microsoft.directory/servicePrincipals/tag/update | 更新服務主體的標籤屬性 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
雲端裝置管理員
這是 特殊許可權角色。 具有此角色的使用者可啟用、停用和刪除 Microsoft Entra ID 中的裝置,並在 Azure 入口網站中讀取 Windows 10 BitLocker 金鑰 (如果有的話)。 角色不會授與許可權來管理裝置上的任何其他屬性。
| 動作 | 描述 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/bitlockerKeys/key/read | 讀取裝置上的 bitlocker 元數據和金鑰 |
| microsoft.directory/deletedItems.devices/delete | 永久刪除無法再還原的裝置 |
| microsoft.directory/deletedItems.devices/restore | 將虛刪除的裝置還原為原始狀態 |
| microsoft.directory/devices/delete | 從 Microsoft Entra 識別碼刪除裝置 |
| microsoft.directory/devices/disable | 停用 Microsoft Entra 識別碼中的裝置 |
| microsoft.directory/devices/enable | 在 Microsoft Entra 識別碼中啟用裝置 |
| microsoft.directory/deviceLocalCredentials/password/read | 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,包括密碼 |
| microsoft.directory/deviceManagementPolicies/standard/read | 讀取行動裝置管理和行動應用程式管理原則的標準屬性 |
| microsoft.directory/deviceManagementPolicies/basic/update | 更新行動裝置管理和行動應用程式管理原則的基本屬性 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 讀取裝置註冊原則上的標準屬性 |
| microsoft.directory/deviceRegistrationPolicy/basic/update | 更新裝置註冊原則的基本屬性 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
合規性系統管理員
具有此角色的使用者有權管理 Microsoft Purview 合規性入口網站、Microsoft 365 系統管理中心、Azure 和 Microsoft 365 Defender 入口網站中的合規性相關功能。 受託人也可以管理 Exchange 系統管理中心內的所有功能,並建立適用於 Azure 和 Microsoft 365 的支援票證。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。
| In | Can do |
|---|---|
| Microsoft Purview 合規性入口網站 | 保護及管理整個 Microsoft 365 服務的組織數據 管理合規性警示 |
| Microsoft Purview 合規性管理員 | 追蹤、指派及驗證貴組織的法規合規性活動 |
| Microsoft 365 Defender 入口網站 | 管理數據控管 執行法律和數據調查 管理數據主體要求 此角色具有與 Microsoft 365 Defender 入口網站角色型訪問控制中的合規性 管理員 istrator 角色群組相同的許可權。 |
| Intune | 檢視所有 Intune 稽核數據 |
| 適用於雲端應用程式的 Microsoft Defender | 具有唯讀許可權,而且可以管理警示 可以建立和修改檔案原則,並允許檔案控管動作 可以在 資料管理 下檢視所有內建報表 |
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.directory/entitlementManagement/allProperties/read | 讀取 Microsoft Entra 權利管理中的所有屬性 |
| microsoft.office365.complianceManager/allEntities/allTasks | 管理 Office 365 合規性管理員的所有層面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
合規性資料管理員
具有此角色的使用者有權限追蹤 Microsoft Purview 合規性入口網站、Microsoft 365 系統管理中心和 Azure 中的資料。 使用者也可以在 Exchange 系統管理中心、合規性管理員和 Teams 和 商務用 Skype 系統管理中心內追蹤合規性數據,並建立 Azure 和 Microsoft 365 的支援票證。 如需合規性 管理員 istrator 與 Compliance Data 管理員 istrator 之間的差異詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。
| In | Can do |
|---|---|
| Microsoft Purview 合規性入口網站 | 監視 Microsoft 365 服務的合規性相關原則 管理合規性警示 |
| Microsoft Purview 合規性管理員 | 追蹤、指派及驗證貴組織的法規合規性活動 |
| Microsoft 365 Defender 入口網站 | 管理數據控管 執行法律和數據調查 管理數據主體要求 此角色具有與 Microsoft 365 Defender 入口網站角色型訪問控制中的合規性數據 管理員 istrator 角色群組相同的許可權。 |
| Intune | 檢視所有 Intune 稽核數據 |
| 適用於雲端應用程式的 Microsoft Defender | 具有唯讀許可權,而且可以管理警示 可以建立和修改檔案原則,並允許檔案控管動作 可檢視 資料管理 下的所有內建報表 |
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.azure.informationProtection/allEntities/allTasks | 管理 Azure 資訊保護 的所有層面 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.complianceManager/allEntities/allTasks | 管理 Office 365 合規性管理員的所有層面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
條件式存取系統管理員
這是 特殊許可權角色。 具有此角色的使用者能夠管理 Microsoft Entra 條件式存取設定。
| 動作 | 描述 |
|---|---|
| microsoft.directory/namedLocations/create | 建立定義網路位置的自定義規則 |
| microsoft.directory/namedLocations/delete | 刪除定義網路位置的自定義規則 |
| microsoft.directory/namedLocations/standard/read | 讀取定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/namedLocations/basic/update | 更新定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/conditionalAccessPolicies/create | 建立條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/delete | 刪除條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 讀取原則的條件式存取 |
| microsoft.directory/conditionalAccessPolicies/owners/read | 讀取條件式存取原則的擁有者 |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 讀取條件式存取原則的「套用至」屬性 |
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新條件式存取原則的基本屬性 |
| microsoft.directory/conditionalAccessPolicies/owners/update | 更新條件式存取原則的擁有者 |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | 更新條件式存取原則的預設租使用者 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容 |
客戶 LockBox 存取核准者
管理組織中的 Microsoft Purview 客戶加密箱要求。 他們會收到客戶加密箱要求的電子郵件通知,並可核准和拒絕來自 Microsoft 365 系統管理中心的要求。 他們也可以開啟或關閉客戶加密箱功能。 只有全域管理員可以重設指派給此角色的人員密碼。
| 動作 | 描述 |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | 管理客戶加密箱的所有層面 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
電腦分析系統管理員
此角色中的使用者可以管理 電腦分析 服務。 這包括能夠檢視資產清查、建立部署計劃,以及檢視部署和健康情況狀態。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | 管理 電腦分析 的所有層面 |
目錄讀取者
具備此角色的使用者可讀取基本目錄資訊。 此角色應該用於:
- 授與一組特定的來賓用戶讀取許可權,而不是將它授與所有來賓使用者。
- 當 [僅限系統管理員存取權] 設定為 [是] 時,將一組非系統管理員使用者存取權授與 Azure 入口網站 Azure 入口網站。
- 授與服務主體目錄的存取權,其中 Directory.Read.All 不是選項。
| 動作 | 描述 |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | 讀取管理單位的基本屬性 |
| microsoft.directory/administrativeUnits/members/read | 讀取系統管理單位的成員 |
| microsoft.directory/applications/standard/read | 讀取應用程式的標準屬性 |
| microsoft.directory/applications/owners/read | 讀取應用程式的擁有者 |
| microsoft.directory/applications/policies/read | 讀取應用程式的原則 |
| microsoft.directory/contacts/standard/read | 在 Microsoft Entra ID 中讀取連絡人的基本屬性 |
| microsoft.directory/contacts/memberOf/read | 閱讀 Microsoft Entra ID 中所有聯繫人的群組成員資格 |
| microsoft.directory/contracts/standard/read | 閱讀合作夥伴合約的基本屬性 |
| microsoft.directory/devices/standard/read | 讀取裝置上的基本屬性 |
| microsoft.directory/devices/memberOf/read | 讀取裝置成員資格 |
| microsoft.directory/devices/registeredOwners/read | 讀取已註冊的裝置擁有者 |
| microsoft.directory/devices/registeredUsers/read | 讀取已註冊裝置的使用者 |
| microsoft.directory/directoryRoles/standard/read | 讀取 Microsoft Entra 角色的基本屬性 |
| microsoft.directory/directoryRoles/eligibleMembers/read | 閱讀 Microsoft Entra 角色的合格成員 |
| microsoft.directory/directoryRoles/members/read | 讀取 Microsoft Entra 角色的所有成員 |
| microsoft.directory/domains/standard/read | 讀取網域的基本屬性 |
| microsoft.directory/groups/standard/read | 讀取安全組和 Microsoft 365 群組的標準屬性,包括可指派角色的群組 |
| microsoft.directory/groups/appRoleAssignments/read | 讀取群組的應用程式角色指派 |
| microsoft.directory/groups/memberOf/read | 讀取安全組和 Microsoft 365 群組上的 memberOf 屬性,包括可指派角色的群組 |
| microsoft.directory/groups/members/read | 讀取安全組和 Microsoft 365 群組的成員,包括可指派角色的群組 |
| microsoft.directory/groups/owners/read | 讀取安全組和 Microsoft 365 群組的擁有者,包括可指派角色的群組 |
| microsoft.directory/groups/settings/read | 讀取群組的設定 |
| microsoft.directory/group 設定/standard/read | 讀取群組設定的基本屬性 |
| microsoft.directory/groupSettingTemplates/standard/read | 讀取群組設定範本的基本屬性 |
| microsoft.directory/oAuth2PermissionGrants/standard/read | 讀取 OAuth 2.0 許可權授與的基本屬性 |
| microsoft.directory/organization/standard/read | 讀取組織的基本屬性 |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | 讀取受信任的證書頒發機構單位進行無密碼驗證 |
| microsoft.directory/applicationPolicies/standard/read | 讀取應用程式原則的標準屬性 |
| microsoft.directory/roleAssignments/standard/read | 讀取角色指派的基本屬性 |
| microsoft.directory/roleDefinitions/standard/read | 讀取角色定義的基本屬性 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 讀取服務主體角色指派 |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | 讀取指派給服務主體的角色指派 |
| microsoft.directory/servicePrincipals/standard/read | 讀取服務主體的基本屬性 |
| microsoft.directory/servicePrincipals/memberOf/read | 讀取服務主體上的群組成員資格 |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 讀取服務主體的委派許可權授與 |
| microsoft.directory/servicePrincipals/owners/read | 讀取服務主體的擁有者 |
| microsoft.directory/servicePrincipals/ownedObjects/read | 讀取服務主體的自有物件 |
| microsoft.directory/servicePrincipals/policies/read | 讀取服務主體的原則 |
| microsoft.directory/subscribedSkus/standard/read | 讀取訂用帳戶的基本屬性 |
| microsoft.directory/users/standard/read | 讀取使用者的基本屬性 |
| microsoft.directory/users/appRoleAssignments/read | 讀取使用者的應用程式角色指派 |
| microsoft.directory/users/deviceForResourceAccount/read | 讀取使用者的 deviceForResourceAccount |
| microsoft.directory/users/directReports/read | 閱讀使用者的直接報告 |
| microsoft.directory/users/licenseDetails/read | 讀取使用者的授權詳細數據 |
| microsoft.directory/users/manager/read | 讀取使用者管理員 |
| microsoft.directory/users/memberOf/read | 讀取使用者的群組成員資格 |
| microsoft.directory/users/oAuth2PermissionGrants/read | 讀取使用者的委派許可權授與 |
| microsoft.directory/users/ownedDevices/read | 讀取用戶擁有的裝置 |
| microsoft.directory/users/ownedObjects/read | 讀取用戶擁有的物件 |
| microsoft.directory/users/photo/read | 閱讀使用者相片 |
| microsoft.directory/users/registeredDevices/read | 讀取用戶已註冊的裝置 |
| microsoft.directory/users/scopedRoleMemberOf/read | 讀取使用者 Microsoft Entra 角色的成員資格,該角色的範圍設定為系統管理單位 |
| microsoft.directory/users/sponsors/read | 閱讀用戶的贊助者 |
目錄同步處理帳戶
這是 特殊許可權角色。 請勿使用。 此角色會自動指派給 Microsoft Entra 連線 服務,並不適用於或支援任何其他用途。
| 動作 | 描述 |
|---|---|
| microsoft.directory/applications/create | 建立所有類型的應用程式 |
| microsoft.directory/applications/delete | 刪除所有類型的應用程式 |
| microsoft.directory/applications/appRoles/update | 更新所有類型之應用程式上的 appRole 屬性 |
| microsoft.directory/applications/audience/update | 更新應用程式的對象屬性 |
| microsoft.directory/applications/authentication/update | 更新所有類型的應用程式上的驗證 |
| microsoft.directory/applications/basic/update | 更新應用程式的基本屬性 |
| microsoft.directory/applications/credentials/update | 更新應用程式認證 |
| microsoft.directory/applications/notes/update | 更新應用程式注意事項 |
| microsoft.directory/applications/owners/update | 更新應用程式的擁有者 |
| microsoft.directory/applications/permissions/update | 更新所有類型之應用程式的公開權限及必要權限 |
| microsoft.directory/applications/policies/update | 更新應用程式原則 |
| microsoft.directory/applications/tag/update | 更新應用程式的標籤 |
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | 在 Microsoft Entra 識別碼中管理混合式驗證原則 |
| microsoft.directory/organization/dirSync/update | 更新組織目錄同步屬性 |
| microsoft.directory/passwordHashSync/allProperties/allTasks | 在 Microsoft Entra ID 中管理密碼哈希同步處理 (PHS) 的所有層面 |
| microsoft.directory/policies/create | 在 Microsoft Entra 識別碼中建立原則 |
| microsoft.directory/policies/delete | 刪除 Microsoft Entra 識別碼中的原則 |
| microsoft.directory/policies/standard/read | 讀取原則的基本屬性 |
| microsoft.directory/policies/owners/read | 讀取原則的擁有者 |
| microsoft.directory/policies/policyAppliedTo/read | 讀取 policies.policyAppliedTo 屬性 |
| microsoft.directory/policies/basic/update | 更新原則的基本屬性 |
| microsoft.directory/policies/owners/update | 更新原則的擁有者 |
| microsoft.directory/policies/tenantDefault/update | 更新默認組織原則 |
| microsoft.directory/servicePrincipals/create | 建立服務主體 |
| microsoft.directory/servicePrincipals/delete | 刪除服務主體 |
| microsoft.directory/servicePrincipals/enable | 啟用服務主體 |
| microsoft.directory/servicePrincipals/disable | 停用服務主體 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 管理服務主體上的密碼單一登入認證 |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 讀取服務主體的密碼單一登入認證 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 讀取服務主體角色指派 |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | 讀取指派給服務主體的角色指派 |
| microsoft.directory/servicePrincipals/standard/read | 讀取服務主體的基本屬性 |
| microsoft.directory/servicePrincipals/memberOf/read | 讀取服務主體上的群組成員資格 |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 讀取服務主體的委派許可權授與 |
| microsoft.directory/servicePrincipals/owners/read | 讀取服務主體的擁有者 |
| microsoft.directory/servicePrincipals/ownedObjects/read | 讀取服務主體的自有物件 |
| microsoft.directory/servicePrincipals/policies/read | 讀取服務主體的原則 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/servicePrincipals/audience/update | 更新服務主體的對象屬性 |
| microsoft.directory/servicePrincipals/authentication/update | 更新服務主體的驗證屬性 |
| microsoft.directory/servicePrincipals/basic/update | 更新服務主體的基本屬性 |
| microsoft.directory/servicePrincipals/credentials/update | 更新服務主體的認證 |
| microsoft.directory/servicePrincipals/notes/update | 更新服務主體的注意事項 |
| microsoft.directory/servicePrincipals/owners/update | 更新服務主體的擁有者 |
| microsoft.directory/servicePrincipals/permissions/update | 更新服務主體的權限 |
| microsoft.directory/servicePrincipals/policies/update | 更新服務主體的原則 |
| microsoft.directory/servicePrincipals/tag/update | 更新服務主體的標籤屬性 |
目錄寫入者
這是 特殊許可權角色。 具備此角色的使用者可以讀取及更新使用者、群組和服務主體的基本資訊。
| 動作 | 描述 |
|---|---|
| microsoft.directory/applications/extensionProperties/update | 更新應用程式的擴充功能屬性 |
| microsoft.directory/contacts/create | 建立連絡人 |
| microsoft.directory/groups/assignLicense | 將產品授權指派給群組以進行群組型授權 |
| microsoft.directory/groups/create | 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/reprocessLicenseAssignment | 重新處理群組型授權的授權指派 |
| microsoft.directory/groups/basic/update | 更新安全組和 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/classification/update | 更新安全組和 Microsoft 365 群組上的分類屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/dynamicMembershipRule/update | 更新安全組和 Microsoft 365 群組的動態成員資格規則,但不包括可指派角色的群組 |
| microsoft.directory/groups/groupType/update | 更新會影響安全組和 Microsoft 365 群組群組類型的屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/members/update | 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組 |
| microsoft.directory/groups/onPremWriteBack/update | 使用 Microsoft Entra 連線 更新要寫回內部部署的 Microsoft Entra 群組 |
| microsoft.directory/groups/owners/update | 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.directory/groups/settings/update | 更新群組的設定 |
| microsoft.directory/groups/visibility/update | 更新安全組和 Microsoft 365 群組的可見性屬性,但不包括可指派角色的群組 |
| microsoft.directory/group 設定/create | 建立群組設定 |
| microsoft.directory/group 設定/delete | 刪除群組設定 |
| microsoft.directory/group 設定/basic/update | 更新群組設定的基本屬性 |
| microsoft.directory/oAuth2PermissionGrants/create | 建立 OAuth 2.0 許可權授與 |
