Microsoft Entra 內建角色

在 Microsoft Entra 識別符中,如果另一個系統管理員或非系統管理員需要管理 Microsoft Entra 資源,您可以指派 Microsoft Entra 角色來提供他們所需的許可權。 例如,您可以指派角色以允許新增或變更使用者、重設使用者密碼、管理使用者授權或管理網域名稱。

本文列出您可以指派的 Microsoft Entra 內建角色,以允許管理 Microsoft Entra 資源。 如需有關指派角色的詳細資訊,請參閱將 Microsoft Entra 角色指派給使用者。 如果您要尋找角色來管理 Azure 資源,請參閱 Azure 內建角色

所有角色

角色 描述 範本識別碼
應用程式系統管理員 能夠建立及管理應用程式註冊與企業應用程式的所有層面。
Privileged label icon.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
應用程式開發人員 可以建立與「用戶可以註冊應用程式」設定無關的應用程式註冊。
Privileged label icon.
cf1c38e5-3621-4004-a7cb-879624dced7c
攻擊承載作者 可建立系統管理員可稍後起始的攻擊酬載。 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
攻擊模擬 管理員 istrator 可以建立和管理攻擊模擬活動的所有層面。 c430b396-e693-46cc-96f3-db01bf8bb62a
屬性指派 管理員 istrator 將自訂安全性屬性索引鍵和值指派給支援的 Microsoft Entra 物件。 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
屬性指派讀取器 讀取支援的 Microsoft Entra 物件的自定義安全性屬性索引鍵和值。 ffd52fa5-98dc-465c-991d-fc073eb59f8f
屬性定義 管理員 istrator 定義和管理自定義安全性屬性的定義。 8424c6f0-a189-499e-bbd0-26c1753c96d4
屬性定義讀取器 讀取自定義安全性屬性的定義。 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
屬性記錄檔 管理員 istrator 讀取稽核記錄,併為與自定義安全性屬性相關的事件設定診斷設定。 5b784334-f94b-471a-a387-e7219fc49ca2
屬性記錄讀取器 讀取與自定義安全性屬性相關的稽核記錄。 9c99539d-8186-4804-835f-fd51ef9e2dcd
驗證管理員 可以存取任何非系統管理員使用者的檢視、設定及重設驗證方法資訊。
Privileged label icon.
c4e39bd9-1100-46d3-8c65-fb160da0071f
驗證擴充性 管理員 istrator 藉由建立和管理自定義驗證延伸模組,自定義使用者的登入和註冊體驗。
Privileged label icon.
25a516ed-2fa0-40ea-a2d0-12923a21473a
驗證原則 管理員 istrator 可以建立和管理驗證方法原則、全租使用者 MFA 設定、密碼保護原則,以及可驗證的認證。 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps 管理員 istrator 可以管理 Azure DevOps 原則和設定。 e3973bdf-4987-49ae-837a-ba8e231c7286
Azure 資訊保護 管理員 istrator 能夠管理 Azure 資訊保護產品的所有層面。 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF Keyset 管理員 istrator 可以在身分識別體驗架構 (IEF) 中管理同盟和加密的秘密。
Privileged label icon.
aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF 原則 管理員 istrator 可以在身分識別體驗架構 (IEF) 中建立和管理信任架構原則。 3edaf663-341e-4475-9f94-5c398ef6c070
Billing 管理員 istrator 能夠執行一般計費相關工作,例如更新付款資訊。 b0f54661-2d74-4c50-afa3-1ec803f12efe
雲端 App 安全性 管理員 istrator 可以管理 適用於雲端的 Defender Apps 產品的所有層面。 892c5842-a9a6-463a-8041-72aa08ca3cf6
雲端應用程式 管理員 istrator 能夠建立及管理應用程式註冊與企業應用程式的所有層面,但應用程式 Proxy 除外。
Privileged label icon.
158c047a-c907-4556-b7ef-446551a6b5f7
雲端裝置 管理員 istrator 在 Microsoft Entra 識別碼中管理裝置的有限存取權。
Privileged label icon.
7698a772-787b-4ac8-901f-60d6b08affd2
合規性系統管理員 可以在 Microsoft Entra ID 和 Microsoft 365 中讀取和管理合規性設定和報告。 17315797-102d-40b4-93e0-432062caca18
合規性資料管理員 建立和管理合規性內容。 e6d1a23a-da11-4be4-9570-befc86d067a7
條件式存取系統管理員 可以管理條件式存取功能。
Privileged label icon.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
客戶 LockBox 存取核准者 可核准 Microsoft 支援要求以存取客戶組織數據。 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
電腦分析 管理員 istrator 可存取及管理桌面管理工具與服務。 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
目錄讀取者 可以讀取基本目錄資訊。 通常用來將目錄讀取許可權授與應用程式和來賓。 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
目錄同步處理帳戶 只供 Microsoft Entra 連線 服務使用。
Privileged label icon.
d29b2b05-8046-44ba-8758-1e26182fcf32
目錄寫入器 可以讀取和寫入基本目錄資訊。 若要授與應用程式的存取權,不適用於使用者。
Privileged label icon.
9360feb5-f418-4baa-8175-e2a00bac4301
功能變數名稱 管理員 istrator 可以在雲端和內部部署中管理功能變數名稱。
Privileged label icon.
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 管理員 istrator 可管理 Dynamics 365 產品的所有層面。 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central 管理員 istrator 可以存取 Dynamics 365 Business Central 環境,並在環境中執行所有系統管理工作。 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edge 管理員 istrator 管理 Microsoft Edge 的所有層面。 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange 系統管理員 能夠管理 Exchange 產品的所有層面。 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange Recipient 管理員 istrator 可以在 Exchange Online 組織內建立或更新 Exchange Online 收件者。 31392ffb-586c-42d1-9346-e59415a2cc4e
外部標識碼使用者流程 管理員 istrator 可以建立和管理使用者流程的所有層面。 6e591065-9bad-43ed-90f3-e9424366d2f0
外部標識碼使用者流程屬性 管理員 istrator 可以建立和管理所有使用者流程可用的屬性架構。 0f971eea-41eb-4569-a71e-57bb8a3eff1e
外部識別提供者 管理員 istrator 可以設定識別提供者以用於直接同盟。
Privileged label icon.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Fabric 管理員 istrator 可以管理網狀架構和Power BI產品的所有層面。 a9ea8996-122f-4c74-9520-8edcd192826c
全域管理員 可以管理使用 Microsoft Entra 身分識別之 Microsoft Entra 識別碼和 Microsoft 服務 的所有層面。
Privileged label icon.
62e90394-69f5-4237-9190-012177145e10
全域讀取器 可以讀取全域 管理員 istrator 可以讀取的一切,但無法更新任何專案。
Privileged label icon.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
全域安全存取 管理員 istrator 建立和管理 Microsoft Entra 網際網路存取 和 Microsoft Entra 私人存取 的所有層面,包括管理公用和私人端點的存取權。 ac434307-12b9-4fa1-a708-88bf58caabc1
群組管理員 此角色的成員可以建立/管理群組、建立/管理群組設定,例如命名和到期原則,以及檢視群組活動和稽核報告。 fdd7a751-b60b-444a-984c-02652fe8fa1c
來賓邀請者 能夠邀請不受 [成員能夠邀請來賓] 設定限制的來賓使用者。 95e79109-95c0-4d8e-aee3-d01accf2d47b
服務台系統管理員 能夠為非系統管理員與技術服務人員系統管理員重設密碼。
Privileged label icon.
729827e3-9c14-49f7-bb1b-9608f156bbb8
混合式身分識別 管理員 istrator 可以管理 Active Directory 至 Microsoft Entra 雲端布建、Microsoft Entra 連線、傳遞驗證 (PTA)、密碼哈希同步處理 (PHS)、無縫單一登錄 (無縫 SSO) 和同盟設定。 沒有管理 Microsoft Entra 連線 Health 的存取權。
Privileged label icon.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance 管理員 istrator 使用 Microsoft Entra ID 來管理身分識別治理案例的存取權。 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
深入解析系統管理員 在 Microsoft 365 Insights 應用程式中具有系統管理存取權。 eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
深入解析分析師 存取 Microsoft Viva Insights 中的分析功能,並執行自定義查詢。 25df335f-86eb-4119-b717-0ff02de207e9
深入解析商務領導者 可透過 Microsoft 365 Insights 應用程式檢視和共用儀錶板和深入解析。 31e939ad-9672-4796-9c2e-873181342d2d2d
Intune 管理員 istrator 能夠管理 Intune 產品的所有層面。
Privileged label icon.
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala 管理員 istrator 可以管理 Microsoft Kaizala 的設定。 74ef975b-6605-40af-a5d2-b9539d836353
知識管理員 可以設定知識、學習和其他智慧型手機功能。 b5a8dcf3-09d5-43a9-a639-8e29ef291470
知識管理員 可以組織、建立、管理及推廣主題和知識。 744ec460-397e-42ad-a462-8b3f9747a02c
License 管理員 istrator 可以管理使用者和群組上的產品授權。 4d6ac14f-3453-41d0-bef9-a3e0c569773a
生命週期工作流程 管理員 istrator 在 Microsoft Entra ID 中建立和管理與生命週期工作流程相關聯的工作流程和工作的所有層面。 59d46f88-662b-457b-bceb-5c3809e5908f
訊息中心隱私權閱讀程式 只能在 Office 365 訊息中心讀取安全性訊息和更新。 ac16e43d-7b2d-40e0-ac05-243ff356ab5b
訊息中心讀取者 只能在 Office 365 訊息中心讀取其組織的訊息和更新。 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft 365 移轉 管理員 istrator 執行所有移轉功能,以使用移轉管理員將內容遷移至 Microsoft 365。 8c8b803f-96e1-4129-9349-20738d9f9652
Microsoft Entra Joined Device Local 管理員 istrator 指派給此角色的使用者會新增至已加入 Microsoft Entra 裝置的本機系統管理員群組。 9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsoft 硬體保固 管理員 istrator 建立和管理 Microsoft 製造硬體的所有層面保固索賠和權利,例如 Surface 和 HoloLens。 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft 硬體保固專家 建立和讀取 Microsoft 製造硬體的保固索賠,例如 Surface 和 HoloLens。 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
現代商務 管理員 可以管理公司、部門或小組的商業購買。 d24aef57-1500-4070-84db-2666f29cf966
網路系統管理員 可以管理網路位置,並檢閱 Microsoft 365 軟體即服務應用程式的企業網路設計見解。 d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office Apps 管理員 istrator 可以管理 Office 應用程式 雲端服務,包括原則和設定管理,以及管理選取、取消選取和發佈「新功能」功能內容給終端用戶裝置的能力。 2b745bdf-0803-4d80-aa65-822c4493daac
組織訊息寫入器 透過 Microsoft 產品介面撰寫、發佈、管理及檢閱使用者的組織訊息。 507f53e4-4e52-4077-abd3-d2e1558b6ea2
合作夥伴第1層支援 請勿使用 - 不適用於一般用途。
Privileged label icon.
4ba39ca4-527c-499a-b93d-d9b492c50246
合作夥伴第 2 層支援 請勿使用 - 不適用於一般用途。
Privileged label icon.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
密碼管理員 可以重設非系統管理員的密碼和密碼 管理員 istrators。
Privileged label icon.
966707d0-3269-4727-9be2-8c3a10f19b9d
許可權管理 管理員 istrator 管理 Microsoft Entra 權限管理 的所有層面。 af78dc32-cf4d-46f9-ba4e-4428526346b5
Power Platform 管理員 istrator 可以建立及管理 Microsoft Dynamics 365、Power Apps 和 Power Automate 的所有層面。 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Printer 管理員 istrator 可以管理印表機和印表機連接器的所有層面。 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
印表機技術人員 可以註冊和取消註冊印表機,並更新印表機狀態。 e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
特殊許可權驗證 管理員 istrator 可以存取任何使用者(系統管理員或非系統管理員)的檢視、設定及重設驗證方法資訊。
Privileged label icon.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
特殊權限角色管理員 可以在 Microsoft Entra ID 中管理角色指派,以及 Privileged Identity Management 的所有層面。
Privileged label icon.
e8611ab8-c189-46e8-94e1-60213ab1f814
報表讀取者 可以讀取登入和稽核報告。 4a5d8f65-41da-4de4-8968-e035b65339cf
搜尋 管理員 istrator 可以建立及管理 Microsoft 搜尋 設定的所有層面。 0964bb5e-9bdb-4d7b-ac29-58e794862a40
搜尋編輯器 可以建立及管理編輯內容,例如書籤、Q 和 As、位置、平面表。 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
安全性系統管理員 可以讀取安全性資訊和報告,以及管理 Microsoft Entra ID 和 Office 365 中的設定。
Privileged label icon.
194ae4cb-b126-40b2-bd5b-6091b380977d
安全性操作員 建立和管理安全性事件。
Privileged label icon.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
安全性讀取者 可以在 Microsoft Entra ID 和 Office 365 中讀取安全性信息和報告。
Privileged label icon.
5d6b6bb7-de71-4623-b4af-96380a352509
服務支援 管理員 istrator 可以讀取服務健康情況資訊並管理支援票證。 f023fd81-a637-4b56-95fd-791ac0226033
SharePoint 管理員 istrator 可以管理 SharePoint 服務的所有層面。 f28a1f50-f6e7-4571-818b-6a12f2af6b6c
商務用 Skype 管理員 istrator 可以管理 商務用 Skype 產品的所有層面。 75941009-915a-4869-abe7-691bff18279e
Teams 管理員 istrator 可以管理 Microsoft Teams 服務。 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams 通訊 管理員 istrator 可以管理 Microsoft Teams 服務內的通話和會議功能。 baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams 通訊支持工程師 可以使用進階工具針對 Teams 內的通訊問題進行疑難解答。 f70938a0-fc10-4177-9e90-2178f8765737
Teams 通訊支持專家 可以使用基本工具對 Teams 內的通訊問題進行疑難解答。 fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams 裝置 管理員 istrator 可以在 Teams 認證的裝置上執行管理相關工作。 3d762c5a-1b6c-493f-843e-55a3b42923d4
租使用者建立者 建立新的 Microsoft Entra 或 Azure AD B2C 租使用者。 112ca1a2-15ad-4102-995e-45b0bc479a6a
使用量摘要報告讀者 讀取使用量報告和採用分數,但無法存取使用者詳細數據。 75934031-6c7e-415a-99d7-48dbd49e875e
使用者管理員 可以管理使用者和群組的所有層面,包括重設有限系統管理員的密碼。
Privileged label icon.
fe930be7-5e62-47db-91af-98c3a49a38b1
虛擬流覽 管理員 istrator 從系統管理中心或虛擬造訪應用程式管理及共用虛擬造訪資訊與計量。 e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals 管理員 istrator 管理及設定 Microsoft Viva 目標的所有層面。 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse 管理員 istrator 可以管理 Microsoft Viva Pulse 應用程式的所有設定。 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365 管理員 istrator 可以布建和管理雲端計算機的所有層面。 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows Update 部署 管理員 istrator 可以透過商務用 Windows Update 部署服務建立及管理 Windows Update 部署的所有層面。 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer 管理員 istrator 管理 Yammer 服務的所有層面。 810a2642-a034-447f-a5e8-41beaa378541

應用程式系統管理員

Privileged label icon.

這是 特殊許可權角色。 此角色中的使用者可以建立和管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 請注意,建立新的應用程式註冊或企業應用程式時,指派給此角色的使用者不會新增為擁有者。

此角色也會授與同意委派許可權和應用程式許可權的能力,但 Microsoft Graph 的應用程式許可權除外。

重要

此例外狀況表示您仍然可以同意其他應用程式的應用程式許可權(例如,您已註冊的非 Microsoft 應用程式或應用程式)。 您仍然可以要求這些許可權作為應用程式註冊的一部分,但與 (也就是同意) 這些許可權需要更具特殊許可權的系統管理員,例如 Global 管理員 istrator。

此角色會授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式的身分識別已獲授與資源的存取權,例如建立或更新User或其他物件的能力,則指派給此角色的使用者可以在模擬應用程式時執行這些動作。 模擬應用程式身分識別的能力,可能是透過其角色指派來提升使用者所能執行的許可權。 請務必瞭解,將使用者指派給 Application 管理員 istrator 角色,讓他們能夠模擬應用程式的身分識別。

動作 描述
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 在 Microsoft Entra 識別碼中管理管理員同意要求原則
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取向 Microsoft Entra ID 註冊之應用程式之同意要求的所有屬性
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/applicationProxy/read 讀取所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxy/update 更新所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxyAuthentication/update 更新所有類型的應用程式的驗證
microsoft.directory/applications/applicationProxySslCertificate/update 更新應用程式 Proxy 的 SSL 憑證設定
microsoft.directory/applications/applicationProxyUrl 設定/update 更新應用程式 Proxy 的 URL 設定
microsoft.directory/applications/appRoles/update 更新所有類型的應用程式上的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
Privileged label icon.
microsoft.directory/applications/extensionProperties/update 更新應用程式上的延伸模組屬性
microsoft.directory/applications/notes/update 更新應用程式的注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有應用程式類型的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/applications/authentication/update 更新 applicationsverification 屬性
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式對象相關聯的布建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/connectors/create 建立應用程式 Proxy 連接器
microsoft.directory/connectors/allProperties/read 讀取應用程式 Proxy 連接器的所有屬性
microsoft.directory/connectorGroups/create 建立應用程式 Proxy 連接器群組
microsoft.directory/connectorGroups/delete 刪除應用程式 Proxy 連接器群組
microsoft.directory/connectorGroups/allProperties/read 讀取應用程式 Proxy 連接器群組的所有屬性
microsoft.directory/connectorGroups/allProperties/update 更新應用程式 Proxy 連接器群組的所有屬性
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 建立和管理自定義驗證延伸模組
Privileged label icon.
microsoft.directory/deletedItems.applications/delete 永久刪除無法再還原的應用程式
microsoft.directory/deletedItems.applications/restore 將虛刪除的應用程式還原至原始狀態
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用至物件清單的應用程式原則
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體的密碼單一登錄認證
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建秘密和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立和管理應用程式佈建同步處理作業和架構
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立和管理應用程式佈建同步處理作業和架構。
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體上的密碼單一登錄認證
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin 代表任何使用者或所有使用者授與應用程式許可權和委派許可權的同意,但 Microsoft Graph 的應用程式許可權除外
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體上的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體上的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與您的服務主體相關聯的布建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

應用程式開發人員

Privileged label icon.

