Microsoft Entra 内置角色
在 Microsoft Entra ID 中,如果其他管理员或非管理员需要管理 Microsoft Entra 资源,则可以为其分配提供所需权限的 Microsoft Entra 角色。 例如,可分配允许添加或更改用户、重置用户密码、管理用户许可证或管理域名的角色。
本文列出了可以分配以允许管理 Microsoft Entra 资源的 Microsoft Entra 内置角色。 有关如何分配角色的信息,请参阅将 Microsoft Entra 角色分配给用户。 如果正在查找用于管理 Azure 资源的角色,请参阅 Azure 内置角色。
所有角色
角色 | 说明 | 模板 ID |
---|---|---|
应用程序管理员 | 可以创建和管理应用注册和企业应用的所有方面。 |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
应用程序开发人员 | 可以创建独立于“用户可注册应用程序”设置的应用程序注册。 |
cf1c38e5-3621-4004-a7cb-879624dced7c |
攻击有效负载作者 | 可以创建管理员可于之后启动的攻击有效负载。 | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
攻击模拟管理员 | 可以创建和管理攻击模拟活动的各个方面。 | c430b396-e693-46cc-96f3-db01bf8bb62a |
属性分配管理员 | 将自定义安全属性键和值分配给受支持的 Microsoft Entra 对象。 | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
属性分配读取者 | 读取受支持的 Microsoft Entra 对象的自定义安全属性键和值。 | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
属性定义管理员 | 定义和管理自定义安全属性的定义。 | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
属性定义读取者 | 读取自定义安全属性的定义。 | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
属性日志管理员 | 读取审核日志并为与自定义安全属性相关的事件配置诊断设置。 | 5b784334-f94b-471a-a387-e7219fc49ca2 |
属性日志读取器 | 读取与自定义安全属性相关的审核日志。 | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
身份验证管理员 | 可访问并查看、设置和重置任何非管理员用户的身份验证方法信息。 |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
身份验证扩展性管理员 | 通过创建和管理自定义身份验证扩展来自定义用户的登录和注册体验。 |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
身份验证策略管理员 | 可以创建和管理身份验证方法策略、租户范围的 MFA 设置、密码保护策略和可验证凭据。 | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Azure DevOps 管理员 | 可以管理 Azure DevOps 策略和设置。 | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Azure 信息保护管理员 | 可以管理 Azure 信息保护产品的所有方面。 | 7495fdc4-34c4-4d15-a289-98788ce399fd |
B2C IEF 密钥集管理员 | 可以在 Identity Experience Framework (IEF) 中管理联合机密和加密机密。 |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
B2C IEF 策略管理员 | 可以在 Identity Experience Framework (IEF) 中创建和管理信任框架策略。 | 3edaf663-341e-4475-9f94-5c398ef6c070 |
计费管理员 | 可以执行与常见计费相关的任务,例如更新付款信息。 | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Cloud App Security 管理员 | 可管理 Defender for Cloud 应用产品的所有方面。 | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
云应用程序管理员 | 可以创建和管理应用注册和企业应用的所有方面,应用代理除外。 |
158c047a-c907-4556-b7ef-446551a6b5f7 |
云设备管理员 | 在 Microsoft Entra ID 中管理设备的受限访问权限。 |
7698a772-787b-4ac8-901f-60d6b08affd2 |
合规性管理员 | 可以读取和管理 Microsoft Entra ID 和 Microsoft 365 中的合规性配置和报告。 | 17315797-102d-40b4-93e0-432062caca18 |
合规性数据管理员 | 创建和管理合规性内容。 | e6d1a23a-da11-4be4-9570-befc86d067a7 |
条件访问管理员 | 可以管理条件访问功能。 |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
客户密码箱访问审批者 | 可以批准 Microsoft 支持人员访问客户组织数据的请求。 | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
桌面分析管理员 | 可访问和管理桌面管理工具和服务。 | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
目录读取者 | 可以读取基本目录信息。 通常用于授予对应用程序和来宾的目录读取权限。 | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
目录同步帐户 | 仅由 Microsoft Entra Connect 服务使用。 | d29b2b05-8046-44ba-8758-1e26182fcf32 |
目录写入者 | 可以读取和写入基本目录信息。 用于授予对应用程序的访问权限,不针对用户。 |
9360feb5-f418-4baa-8175-e2a00bac4301 |
域名管理员 | 可以管理云中和本地的域名。 |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Dynamics 365 管理员 | 可以管理 Dynamics 365 产品的所有方面。 | 44367163-eba1-44c3-98af-f5787879f96a |
Dynamics 365 Business Central Administrator | 在 Dynamics 365 Business Central 环境中访问和执行所有管理任务。 | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Edge 管理员 | 管理 Microsoft Edge 的所有方面。 | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Exchange 管理员 | 可以管理 Exchange 产品的所有方面。 | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Exchange 收件人管理员 | 可以在 Exchange Online 组织中创建或更新 Exchange Online 收件人。 | 31392ffb-586c-42d1-9346-e59415a2cc4e |
外部 ID 用户流管理员 | 可以创建和管理用户流的各个方面。 | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
外部 ID 用户流属性管理员 | 可以创建和管理对所有用户流可用的属性架构。 | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
外部标识提供者管理员 | 可以配置用于直接联合的标识提供者。 |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Fabric 管理员 | 可以管理 Fabric 和 Power BI 产品的所有方面。 | a9ea8996-122f-4c74-9520-8edcd192826c |
全局管理员 | 可以管理使用 Microsoft Entra 标识的 Microsoft Entra ID 和 Microsoft 服务的方方面面。 |
62e90394-69f5-4237-9190-012177145e10 |
全局读取者 | 可以读取全局管理员可以读取的所有内容,但不能更新任何内容。 |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
全局安全访问管理员 | 创建和管理 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问的所有方面,包括管理对公共和专用终结点的访问。 | ac434307-12b9-4fa1-a708-88bf58caabc1 |
组管理员 | 此角色的成员可以创建/管理组、创建/管理组设置(如命名和过期策略)以及查看组活动和审核报告。 | fdd7a751-b60b-444a-984c-02652fe8fa1c |
来宾邀请者 | 可以无视“成员可邀请来宾”设置而邀请来宾用户。 | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
支持管理员 | 可以重置非管理员和支持理员的密码。 |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
混合标识管理员 | 管理 Active Directory 到 Microsoft Entra 云预配、Microsoft Entra Connect、直通身份验证 (PTA)、密码哈希同步 (PHS)、无缝单一登录(无缝 SSO)和联合设置。 无权管理 Microsoft Entra Connect Health。 |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Identity Governance 管理员 | 在标识治理方案中使用 Microsoft Entra ID 管理访问权限。 | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Insights 管理员 | 在 Microsoft 365 Insights 应用中具有管理访问权限。 | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
Insights 分析师 | 访问 Microsoft Viva Insights 中的分析功能并运行自定义查询。 | 25df335f-86eb-4119-b717-0ff02de207e9 |
Insights 业务主管 | 可通过 Microsoft 365 Insights 应用来查看和共享仪表板和见解。 | 31e939ad-9672-4796-9c2e-873181342d2d |
Intune 管理员 | 可以管理 Intune 产品的所有方面。 |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Kaizala 管理员 | 可以管理 Microsoft Kaizala 的设置。 | 74ef975b-6605-40af-a5d2-b9539d836353 |
知识管理员 | 可配置知识、学习和其他智能功能。 | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
知识经理 | 可以组织、创建、管理和提升主题与知识。 | 744ec460-397e-42ad-a462-8b3f9747a02c |
许可证管理员 | 可以管理用户和组的产品许可证。 | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
生命周期工作流管理员 | 在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的所有方面。 |
59d46f88-662b-457b-bceb-5c3809e5908f |
消息中心隐私读取者 | 只能在 Office 365 消息中心读取安全消息和更新。 | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
消息中心读取者 | 只能在 Office 365 消息中心查看其组织的消息和更新。 | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
Microsoft 365 迁移管理员 | 执行所有迁移功能,使用迁移管理器将内容迁移到 Microsoft 365。 | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Microsoft Entra 联接设备本地管理员 | 分配到此角色的用户将添加到已加入 Microsoft Entra 的设备上的本地管理员组。 | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Microsoft 硬件保修管理员 | 创建和管理 Microsoft 制造硬件(如 Surface 和 HoloLens)各个方面的保修索赔和权利。 | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Microsoft 硬件保修专家 | 创建和阅读 Microsoft 制造硬件(如 Surface 和 HoloLens)的保修索赔。 | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
现代商务管理员 | 可以管理公司、部门或团队的商用购买内容。 | d24aef57-1500-4070-84db-2666f29cf966 |
网络管理员 | 可以管理网络位置,并审阅有关 Microsoft 365 软件即服务应用程序的企业网络设计见解。 | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Office 应用管理员 | 可以管理 Office 应用云服务(包括策略和设置管理),并管理选择、取消选择和向最终用户的设备发布“新增功能”功能内容的权限。 | 2b745bdf-0803-4d80-aa65-822c4493daac |