| microsoft.directory/oAuth2PermissionGrants/basic/update | 更新 OAuth 2.0 許可權授與 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 管理應用程式佈建祕密及認證 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 建立及管理應用程式佈建同步作業及結構描述 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 管理應用程式佈建密碼及認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 建立及管理應用程式佈建同步作業及結構描述。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | 管理雲端租用戶至雲端租用戶應用程式布建秘密和認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | 啟動、重新啟動和暫停雲端租用戶至雲端租使用者應用程式布建同步處理作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | 建立及管理雲端租用戶至雲端租用戶應用程式布建同步處理作業和架構。 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/users/assignLicense | 管理用戶授權 |
| microsoft.directory/users/create | 新增使用者 |
| microsoft.directory/users/disable | 停用使用者 |
| microsoft.directory/users/enable | 啟用使用者 |
| microsoft.directory/users/invalidateAllRefreshTokens | 讓使用者重新整理權杖無效以強制登出 |
| microsoft.directory/users/inviteGuest | 邀請來賓使用者 |
| microsoft.directory/users/reprocessLicenseAssignment | 重新處理使用者的授權指派 |
| microsoft.directory/users/basic/update | 更新使用者的基本屬性 |
| microsoft.directory/users/manager/update | 更新使用者的管理員 |
| microsoft.directory/users/photo/update | 更新使用者相片 |
| microsoft.directory/users/sponsors/update | 更新用戶的贊助者 |
| microsoft.directory/users/userPrincipalName/update | 更新使用者的使用者主體名稱 |
網域名稱管理員
這是 特殊許可權角色。 具有此角色的使用者可以管理 (讀取、新增、驗證、更新和刪除) 網域名稱。 他們也可以讀取使用者、群組和應用程式的目錄資訊,因為這些物件擁有網域相依性。 針對內部部署環境,具有此角色的使用者可以設定同盟的網域名稱,讓相關聯的使用者一律在內部部署進行驗證。 然後,這些使用者就可以透過單一登錄,使用其內部部署密碼登入 Microsoft Entra 型服務。 同盟設定必須透過 Microsoft Entra 連線 進行同步處理,因此使用者也有權管理 Microsoft Entra 連線。
| 動作 | 描述 |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | 建立和刪除網域,以及讀取和更新所有屬性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Dynamics 365 系統管理員
當服務存在時,具有此角色的使用者在 Microsoft Dynamics 365 Online 中具有全域許可權,以及管理支援票證及監視服務健康情況的能力。 如需詳細資訊,請參閱 使用服務管理員角色來管理您的租使用者。
注意
在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Dynamics 365 Service 管理員 istrator。 在 Azure 入口網站 中,它名為 Dynamics 365 管理員 istrator。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.dynamics365/allEntities/allTasks | 管理 Dynamics 365 的所有層面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Dynamics 365 Business Central 管理員 istrator
將 Dynamics 365 Business Central 管理員 istrator 角色指派給需要執行下列工作的使用者:
- 存取 Dynamics 365 Business Central 環境
- 在環境上執行所有系統管理工作
- 管理客戶環境的生命週期
- 監督環境上安裝的延伸模組
- 控制環境的升級
- 執行環境的數據匯出
- 讀取和設定 Azure 和 Microsoft 365 服務健康情況儀錶板
此角色不會為其他 Dynamics 365 產品提供任何許可權。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.directory/subscribedSkus/allProperties/read | 讀取產品訂閱的所有屬性 |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | 管理 Dynamics 365 Business Central 的所有層面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Edge 系統管理員
具備此角色的使用者可以建立和管理 Microsoft Edge 上 Internet Explorer 模式所需的企業網站清單。 此角色授與建立、編輯及發佈網站清單的權限,並額外允許存取管理支援票證。 深入了解
| 動作 | 描述 |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | 管理 Microsoft Edge 的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Exchange 系統管理員
此角色的使用者具有 Microsoft Exchange Online (如其存在) 的全域權限。 也能夠建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色。
注意
在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Exchange Service 管理員 istrator。 在 Azure 入口網站 中,它會命名為 Exchange 管理員 istrator。 在 Exchange 系統管理中心,其名稱為 Exchange Online 系統管理員。
| 動作 | 描述 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組 |
| microsoft.directory/groups.unified/create | 建立 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/delete | 刪除 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/restore | 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 群組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.exchange/allEntities/basic/allTasks | 管理 Exchange Online 的所有層面 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Exchange 收件者系統管理員
具有此角色的使用者即具備收件者的讀取存取權,且對於 Exchange Online 中這些收件者的屬性,具有寫入存取權。 如需詳細資訊,請參閱 Exchange Server 中的收件者。
| 動作 | 描述 |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | 建立和刪除所有收件者,以及在 Exchange Online 中讀取和更新所有收件者的屬性 |
| microsoft.office365.exchange/migration/allProperties/allTasks | 在 Exchange Online 中管理與收件者遷移相關的所有工作 |
外部識別碼使用者流程管理員
具備此角色的使用者可以建立和管理 Azure 入口網站中的使用者流程 (也稱為「內建」原則)。 這些使用者可以自訂 HTML/CSS/JavaScript 內容、變更 MFA 需求、選取權杖中的宣告、管理 API 連接器及其認證,以及設定 Microsoft Entra 組織中所有使用者流程的工作階段設定。 另一方面,此角色不包含檢閱用戶數據或變更組織架構中包含的屬性的能力。 Identity Experience Framework 原則 (也稱為自訂原則) 的變更也超出此角色的範圍。
| 動作 | 描述 |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | 在 Azure Active Directory B2C 中讀取和設定使用者流程 |
外部識別碼使用者流程屬性管理員
具有此角色的使用者可新增或刪除 Microsoft Entra 組織中所有使用者流程可用的自訂屬性。 因此,具有此角色的使用者可以將新元素變更或新增至用戶架構,並影響所有使用者流程的行為,並間接導致使用者可能會要求哪些數據,最終以宣告傳送給應用程式。 此角色無法編輯使用者流程。
| 動作 | 描述 |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | 在 Azure Active Directory B2C 中讀取和設定用戶屬性 |
外部識別提供者系統管理員
這是 特殊許可權角色。 此系統管理員會管理 Microsoft Entra 組織與外部身分識別提供者之間的同盟。 透過此角色,使用者可以新增新的識別提供者,並設定所有可用的設定(例如驗證路徑、服務標識碼、指派的密鑰容器)。 此使用者可以讓 Microsoft Entra 組織信任來自外部識別提供者的驗證。 對使用者體驗產生的影響取決於組織類型:
- 員工和合作夥伴的 Microsoft Entra 組織:新增同盟(例如 Gmail)將立即影響尚未兌換的所有來賓邀請。 請參閱 將Google新增為 B2B 來賓使用者的身分識別提供者。
- Azure Active Directory B2C 組織:新增同盟(例如,使用 Facebook 或與另一個 Microsoft Entra 組織)不會立即影響使用者流程,直到身分識別提供者新增為使用者流程中的選項(也稱為內建原則)。 如需範例,請參閱 將 Microsoft 帳戶設定為識別提供者 。 若要變更使用者流程,需要「B2C 使用者流程 管理員 istrator」的有限角色。
| 動作 | 描述 |
|---|---|
| microsoft.directory/domains/federation/update | 更新網域的同盟屬性 |
| microsoft.directory/identityProviders/allProperties/allTasks | 在 Azure Active Directory B2C 中讀取和設定識別提供者 |
Fabric 管理員 istrator
當服務存在時,具有此角色的使用者在 Microsoft Fabric 和 Power BI 中具有全域許可權,以及管理支援票證並監視服務健康情況的能力。 如需詳細資訊,請參閱 瞭解網狀架構管理員角色。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.powerApps.powerBI/allEntities/allTasks | 管理 Fabric 和 Power BI 的所有層面 |
全域管理員
這是 特殊許可權角色。 具有此角色的使用者可以存取 Microsoft Entra 標識符中的所有系統管理功能,以及使用 Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站、Exchange Online、SharePoint Online 和 商務用 Skype Online 等 Microsoft Entra 身分識別的服務。 全域 管理員 istrators 可以檢視目錄活動記錄。 此外,Global 管理員 istrators 可以提升其存取權,以管理所有 Azure 訂用帳戶和管理群組。 這可讓全域管理員使用個別的 Microsoft Entra 租用戶,取得所有 Azure 資源的完整存取權。 註冊 Microsoft Entra 組織的人員會成為全域管理員。 您的公司可以擁有多個全域管理員。 全域管理員可以為任何使用者和所有其他管理員重設密碼。 Global 管理員 istrator 無法移除自己的 Global 管理員 istrator 指派。 這是為了防止組織擁有零全域 管理員 原則的情況。
注意
Microsoft 建議的最佳做法是將全域管理員角色指派給組織中的五人以下。 如需詳細資訊,請參閱 Microsoft Entra 角色的最佳做法。
| 動作 | 描述 |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (已淘汰)建立和刪除存取權檢閱、讀取和更新存取權檢閱的所有屬性,以及管理 Microsoft Entra 標識符中群組的存取權檢閱 |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | 管理 Microsoft Entra 識別碼中所有可檢閱資源的存取權檢閱 |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | 在 Microsoft Entra ID 中管理系統管理員同意要求原則 |
| microsoft.directory/administrativeUnits/allProperties/allTasks | 建立與管理管理單位(包括成員) |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性 |
| microsoft.directory/applications/allProperties/allTasks | 建立和刪除應用程式,以及讀取和更新所有屬性 |
| microsoft.directory/applications/synchronization/standard/read | 讀取此應用程式物件相關聯的佈建設定 |
| microsoft.directory/applicationTemplates/instantiate | 從應用程式範本具現化資源庫應用程式 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/users/authenticationMethods/create | 更新使用者的驗證方法 |
| microsoft.directory/users/authenticationMethods/delete | 刪除使用者的驗證方法 |
| microsoft.directory/users/authenticationMethods/standard/read | 讀取使用者驗證方法的標準屬性 |
| microsoft.directory/users/authenticationMethods/basic/update | 更新使用者驗證方法的基本屬性 |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | 管理授權原則的所有層面 |
| microsoft.directory/bitlockerKeys/key/read | 讀取裝置上的 bitlocker 元數據和金鑰 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.directory/connectors/create | 建立專用網連接器 |
| microsoft.directory/connectors/allProperties/read | 讀取專用網連接器的所有屬性 |
| microsoft.directory/connectorGroups/create | 建立專用網連接器群組 |
| microsoft.directory/connectorGroups/delete | 刪除專用網連接器群組 |
| microsoft.directory/connectorGroups/allProperties/read | 讀取專用網連接器群組的所有屬性 |
| microsoft.directory/connectorGroups/allProperties/update | 更新專用網連接器群組的所有屬性 |
| microsoft.directory/contacts/allProperties/allTasks | 建立和刪除聯繫人,以及讀取和更新所有屬性 |
| microsoft.directory/contracts/allProperties/allTasks | 建立和刪除合作夥伴合約,以及讀取和更新所有屬性 |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | 建立及管理自訂驗證延伸模組 |
| microsoft.directory/deletedItems/delete | 永久刪除無法再還原的物件 |
| microsoft.directory/deletedItems/restore | 將虛刪除的物件還原至原始狀態 |
| microsoft.directory/devices/allProperties/allTasks | 建立和刪除裝置,以及讀取和更新所有屬性 |
| microsoft.directory/groupsAssignableToRoles/assignLicense | 將授權指派給可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | 將授權指派重新處理至可指派角色的群組 |
| microsoft.directory/multiTenantOrganization/basic/update | 更新多租用戶組織的基本屬性 |
| microsoft.directory/multiTenantOrganization/create | 建立多租用戶組織 |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | 加入多租用戶組織 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 讀取多租用戶組織加入要求的屬性 |
| microsoft.directory/multiTenantOrganization/standard/read | 讀取多租用戶組織的基本屬性 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | 更新參與多租用戶組織之租使用者的基本屬性 |
| microsoft.directory/multiTenantOrganization/tenants/create | 在多租用戶組織中建立租使用者 |
| microsoft.directory/multiTenantOrganization/tenants/delete | 刪除參與多租用戶組織的租使用者 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 讀取參與多租用戶組織的租用戶詳細數據 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 讀取參與多租用戶組織之租使用者的基本屬性 |
| microsoft.directory/namedLocations/create | 建立定義網路位置的自定義規則 |
| microsoft.directory/namedLocations/delete | 刪除定義網路位置的自定義規則 |
| microsoft.directory/namedLocations/standard/read | 讀取定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/namedLocations/basic/update | 更新定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/deviceLocalCredentials/password/read | 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,包括密碼 |
| microsoft.directory/deviceManagementPolicies/standard/read | 讀取行動裝置管理和行動應用程式管理原則的標準屬性 |
| microsoft.directory/deviceManagementPolicies/basic/update | 更新行動裝置管理和行動應用程式管理原則的基本屬性 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 讀取裝置註冊原則上的標準屬性 |
| microsoft.directory/deviceRegistrationPolicy/basic/update | 更新裝置註冊原則的基本屬性 |
| microsoft.directory/directoryRoles/allProperties/allTasks | 建立和刪除目錄角色,以及讀取和更新所有屬性 |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | 建立和刪除 Microsoft Entra 角色範本,以及讀取和更新所有屬性 |
| microsoft.directory/domains/allProperties/allTasks | 建立和刪除網域,以及讀取和更新所有屬性 |
| microsoft.directory/domains/federationConfiguration/standard/read | 讀取網域同盟設定的標準屬性 |
| microsoft.directory/domains/federationConfiguration/basic/update | 更新網域的基本同盟設定 |
| microsoft.directory/domains/federationConfiguration/create | 建立網域的同盟設定 |
| microsoft.directory/domains/federationConfiguration/delete | 刪除網域的同盟設定 |
| microsoft.directory/entitlementManagement/allProperties/allTasks | 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性 |
| microsoft.directory/groups/allProperties/allTasks | 建立和刪除群組,以及讀取和更新所有屬性 |
| microsoft.directory/groupsAssignableToRoles/create | 建立可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/delete | 刪除可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/restore | 還原可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | 更新可指派角色的群組 |
| microsoft.directory/group 設定/allProperties/allTasks | 建立和刪除群組設定,以及讀取和更新所有屬性 |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | 建立和刪除群組設定範本,以及讀取和更新所有屬性 |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | 在 Microsoft Entra 識別碼中管理混合式驗證原則 |
| microsoft.directory/identityProtection/allProperties/allTasks | 在 Microsoft Entra ID Protection 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | 建立和刪除loginTenantBranding,以及讀取和更新所有屬性 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性 |
| microsoft.directory/organization/allProperties/allTasks | 讀取和更新組織的所有屬性 |
| microsoft.directory/passwordHashSync/allProperties/allTasks | 在 Microsoft Entra ID 中管理密碼哈希同步處理 (PHS) 的所有層面 |
| microsoft.directory/policies/allProperties/allTasks | 建立和刪除原則,以及讀取和更新所有屬性 |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | 管理條件式存取原則的所有屬性 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 讀取跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新允許跨租使用者存取原則的雲端端點 |
| microsoft.directory/crossTenantAccessPolicy/basic/update | 更新跨租使用者存取原則的基本設定 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 讀取預設跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 更新預設跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect 連線/update | 更新預設跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新預設跨租使用者存取原則的跨雲端Teams會議設定 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 更新預設跨租使用者存取原則的租使用者限制 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 建立合作夥伴的跨租使用者存取原則 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 刪除合作夥伴的跨租使用者存取原則 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 讀取合作夥伴跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | 更新多租用戶組織的跨租使用者同步原則範本 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault 設定 | 將多租用戶組織的跨租使用者同步原則範本重設為預設設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 讀取多租用戶組織跨租使用者同步原則範本的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | 更新多租用戶組織的跨租使用者存取原則範本 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault 設定 | 將多租用戶組織的跨租使用者存取原則範本重設為預設設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 讀取多租用戶組織跨租使用者存取原則範本的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect 連線/update | 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作夥伴跨租使用者存取原則的跨雲端Teams會議設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 更新合作夥伴跨租使用者存取原則的租使用者限制 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | 建立合作夥伴的跨租使用者同步原則 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | 更新跨租使用者同步處理原則的基本設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | 讀取跨租使用者同步處理原則的基本屬性 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | 讀取 Privileged Identity Management 中的所有資源 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容 |