這是 特殊許可權角色。 當 [用戶可以註冊應用程式] 設定設為 [否] 時,此角色中的使用者可以建立應用程式註冊。 當 [使用者可以同意應用程式代表他們存取公司數據的應用程式] 設定設為 [否] 時,此角色也會授與代表自己同意的許可權。 建立新的應用程式註冊時,獲指派此角色的使用者會新增為擁有者。

動作 描述
microsoft.directory/applications/createAsOwner 建立所有類型的應用程式,並新增建立者作為第一個擁有者
microsoft.directory/oAuth2PermissionGrants/createAsOwner 建立 OAuth 2.0 許可權授與,建立者作為第一個擁有者
Privileged label icon.
microsoft.directory/servicePrincipals/createAsOwner 建立服務主體,並將建立者作為第一個擁有者

攻擊承載作者

具備此角色的使用者可以建立攻擊承載,但無法實際啟動或排程攻擊承載。 然後,租使用者中的所有系統管理員都可以使用攻擊承載來建立模擬。

如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中的 適用於 Office 365 的 Microsoft Defender 許可權和 Microsoft Purview 合規性入口網站 中的許可權。

動作 描述
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊承載
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 閱讀攻擊模擬、回應和相關聯訓練的報告

攻擊模擬系統管理員

具備此角色的使用者可建立及管理攻擊模擬的各個層面,包含建立、啟動/排程模擬,以及檢閱模擬結果。 此角色的成員對於租用戶中的所有模擬都有此存取權。

如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中的 適用於 Office 365 的 Microsoft Defender 許可權和 Microsoft Purview 合規性入口網站 的許可權。

動作 描述
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊承載
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 閱讀攻擊模擬、回應和相關聯訓練的報告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊模擬範本

屬性指派系統管理員

具有此角色的使用者可以為支援的 Microsoft Entra 物件 (使用者、服務主體和裝置) 指派和移除自訂安全性屬性金鑰和值。

根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

動作 描述
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read 讀取 Microsoft Entra 受控識別的自定義安全性屬性值
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update 更新 Microsoft Entra 受控識別的自定義安全性屬性值
microsoft.directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 讀取自定義安全性屬性定義的所有屬性
microsoft.directory/devices/customSecurityAttributes/read 讀取裝置的自定義安全性屬性值
microsoft.directory/devices/customSecurityAttributes/update 更新裝置的自定義安全性屬性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read 讀取服務主體的自定義安全性屬性值
microsoft.directory/servicePrincipals/customSecurityAttributes/update 更新服務主體的自定義安全性屬性值
microsoft.directory/users/customSecurityAttributes/read 讀取使用者的自定義安全性屬性值
microsoft.directory/users/customSecurityAttributes/update 更新使用者的自定義安全性屬性值

屬性指派讀取者

具有此角色的使用者可以讀取支援 Microsoft Entra 物件的自訂安全性屬性金鑰和值。

根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

動作 描述
microsoft.directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read 讀取 Microsoft Entra 受控識別的自定義安全性屬性值
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 讀取自定義安全性屬性定義的所有屬性
microsoft.directory/devices/customSecurityAttributes/read 讀取裝置的自定義安全性屬性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read 讀取服務主體的自定義安全性屬性值
microsoft.directory/users/customSecurityAttributes/read 讀取使用者的自定義安全性屬性值

屬性定義系統管理員

具有此角色的使用者可以定義一組有效的自訂安全性屬性,這些屬性可以指派給支援的 Microsoft Entra 物件。 此角色也可以啟用和停用自訂安全性屬性。

根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

動作 描述
microsoft.directory/attributeSets/allProperties/allTasks 管理屬性集的所有層面
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks 管理自定義安全性屬性定義的所有層面

屬性定義讀取器

具有此角色的使用者可以讀取自定義安全性屬性的定義。

根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

動作 描述
microsoft.directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 讀取自定義安全性屬性定義的所有屬性

屬性記錄檔 管理員 istrator

將屬性記錄讀取器角色指派給需要執行下列工作的使用者:

  • 讀取自定義安全性屬性值變更的稽核記錄
  • 讀取自定義安全性屬性定義變更和指派的稽核記錄
  • 設定自訂安全性屬性的診斷設定

具有此角色 的用戶無法 讀取其他事件的稽核記錄。

根據預設,全域 管理員 istrator 和其他系統管理員角色沒有許可權讀取自定義安全性屬性的稽核記錄。 若要讀取自定義安全性屬性的稽核記錄,您必須獲指派此角色或屬性記錄讀取器角色。

如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

動作 描述
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read 讀取與自定義安全性屬性相關的稽核記錄
microsoft.azure.customSecurityAttributeDiagnostic 設定/allEntities/allProperties/allTasks 設定自訂安全性屬性診斷設定的所有層面

屬性記錄讀取器

將屬性記錄讀取器角色指派給需要執行下列工作的使用者:

  • 讀取自定義安全性屬性值變更的稽核記錄
  • 讀取自定義安全性屬性定義變更和指派的稽核記錄

具有此角色 的使用者無法 執行下列工作:

  • 設定自訂安全性屬性的診斷設定
  • 讀取其他事件的稽核記錄

根據預設,全域 管理員 istrator 和其他系統管理員角色沒有許可權讀取自定義安全性屬性的稽核記錄。 若要讀取自定義安全性屬性的稽核記錄,您必須獲指派此角色或屬性記錄檔 管理員 istrator 角色。

如需詳細資訊,請參閱 管理 Microsoft Entra ID 中自定義安全性屬性的存取權。

動作 描述
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read 讀取與自定義安全性屬性相關的稽核記錄

驗證管理員

Privileged label icon.

這是 特殊許可權角色。 將驗證管理員角色指派給需要執行下列工作的使用者:

  • 為非系統管理員和某些角色設定或重設任何驗證方法(包括密碼)。 如需驗證 管理員 istrator 可以讀取或更新驗證方法的角色清單,請參閱 神秘 可以重設密碼
  • 要求非系統管理員或指派給某些角色的使用者,以針對現有的非密碼認證重新註冊(例如 MFA 或 FIDO),也可以撤銷 裝置上的 MFA,這會在下一次登入時提示 MFA。
  • 對某些使用者執行敏感性動作。 如需詳細資訊,請參閱 神秘 可執行敏感性動作
  • 在 Azure 和 Microsoft 365 系統管理中心 中建立和管理支援票證。

具有此角色 的使用者無法 執行下列動作:

  • 無法為可指派角色群組的成員和擁有者變更認證或重設 MFA。
  • 無法在舊版 MFA 管理入口網站或硬體 OATH 令牌中管理 MFA 設定。

下表比較驗證相關角色的功能。

角色 管理使用者的驗證方法 管理每位使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則 更新敏感性屬性 刪除和還原使用者
驗證管理員 對某些使用者是 對某些使用者是 No No 對某些使用者是 對某些使用者是
特殊許可權驗證 管理員 istrator 適用於所有使用者 適用於所有使用者 適用於所有使用者 適用於所有使用者
驗證原則 管理員 istrator .是 .是 .是 No
使用者管理員 No 對某些使用者是 對某些使用者是

重要

具有此角色的使用者可以變更可能可存取 Microsoft Entra 標識子內外敏感性或私人資訊或重要組態的人員認證。 變更使用者的認證可能表示能夠假設使用者的身分識別和許可權。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理自己擁有的應用程式認證。 這些應用程式在 Microsoft Entra ID 中可能有特殊許可權,而其他地方未授與驗證 管理員 istrators。 透過此路徑,驗證 管理員 istrator 可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證來進一步假設特殊許可權應用程式的身分識別。
  • Azure 訂用帳戶擁有者,可存取 Azure 中的敏感性或私人資訊或重要設定。
  • 安全組和 Microsoft 365 群組擁有者,可管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • 在 Microsoft Entra 識別符以外的其他服務中,管理員 istrators,例如 Exchange Online、Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站 和人力資源系統。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可能有權存取敏感性或私人資訊。
動作 描述
microsoft.directory/users/authenticationMethods/create 更新使用者的驗證方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete 刪除使用者的驗證方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/restrictedRead 讀取不包含用戶個人標識資訊之驗證方法的標準屬性
microsoft.directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
Privileged label icon.
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/users/delete 刪除使用者
Privileged label icon.
microsoft.directory/users/disable 停用使用者
Privileged label icon.
microsoft.directory/users/enable 啟用使用者
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 藉由使用戶重新整理令牌失效來強制註銷
Privileged label icon.
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 使用者的更新管理員
microsoft.directory/users/password/update 重設所有用戶的密碼
Privileged label icon.
microsoft.directory/users/userPrincipalName/update 更新用戶主體用戶名稱
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

驗證擴充性 管理員 istrator

Privileged label icon.

這是 特殊許可權角色。 將驗證擴充性 管理員 istrator 角色指派給需要執行下列工作的使用者:

  • 建立和管理自定義驗證延伸模組的所有層面。

具有此角色 的使用者無法 執行下列動作:

  • 無法將自定義驗證延伸模組指派給應用程式以修改驗證體驗,且無法同意應用程式許可權或建立與自定義驗證延伸模組相關聯的應用程式註冊。 相反地,您必須使用Application 管理員 istrator、Application Developer 或 Cloud Application 管理員 istrator 角色。

自定義驗證延伸模組是由開發人員建立的 API 端點,用於驗證事件,並在 Microsoft Entra ID 中註冊。 應用程式系統管理員和應用程式擁有者可以使用自定義驗證延伸模組來自定義其應用程式的驗證體驗,例如登入和註冊,或密碼重設。

深入了解

動作 描述
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 建立和管理自定義驗證延伸模組
Privileged label icon.

驗證原則管理員

將驗證原則系統管理員角色指派給需要執行下列工作的使用者:

  • 設定驗證方法原則、全租使用者 MFA 設定和密碼保護原則,以決定每位使用者可以註冊和使用的方法。
  • 管理密碼保護設定:智慧鎖定組態和更新自定義禁用密碼清單。
  • 建立和管理可驗證的認證。
  • 建立及管理 Azure 支援票證。

具有此角色 的使用者無法 執行下列動作:

下表比較驗證相關角色的功能。

角色 管理使用者的驗證方法 管理每位使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則 更新敏感性屬性 刪除和還原使用者
驗證管理員 對某些使用者是 對某些使用者是 No No 對某些使用者是 對某些使用者是
特殊許可權驗證 管理員 istrator 適用於所有使用者 適用於所有使用者 適用於所有使用者 適用於所有使用者
驗證原則 管理員 istrator .是 .是 .是 No
使用者管理員 No 對某些使用者是 對某些使用者是
動作 描述
microsoft.directory/organization/strongAuthentication/allTasks 管理組織強身份驗證屬性的所有層面
microsoft.directory/userCredentialPolicies/create 建立使用者的認證原則
microsoft.directory/userCredentialPolicies/delete 刪除使用者的認證原則
microsoft.directory/userCredentialPolicies/standard/read 讀取使用者認證原則的標準屬性
microsoft.directory/userCredentialPolicies/owners/read 讀取使用者的認證原則擁有者
microsoft.directory/userCredentialPolicies/policyAppliedTo/read 讀取 policy.appliesTo 導覽連結
microsoft.directory/userCredentialPolicies/basic/update 更新使用者的基本原則
microsoft.directory/userCredentialPolicies/owners/update 更新使用者的認證原則擁有者
microsoft.directory/userCredentialPolicies/tenantDefault/update 更新 policy.isOrganizationDefault 屬性
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 讀取可驗證的認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/card/revoke 撤銷可驗證的認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/create 建立可驗證的認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 讀取可驗證的認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 更新可驗證的認證合約
microsoft.directory/verifiableCredentials/configuration/create 建立和管理可驗證認證所需的設定
microsoft.directory/verifiableCredentials/configuration/delete 刪除建立和管理可驗證認證所需的設定,並刪除其所有可驗證的認證
microsoft.directory/verifiableCredentials/configuration/allProperties/read 讀取建立和管理可驗證認證所需的設定
microsoft.directory/verifiableCredentials/configuration/allProperties/update 更新建立和管理可驗證認證所需的設定
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證

Azure DevOps 系統管理員

具有此角色的使用者可以管理所有企業 Azure DevOps 原則,適用於 Microsoft Entra ID 所支援的所有 Azure DevOps 組織。 此角色中的使用者可以瀏覽至公司 Microsoft Entra ID 所支援的任何 Azure DevOps 組織,來管理這些原則。 此外,此角色中的使用者可以宣告孤立 Azure DevOps 組織的擁有權。 此角色不會授與公司 Microsoft Entra 組織所支援任何 Azure DevOps 組織內的任何其他 Azure DevOps 特定權限 (例如專案集合管理員)。

動作 描述
microsoft.azure.devOps/allEntities/allTasks 讀取和設定 Azure DevOps

Azure 資訊保護管理員

具有此角色的使用者在 Azure 資訊保護服務中擁有所有權限。 此角色允許設定 Azure 資訊保護原則的標籤、管理保護範本,以及啟用保護。 此角色不會授與 Identity Protection、Privileged Identity Management、Monitor Microsoft 365 Service Health、Microsoft 365 Defender 入口網站或 Microsoft Purview 合規性入口網站 中的任何許可權。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護 的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

B2C IEF 索引鍵集管理員

Privileged label icon.

這是 特殊許可權角色。 用戶可以建立和管理令牌加密、令牌簽章和宣告加密/解密的原則密鑰和秘密。 藉由將新的金鑰新增至現有的金鑰容器,此有限的系統管理員可以視需要變換祕密,而不會影響現有的應用程式。 此使用者可以看到這些祕密的完整內容,以及其到期日,即使建立之後也是如此。

重要

這是敏感性角色。 在生產前和生產期間,應仔細稽核並指派密鑰集系統管理員角色。

動作 描述
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks 在 Azure Active Directory B2C 中讀取和設定金鑰集
Privileged label icon.

B2C IEF 原則管理員

具備此角色的使用者能夠在 Azure AD B2C 中建立、讀取、更新及刪除所有自訂原則,因此能完全掌控相關 Azure AD B2C 組織中的 Identity Experience Framework。 藉由編輯原則,此使用者可以建立與外部識別提供者的直接同盟、變更目錄架構、變更所有用戶對應內容 (HTML、CSS、JavaScript)、變更完成驗證的需求、建立新的使用者、將用戶數據傳送至外部系統,包括完整移轉,以及編輯所有用戶資訊,包括密碼和電話號碼等敏感性字段。 相反地,此角色無法變更加密密鑰,或編輯用於組織中的同盟秘密。

重要

B2 IEF 原則 管理員 istrator 是一個高度敏感的角色,應該為生產中的組織指派非常有限。 應仔細稽核這些用戶的活動,特別是針對生產環境中的組織。

動作 描述
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks 在 Azure Active Directory B2C 中讀取和設定自定義原則

計費管理員

進行採購、管理訂閱、管理支援票證以及監控服務健康狀況。

動作 描述
microsoft.directory/organization/basic/update 更新組織的基本屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.commerce.billing/allEntities/allProperties/allTasks 管理 Office 365 計費的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Cloud App Security 系統管理員

具有此角色的使用者在 Defender for Cloud Apps 中具有完整權限。 他們可以新增系統管理員、新增 Microsoft Defender for Cloud Apps 原則和設定、上傳記錄,以及執行治理動作。

動作 描述
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

雲端應用程式系統管理員

Privileged label icon.