组织品牌打造管理员 | 管理租户中组织品牌打造的各个方面。 | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
组织消息审批者 | 在向用户发送要传递的新组织消息之前,请在 Microsoft 365 管理中心中审阅、批准或拒绝这些消息。 | e48398e2-f4bb-4074-8f31-4586725e205b |
组织消息编写者 | 编写、发布、管理和查看 Microsoft 产品 Surface 最终用户的组织消息。 | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
合作伙伴一线支持人员 | 不要使用 - 不适用于常规用途。 |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
合作伙伴二线支持人员 | 不要使用 - 不适用于常规用途。 |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
密码管理员 | 可以为非管理员和密码管理员重置密码。 |
966707d0-3269-4727-9be2-8c3a10f19b9d |
权限管理管理员 | 管理 Microsoft Entra 权限管理的各个方面。 | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Power Platform 管理员 | 可以创建和管理 Microsoft Dynamics 365、Power Apps 和 Power Automate 的所有方面。 | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
打印机管理员 | 可以管理打印机和打印机连接器的所有方面。 | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
打印机技术人员 | 可以注册和取消注册打印机,并更新打印机状态。 | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
特权身份验证管理员 | 可有权查看、设置和重置任何用户(管理员或非管理员)的身份验证方法信息。 |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
特权角色管理员 | 可管理 Microsoft Entra ID 中的角色分配和 Privileged Identity Management 的所有方面。 |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
报告读取者 | 可以读取登录和审核报告。 | 4a5d8f65-41da-4de4-8968-e035b65339cf |
搜索管理员 | 可以创建和管理 Microsoft 搜索设置的所有方面。 | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
搜索编辑员 | 可以创建和管理书签、问答、位置、平面布置图等编辑内容。 | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
安全管理员 | 可读取安全信息和报告,以及管理 Microsoft Entra ID 和 Office 365 中的配置。 |
194ae4cb-b126-40b2-bd5b-6091b380977d |
安全操作员 | 创建和管理安全事件。 |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
安全读取者 | 可以读取 Microsoft Entra ID 和 Office 365 中的安全信息和报告。 |
5d6b6bb7-de71-4623-b4af-96380a352509 |
服务支持管理员 | 可以读取服务运行状况信息和管理支持票证。 | f023fd81-a637-4b56-95fd-791ac0226033 |
SharePoint 管理员 | 可以管理 SharePoint 服务的所有方面。 | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
SharePoint Embedded 管理员 | 管理 SharePoint Embedded 容器的所有方面。 | 1a7d78b6-429f-476b-b8eb-35fb715fffd4 |
Skype for Business 管理员 | 可以管理 Skype for Business 产品的所有方面。 | 75941009-915a-4869-abe7-691bff18279e |
Teams 管理员 | 可以管理 Microsoft Teams 服务。 | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Teams 通信管理员 | 可以管理 Microsoft Teams 服务中的通话和会议功能。 | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Teams 通信支持工程师 | 可以使用高级工具排查 Teams 中的通信问题。 | f70938a0-fc10-4177-9e90-2178f8765737 |
Teams 通信支持专家 | 可以使用基本工具排查 Teams 中的通信问题。 | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Teams 设备管理员 | 可在 Teams 认证的设备上执行管理相关任务。 | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Teams 电话服务管理员 | 管理语音和电话服务功能,以及排查 Microsoft Teams 服务中的通信问题。 | aa38014f-0993-46e9-9b45-30501a20909d |
租户创建者 | 创建新的 Microsoft Entra 或 Microsoft Entra ID B2C 租户。 | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
使用情况摘要报表读取者 | 读取使用情况报告和采用分数,但无法访问用户详细信息。 | 75934031-6c7e-415a-99d7-48dbd49e875e |
用户管理员 | 可以管理用户和组的所有方面,包括重置有限管理员的密码。 |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
用户体验成功管理员 | 查看产品反馈、调查结果和报告,以查找培训和沟通机会。 | 27460883-1df1-4691-b032-3b79643e5e63 |
Virtual Visits 管理员 | 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标。 | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Viva Goals 管理员 | 管理和配置 Microsoft Viva Goals 的所有方面。 | 92b086b3-e367-4ef2-b869-1de128fb986e |
Viva Pulse 管理员 | 可以管理 Microsoft Viva Pulse 应用的所有设置。 | 87761b17-1ed2-4af3-9acd-92a150038160 |
Windows 365 管理员 | 可以预配和管理云电脑的所有方面。 | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
Windows 更新部署管理员 | 可通过适用于企业的 Windows 更新部署服务创建和管理 Windows 更新部署的所有方面。 | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Yammer 管理员 | 管理 Yammer 服务的所有方面。 | 810a2642-a034-447f-a5e8-41beaa378541 |
应用程序管理员
这是一个特权角色。 充当此角色的用户可以创建和管理企业应用程序、应用程序注册和应用程序代理设置的所有方面。 请注意,在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。
此角色还可授予许可委托的权限和应用程序权限的能力(Azure AD Graph 和 Microsoft Graph 的应用程序权限除外)。
重要
这种例外情况意味着你仍可许可其他应用(例如其他 Microsoft 应用、第三方应用或已注册的应用)的应用程序权限。 你仍然可以在应用注册过程中请求这些权限,但授予(即许可)这些权限需要由权限较高的管理员(如特权角色管理员)完成。
此角色授予管理应用程序凭据这一功能。 分配有此角色的用户可以将凭据添加到应用程序,并使用这些凭据模拟应用程序的标识。 如果已向应用程序的标识授予资源访问权限,例如创建或更新用户或其他对象,那么分配到此角色的用户在模拟应用程序时可以执行这些操作。 这种模拟应用程序标识的能力可能是用户在角色分配的基础上的权限提升。 请务必了解,向用户分配应用程序管理员角色,会赋予其模拟应用程序标识的能力。
应用程序开发人员
这是一个特权角色。 在将设置“用户可以注册应用程序”设置为“否”时,充当此角色的用户可以创建应用程序注册。 当“用户可以同意应用代表他们访问公司数据”设置设为“否”时,此角色还能够代表自己授权同意。 在创建新应用程序注册时,会将分配到此角色的用户添加为所有者。
攻击有效负载作者
拥有此角色的用户可以创建攻击有效负载,但不能实际启动或调度它们。 然后,租户中的所有管理员都可以使用攻击有效负载创建模拟。
有关详细信息,请参阅 Microsoft 365 Defender 门户中的 Microsoft Defender for Office 365 权限和 Microsoft Purview 合规门户中的权限。
操作 | 说明 |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 在攻击模拟器中创建和管理攻击有效负载 |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 读取有关攻击模拟、响应和相关培训的报告 |
攻击模拟管理员
拥有此角色的用户可以创建和管理攻击模拟创建的所有方面、启动/调度模拟以及查看模拟结果。 此角色的成员对租户中的所有模拟具有此访问权限。
有关详细信息,请参阅 Microsoft 365 Defender 门户中的 Microsoft Defender for Office 365 权限和 Microsoft Purview 合规门户中的权限。
操作 | 说明 |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 在攻击模拟器中创建和管理攻击有效负载 |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 读取有关攻击模拟、响应和相关培训的报告 |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 在攻击模拟器中创建和管理攻击模拟模板 |
属性分配管理员
具有此角色的用户可以为受支持的 Microsoft Entra 对象(例如用户、服务主体和设备)分配和删除自定义安全属性键和值。
重要
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问。
操作 | 说明 |
---|---|
microsoft.directory/attributeSets/allProperties/read | 读取属性集的所有属性 |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | 读取 Microsoft Entra 托管标识的自定义安全属性值 |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | 更新 Microsoft Entra 托管标识的自定义安全属性值 |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 读取自定义安全属性定义的所有属性 |
microsoft.directory/devices/customSecurityAttributes/read | 读取设备的自定义安全属性值 |
microsoft.directory/devices/customSecurityAttributes/update | 更新设备的自定义安全属性值 |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | 读取服务主体的自定义安全属性值 |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | 更新服务主体的自定义安全属性值 |
microsoft.directory/users/customSecurityAttributes/read | 读取用户的自定义安全属性值 |
microsoft.directory/users/customSecurityAttributes/update | 更新用户的自定义安全属性值 |
属性分配读取者
具有此角色的用户可以读取受支持的 Microsoft Entra 对象的自定义安全属性键和值。
重要
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问。
操作 | 说明 |
---|---|
microsoft.directory/attributeSets/allProperties/read | 读取属性集的所有属性 |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | 读取 Microsoft Entra 托管标识的自定义安全属性值 |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 读取自定义安全属性定义的所有属性 |
microsoft.directory/devices/customSecurityAttributes/read | 读取设备的自定义安全属性值 |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | 读取服务主体的自定义安全属性值 |
microsoft.directory/users/customSecurityAttributes/read | 读取用户的自定义安全属性值 |
属性定义管理员
具有此角色的用户可以定义一组有效的自定义安全属性,可以将这些属性分配给受支持的 Microsoft Entra 对象。 此角色还可以激活和停用自定义安全属性。
重要
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问。
操作 | 说明 |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | 管理属性集的所有方面 |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | 管理自定义安全属性定义的所有方面 |