| microsoft.directory/roleAssignments/allProperties/allTasks | 建立和刪除角色指派,以及讀取和更新所有角色指派屬性 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | 建立和刪除角色定義,以及讀取和更新所有屬性 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性 |
| microsoft.directory/serviceAction/activateService | 可以為服務執行「啟動服務」動作 |
| microsoft.directory/serviceAction/disableDirectoryFeature | 可以執行「停用目錄功能」服務動作 |
| microsoft.directory/serviceAction/enableDirectoryFeature | 可以執行「啟用目錄功能」服務動作 |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | 可以執行 getAvailableExtentionProperties 服務動作 |
| microsoft.directory/servicePrincipals/allProperties/allTasks | 建立和刪除服務主體,以及讀取和更新所有屬性 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | 對任何應用程式授與任何許可權的同意 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 管理應用程式佈建密碼及認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 建立及管理應用程式佈建同步作業及結構描述。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | 管理雲端租用戶至雲端租用戶應用程式布建秘密和認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | 啟動、重新啟動和暫停雲端租用戶至雲端租使用者應用程式布建同步處理作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | 建立及管理雲端租用戶至雲端租用戶應用程式布建同步處理作業和架構。 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.directory/subscribedSkus/allProperties/allTasks | 購買和管理訂用帳戶並刪除訂用帳戶 |
| microsoft.directory/users/allProperties/allTasks | 建立和刪除使用者,以及讀取和更新所有屬性 |
| microsoft.directory/users/convertExternalToInternalMemberUser | 將外部使用者轉換為內部使用者 |
| microsoft.directory/permissionGrantPolicies/create | 建立許可權授與原則 |
| microsoft.directory/permissionGrantPolicies/delete | 刪除許可權授與原則 |
| microsoft.directory/permissionGrantPolicies/standard/read | 讀取許可權授與原則的標準屬性 |
| microsoft.directory/permissionGrantPolicies/basic/update | 更新許可權授與原則的基本屬性 |
| microsoft.directory/servicePrincipalCreationPolicies/create | 建立服務主體建立原則 |
| microsoft.directory/servicePrincipalCreationPolicies/delete | 刪除服務主體建立原則 |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | 讀取服務主體建立原則的標準屬性 |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | 更新服務主體建立原則的基本屬性 |
| microsoft.directory/tenantManagement/tenants/create | 在 Microsoft Entra 識別碼中建立新的租使用者 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 讀取可驗認證卡 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 撤銷可驗認證卡 |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | 建立可驗認證合約 |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 讀取可驗認證合約 |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 更新可驗認證合約 |
| microsoft.directory/verifiableCredentials/configuration/create | 建立要建立和管理可驗認證所需的設定 |
| microsoft.directory/verifiableCredentials/configuration/delete | 刪除建立和管理可驗認證所需的設定,並刪除其所有可驗認證 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 讀取建立和管理可驗認證所需的設定 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | 更新建立和管理可驗認證所需的設定 |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | 在 Microsoft Entra ID 中管理生命週期工作流程和工作的所有層面 |
| microsoft.directory/pendingExternalUserProfiles/create | 在 Teams 的擴充目錄中建立外部使用者配置檔 |
| microsoft.directory/pendingExternalUserProfiles/standard/read | 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性 |
| microsoft.directory/pendingExternalUserProfiles/basic/update | 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性 |
| microsoft.directory/pendingExternalUserProfiles/delete | 刪除 Teams 擴充目錄中的外部使用者配置檔 |
| microsoft.directory/externalUserProfiles/standard/read | 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性 |
| microsoft.directory/externalUserProfiles/basic/update | 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性 |
| microsoft.directory/externalUserProfiles/delete | 刪除 Teams 擴充目錄中的外部使用者配置檔 |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | 管理 Azure 進階威脅防護的所有層面 |
| microsoft.azure.informationProtection/allEntities/allTasks | 管理 Azure 資訊保護 的所有層面 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | 管理 Windows 365 的所有層面 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | 管理 Office 365 計費的所有層面 |
| microsoft.commerce.billing/purchases/standard/read | 閱讀 M365 管理員 中心的購買服務。 |
| microsoft.dynamics365/allEntities/allTasks | 管理 Dynamics 365 的所有層面 |
| microsoft.edge/allEntities/allProperties/allTasks | 管理 Microsoft Edge 的所有層面 |
| microsoft.networkAccess/allEntities/allProperties/allTasks | 管理 Microsoft Entra 網路存取的所有層面 |
| microsoft.flow/allEntities/allTasks | 管理 Microsoft Power Automate 的所有層面 |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | 建立、讀取、更新和刪除 Microsoft 硬體保固宣告的寄送位址,包括其他人所建立的寄送位址 |
| microsoft.hardware.support/shippingStatus/allProperties/read | 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態 |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | 建立和管理 Microsoft 硬體保固宣告的所有層面 |
| microsoft.insights/allEntities/allProperties/allTasks | 管理 Insights 應用程式的所有層面 |
| microsoft.intune/allEntities/allTasks | 管理 Microsoft Intune 的所有層面 |
| microsoft.office365.complianceManager/allEntities/allTasks | 管理 Office 365 合規性管理員的所有層面 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | 管理 電腦分析 的所有層面 |
| microsoft.office365.exchange/allEntities/basic/allTasks | 管理 Exchange Online 的所有層面 |
| microsoft.office365.file 儲存體 Containers/allEntities/allProperties/allTasks | 管理 SharePoint Embedded 容器的所有層面 |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | 在 Microsoft 365 系統管理中心 中讀取和更新內容瞭解的所有屬性 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | 閱讀 Microsoft 365 系統管理中心 中內容瞭解的分析報告 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | 在 Microsoft 365 系統管理中心 中讀取和更新知識網路的所有屬性 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | 在 Microsoft 365 系統管理中心 中管理知識網路的主題可見度 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | 在 Learning App 中管理學習來源及其所有屬性。 |
| microsoft.office365.lockbox/allEntities/allTasks | 管理客戶加密箱的所有層面 |
| microsoft.office365.messageCenter/messages/read | 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息 |
| microsoft.office365.messageCenter/securityMessages/read | 在訊息中心讀取 Microsoft 365 系統管理中心的安全性訊息 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理 Microsoft 365 移轉的所有層面 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | 管理 Microsoft 365 組織訊息的所有撰寫層面 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | 管理安全性與合規性中心的所有層面 |
| microsoft.office365.search/content/manage | 建立和刪除內容,以及讀取和更新 Microsoft 搜尋 中的所有屬性 |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | 在 Office 365 安全性與合規性中心建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.sharePoint/allEntities/allTasks | 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 商務用 Skype Online 的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.userCommunication/allEntities/allTasks | 讀取和更新新功能訊息可見度 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | 管理 Yammer 的所有層面 |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | 管理 Microsoft Entra 權限管理 的所有層面 |
| microsoft.powerApps/allEntities/allTasks | 管理 Power Apps 的所有層面 |
| microsoft.powerApps.powerBI/allEntities/allTasks | 管理 Fabric 和 Power BI 的所有層面 |
| microsoft.teams/allEntities/allProperties/allTasks | 管理 Teams 中的所有資源 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 從系統管理中心或虛擬造訪應用程式管理及共用虛擬造訪資訊與計量 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | 管理 Microsoft Viva 目標的所有層面 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | 管理 Microsoft Viva Pulse 的所有層面 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | 管理 適用於端點的 Microsoft Defender 的所有層面 |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | 讀取和設定 Windows Update 服務的所有層面 |
全域讀者
這是 特殊許可權角色。 具備此角色的使用者可以跨 Microsoft 365 服務讀取設定和系統管理資訊,但無法採取管理動作。 全域讀取者是全域管理員的唯讀對應項目。 指派全域讀取者,而不是全域管理員來進行規劃、稽核或調查。 使用全域讀取者與其他有限的系統管理員角色 (例如 Exchange 系統管理員) 搭配使用,讓您更輕鬆地完成工作,而不需要指派全域管理員角色。 全域閱讀程式可與 Microsoft 365 系統管理中心、Exchange 系統管理中心、SharePoint 系統管理中心、Teams 系統管理中心、Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站、Azure 入口網站 和 裝置管理 系統管理中心搭配使用。
具有此角色的使用者 無法 執行下列項目:
- 無法存取 Microsoft 365 系統管理中心 中的購買服務區域。
注意
全域讀取者角色具有下列限制:
- OneDrive 系統管理中心 - OneDrive 系統管理中心不支援全域讀取者角色
- Microsoft 365 系統管理中心 - 全域讀取器無法讀取整合式應用程式。 在 Microsoft 365 系統管理中心 左窗格中的 [設定] 下,您找不到 [整合式應用程式] 索引卷標。
- Microsoft 365 Defender 入口網站 - 全域讀取者無法讀取 SCC 稽核記錄、執行內容搜尋,或查看安全分數。
- Teams 系統管理中心 - 全域讀者無法讀取 Teams 生命週期、分析與報告、IP 電話裝置管理和應用程式目錄。 如需詳細資訊,請參閱 使用 Microsoft Teams 系統管理員角色來管理 Teams。
- 特殊許可權存取管理 不支援全域讀取者角色。
- Azure 資訊保護 - 僅限中央報告支援全域讀者,且當 Microsoft Entra 組織不在統一卷標平臺上時。
- SharePoint - 全域讀者目前無法使用 PowerShell 存取 SharePoint。
- Power Platform 系統管理中心 - Power Platform 系統管理中心尚不支援全域讀取器。
- Microsoft Purview 不支援全域讀者角色。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.directory/accessReviews/allProperties/read | (已淘汰)讀取存取權檢閱的所有屬性 |
| microsoft.directory/accessReviews/definitions/allProperties/read | 讀取 Microsoft Entra 識別碼中所有可檢閱資源之存取權檢閱的所有屬性 |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | 在 Microsoft Entra ID 中讀取管理員同意要求原則的所有屬性 |
| microsoft.directory/administrativeUnits/allProperties/read | 讀取系統管理單位的所有屬性,包括成員 |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性 |
| microsoft.directory/applications/allProperties/read | 讀取所有類型的應用程式的所有屬性(包括特殊權限屬性) |
| microsoft.directory/applications/synchronization/standard/read | 讀取此應用程式物件相關聯的佈建設定 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | 讀取不包括使用者個人識別資訊之驗證方法的標準屬性 |
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/bitlockerKeys/key/read | 讀取裝置上的 bitlocker 元數據和金鑰 |
| microsoft.directory/cloudAppSecurity/allProperties/read | 讀取 適用於雲端的 Defender Apps 的所有屬性 |
| microsoft.directory/connectors/allProperties/read | 讀取專用網連接器的所有屬性 |
| microsoft.directory/connectorGroups/allProperties/read | 讀取專用網連接器群組的所有屬性 |
| microsoft.directory/contacts/allProperties/read | 讀取連絡人的所有屬性 |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | 讀取自定義驗證延伸模組 |
| microsoft.directory/deviceLocalCredentials/standard/read | 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外 |
| microsoft.directory/devices/allProperties/read | 讀取裝置的所有屬性 |
| microsoft.directory/directoryRoles/allProperties/read | 讀取目錄角色的所有屬性 |
| microsoft.directory/directoryRoleTemplates/allProperties/read | 讀取目錄角色範本的所有屬性 |
| microsoft.directory/domains/allProperties/read | 讀取網域的所有屬性 |
| microsoft.directory/domains/federationConfiguration/standard/read | 讀取網域同盟設定的標準屬性 |
| microsoft.directory/entitlementManagement/allProperties/read | 讀取 Microsoft Entra 權利管理中的所有屬性 |
| microsoft.directory/externalUserProfiles/standard/read | 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性 |
| microsoft.directory/groups/allProperties/read | 讀取安全組和 Microsoft 365 群組上的所有屬性(包括特殊許可權屬性),包括可指派角色的群組 |
| microsoft.directory/group 設定/allProperties/read | 讀取群組設定的所有屬性 |
| microsoft.directory/groupSettingTemplates/allProperties/read | 讀取群組設定範本的所有屬性 |
| microsoft.directory/identityProtection/allProperties/read | 讀取 Microsoft Entra ID Protection 中的所有資源 |
| microsoft.directory/loginOrganizationBranding/allProperties/read | 讀取組織品牌登入頁面的所有屬性 |
| microsoft.directory/namedLocations/standard/read | 讀取定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | 讀取 OAuth 2.0 許可權授與的所有屬性 |
| microsoft.directory/organization/allProperties/read | 讀取組織的所有屬性 |
| microsoft.directory/pendingExternalUserProfiles/standard/read | 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性 |
| microsoft.directory/permissionGrantPolicies/standard/read | 讀取許可權授與原則的標準屬性 |
| microsoft.directory/policies/allProperties/read | 讀取原則的所有屬性 |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | 讀取條件式存取原則的所有屬性 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 讀取跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 讀取預設跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 讀取合作夥伴跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 讀取多租用戶組織跨租使用者同步原則範本的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 讀取多租用戶組織跨租使用者存取原則範本的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | 讀取跨租使用者同步處理原則的基本屬性 |
| microsoft.directory/deviceManagementPolicies/standard/read | 讀取行動裝置管理和行動應用程式管理原則的標準屬性 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 讀取裝置註冊原則上的標準屬性 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 讀取多租用戶組織加入要求的屬性 |
| microsoft.directory/multiTenantOrganization/standard/read | 讀取多租用戶組織的基本屬性 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 讀取參與多租用戶組織的租用戶詳細數據 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 讀取參與多租用戶組織之租使用者的基本屬性 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | 讀取 Privileged Identity Management 中的所有資源 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/roleAssignments/allProperties/read | 讀取角色指派的所有屬性 |
| microsoft.directory/roleDefinitions/allProperties/read | 讀取角色定義的所有屬性 |
| microsoft.directory/scopedRoleMemberships/allProperties/read | 檢視管理單位中的成員 |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | 可以執行 getAvailableExtentionProperties 服務動作 |
| microsoft.directory/servicePrincipals/allProperties/read | 讀取 servicePrincipals 上的所有屬性 (包括特殊許可權屬性) |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | 讀取服務主體建立原則的標準屬性 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.directory/subscribedSkus/allProperties/read | 讀取產品訂閱的所有屬性 |
| microsoft.directory/users/allProperties/read | 讀取使用者的所有屬性 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 讀取可驗認證卡 |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 讀取可驗認證合約 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 讀取建立和管理可驗認證所需的設定 |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | 在 Microsoft Entra ID 中讀取生命週期工作流程和工作的所有屬性 |
| microsoft.cloudPC/allEntities/allProperties/read | 閱讀 Windows 365 的所有層面 |
| microsoft.commerce.billing/allEntities/allProperties/read | 讀取 Office 365 計費的所有資源 |
| microsoft.commerce.billing/purchases/standard/read | 閱讀 M365 管理員 中心的購買服務。 |