這是 特殊許可權角色。 此角色中的使用者具有與應用程式系統管理員角色相同的權限,但不包括管理應用程式 Proxy 的能力。 此角色會授與能力來建立和管理企業應用程式和應用程式註冊的所有層面。 建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。

此角色也會授與同意委派許可權和應用程式許可權的能力,但 Microsoft Graph 的應用程式許可權除外。

重要

此例外狀況表示您仍然可以同意其他應用程式的應用程式許可權(例如,您已註冊的非 Microsoft 應用程式或應用程式)。 您仍然可以要求這些許可權作為應用程式註冊的一部分,但與這些許可權需要更具特殊許可權的系統管理員,例如 Global 管理員 istrator。

此角色會授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式的身分識別已獲授與資源的存取權,例如建立或更新User或其他物件的能力,則指派給此角色的使用者可以在模擬應用程式時執行這些動作。 模擬應用程式身分識別的能力,可能是透過其角色指派來提升使用者所能執行的許可權。 請務必瞭解,將使用者指派給 Application 管理員 istrator 角色,讓他們能夠模擬應用程式的身分識別。

動作 描述
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 在 Microsoft Entra 識別碼中管理管理員同意要求原則
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取向 Microsoft Entra ID 註冊之應用程式之同意要求的所有屬性
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/appRoles/update 更新所有類型的應用程式上的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
Privileged label icon.
microsoft.directory/applications/extensionProperties/update 更新應用程式上的延伸模組屬性
microsoft.directory/applications/notes/update 更新應用程式的注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有應用程式類型的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/applications/authentication/update 更新 applicationsverification 屬性
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式對象相關聯的布建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/deletedItems.applications/delete 永久刪除無法再還原的應用程式
microsoft.directory/deletedItems.applications/restore 將虛刪除的應用程式還原至原始狀態
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用至物件清單的應用程式原則
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體的密碼單一登錄認證
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建秘密和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立和管理應用程式佈建同步處理作業和架構
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立和管理應用程式佈建同步處理作業和架構。
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體上的密碼單一登錄認證
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin 代表任何使用者或所有使用者授與應用程式許可權和委派許可權的同意,但 Microsoft Graph 的應用程式許可權除外
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體上的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體上的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與您的服務主體相關聯的布建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

雲端裝置管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者可啟用、停用和刪除 Microsoft Entra ID 中的裝置,並在 Azure 入口網站中讀取 Windows 10 BitLocker 金鑰 (如果有的話)。 角色不會授與許可權來管理裝置上的任何其他屬性。

動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 元數據和金鑰
Privileged label icon.
microsoft.directory/deletedItems.devices/delete 永久刪除無法再還原的裝置
microsoft.directory/deletedItems.devices/restore 將虛刪除的裝置還原為原始狀態
microsoft.directory/devices/delete 從 Microsoft Entra 識別碼刪除裝置
microsoft.directory/devices/disable 停用 Microsoft Entra 識別碼中的裝置
microsoft.directory/devices/enable 在 Microsoft Entra 識別碼中啟用裝置
microsoft.directory/deviceLocalCredentials/password/read 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,包括密碼
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceManagementPolicies/basic/update 更新行動裝置管理和行動應用程式管理原則的基本屬性
Privileged label icon.
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/deviceRegistrationPolicy/basic/update 更新裝置註冊原則的基本屬性
Privileged label icon.
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況

合規性系統管理員

具有此角色的使用者有權管理 Microsoft Purview 合規性入口網站、Microsoft 365 系統管理中心、Azure 和 Microsoft 365 Defender 入口網站中的合規性相關功能。 受託人也可以管理 Exchange 系統管理中心內的所有功能,並建立適用於 Azure 和 Microsoft 365 的支援票證。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。

In Can do
Microsoft Purview 合規性入口網站 保護及管理整個 Microsoft 365 服務的組織數據
管理合規性警示
Microsoft Purview 合規性管理員 追蹤、指派及驗證貴組織的法規合規性活動
Microsoft 365 Defender 入口網站 管理數據控管
執行法律和數據調查
管理數據主體要求

此角色具有與 Microsoft 365 Defender 入口網站角色型訪問控制中的合規性 管理員 istrator 角色群組相同的許可權。
Intune 檢視所有 Intune 稽核數據
適用於雲端應用程式的 Microsoft Defender 具有唯讀許可權,而且可以管理警示
可以建立和修改檔案原則,並允許檔案控管動作
可以在 資料管理 下檢視所有內建報表
動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

合規性資料管理員

具有此角色的使用者有權限追蹤 Microsoft Purview 合規性入口網站、Microsoft 365 系統管理中心和 Azure 中的資料。 使用者也可以在 Exchange 系統管理中心、合規性管理員和 Teams 和 商務用 Skype 系統管理中心內追蹤合規性數據,並建立 Azure 和 Microsoft 365 的支援票證。 如需合規性 管理員 istrator 與合規性數據 管理員 istrator 之間的差異詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。

In Can do
Microsoft Purview 合規性入口網站 監視 Microsoft 365 服務的合規性相關原則
管理合規性警示
Microsoft Purview 合規性管理員 追蹤、指派及驗證貴組織的法規合規性活動
Microsoft 365 Defender 入口網站 管理數據控管
執行法律和數據調查
管理數據主體要求

此角色具有與 Microsoft 365 Defender 入口網站角色型訪問控制中的合規性數據 管理員 istrator 角色群組相同的許可權。
Intune 檢視所有 Intune 稽核數據
適用於雲端應用程式的 Microsoft Defender 具有唯讀許可權,而且可以管理警示
可以建立和修改檔案原則,並允許檔案控管動作
可以在 資料管理 下檢視所有內建報表
動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護 的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

條件式存取系統管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者能夠管理 Microsoft Entra 條件式存取設定。

動作 描述
microsoft.directory/namedLocations/create 建立定義網路位置的自定義規則
microsoft.directory/namedLocations/delete 刪除定義網路位置的自定義規則
microsoft.directory/namedLocations/standard/read 讀取定義網路位置之自定義規則的基本屬性
microsoft.directory/namedLocations/basic/update 更新定義網路位置之自定義規則的基本屬性
microsoft.directory/conditionalAccessPolicies/create 建立條件式存取原則
microsoft.directory/conditionalAccessPolicies/delete 刪除條件式存取原則
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/conditionalAccessPolicies/owners/read 讀取條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的「套用至」屬性
microsoft.directory/conditionalAccessPolicies/basic/update 更新條件式存取原則的基本屬性
microsoft.directory/conditionalAccessPolicies/owners/update 更新條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 更新條件式存取原則的預設租使用者
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容
Privileged label icon.

客戶 LockBox 存取核准者

管理組織中的 Microsoft Purview 客戶加密箱要求。 他們會收到客戶加密箱要求的電子郵件通知,並可核准和拒絕來自 Microsoft 365 系統管理中心的要求。 他們也可以開啟或關閉客戶加密箱功能。 只有全域管理員可以重設指派給此角色的人員密碼。

動作 描述
microsoft.office365.lockbox/allEntities/allTasks 管理客戶加密箱的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

電腦分析系統管理員

此角色中的使用者可以管理 電腦分析 服務。 這包括能夠檢視資產清查、建立部署計劃,以及檢視部署和健康情況狀態。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理 電腦分析 的所有層面

目錄讀取者

具備此角色的使用者可讀取基本目錄資訊。 此角色應該用於:

  • 授與一組特定的來賓用戶讀取許可權,而不是將它授與所有來賓使用者。
  • 當 [僅限系統管理員存取權] 設定為 [是] 時,將一組非系統管理員使用者存取權授與 Azure 入口網站 Azure 入口網站。
  • 授與服務主體目錄的存取權,其中 Directory.Read.All 不是選項。
動作 描述
microsoft.directory/administrativeUnits/standard/read 讀取管理單位的基本屬性
microsoft.directory/administrativeUnits/members/read 讀取系統管理單位的成員
microsoft.directory/applications/standard/read 讀取應用程式的標準屬性
microsoft.directory/applications/owners/read 讀取應用程式的擁有者
microsoft.directory/applications/policies/read 讀取應用程式的原則
microsoft.directory/contacts/standard/read 在 Microsoft Entra ID 中讀取連絡人的基本屬性
microsoft.directory/contacts/memberOf/read 閱讀 Microsoft Entra ID 中所有聯繫人的群組成員資格
microsoft.directory/contracts/standard/read 閱讀合作夥伴合約的基本屬性
microsoft.directory/devices/standard/read 讀取裝置上的基本屬性
microsoft.directory/devices/memberOf/read 讀取裝置成員資格
microsoft.directory/devices/registeredOwners/read 讀取已註冊的裝置擁有者
microsoft.directory/devices/registeredUsers/read 讀取已註冊裝置的使用者
microsoft.directory/directoryRoles/standard/read 讀取 Microsoft Entra 角色的基本屬性
microsoft.directory/directoryRoles/eligibleMembers/read 閱讀 Microsoft Entra 角色的合格成員
microsoft.directory/directoryRoles/members/read 讀取 Microsoft Entra 角色的所有成員
microsoft.directory/domains/standard/read 讀取網域的基本屬性
microsoft.directory/groups/standard/read 讀取安全組和 Microsoft 365 群組的標準屬性,包括可指派角色的群組
microsoft.directory/groups/appRoleAssignments/read 讀取群組的應用程式角色指派
microsoft.directory/groups/memberOf/read 讀取安全組和 Microsoft 365 群組上的 memberOf 屬性,包括可指派角色的群組
microsoft.directory/groups/members/read 讀取安全組和 Microsoft 365 群組的成員,包括可指派角色的群組
microsoft.directory/groups/owners/read 讀取安全組和 Microsoft 365 群組的擁有者,包括可指派角色的群組
microsoft.directory/groups/settings/read 讀取群組的設定
microsoft.directory/group 設定/standard/read 讀取群組設定的基本屬性
microsoft.directory/groupSettingTemplates/standard/read 讀取群組設定範本的基本屬性
microsoft.directory/oAuth2PermissionGrants/standard/read 讀取 OAuth 2.0 許可權授與的基本屬性
microsoft.directory/organization/standard/read 讀取組織的基本屬性
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read 讀取受信任的證書頒發機構單位進行無密碼驗證
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/roleAssignments/standard/read 讀取角色指派的基本屬性
microsoft.directory/roleDefinitions/standard/read 讀取角色定義的基本屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/memberOf/read 讀取服務主體上的群組成員資格
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取服務主體的委派許可權授與
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/ownedObjects/read 讀取服務主體的自有物件
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft.directory/subscribedSkus/standard/read 讀取訂用帳戶的基本屬性
microsoft.directory/users/standard/read 讀取使用者的基本屬性
microsoft.directory/users/appRoleAssignments/read 讀取使用者的應用程式角色指派
microsoft.directory/users/deviceForResourceAccount/read 讀取使用者的 deviceForResourceAccount
microsoft.directory/users/directReports/read 閱讀使用者的直接報告
microsoft.directory/users/licenseDetails/read 讀取使用者的授權詳細數據
microsoft.directory/users/manager/read 讀取使用者管理員
microsoft.directory/users/memberOf/read 讀取使用者的群組成員資格
microsoft.directory/users/oAuth2PermissionGrants/read 讀取使用者的委派許可權授與
microsoft.directory/users/ownedDevices/read 讀取用戶擁有的裝置
microsoft.directory/users/ownedObjects/read 讀取用戶擁有的物件
microsoft.directory/users/photo/read 閱讀使用者相片
microsoft.directory/users/registeredDevices/read 讀取用戶已註冊的裝置
microsoft.directory/users/scopedRoleMemberOf/read 讀取使用者 Microsoft Entra 角色的成員資格,該角色的範圍設定為系統管理單位
microsoft.directory/users/sponsors/read 閱讀用戶的贊助者

目錄同步處理帳戶

Privileged label icon.

這是 特殊許可權角色。 請勿使用。 此角色會自動指派給 Microsoft Entra 連線 服務,並不適用於或支援任何其他用途。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/appRoles/update 更新所有類型的應用程式上的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
Privileged label icon.
microsoft.directory/applications/notes/update 更新應用程式的注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有應用程式類型的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 在 Microsoft Entra 識別碼中管理混合式驗證原則
Privileged label icon.
microsoft.directory/organization/dirSync/update 更新組織目錄同步屬性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密碼哈希同步處理 (PHS) 的所有層面
microsoft.directory/policies/create 在 Microsoft Entra 識別碼中建立原則
microsoft.directory/policies/delete 刪除 Microsoft Entra 識別碼中的原則
microsoft.directory/policies/standard/read 讀取原則的基本屬性
microsoft.directory/policies/owners/read 讀取原則的擁有者
microsoft.directory/policies/policyAppliedTo/read 讀取 policies.policyAppliedTo 屬性
microsoft.directory/policies/basic/update 更新原則的基本屬性
Privileged label icon.
microsoft.directory/policies/owners/update 更新原則的擁有者
microsoft.directory/policies/tenantDefault/update 更新默認組織原則
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體的密碼單一登錄認證
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體上的密碼單一登錄認證
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/memberOf/read 讀取服務主體上的群組成員資格
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取服務主體的委派許可權授與
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/ownedObjects/read 讀取服務主體的自有物件
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體上的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體上的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性

目錄寫入者

Privileged label icon.

這是 特殊許可權角色。 具備此角色的使用者可以讀取及更新使用者、群組和服務主體的基本資訊。

動作 描述
microsoft.directory/applications/extensionProperties/update 更新應用程式上的延伸模組屬性
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/groups/assignLicense 將產品授權指派給群組以進行群組型授權
microsoft.directory/groups/create 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/reprocessLicenseAssignment 重新處理群組型授權的授權指派
microsoft.directory/groups/basic/update 更新安全組和 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組
microsoft.directory/groups/classification/update 更新安全組和 Microsoft 365 群組上的分類屬性,但不包括可指派角色的群組
microsoft.directory/groups/dynamicMembershipRule/update 更新安全組和 Microsoft 365 群組的動態成員資格規則,但不包括可指派角色的群組
microsoft.directory/groups/groupType/update 更新會影響安全組和 Microsoft 365 群組群組類型的屬性,但不包括可指派角色的群組
microsoft.directory/groups/members/update 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra 連線 更新要寫回內部部署的 Microsoft Entra 群組
microsoft.directory/groups/owners/update 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft.directory/groups/visibility/update 更新安全組和 Microsoft 365 群組的可見性屬性,但不包括可指派角色的群組
microsoft.directory/group 設定/create 建立群組設定
microsoft.directory/group 設定/delete 刪除群組設定
microsoft.directory/group 設定/basic/update 更新群組設定的基本屬性
microsoft.directory/oAuth2PermissionGrants/create 建立 OAuth 2.0 許可權授與
Privileged label icon.
microsoft.directory/oAuth2PermissionGrants/basic/update 更新 OAuth 2.0 許可權授與
Privileged label icon.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建秘密和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立和管理應用程式佈建同步處理作業和架構
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立和管理應用程式佈建同步處理作業和架構。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理雲端租用戶至雲端租用戶應用程式布建秘密和認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 啟動、重新啟動和暫停雲端租用戶至雲端租使用者應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 建立及管理雲端租用戶至雲端租用戶應用程式布建同步處理作業和架構。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/users/assignLicense 管理用戶授權
microsoft.directory/users/create 新增使用者
Privileged label icon.
microsoft.directory/users/disable 停用使用者
Privileged label icon.
microsoft.directory/users/enable 啟用使用者
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 藉由使用戶重新整理令牌失效來強制註銷
Privileged label icon.
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft.directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 使用者的更新管理員
microsoft.directory/users/photo/update 更新使用者相片
microsoft.directory/users/sponsors/update 更新用戶的贊助者
microsoft.directory/users/userPrincipalName/update 更新用戶主體用戶名稱
Privileged label icon.

網域名稱管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者可以管理 (讀取、新增、驗證、更新和刪除) 網域名稱。 他們也可以讀取使用者、群組和應用程式的目錄資訊,因為這些物件擁有網域相依性。 針對內部部署環境,具有此角色的使用者可以設定同盟的網域名稱,讓相關聯的使用者一律在內部部署進行驗證。 然後,這些使用者就可以透過單一登錄,使用其內部部署密碼登入 Microsoft Entra 型服務。 同盟設定必須透過 Microsoft Entra 連線 進行同步處理,因此使用者也有管理 Microsoft Entra 連線 的許可權。

動作 描述
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
Privileged label icon.
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Dynamics 365 系統管理員

當服務存在時,具有此角色的使用者在 Microsoft Dynamics 365 Online 中具有全域許可權,以及管理支援票證及監視服務健康情況的能力。 如需詳細資訊,請參閱 使用服務管理員角色來管理您的租使用者

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Dynamics 365 Service 管理員 istrator。 在 Azure 入口網站 中,它名為 Dynamics 365 管理員 istrator。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Dynamics 365 Business Central 管理員 istrator

將 Dynamics 365 Business Central 管理員 istrator 角色指派給需要執行下列工作的使用者:

  • 存取 Dynamics 365 Business Central 環境
  • 在環境上執行所有系統管理工作
  • 管理客戶環境的生命週期
  • 監督環境上安裝的延伸模組
  • 控制環境的升級
  • 執行環境的數據匯出
  • 讀取和設定 Azure 和 Microsoft 365 服務健康情況儀錶板

此角色不會為其他 Dynamics 365 產品提供任何許可權。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.directory/subscribedSkus/allProperties/read 讀取產品訂閱的所有屬性
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks 管理 Dynamics 365 Business Central 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Edge 系統管理員

具備此角色的使用者可以建立和管理 Microsoft Edge 上 Internet Explorer 模式所需的企業網站清單。 此角色授與建立、編輯及發佈網站清單的權限,並額外允許存取管理支援票證。 深入了解

動作 描述
microsoft.edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Exchange 系統管理員

此角色的使用者具有 Microsoft Exchange Online (如其存在) 的全域權限。 也能夠建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Exchange Service 管理員 istrator。 在 Azure 入口網站 中,它會命名為 Exchange 管理員 istrator。 在 Exchange 系統管理中心,其名稱為 Exchange Online 系統管理員。

動作 描述
microsoft.directory/groups/hiddenMembers/read 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包括可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Exchange 收件者系統管理員

具有此角色的使用者即具備收件者的讀取存取權,且對於 Exchange Online 中這些收件者的屬性,具有寫入存取權。 如需詳細資訊,請參閱 Exchange Server 中的收件者。

動作 描述
microsoft.office365.exchange/recipients/allProperties/allTasks 建立和刪除所有收件者,以及在 Exchange Online 中讀取和更新所有收件者的屬性
microsoft.office365.exchange/migration/allProperties/allTasks 在 Exchange Online 中管理與收件者遷移相關的所有工作

外部識別碼使用者流程管理員

具備此角色的使用者可以建立和管理 Azure 入口網站中的使用者流程 (也稱為「內建」原則)。 這些使用者可以自訂 HTML/CSS/JavaScript 內容、變更 MFA 需求、選取權杖中的宣告、管理 API 連接器及其認證,以及設定 Microsoft Entra 組織中所有使用者流程的工作階段設定。 另一方面,此角色不包含檢閱用戶數據或變更組織架構中包含的屬性的能力。 Identity Experience Framework 原則 (也稱為自訂原則) 的變更也超出此角色的範圍。

動作 描述
microsoft.directory/b2cUserFlow/allProperties/allTasks 在 Azure Active Directory B2C 中讀取和設定使用者流程

外部識別碼使用者流程屬性管理員

具有此角色的使用者可新增或刪除 Microsoft Entra 組織中所有使用者流程可用的自訂屬性。 因此,具有此角色的使用者可以將新元素變更或新增至用戶架構,並影響所有使用者流程的行為,並間接導致使用者可能會要求哪些數據,最終以宣告傳送給應用程式。 此角色無法編輯使用者流程。

動作 描述
microsoft.directory/b2cUserAttribute/allProperties/allTasks 在 Azure Active Directory B2C 中讀取和設定用戶屬性

外部識別提供者系統管理員

Privileged label icon.