属性定义读取者
具有此角色的用户可以读取自定义安全属性的定义。
重要
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问。
操作 | 说明 |
---|---|
microsoft.directory/attributeSets/allProperties/read | 读取属性集的所有属性 |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 读取自定义安全属性定义的所有属性 |
属性日志管理员
为需要执行以下任务的用户分配属性日志读取者角色:
- 读取自定义安全属性值更改的审核日志
- 读取自定义安全属性定义更改和分配的审核日志
- 为自定义安全属性配置诊断设置
具有此角色的用户无法读取其他事件的审核日志。
重要
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问。
操作 | 说明 |
---|---|
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | 配置自定义安全属性诊断设置的所有方面 |
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 读取与自定义安全属性相关的审核日志 |
属性日志读取者
为需要执行以下任务的用户分配属性日志读取者角色:
- 读取自定义安全属性值更改的审核日志
- 读取自定义安全属性定义更改和分配的审核日志
具有此角色的用户无法执行以下任务:
- 为自定义安全属性配置诊断设置
- 读取其他事件的审核日志
重要
默认情况下,全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。
有关详细信息,请参阅管理对 Microsoft Entra ID 中自定义安全属性的访问。
操作 | 说明 |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 读取与自定义安全属性相关的审核日志 |
身份验证管理员
这是一个特权角色。 将身份验证管理员角色分配给需要执行以下任务的用户:
- 为非管理员和某些角色设置或重置任何身份验证方法(包括密码)。 有关身份验证管理员可以读取或更新身份验证方法的角色的列表,请参阅谁可以重置密码。
- 要求非管理员用户或者已分配到某些角色的用户针对现有的非密码凭据(例如 MFA 或 FIDO)重新注册,并可以撤销“在设备上记住 MFA”(在下一次登录时提示他们执行 MFA)。
- 在旧版 MFA 管理门户中管理 MFA 设置。
- 对某些用户执行敏感操作。 有关详细信息,请参阅谁可以执行敏感操作。
- 在 Azure 和 Microsoft 365 管理中心创建和管理支持工单。
具有此角色的用户无法执行以下操作:
- 无法为可分配角色的组中的成员和所有者更改凭据或重置 MFA。
- 无法管理硬件 OATH 令牌。
下表比较了与身份验证相关的角色的功能。
角色 | 管理用户的身份验证方法 | 管理每用户 MFA | 管理 MFA 设置 | 管理身份验证方法策略 | 管理密码保护策略 | 更新敏感属性 | 删除和还原用户 |
---|---|---|---|---|---|---|---|
身份验证管理员 | 对于某些用户为“是” | 对于某些用户为“是” | 是 | 否 | 否 | 对于某些用户为“是” | 对于某些用户为“是” |
特权身份验证管理员 | 对于所有用户为“是” | 对于所有用户为“是” | 否 | No | 否 | 对于所有用户为“是” | 对于所有用户为“是” |
身份验证策略管理员 | 否 | 是 | 是 | 是 | 是 | 否 | 否 |
用户管理员 | 否 | No | No | No | 否 | 对于某些用户为“是” | 对于某些用户为“是” |
重要
具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的凭据。 更改用户的凭据可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予身份验证管理员的特权。 通过此路径,身份验证管理员可以假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置拥有访问权限。
- 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
- Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
- 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
身份验证扩展性管理员
这是一个特权角色。 将“身份验证扩展性管理员”角色分配给需要执行以下任务的用户:
- 创建并管理自定义身份验证扩展的所有方面。
具有此角色的用户无法执行以下操作:
- 无法将自定义身份验证扩展分配给应用程序来修改身份验证体验,并且无法同意应用程序权限或创建与自定义身份验证扩展关联的应用注册。 相反,你必须使用“应用程序管理员”、“应用程序开发人员”或“云应用程序管理员”角色。
自定义身份验证扩展是由开发人员为身份验证事件创建的 API 终结点,并在 Microsoft Entra ID 中注册。 应用程序管理员和应用程序所有者可以使用自定义身份验证扩展来自定义其应用程序的身份验证体验,例如登录和注册或密码重置。
身份验证策略管理员
将身份验证策略管理员角色分配给需要执行以下任务的用户:
- 配置身份验证方法策略、租户范围的 MFA 设置及密码保护策略,用于确定每个用户可以注册和使用的方法。
- 管理密码保护设置:智能锁定配置及更新自定义受禁密码列表。
- 在旧版 MFA 管理门户中管理 MFA 设置。
- 创建和管理可验证凭据。
- 创建和管理 Azure 支持票证。
具有此角色的用户无法执行以下操作:
下表比较了与身份验证相关的角色的功能。
角色 | 管理用户的身份验证方法 | 管理每用户 MFA | 管理 MFA 设置 | 管理身份验证方法策略 | 管理密码保护策略 | 更新敏感属性 | 删除和还原用户 |
---|---|---|---|---|---|---|---|
身份验证管理员 | 对于某些用户为“是” | 对于某些用户为“是” | 是 | 否 | 否 | 对于某些用户为“是” | 对于某些用户为“是” |
特权身份验证管理员 | 对于所有用户为“是” | 对于所有用户为“是” | 否 | No | 否 | 对于所有用户为“是” | 对于所有用户为“是” |
身份验证策略管理员 | 否 | 是 | 是 | 是 | 是 | 否 | 否 |
用户管理员 | 否 | No | No | No | 否 | 对于某些用户为“是” | 对于某些用户为“是” |
操作 | 说明 |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/organization/strongAuthentication/allTasks | 管理组织的强身份验证属性的所有方面 |
microsoft.directory/userCredentialPolicies/basic/update | 更新用户的基本策略 |
microsoft.directory/userCredentialPolicies/create | 创建用户的凭据策略 |
microsoft.directory/userCredentialPolicies/delete | 删除用户的凭据策略 |
microsoft.directory/userCredentialPolicies/owners/read | 读取用户凭据策略的所有者 |
microsoft.directory/userCredentialPolicies/owners/update | 更新用户凭据策略的所有者 |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | 读取 policy.appliesTo 导航链接 |
microsoft.directory/userCredentialPolicies/standard/read | 读取用户凭据策略的标准属性 |
microsoft.directory/userCredentialPolicies/tenantDefault/update | 更新 policy.isOrganizationDefault 属性 |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | 读取创建和管理可验证凭据所需的配置 |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | 更新创建和管理可验证凭据所需的配置 |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 读取可验证凭据协定 |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 更新可验证凭据协定 |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 读取可验证凭据卡 |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 吊销可验证凭据卡 |
microsoft.directory/verifiableCredentials/configuration/contracts/create | 创建可验证凭据协定 |
microsoft.directory/verifiableCredentials/configuration/create | 创建创建和管理可验证凭据所需的配置 |
microsoft.directory/verifiableCredentials/configuration/delete | 删除创建和管理可验证凭据所需的配置,并删除其所有可验证凭据 |
Azure DevOps 管理员
具有此角色的用户可以管理所有企业 Azure DevOps 策略(适用于 Microsoft Entra ID 支持的所有 Azure DevOps 组织)。 充当此角色的用户可以通过导航到由公司 Microsoft Entra ID 支持的任何 Azure DevOps 组织来管理这些策略。 此外,充当此角色的用户还可以声明孤立 Azure DevOps 组织的所有权。 此角色不会授予该公司 Microsoft Entra ID 组织支持的任何 Azure DevOps 组织内的任何其他 Azure DevOps 特定权限(例如,项目集合管理员)。
操作 | 说明 |
---|---|
microsoft.azure.devOps/allEntities/allTasks | 读取和配置 Azure DevOps |
Azure 信息保护管理员
具有此角色的用户拥有 Azure 信息保护服务中的所有权限。 此角色可以配置 Azure 信息保护策略的标签、管理保护模板,以及激活保护。 此角色不会授予 Microsoft Entra ID 保护、Privileged Identity Management、监视 Microsoft 365 服务运行状况、Microsoft 365 Defender 门户或 Microsoft Purview 合规门户的权限。
操作 | 说明 |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | 管理 Azure 信息保护的各个方面 |
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
B2C IEF 密钥集管理员
这是一个特权角色。 用户可以创建和管理用于令牌加密、令牌签名和声明加密/解密的策略密钥与机密。 通过将新密钥添加到现有密钥容器,此受限管理员可以根据需要滚动更新机密,而不会影响现有的应用程序。 即使是在创建这些机密之后,此用户也可以查看这些机密的完整内容及其过期日期。
重要
这是一个敏感角色。 在生产前与生产期间,应该谨慎地审核和分配密钥集管理员角色。
操作 | 说明 |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | 读取和配置 Azure Active Directory B2C 中的密钥集 |
B2C IEF 策略管理员
充当此角色的用户可以在 Azure AD B2C 中创建、读取、更新和删除所有自定义策略,因此对相关 Azure AD B2C 组织中的 Identity Experience Framework 拥有完全控制权。 通过编辑策略,此用户可以直接与外部标识提供者建立联合、更改目录架构、更改所有面向用户的内容(HTML、CSS、JavaScript)、更改完成身份验证所需满足的要求、创建新用户、将用户数据发送到外部系统(包括完整迁移),以及编辑所有用户信息(包括密码和电话号码等敏感字段)。 相比之下,此角色无法更改加密密钥,也不能编辑组织中用于联合身份验证的机密。
重要
B2 IEF 策略管理员是高度敏感的角色,在生产环境中应以极大的限制度将其分配给组织。 应该密切审核这些用户(尤其是生产环境中的组织的用户)的活动。
操作 | 说明 |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | 读取和配置 Azure Active Directory B2C 中的自定义策略 |
计费管理员
进行采购、管理订阅、管理支持票证,以及监视服务运行状况。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.commerce.billing/allEntities/allProperties/allTasks | 管理 Office 365 计费的各个方面 |
microsoft.directory/organization/basic/update | 更新组织的基本属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Cloud App Security 管理员
充当此角色的用户在 Defender for Cloud 应用中享有全部权限。 他们可以添加管理员、添加 Microsoft Defender for Cloud 应用策略和设置、上传日志以及执行治理操作。
操作 | 说明 |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | 在 Microsoft Defender for Cloud 应用中创建和删除所有资源,以及读取和更新标准属性 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
云应用管理员
这是一个特权角色。 充当此角色的用户具有与应用程序管理员角色相同的权限,但不包括管理应用程序代理的权限。 此角色授予创建和管理企业应用程序和应用程序注册的所有方面的权限。 在创建新应用程序注册或企业应用程序时,不会将分配到此角色的用户添加为所有者。
此角色还可授予许可委托的权限和应用程序权限的能力(Azure AD Graph 和 Microsoft Graph 的应用程序权限除外)。