| microsoft.edge/allEntities/allProperties/read | 閱讀 Microsoft Edge 的所有層面 |
| microsoft.networkAccess/allEntities/allProperties/read | 閱讀 Microsoft Entra Network Access 的所有層面 |
| microsoft.hardware.support/shippingAddress/allProperties/read | 讀取 Microsoft 硬體保固宣告的寄送位址,包括其他人建立的現有寄送位址 |
| microsoft.hardware.support/shippingStatus/allProperties/read | 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態 |
| microsoft.hardware.support/warrantyClaims/allProperties/read | 閱讀 Microsoft 硬體保固索賠 |
| microsoft.insights/allEntities/allProperties/read | 閱讀 Viva Insights 的所有層面 |
| microsoft.office365.file 儲存體 Containers/allEntities/allProperties/read | 讀取 SharePoint Embedded 容器的實體和許可權 |
| microsoft.office365.messageCenter/messages/read | 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息 |
| microsoft.office365.messageCenter/securityMessages/read | 在訊息中心讀取 Microsoft 365 系統管理中心的安全性訊息 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | 閱讀 Microsoft 365 組織訊息的所有層面 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | 讀取安全性與合規性中心中的所有屬性 |
| microsoft.office365.securityComplianceCenter/allEntities/read | 讀取 Microsoft 365 安全性與合規性中心的標準屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.office365.yammer/allEntities/allProperties/read | 閱讀 Yammer 的所有層面 |
| microsoft.permissionsManagement/allEntities/allProperties/read | 閱讀 Microsoft Entra 權限管理 的所有層面 |
| microsoft.teams/allEntities/allProperties/read | 讀取 Microsoft Teams 的所有屬性 |
| microsoft.virtualVisits/allEntities/allProperties/read | 閱讀虛擬流覽的所有層面 |
| microsoft.viva.goals/allEntities/allProperties/read | 閱讀 Microsoft Viva 目標的所有層面 |
| microsoft.viva.pulse/allEntities/allProperties/read | 閱讀 Microsoft Viva Pulse 的所有層面 |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | 閱讀 Windows Update 服務的所有層面 |
Global Secure Access 管理員 istrator
將全域安全存取 管理員 istrator 角色指派給需要執行下列動作的使用者:
- 建立和管理 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取 的所有層面
- 管理公用和私人端點的存取權
具有此角色的使用者 無法 執行下列項目:
- 無法管理企業應用程式、應用程式註冊、條件式存取或應用程式 Proxy 設定
| 動作 | 描述 |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.directory/applicationPolicies/standard/read | 讀取應用程式原則的標準屬性 |
| microsoft.directory/applications/applicationProxy/read | 讀取所有應用程式 Proxy 屬性 |
| microsoft.directory/applications/owners/read | 讀取應用程式的擁有者 |
| microsoft.directory/applications/policies/read | 讀取應用程式的原則 |
| microsoft.directory/applications/standard/read | 讀取應用程式的標準屬性 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 讀取原則的條件式存取 |
| microsoft.directory/connectorGroups/allProperties/read | 讀取專用網連接器群組的所有屬性 |
| microsoft.directory/connectors/allProperties/read | 讀取專用網連接器的所有屬性 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 讀取預設跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 讀取合作夥伴跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 讀取跨租使用者存取原則的基本屬性 |
| microsoft.directory/namedLocations/standard/read | 讀取定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.networkAccess/allEntities/allProperties/allTasks | 管理 Microsoft Entra 網路存取的所有層面 |
| microsoft.office365.messageCenter/messages/read | 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
群組管理員
具備此角色的使用者可以建立/管理群組及其設定 (例如命名和到期原則)。 請務必瞭解,將使用者指派給此角色,除了 Outlook 之外,還能夠管理組織中所有群組,例如 Teams、SharePoint、Yammer。 此外,使用者將能夠跨各種系統管理入口網站管理各種群組設定,例如 Microsoft 系統管理中心、Azure 入口網站,以及 Teams 和 SharePoint 系統管理中心等工作負載特定設定。
| 動作 | 描述 |
|---|---|
| microsoft.directory/deletedItems.groups/delete | 永久刪除無法再還原的群組 |
| microsoft.directory/deletedItems.groups/restore | 將虛刪除的群組還原至原始狀態 |
| microsoft.directory/groups/assignLicense | 將產品授權指派給群組以進行群組型授權 |
| microsoft.directory/groups/create | 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/delete | 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/hiddenMembers/read | 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組 |
| microsoft.directory/groups/reprocessLicenseAssignment | 重新處理群組型授權的授權指派 |
| microsoft.directory/groups/restore | 從虛刪除的容器還原群組 |
| microsoft.directory/groups/basic/update | 更新安全組和 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/classification/update | 更新安全組和 Microsoft 365 群組上的分類屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/dynamicMembershipRule/update | 更新安全組和 Microsoft 365 群組的動態成員資格規則,但不包括可指派角色的群組 |
| microsoft.directory/groups/groupType/update | 更新會影響安全組和 Microsoft 365 群組群組類型的屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/members/update | 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組 |
| microsoft.directory/groups/onPremWriteBack/update | 使用 Microsoft Entra 連線 更新要寫回內部部署的 Microsoft Entra 群組 |
| microsoft.directory/groups/owners/update | 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.directory/groups/settings/update | 更新群組的設定 |
| microsoft.directory/groups/visibility/update | 更新安全組和 Microsoft 365 群組的可見性屬性,但不包括可指派角色的群組 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
來賓邀請者
當 [成員可邀請使用者] 設定設為 [否] 時,此角色中的使用者可以管理 Microsoft Entra B2B 來賓使用者的邀請。 如需 B2B 共同作業的詳細資訊,請參閱 關於 Microsoft Entra B2B 共同作業。 它不包含任何其他許可權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/users/inviteGuest | 邀請來賓使用者 |
| microsoft.directory/users/standard/read | 讀取使用者的基本屬性 |
| microsoft.directory/users/appRoleAssignments/read | 讀取使用者的應用程式角色指派 |
| microsoft.directory/users/deviceForResourceAccount/read | 讀取使用者的 deviceForResourceAccount |
| microsoft.directory/users/directReports/read | 閱讀使用者的直接報告 |
| microsoft.directory/users/licenseDetails/read | 讀取使用者的授權詳細數據 |
| microsoft.directory/users/manager/read | 讀取使用者管理員 |
| microsoft.directory/users/memberOf/read | 讀取使用者的群組成員資格 |
| microsoft.directory/users/oAuth2PermissionGrants/read | 讀取使用者的委派許可權授與 |
| microsoft.directory/users/ownedDevices/read | 讀取用戶擁有的裝置 |
| microsoft.directory/users/ownedObjects/read | 讀取用戶擁有的物件 |
| microsoft.directory/users/photo/read | 閱讀使用者相片 |
| microsoft.directory/users/registeredDevices/read | 讀取用戶已註冊的裝置 |
| microsoft.directory/users/scopedRoleMemberOf/read | 讀取使用者 Microsoft Entra 角色的成員資格,該角色的範圍設定為系統管理單位 |
| microsoft.directory/users/sponsors/read | 閱讀用戶的贊助者 |
服務台系統管理員
這是 特殊許可權角色。 具有此角色的使用者可以變更密碼、使重新整理權杖失效、使用 Microsoft for Azure 和 Microsoft 365 服務建立和管理支援要求,以及監視服務健康情況。 使重新整理權杖失效會強制使用者再次登入。 服務台系統管理員是否可以重設使用者的密碼,並使重新整理權杖失效,取決於指派使用者的角色。 如需 Helpdesk 管理員 istrator 可以重設密碼並使重新整理令牌失效的角色清單,請參閱 神秘 可以重設密碼。
具有此角色的使用者 無法 執行下列項目:
- 無法為可指派角色群組的成員和擁有者變更認證或重設 MFA。
重要
具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要組態的人員變更密碼。 變更使用者的密碼可能表示能夠採用使用者的身分識別和權限。 例如:
- 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 中可能有特殊許可權,而其他地方未授與 Helpdesk 管理員 istrators。 透過此路徑,Helpdesk 管理員 istrator 可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證來進一步假設特殊許可權應用程式的身分識別。
- Azure 訂用帳戶擁有者,他們可能會存取 Azure 中的敏感性或私人資訊或重要設定。
- 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
- Microsoft Entra ID 外部其他服務 (例如 Exchange Online, Microsoft 365 Defender portal, Microsoft Purview 合規性入口網站和人力資源系統) 中的系統管理員。
- 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。
透過 管理員 單位,將系統管理許可權委派給使用者子集,並將原則套用至使用者子集。
此角色先前在 Azure 入口網站 中命名為Password管理員 istrator。 它已重新命名為 Helpdesk 管理員 istrator,以配合 Microsoft Graph API 和 Azure AD PowerShell 中的現有名稱。
| 動作 | 描述 |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | 讀取裝置上的 bitlocker 元數據和金鑰 |
| microsoft.directory/deviceLocalCredentials/standard/read | 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外 |
| microsoft.directory/users/invalidateAllRefreshTokens | 讓使用者重新整理權杖無效以強制登出 |
| microsoft.directory/users/password/update | 重設所有使用者的密碼 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
混合式身分識別管理員
這是 特殊許可權角色。 此角色中的使用者可以使用雲端布建,從 Active Directory 建立、管理及部署布建組態設定,以及管理 Microsoft Entra 連線、傳遞驗證 (PTA)、密碼哈希同步處理 (PHS)、無縫單一登錄 (無縫 SSO) 和同盟設定。 無法管理 Microsoft Entra 連線 Health。 使用者也可以使用此角色對記錄進行疑難排解和監視。
| 動作 | 描述 |
|---|---|
| microsoft.directory/applications/create | 建立所有類型的應用程式 |
| microsoft.directory/applications/delete | 刪除所有類型的應用程式 |
| microsoft.directory/applications/appRoles/update | 更新所有類型之應用程式上的 appRole 屬性 |
| microsoft.directory/applications/audience/update | 更新應用程式的對象屬性 |
| microsoft.directory/applications/authentication/update | 更新所有類型的應用程式上的驗證 |
| microsoft.directory/applications/basic/update | 更新應用程式的基本屬性 |
| microsoft.directory/applications/notes/update | 更新應用程式注意事項 |
| microsoft.directory/applications/owners/update | 更新應用程式的擁有者 |
| microsoft.directory/applications/permissions/update | 更新所有類型之應用程式的公開權限及必要權限 |
| microsoft.directory/applications/policies/update | 更新應用程式原則 |
| microsoft.directory/applications/tag/update | 更新應用程式的標籤 |
| microsoft.directory/applications/synchronization/standard/read | 讀取此應用程式物件相關聯的佈建設定 |
| microsoft.directory/applicationTemplates/instantiate | 從應用程式範本具現化資源庫應用程式 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | 讀取並設定 Microsoft Entra 雲端布建服務的所有屬性。 |
| microsoft.directory/deletedItems.applications/delete | 永久删除應用程式,這意味著將無法還原它們 |
| microsoft.directory/deletedItems.applications/restore | 將虛刪除的應用程式還原為原始狀態 |
| microsoft.directory/domains/allProperties/read | 讀取網域的所有屬性 |
| microsoft.directory/domains/federation/update | 更新網域的同盟屬性 |
| microsoft.directory/domains/federationConfiguration/standard/read | 讀取網域同盟設定的標準屬性 |
| microsoft.directory/domains/federationConfiguration/basic/update | 更新網域的基本同盟設定 |
| microsoft.directory/domains/federationConfiguration/create | 建立網域的同盟設定 |
| microsoft.directory/domains/federationConfiguration/delete | 刪除網域的同盟設定 |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | 在 Microsoft Entra 識別碼中管理混合式驗證原則 |
| microsoft.directory/organization/dirSync/update | 更新組織目錄同步屬性 |
| microsoft.directory/passwordHashSync/allProperties/allTasks | 在 Microsoft Entra ID 中管理密碼哈希同步處理 (PHS) 的所有層面 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/servicePrincipals/create | 建立服務主體 |
| microsoft.directory/servicePrincipals/delete | 刪除服務主體 |
| microsoft.directory/servicePrincipals/disable | 停用服務主體 |
| microsoft.directory/servicePrincipals/enable | 啟用服務主體 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 管理應用程式佈建祕密及認證 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 建立及管理應用程式佈建同步作業及結構描述 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 管理應用程式佈建密碼及認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 啟動、重新啟動及暫停應用程式佈建同步作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 建立及管理應用程式佈建同步作業及結構描述。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | 管理雲端租用戶至雲端租用戶應用程式布建秘密和認證。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | 啟動、重新啟動和暫停雲端租用戶至雲端租使用者應用程式布建同步處理作業。 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | 建立及管理雲端租用戶至雲端租用戶應用程式布建同步處理作業和架構。 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/servicePrincipals/audience/update | 更新服務主體的對象屬性 |
| microsoft.directory/servicePrincipals/authentication/update | 更新服務主體的驗證屬性 |
| microsoft.directory/servicePrincipals/basic/update | 更新服務主體的基本屬性 |
| microsoft.directory/servicePrincipals/notes/update | 更新服務主體的注意事項 |
| microsoft.directory/servicePrincipals/owners/update | 更新服務主體的擁有者 |
| microsoft.directory/servicePrincipals/permissions/update | 更新服務主體的權限 |
| microsoft.directory/servicePrincipals/policies/update | 更新服務主體的原則 |
| microsoft.directory/servicePrincipals/tag/update | 更新服務主體的標籤屬性 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 讀取您服務主體相關聯的佈建設定 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.directory/users/authorizationInfo/update | 更新使用者的多重值憑證用戶標識碼屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.messageCenter/messages/read | 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
身分識別控管系統管理員
具有此角色的使用者可以管理 Microsoft Entra ID 治理設定,包括存取套件、存取檢閱、目錄和原則、確保存取權已核准和已審核,以及已移除不再需要存取權的來賓使用者。
| 動作 | 描述 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | 在 Microsoft Entra ID 中管理應用程式角色指派的存取權檢閱 |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | 管理權利管理中存取套件指派的存取權檢閱 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | 讀取安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,包括可指派角色的群組。 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | 更新安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,但不包括可指派角色的群組。 |
| microsoft.directory/accessReviews/definitions.groups/create | 建立安全性與 Microsoft 365 群組中成員資格的存取權檢閱。 |
| microsoft.directory/accessReviews/definitions.groups/delete | 刪除安全性與 Microsoft 365 群組中成員資格的存取權檢閱。 |
| microsoft.directory/accessReviews/allProperties/allTasks | (已淘汰)建立和刪除存取權檢閱、讀取和更新存取權檢閱的所有屬性,以及管理 Microsoft Entra 標識符中群組的存取權檢閱 |
| microsoft.directory/entitlementManagement/allProperties/allTasks | 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性 |
| microsoft.directory/groups/members/update | 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
深入解析系統管理員
擁有此角色的使用者可以存取 Microsoft Viva Insights 應用程式中的完整系統管理功能。 此角色能夠讀取目錄資訊、監視服務健康情況、檔案支援票證,以及存取 Insights 系統管理員設定層面。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.insights/allEntities/allProperties/allTasks | 管理 Insights 應用程式的所有層面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Insights 分析師
將 Insights 分析師角色指派給需要執行下列動作的使用者:
- 分析 Microsoft Viva Insights 應用程式中的數據,但無法管理任何組態設定
- 建立、管理及執行查詢
- 在 Microsoft 365 系統管理中心 中檢視基本設定和報表
- 在 Microsoft 365 系統管理中心 中建立及管理服務要求
| 動作 | 描述 |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | 在 Viva Insights 中執行和管理查詢 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
深入解析商務領導者
此角色的使用者可以透過 Microsoft Viva Insights 應用程式存取一組儀表板和深入解析。 這包括所有儀表板的完整存取,以及呈現見解和資料探索功能。 此角色中的用戶無法存取產品組態設定,這是 Insights 管理員 istrator 角色的責任。
| 動作 | 描述 |
|---|---|
| microsoft.insights/reports/allProperties/read | 在 Insights 應用程式中檢視報表和儀錶板 |
| microsoft.insights/programs/allProperties/update | 在 Insights 應用程式中部署和管理程式 |
Intune 管理員
這是 特殊許可權角色。 此角色的使用者具有 Microsoft Intune Online (如其存在) 的全域權限。 此外,此角色也包含管理用戶和裝置以建立和管理群組的能力。 如需詳細資訊,請參閱 使用 Microsoft Intune 的角色型系統管理控件 (RBAC)。