這是 特殊許可權角色。 此系統管理員會管理 Microsoft Entra 組織與外部身分識別提供者之間的同盟。 透過此角色,使用者可以新增新的識別提供者,並設定所有可用的設定(例如驗證路徑、服務標識碼、指派的密鑰容器)。 此使用者可以讓 Microsoft Entra 組織信任來自外部識別提供者的驗證。 對使用者體驗產生的影響取決於組織類型:

  • 員工和合作夥伴的 Microsoft Entra 組織:新增同盟(例如 Gmail)將立即影響尚未兌換的所有來賓邀請。 請參閱 將Google新增為 B2B 來賓使用者的身分識別提供者。
  • Azure Active Directory B2C 組織:新增同盟(例如,使用 Facebook 或與另一個 Microsoft Entra 組織)不會立即影響使用者流程,直到身分識別提供者新增為使用者流程中的選項(也稱為內建原則)。 如需範例,請參閱 將 Microsoft 帳戶設定為識別提供者 。 若要變更使用者流程,需要「B2C 使用者流程 管理員 istrator」的有限角色。
動作 描述
microsoft.directory/domains/federation/update 更新網域的同盟屬性
Privileged label icon.
microsoft.directory/identityProviders/allProperties/allTasks 在 Azure Active Directory B2C 中讀取和設定識別提供者
Privileged label icon.

Fabric 管理員 istrator

當服務存在時,具有此角色的使用者在 Microsoft Fabric 和 Power BI 中具有全域許可權,以及管理支援票證並監視服務健康情況的能力。 如需詳細資訊,請參閱 瞭解網狀架構管理員角色

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Fabric 和 Power BI 的所有層面

全域管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者可以存取 Microsoft Entra 標識符中的所有系統管理功能,以及使用 Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站、Exchange Online、SharePoint Online 和 商務用 Skype Online 等 Microsoft Entra 身分識別的服務。 全域 管理員 istrators 可以檢視目錄活動記錄。 此外,Global 管理員 istrators 可以提升其存取權,以管理所有 Azure 訂用帳戶和管理群組。 這可讓全域管理員使用個別的 Microsoft Entra 租用戶,取得所有 Azure 資源的完整存取權。 註冊 Microsoft Entra 組織的人員會成為全域管理員。 您的公司可以擁有多個全域管理員。 全域管理員可以為任何使用者和所有其他管理員重設密碼。 Global 管理員 istrator 無法移除自己的 Global 管理員 istrator 指派。 這是為了防止組織擁有零全域 管理員 原則的情況。

注意

Microsoft 建議的最佳做法是將全域管理員角色指派給組織中的五人以下。 如需詳細資訊,請參閱 Microsoft Entra 角色的最佳做法。

動作 描述
microsoft.directory/accessReviews/allProperties/allTasks (已淘汰)建立和刪除存取權檢閱、讀取和更新存取權檢閱的所有屬性,以及管理 Microsoft Entra 標識符中群組的存取權檢閱
microsoft.directory/accessReviews/definitions/allProperties/allTasks 管理 Microsoft Entra 識別碼中所有可檢閱資源的存取權檢閱
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 在 Microsoft Entra 識別碼中管理管理員同意要求原則
microsoft.directory/administrativeUnits/allProperties/allTasks 建立與管理管理單位(包括成員)
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取向 Microsoft Entra ID 註冊之應用程式之同意要求的所有屬性
microsoft.directory/applications/allProperties/allTasks 建立和刪除應用程式,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式對象相關聯的布建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/users/authenticationMethods/create 更新使用者的驗證方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete 刪除使用者的驗證方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/read 讀取使用者驗證方法的標準屬性
Privileged label icon.
microsoft.directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
Privileged label icon.
microsoft.directory/authorizationPolicy/allProperties/allTasks 管理授權原則的所有層面
Privileged label icon.
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 元數據和金鑰
Privileged label icon.
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.directory/connectors/create 建立應用程式 Proxy 連接器
microsoft.directory/connectors/allProperties/read 讀取應用程式 Proxy 連接器的所有屬性
microsoft.directory/connectorGroups/create 建立應用程式 Proxy 連接器群組
microsoft.directory/connectorGroups/delete 刪除應用程式 Proxy 連接器群組
microsoft.directory/connectorGroups/allProperties/read 讀取應用程式 Proxy 連接器群組的所有屬性
microsoft.directory/connectorGroups/allProperties/update 更新應用程式 Proxy 連接器群組的所有屬性
microsoft.directory/contacts/allProperties/allTasks 建立和刪除聯繫人,以及讀取和更新所有屬性
microsoft.directory/contracts/allProperties/allTasks 建立和刪除合作夥伴合約,以及讀取和更新所有屬性
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 建立和管理自定義驗證延伸模組
Privileged label icon.
microsoft.directory/deletedItems/delete 永久刪除無法再還原的物件
microsoft.directory/deletedItems/restore 將虛刪除的物件還原至原始狀態
microsoft.directory/devices/allProperties/allTasks 建立和刪除裝置,以及讀取和更新所有屬性
microsoft.directory/groupsAssignableToRoles/assignLicense 將授權指派給可指派角色的群組
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment 將授權指派重新處理至可指派角色的群組
microsoft.directory/multiTenantOrganization/basic/update 更新多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/create 建立多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update 加入多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update 更新參與多租用戶組織之租使用者的基本屬性
microsoft.directory/multiTenantOrganization/tenants/create 在多租用戶組織中建立租使用者
microsoft.directory/multiTenantOrganization/tenants/delete 刪除參與多租用戶組織的租使用者
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶詳細數據
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織之租使用者的基本屬性
microsoft.directory/namedLocations/create 建立定義網路位置的自定義規則
microsoft.directory/namedLocations/delete 刪除定義網路位置的自定義規則
microsoft.directory/namedLocations/standard/read 讀取定義網路位置之自定義規則的基本屬性
microsoft.directory/namedLocations/basic/update 更新定義網路位置之自定義規則的基本屬性
microsoft.directory/deviceLocalCredentials/password/read 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,包括密碼
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceManagementPolicies/basic/update 更新行動裝置管理和行動應用程式管理原則的基本屬性
Privileged label icon.
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/deviceRegistrationPolicy/basic/update 更新裝置註冊原則的基本屬性
Privileged label icon.
microsoft.directory/directoryRoles/allProperties/allTasks 建立和刪除目錄角色,以及讀取和更新所有屬性
microsoft.directory/directoryRoleTemplates/allProperties/allTasks 建立和刪除 Microsoft Entra 角色範本,以及讀取和更新所有屬性
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/domains/federationConfiguration/basic/update 更新網域的基本同盟設定
microsoft.directory/domains/federationConfiguration/create 建立網域的同盟設定
microsoft.directory/domains/federationConfiguration/delete 刪除網域的同盟設定
microsoft.directory/entitlementManagement/allProperties/allTasks 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/groups/allProperties/allTasks 建立和刪除群組,以及讀取和更新所有屬性
microsoft.directory/groupsAssignableToRoles/create 建立可指派角色的群組
microsoft.directory/groupsAssignableToRoles/delete 刪除可指派角色的群組
microsoft.directory/groupsAssignableToRoles/restore 還原可指派角色的群組
microsoft.directory/groupsAssignableToRoles/allProperties/update 更新可指派角色的群組
microsoft.directory/group 設定/allProperties/allTasks 建立和刪除群組設定,以及讀取和更新所有屬性
microsoft.directory/groupSettingTemplates/allProperties/allTasks 建立和刪除群組設定範本,以及讀取和更新所有屬性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 在 Microsoft Entra 識別碼中管理混合式驗證原則
Privileged label icon.
microsoft.directory/identityProtection/allProperties/allTasks 在 Microsoft Entra ID Protection 中建立和刪除所有資源,以及讀取和更新標準屬性
Privileged label icon.
microsoft.directory/loginOrganizationBranding/allProperties/allTasks 建立和刪除loginTenantBranding,以及讀取和更新所有屬性
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/organization/allProperties/allTasks 讀取和更新組織的所有屬性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密碼哈希同步處理 (PHS) 的所有層面
microsoft.directory/policies/allProperties/allTasks 建立和刪除原則,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks 管理條件式存取原則的所有屬性
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新允許跨租使用者存取原則的雲端端點
microsoft.directory/crossTenantAccessPolicy/basic/update 更新跨租使用者存取原則的基本設定
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 更新預設跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect 連線/update 更新預設跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新預設跨租使用者存取原則的跨雲端Teams會議設定
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 更新預設跨租使用者存取原則的租使用者限制
microsoft.directory/crossTenantAccessPolicy/partners/create 建立合作夥伴的跨租使用者存取原則
microsoft.directory/crossTenantAccessPolicy/partners/delete 刪除合作夥伴的跨租使用者存取原則
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update 更新多租用戶組織的跨租使用者同步原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault 設定 將多租用戶組織的跨租使用者同步原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織跨租使用者同步原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update 更新多租用戶組織的跨租使用者存取原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault 設定 將多租用戶組織的跨租使用者存取原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織跨租使用者存取原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect 連線/update 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作夥伴跨租使用者存取原則的跨雲端Teams會議設定
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 更新合作夥伴跨租使用者存取原則的租使用者限制
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create 建立合作夥伴的跨租使用者同步原則
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update 更新跨租使用者同步處理原則的基本設定
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 讀取跨租使用者同步處理原則的基本屬性
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容
Privileged label icon.
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色定義,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/serviceAction/activateService 可以為服務執行「啟動服務」動作
microsoft.directory/serviceAction/disableDirectoryFeature 可以執行「停用目錄功能」服務動作
microsoft.directory/serviceAction/enableDirectoryFeature 可以執行「啟用目錄功能」服務動作
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以執行 getAvailableExtentionProperties 服務動作
microsoft.directory/servicePrincipals/allProperties/allTasks 建立和刪除服務主體,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 對任何應用程式授與任何許可權的同意
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與您的服務主體相關聯的布建設定
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立和管理應用程式佈建同步處理作業和架構。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理雲端租用戶至雲端租用戶應用程式布建秘密和認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 啟動、重新啟動和暫停雲端租用戶至雲端租使用者應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 建立及管理雲端租用戶至雲端租用戶應用程式布建同步處理作業和架構。
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.directory/subscribedSkus/allProperties/allTasks 購買和管理訂用帳戶並刪除訂用帳戶
microsoft.directory/users/allProperties/allTasks 建立和刪除使用者,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/users/convertExternalToInternalMemberUser 將外部使用者轉換為內部使用者
microsoft.directory/permissionGrantPolicies/create 建立許可權授與原則
microsoft.directory/permissionGrantPolicies/delete 刪除許可權授與原則
microsoft.directory/permissionGrantPolicies/standard/read 讀取許可權授與原則的標準屬性
microsoft.directory/permissionGrantPolicies/basic/update 更新許可權授與原則的基本屬性
microsoft.directory/servicePrincipalCreationPolicies/create 建立服務主體建立原則
microsoft.directory/servicePrincipalCreationPolicies/delete 刪除服務主體建立原則
microsoft.directory/servicePrincipalCreationPolicies/standard/read 讀取服務主體建立原則的標準屬性
microsoft.directory/servicePrincipalCreationPolicies/basic/update 更新服務主體建立原則的基本屬性
microsoft.directory/tenantManagement/tenants/create 在 Microsoft Entra 識別碼中建立新的租使用者
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 讀取可驗證的認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/card/revoke 撤銷可驗證的認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/create 建立可驗證的認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 讀取可驗證的認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 更新可驗證的認證合約
microsoft.directory/verifiableCredentials/configuration/create 建立和管理可驗證認證所需的設定
microsoft.directory/verifiableCredentials/configuration/delete 刪除建立和管理可驗證認證所需的設定,並刪除其所有可驗證的認證
microsoft.directory/verifiableCredentials/configuration/allProperties/read 讀取建立和管理可驗證認證所需的設定
microsoft.directory/verifiableCredentials/configuration/allProperties/update 更新建立和管理可驗證認證所需的設定
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks 在 Microsoft Entra ID 中管理生命週期工作流程和工作的所有層面
microsoft.directory/pendingExternalUserProfiles/create 在 Teams 的擴充目錄中建立外部使用者配置檔
microsoft.directory/pendingExternalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性
microsoft.directory/pendingExternalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性
microsoft.directory/pendingExternalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者配置檔
microsoft.directory/externalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性
microsoft.directory/externalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性
microsoft.directory/externalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者配置檔
microsoft.azure.advancedThreatProtection/allEntities/allTasks 管理 Azure 進階威脅防護的所有層面
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護 的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.commerce.billing/allEntities/allProperties/allTasks 管理 Office 365 計費的所有層面
microsoft.commerce.billing/purchases/standard/read 閱讀 M365 管理員 Center 中的購買服務。
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有層面
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 網路存取的所有層面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的所有層面
microsoft.hardware.support/shippingAddress/allProperties/allTasks 建立、讀取、更新和刪除 Microsoft 硬體保固宣告的寄送位址,包括其他人所建立的寄送位址
microsoft.hardware.support/shippingStatus/allProperties/read 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/allTasks 建立和管理 Microsoft 硬體保固宣告的所有層面
microsoft.insights/allEntities/allProperties/allTasks 管理 Insights 應用程式的所有層面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的所有層面
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理 電腦分析 的所有層面
microsoft.office365.exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有層面
microsoft.office365.file 儲存體 Containers/allEntities/allProperties/allTasks 管理 SharePoint Embedded 容器的所有層面
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks 在 Microsoft 365 系統管理中心 中讀取和更新內容瞭解的所有屬性
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read 閱讀 Microsoft 365 系統管理中心 中內容瞭解的分析報告
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks 在 Microsoft 365 系統管理中心 中讀取和更新知識網路的所有屬性
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks 在 Microsoft 365 系統管理中心 中管理知識網路的主題可見度
microsoft.office365.knowledge/learningSources/allProperties/allTasks 在 Learning App 中管理學習來源及其所有屬性。
microsoft.office365.lockbox/allEntities/allTasks 管理客戶加密箱的所有層面
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在訊息中心讀取 Microsoft 365 系統管理中心的安全性訊息
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 移轉的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks 管理 Microsoft 365 組織訊息的所有撰寫層面
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks 管理安全性與合規性中心的所有層面
microsoft.office365.search/content/manage 建立和刪除內容,以及讀取和更新 Microsoft 搜尋 中的所有屬性
microsoft.office365.securityComplianceCenter/allEntities/allTasks 在 Office 365 安全性與合規性中心建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.userCommunication/allEntities/allTasks 讀取和更新新功能訊息可見度
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.office365.yammer/allEntities/allProperties/allTasks 管理 Yammer 的所有層面
microsoft.permissionsManagement/allEntities/allProperties/allTasks 管理 Microsoft Entra 權限管理 的所有層面
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 的所有層面
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Fabric 和 Power BI 的所有層面
microsoft.teams/allEntities/allProperties/allTasks 管理 Teams 中的所有資源
microsoft.virtualVisits/allEntities/allProperties/allTasks 從系統管理中心或虛擬造訪應用程式管理及共用虛擬造訪資訊與計量
microsoft.viva.goals/allEntities/allProperties/allTasks 管理 Microsoft Viva 目標的所有層面
microsoft.viva.pulse/allEntities/allProperties/allTasks 管理 Microsoft Viva Pulse 的所有層面
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 管理 適用於端點的 Microsoft Defender 的所有層面
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks 讀取和設定 Windows Update 服務的所有層面

全域讀者

Privileged label icon.

這是 特殊許可權角色。 具備此角色的使用者可以跨 Microsoft 365 服務讀取設定和系統管理資訊,但無法採取管理動作。 全域讀取者是全域管理員的唯讀對應項目。 指派全域讀取者,而不是全域管理員來進行規劃、稽核或調查。 使用全域讀取者與其他有限的系統管理員角色 (例如 Exchange 系統管理員) 搭配使用,讓您更輕鬆地完成工作,而不需要指派全域管理員角色。 全域閱讀程式可與 Microsoft 365 系統管理中心、Exchange 系統管理中心、SharePoint 系統管理中心、Teams 系統管理中心、Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站、Azure 入口網站 及 裝置管理 系統管理中心搭配使用。

具有此角色 的使用者無法 執行下列動作:

  • 無法存取 Microsoft 365 系統管理中心 中的購買服務區域。

注意

全域讀取者角色具有下列限制:

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.directory/accessReviews/allProperties/read (已淘汰)讀取存取權檢閱的所有屬性
microsoft.directory/accessReviews/definitions/allProperties/read 讀取 Microsoft Entra 識別碼中所有可檢閱資源之存取權檢閱的所有屬性
microsoft.directory/adminConsentRequestPolicy/allProperties/read 在 Microsoft Entra ID 中讀取管理員同意要求原則的所有屬性
microsoft.directory/administrativeUnits/allProperties/read 讀取系統管理單位的所有屬性,包括成員
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取向 Microsoft Entra ID 註冊之應用程式之同意要求的所有屬性
microsoft.directory/applications/allProperties/read 讀取所有類型的應用程式的所有屬性(包括特殊權限屬性)
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式對象相關聯的布建設定
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/users/authenticationMethods/standard/restrictedRead 讀取不包含用戶個人標識資訊之驗證方法的標準屬性
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 元數據和金鑰
Privileged label icon.
microsoft.directory/cloudAppSecurity/allProperties/read 讀取 適用於雲端的 Defender Apps 的所有屬性
microsoft.directory/connectors/allProperties/read 讀取應用程式 Proxy 連接器的所有屬性
microsoft.directory/connectorGroups/allProperties/read 讀取應用程式 Proxy 連接器群組的所有屬性
microsoft.directory/contacts/allProperties/read 讀取連絡人的所有屬性
microsoft.directory/customAuthenticationExtensions/allProperties/read 讀取自定義驗證延伸模組
microsoft.directory/deviceLocalCredentials/standard/read 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/devices/allProperties/read 讀取裝置的所有屬性
microsoft.directory/directoryRoles/allProperties/read 讀取目錄角色的所有屬性
microsoft.directory/directoryRoleTemplates/allProperties/read 讀取目錄角色範本的所有屬性
microsoft.directory/domains/allProperties/read 讀取網域的所有屬性
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/externalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性
microsoft.directory/groups/allProperties/read 讀取安全組和 Microsoft 365 群組上的所有屬性(包括特殊許可權屬性),包括可指派角色的群組
microsoft.directory/group 設定/allProperties/read 讀取群組設定的所有屬性
microsoft.directory/groupSettingTemplates/allProperties/read 讀取群組設定範本的所有屬性
microsoft.directory/identityProtection/allProperties/read 讀取 Microsoft Entra ID Protection 中的所有資源
microsoft.directory/loginOrganizationBranding/allProperties/read 讀取組織品牌登入頁面的所有屬性
microsoft.directory/namedLocations/standard/read 讀取定義網路位置之自定義規則的基本屬性
microsoft.directory/oAuth2PermissionGrants/allProperties/read 讀取 OAuth 2.0 許可權授與的所有屬性
microsoft.directory/organization/allProperties/read 讀取組織的所有屬性
microsoft.directory/pendingExternalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性
microsoft.directory/permissionGrantPolicies/standard/read 讀取許可權授與原則的標準屬性
microsoft.directory/policies/allProperties/read 讀取原則的所有屬性
microsoft.directory/conditionalAccessPolicies/allProperties/read 讀取條件式存取原則的所有屬性
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織跨租使用者同步原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織跨租使用者存取原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 讀取跨租使用者同步處理原則的基本屬性
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶詳細數據
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織之租使用者的基本屬性
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/roleAssignments/allProperties/read 讀取角色指派的所有屬性
microsoft.directory/roleDefinitions/allProperties/read 讀取角色定義的所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/read 檢視管理單位中的成員
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以執行 getAvailableExtentionProperties 服務動作
microsoft.directory/servicePrincipals/allProperties/read 讀取 servicePrincipals 上的所有屬性 (包括特殊許可權屬性)
microsoft.directory/servicePrincipalCreationPolicies/standard/read 讀取服務主體建立原則的標準屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與您的服務主體相關聯的布建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.directory/subscribedSkus/allProperties/read 讀取產品訂閱的所有屬性
microsoft.directory/users/allProperties/read 讀取使用者的所有屬性
Privileged label icon.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 讀取可驗證的認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 讀取可驗證的認證合約
microsoft.directory/verifiableCredentials/configuration/allProperties/read 讀取建立和管理可驗證認證所需的設定
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read 在 Microsoft Entra ID 中讀取生命週期工作流程和工作的所有屬性
microsoft.cloudPC/allEntities/allProperties/read 閱讀 Windows 365 的所有層面
microsoft.commerce.billing/allEntities/allProperties/read 讀取 Office 365 計費的所有資源
microsoft.commerce.billing/purchases/standard/read 閱讀 M365 管理員 中心的購買服務。
microsoft.edge/allEntities/allProperties/read 閱讀 Microsoft Edge 的所有層面
microsoft.networkAccess/allEntities/allProperties/read 閱讀 Microsoft Entra Network Access 的所有層面
microsoft.hardware.support/shippingAddress/allProperties/read 讀取 Microsoft 硬體保固宣告的寄送位址,包括其他人建立的現有寄送位址
microsoft.hardware.support/shippingStatus/allProperties/read 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/read 閱讀 Microsoft 硬體保固索賠
microsoft.insights/allEntities/allProperties/read 閱讀 Viva Insights 的所有層面
microsoft.office365.file 儲存體 Containers/allEntities/allProperties/read 讀取 SharePoint Embedded 容器的實體和許可權
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 系統管理中心的訊息中心讀取安全性訊息
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.organizationalMessages/allEntities/allProperties/read 閱讀 Microsoft 365 組織訊息的所有層面
microsoft.office365.protectionCenter/allEntities/allProperties/read 讀取安全性與合規性中心中的所有屬性
microsoft.office365.securityComplianceCenter/allEntities/read 讀取 Microsoft 365 安全性與合規性中心的標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.office365.yammer/allEntities/allProperties/read 閱讀 Yammer 的所有層面
microsoft.permissionsManagement/allEntities/allProperties/read 閱讀 Microsoft Entra 權限管理 的所有層面
microsoft.teams/allEntities/allProperties/read 讀取 Microsoft Teams 的所有屬性
microsoft.virtualVisits/allEntities/allProperties/read 閱讀虛擬流覽的所有層面
microsoft.viva.goals/allEntities/allProperties/read 閱讀 Microsoft Viva 目標的所有層面
microsoft.viva.pulse/allEntities/allProperties/read 閱讀 Microsoft Viva Pulse 的所有層面
microsoft.windows.updatesDeployments/allEntities/allProperties/read 閱讀 Windows Update 服務的所有層面

Global Secure Access 管理員 istrator

將全域安全存取 管理員 istrator 角色指派給需要執行下列動作的使用者:

  • 建立和管理 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取 的所有層面
  • 管理公用和私人端點的存取權

具有此角色 的使用者無法 執行下列動作:

  • 無法管理企業應用程式、應用程式註冊、條件式存取或應用程式 Proxy 設定

深入了解

動作 描述
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applications/applicationProxy/read 讀取所有應用程式 Proxy 屬性
microsoft.directory/applications/owners/read 讀取應用程式的擁有者
microsoft.directory/applications/policies/read 讀取應用程式的原則
microsoft.directory/applications/standard/read 讀取應用程式的標準屬性
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/connectorGroups/allProperties/read 讀取應用程式 Proxy 連接器群組的所有屬性
microsoft.directory/connectors/allProperties/read 讀取應用程式 Proxy 連接器的所有屬性
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租使用者存取原則的基本屬性
microsoft.directory/namedLocations/standard/read 讀取定義網路位置之自定義規則的基本屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 網路存取的所有層面
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

群組管理員

具備此角色的使用者可以建立/管理群組及其設定 (例如命名和到期原則)。 請務必瞭解,將使用者指派給此角色,除了 Outlook 之外,還能夠管理組織中所有群組,例如 Teams、SharePoint、Yammer。 此外,使用者將能夠跨各種系統管理入口網站管理各種群組設定,例如 Microsoft 系統管理中心、Azure 入口網站,以及 Teams 和 SharePoint 系統管理中心等工作負載特定設定。

動作 描述
microsoft.directory/deletedItems.groups/delete 永久刪除無法再還原的群組
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原至原始狀態
microsoft.directory/groups/assignLicense 將產品授權指派給群組以進行群組型授權
microsoft.directory/groups/create 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/delete 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/hiddenMembers/read 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft.directory/groups/reprocessLicenseAssignment 重新處理群組型授權的授權指派
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/basic/update 更新安全組和 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組
microsoft.directory/groups/classification/update 更新安全組和 Microsoft 365 群組上的分類屬性,但不包括可指派角色的群組
microsoft.directory/groups/dynamicMembershipRule/update 更新安全組和 Microsoft 365 群組的動態成員資格規則,但不包括可指派角色的群組
microsoft.directory/groups/groupType/update 更新會影響安全組和 Microsoft 365 群組群組類型的屬性,但不包括可指派角色的群組
microsoft.directory/groups/members/update 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra 連線 更新要寫回內部部署的 Microsoft Entra 群組
microsoft.directory/groups/owners/update 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft.directory/groups/visibility/update 更新安全組和 Microsoft 365 群組的可見性屬性,但不包括可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

來賓邀請者

當 [成員可邀請使用者] 設定設為 [否] 時,此角色中的使用者可以管理 Microsoft Entra B2B 來賓使用者的邀請。 如需 B2B 共同作業的詳細資訊,請參閱 關於 Microsoft Entra B2B 共同作業。 它不包含任何其他許可權。

動作 描述
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft.directory/users/standard/read 讀取使用者的基本屬性
microsoft.directory/users/appRoleAssignments/read 讀取使用者的應用程式角色指派
microsoft.directory/users/deviceForResourceAccount/read 讀取使用者的 deviceForResourceAccount
microsoft.directory/users/directReports/read 閱讀使用者的直接報告
microsoft.directory/users/licenseDetails/read 讀取使用者的授權詳細數據
microsoft.directory/users/manager/read 讀取使用者管理員
microsoft.directory/users/memberOf/read 讀取使用者的群組成員資格
microsoft.directory/users/oAuth2PermissionGrants/read 讀取使用者的委派許可權授與
microsoft.directory/users/ownedDevices/read 讀取用戶擁有的裝置
microsoft.directory/users/ownedObjects/read 讀取用戶擁有的物件
microsoft.directory/users/photo/read 閱讀使用者相片
microsoft.directory/users/registeredDevices/read 讀取用戶已註冊的裝置
microsoft.directory/users/scopedRoleMemberOf/read 讀取使用者 Microsoft Entra 角色的成員資格,該角色的範圍設定為系統管理單位
microsoft.directory/users/sponsors/read 閱讀用戶的贊助者

服務台系統管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者可以變更密碼、使重新整理權杖失效、使用 Microsoft for Azure 和 Microsoft 365 服務建立和管理支援要求,以及監視服務健康情況。 使重新整理權杖失效會強制使用者再次登入。 服務台系統管理員是否可以重設使用者的密碼,並使重新整理權杖失效,取決於指派使用者的角色。 如需 Helpdesk 管理員 istrator 可以重設密碼並使重新整理令牌失效的角色清單,請參閱 神秘 可以重設密碼

具有此角色 的使用者無法 執行下列動作:

重要

具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要組態的人員變更密碼。 變更使用者的密碼可能表示能夠採用使用者的身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理自己擁有的應用程式認證。 這些應用程式在 Microsoft Entra ID 中可能有特殊許可權,而其他地方未授與技術服務人員 管理員 istrators。 透過此路徑,Helpdesk 管理員 istrator 可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證來進一步假設特殊許可權應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們可能會存取 Azure 中的敏感性或私人資訊或重要設定。
  • 安全組和 Microsoft 365 群組擁有者,可管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • 在 Microsoft Entra ID 以外的其他服務中,管理員 istrators,例如 Exchange Online、Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站 和人力資源系統。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可能有權存取敏感性或私人資訊。

使用 管理員 單位,將系統管理許可權委派給使用者子集,並將原則套用至使用者子集。

此角色先前在 Azure 入口網站命名為Password管理員 istrator。 它已重新命名為 Helpdesk 管理員 istrator,以配合 Microsoft Graph API 和 Azure AD PowerShell 中的現有名稱。

動作 描述
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 元數據和金鑰
Privileged label icon.
microsoft.directory/deviceLocalCredentials/standard/read 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/users/invalidateAllRefreshTokens 藉由使用戶重新整理令牌失效來強制註銷
Privileged label icon.
microsoft.directory/users/password/update 重設所有用戶的密碼
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

混合式身分識別管理員

Privileged label icon.

這是 特殊許可權角色。 此角色中的使用者可以使用雲端布建,從 Active Directory 建立、管理及部署布建組態設定,以及管理 Microsoft Entra 連線、傳遞驗證 (PTA)、密碼哈希同步處理 (PHS)、無縫單一登錄 (無縫 SSO) 和同盟設定。 沒有管理 Microsoft Entra 連線 Health 的存取權。 使用者也可以使用此角色對記錄進行疑難排解和監視。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/appRoles/update 更新所有類型的應用程式上的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/notes/update 更新應用程式的注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有應用程式類型的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式對象相關聯的布建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/cloudProvisioning/allProperties/allTasks 讀取並設定 Microsoft Entra 雲端布建服務的所有屬性。
microsoft.directory/deletedItems.applications/delete 永久刪除無法再還原的應用程式
microsoft.directory/deletedItems.applications/restore 將虛刪除的應用程式還原至原始狀態
microsoft.directory/domains/allProperties/read 讀取網域的所有屬性
microsoft.directory/domains/federation/update 更新網域的同盟屬性
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/domains/federationConfiguration/basic/update 更新網域的基本同盟設定
microsoft.directory/domains/federationConfiguration/create 建立網域的同盟設定
microsoft.directory/domains/federationConfiguration/delete 刪除網域的同盟設定
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 在 Microsoft Entra 識別碼中管理混合式驗證原則
Privileged label icon.
microsoft.directory/organization/dirSync/update 更新組織目錄同步屬性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密碼哈希同步處理 (PHS) 的所有層面
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建秘密和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立和管理應用程式佈建同步處理作業和架構
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動和暫停應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立和管理應用程式佈建同步處理作業和架構。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理雲端租用戶至雲端租用戶應用程式布建秘密和認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 啟動、重新啟動和暫停雲端租用戶至雲端租使用者應用程式布建同步處理作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 建立及管理雲端租用戶至雲端租用戶應用程式布建同步處理作業和架構。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體上的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體上的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與您的服務主體相關聯的布建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.directory/users/authorizationInfo/update 更新使用者的多重值憑證用戶標識碼屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.messageCenter/messages/read 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

身分識別控管系統管理員

具有此角色的使用者可以管理 Microsoft Entra ID 治理設定,包括存取套件、存取檢閱、目錄和原則、確保存取權已核准和已審核,以及已移除不再需要存取權的來賓使用者。

動作 描述
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks 在 Microsoft Entra ID 中管理應用程式角色指派的存取權檢閱
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 管理權利管理中存取套件指派的存取權檢閱
microsoft.directory/accessReviews/definitions.groups/allProperties/read 讀取安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,包括可指派角色的群組。
microsoft.directory/accessReviews/definitions.groups/allProperties/update 更新安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,但不包括可指派角色的群組。
microsoft.directory/accessReviews/definitions.groups/create 建立安全性與 Microsoft 365 群組中成員資格的存取權檢閱。
microsoft.directory/accessReviews/definitions.groups/delete 刪除安全性與 Microsoft 365 群組中成員資格的存取權檢閱。
microsoft.directory/accessReviews/allProperties/allTasks (已淘汰)建立和刪除存取權檢閱、讀取和更新存取權檢閱的所有屬性,以及管理 Microsoft Entra 標識符中群組的存取權檢閱
microsoft.directory/entitlementManagement/allProperties/allTasks 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/groups/members/update 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派

深入解析系統管理員

擁有此角色的使用者可以存取 Microsoft Viva Insights 應用程式中的完整系統管理功能。 此角色能夠讀取目錄資訊、監視服務健康情況、檔案支援票證,以及存取 Insights 系統管理員設定層面。

深入了解

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.insights/allEntities/allProperties/allTasks 管理 Insights 應用程式的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Insights 分析師

將 Insights 分析師角色指派給需要執行下列動作的使用者:

  • 分析 Microsoft Viva Insights 應用程式中的數據,但無法管理任何組態設定
  • 建立、管理及執行查詢
  • 在 Microsoft 365 系統管理中心 中檢視基本設定和報告
  • 在 Microsoft 365 系統管理中心 中建立和管理服務要求

深入了解

動作 描述
microsoft.insights/queries/allProperties/allTasks 在 Viva Insights 中執行和管理查詢
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

深入解析商務領導者

此角色的使用者可以透過 Microsoft Viva Insights 應用程式存取一組儀表板和深入解析。 這包括所有儀表板的完整存取,以及呈現見解和資料探索功能。 此角色中的用戶無法存取產品組態設定,這是 Insights 管理員 istrator 角色的責任。

深入了解

動作 描述
microsoft.insights/reports/allProperties/read 在 Insights 應用程式中檢視報表和儀錶板
microsoft.insights/programs/allProperties/update 在 Insights 應用程式中部署和管理程式

Intune 管理員

Privileged label icon.

這是 特殊許可權角色。 此角色的使用者具有 Microsoft Intune Online (如其存在) 的全域權限。 此外,此角色也包含管理用戶和裝置以建立和管理群組的能力。 如需詳細資訊,請參閱 使用 Microsoft Intune 的角色型系統管理控件 (RBAC)。

此角色可以建立和管理所有安全性群組。 不過,Intune 管理員 istrator 對 Office 群組沒有系統管理員許可權。 這表示系統管理員無法更新組織中所有 Office 群組的擁有者或成員資格。 不過,他/她可以管理他所建立的 Office 群組,這是其用戶許可權的一部分。 因此,任何他/她建立的 Office 群組(不是安全組)都應該計入其 250 的配額。

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Intune Service 管理員 istrator。 在 Azure 入口網站 中,它會命名為 Intune 管理員 istrator。

動作 描述
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 元數據和金鑰
Privileged label icon.
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.devices/delete 永久刪除無法再還原的裝置
microsoft.directory/deletedItems.devices/restore 將虛刪除的裝置還原為原始狀態
microsoft.directory/devices/create 建立裝置(註冊 Microsoft Entra ID)
microsoft.directory/devices/delete 從 Microsoft Entra 識別碼刪除裝置
microsoft.directory/devices/disable 停用 Microsoft Entra 識別碼中的裝置
microsoft.directory/devices/enable 在 Microsoft Entra 識別碼中啟用裝置
microsoft.directory/devices/basic/update 更新裝置上的基本屬性
microsoft.directory/devices/extensionAttributeSet1/update 將 extensionAttribute1 更新為裝置上的 extensionAttribute5 屬性
microsoft.directory/devices/extensionAttributeSet2/update 將 extensionAttribute6 更新為裝置上的 extensionAttribute10 屬性
microsoft.directory/devices/extensionAttributeSet3/update 將 extensionAttribute11 更新為裝置上的 extensionAttribute15 屬性
microsoft.directory/devices/registeredOwners/update 更新已註冊的裝置擁有者
microsoft.directory/devices/registeredUsers/update 更新裝置的已註冊使用者
microsoft.directory/deviceLocalCredentials/password/read 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,包括密碼
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/groups/hiddenMembers/read 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft.directory/groups.security/create 建立安全組,不包括可指派角色的群組
microsoft.directory/groups.security/delete 刪除安全組,不包括可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全組的基本屬性,不包括可指派角色的群組
microsoft.directory/groups.security/classification/update 更新安全組上的分類屬性,但不包括可指派角色的群組
microsoft.directory/groups.security/dynamicMembershipRule/update 更新安全組的動態成員資格規則,但不包括可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全組的成員,不包括可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全組的擁有者,不包括可指派角色的群組
microsoft.directory/groups.security/visibility/update 更新安全組上的可見度屬性,但不包括可指派角色的群組
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 使用者的更新管理員
microsoft.directory/users/photo/update 更新使用者相片
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的所有層面
microsoft.office365.organizationalMessages/allEntities/allProperties/read 閱讀 Microsoft 365 組織訊息的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Kaizala 管理員

具有此角色的使用者具有全域許可權,可在服務存在時管理 Microsoft Kaizala 內的設定,以及管理支援票證及監視服務健康情況的能力。 此外,使用者可以透過組織成員和使用 Kaizala 動作所產生的商務報告,存取與採用和使用 Kaizala 相關的報告。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