重要
这种例外情况意味着你仍可许可其他应用(例如其他 Microsoft 应用、第三方应用或已注册的应用)的应用程序权限。 你仍然可以在应用注册过程中请求这些权限,但授予(即许可)这些权限需要由权限较高的管理员(如特权角色管理员)完成。
此角色授予管理应用程序凭据这一功能。 分配有此角色的用户可以将凭据添加到应用程序,并使用这些凭据模拟应用程序的标识。 如果已向应用程序的标识授予资源访问权限,例如创建或更新用户或其他对象,那么分配到此角色的用户在模拟应用程序时可以执行这些操作。 这种模拟应用程序标识的能力可能是用户在角色分配的基础上的权限提升。 请务必了解,向用户分配应用程序管理员角色,会赋予其模拟应用程序标识的能力。
云设备管理员
这是一个特权角色。 充当此角色的用户可以在 Microsoft Entra ID 中启用、禁用和删除设备,并可以在 Azure 门户中读取 Windows 10 BitLocker 密钥(如果有)。 该角色不能授予设备上其他任何属性的管理权限。
符合性管理员
具有此角色的用户有权管理 Microsoft Purview 合规门户、Microsoft 365 管理中心、Azure 和 Microsoft 365 Defender 门户。 被分配者还可以在 Exchange 管理中心内管理所有功能,并可创建适用于 Azure 和 Microsoft 365 的支持票证。 有关详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组。
In | 有权执行的操作 |
---|---|
Microsoft Purview 合规性门户 | 跨 Microsoft 365 服务保护和管理组织数据 管理合规性警报 |
Microsoft Purview 合规性管理器 | 跟踪、分配并验证组织的法规合规性活动 |
Microsoft 365 Defender 门户 | 管理数据治理 执行法律和数据调查 管理数据主体请求 此角色的权限与 Microsoft 365 Defender 门户基于角色的访问控制中的合规性管理员角色组相同。 |
Intune | 查看所有 Intune 审核数据 |
Microsoft Defender for Cloud Apps | 拥有只读权限,可以管理警报 可以创建和修改文件策略并允许执行文件管理操作 可以查看数据管理下的所有内置报表 |
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/entitlementManagement/allProperties/read | 读取 Microsoft Entra 权利管理中的所有属性 |
microsoft.office365.complianceManager/allEntities/allTasks | 管理 Office 365 合规性管理器的各个方面 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
符合性数据管理员
具有此角色的用户有权在 Microsoft Purview 合规门户、Microsoft 365 管理中心和 Azure 中跟踪数据。 这些用户还可以在 Exchange 管理中心、Compliance Manager、Teams 和 Skype for Business 管理中心跟踪合规数据,并可创建适用于 Azure 和 Microsoft 365 的支持票证。 有关合规性管理员与合规性数据管理员之间的差别的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组。
In | 有权执行的操作 |
---|---|
Microsoft Purview 合规性门户 | 跨 Microsoft 365 服务监视与合规性相关的策略 管理合规性警报 |
Microsoft Purview 合规性管理器 | 跟踪、分配并验证组织的法规合规性活动 |
Microsoft 365 Defender 门户 | 管理数据治理 执行法律和数据调查 管理数据主体请求 此角色的权限与 Microsoft 365 Defender 门户基于角色的访问控制中的合规性数据管理员角色组相同。 |
Intune | 查看所有 Intune 审核数据 |
Microsoft Defender for Cloud Apps | 拥有只读权限,可以管理警报 可以创建和修改文件策略并允许执行文件管理操作 可以查看数据管理下的所有内置报表 |
操作 | 说明 |
---|---|
microsoft.azure.informationProtection/allEntities/allTasks | 管理 Azure 信息保护的各个方面 |
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | 在 Microsoft Defender for Cloud 应用中创建和删除所有资源,以及读取和更新标准属性 |
microsoft.office365.complianceManager/allEntities/allTasks | 管理 Office 365 合规性管理器的各个方面 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
条件访问管理员
这是一个特权角色。 具有此角色的用户能够管理 Microsoft Entra 条件访问设置。
客户密码箱访问审批者
管理你的组织中的 Microsoft Purview 客户密码箱请求。 他们接收客户密码箱请求的电子邮件通知,并且可以批准和拒绝来自 Microsoft 365 管理中心的请求。 他们还可以开启或关闭客户密码箱功能。 只有全局管理员可以重置分配到此角色的用户的密码。
操作 | 说明 |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | 管理客户密码箱的各个方面 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
桌面分析管理员
此角色中的用户可以管理桌面分析服务。 此权限包括查看资产库存、创建部署计划、查看部署和运行状况。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.office365.desktopAnalytics/allEntities/allTasks | 管理桌面分析的所有方面 |
目录读者
充当此角色的用户可以读取基本的目录信息。 应将此角色用于:
- 为特定的一组来宾用户授予读取访问权限,而不是将此权限授予所有来宾用户。
- 当“限制对 Microsoft Entra 管理中心的访问”设置为“是”时,为一组特定的非管理员用户授予对 Microsoft Entra 管理中心的访问权限。
- 当“Directory.Read.All”不是选项时,为服务主体授予对目录的访问权限。
操作 | 说明 |
---|---|
microsoft.directory/administrativeUnits/members/read | 读取管理单元的成员 |
microsoft.directory/administrativeUnits/standard/read | 读取管理单元上的基本属性 |
microsoft.directory/applicationPolicies/standard/read | 读取应用程序策略的标准属性 |
microsoft.directory/applications/owners/read | 读取应用程序的所有者 |
microsoft.directory/applications/policies/read | 读取应用程序策略 |
microsoft.directory/applications/standard/read | 读取应用程序的标准属性 |
microsoft.directory/contacts/memberOf/read | 在 Microsoft Entra ID 中读取所有联系人的组成员身份 |
microsoft.directory/contacts/standard/read | 在 Microsoft Entra ID 中读取联系人的基本属性 |
microsoft.directory/contracts/standard/read | 读取合作伙伴合同上的基本属性 |
microsoft.directory/devices/memberOf/read | 读取设备成员身份 |
microsoft.directory/devices/registeredOwners/read | 读取设备的已注册所有者 |
microsoft.directory/devices/registeredUsers/read | 读取设备的已注册用户 |
microsoft.directory/devices/standard/read | 读取设备上的基本属性 |
microsoft.directory/directoryRoles/eligibleMembers/read | 读取 Microsoft Entra 角色的合格成员 |
microsoft.directory/directoryRoles/members/read | 读取 Microsoft Entra 角色的所有成员 |
microsoft.directory/directoryRoles/standard/read | 读取 Microsoft Entra 角色的基本属性 |
microsoft.directory/domains/standard/read | 读取域上的基本属性 |
microsoft.directory/groups/appRoleAssignments/read | 读取组的应用程序角色分配 |
microsoft.directory/groupSettings/standard/read | 读取组设置的基本属性 |
microsoft.directory/groupSettingTemplates/standard/read | 读取组设置模板的基本属性 |
microsoft.directory/groups/memberOf/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的 memberOf 属性 |
microsoft.directory/groups/members/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的成员 |
microsoft.directory/groups/owners/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的所有者 |
microsoft.directory/groups/settings/read | 读取组的设置 |
microsoft.directory/groups/standard/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的标准属性 |
microsoft.directory/oAuth2PermissionGrants/standard/read | 读取 OAuth 2.0 权限授予的基本属性 |
microsoft.directory/organization/standard/read | 更新组织的基本属性 |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | 读取无密码身份验证的受信任的证书颁发机构 |
microsoft.directory/roleAssignments/standard/read | 读取角色分配的基本属性 |
microsoft.directory/roleDefinitions/standard/read | 读取角色定义的基本属性 |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 读取服务主体角色分配 |
microsoft.directory/servicePrincipals/appRoleAssignments/read | 读取分配给服务主体的角色分配 |
microsoft.directory/servicePrincipals/memberOf/read | 读取服务主体的组成员身份 |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 读取服务主体的委托权限授予 |
microsoft.directory/servicePrincipals/ownedObjects/read | 读取服务主体的拥有对象 |
microsoft.directory/servicePrincipals/owners/read | 读取服务主体的所有者 |
microsoft.directory/servicePrincipals/policies/read | 读取服务主体的策略 |
microsoft.directory/servicePrincipals/standard/read | 读取服务主体的基本属性 |
microsoft.directory/subscribedSkus/standard/read | 读取订阅的基本属性 |
microsoft.directory/users/appRoleAssignments/read | 读取用户的应用程序角色分配 |
microsoft.directory/users/deviceForResourceAccount/read | 读取用户的资源帐户设备 |
microsoft.directory/users/directReports/read | 读取用户的直接下属 |
microsoft.directory/users/invitedBy/read | 读取邀请外部用户加入租户的用户 |
microsoft.directory/users/licenseDetails/read | 读取用户的许可证详细信息 |
microsoft.directory/users/manager/read | 读取用户的管理员 |
microsoft.directory/users/memberOf/read | 读取用户的组成员身份 |
microsoft.directory/users/oAuth2PermissionGrants/read | 读取用户的委托权限授予 |
microsoft.directory/users/ownedDevices/read | 读取用户拥有的设备 |
microsoft.directory/users/ownedObjects/read | 读取用户拥有的对象 |
microsoft.directory/users/photo/read | 读取用户的照片 |
microsoft.directory/users/registeredDevices/read | 读取用户已注册的设备 |
microsoft.directory/users/scopedRoleMemberOf/read | 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元 |