此角色可以建立和管理所有安全性群組。 不過,Intune 管理員 istrator 沒有 Office 群組的系統管理員許可權。 這表示系統管理員無法更新組織中所有 Office 群組的擁有者或成員資格。 不過,他/她可以管理他所建立的 Office 群組,這是其用戶許可權的一部分。 因此,任何他/她建立的 Office 群組(不是安全組)都應該計入其 250 的配額。
注意
在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Intune Service 管理員 istrator。 在 Azure 入口網站 中,它會命名為 Intune 管理員 istrator。
| 動作 | 描述 |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | 讀取裝置上的 bitlocker 元數據和金鑰 |
| microsoft.directory/contacts/create | 建立連絡人 |
| microsoft.directory/contacts/delete | 刪除連絡人 |
| microsoft.directory/contacts/basic/update | 更新連絡人的基本屬性 |
| microsoft.directory/deletedItems.devices/delete | 永久刪除無法再還原的裝置 |
| microsoft.directory/deletedItems.devices/restore | 將虛刪除的裝置還原為原始狀態 |
| microsoft.directory/devices/create | 建立裝置(註冊 Microsoft Entra ID) |
| microsoft.directory/devices/delete | 從 Microsoft Entra 識別碼刪除裝置 |
| microsoft.directory/devices/disable | 停用 Microsoft Entra 識別碼中的裝置 |
| microsoft.directory/devices/enable | 在 Microsoft Entra 識別碼中啟用裝置 |
| microsoft.directory/devices/basic/update | 更新裝置上的基本屬性 |
| microsoft.directory/devices/extensionAttributeSet1/update | 將 extensionAttribute1 更新為裝置上的 extensionAttribute5 屬性 |
| microsoft.directory/devices/extensionAttributeSet2/update | 將 extensionAttribute6 更新為裝置上的 extensionAttribute10 屬性 |
| microsoft.directory/devices/extensionAttributeSet3/update | 將 extensionAttribute11 更新為裝置上的 extensionAttribute15 屬性 |
| microsoft.directory/devices/registeredOwners/update | 更新已註冊的裝置擁有者 |
| microsoft.directory/devices/registeredUsers/update | 更新裝置的已註冊使用者 |
| microsoft.directory/deviceLocalCredentials/password/read | 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,包括密碼 |
| microsoft.directory/deviceManagementPolicies/standard/read | 讀取行動裝置管理和行動應用程式管理原則的標準屬性 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 讀取裝置註冊原則上的標準屬性 |
| microsoft.directory/groups/hiddenMembers/read | 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組 |
| microsoft.directory/groups.security/create | 建立安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/delete | 刪除安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/basic/update | 更新安全組的基本屬性,不包括可指派角色的群組 |
| microsoft.directory/groups.security/classification/update | 更新安全組上的分類屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups.security/dynamicMembershipRule/update | 更新安全組的動態成員資格規則,但不包括可指派角色的群組 |
| microsoft.directory/groups.security/members/update | 更新安全組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.security/owners/update | 更新安全組的擁有者,不包括可指派角色的群組 |
| microsoft.directory/groups.security/visibility/update | 更新安全組上的可見度屬性,但不包括可指派角色的群組 |
| microsoft.directory/users/basic/update | 更新使用者的基本屬性 |
| microsoft.directory/users/manager/update | 更新使用者的管理員 |
| microsoft.directory/users/photo/update | 更新使用者相片 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | 管理 Windows 365 的所有層面 |
| microsoft.intune/allEntities/allTasks | 管理 Microsoft Intune 的所有層面 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | 閱讀 Microsoft 365 組織訊息的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Kaizala 管理員
具有此角色的使用者具有全域許可權,可在服務存在時管理 Microsoft Kaizala 內的設定,以及管理支援票證及監視服務健康情況的能力。 此外,使用者可以透過組織成員和使用 Kaizala 動作所產生的商務報告,存取與採用和使用 Kaizala 相關的報告。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
知識系統管理員
擁有角色的使用者可完整存取 Microsoft 365 系統管理中心內的所有知識、學習和智慧功能設定。 他們對產品套件、授權詳細資料有大致的了解,並負責控制存取權。 知識系統管理員可以建立和管理內容,例如主題、縮略字和學習資源。 此外,這些使用者可以建立內容中心、監視服務健康情況,以及建立服務要求。
| 動作 | 描述 |
|---|---|
| microsoft.directory/groups.security/create | 建立安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/createAsOwner | 建立安全組,不包括可指派角色的群組。 建立者會新增為第一個擁有者。 |
| microsoft.directory/groups.security/delete | 刪除安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/basic/update | 更新安全組的基本屬性,不包括可指派角色的群組 |
| microsoft.directory/groups.security/members/update | 更新安全組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.security/owners/update | 更新安全組的擁有者,不包括可指派角色的群組 |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | 在 Microsoft 365 系統管理中心 中讀取和更新內容瞭解的所有屬性 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | 在 Microsoft 365 系統管理中心 中讀取和更新知識網路的所有屬性 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | 在 Learning App 中管理學習來源及其所有屬性。 |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | 讀取安全性與合規性中心內敏感度標籤的所有屬性 |
| microsoft.office365.sharePoint/allEntities/allTasks | 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
知識管理員
擁有此角色的使用者可以建立和管理內容,例如主題、縮略字和學習內容。 這些使用者主要負責知識的品質和結構。 此使用者具有主題管理動作的完整權限,可確認主題、核准編輯或刪除主題。 此角色也可以管理分類法,作為字詞庫管理工具的一部分,並建立內容中心。
| 動作 | 描述 |
|---|---|
| microsoft.directory/groups.security/create | 建立安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/createAsOwner | 建立安全組,不包括可指派角色的群組。 建立者會新增為第一個擁有者。 |
| microsoft.directory/groups.security/delete | 刪除安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/basic/update | 更新安全組的基本屬性,不包括可指派角色的群組 |
| microsoft.directory/groups.security/members/update | 更新安全組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.security/owners/update | 更新安全組的擁有者,不包括可指派角色的群組 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | 閱讀 Microsoft 365 系統管理中心 中內容瞭解的分析報告 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | 在 Microsoft 365 系統管理中心 中管理知識網路的主題可見度 |
| microsoft.office365.sharePoint/allEntities/allTasks | 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
授權管理員
此角色中的使用者可以讀取、新增、移除和更新使用者、群組的授權指派(使用群組型授權),以及管理使用者上的使用位置。 角色不會授與購買或管理訂用帳戶、建立或管理群組,或建立或管理使用量位置以外的使用者的能力。 此角色無法檢視、建立或管理支援票證。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/groups/assignLicense | 將產品授權指派給群組以進行群組型授權 |
| microsoft.directory/groups/reprocessLicenseAssignment | 重新處理群組型授權的授權指派 |
| microsoft.directory/users/assignLicense | 管理用戶授權 |
| microsoft.directory/users/reprocessLicenseAssignment | 重新處理使用者的授權指派 |
| microsoft.directory/users/usageLocation/update | 更新使用者的使用位置 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
生命週期工作流程系統管理員
將生命週期工作流程系統管理員角色指派給需要執行下列工作的使用者:
- 在 Microsoft Entra 識別碼中建立和管理與生命週期工作流程相關聯的工作流程和工作的所有層面
- 檢查排程工作流程的執行
- 啟動隨選工作流程執行
- 檢查工作流程執行記錄
| 動作 | 描述 |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | 在 Microsoft Entra ID 中管理生命週期工作流程和工作的所有層面 |
| microsoft.directory/organization/strongAuthentication/read | 讀取組織的強身份驗證屬性 |
訊息中心隱私權讀取者
擁有此角色的使用者可以監視訊息中心中的所有通知,包括資料隱私權訊息。 訊息中心隱私權讀者會收到電子郵件通知,包括與資料隱私權相關的通知,而且可以使用訊息中心喜好設定取消訂閱。 只有全域管理員和訊息中心隱私權讀取者可以讀取資料隱私權訊息。 此外,此角色也包含檢視群組、網域和訂用帳戶的能力。 此角色沒有檢視、建立或管理服務要求的權限。
| 動作 | 描述 |
|---|---|
| microsoft.office365.messageCenter/messages/read | 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息 |
| microsoft.office365.messageCenter/securityMessages/read | 在訊息中心讀取 Microsoft 365 系統管理中心的安全性訊息 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
訊息中心讀取者
此角色中的使用者可以在 Exchange、Intune 和 Microsoft Teams 等已設定的服務上 ,監視訊息中心的 通知和諮詢健康情況更新。 訊息中心讀取者會收到每週的電子郵件摘要文章、更新,並可分享 Microsoft 365 中的訊息中心文章。 在 Microsoft Entra ID 中,指派給此角色的使用者只會在 Microsoft Entra 服務上具有唯讀存取權,例如使用者和群組。 此角色無法檢視、建立或管理支援票證。
| 動作 | 描述 |
|---|---|
| microsoft.office365.messageCenter/messages/read | 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Microsoft 365 移轉 管理員 istrator
將 Microsoft 365 移轉 管理員 istrator 角色指派給需要執行下列工作的使用者:
- 使用 Microsoft 365 系統管理中心 中的移轉管理員來管理從Google Drive、Dropbox、Box和 Egnyte 移轉至 Microsoft 365 的內容,包括Teams、商務用 OneDrive和 SharePoint 網站
- 選取移轉來源、建立移轉清查(例如Google Drive使用者清單)、排程和執行移轉,以及下載報告
- 如果目的地網站不存在,請建立新的 SharePoint 網站、在 SharePoint 管理網站底下建立 SharePoint 清單,以及在 SharePoint 清單中建立和更新專案
- 管理工作的移轉項目設定和移轉生命週期
- 管理從來源到目的地的許可權對應
注意
此角色不允許您使用 SharePoint 系統管理中心從檔案共用來源移轉。 您可以使用 SharePoint 管理員 istrator 角色,從檔案共用來源移轉。
| 動作 | 描述 |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理 Microsoft 365 移轉的所有層面 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
Microsoft Entra Joined Device Local 管理員 istrator
此角色僅適用於在裝置設定中以其他本機系統管理員身分指派。 具有此角色的使用者,會在已加入 Microsoft Entra ID 的所有 Windows 10 裝置上,成為本機電腦系統管理員。 它們無法管理 Microsoft Entra ID 中的裝置物件。
| 動作 | 描述 |
|---|---|
| microsoft.directory/group 設定/standard/read | 讀取群組設定的基本屬性 |
| microsoft.directory/groupSettingTemplates/standard/read | 讀取群組設定範本的基本屬性 |
Microsoft 硬體瑕疵擔保系統管理員
將 Microsoft 硬體瑕疵擔保系統管理員角色指派給需要執行下列工作的使用者:
- 為 Microsoft 製造的硬體建立新的保固索賠,例如 Surface 和 HoloLens
- 搜尋和讀取已開啟或已關閉的保固索賠
- 依序號搜尋和讀取保固索賠
- 建立、讀取、更新和刪除寄送位址
- 讀取開放保固索賠的出貨狀態
- 在 Microsoft 365 系統管理中心 中建立和管理服務要求
- 閱讀 Microsoft 365 系統管理中心 中的訊息中心公告
瑕疵擔保索賠是要求根據瑕疵擔保條款修復或更換硬體。 如需詳細資訊,請參閱 自助式 Surface 保固和服務要求。
| 動作 | 描述 |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | 建立、讀取、更新和刪除 Microsoft 硬體保固宣告的寄送位址,包括其他人所建立的寄送位址 |
| microsoft.hardware.support/shippingStatus/allProperties/read | 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態 |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | 建立和管理 Microsoft 硬體保固宣告的所有層面 |
| microsoft.office365.messageCenter/messages/read | 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Microsoft 硬體瑕疵擔保專員
將 Microsoft 硬體瑕疵擔保專員角色指派給需要執行下列工作的使用者:
- 為 Microsoft 製造的硬體建立新的保固索賠,例如 Surface 和 HoloLens
- 閱讀他們建立的保固宣告
- 讀取和更新現有的寄送位址
- 讀取已建立之公開保固索賠的出貨狀態
- 在 Microsoft 365 系統管理中心 中建立及管理服務要求
瑕疵擔保索賠是要求根據瑕疵擔保條款修復或更換硬體。 如需詳細資訊,請參閱 自助式 Surface 保固和服務要求。
| 動作 | 描述 |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | 讀取 Microsoft 硬體保固宣告的寄送位址,包括其他人建立的現有寄送位址 |
| microsoft.hardware.support/warrantyClaims/createAsOwner | 建立建立者是擁有者的 Microsoft 硬體保固宣告 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.hardware.support/shippingStatus/allProperties/read | 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態 |
| microsoft.hardware.support/warrantyClaims/allProperties/read | 閱讀 Microsoft 硬體保固索賠 |
現代商務 管理員
請勿使用。 此角色會自動從 Commerce 指派,並不適用於或支援任何其他用途。 請參閱下方的詳細數據。
Modern Commerce 管理員 istrator 角色可授與特定使用者存取 Microsoft 365 系統管理中心 的許可權,並查看首頁、帳單和支援的左側導覽專案。 這些區域中提供的內容是由 指派給用戶的商務特定角色 所控制,以管理他們為自己或貴組織購買的產品。 這可能包括支付帳單之類的工作,或用於存取計費帳戶和帳單設定檔。
具有 Modern Commerce 管理員 istrator 角色的使用者通常在其他 Microsoft 購買系統中具有系統管理許可權,但沒有用來存取系統管理中心的全域 管理員 istrator 或 Billing 管理員 istrator 角色。
指派現代商務 管理員 角色的時機?
- Microsoft 365 系統管理中心 中的自助式購買 – 自助購買可讓使用者自行購買或註冊新產品,以試用新產品。 這些產品是在系統管理中心管理。 進行自助式購買的使用者會獲指派商務系統中的角色,而Modern Commerce 管理員 istrator 角色,讓他們可以在系統管理中心管理購買。 管理員 可以封鎖自助式購買(適用於 Fabric、Power BI、Power Apps、Power automate)PowerShell。 如需詳細資訊,請參閱 自助式購買常見問題。
- 從 Microsoft 商業市集購買 – 類似於自助購買,當使用者從 Microsoft AppSource 或 Azure Marketplace 購買產品或服務時,如果用戶沒有 Global 管理員 istrator 或 Billing 管理員 istrator 角色,則會指派 Modern Commerce 管理員 istrator 角色。 在某些情況下,使用者可能會遭到封鎖而無法進行這些購買。 如需詳細資訊,請參閱 Microsoft 商業市集。
- Microsoft 的建議 – 提案是 Microsoft 為貴組織購買 Microsoft 產品和服務的正式供應專案。 當接受提案的人員在 Microsoft Entra ID 中沒有 Global 管理員 istrator 或 Billing 管理員 istrator 角色時,他們會獲指派商務特定角色來完成提案,而 Modern Commerce 管理員 istrator 角色可存取系統管理中心。 當他們存取系統管理中心時,他們只能使用其商務特定角色所授權的功能。
- 商務特定角色 – 某些用戶獲指派商務特定角色。 如果使用者不是 Global 管理員 istrator 或 Billing 管理員 istrator,他們就會取得 Modern Commerce 管理員 istrator 角色,讓他們可以存取系統管理中心。
如果 Modern Commerce 管理員 istrator 角色未指派給使用者,他們就無法存取 Microsoft 365 系統管理中心。 如果他們自行或貴組織管理任何產品,他們將無法管理它們。 這可能包括指派授權、變更付款方式、支付帳單或其他管理訂用帳戶的工作。
| 動作 | 描述 |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | 管理大量授權服務中心的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/basic/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
網路系統管理員
擁有此角色的使用者可以檢閱來自 Microsoft 的網路周邊架構建議,這些建議是以來自其使用者位置的網路遙測為基礎。 Microsoft 365 的網路效能依賴謹慎的企業客戶網路周邊架構,通常是使用者位置特定的架構。 此角色可讓您編輯這些位置探索到的使用者位置和網路參數設定,以利改善遙測測量和設計建議
| 動作 | 描述 |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | 管理網路位置的所有層面 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Office 應用程式管理員
擁有此角色的使用者可以管理 Microsoft 365 應用程式的雲端設定。 這包括管理雲端原則、自助式下載管理,以及檢視 Office 應用程式相關報告的能力。 此角色會額外授與管理支援票證的能力,以及監視主要系統管理中心內的服務健康情況。 指派給此角色的使用者也可以管理 Office 應用程式中新功能的通訊。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.messageCenter/messages/read | 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.userCommunication/allEntities/allTasks | 讀取和更新新功能訊息可見度 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
組織商標 管理員
將組織商標 管理員 istrator 角色指派給需要執行下列工作的使用者:
- 管理租用戶中組織商標的所有層面
- 讀取、建立、更新和刪除商標主題
- 管理默認商標主題和所有商標當地語系化主題
| 動作 | 描述 |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | 建立和刪除loginTenantBranding,以及讀取和更新所有屬性 |
組織訊息核准者
將組織訊息核准者角色指派給需要執行下列工作的使用者:
- 使用 Microsoft 365 組織訊息平台傳送給使用者之前,請先檢閱、核准或拒絕 Microsoft 365 系統管理中心 中傳遞的新組織訊息
- 讀取組織訊息的所有層面
- 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
| 動作 | 描述 |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | 閱讀 Microsoft 365 組織訊息的所有層面 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | 核准或拒絕新組織訊息以在 Microsoft 365 系統管理中心 中傳遞 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
組織訊息編寫者
將組織訊息編寫者角色指派給需要執行下列工作的使用者:
- 使用 Microsoft 365 系統管理中心 或 Microsoft Intune 撰寫、發佈及刪除組織訊息
- 使用 Microsoft 365 系統管理中心 或 Microsoft Intune 管理組織訊息傳遞選項
- 使用 Microsoft 365 系統管理中心 或 Microsoft Intune 讀取組織訊息傳遞結果
- 檢視 Microsoft 365 系統管理中心 中的使用量報告和大部分設定,但無法進行變更
| 動作 | 描述 |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | 管理 Microsoft 365 組織訊息的所有撰寫層面 |
| microsoft.office365.usageReports/allEntities/standard/read | 讀取租用戶層級匯總的 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
合作夥伴第 1 層支援
這是 特殊許可權角色。 請勿使用。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。
重要
此角色只能重設密碼,並讓非系統管理員的重新整理令牌失效。 不應該使用此角色,因為它已被取代。
| 動作 | 描述 |
|---|---|
| microsoft.directory/applications/appRoles/update | 更新所有類型之應用程式上的 appRole 屬性 |
| microsoft.directory/applications/audience/update | 更新應用程式的對象屬性 |
| microsoft.directory/applications/authentication/update | 更新所有類型的應用程式上的驗證 |
| microsoft.directory/applications/basic/update | 更新應用程式的基本屬性 |
| microsoft.directory/applications/credentials/update | 更新應用程式認證 |
| microsoft.directory/applications/notes/update | 更新應用程式注意事項 |
| microsoft.directory/applications/owners/update | 更新應用程式的擁有者 |