知識系統管理員

擁有角色的使用者可完整存取 Microsoft 365 系統管理中心內的所有知識、學習和智慧功能設定。 他們對產品套件、授權詳細資料有大致的了解,並負責控制存取權。 知識系統管理員可以建立和管理內容,例如主題、縮略字和學習資源。 此外,這些使用者可以建立內容中心、監視服務健康情況,以及建立服務要求。

動作 描述
microsoft.directory/groups.security/create 建立安全組,不包括可指派角色的群組
microsoft.directory/groups.security/createAsOwner 建立安全組,不包括可指派角色的群組。 建立者會新增為第一個擁有者。
microsoft.directory/groups.security/delete 刪除安全組,不包括可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全組的基本屬性,不包括可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全組的成員,不包括可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全組的擁有者,不包括可指派角色的群組
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks 在 Microsoft 365 系統管理中心 中讀取和更新內容瞭解的所有屬性
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks 在 Microsoft 365 系統管理中心 中讀取和更新知識網路的所有屬性
microsoft.office365.knowledge/learningSources/allProperties/allTasks 在 Learning App 中管理學習來源及其所有屬性。
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read 讀取安全性與合規性中心內敏感度標籤的所有屬性
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

知識管理員

擁有此角色的使用者可以建立和管理內容,例如主題、縮略字和學習內容。 這些使用者主要負責知識的品質和結構。 此使用者具有主題管理動作的完整權限,可確認主題、核准編輯或刪除主題。 此角色也可以管理分類法,作為字詞庫管理工具的一部分,並建立內容中心。

動作 描述
microsoft.directory/groups.security/create 建立安全組,不包括可指派角色的群組
microsoft.directory/groups.security/createAsOwner 建立安全組,不包括可指派角色的群組。 建立者會新增為第一個擁有者。
microsoft.directory/groups.security/delete 刪除安全組,不包括可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全組的基本屬性,不包括可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全組的成員,不包括可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全組的擁有者,不包括可指派角色的群組
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read 閱讀 Microsoft 365 系統管理中心 中內容瞭解的分析報告
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks 在 Microsoft 365 系統管理中心 中管理知識網路的主題可見度
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

授權管理員

此角色中的使用者可以讀取、新增、移除和更新使用者、群組的授權指派(使用群組型授權),以及管理使用者上的使用位置。 角色不會授與購買或管理訂用帳戶、建立或管理群組,或建立或管理使用量位置以外的使用者的能力。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/groups/assignLicense 將產品授權指派給群組以進行群組型授權
microsoft.directory/groups/reprocessLicenseAssignment 重新處理群組型授權的授權指派
microsoft.directory/users/assignLicense 管理用戶授權
microsoft.directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/usageLocation/update 更新使用者的使用位置
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

生命週期工作流程系統管理員

將生命週期工作流程系統管理員角色指派給需要執行下列工作的使用者:

  • 在 Microsoft Entra 識別碼中建立和管理與生命週期工作流程相關聯的工作流程和工作的所有層面
  • 檢查排程工作流程的執行
  • 啟動隨選工作流程執行
  • 檢查工作流程執行記錄
動作 描述
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks 在 Microsoft Entra ID 中管理生命週期工作流程和工作的所有層面
microsoft.directory/organization/strongAuthentication/read 讀取組織的強身份驗證屬性

訊息中心隱私權讀取者

擁有此角色的使用者可以監視訊息中心中的所有通知,包括資料隱私權訊息。 訊息中心隱私權讀者會收到電子郵件通知,包括與資料隱私權相關的通知,而且可以使用訊息中心喜好設定取消訂閱。 只有全域管理員和訊息中心隱私權讀取者可以讀取資料隱私權訊息。 此外,此角色也包含檢視群組、網域和訂用帳戶的能力。 此角色沒有檢視、建立或管理服務要求的權限。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在訊息中心讀取 Microsoft 365 系統管理中心的安全性訊息
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

訊息中心讀取者

此角色中的使用者可以在 Exchange、Intune 和 Microsoft Teams 等已設定的服務上 ,監視訊息中心的 通知和諮詢健康情況更新。 訊息中心讀取者會收到每週的電子郵件摘要文章、更新,並可分享 Microsoft 365 中的訊息中心文章。 在 Microsoft Entra ID 中,指派給此角色的使用者只會在 Microsoft Entra 服務上具有唯讀存取權,例如使用者和群組。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Microsoft 365 移轉 管理員 istrator

將 Microsoft 365 移轉 管理員 istrator 角色指派給需要執行下列工作的使用者:

  • 使用 Microsoft 365 系統管理中心 中的移轉管理員來管理從Google Drive、Dropbox、Box和 Egnyte 移轉至 Microsoft 365 的內容,包括Teams、商務用 OneDrive和 SharePoint 網站
  • 選取移轉來源、建立移轉清查(例如Google Drive使用者清單)、排程和執行移轉,以及下載報告
  • 如果目的地網站不存在,請建立新的 SharePoint 網站、在 SharePoint 管理網站底下建立 SharePoint 清單,以及在 SharePoint 清單中建立和更新專案
  • 管理工作的移轉項目設定和移轉生命週期
  • 管理從來源到目的地的許可權對應

注意

此角色不允許您使用 SharePoint 系統管理中心從檔案共用來源移轉。 您可以使用 SharePoint 管理員 istrator 角色,從檔案共用來源移轉。

深入了解

動作 描述
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 移轉的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求

Microsoft Entra Joined Device Local 管理員 istrator

此角色僅適用於在裝置設定以其他本機系統管理員身分指派。 具有此角色的使用者,會在已加入 Microsoft Entra ID 的所有 Windows 10 裝置上,成為本機電腦系統管理員。 它們無法管理 Microsoft Entra ID 中的裝置物件。

動作 描述
microsoft.directory/group 設定/standard/read 讀取群組設定的基本屬性
microsoft.directory/groupSettingTemplates/standard/read 讀取群組設定範本的基本屬性

Microsoft 硬體瑕疵擔保系統管理員

將 Microsoft 硬體瑕疵擔保系統管理員角色指派給需要執行下列工作的使用者:

  • 為 Microsoft 製造的硬體建立新的保固索賠,例如 Surface 和 HoloLens
  • 搜尋和讀取已開啟或已關閉的保固索賠
  • 依序號搜尋和讀取保固索賠
  • 建立、讀取、更新和刪除寄送位址
  • 讀取開放保固索賠的出貨狀態
  • 在 Microsoft 365 系統管理中心 中建立及管理服務要求
  • 閱讀 Microsoft 365 系統管理中心 中的訊息中心公告

瑕疵擔保索賠是要求根據瑕疵擔保條款修復或更換硬體。 如需詳細資訊,請參閱 自助式 Surface 保固和服務要求

動作 描述
microsoft.hardware.support/shippingAddress/allProperties/allTasks 建立、讀取、更新和刪除 Microsoft 硬體保固宣告的寄送位址,包括其他人所建立的寄送位址
microsoft.hardware.support/shippingStatus/allProperties/read 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/allTasks 建立和管理 Microsoft 硬體保固宣告的所有層面
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Microsoft 硬體瑕疵擔保專員

將 Microsoft 硬體瑕疵擔保專員角色指派給需要執行下列工作的使用者:

  • 為 Microsoft 製造的硬體建立新的保固索賠,例如 Surface 和 HoloLens
  • 閱讀他們建立的保固宣告
  • 讀取和更新現有的寄送位址
  • 讀取已建立之公開保固索賠的出貨狀態
  • 在 Microsoft 365 系統管理中心 中建立和管理服務要求

瑕疵擔保索賠是要求根據瑕疵擔保條款修復或更換硬體。 如需詳細資訊,請參閱 自助式 Surface 保固和服務要求

動作 描述
microsoft.hardware.support/shippingAddress/allProperties/read 讀取 Microsoft 硬體保固宣告的寄送位址,包括其他人建立的現有寄送位址
microsoft.hardware.support/warrantyClaims/createAsOwner 建立建立者是擁有者的 Microsoft 硬體保固宣告
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.hardware.support/shippingStatus/allProperties/read 讀取已開啟 Microsoft 硬體保固索賠的出貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/read 閱讀 Microsoft 硬體保固索賠

現代商務 管理員

請勿使用。 此角色會自動從 Commerce 指派,並不適用於或支援任何其他用途。 請參閱下方的詳細數據。

Modern Commerce 管理員 istrator 角色賦予特定使用者存取 Microsoft 365 系統管理中心 的許可權,並查看首頁、帳單和支援左側導覽專案。 這些區域中提供的內容是由 指派給用戶的商務特定角色 所控制,以管理他們為自己或貴組織購買的產品。 這可能包括支付帳單之類的工作,或用於存取計費帳戶和帳單設定檔。

具有 Modern Commerce 管理員 istrator 角色的使用者通常在其他 Microsoft 購買系統中具有系統管理許可權,但沒有用來存取系統管理中心的全域 管理員 istrator 或 Billing 管理員 istrator 角色。

何時指派新式商務 管理員 角色?

  • Microsoft 365 系統管理中心 中的自助式購買 – 自助購買可讓使用者自行購買或註冊新產品,以試用新產品。 這些產品是在系統管理中心管理。 進行自助式購買的使用者會獲指派商務系統中的角色,而Modern Commerce 管理員 istrator 角色,讓他們可以在系統管理中心管理購買。 管理員 可以封鎖自助式購買(適用於 Fabric、Power BI、Power Apps、Power automate)PowerShell。 如需詳細資訊,請參閱 自助式購買常見問題
  • 從 Microsoft 商業市集購買 – 與自助購買類似,當使用者從 Microsoft AppSource 或 Azure Marketplace 購買產品或服務時,如果用戶沒有 Global 管理員 istrator 或 Billing 管理員 istrator 角色,則會指派 Modern Commerce 管理員 istrator 角色。 在某些情況下,使用者可能會遭到封鎖而無法進行這些購買。 如需詳細資訊,請參閱 Microsoft 商業市集
  • Microsoft 的建議 – 提案是 Microsoft 為貴組織購買 Microsoft 產品和服務的正式供應專案。 當接受提案的人員在 Microsoft Entra ID 中沒有 Global 管理員 istrator 或 Billing 管理員 istrator 角色時,系統會指派商務特定角色來完成提案,而 Modern Commerce 管理員 istrator 角色可存取系統管理中心。 當他們存取系統管理中心時,他們只能使用其商務特定角色所授權的功能。
  • 商務特定角色 – 某些用戶獲指派商務特定角色。 如果使用者不是 Global 管理員 istrator 或 Billing 管理員 istrator,他們就會取得 Modern Commerce 管理員 istrator 角色,讓他們可以存取系統管理中心。

如果Modern Commerce 管理員 istrator 角色未指派給使用者,他們將無法存取 Microsoft 365 系統管理中心。 如果他們自行或貴組織管理任何產品,他們將無法管理它們。 這可能包括指派授權、變更付款方式、支付帳單或其他管理訂用帳戶的工作。

動作 描述
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks 管理大量授權服務中心的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/basic/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

網路系統管理員

擁有此角色的使用者可以檢閱來自 Microsoft 的網路周邊架構建議,這些建議是以來自其使用者位置的網路遙測為基礎。 Microsoft 365 的網路效能依賴謹慎的企業客戶網路周邊架構,通常是使用者位置特定的架構。 此角色可讓您編輯這些位置探索到的使用者位置和網路參數設定,以利改善遙測測量和設計建議

動作 描述
microsoft.office365.network/locations/allProperties/allTasks 管理網路位置的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Office 應用程式管理員

擁有此角色的使用者可以管理 Microsoft 365 應用程式的雲端設定。 這包括管理雲端原則、自助式下載管理,以及檢視 Office 應用程式相關報告的能力。 此角色會額外授與管理支援票證的能力,以及監視主要系統管理中心內的服務健康情況。 指派給此角色的使用者也可以管理 Office 應用程式中新功能的通訊。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.messageCenter/messages/read 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.userCommunication/allEntities/allTasks 讀取和更新新功能訊息可見度
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

組織訊息編寫者

將組織訊息編寫者角色指派給需要執行下列工作的使用者:

  • 使用 Microsoft 365 系統管理中心 或 Microsoft Intune 撰寫、發佈及刪除組織訊息
  • 使用 Microsoft 365 系統管理中心 或 Microsoft Intune 管理組織訊息傳遞選項
  • 使用 Microsoft 365 系統管理中心 或 Microsoft Intune 讀取組織訊息傳遞結果
  • 檢視 Microsoft 365 系統管理中心 中的使用量報告和大部分設定,但無法進行變更
動作 描述
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks 管理 Microsoft 365 組織訊息的所有撰寫層面
microsoft.office365.usageReports/allEntities/standard/read 讀取租用戶層級匯總的 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

合作夥伴第 1 層支援

Privileged label icon.

這是 特殊許可權角色。 請勿使用。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。

重要

此角色只能重設密碼,並讓非系統管理員的重新整理令牌失效。 不應該使用此角色,因為它已被取代。

動作 描述
microsoft.directory/applications/appRoles/update 更新所有類型的應用程式上的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
Privileged label icon.
microsoft.directory/applications/notes/update 更新應用程式的注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有應用程式類型的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原至原始狀態
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/groups/create 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/delete 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/members/update 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/groups/owners/update 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/users/assignLicense 管理用戶授權
microsoft.directory/users/create 新增使用者
Privileged label icon.
microsoft.directory/users/delete 刪除使用者
Privileged label icon.
microsoft.directory/users/disable 停用使用者
Privileged label icon.
microsoft.directory/users/enable 啟用使用者
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 藉由使用戶重新整理令牌失效來強制註銷
Privileged label icon.
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 使用者的更新管理員
microsoft.directory/users/password/update 重設所有用戶的密碼
Privileged label icon.
microsoft.directory/users/photo/update 更新使用者相片
microsoft.directory/users/userPrincipalName/update 更新用戶主體用戶名稱
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

合作夥伴第 2 層支援

Privileged label icon.

這是 特殊許可權角色。 請勿使用。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。

重要

此角色可以重設密碼,並讓所有非系統管理員和系統管理員的重新整理令牌失效(包括全域 管理員 管理員)。 不應該使用此角色,因為它已被取代。

動作 描述
microsoft.directory/applications/appRoles/update 更新所有類型的應用程式上的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
Privileged label icon.
microsoft.directory/applications/notes/update 更新應用程式的注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有應用程式類型的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原至原始狀態
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/groups/create 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/delete 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/members/update 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/groups/owners/update 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/organization/basic/update 更新組織的基本屬性
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色定義,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/subscribedSkus/standard/read 讀取訂用帳戶的基本屬性
microsoft.directory/users/assignLicense 管理用戶授權
microsoft.directory/users/create 新增使用者
Privileged label icon.
microsoft.directory/users/delete 刪除使用者
Privileged label icon.
microsoft.directory/users/disable 停用使用者
Privileged label icon.
microsoft.directory/users/enable 啟用使用者
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 藉由使用戶重新整理令牌失效來強制註銷
Privileged label icon.
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 使用者的更新管理員
microsoft.directory/users/password/update 重設所有用戶的密碼
Privileged label icon.
microsoft.directory/users/photo/update 更新使用者相片
microsoft.directory/users/userPrincipalName/update 更新用戶主體用戶名稱
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

密碼管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者管理密碼的能力有限。 此角色不會授與管理服務要求或監視服務健康情況的能力。 密碼 管理員 istrator 是否可以重設使用者的密碼,取決於使用者指派的角色。 如需Password 管理員 istrator 可重設密碼的角色清單,請參閱 神秘 可以重設密碼

具有此角色 的使用者無法 執行下列動作:

動作 描述
microsoft.directory/users/password/update 重設所有用戶的密碼
Privileged label icon.
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

權限管理系統管理員

將權限管理系統管理員角色指派給需要執行下列工作的使用者:

  • 當服務存在時,管理 Microsoft Entra 權限管理 的所有層面

若要深入了解許可權管理角色和原則,請參閱 檢視角色/原則的相關信息。

動作 描述
microsoft.permissionsManagement/allEntities/allProperties/allTasks 管理 Microsoft Entra 權限管理 的所有層面

Power Platform 系統管理員

擁有此角色的使用者可以建立和管理環境、Power Apps、流程、資料外洩防護原則的所有層面。 此外,具有此角色的使用者能夠管理支援票證並監視服務健康情況。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 的所有層面

印表機系統管理員

擁有此角色的使用者可以註冊印表機,並管理 Microsoft 通用列印解決方案中所有印表機設定的所有層面,包括通用列印連接器設定。 他們可以同意所有委派的列印權限要求。 印表機系統管理員也可以存取列印報告。

動作 描述
microsoft.azure.print/allEntities/allProperties/allTasks 建立和刪除印表機和連接器,以及讀取和更新 Microsoft Print 中的所有屬性

印表機技術人員

擁有此角色的使用者可以在 Microsoft 通用列印解決方案中註冊印表機及管理印表機狀態。 他們也可以讀取所有連接器資訊。 印表機技術人員無法執行的主要工作是在印表機和共用印表機上設定用戶權力。

動作 描述
microsoft.azure.print/connectors/allProperties/read 在 Microsoft Print 中讀取連接器的所有屬性
microsoft.azure.print/printers/allProperties/read 讀取 Microsoft Print 中印表機的所有屬性
microsoft.azure.print/printers/register 在 Microsoft Print 中註冊印表機
microsoft.azure.print/printers/unregister 在 Microsoft Print 中取消註冊印表機
microsoft.azure.print/printers/basic/update 更新 Microsoft Print 中印表機的基本屬性

特殊權限驗證管理員

Privileged label icon.