microsoft.directory/users/sponsors/read | 读取用户的发起人 |
microsoft.directory/users/standard/read | 读取用户的基本属性 |
目录同步帐户
请勿使用。 此角色自动分配给 Microsoft Entra Connect 服务,不可用于其他任何用途。
操作 | 说明 |
---|---|
microsoft.directory/onPremisesSynchronization/standard/read | 读取和管理对象以启用本地目录同步 |
目录编写人员
这是一个特权角色。 此角色中的用户可以读取和更新用户、组和服务主体的基本信息。
域名管理员
这是一个特权角色。 具有此角色的用户可以管理(读取、添加、验证、更新和删除)域名。 他们还可以读取有关用户、组和应用程序的目录信息,因为这些对象拥有域依赖项。 对于本地环境,具有此角色的用户可以配置联合身份验证的域名,以便始终在本地对关联的用户进行身份验证。 然后,这些用户可以通过单一登录,使用其本地密码登录到基于 Microsoft Entra 的服务。 联合设置需要通过 Microsoft Entra Connect 同步,使得用户还有权管理 Microsoft Entra Connect。
Dynamics 365 管理员
具有此角色的用户具有 Microsoft Dynamics 365 Online 内的全局权限(如果该服务存在),并且能够管理支持票证和监视服务运行状况。 有关详细信息,请参阅使用服务管理员角色管理租户。
注意
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色名为“Dynamics 365 服务管理员”。 在 Azure 门户中,它名为“Dynamics 365 管理员”。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.dynamics365/allEntities/allTasks | 管理 Dynamics 365 的各个方面 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Dynamics 365 Business Central Administrator
将 Dynamics 365 Business Central Administrator 角色分配给需要执行以下任务的用户:
- 访问 Dynamics 365 Business Central 环境
- 在环境中执行所有管理任务
- 管理客户的环境的生命周期
- 监督环境中安装的扩展
- 控制环境的升级
- 执行环境的数据导出
- 读取和配置 Azure 和 Microsoft 365 服务运行状况仪表板
此角色不提供其他 Dynamics 365 产品的任何权限。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.directory/domains/standard/read | 读取域上的基本属性 |
microsoft.directory/organization/standard/read | 读取组织的所有属性 |
microsoft.directory/subscribedSkus/standard/read | 读取订阅的基本属性 |
microsoft.directory/users/standard/read | 读取用户的基本属性 |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | 管理 Dynamics 365 Business Central 的各个方面 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
Edge 管理员
此角色的用户可以在 Microsoft Edge 上创建和管理 Internet Explorer 模式所需的企业站点列表。 此角色授予创建、编辑和发布站点列表的权限,此外还允许访问管理支持票证。 了解详细信息
操作 | 说明 |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | 管理 Microsoft Edge 的所有方面 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Exchange 管理员
具有此角色的用户具有 Microsoft Exchange Online 内的全局权限(如果该服务存在)。 另外还能够创建和管理所有 Microsoft 365 组,管理支持票证并监视服务运行状况。 有关详细信息,请参阅关于 Microsoft 365 管理中心内的管理员角色。
注意
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色名为“Exchange 服务管理员”。 在 Azure 门户中,它名为“Exchange 管理员”。 在 Exchange 管理中心,它名为“Exchange Online 管理员”。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份中创建和管理 Exchange Online 保护策略 |
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks | 在 Microsoft 365 备份中读取和配置 Exchange Online 的还原会话 |
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks | 在 M365 备份中管理与所选 Exchange Online 邮箱关联的所有还原点 |
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份中管理添加到 Exchange Online 保护策略的邮箱 |
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks | 在 Microsoft 365 备份中管理已添加到 Exchange Online 还原会话的邮箱 |
microsoft.directory/groups/hiddenMembers/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员 |
microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups.unified/create | 创建 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/delete | 删除 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 组(不包括可分配角色的组)的所有者 |
microsoft.directory/groups.unified/restore | 从软删除的容器还原 Microsoft 365 组,不包括可进行角色分配的组 |
microsoft.office365.exchange/allEntities/basic/allTasks | 管理 Exchange Online 的所有方面 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Exchange 收件人管理员
具有此角色的用户在 Exchange Online 中拥有对收件人的读取访问权限,以及对这些收件人的属性的写入权限。 有关详细信息,请参阅 Exchange Server 中的收件人。
操作 | 说明 |
---|---|
microsoft.office365.exchange/migration/allProperties/allTasks | 在 Exchange Online 中管理与收件人迁移相关的所有任务 |
microsoft.office365.exchange/recipients/allProperties/allTasks | 创建和删除所有收件人,并在 Exchange Online 中读取和更新收件人的所有属性 |
外部 ID 用户流管理员
具有此角色的用户可以在 Azure 门户中创建和管理用户流(也称为“内置”策略)。 这些用户可以自定义 HTML/CSS/JavaScript 内容、更改 MFA 要求、在令牌中选择声明、管理 API 连接器及其凭据,以及为 Microsoft Entra 组织中的所有用户流配置会话设置。 但是,此角色无法查看用户数据,也无法对组织架构中包含的属性进行更改。 对 Identity Experience Framework 策略(也称为自定义策略)的更改也超出了此角色的权限范围。
操作 | 说明 |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | 在 Azure Active Directory B2C 中读取和配置用户流 |
外部 ID 用户流属性管理员
具有此角色的用户可以添加或删除适用于 Microsoft Entra 组织中所有用户流的自定义属性。 因此,具有此角色的用户可以在最终用户架构中更改或新增元素,影响所有用户流的行为,间接导致更改可以请求最终用户提供的并最终作为声明发送到应用程序的数据。 此角色无法编辑用户流。
操作 | 说明 |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | 在 Azure Active Directory B2C 中读取和配置用户特性 |
外部标识提供者管理员
这是一个特权角色。 此管理员可以管理 Microsoft Entra 组织与外部标识提供者之间的联合。 用户可以使用此角色添加新的标识提供者及配置所有可用设置(例如身份验证路径、服务 ID 和分配的密钥容器)。 此用户可让 Microsoft Entra 组织信任来自外部标识提供者的身份验证。 对最终用户体验造成的影响取决于组织类型:
- 员工与合作伙伴的 Microsoft Entra 组织:添加联合身份验证(例如使用 Gmail)会立即影响所有尚未兑换的来宾邀请。 请参阅将 Google 添加为 B2B 来宾用户的标识提供者。
- Azure Active Directory B2C 组织:在将标识提供者添加为用户流(也称为内置策略)中的一个选项之前,添加联合身份验证(例如,使用 Facebook 或另一个 Microsoft Entra 组织)不会立即影响最终用户流。 有关示例,请参阅将 Microsoft 帐户配置为标识提供者。 若要更改用户流,需要使用受限角色“B2C 用户流管理员”。
操作 | 说明 |
---|---|
microsoft.directory/domains/federation/update | 更新域的联合属性 |
microsoft.directory/identityProviders/allProperties/allTasks | 读取和配置 Azure Active Directory B2C 中的标识提供者 |
结构管理员
具有此角色的用户具有 Microsoft Fabric 和 Power BI 内的全局权限(如果该服务存在),并且能够管理支持票证和监视服务运行状况。 有关详细信息,请参阅了解 Fabric 管理员角色。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
microsoft.powerApps.powerBI/allEntities/allTasks | 管理 Fabric 和 Power BI 的所有方面 |
全局管理员
这是一个特权角色。 具有此角色的用户有权访问 Microsoft Entra ID 以及使用 Microsoft Entra 标识的服务(例如 Microsoft 365 Defender 门户、Microsoft Purview 合规门户、Exchange Online、SharePoint Online 和 Skype for Business Online)中的所有管理功能。 全局管理员可以查看目录活动日志。 此外,全局管理员还可以提升访问权限,以管理所有 Azure 订阅和管理组。 这允许全局管理员使用各自的 Microsoft Entra 租户获得对所有 Azure 资源的完全访问权限。 注册 Microsoft Entra 组织的人员将成为全局管理员。 公司中可以有多个全局管理员。 全局管理员可以为任何用户和所有其他管理员重置密码。 全局管理员无法删除其自己的全局管理员分配。 这是为了防止组织无全局管理员的情况。
注意
作为最佳做法,Microsoft 建议将“全局管理员”角色分配给组织中五个以下的人员。 有关详细信息,请参阅 Microsoft Entra 角色最佳做法。
全局读取者
这是一个特权角色。 充当此角色的用户可以跨 Microsoft 365 服务读取设置和管理信息,但无法执行管理操作。 全局读取者是对应于全局管理员的只读角色。 满足规划、审核或调查目的时,请分配全局读取者,而不要分配全局管理员。 将全局读取者与其他受限管理员角色(例如 Exchange 管理员)结合使用可以更轻松地完成工作,且无需分配全局管理员角色。 全局读者可使用 Microsoft 365 管理中心、Exchange 管理中心、SharePoint 管理中心、Teams 管理中心、Microsoft 365 Defender 门户、Microsoft Purview 合规门户、Azure 门户和设备管理管理中心。
具有此角色的用户无法执行以下操作:
- 无法访问 Microsoft 365 管理中心的“购买服务”区域。
注意
全局读取者角色具有以下限制:
- OneDrive 管理中心 - OneDrive 管理中心不支持全局读取者角色
- Microsoft 365 Defender 门户 - 全局读者无法读取 SCC 审核日志、执行内容搜索或查看安全评分。
- Teams 管理中心 - 全局读取者无法读取“Teams 生命周期”、“分析和报告”、“IP 电话设备管理”和“应用目录”。 有关详细信息,请参阅使用 Microsoft Teams 管理员角色来管理 Teams。
- Privileged Access Management 不支持全局读取者角色。
- Azure 信息保护 - 仅当 Microsoft Entra 组织不在统一标记平台上时,才支持全局读取者在中心位置进行报告。
- SharePoint - 全局读取者对 SharePoint Online PowerShell cmdlet 和读取 API 具有读取访问权限。
- Power Platform 管理中心 - Power Platform 管理中心尚不支持全局读取者。
- Microsoft Purview 不支持全局读者角色。
全局安全访问管理员
将全局安全访问管理员角色分配给需要执行以下操作的用户:
- 创建和管理 Microsoft Entra Internet 访问和 Microsoft Entra 专用访问的所有方面
- 管理对公共终结点和专用终结点的访问
具有此角色的用户无法执行以下操作:
- 无法管理企业应用程序、应用程序注册、条件访问或应用程序代理设置