| microsoft.directory/applications/permissions/update | 更新所有類型之應用程式的公開權限及必要權限 |
| microsoft.directory/applications/policies/update | 更新應用程式原則 |
| microsoft.directory/applications/tag/update | 更新應用程式的標籤 |
| microsoft.directory/contacts/create | 建立連絡人 |
| microsoft.directory/contacts/delete | 刪除連絡人 |
| microsoft.directory/contacts/basic/update | 更新連絡人的基本屬性 |
| microsoft.directory/deletedItems.groups/restore | 將虛刪除的群組還原至原始狀態 |
| microsoft.directory/deletedItems.users/restore | 將虛刪除的使用者還原為原始狀態 |
| microsoft.directory/groups/create | 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/delete | 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/restore | 從虛刪除的容器還原群組 |
| microsoft.directory/groups/members/update | 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組 |
| microsoft.directory/groups/owners/update | 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/users/assignLicense | 管理用戶授權 |
| microsoft.directory/users/create | 新增使用者 |
| microsoft.directory/users/delete | 刪除使用者 |
| microsoft.directory/users/disable | 停用使用者 |
| microsoft.directory/users/enable | 啟用使用者 |
| microsoft.directory/users/invalidateAllRefreshTokens | 讓使用者重新整理權杖無效以強制登出 |
| microsoft.directory/users/restore | 還原已刪除的使用者 |
| microsoft.directory/users/basic/update | 更新使用者的基本屬性 |
| microsoft.directory/users/manager/update | 更新使用者的管理員 |
| microsoft.directory/users/password/update | 重設所有使用者的密碼 |
| microsoft.directory/users/photo/update | 更新使用者相片 |
| microsoft.directory/users/userPrincipalName/update | 更新使用者的使用者主體名稱 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
合作夥伴第 2 層支援
這是 特殊許可權角色。 請勿使用。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。
重要
此角色可以重設密碼,並讓所有非系統管理員和系統管理員的重新整理令牌失效(包括全域 管理員 istrators)。 不應該使用此角色,因為它已被取代。
| 動作 | 描述 |
|---|---|
| microsoft.directory/applications/appRoles/update | 更新所有類型之應用程式上的 appRole 屬性 |
| microsoft.directory/applications/audience/update | 更新應用程式的對象屬性 |
| microsoft.directory/applications/authentication/update | 更新所有類型的應用程式上的驗證 |
| microsoft.directory/applications/basic/update | 更新應用程式的基本屬性 |
| microsoft.directory/applications/credentials/update | 更新應用程式認證 |
| microsoft.directory/applications/notes/update | 更新應用程式注意事項 |
| microsoft.directory/applications/owners/update | 更新應用程式的擁有者 |
| microsoft.directory/applications/permissions/update | 更新所有類型之應用程式的公開權限及必要權限 |
| microsoft.directory/applications/policies/update | 更新應用程式原則 |
| microsoft.directory/applications/tag/update | 更新應用程式的標籤 |
| microsoft.directory/contacts/create | 建立連絡人 |
| microsoft.directory/contacts/delete | 刪除連絡人 |
| microsoft.directory/contacts/basic/update | 更新連絡人的基本屬性 |
| microsoft.directory/deletedItems.groups/restore | 將虛刪除的群組還原至原始狀態 |
| microsoft.directory/deletedItems.users/restore | 將虛刪除的使用者還原為原始狀態 |
| microsoft.directory/domains/allProperties/allTasks | 建立和刪除網域,以及讀取和更新所有屬性 |
| microsoft.directory/groups/create | 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/delete | 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/restore | 從虛刪除的容器還原群組 |
| microsoft.directory/groups/members/update | 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組 |
| microsoft.directory/groups/owners/update | 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性 |
| microsoft.directory/organization/basic/update | 更新組織的基本屬性 |
| microsoft.directory/roleAssignments/allProperties/allTasks | 建立和刪除角色指派,以及讀取和更新所有角色指派屬性 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | 建立和刪除角色定義,以及讀取和更新所有屬性 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/subscribedSkus/standard/read | 讀取訂用帳戶的基本屬性 |
| microsoft.directory/users/assignLicense | 管理用戶授權 |
| microsoft.directory/users/create | 新增使用者 |
| microsoft.directory/users/delete | 刪除使用者 |
| microsoft.directory/users/disable | 停用使用者 |
| microsoft.directory/users/enable | 啟用使用者 |
| microsoft.directory/users/invalidateAllRefreshTokens | 讓使用者重新整理權杖無效以強制登出 |
| microsoft.directory/users/restore | 還原已刪除的使用者 |
| microsoft.directory/users/basic/update | 更新使用者的基本屬性 |
| microsoft.directory/users/manager/update | 更新使用者的管理員 |
| microsoft.directory/users/password/update | 重設所有使用者的密碼 |
| microsoft.directory/users/photo/update | 更新使用者相片 |
| microsoft.directory/users/userPrincipalName/update | 更新使用者的使用者主體名稱 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
密碼管理員
這是 特殊許可權角色。 具有此角色的使用者管理密碼的能力有限。 此角色不會授與管理服務要求或監視服務健康情況的能力。 密碼 管理員 istrator 是否可以重設使用者的密碼,取決於使用者指派的角色。 如需Password 管理員 istrator 可以重設密碼的角色清單,請參閱 神秘 可以重設密碼。
具有此角色的使用者 無法 執行下列項目:
- 無法為可指派角色群組的成員和擁有者變更認證或重設 MFA。
| 動作 | 描述 |
|---|---|
| microsoft.directory/users/password/update | 重設所有使用者的密碼 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
權限管理系統管理員
將權限管理系統管理員角色指派給需要執行下列工作的使用者:
- 當服務存在時,管理 Microsoft Entra 權限管理 的所有層面
若要深入了解許可權管理角色和原則,請參閱 檢視角色/原則的相關信息。
| 動作 | 描述 |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | 管理 Microsoft Entra 權限管理 的所有層面 |
Power Platform 系統管理員
擁有此角色的使用者可以建立和管理環境、Power Apps、流程、資料外洩防護原則的所有層面。 此外,具有此角色的使用者能夠管理支援票證並監視服務健康情況。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.dynamics365/allEntities/allTasks | 管理 Dynamics 365 的所有層面 |
| microsoft.flow/allEntities/allTasks | 管理 Microsoft Power Automate 的所有層面 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.powerApps/allEntities/allTasks | 管理 Power Apps 的所有層面 |
印表機系統管理員
擁有此角色的使用者可以註冊印表機,並管理 Microsoft 通用列印解決方案中所有印表機設定的所有層面,包括通用列印連接器設定。 他們可以同意所有委派的列印權限要求。 印表機系統管理員也可以存取列印報告。
| 動作 | 描述 |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | 建立和刪除印表機和連接器,以及讀取和更新 Microsoft Print 中的所有屬性 |
印表機技術人員
擁有此角色的使用者可以在 Microsoft 通用列印解決方案中註冊印表機及管理印表機狀態。 他們也可以讀取所有連接器資訊。 印表機技術人員無法執行的主要工作是在印表機和共用印表機上設定用戶權力。
| 動作 | 描述 |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | 在 Microsoft Print 中讀取連接器的所有屬性 |
| microsoft.azure.print/printers/allProperties/read | 讀取 Microsoft Print 中印表機的所有屬性 |
| microsoft.azure.print/printers/register | 在 Microsoft Print 中註冊印表機 |
| microsoft.azure.print/printers/unregister | 在 Microsoft Print 中取消註冊印表機 |
| microsoft.azure.print/printers/basic/update | 更新 Microsoft Print 中印表機的基本屬性 |
特殊權限驗證管理員
這是 特殊許可權角色。 將 Privileged Authentication 管理員 istrator 角色指派給需要執行下列動作的使用者:
- 設定或重設任何用戶的驗證方法(包括密碼),包括全域 管理員 istrators。
- 刪除或還原任何使用者,包括全域 管理員 istrators。 如需詳細資訊,請參閱 神秘 可執行敏感性動作。
- 強制使用者針對現有的非密碼認證重新註冊(例如 MFA 或 FIDO),並在裝置上撤銷記住 MFA,並在所有使用者的下一次登入時提示 MFA。
- 更新所有使用者的敏感性屬性。 如需詳細資訊,請參閱 神秘 可執行敏感性動作。
- 在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證。
具有此角色的使用者 無法 執行下列項目:
- 無法在舊版 MFA 管理入口網站中管理每個使用者 MFA。
下表比較驗證相關角色的功能。
| 角色 | 管理使用者的驗證方法 | 管理每個使用者的 MFA | 管理 MFA 設定 | 管理驗證方法原則 | 管理密碼保護原則 | 更新敏感性屬性 | 刪除和還原使用者 |
|---|---|---|---|---|---|---|---|
| 驗證管理員 | 對某些使用者是 | 對某些使用者是 | No | 無 | No | 對某些使用者是 | 對某些使用者是 |
| 特殊許可權驗證 管理員 istrator | 適用於所有使用者 | 適用於所有使用者 | 否 | 無 | 否 | 適用於所有使用者 | 適用於所有使用者 |
| 驗證原則 管理員 istrator | 否 | 無 | .是 | .是 | .是 | 無 | No |
| 使用者管理員 | 否 | 無 | 無 | 無 | No | 對某些使用者是 | 對某些使用者是 |
重要
具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要設定的人員變更認證。 變更使用者的認證可能表示能夠採用使用者的身分識別和權限。 例如:
- 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 和其他位置可能具有未授與 [驗證系統管理員] 的特殊權限。 [驗證系統管理員] 可以透過此路徑採用應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
- Azure 訂用帳戶擁有者,他們具有敏感性或私人資訊或者 Azure 中重要設定的存取權。
- 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
- 管理員 Microsoft Entra ID 以外的其他服務,例如 Exchange Online、Microsoft 365 Defender 入口網站和 Microsoft Purview 合規性入口網站,以及人力資源系統。
- 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。
| 動作 | 描述 |
|---|---|
| microsoft.directory/users/authenticationMethods/create | 更新使用者的驗證方法 |
| microsoft.directory/users/authenticationMethods/delete | 刪除使用者的驗證方法 |
| microsoft.directory/users/authenticationMethods/standard/read | 讀取使用者驗證方法的標準屬性 |
| microsoft.directory/users/authenticationMethods/basic/update | 更新使用者驗證方法的基本屬性 |
| microsoft.directory/deletedItems.users/restore | 將虛刪除的使用者還原為原始狀態 |
| microsoft.directory/users/delete | 刪除使用者 |
| microsoft.directory/users/disable | 停用使用者 |
| microsoft.directory/users/enable | 啟用使用者 |
| microsoft.directory/users/invalidateAllRefreshTokens | 讓使用者重新整理權杖無效以強制登出 |
| microsoft.directory/users/restore | 還原已刪除的使用者 |
| microsoft.directory/users/basic/update | 更新使用者的基本屬性 |
| microsoft.directory/users/authorizationInfo/update | 更新使用者的多重值憑證用戶標識碼屬性 |
| microsoft.directory/users/manager/update | 更新使用者的管理員 |
| microsoft.directory/users/password/update | 重設所有使用者的密碼 |
| microsoft.directory/users/userPrincipalName/update | 更新使用者的使用者主體名稱 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
特殊權限角色管理員
這是 特殊許可權角色。 具有此角色的用戶可以在 Microsoft Entra 識別碼以及 Microsoft Entra Privileged Identity Management 中管理角色指派。 其可以建立和管理可指派給 Microsoft Entra 角色的群組。 此外,此角色允許管理 Privileged Identity Management 和系統管理單位的所有層面。
重要
此角色能夠管理所有 Microsoft Entra 角色 (包括全域管理員角色) 的指派。 此角色不包含 Microsoft Entra 識別碼中的其他任何特殊許可權功能,例如建立或更新使用者。 不過,指派給此角色的使用者可以藉由指派其他角色來授與自己或其他其他許可權。
| 動作 | 描述 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | 在 Microsoft Entra ID 中讀取應用程式角色指派存取權檢閱的所有屬性 |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | 管理 Microsoft Entra 角色指派的存取權檢閱 |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | 針對可指派給 Microsoft Entra 角色的群組成員資格,更新存取權檢閱的所有屬性 |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | 針對可指派給 Microsoft Entra 角色的群組成員資格建立存取權檢閱 |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | 刪除可指派給 Microsoft Entra 角色之群組成員資格的存取權檢閱 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | 讀取安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,包括可指派角色的群組。 |
| microsoft.directory/administrativeUnits/allProperties/allTasks | 建立與管理管理單位(包括成員) |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | 管理授權原則的所有層面 |
| microsoft.directory/directoryRoles/allProperties/allTasks | 建立和刪除目錄角色,以及讀取和更新所有屬性 |
| microsoft.directory/groupsAssignableToRoles/create | 建立可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/delete | 刪除可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/restore | 還原可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | 更新可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/assignLicense | 將授權指派給可指派角色的群組 |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | 將授權指派重新處理至可指派角色的群組 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性 |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | 在 Privileged Identity Management 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.directory/roleAssignments/allProperties/allTasks | 建立和刪除角色指派,以及讀取和更新所有角色指派屬性 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | 建立和刪除角色定義,以及讀取和更新所有屬性 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/servicePrincipals/permissions/update | 更新服務主體的權限 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | 對任何應用程式授與任何許可權的同意 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.directory/permissionGrantPolicies/create | 建立許可權授與原則 |
| microsoft.directory/permissionGrantPolicies/delete | 刪除許可權授與原則 |
| microsoft.directory/permissionGrantPolicies/allProperties/read | 讀取許可權授與原則的所有屬性 |
| microsoft.directory/permissionGrantPolicies/allProperties/update | 更新許可權授與原則的所有屬性 |
報告讀取者
具有此角色的使用者可以在 Microsoft 365 系統管理中心 中檢視使用量報告數據和報表儀錶板,以及 Fabric 和 Power BI 中的採用內容套件。 此外,角色也可讓您存取 Microsoft Entra ID 中的所有登入記錄、稽核記錄和活動報告,以及 Microsoft Graph 報告 API 所傳回的資料。 指派給報表讀者角色的使用者只能存取相關的使用方式和採用計量。 他們沒有任何系統管理員權限可設定設定或存取 Exchange 等產品特定系統管理中心。 此角色無法檢視、建立或管理支援票證。
| 動作 | 描述 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
搜尋系統管理員
擁有此角色的使用者具有 Microsoft 365 系統管理中心內所有 Microsoft 搜尋管理功能的完整存取。 此外,這些使用者可以檢視訊息中心、監視服務健康情況,以及建立服務要求。
| 動作 | 描述 |
|---|---|
| microsoft.office365.messageCenter/messages/read | 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息 |
| microsoft.office365.search/content/manage | 建立和刪除內容,以及讀取和更新 Microsoft 搜尋 中的所有屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
搜尋編輯者
此角色中的使用者可以在 Microsoft 365 系統管理中心 中建立、管理及刪除 Microsoft 搜尋 的內容,包括書籤、Q&As 和位置。
| 動作 | 描述 |
|---|---|
| microsoft.office365.messageCenter/messages/read | 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息 |
| microsoft.office365.search/content/manage | 建立和刪除內容,以及讀取和更新 Microsoft 搜尋 中的所有屬性 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
安全性系統管理員
這是 特殊許可權角色。 具有此角色的使用者有權在 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Microsoft Entra Authentication、Azure 資訊保護 和 Microsoft Purview 合規性入口網站 中管理安全性相關功能。 如需 Office 365 許可權的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。
| In | Can do |
|---|---|
| Microsoft 365 Defender 入口網站 | 監視 Microsoft 365 服務的安全性相關原則 管理安全性威脅和警示 檢視報告 |
| 身分識別保護 | 安全性讀取者角色的所有許可權 執行重設密碼以外的所有 Identity Protection 作業 |
| Privileged Identity Management | 安全性讀取者角色的所有許可權 無法 管理 Microsoft Entra 角色指派或設定 |
| Microsoft Purview 合規性入口網站 | 管理安全性原則 檢視、調查及回應安全性威脅 檢視報告 |
| Azure 進階威脅防護 | 監視和回應可疑的安全性活動 |
| 適用於端點的 Microsoft Defender | 指派角色 管理電腦群組 設定端點威脅偵測和自動化補救 檢視、調查及回應警示 檢視電腦/裝置清查 |
| Intune | 檢視使用者、裝置、註冊、設定和應用程式資訊 無法變更 Intune |
| 適用於雲端應用程式的 Microsoft Defender | 新增系統管理員、新增原則和設定、上傳記錄並執行治理動作 |
| Microsoft 365 服務健康情況 | 檢視 Microsoft 365 服務的健康情況 |
| 智能鎖定 | 定義發生失敗登入事件時鎖定的臨界值和持續時間。 |
| 密碼保護 | 設定自定義禁用密碼清單或內部部署密碼保護。 |
| 跨租使用者同步處理 | 為另一個租使用者中的用戶設定跨租使用者存取設定。 當兩個租用戶都設定為跨租使用者同步處理時,安全性 管理員 istrators 無法直接建立和刪除使用者,但可以間接建立和刪除另一個租使用者同步處理的使用者,這是特殊許可權。 |
| 動作 | 描述 |
|---|---|
| microsoft.directory/applications/policies/update | 更新應用程式原則 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/bitlockerKeys/key/read | 讀取裝置上的 bitlocker 元數據和金鑰 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 讀取跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新允許跨租使用者存取原則的雲端端點 |