這是 特殊許可權角色。 將 Privileged Authentication 管理員 istrator 角色指派給需要執行下列動作的使用者:

  • 設定或重設任何用戶的驗證方法(包括密碼),包括全域 管理員 istrators。
  • 刪除或還原任何使用者,包括全域 管理員 istrators。 如需詳細資訊,請參閱 神秘 可執行敏感性動作
  • 強制使用者針對現有的非密碼認證重新註冊(例如 MFA 或 FIDO),並在裝置上撤銷記住 MFA,並在所有使用者的下一次登入時提示 MFA。
  • 更新所有使用者的敏感性屬性。 如需詳細資訊,請參閱 神秘 可執行敏感性動作
  • 在 Azure 和 Microsoft 365 系統管理中心 中建立和管理支援票證。

具有此角色 的使用者無法 執行下列動作:

  • 無法在舊版 MFA 管理入口網站中管理每個使用者 MFA。

下表比較驗證相關角色的功能。

角色 管理使用者的驗證方法 管理每位使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則 更新敏感性屬性 刪除和還原使用者
驗證管理員 對某些使用者是 對某些使用者是 No No 對某些使用者是 對某些使用者是
Privileged Authentication 管理員 istrator 適用於所有使用者 適用於所有使用者 適用於所有使用者 適用於所有使用者
驗證原則 管理員 istrator .是 .是 .是 No
使用者管理員 No 對某些使用者是 對某些使用者是

重要

具有此角色的使用者可以變更可能可存取 Microsoft Entra 標識子內外敏感性或私人資訊或重要組態的人員認證。 變更使用者的認證可能表示能夠假設使用者的身分識別和許可權。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理自己擁有的應用程式認證。 這些應用程式在 Microsoft Entra ID 中可能有特殊許可權,而其他地方未授與驗證 管理員 istrators。 透過此路徑,驗證 管理員 istrator 可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證來進一步假設特殊許可權應用程式的身分識別。
  • Azure 訂用帳戶擁有者,可存取 Azure 中的敏感性或私人資訊或重要設定。
  • 安全組和 Microsoft 365 群組擁有者,可管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • 管理員 Microsoft Entra ID 以外的其他服務,例如 Exchange Online、Microsoft 365 Defender 入口網站和 Microsoft Purview 合規性入口網站,以及人力資源系統。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可能有權存取敏感性或私人資訊。
動作 描述
microsoft.directory/users/authenticationMethods/create 更新使用者的驗證方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete 刪除使用者的驗證方法
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/read 讀取使用者驗證方法的標準屬性
Privileged label icon.
microsoft.directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
Privileged label icon.
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/users/delete 刪除使用者
Privileged label icon.
microsoft.directory/users/disable 停用使用者
Privileged label icon.
microsoft.directory/users/enable 啟用使用者
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens 藉由使用戶重新整理令牌失效來強制註銷
Privileged label icon.
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/authorizationInfo/update 更新使用者的多重值憑證用戶標識碼屬性
microsoft.directory/users/manager/update 使用者的更新管理員
microsoft.directory/users/password/update 重設所有用戶的密碼
Privileged label icon.
microsoft.directory/users/userPrincipalName/update 更新用戶主體用戶名稱
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

特殊權限角色管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的用戶可以在 Microsoft Entra 識別碼以及 Microsoft Entra Privileged Identity Management 中管理角色指派。 其可以建立和管理可指派給 Microsoft Entra 角色的群組。 此外,此角色允許管理 Privileged Identity Management 和系統管理單位的所有層面。

重要

此角色能夠管理所有 Microsoft Entra 角色 (包括全域管理員角色) 的指派。 此角色不包含 Microsoft Entra 識別碼中的其他任何特殊許可權功能,例如建立或更新使用者。 不過,指派給此角色的使用者可以藉由指派其他角色來授與自己或其他其他許可權。

動作 描述
microsoft.directory/accessReviews/definitions.applications/allProperties/read 在 Microsoft Entra ID 中讀取應用程式角色指派存取權檢閱的所有屬性
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks 管理 Microsoft Entra 角色指派的存取權檢閱
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update 針對可指派給 Microsoft Entra 角色的群組成員資格,更新存取權檢閱的所有屬性
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create 針對可指派給 Microsoft Entra 角色的群組成員資格建立存取權檢閱
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete 刪除可指派給 Microsoft Entra 角色之群組成員資格的存取權檢閱
microsoft.directory/accessReviews/definitions.groups/allProperties/read 讀取安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,包括可指派角色的群組。
microsoft.directory/administrativeUnits/allProperties/allTasks 建立與管理管理單位(包括成員)
microsoft.directory/authorizationPolicy/allProperties/allTasks 管理授權原則的所有層面
Privileged label icon.
microsoft.directory/directoryRoles/allProperties/allTasks 建立和刪除目錄角色,以及讀取和更新所有屬性
microsoft.directory/groupsAssignableToRoles/create 建立可指派角色的群組
microsoft.directory/groupsAssignableToRoles/delete 刪除可指派角色的群組
microsoft.directory/groupsAssignableToRoles/restore 還原可指派角色的群組
microsoft.directory/groupsAssignableToRoles/allProperties/update 更新可指派角色的群組
microsoft.directory/groupsAssignableToRoles/assignLicense 將授權指派給可指派角色的群組
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment 將授權指派重新處理至可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks 在 Privileged Identity Management 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色定義,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 對任何應用程式授與任何許可權的同意
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.directory/permissionGrantPolicies/create 建立許可權授與原則
microsoft.directory/permissionGrantPolicies/delete 刪除許可權授與原則
microsoft.directory/permissionGrantPolicies/allProperties/read 讀取許可權授與原則的所有屬性
microsoft.directory/permissionGrantPolicies/allProperties/update 更新許可權授與原則的所有屬性

報告讀取者

具有此角色的使用者可以在 Microsoft 365 系統管理中心 中檢視使用量報告數據和報表儀錶板,以及 Fabric 和 Power BI 中的採用內容套件。 此外,角色也可讓您存取 Microsoft Entra ID 中的所有登入記錄、稽核記錄和活動報告,以及 Microsoft Graph 報告 API 所傳回的資料。 指派給報表讀者角色的使用者只能存取相關的使用方式和採用計量。 他們沒有任何系統管理員權限可設定設定或存取 Exchange 等產品特定系統管理中心。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

搜尋系統管理員

擁有此角色的使用者具有 Microsoft 365 系統管理中心內所有 Microsoft 搜尋管理功能的完整存取。 此外,這些使用者可以檢視訊息中心、監視服務健康情況,以及建立服務要求。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息
microsoft.office365.search/content/manage 建立和刪除內容,以及讀取和更新 Microsoft 搜尋 中的所有屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

搜尋編輯者

此角色中的使用者可以在 Microsoft 365 系統管理中心 中建立、管理及刪除 Microsoft 搜尋 的內容,包括書籤、Q&As 和位置。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.search/content/manage 建立和刪除內容,以及讀取和更新 Microsoft 搜尋 中的所有屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

安全性系統管理員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者有權在 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Microsoft Entra Authentication、Azure 資訊保護 和 Microsoft Purview 合規性入口網站 中管理安全性相關功能。 如需 Office 365 許可權的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。

In Can do
Microsoft 365 Defender 入口網站 監視 Microsoft 365 服務的安全性相關原則
管理安全性威脅和警示
檢視報告
身分識別保護 安全性讀取者角色的所有許可權
執行重設密碼以外的所有 Identity Protection 作業
Privileged Identity Management 安全性讀取者角色的所有許可權
無法 管理 Microsoft Entra 角色指派或設定
Microsoft Purview 合規性入口網站 管理安全性原則
檢視、調查及回應安全性威脅
檢視報告
Azure 進階威脅防護 監視和回應可疑的安全性活動
適用於端點的 Microsoft Defender 指派角色
管理電腦群組
設定端點威脅偵測和自動化補救
檢視、調查及回應警示
檢視電腦/裝置清查
Intune 檢視使用者、裝置、註冊、設定和應用程式資訊
無法變更 Intune
適用於雲端應用程式的 Microsoft Defender 新增系統管理員、新增原則和設定、上傳記錄並執行治理動作
Microsoft 365 服務健康情況 檢視 Microsoft 365 服務的健康情況
智能鎖定 定義發生失敗登入事件時鎖定的臨界值和持續時間。
密碼保護 設定自定義禁用密碼清單或內部部署密碼保護。
跨租使用者同步處理 為另一個租使用者中的用戶設定跨租使用者存取設定。 當兩個租用戶都設定為跨租使用者同步處理時,安全性 管理員 istrators 無法直接建立和刪除使用者,但可以間接建立和刪除另一個租使用者同步處理的使用者,這是特殊許可權。
動作 描述
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 元數據和金鑰
Privileged label icon.
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新允許跨租使用者存取原則的雲端端點
microsoft.directory/crossTenantAccessPolicy/basic/update 更新跨租使用者存取原則的基本設定
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 更新預設跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect 連線/update 更新預設跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新預設跨租使用者存取原則的跨雲端Teams會議設定
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 更新預設跨租使用者存取原則的租使用者限制
microsoft.directory/crossTenantAccessPolicy/partners/create 建立合作夥伴的跨租使用者存取原則
microsoft.directory/crossTenantAccessPolicy/partners/delete 刪除合作夥伴的跨租使用者存取原則
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update 更新多租用戶組織的跨租使用者同步原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault 設定 將多租用戶組織的跨租使用者同步原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織跨租使用者同步原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update 更新多租用戶組織的跨租使用者存取原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault 設定 將多租用戶組織的跨租使用者存取原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織跨租使用者存取原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect 連線/update 更新合作夥伴跨租使用者存取原則的 Microsoft Entra B2B 直接連線設定
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作夥伴跨租使用者存取原則的跨雲端Teams會議設定
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 更新合作夥伴跨租使用者存取原則的租使用者限制
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create 建立合作夥伴的跨租使用者同步原則
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update 更新跨租使用者同步處理原則的基本設定
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 讀取跨租使用者同步處理原則的基本屬性
microsoft.directory/deviceLocalCredentials/standard/read 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/domains/federation/update 更新網域的同盟屬性
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/domains/federationConfiguration/basic/update 更新網域的基本同盟設定
microsoft.directory/domains/federationConfiguration/create 建立網域的同盟設定
microsoft.directory/domains/federationConfiguration/delete 刪除網域的同盟設定
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/identityProtection/allProperties/read 讀取 Microsoft Entra ID Protection 中的所有資源
microsoft.directory/identityProtection/allProperties/update 更新 Microsoft Entra ID Protection 中的所有資源
Privileged label icon.
microsoft.directory/multiTenantOrganization/basic/update 更新多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/create 建立多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update 加入多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update 更新參與多租用戶組織之租使用者的基本屬性
microsoft.directory/multiTenantOrganization/tenants/create 在多租用戶組織中建立租使用者
microsoft.directory/multiTenantOrganization/tenants/delete 刪除參與多租用戶組織的租使用者
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶詳細數據
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織之租使用者的基本屬性
microsoft.directory/namedLocations/create 建立定義網路位置的自定義規則
microsoft.directory/namedLocations/delete 刪除定義網路位置的自定義規則
microsoft.directory/namedLocations/standard/read 讀取定義網路位置之自定義規則的基本屬性
microsoft.directory/namedLocations/basic/update 更新定義網路位置之自定義規則的基本屬性
microsoft.directory/policies/create 在 Microsoft Entra 識別碼中建立原則
microsoft.directory/policies/delete 刪除 Microsoft Entra 識別碼中的原則
microsoft.directory/policies/basic/update 更新原則的基本屬性
Privileged label icon.
microsoft.directory/policies/owners/update 更新原則的擁有者
microsoft.directory/policies/tenantDefault/update 更新默認組織原則
microsoft.directory/conditionalAccessPolicies/create 建立條件式存取原則
microsoft.directory/conditionalAccessPolicies/delete 刪除條件式存取原則
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/conditionalAccessPolicies/owners/read 讀取條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的「套用至」屬性
microsoft.directory/conditionalAccessPolicies/basic/update 更新條件式存取原則的基本屬性
microsoft.directory/conditionalAccessPolicies/owners/update 更新條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 更新條件式存取原則的預設租使用者
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容
Privileged label icon.
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 網路存取的所有層面
microsoft.office365.protectionCenter/allEntities/standard/read 讀取安全性與合規性中心內所有資源的標準屬性
microsoft.office365.protectionCenter/allEntities/basic/update 更新安全性與合規性中心內所有資源的基本屬性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊承載
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 閱讀攻擊模擬、回應和相關聯訓練的報告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊模擬範本
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

安全性操作員

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者可以管理警示,並具有安全性相關功能的全域只讀存取權,包括 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Privileged Identity Management 和 Microsoft Purview 合規性入口網站 中的所有資訊。 如需 Office 365 許可權的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。

In Can do
Microsoft 365 Defender 入口網站 安全性讀取者角色的所有許可權
檢視、調查及回應安全性威脅警示
在 Microsoft 365 Defender 入口網站中管理安全性設定
身分識別保護 安全性讀取者角色的所有許可權
執行所有 Identity Protection 作業,但設定或變更風險型原則、重設密碼,以及設定警示電子郵件除外。
Privileged Identity Management 安全性讀取者角色的所有許可權
Microsoft Purview 合規性入口網站 安全性讀取者角色的所有許可權
檢視、調查及回應安全性警示
適用於端點的 Microsoft Defender 安全性讀取者角色的所有許可權
檢視、調查及回應安全性警示
當您在 適用於端點的 Microsoft Defender 中開啟角色型訪問控制時,具有安全性讀取者角色等只讀許可權的使用者會失去存取權,直到他們獲指派 適用於端點的 Microsoft Defender 角色為止。
Intune 安全性讀取者角色的所有許可權
適用於雲端應用程式的 Microsoft Defender 安全性讀取者角色的所有許可權
檢視、調查及回應安全性警示
Microsoft 365 服務健康情況 檢視 Microsoft 365 服務的健康情況
動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/cloudAppSecurity/allProperties/allTasks 在 適用於雲端的 Microsoft Defender Apps 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.directory/identityProtection/allProperties/allTasks 在 Microsoft Entra ID Protection 中建立和刪除所有資源,以及讀取和更新標準屬性
Privileged label icon.
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.azure.advancedThreatProtection/allEntities/allTasks 管理 Azure 進階威脅防護的所有層面
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.intune/allEntities/read 讀取 Microsoft Intune 中的所有資源
microsoft.office365.securityComplianceCenter/allEntities/allTasks 在 Office 365 安全性與合規性中心建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 管理 適用於端點的 Microsoft Defender 的所有層面

安全性讀取者

Privileged label icon.

這是 特殊許可權角色。 具有此角色的使用者具有安全性相關功能的全域只讀存取權,包括 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Privileged Identity Management 中的所有資訊,以及讀取 Microsoft Entra 登入報告和稽核記錄,以及 Microsoft Purview 合規性入口網站。 如需 Office 365 許可權的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組。

In Can do
Microsoft 365 Defender 入口網站 檢視跨 Microsoft 365 服務的安全性相關原則
檢視安全性威脅和警示
檢視報告
身分識別保護 查看所有 Identity Protection 報告和概觀
Privileged Identity Management 具有 Microsoft Entra Privileged Identity Management 中顯示之所有資訊的唯讀存取權:Microsoft Entra 角色指派和安全性檢閱的原則與報告。
無法 註冊 Microsoft Entra Privileged Identity Management 或進行任何變更。 在 Privileged Identity Management 入口網站或透過 PowerShell,如果使用者符合資格,可以啟動其他角色(例如全域 管理員 istrator 或 Privileged Role 管理員 istrator)。
Microsoft Purview 合規性入口網站 檢視安全策略
檢視及調查安全性威脅
檢視報告
適用於端點的 Microsoft Defender 檢視和調查警示
當您在 適用於端點的 Microsoft Defender 中開啟角色型訪問控制時,具有唯讀許可權的使用者,例如安全性讀取者角色會失去存取權,直到他們獲指派 適用於端點的 Microsoft Defender 角色為止。
Intune 檢視使用者、裝置、註冊、設定和應用程式資訊。 無法變更 Intune。
適用於雲端應用程式的 Microsoft Defender 具有讀取許可權。
Microsoft 365 服務健康情況 檢視 Microsoft 365 服務的健康情況
動作 描述
microsoft.directory/accessReviews/definitions/allProperties/read 讀取 Microsoft Entra 識別碼中所有可檢閱資源之存取權檢閱的所有屬性
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自定義安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 元數據和金鑰
Privileged label icon.
microsoft.directory/deviceLocalCredentials/standard/read 讀取已加入 Microsoft Entra 之裝置之已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/identityProtection/allProperties/read 讀取 Microsoft Entra ID Protection 中的所有資源
microsoft.directory/namedLocations/standard/read 讀取定義網路位置之自定義規則的基本屬性
microsoft.directory/policies/standard/read 讀取原則的基本屬性
microsoft.directory/policies/owners/read 讀取原則的擁有者
microsoft.directory/policies/policyAppliedTo/read 讀取 policies.policyAppliedTo 屬性
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/conditionalAccessPolicies/owners/read 讀取條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的「套用至」屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織跨租使用者同步原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織跨租使用者存取原則範本的基本屬性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶詳細數據
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織之租使用者的基本屬性
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取布建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報表上的所有屬性,包括特殊許可權屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.networkAccess/allEntities/allProperties/read 閱讀 Microsoft Entra Network Access 的所有層面
microsoft.office365.protectionCenter/allEntities/standard/read 讀取安全性與合規性中心內所有資源的標準屬性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read 讀取攻擊模擬器中攻擊承載的所有屬性
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 閱讀攻擊模擬、回應和相關聯訓練的報告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read 讀取攻擊模擬器中攻擊模擬範本的所有屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

服務支援管理員

具有此角色的使用者可以使用 Microsoft for Azure 和 Microsoft 365 服務建立和管理支援要求,並在 Azure 入口網站 和 Microsoft 365 系統管理中心檢視服務儀錶板和訊息中心。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色

注意

此角色先前在 Azure 入口網站Microsoft 365 系統管理中心 中命名為 Service 管理員 istrator。 它已重新命名為服務支援 管理員 istrator,以配合 Microsoft Graph API 和 Azure AD PowerShell 中的現有名稱。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Sharepoint 系統管理員

當服務存在時,具有此角色的使用者在 Microsoft Office SharePoint Online 內具有全域許可權,以及建立和管理所有 Microsoft 365 群組、管理支援票證及監視服務健康情況的能力。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 SharePoint Service 管理員 istrator。 在 Azure 入口網站 中,它名為 SharePoint 管理員 istrator。

注意

此角色也會授與 Microsoft Intune 的 Microsoft Graph API 範圍許可權,允許管理和設定與 SharePoint 和 OneDrive 資源相關的原則。