操作 | 说明 |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/applicationPolicies/standard/read | 读取应用程序策略的标准属性 |
microsoft.directory/applications/applicationProxy/read | 读取所有应用程序代理属性 |
microsoft.directory/applications/owners/read | 读取应用程序的所有者 |
microsoft.directory/applications/policies/read | 读取应用程序策略 |
microsoft.directory/applications/standard/read | 读取应用程序的标准属性 |
microsoft.directory/auditLogs/allProperties/read | 读取审核日志上的所有属性,不包括自定义安全属性审核日志 |
microsoft.directory/conditionalAccessPolicies/standard/read | 读取条件访问策略 |
microsoft.directory/connectorGroups/allProperties/read | 读取专用网络连接器组的所有属性 |
microsoft.directory/connectors/allProperties/read | 读取专用网络连接器的所有属性 |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | 读取默认跨租户访问策略的基本属性 |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 读取合作伙伴的跨租户访问策略的基本属性 |
microsoft.directory/crossTenantAccessPolicy/standard/read | 读取跨租户访问策略的基本属性 |
microsoft.directory/namedLocations/standard/read | 读取定义网络位置的自定义规则的基本属性 |
microsoft.directory/signInReports/allProperties/read | 读取登录报告上的所有属性,包括特权属性 |
microsoft.networkAccess/allEntities/allProperties/allTasks | 管理 Microsoft Entra 网络访问的各个方面 |
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
组管理员
此角色中的用户可以创建/管理组及其设置,如命名和过期策略。 重要的是要了解,将用户分配到此角色后,他们还可以跨各种工作负荷(如 Teams、SharePoint、Yammer 和 Outlook)管理组织中的所有组。 此外,用户还能够跨各种管理门户(如 Microsoft 管理中心、Azure 门户)以及特定于工作负荷的门户(如 Teams 和 SharePoint 管理中心)管理各种组设置。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/deletedItems.groups/delete | 永久删除无法再还原的组 |
microsoft.directory/deletedItems.groups/restore | 将软删除的组还原到原始状态 |
microsoft.directory/groups/assignLicense | 将产品许可证分配给组以执行基于组的许可 |
microsoft.directory/groups/basic/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups/classification/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的分类属性 |
microsoft.directory/groups/create | 创建安全组和 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups/delete | 删除安全组和 Microsoft 365 组,不包括可分配角色的组 |
microsoft.directory/groups/dynamicMembershipRule/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的动态成员身份规则 |
microsoft.directory/groups/groupType/update | 更新那些会影响安全组和 Microsoft 365 组(不包括可分配角色的组)的组类型的属性 |
microsoft.directory/groups/hiddenMembers/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员 |
microsoft.directory/groups/members/update | 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组 |
microsoft.directory/groups/onPremWriteBack/update | 使用 Microsoft Entra Connect 更新要写回本地的 Microsoft Entra 组 |
microsoft.directory/groups/owners/update | 更新安全组和 Microsoft 365 组的所有者,不包括可分配角色的组 |
microsoft.directory/groups/reprocessLicenseAssignment | 重新处理基于组的许可的许可证分配 |
microsoft.directory/groups/restore | 从软删除的容器中还原组 |
microsoft.directory/groups/settings/update | 更新组的设置 |
microsoft.directory/groups/visibility/update | 更新安全组和 Microsoft 365 组(不包括可分配角色的组)的可见性属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
来宾邀请者
此角色的用户可在“成员可以邀请”用户设置设置为“否”时管理 Microsoft Entra B2B 来宾用户邀请。 关于 Microsoft Entra B2B 协作中提供了有关 B2B 协作的详细信息。 它不包括任何其他权限。
操作 | 说明 |
---|---|
microsoft.directory/users/appRoleAssignments/read | 读取用户的应用程序角色分配 |
microsoft.directory/users/deviceForResourceAccount/read | 读取用户的资源帐户设备 |
microsoft.directory/users/directReports/read | 读取用户的直接下属 |
microsoft.directory/users/invitedBy/read | 读取邀请外部用户加入租户的用户 |
microsoft.directory/users/inviteGuest | 邀请来宾用户 |
microsoft.directory/users/licenseDetails/read | 读取用户的许可证详细信息 |
microsoft.directory/users/manager/read | 读取用户的管理员 |
microsoft.directory/users/memberOf/read | 读取用户的组成员身份 |
microsoft.directory/users/oAuth2PermissionGrants/read | 读取用户的委托权限授予 |
microsoft.directory/users/ownedDevices/read | 读取用户拥有的设备 |
microsoft.directory/users/ownedObjects/read | 读取用户拥有的对象 |
microsoft.directory/users/photo/read | 读取用户的照片 |
microsoft.directory/users/registeredDevices/read | 读取用户已注册的设备 |
microsoft.directory/users/scopedRoleMemberOf/read | 读取用户的 Microsoft Entra 角色成员身份,其范围限定为管理单元 |
microsoft.directory/users/sponsors/read | 读取用户的发起人 |
microsoft.directory/users/standard/read | 读取用户的基本属性 |
支持管理员
这是一个特权角色。 具有此角色的用户可以通过 Microsoft 为 Azure 和 Microsoft 365 服务更改密码、使刷新令牌无效、创建和管理支持请求,以及监视服务运行状况。 使刷新令牌失效会强制用户重新登录。 支持管理员是否可以重置用户的密码和使刷新令牌失效取决于分配给用户的角色。 有关支持管理员可以为其重置密码和使刷新令牌失效的角色的列表,请参阅谁可以重置密码。
具有此角色的用户无法执行以下操作:
- 无法为可分配角色的组中的成员和所有者更改凭据或重置 MFA。
重要
具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的密码。 更改用户的密码可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予支持人员管理员的特权。 通过此路径,支持人员管理员可能能够假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置具有访问权限。
- 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
- Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
- 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
使用管理单元可向一部分用户委托管理权限,并向一部分用户应用策略。
在 Azure 门户中,此角色以前名为“密码管理员”。 它已重命名为“帮助台管理员”,以便与 Microsoft Graph API 和 Microsoft Graph PowerShell 中的现有名称保持一致。
混合标识管理员
这是一个特权角色。 具有此角色的用户可以使用云预配系统创建、管理和部署从 Active Directory 到 Microsoft Entra ID 的预配配置设置,还可管理 Microsoft Entra Connect、直通身份验证 (PTA)、密码哈希同步 (PHS)、无缝单一登录(无缝 SSO)和联合设置。 无权管理 Microsoft Entra Connect Health。 用户还可以使用此角色对日志进行故障排除和监视。
Identity Governance 管理员
具有此角色的用户可以管理 Microsoft Entra ID Governance 配置(包括访问包、访问评审、目录和策略),从而确保访问获得批准和评审,以及删除不再需要访问权限的来宾用户。
操作 | 说明 |
---|---|
microsoft.directory/accessReviews/allProperties/allTasks | (已弃用)在 Microsoft Entra ID 中创建和删除访问评审、读取和更新访问评审的所有属性以及管理组的访问评审 |
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | 管理 Microsoft Entra ID 中的应用程序角色分配的访问评审 |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | 在权利管理中管理访问包分配的访问评审 |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | 读取安全组和 Microsoft 365 组(包括角色可分配的组)中成员身份的访问评审的所有属性。 |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | 在安全组和 Microsoft 365 组(不包括角色可分配的组)中更新成员身份的访问评审的所有属性。 |
microsoft.directory/accessReviews/definitions.groups/create | 在安全组和 Microsoft 365 组中创建成员身份的访问评审。 |
microsoft.directory/accessReviews/definitions.groups/delete | 在安全组和 Microsoft 365 组中删除成员身份的访问评审。 |
microsoft.directory/entitlementManagement/allProperties/allTasks | 在 Microsoft Entra 权利管理中创建和删除资源,以及读取和更新所有属性 |
microsoft.directory/groups/members/update | 更新安全组和 Microsoft 365 组的成员,不包括可分配角色的组 |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 更新服务主体角色分配 |
Insights 管理员
具有此角色的用户可以访问 Microsoft Viva Insights 应用中的全套管理功能。 此角色能够读取目录信息,监视服务运行状况,提交支持票证,并访问 Insights 各方面的管理员设置。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.insights/allEntities/allProperties/allTasks | 管理 Insights 应用的各个方面 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Insights 分析师
将 Insights 分析师角色分配给需要执行以下任务的用户:
- 在 Microsoft Viva Insights 应用中分析数据,但无法管理任何配置设置
- 创建、管理和运行测试
- 在 Microsoft 365 管理中心查看基本设备和报告
- 在 Microsoft 365 管理中心创建和管理服务请求
操作 | 描述 |
---|---|
microsoft.insights/queries/allProperties/allTasks | 在 Viva Insights 中运行和管理查询 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Insights 业务主管
具有此角色的用户可以通过 Microsoft Viva Insights 应用访问一组仪表板和见解。 其中包括对所有仪表板以及提供的见解和数据探索功能的完全访问权限。 具有此角色的用户无权访问由 Insights 管理员角色负责的产品配置设置。