| microsoft.directory/crossTenantAccessPolicy/basic/update | 更新跨租使用者存取原則的基本設定 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 讀取預設跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 更新預設跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirect 連線/update | 更新預設跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新預設跨租使用者存取原則的跨雲端Teams會議設定 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 更新預設跨租使用者存取原則的租使用者限制 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 建立合作夥伴的跨租使用者存取原則 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 刪除合作夥伴的跨租使用者存取原則 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 讀取合作夥伴跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | 更新多租用戶組織的跨租使用者同步原則範本 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault 設定 | 將多租用戶組織的跨租使用者同步原則範本重設為預設設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 讀取多租用戶組織跨租使用者同步原則範本的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | 更新多租用戶組織的跨租使用者存取原則範本 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault 設定 | 將多租用戶組織的跨租使用者存取原則範本重設為預設設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 讀取多租用戶組織跨租使用者存取原則範本的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect 連線/update | 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作夥伴跨租使用者存取原則的跨雲端Teams會議設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 更新合作夥伴跨租使用者存取原則的租使用者限制 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | 建立合作夥伴的跨租使用者同步原則 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | 更新跨租使用者同步處理原則的基本設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | 讀取跨租使用者同步處理原則的基本屬性 |
| microsoft.directory/deviceLocalCredentials/standard/read | 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外 |
| microsoft.directory/domains/federation/update | 更新網域的同盟屬性 |
| microsoft.directory/domains/federationConfiguration/standard/read | 讀取網域同盟設定的標準屬性 |
| microsoft.directory/domains/federationConfiguration/basic/update | 更新網域的基本同盟設定 |
| microsoft.directory/domains/federationConfiguration/create | 建立網域的同盟設定 |
| microsoft.directory/domains/federationConfiguration/delete | 刪除網域的同盟設定 |
| microsoft.directory/entitlementManagement/allProperties/read | 讀取 Microsoft Entra 權利管理中的所有屬性 |
| microsoft.directory/identityProtection/allProperties/read | 讀取 Microsoft Entra ID Protection 中的所有資源 |
| microsoft.directory/identityProtection/allProperties/update | 更新 Microsoft Entra ID Protection 中的所有資源 |
| microsoft.directory/multiTenantOrganization/basic/update | 更新多租用戶組織的基本屬性 |
| microsoft.directory/multiTenantOrganization/create | 建立多租用戶組織 |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | 加入多租用戶組織 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 讀取多租用戶組織加入要求的屬性 |
| microsoft.directory/multiTenantOrganization/standard/read | 讀取多租用戶組織的基本屬性 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | 更新參與多租用戶組織之租使用者的基本屬性 |
| microsoft.directory/multiTenantOrganization/tenants/create | 在多租用戶組織中建立租使用者 |
| microsoft.directory/multiTenantOrganization/tenants/delete | 刪除參與多租用戶組織的租使用者 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 讀取參與多租用戶組織的租用戶詳細數據 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 讀取參與多租用戶組織之租使用者的基本屬性 |
| microsoft.directory/namedLocations/create | 建立定義網路位置的自定義規則 |
| microsoft.directory/namedLocations/delete | 刪除定義網路位置的自定義規則 |
| microsoft.directory/namedLocations/standard/read | 讀取定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/namedLocations/basic/update | 更新定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/policies/create | 在 Microsoft Entra 識別碼中建立原則 |
| microsoft.directory/policies/delete | 刪除 Microsoft Entra 識別碼中的原則 |
| microsoft.directory/policies/basic/update | 更新原則的基本屬性 |
| microsoft.directory/policies/owners/update | 更新原則的擁有者 |
| microsoft.directory/policies/tenantDefault/update | 更新默認組織原則 |
| microsoft.directory/conditionalAccessPolicies/create | 建立條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/delete | 刪除條件式存取原則 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 讀取原則的條件式存取 |
| microsoft.directory/conditionalAccessPolicies/owners/read | 讀取條件式存取原則的擁有者 |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 讀取條件式存取原則的「套用至」屬性 |
| microsoft.directory/conditionalAccessPolicies/basic/update | 更新條件式存取原則的基本屬性 |
| microsoft.directory/conditionalAccessPolicies/owners/update | 更新條件式存取原則的擁有者 |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | 更新條件式存取原則的預設租使用者 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | 讀取 Privileged Identity Management 中的所有資源 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容 |
| microsoft.directory/servicePrincipals/policies/update | 更新服務主體的原則 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.networkAccess/allEntities/allProperties/allTasks | 管理 Microsoft Entra 網路存取的所有層面 |
| microsoft.office365.protectionCenter/allEntities/standard/read | 讀取安全性與合規性中心內所有資源的標準屬性 |
| microsoft.office365.protectionCenter/allEntities/basic/update | 更新安全性與合規性中心內所有資源的基本屬性 |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 在攻擊模擬器中建立和管理攻擊承載 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 閱讀攻擊模擬、回應和相關聯訓練的報告 |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 在攻擊模擬器中建立和管理攻擊模擬範本 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
安全性操作員
這是 特殊許可權角色。 具有此角色的使用者可以管理警示,並具有安全性相關功能的全域只讀存取權,包括 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Privileged Identity Management 和 Microsoft Purview 合規性入口網站 中的所有資訊。 如需 Office 365 許可權的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。
| In | Can do |
|---|---|
| Microsoft 365 Defender 入口網站 | 安全性讀取者角色的所有許可權 檢視、調查及回應安全性威脅警示 在 Microsoft 365 Defender 入口網站中管理安全性設定 |
| 身分識別保護 | 安全性讀取者角色的所有許可權 執行所有 Identity Protection 作業,但設定或變更風險型原則、重設密碼,以及設定警示電子郵件除外。 |
| Privileged Identity Management | 安全性讀取者角色的所有許可權 |
| Microsoft Purview 合規性入口網站 | 安全性讀取者角色的所有許可權 檢視、調查及回應安全性警示 |
| 適用於端點的 Microsoft Defender | 安全性讀取者角色的所有許可權 檢視、調查及回應安全性警示 當您在 適用於端點的 Microsoft Defender 中開啟角色型訪問控制時,具有唯讀許可權的使用者,例如安全性讀取者角色會失去存取權,直到他們獲指派 適用於端點的 Microsoft Defender 角色為止。 |
| Intune | 安全性讀取者角色的所有許可權 |
| 適用於雲端應用程式的 Microsoft Defender | 安全性讀取者角色的所有許可權 檢視、調查及回應安全性警示 |
| Microsoft 365 服務健康情況 | 檢視 Microsoft 365 服務的健康情況 |
| 動作 | 描述 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.directory/identityProtection/allProperties/allTasks | 在 Microsoft Entra ID Protection 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | 讀取 Privileged Identity Management 中的所有資源 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | 管理 Azure 進階威脅防護的所有層面 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.intune/allEntities/read | 讀取 Microsoft Intune 中的所有資源 |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | 在 Office 365 安全性與合規性中心建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | 管理 適用於端點的 Microsoft Defender 的所有層面 |
安全性讀取者
這是 特殊許可權角色。 具有此角色的使用者具有安全性相關功能的全域只讀存取權,包括 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Privileged Identity Management 以及讀取 Microsoft Entra 登入報告和稽核記錄,以及 Microsoft Purview 合規性入口網站 中的所有資訊。 如需 Office 365 許可權的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。
| In | Can do |
|---|---|
| Microsoft 365 Defender 入口網站 | 檢視跨 Microsoft 365 服務的安全性相關原則 檢視安全性威脅和警示 檢視報告 |
| 身分識別保護 | 查看所有 Identity Protection 報告和概觀 |
| Privileged Identity Management | 具有 Microsoft Entra Privileged Identity Management 中顯示之所有資訊的唯讀存取權:Microsoft Entra 角色指派和安全性檢閱的原則與報告。 無法 註冊 Microsoft Entra Privileged Identity Management 或進行任何變更。 在 Privileged Identity Management 入口網站或透過 PowerShell,如果使用者符合資格,可以啟動其他角色(例如全域 管理員 istrator 或 Privileged Role 管理員 istrator)。 |
| Microsoft Purview 合規性入口網站 | 檢視安全策略 檢視及調查安全性威脅 檢視報告 |
| 適用於端點的 Microsoft Defender | 檢視和調查警示 當您在 適用於端點的 Microsoft Defender 中開啟角色型訪問控制時,具有唯讀許可權的使用者,例如安全性讀取者角色會失去存取權,直到他們獲指派 適用於端點的 Microsoft Defender 角色為止。 |
| Intune | 檢視使用者、裝置、註冊、設定和應用程式資訊。 無法變更 Intune。 |
| 適用於雲端應用程式的 Microsoft Defender | 具有讀取許可權。 |
| Microsoft 365 服務健康情況 | 檢視 Microsoft 365 服務的健康情況 |
| 動作 | 描述 |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | 讀取 Microsoft Entra 識別碼中所有可檢閱資源之存取權檢閱的所有屬性 |
| microsoft.directory/auditLogs/allProperties/read | 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄 |
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/bitlockerKeys/key/read | 讀取裝置上的 bitlocker 元數據和金鑰 |
| microsoft.directory/deviceLocalCredentials/standard/read | 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外 |
| microsoft.directory/domains/federationConfiguration/standard/read | 讀取網域同盟設定的標準屬性 |
| microsoft.directory/entitlementManagement/allProperties/read | 讀取 Microsoft Entra 權利管理中的所有屬性 |
| microsoft.directory/identityProtection/allProperties/read | 讀取 Microsoft Entra ID Protection 中的所有資源 |
| microsoft.directory/namedLocations/standard/read | 讀取定義網路位置之自定義規則的基本屬性 |
| microsoft.directory/policies/standard/read | 讀取原則的基本屬性 |
| microsoft.directory/policies/owners/read | 讀取原則的擁有者 |
| microsoft.directory/policies/policyAppliedTo/read | 讀取 policies.policyAppliedTo 屬性 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 讀取原則的條件式存取 |
| microsoft.directory/conditionalAccessPolicies/owners/read | 讀取條件式存取原則的擁有者 |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 讀取條件式存取原則的「套用至」屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 讀取多租用戶組織跨租使用者同步原則範本的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 讀取多租用戶組織跨租使用者存取原則範本的基本屬性 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 讀取多租用戶組織加入要求的屬性 |
| microsoft.directory/multiTenantOrganization/standard/read | 讀取多租用戶組織的基本屬性 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 讀取參與多租用戶組織的租用戶詳細數據 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 讀取參與多租用戶組織之租使用者的基本屬性 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | 讀取 Privileged Identity Management 中的所有資源 |
| microsoft.directory/provisioningLogs/allProperties/read | 讀取佈建記錄的所有屬性 |
| microsoft.directory/signInReports/allProperties/read | 讀取登入報告上的所有屬性,包括特殊權限屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.networkAccess/allEntities/allProperties/read | 閱讀 Microsoft Entra Network Access 的所有層面 |
| microsoft.office365.protectionCenter/allEntities/standard/read | 讀取安全性與合規性中心內所有資源的標準屬性 |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | 讀取攻擊模擬器中攻擊承載的所有屬性 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 閱讀攻擊模擬、回應和相關聯訓練的報告 |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | 讀取攻擊模擬器中攻擊模擬範本的所有屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
服務支援管理員
具有此角色的使用者可以使用 Microsoft for Azure 和 Microsoft 365 服務建立和管理支援要求,並在 Azure 入口網站 和 Microsoft 365 系統管理中心 中檢視服務儀錶板和訊息中心。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色。
注意
此角色先前在 Azure 入口網站 和 Microsoft 365 系統管理中心 中命名為 Service 管理員 istrator。 它已重新命名為服務支援 管理員 istrator,以配合 Microsoft Graph API 和 Azure AD PowerShell 中的現有名稱。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Sharepoint 系統管理員
當服務存在時,具有此角色的使用者在 Microsoft Office SharePoint Online 內具有全域許可權,以及建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況的能力。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色。
注意
在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 SharePoint Service 管理員 istrator。 在 Azure 入口網站 中,它會命名為 SharePoint 管理員 istrator。
注意
此角色也會授與 Microsoft Intune 的 Microsoft Graph API 範圍許可權,允許管理和設定與 SharePoint 和 OneDrive 資源相關的原則。
| 動作 | 描述 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組 |
| microsoft.directory/groups.unified/create | 建立 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/delete | 刪除 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/restore | 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 群組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理 Microsoft 365 移轉的所有層面 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.sharePoint/allEntities/allTasks | 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
商務用 Skype 系統管理員
當服務存在時,具有此角色的使用者在 Microsoft 商務用 Skype 內具有全域許可權,以及管理 Microsoft Entra ID 中的 Skype 特定用戶屬性。 此外,此角色可授與管理支援票證及監視服務健康情況的能力,以及存取 Teams 和商務用 Skype 系統管理中心。 帳戶也必須獲得 Teams 的授權,否則無法執行 Teams PowerShell Cmdlet。 如需詳細資訊,請參閱 商務用 Skype 附加元件授權的 商務用 Skype Online 管理員 和 Teams 授權資訊。
注意
在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Lync Service 管理員 istrator。 在 Azure 入口網站 中,它會命名為 商務用 Skype 管理員 istrator。
| 動作 | 描述 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 商務用 Skype Online 的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Teams 系統管理員
此角色中的使用者可以透過 Microsoft Teams 和 商務用 Skype 系統管理中心和個別的 PowerShell 模組來管理 Microsoft Teams 工作負載的所有層面。 這包括與電話語音、傳訊、會議和小組本身相關的所有管理工具。 此角色會額外授與建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況的能力。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.directory/groups/hiddenMembers/read | 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組 |
| microsoft.directory/groups.unified/create | 建立 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/delete | 刪除 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/restore | 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 群組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 商務用 Skype Online 的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.teams/allEntities/allProperties/allTasks | 管理 Teams 中的所有資源 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 讀取跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新允許跨租使用者存取原則的雲端端點 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 讀取預設跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新預設跨租使用者存取原則的跨雲端Teams會議設定 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 建立合作夥伴的跨租使用者存取原則 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 讀取合作夥伴跨租使用者存取原則的基本屬性 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作夥伴跨租使用者存取原則的跨雲端Teams會議設定 |
| microsoft.directory/pendingExternalUserProfiles/create | 在 Teams 的擴充目錄中建立外部使用者配置檔 |
| microsoft.directory/pendingExternalUserProfiles/standard/read | 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性 |
| microsoft.directory/pendingExternalUserProfiles/basic/update | 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性 |
| microsoft.directory/pendingExternalUserProfiles/delete | 刪除 Teams 擴充目錄中的外部使用者配置檔 |