動作 描述
microsoft.directory/groups/hiddenMembers/read 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包括可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 移轉的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

商務用 Skype 系統管理員

當服務存在時,具有此角色的使用者在 Microsoft 商務用 Skype 內具有全域許可權,以及管理 Microsoft Entra ID 中的 Skype 特定用戶屬性。 此外,此角色可授與管理支援票證及監視服務健康情況的能力,以及存取 Teams 和商務用 Skype 系統管理中心。 帳戶也必須獲得 Teams 的授權,否則無法執行 Teams PowerShell Cmdlet。 如需詳細資訊,請參閱 商務用 Skype 附加元件授權 商務用 Skype Online 管理員 和 Teams 授權資訊

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色名為 Lync Service 管理員 istrator。 在 Azure 入口網站 中,它會命名為 商務用 Skype 管理員 istrator。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Teams 系統管理員

此角色中的使用者可以透過 Microsoft Teams 和 商務用 Skype 系統管理中心和個別的 PowerShell 模組來管理 Microsoft Teams 工作負載的所有層面。 這包括與電話語音、傳訊、會議和小組本身相關的所有管理工具。 此角色會額外授與建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況的能力。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/groups/hiddenMembers/read 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包括可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.teams/allEntities/allProperties/allTasks 管理 Teams 中的所有資源
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新允許跨租使用者存取原則的雲端端點
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新預設跨租使用者存取原則的跨雲端Teams會議設定
microsoft.directory/crossTenantAccessPolicy/partners/create 建立合作夥伴的跨租使用者存取原則
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租使用者存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作夥伴跨租使用者存取原則的跨雲端Teams會議設定
microsoft.directory/pendingExternalUserProfiles/create 在 Teams 的擴充目錄中建立外部使用者配置檔
microsoft.directory/pendingExternalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性
microsoft.directory/pendingExternalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性
microsoft.directory/pendingExternalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者配置檔
microsoft.directory/externalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者配置檔的標準屬性
microsoft.directory/externalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者配置檔的基本屬性
microsoft.directory/externalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者配置檔
microsoft.directory/permissionGrantPolicies/standard/read 讀取許可權授與原則的標準屬性

Teams 通訊系統管理員

此角色中的使用者可以管理與語音和電話語音相關的 Microsoft Teams 工作負載層面。 這包括電話號碼指派、語音和會議原則的管理工具,以及通話分析工具組的完整存取。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.teams/callQuality/allProperties/read 讀取通話品質儀表板中的所有資料 (CQD)
microsoft.teams/meetings/allProperties/allTasks 管理會議,包括會議原則、設定和會議網橋
microsoft.teams/voice/allProperties/allTasks 管理語音,包括通話原則和電話號碼清查和指派

Microsoft Teams 通訊支援工程師

此角色中的使用者可以使用 Microsoft Teams 和 商務用 Skype 系統管理中心中的使用者通話疑難解答工具,對 Microsoft Teams 和 商務用 Skype 內的通訊問題進行疑難解答。 擁有此角色的使用者可以檢視所有相關參與者的完整通話記錄資訊。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 商務用 Skype Online 的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.teams/callQuality/allProperties/read 讀取通話品質儀表板中的所有資料 (CQD)

Teams 通訊支援專家

此角色中的使用者可以使用 Microsoft Teams 和 商務用 Skype 系統管理中心中的使用者通話疑難解答工具,對 Microsoft Teams 和 商務用 Skype 內的通訊問題進行疑難解答。 此角色中的使用者只能在呼叫中檢視他們查閱的特定使用者的使用者詳細數據。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理 商務用 Skype Online 的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.teams/callQuality/standard/read 讀取通話品質儀錶板中的基本資料 (CQD)

Teams 裝置系統管理員

具有此角色的使用者可以從 Teams 系統管理中心管理 Teams 認證的裝置 。 此角色可讓您一目了然地檢視所有裝置,並能夠搜尋及篩選裝置。 使用者可以檢查每個裝置的詳細資料,包括登入帳戶、裝置的品牌和型號。 使用者可以變更裝置上的設定,以及更新軟體版本。 此角色不會授與許可權來檢查 Teams 活動和呼叫裝置品質。

動作 描述
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.teams/devices/standard/read 管理 Teams 認證裝置的所有層面,包括設定原則

租用戶建立者

將租用戶建立者角色指派給需要執行下列工作的使用者:

  • 即使在用戶設定中關閉租使用者建立切換,也請建立 Microsoft Entra 和 Azure Active Directory B2C 租使用者

注意

租使用者建立者將會在他們建立的新租用戶上獲指派全域管理員角色。

動作 描述
microsoft.directory/tenantManagement/tenants/create 在 Microsoft Entra 識別碼中建立新的租使用者

使用狀況摘要報告閱讀程式

將使用量摘要報告讀者角色指派給需要在 Microsoft 365 系統管理中心 中執行下列工作的使用者:

  • 檢視使用量報告和採用分數
  • 讀取組織深入解析,但不閱讀使用者的個人識別資訊 (PII)

此角色只允許用戶檢視組織層級的數據,但有下列例外狀況:

  • 成員使用者可以檢視使用者管理數據和設定。
  • 指派此角色的來賓用戶無法檢視使用者管理數據和設定。
動作 描述
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.usageReports/allEntities/standard/read 讀取租用戶層級匯總的 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

使用者管理員

Privileged label icon.

這是 特殊許可權角色。 將使用者 管理員 istrator 角色指派給需要執行下列動作的使用者:

權限 其他相關資訊
建立使用者
更新所有使用者的大部分用戶屬性,包括所有系統管理員 神秘 可以執行敏感性動作
更新某些使用者的敏感性屬性(包括使用者主體名稱) 神秘 可執行敏感性動作
停用或啟用某些使用者 神秘 可以執行敏感性動作
刪除或還原某些使用者 神秘 可以執行敏感性動作
建立和管理用戶檢視
建立和管理所有群組
指派和讀取所有用戶的授權,包括所有系統管理員
重設密碼 神秘 可以重設密碼
使重新整理令牌失效 神秘 可以重設密碼
更新 (FIDO) 裝置金鑰
更新密碼到期原則
在 Azure 和 Microsoft 365 系統管理中心 中建立和管理支援票證
監視服務健康情況

具有此角色 的使用者無法 執行下列動作:

  • 無法管理 MFA。
  • 無法為可指派角色群組的成員和擁有者變更認證或重設 MFA。
  • 無法管理共用信箱。

重要

具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要組態的人員變更密碼。 變更使用者的密碼可能表示能夠採用使用者的身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理自己擁有的應用程式認證。 這些應用程式在 Microsoft Entra ID 和其他位置可能具有未授與使用者系統管理員的特殊權限。 透過此路徑,使用者 管理員 istrator 或許可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證來進一步假設特殊許可權應用程式的身分識別。
  • Azure 訂用帳戶擁有者,可存取 Azure 中的敏感性或私人資訊或重要設定。
  • 安全組和 Microsoft 365 群組擁有者,可管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • 在 Microsoft Entra 識別符以外的其他服務中,管理員 istrators,例如 Exchange Online、Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站 和人力資源系統。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可能有權存取敏感性或私人資訊。
動作 描述
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks 在 Microsoft Entra ID 中管理應用程式角色指派的存取權檢閱
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read 閱讀 Microsoft Entra 角色指派的所有存取權檢閱屬性
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 管理權利管理中存取套件指派的存取權檢閱
microsoft.directory/accessReviews/definitions.groups/allProperties/update 更新安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,但不包括可指派角色的群組。
microsoft.directory/accessReviews/definitions.groups/create 建立安全性與 Microsoft 365 群組中成員資格的存取權檢閱。
microsoft.directory/accessReviews/definitions.groups/delete 刪除安全性與 Microsoft 365 群組中成員資格的存取權檢閱。
microsoft.directory/accessReviews/definitions.groups/allProperties/read 讀取安全性與 Microsoft 365 群組中成員資格的所有存取權檢閱屬性,包括可指派角色的群組。
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原至原始狀態
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/entitlementManagement/allProperties/allTasks 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/groups/assignLicense 將產品授權指派給群組以進行群組型授權
microsoft.directory/groups/create 建立安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/delete 刪除安全組和 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups/hiddenMembers/read 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft.directory/groups/reprocessLicenseAssignment 重新處理群組型授權的授權指派
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/basic/update 更新安全組和 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組
microsoft.directory/groups/classification/update 更新安全組和 Microsoft 365 群組上的分類屬性,但不包括可指派角色的群組
microsoft.directory/groups/dynamicMembershipRule/update 更新安全組和 Microsoft 365 群組的動態成員資格規則,但不包括可指派角色的群組
microsoft.directory/groups/groupType/update 更新會影響安全組和 Microsoft 365 群組群組類型的屬性,但不包括可指派角色的群組
microsoft.directory/groups/members/update 更新安全組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra 連線 更新要寫回內部部署的 Microsoft Entra 群組
microsoft.directory/groups/owners/update 更新安全組和 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft.directory/groups/visibility/update 更新安全組和 Microsoft 365 群組的可見性屬性,但不包括可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
Privileged label icon.
microsoft.directory/policies/standard/read 讀取原則的基本屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/users/assignLicense 管理用戶授權
microsoft.directory/users/create 新增使用者
Privileged label icon.
microsoft.directory/users/convertExternalToInternalMemberUser 將外部使用者轉換為內部使用者
microsoft.directory/users/delete 刪除使用者
Privileged label icon.
microsoft.directory/users/disable 停用使用者
Privileged label icon.
microsoft.directory/users/enable 啟用使用者
Privileged label icon.
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft.directory/users/invalidateAllRefreshTokens 藉由使用戶重新整理令牌失效來強制註銷
Privileged label icon.
microsoft.directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 使用者的更新管理員
microsoft.directory/users/password/update 重設所有用戶的密碼
Privileged label icon.
microsoft.directory/users/photo/update 更新使用者相片
microsoft.directory/users/sponsors/update 更新用戶的贊助者
microsoft.directory/users/usageLocation/update 更新使用者的使用位置
microsoft.directory/users/userPrincipalName/update 更新用戶主體用戶名稱
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks 讀取和設定 Azure 服務健康情況
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Virtual Visits 系統管理員

具有此角色的使用者可以執行以下工作:

  • 在 Microsoft 365 系統管理中心 和 Teams EHR 連接器的 Bookings 中管理及設定 Virtual Visits 的所有層面
  • 在 Teams 系統管理中心、Microsoft 365 系統管理中心、網狀架構和 Power BI 中檢視虛擬流覽的使用報告
  • 在 Microsoft 365 系統管理中心 中檢視功能和設定,但無法編輯任何設定

虛擬流覽是為員工和出席者排程和管理在線和視訊約會的簡單方式。 例如,使用量報告可以示範如何在約會之前傳送簡訊,以減少未顯示約會的人員數目。

動作 描述
microsoft.virtualVisits/allEntities/allProperties/allTasks 從系統管理中心或虛擬造訪應用程式管理及共用虛擬造訪資訊與計量
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Viva Goals 管理員 istrator

將 Viva Goals 管理員 istrator 角色指派給需要執行下列工作的使用者:

  • 管理及設定 Microsoft Viva Goals 應用程式的所有層面
  • 設定 Microsoft Viva Goals 系統管理員設定
  • 讀取 Microsoft Entra 租用戶資訊
  • 監視 Microsoft 365 服務健康情況
  • 建立和管理 Microsoft 365 服務要求

如需詳細資訊,請參閱 Viva 目標 中的角色和許可權和 Microsoft Viva 目標簡介。

動作 描述
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.viva.goals/allEntities/allProperties/allTasks 管理 Microsoft Viva 目標的所有層面

Viva Pulse 管理員 istrator

將 Viva Pulse 管理員 istrator 角色指派給需要執行下列工作的使用者:

  • 讀取和設定 Viva Pulse 的所有設定
  • 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
  • 讀取和設定 Azure 服務健康情況
  • 建立和管理 Azure 支援 票證
  • 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
  • 讀取 Microsoft 365 系統管理中心 中的使用量報告

如需詳細資訊,請參閱在 Microsoft 365 系統管理中心 中指派Viva Pulse系統管理員。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心 訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.viva.pulse/allEntities/allProperties/allTasks 管理 Microsoft Viva Pulse 的所有層面

Windows 365 系統管理員

具備此角色的使用者具有 Windows 365 資源 (如其存在) 的全域權限。 此外,此角色也包含管理用戶和裝置以建立和管理群組的能力。

此角色可以建立和管理安全組,但對 Microsoft 365 群組沒有系統管理員許可權。 這表示系統管理員無法更新組織中 Microsoft 365 群組的擁有者或成員資格。 不過,他們可以管理其建立的 Microsoft 365 群組,這是其使用者權限的一部分。 因此,他們建立的任何 Microsoft 365 群組(而非安全性群組)都會計入其 250 的配額。

將 Windows 365 系統管理員角色指派給需要執行下列工作的使用者:

  • 在 Microsoft Intune 中管理 Windows 365 雲端電腦
  • 在 Microsoft Entra 識別符中註冊和管理裝置,包括指派用戶和原則
  • 建立和管理安全組,但不是可角色指派的群組
  • 在 Microsoft 365 系統管理中心 中檢視基本屬性
  • 讀取 Microsoft 365 系統管理中心 中的使用量報告
  • 在 Azure 和 Microsoft 365 系統管理中心 中建立和管理支援票證
動作 描述
microsoft.directory/deletedItems.devices/delete 永久刪除無法再還原的裝置
microsoft.directory/deletedItems.devices/restore 將虛刪除的裝置還原為原始狀態
microsoft.directory/devices/create 建立裝置(註冊 Microsoft Entra ID)
microsoft.directory/devices/delete 從 Microsoft Entra 識別碼刪除裝置
microsoft.directory/devices/disable 停用 Microsoft Entra 識別碼中的裝置
microsoft.directory/devices/enable 在 Microsoft Entra 識別碼中啟用裝置
microsoft.directory/devices/basic/update 更新裝置上的基本屬性
microsoft.directory/devices/extensionAttributeSet1/update 將 extensionAttribute1 更新為裝置上的 extensionAttribute5 屬性
microsoft.directory/devices/extensionAttributeSet2/update 將 extensionAttribute6 更新為裝置上的 extensionAttribute10 屬性
microsoft.directory/devices/extensionAttributeSet3/update 將 extensionAttribute11 更新為裝置上的 extensionAttribute15 屬性
microsoft.directory/devices/registeredOwners/update 更新已註冊的裝置擁有者
microsoft.directory/devices/registeredUsers/update 更新裝置的已註冊使用者
microsoft.directory/groups.security/create 建立安全組,不包括可指派角色的群組
microsoft.directory/groups.security/delete 刪除安全組,不包括可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全組的基本屬性,不包括可指派角色的群組
microsoft.directory/groups.security/classification/update 更新安全組上的分類屬性,但不包括可指派角色的群組
microsoft.directory/groups.security/dynamicMembershipRule/update 更新安全組的動態成員資格規則,但不包括可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全組的成員,不包括可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全組的擁有者,不包括可指派角色的群組
microsoft.directory/groups.security/visibility/update 更新安全組上的可見度屬性,但不包括可指派角色的群組
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.azure.supportTickets/allEntities/allTasks 建立和管理 Azure 支援 票證
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性

Windows Update 部署系統管理員

擁有此角色的使用者可透過商務用 Windows Update 部署服務,建立及管理 Windows Update 部署的所有層面。 部署服務可讓使用者定義何時及如何部署更新的設定,以及指定哪些更新提供給其租用戶中的裝置群組。 它也允許使用者監視更新進度。

動作 描述
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks 讀取和設定 Windows Update 服務的所有層面

Yammer 系統管理員

將 Yammer 系統管理員角色指派給需要執行下列工作的使用者:

  • 管理 Yammer 的所有層面
  • 建立、管理及還原 Microsoft 365 群組,但無法建立、管理及還原可指派角色的群組
  • 檢視安全組和 Microsoft 365 群組的隱藏成員,包括角色可指派的群組
  • 讀取 Microsoft 365 系統管理中心 中的使用量報告
  • 在 Microsoft 365 系統管理中心 中建立和管理服務要求
  • 在訊息中心檢視公告,但不檢視安全性公告
  • 檢視服務健康狀態

深入了解

動作 描述
microsoft.directory/groups/hiddenMembers/read 讀取安全組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包括可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括可指派角色的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,但不包括可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包括可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包括可指派角色的群組
microsoft.office365.messageCenter/messages/read 讀取訊息中心 Microsoft 365 系統管理中心 中的訊息,但不包括安全性訊息
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心 中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 讀取和設定 Microsoft 365 系統管理中心 中的服務健康情況
microsoft.office365.supportTickets/allEntities/allTasks 建立和管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 閱讀 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心 中所有資源的基本屬性
microsoft.office365.yammer/allEntities/allProperties/allTasks 管理 Yammer 的所有層面

已淘汰的角色

不應該使用下列角色。 它們已被取代,未來將會從 Microsoft Entra ID 中移除。

  • AdHoc 授權 管理員 istrator
  • 裝置加入
  • 裝置管理員
  • 裝置使用者
  • 電子郵件已驗證的使用者建立者
  • Mailbox 管理員 istrator
  • 工作場所裝置加入

入口網站中未顯示的角色

PowerShell 或 MS Graph API 所傳回的每個角色都看不到 Azure 入口網站。 下表會組織這些差異。

API 名稱 Azure 入口網站名稱 備註
裝置加入 已取代 已被取代的角色檔
裝置管理員 已取代 已被取代的角色檔
裝置使用者 已取代 已被取代的角色檔
目錄同步處理帳戶 未顯示,因為它不應該使用 目錄同步處理帳戶檔
來賓使用者 未顯示,因為它無法使用 NA
合作夥伴第1層支援 未顯示,因為它不應該使用 合作夥伴第1層支援檔
合作夥伴第 2 層支援 未顯示,因為它不應該使用 合作夥伴第 2 層支援檔
受限制的來賓使用者 未顯示,因為它無法使用 NA
User 未顯示,因為它無法使用 NA
工作場所裝置加入 已取代 已被取代的角色檔

下一步