操作 | 说明 |
---|---|
microsoft.insights/programs/allProperties/update | 在 Insights 应用中部署和管理计划 |
microsoft.insights/reports/allProperties/read | 在 Insights 应用中查看报表和面板 |
Intune 管理员
这是一个特权角色。 具有此角色的用户具有 Microsoft Intune Online 内的全局权限(如果该服务存在)。 此外,此角色包含管理以关联策略,以及创建和管理组的用户和设备的能力。 有关详细信息,请参阅 Microsoft Intune 的基于角色的管理控制 (RBAC)。
此角色可创建和管理所有安全组。 但是,Intune 管理员对 Office 组没有管理员权限。 这意味着管理员无法更新组织中所有 Office 组的所有者或成员身份, 但可以管理其自己创建的 Office 组,这是其最终用户权限的一部分。 因此,他们创建的任何 Office 组(非安全组)都应计入其 250 的配额。
注意
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色名为“Intune 服务管理员”。 在 Azure 门户中,它名为“Intune 管理员”。
Kaizala 管理员
具有此角色的用户拥有在 Microsoft Kaizala 中管理设置的全局权限(如果该服务存在),并且能够管理支持票证和监视服务运行状况。 此外,用户还可以访问与组织成员采用和使用 Kaizala 有关的报告,以及使用 Kaizala 操作生成的业务报告。
操作 | 说明 |
---|---|
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
知识管理员
充当此角色的用户对 Microsoft 365 管理中心内的所有知识、学习和智能功能设置拥有完全访问权限。 用户大致了解产品套件、许可详细信息,并负责控制访问权限。 知识管理员可创建和管理内容,例如主题、首字母缩写词和学习资源。 此外,这些用户可以创建内容中心、监视服务运行状况和创建服务请求。
操作 | 说明 |
---|---|
microsoft.directory/groups.security/basic/update | 更新安全组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups.security/create | 创建安全组(不包括可分配角色的组) |
microsoft.directory/groups.security/createAsOwner | 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。 |
microsoft.directory/groups.security/delete | 删除安全组(不包括可分配角色的组) |
microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
microsoft.directory/groups.security/owners/update | 更新安全组(不包括可分配角色的组)的所有者 |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | 在 Microsoft 365 管理中心读取和更新内容理解的所有属性 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | 在 Microsoft 365 管理中心读取和更新知识网络的所有属性 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | 在学习应用中管理学习资源及其所有属性。 |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | 在安全与合规中心读取敏感度标签的所有属性 |
microsoft.office365.sharePoint/allEntities/allTasks | 在 SharePoint 中创建和删除所有资源,读取和更新标准属性 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
知识经理
具有此角色的用户可以创建和管理内容,例如主题、首字母缩写词和学习内容。 这些用户主要负责知识的质量和结构。 此用户对主题管理操作具有完整权限,可确认主题、批准编辑或删除主题。 此角色还可以管理作为术语库管理工具的一部分的分类并创建内容中心。
操作 | 说明 |
---|---|
microsoft.directory/groups.security/basic/update | 更新安全组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups.security/create | 创建安全组(不包括可分配角色的组) |
microsoft.directory/groups.security/createAsOwner | 创建安全组(不包括可分配角色的组)。 添加“创建者”作为第一个所有者。 |
microsoft.directory/groups.security/delete | 删除安全组(不包括可分配角色的组) |
microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
microsoft.directory/groups.security/owners/update | 更新安全组(不包括可分配角色的组)的所有者 |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | 在 Microsoft 365 管理中心阅读有关内容理解的分析报告 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | 在 Microsoft 365 管理中心管理知识网络的主题可见性 |
microsoft.office365.sharePoint/allEntities/allTasks | 在 SharePoint 中创建和删除所有资源,读取和更新标准属性 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
许可证管理员
具有此角色的用户可以读取、添加、删除和更新用户、组(使用基于组的许可)的许可证分配,以及管理用户的使用位置。 该角色不授予在使用位置之外购买或管理订阅、创建或管理组,或者创建或管理用户的权限。 此角色无权查看、创建或管理支持票证。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.directory/groups/assignLicense | 将产品许可证分配给组以执行基于组的许可 |
microsoft.directory/groups/reprocessLicenseAssignment | 重新处理基于组的许可的许可证分配 |
microsoft.directory/users/assignLicense | 管理用户许可证 |
microsoft.directory/users/reprocessLicenseAssignment | 重新处理用户的许可证分配 |
microsoft.directory/users/usageLocation/update | 更新用户的使用位置 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
生命周期工作流管理员
这是一个特权角色。 将生命周期工作流管理员角色分配给需要执行以下任务的用户:
- 在 Microsoft Entra ID 中创建和管理与生命周期工作流关联的工作流和任务的所有方面
- 检查计划工作流的执行情况
- 按需启动工作流运行
- 检查工作流执行日志
消息中心隐私读取者
充当此角色的用户可以监视消息中心的所有通知,包括数据隐私消息。 消息中心隐私读取者会收到电子邮件通知(包括与数据隐私相关的通知),并可以使用邮件中心首选项取消订阅。 只有全局管理员和消息中心隐私读取者才能阅读数据隐私消息。 此外,此角色还能查看组、域和订阅。 此角色无权查看、创建或管理服务请求。
操作 | 说明 |
---|---|
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.messageCenter/securityMessages/read | 在 Microsoft 365 管理中心读取消息中心中的安全消息 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
消息中心读取者
具有此角色的用户可以在其组织的消息中心监视 Exchange、Intune 和 Microsoft Teams 等已配置服务的通知和公告运行状况更新。 消息中心读者会收到包含帖子和更新的每周电子邮件摘要,并能在 Microsoft 365 内共享消息中心帖子。 在 Microsoft Entra ID 中,分配有此角色的用户仅对 Microsoft Entra 服务(如用户和组)具有只读访问权限。 此角色无权查看、创建或管理支持票证。
操作 | 说明 |
---|---|
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Microsoft 365 迁移管理员
将 Microsoft 365 迁移管理员角色分配给需要执行以下任务的用户:
- 使用 Microsoft 365 管理中心中的迁移管理器管理从 Google Drive、Dropbox、Box 和 Egnyte 到 Microsoft 365(包括 Teams、OneDrive for Business 和 SharePoint 网站)的内容迁移
- 选择迁移源、创建迁移清单(如 Google Drive 用户列表)、计划和执行迁移,下载报告
- 如果目标网站尚不存在,请创建新的 SharePoint 网站,在 SharePoint 管理员网站下创建 SharePoint 列表,并在 SharePoint 列表中创建和更新项目
- 管理任务的迁移项目设置和迁移生命周期
- 管理从源到目标的权限映射
注意
此角色不允许使用 SharePoint 管理中心从文件共享源进行迁移。 可以使用 SharePoint 管理员角色从文件共享源进行迁移。
操作 | 说明 |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理 Microsoft 365 迁移的所有方面 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Microsoft Entra 联接设备本地管理员
此角色只能作为设备设置中的其他本地管理员进行分配。 拥有此角色的用户成为所有已加入 Microsoft Entra ID 的 Windows 10 设备上的本地计算机管理员。 他们无权管理 Microsoft Entra ID 中的设备对象。
操作 | 说明 |
---|---|
microsoft.directory/groupSettings/standard/read | 读取组设置的基本属性 |
microsoft.directory/groupSettingTemplates/standard/read | 读取组设置模板的基本属性 |
Microsoft 硬件保修管理员
将 Microsoft 硬件保修管理员角色分配给需要执行以下任务的用户:
- 创建 Microsoft 制造硬件(如 Surface 和 HoloLens)新的保修索赔
- 搜索并读取未完成或已完成的保修索赔
- 按序列号搜索并读取保修索赔
- 创建、读取、更新和删除发货地址
- 读取未完成的保修索赔的发货状态
- 在 Microsoft 365 管理中心创建和管理服务请求
- 读取 Microsoft 365 管理中心的消息中心公告
保修索赔指根据保修条款请求维修或更换硬件。 有关详细信息,请参阅 Surface 自助服务保修和服务请求。
操作 | 说明 |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | 创建、读取、更新和删除 Microsoft 硬件保修声明的送货地址,包括其他人创建的送货地址 |
microsoft.hardware.support/shippingStatus/allProperties/read | 读取未完成的 Microsoft 硬件保修声明的发货状态 |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | 创建和管理 Microsoft 硬件保修声明的所有方面 |
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Microsoft 硬件保修专家
将 Microsoft 硬件保修专家角色分配给需要执行以下任务的用户:
- 创建 Microsoft 制造硬件(如 Surface 和 HoloLens)新的保修索赔
- 读取其创建的保修索赔
- 读取和更新现有发货地址
- 读取其创建的未完成的保修索赔的发货状态
- 在 Microsoft 365 管理中心创建和管理服务请求
保修索赔指根据保修条款请求维修或更换硬件。 有关详细信息,请参阅 Surface 自助服务保修和服务请求。
操作 | 说明 |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | 读取 Microsoft 硬件保修声明的送货地址,包括其他人创建的现有送货地址 |
microsoft.hardware.support/warrantyClaims/createAsOwner | 创建 Microsoft 硬件保修声明(创建者为所有者) |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
microsoft.hardware.support/shippingStatus/allProperties/read | 读取未完成的 Microsoft 硬件保修声明的发货状态 |
microsoft.hardware.support/warrantyClaims/allProperties/read | 读取 Microsoft 硬件保修声明 |
现代商务管理员
请勿使用。 此角色是从“商务”自动分配的,不可用于其他任何用途。 请查看下面的详细信息。
“现代商务管理员”角色向特定的用户授予访问 Microsoft 365 管理中心,以及查看左侧导航栏中“主页”、“计费”和“支持”条目的权限。 这些区域中提供的内容由分配给用户的商务特定角色控制,这些角色可让用户管理他们为自己或者为组织购买的产品。 这可能包括各种任务,例如支付账单,或访问计费帐户和计费配置文件。
具有“现代商务管理员”角色的用户通常在其他 Microsoft 购买系统中拥有管理权限,但没有可用于访问管理中心的“全局管理员”或“计费管理员”角色。
在什么情况下会分配现代商务管理员角色?