| microsoft.directory/externalUserProfiles/standard/read | 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性 |
| microsoft.directory/externalUserProfiles/basic/update | 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性 |
| microsoft.directory/externalUserProfiles/delete | 刪除 Teams 擴充目錄中的外部使用者配置檔 |
| microsoft.directory/permissionGrantPolicies/standard/read | 讀取許可權授與原則的標準屬性 |
Teams 通訊系統管理員
此角色中的使用者可以管理與語音和電話語音相關的 Microsoft Teams 工作負載層面。 這包括電話號碼指派、語音和會議原則的管理工具,以及通話分析工具組的完整存取。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 商務用 Skype Online 的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.teams/callQuality/allProperties/read | 讀取通話品質儀表板中的所有資料 (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | 管理會議,包括會議原則、設定和會議網橋 |
| microsoft.teams/voice/allProperties/allTasks | 管理語音,包括通話原則和電話號碼清查和指派 |
Microsoft Teams 通訊支援工程師
此角色中的使用者可以使用 Microsoft Teams 和 商務用 Skype 系統管理中心中的使用者通話疑難解答工具,對 Microsoft Teams 和 商務用 Skype 內的通訊問題進行疑難解答。 擁有此角色的使用者可以檢視所有相關參與者的完整通話記錄資訊。 此角色無法檢視、建立或管理支援票證。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 商務用 Skype Online 的所有層面 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.teams/callQuality/allProperties/read | 讀取通話品質儀表板中的所有資料 (CQD) |
Teams 通訊支援專家
此角色中的使用者可以使用 Microsoft Teams 和 商務用 Skype 系統管理中心中的使用者通話疑難解答工具,針對 Microsoft Teams 和 商務用 Skype 內的通訊問題進行疑難解答。 此角色中的使用者只能在呼叫中檢視他們查閱的特定使用者的使用者詳細數據。 此角色無法檢視、建立或管理支援票證。
| 動作 | 描述 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 讀取授權原則的標準屬性 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 商務用 Skype Online 的所有層面 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.teams/callQuality/standard/read | 讀取通話品質儀錶板中的基本資料 (CQD) |
Teams 裝置系統管理員
具有此角色的使用者可以從 Teams 系統管理中心管理 Teams 認證的裝置 。 此角色可讓您一目了然地檢視所有裝置,並能夠搜尋及篩選裝置。 使用者可以檢查每個裝置的詳細資料,包括登入帳戶、裝置的品牌和型號。 使用者可以變更裝置上的設定,以及更新軟體版本。 此角色不會授與許可權來檢查 Teams 活動和呼叫裝置品質。
| 動作 | 描述 |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.teams/devices/standard/read | 管理 Teams 認證裝置的所有層面,包括設定原則 |
租用戶建立者
將租用戶建立者角色指派給需要執行下列工作的使用者:
- 即使在用戶設定中關閉租使用者建立切換,也請建立 Microsoft Entra 和 Azure Active Directory B2C 租使用者
注意
租使用者建立者將會在他們建立的新租用戶上獲指派全域管理員角色。
| 動作 | 描述 |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | 在 Microsoft Entra 識別碼中建立新的租使用者 |
使用狀況摘要報告閱讀程式
將使用量摘要報告讀者角色指派給需要在 Microsoft 365 系統管理中心 中執行下列工作的使用者:
- 檢視使用量報告和採用分數
- 讀取組織深入解析,但不閱讀使用者的個人識別資訊 (PII)
此角色只允許用戶檢視組織層級的數據,但有下列例外狀況:
- 成員使用者可以檢視使用者管理數據和設定。
- 指派此角色的來賓用戶無法檢視使用者管理數據和設定。
| 動作 | 描述 |
|---|---|
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.usageReports/allEntities/standard/read | 讀取租用戶層級匯總的 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
使用者管理員
這是 特殊許可權角色。 將使用者 管理員 istrator 角色指派給需要執行下列動作的使用者:
| 權限 | 其他相關資訊 |
|---|---|
| 建立使用者 | |
| 更新所有使用者的大部分用戶屬性,包括所有系統管理員 | 神秘 可以執行敏感性動作 |
| 更新某些使用者的敏感性屬性(包括使用者主體名稱) | 神秘 可以執行敏感性動作 |
| 停用或啟用某些使用者 | 神秘 可以執行敏感性動作 |
| 刪除或還原某些使用者 | 神秘 可以執行敏感性動作 |
| 建立和管理用戶檢視 | |
| 建立和管理所有群組 | |
| 指派和讀取所有用戶的授權,包括所有系統管理員 | |
| 重設密碼 | 誰可以重設密碼 |
| 使重新整理令牌失效 | 誰可以重設密碼 |
| 更新 (FIDO) 裝置金鑰 | |
| 更新密碼到期原則 | |
| 在 Azure 和 Microsoft 365 系統管理中心 中建立和管理支援票證 | |
| 監視服務健康情況 |
具有此角色的使用者 無法 執行下列項目:
- 無法管理 MFA。
- 無法為可指派角色群組的成員和擁有者變更認證或重設 MFA。
- 無法管理共用信箱。
重要
具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要組態的人員變更密碼。 變更使用者的密碼可能表示能夠採用使用者的身分識別和權限。 例如:
- 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 和其他位置可能具有未授與使用者系統管理員的特殊權限。 透過此路徑,使用者 管理員 istrator 或許可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證來進一步假設特殊許可權應用程式的身分識別。
- Azure 訂用帳戶擁有者,他們具有敏感性或私人資訊或者 Azure 中重要設定的存取權。
- 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
- Microsoft Entra ID 外部其他服務 (例如 Exchange Online, Microsoft 365 Defender portal, Microsoft Purview 合規性入口網站和人力資源系統) 中的系統管理員。
- 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。
| 動作 | 描述 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | 在 Microsoft Entra ID 中管理應用程式角色指派的存取權檢閱 |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | 閱讀 Microsoft Entra 角色指派的所有存取權檢閱屬性 |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | 管理權利管理中存取套件指派的存取權檢閱 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | 更新安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,但不包括可指派角色的群組。 |
| microsoft.directory/accessReviews/definitions.groups/create | 建立安全性與 Microsoft 365 群組中成員資格的存取權檢閱。 |
| microsoft.directory/accessReviews/definitions.groups/delete | 刪除安全性與 Microsoft 365 群組中成員資格的存取權檢閱。 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | 讀取安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,包括可指派角色的群組。 |
| microsoft.directory/contacts/create | 建立連絡人 |
| microsoft.directory/contacts/delete | 刪除連絡人 |
| microsoft.directory/contacts/basic/update | 更新連絡人的基本屬性 |
| microsoft.directory/deletedItems.groups/restore | 將虛刪除的群組還原至原始狀態 |
| microsoft.directory/deletedItems.users/restore | 將虛刪除的使用者還原為原始狀態 |
| microsoft.directory/entitlementManagement/allProperties/allTasks | 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性 |
| microsoft.directory/groups/assignLicense | 將產品授權指派給群組以進行群組型授權 |
| microsoft.directory/groups/create | 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/delete | 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups/hiddenMembers/read | 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組 |
| microsoft.directory/groups/reprocessLicenseAssignment | 重新處理群組型授權的授權指派 |
| microsoft.directory/groups/restore | 從虛刪除的容器還原群組 |
| microsoft.directory/groups/basic/update | 更新安全組和 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/classification/update | 更新安全組和 Microsoft 365 群組上的分類屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/dynamicMembershipRule/update | 更新安全組和 Microsoft 365 群組的動態成員資格規則,但不包括可指派角色的群組 |
| microsoft.directory/groups/groupType/update | 更新會影響安全組和 Microsoft 365 群組群組類型的屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups/members/update | 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組 |
| microsoft.directory/groups/onPremWriteBack/update | 使用 Microsoft Entra 連線 更新要寫回內部部署的 Microsoft Entra 群組 |
| microsoft.directory/groups/owners/update | 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.directory/groups/settings/update | 更新群組的設定 |
| microsoft.directory/groups/visibility/update | 更新安全組和 Microsoft 365 群組的可見性屬性,但不包括可指派角色的群組 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性 |
| microsoft.directory/policies/standard/read | 讀取原則的基本屬性 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服務主體的角色指派 |
| microsoft.directory/users/assignLicense | 管理用戶授權 |
| microsoft.directory/users/create | 新增使用者 |
| microsoft.directory/users/convertExternalToInternalMemberUser | 將外部使用者轉換為內部使用者 |
| microsoft.directory/users/delete | 刪除使用者 |
| microsoft.directory/users/disable | 停用使用者 |
| microsoft.directory/users/enable | 啟用使用者 |
| microsoft.directory/users/inviteGuest | 邀請來賓使用者 |
| microsoft.directory/users/invalidateAllRefreshTokens | 讓使用者重新整理權杖無效以強制登出 |
| microsoft.directory/users/reprocessLicenseAssignment | 重新處理使用者的授權指派 |
| microsoft.directory/users/restore | 還原已刪除的使用者 |
| microsoft.directory/users/basic/update | 更新使用者的基本屬性 |
| microsoft.directory/users/manager/update | 更新使用者的管理員 |
| microsoft.directory/users/password/update | 重設所有使用者的密碼 |
| microsoft.directory/users/photo/update | 更新使用者相片 |
| microsoft.directory/users/sponsors/update | 更新用戶的贊助者 |
| microsoft.directory/users/usageLocation/update | 更新使用者的使用位置 |
| microsoft.directory/users/userPrincipalName/update | 更新使用者的使用者主體名稱 |
| microsoft.azure.serviceHealth/allEntities/allTasks | 讀取及設定 Azure 服務健康狀態 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Virtual Visits 系統管理員
具有此角色的使用者可以執行以下工作:
- 在 Microsoft 365 系統管理中心 和 Teams EHR 連接器的 Bookings 中管理及設定 Virtual Visits 的所有層面
- 在 Teams 系統管理中心、Microsoft 365 系統管理中心、網狀架構和 Power BI 中檢視虛擬流覽的使用報告
- 在 Microsoft 365 系統管理中心 中檢視功能和設定,但無法編輯任何設定
虛擬流覽是為員工和出席者排程和管理在線和視訊約會的簡單方式。 例如,使用量報告可以示範如何在約會之前傳送簡訊,以減少未顯示約會的人員數目。
| 動作 | 描述 |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 從系統管理中心或虛擬造訪應用程式管理及共用虛擬造訪資訊與計量 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Viva Goals 管理員 istrator
將 Viva Goals 管理員 istrator 角色指派給需要執行下列工作的使用者:
- 管理及設定 Microsoft Viva Goals 應用程式的所有層面
- 設定 Microsoft Viva Goals 系統管理員設定
- 讀取 Microsoft Entra 租用戶資訊
- 監視 Microsoft 365 服務健康情況
- 建立及管理 Microsoft 365 服務要求
如需詳細資訊,請參閱 Viva 目標 中的角色和許可權和 Microsoft Viva 目標簡介。
| 動作 | 描述 |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | 管理 Microsoft Viva 目標的所有層面 |
Viva Pulse 管理員 istrator
將 Viva Pulse 管理員 istrator 角色指派給需要執行下列工作的使用者:
- 讀取和設定 Viva Pulse 的所有設定
- 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
- 讀取及設定 Azure 服務健康狀態
- 建立及管理 Azure 支援票證
- 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
- 讀取 Microsoft 365 系統管理中心 中的使用量報告
如需詳細資訊,請參閱在 Microsoft 365 系統管理中心 中指派Viva Pulse系統管理員。
| 動作 | 描述 |
|---|---|
| microsoft.office365.messageCenter/messages/read | 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | 管理 Microsoft Viva Pulse 的所有層面 |
Windows 365 系統管理員
具備此角色的使用者具有 Windows 365 資源 (如其存在) 的全域權限。 此外,此角色也包含管理用戶和裝置以建立和管理群組的能力。
此角色可以建立和管理安全組,但對 Microsoft 365 群組沒有系統管理員許可權。 這表示系統管理員無法更新組織中 Microsoft 365 群組的擁有者或成員資格。 不過,他們可以管理其建立的 Microsoft 365 群組,這是其使用者權限的一部分。 因此,他們建立的任何 Microsoft 365 群組(而非安全性群組)都會計入其 250 的配額。
將 Windows 365 系統管理員角色指派給需要執行下列工作的使用者:
- 在 Microsoft Intune 中管理 Windows 365 雲端電腦
- 在 Microsoft Entra 識別符中註冊和管理裝置,包括指派用戶和原則
- 建立和管理安全組,但不是可角色指派的群組
- 在 Microsoft 365 系統管理中心 中檢視基本屬性
- 讀取 Microsoft 365 系統管理中心 中的使用量報告
- 在 Azure 和 Microsoft 365 系統管理中心 中建立和管理支援票證
| 動作 | 描述 |
|---|---|
| microsoft.directory/deletedItems.devices/delete | 永久刪除無法再還原的裝置 |
| microsoft.directory/deletedItems.devices/restore | 將虛刪除的裝置還原為原始狀態 |
| microsoft.directory/devices/create | 建立裝置(註冊 Microsoft Entra ID) |
| microsoft.directory/devices/delete | 從 Microsoft Entra 識別碼刪除裝置 |
| microsoft.directory/devices/disable | 停用 Microsoft Entra 識別碼中的裝置 |
| microsoft.directory/devices/enable | 在 Microsoft Entra 識別碼中啟用裝置 |
| microsoft.directory/devices/basic/update | 更新裝置上的基本屬性 |
| microsoft.directory/devices/extensionAttributeSet1/update | 將 extensionAttribute1 更新為裝置上的 extensionAttribute5 屬性 |
| microsoft.directory/devices/extensionAttributeSet2/update | 將 extensionAttribute6 更新為裝置上的 extensionAttribute10 屬性 |
| microsoft.directory/devices/extensionAttributeSet3/update | 將 extensionAttribute11 更新為裝置上的 extensionAttribute15 屬性 |
| microsoft.directory/devices/registeredOwners/update | 更新已註冊的裝置擁有者 |
| microsoft.directory/devices/registeredUsers/update | 更新裝置的已註冊使用者 |
| microsoft.directory/groups.security/create | 建立安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/delete | 刪除安全組,不包括可指派角色的群組 |
| microsoft.directory/groups.security/basic/update | 更新安全組的基本屬性,不包括可指派角色的群組 |
| microsoft.directory/groups.security/classification/update | 更新安全組上的分類屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups.security/dynamicMembershipRule/update | 更新安全組的動態成員資格規則,但不包括可指派角色的群組 |
| microsoft.directory/groups.security/members/update | 更新安全組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.security/owners/update | 更新安全組的擁有者,不包括可指派角色的群組 |
| microsoft.directory/groups.security/visibility/update | 更新安全組上的可見度屬性,但不包括可指派角色的群組 |
| microsoft.directory/deviceManagementPolicies/standard/read | 讀取行動裝置管理和行動應用程式管理原則的標準屬性 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 讀取裝置註冊原則上的標準屬性 |
| microsoft.azure.supportTickets/allEntities/allTasks | 建立及管理 Azure 支援票證 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | 管理 Windows 365 的所有層面 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
Windows Update 部署系統管理員
擁有此角色的使用者可透過商務用 Windows Update 部署服務,建立及管理 Windows Update 部署的所有層面。 部署服務可讓使用者定義何時及如何部署更新的設定,以及指定哪些更新提供給其租用戶中的裝置群組。 它也允許使用者監視更新進度。
| 動作 | 描述 |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | 讀取和設定 Windows Update 服務的所有層面 |
Yammer 系統管理員
將 Yammer 系統管理員角色指派給需要執行下列工作的使用者:
- 管理 Yammer 的所有層面
- 建立、管理及還原 Microsoft 365 群組,但不是可指派角色的群組
- 檢視安全組和 Microsoft 365 群組的隱藏成員,包括角色可指派的群組
- 讀取 Microsoft 365 系統管理中心 中的使用量報告
- 在 Microsoft 365 系統管理中心 中建立和管理服務要求
- 在訊息中心檢視公告,但不檢視安全性公告
- 檢視服務健康狀態
| 動作 | 描述 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組 |
| microsoft.directory/groups.unified/create | 建立 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/delete | 刪除 Microsoft 365 群組,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/restore | 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組 |
| microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 群組的成員,不包括可指派角色的群組 |
| microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組 |
| microsoft.office365.messageCenter/messages/read | 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息 |
| microsoft.office365.network/performance/allProperties/read | 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性 |
| microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態 |
| microsoft.office365.supportTickets/allEntities/allTasks | 建立及管理 Microsoft 365 服務要求 |
| microsoft.office365.usageReports/allEntities/allProperties/read | 閱讀 Office 365 使用量報告 |
| microsoft.office365.webPortal/allEntities/standard/read | 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | 管理 Yammer 的所有層面 |
已淘汰的角色
不應該使用下列角色。 它們已被取代,未來將會從 Microsoft Entra ID 中移除。
- AdHoc 授權 管理員 istrator
- 裝置加入
- 裝置管理員
- 裝置使用者
- 電子郵件已驗證的使用者建立者
- Mailbox 管理員 istrator
- 工作場所裝置加入
入口網站中未顯示的角色
PowerShell 或 MS Graph API 所傳回的每個角色都看不到 Azure 入口網站。 下表會組織這些差異。
| API 名稱 | Azure 入口網站名稱 | 備註 |
|---|---|---|
| 裝置加入 | 已取代 | 已被取代的角色檔 |
| 裝置管理員 | 已取代 | 已被取代的角色檔 |
| 裝置使用者 | 已取代 | 已被取代的角色檔 |
| 目錄同步處理帳戶 | 未顯示,因為它不應該使用 | 目錄同步處理帳戶檔 |
| 來賓使用者 | 未顯示,因為它無法使用 | NA |
| 合作夥伴第1層支援 | 未顯示,因為它不應該使用 | 合作夥伴第1層支援檔 |
| 合作夥伴第 2 層支援 | 未顯示,因為它不應該使用 | 合作夥伴第 2 層支援檔 |
| 受限制的來賓使用者 | 未顯示,因為它無法使用 | NA |
| User | 未顯示,因為它無法使用 | NA |
| 工作場所裝置加入 | 已取代 | 已被取代的角色檔 |