- Microsoft 365 管理中心自助购买 – 自助购买使用户有机会通过自行购买或注册新产品来试用这些产品。 这些产品在管理中心进行管理。 进行自助购买的用户将分配到商务系统中的某个角色和现代商务管理员角色,因此他们可以在管理中心管理其购买内容。 管理员可以通过 PowerShell 阻止自助购买(适用于 Fabric、Power BI、Power Apps、Power Automate)。 有关详细信息,请参阅自助购买常见问题解答。
- 从 Microsoft 商业市场购买 – 类似于自助购买,当用户从 Microsoft AppSource 或 Azure 市场购买产品或服务时,如果他们没有全局管理员角色或计费管理员角色,则会为他们分配现代商务管理员角色。 在某些情况下,可能会阻止用户进行此类购买。 有关详细信息,请参阅 Microsoft 商业市场。
- Microsoft 的推荐 - 推荐是 Microsoft 提出的正式建议,让你的组织可以优惠价格购买 Microsoft 产品和服务。 当接受此提案的人员在 Microsoft Entra ID 中没有全局管理员或计费管理员角色时,会向他们分配商业特定角色来完成该提案,同时分配现代商业管理员角色以访问管理中心。 当他们访问管理中心时,只能使用其商务特定角色授权的功能。
- 商务特定角色 – 会将某些用户分配到商务特定角色。 如果用户不是全局管理员或计费管理员,将为其分配现代商业管理员角色以访问管理中心。
如果取消分配了用户的现代商务管理员角色,他们将失去 Microsoft 365 管理中心的访问权限。 在此情况下,他们无法管理自己或组织的任何产品。 这些任务可能包括分配许可证、更改付款方式、支付账单或其他订阅管理任务。
操作 | 说明 |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | 管理批量许可服务中心的各个方面 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/basic/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
网络管理员
充当此角色的用户可以查看 Microsoft 根据其用户位置发出的网络遥测数据提供的网络外围体系结构建议。 Microsoft 365 的网络性能依赖于精心规划的企业客户网络外围体系结构,而该体系结构通常特定于用户位置。 利用此角色,可以编辑已发现的用户位置并配置这些位置的网络参数,以促进改善遥测结果并设计建议
操作 | 说明 |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | 管理网络位置的各个方面 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
Office 应用管理员
充当此角色的用户可以管理 Microsoft 365 应用的云设置。 这包括云策略管理、自助下载管理,以及查看与 Office 应用相关的报表的功能。 此外,该角色还可以在主管理中心管理支持票证和监视服务运行状况。 分配了此角色的用户还可以管理 Office 应用中新功能的通信。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.userCommunication/allEntities/allTasks | 读取和更新新增功能消息的可见性 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
组织品牌打造管理员
将组织品牌打造管理员角色分配给需要执行以下任务的用户:
- 管理租户中组织品牌打造的各个方面
- 读取、创建、更新和删除品牌打造主题
- 管理默认品牌打造主题和所有品牌打造本地化主题
操作 | 说明 |
---|---|
microsoft.directory/loginOrganizationBranding/allProperties/allTasks | 创建和删除 loginTenantBranding,读取和更新所有属性 |
组织消息审批者
将组织消息审批者角色分配给需要执行以下任务的用户:
- 在使用 Microsoft 365 组织消息平台向用户发送要传递的新组织消息之前,请在Microsoft 365 管理中心中审阅、批准或拒绝这些消息
- 读取组织消息的各个方面
- 在 Microsoft 365 管理中心读取所有资源的基本属性
操作 | 说明 |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/read | 读取 Microsoft 365 组织消息的各个方面 |
microsoft.office365.organizationalMessages/allEntities/allProperties/update | 在 Microsoft 365 管理中心中批准或拒绝要传递的新组织消息 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
组织消息编写者
将组织消息编写者角色分配给需要执行以下任务的用户:
- 使用 Microsoft 365 管理中心或 Microsoft Intune 编写、发布和删除组织消息
- 使用 Microsoft 365 管理中心或 Microsoft Intune 管理组织消息传递选项
- 使用 Microsoft 365 管理中心 或 Microsoft Intune 读取组织消息传递结果
- 查看 Microsoft 365 管理中心中的使用情况报告和大多数设置,但无法进行更改
操作 | 说明 |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | 管理 Microsoft 365 组织消息的各个创作方面 |
microsoft.office365.usageReports/allEntities/standard/read | 读取租户级聚合的 Office 365 使用情况报表 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
合作伙伴一线支持人员
这是一个特权角色。 请勿使用。 此角色已弃用,将在未来从 Microsoft Entra ID 中移除。 此角色仅供少数 Microsoft 转售合作伙伴使用,不适用于一般用途。
重要
此角色只能为非管理员重置密码,并使刷新令牌失效。 不应使用此角色,因为它已弃用。
合作伙伴二线支持人员
这是一个特权角色。 请勿使用。 此角色已弃用,将在未来从 Microsoft Entra ID 中移除。 此角色仅供少数 Microsoft 转售合作伙伴使用,不适用于一般用途。
重要
此角色可为所有非管理员和管理员(包括全局管理员)重置密码,并使刷新令牌失效。 不应使用此角色,因为它已弃用。
密码管理员
这是一个特权角色。 具有此角色的用户可以管理密码,但权限受限。 此角色不会授予管理服务请求或监视服务运行状况的能力。 密码管理员是否可以重置用户的密码取决于分配给用户的角色。 有关密码管理员可以为其重置密码的角色的列表,请参阅谁可以重置密码。
具有此角色的用户无法执行以下操作:
- 无法为可分配角色的组中的成员和所有者更改凭据或重置 MFA。
操作 | 说明 |
---|---|
microsoft.directory/users/password/update | 重置所有用户的密码 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
权限管理管理员
将权限管理管理员分配给需要执行以下任务的用户:
- 管理 Microsoft Entra 权限管理的各个方面(如果服务存在)
有关权限管理角色和策略的详细信息,请参阅查看有关角色/策略的信息。
操作 | 说明 |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | 管理 Microsoft Entra 权限管理的各个方面 |
Power Platform 管理员
充当此角色的用户可以创建和管理环境、Power Apps、Flows、数据丢失防护策略的所有方面。 另外,具有此角色的用户可以管理支持票证并监视服务运行状况。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.dynamics365/allEntities/allTasks | 管理 Dynamics 365 的各个方面 |
microsoft.flow/allEntities/allTasks | 管理 Microsoft Power Automate 的各个方面 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
microsoft.powerApps/allEntities/allTasks | 管理 Power Apps 的各个方面 |
打印机管理员
充当此角色的用户可以在 Microsoft 通用打印解决方案中注册打印机和管理所有打印机配置的各个方面,包括“通用打印连接器”设置。 他们可以同意所有委托的打印权限请求。 打印机管理员还有权访问打印报告。
操作 | 说明 |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | 在 Microsoft Print 中创建和删除打印机和连接器,读取和更新所有属性 |
打印机技术人员
具有此角色的用户可以在 Microsoft 通用打印解决方案中注册打印机和管理打印机状态。 他们还可以读取所有连接器信息。 打印机技术人员无法执行的重要任务是设置用户对打印机的权限以及共享打印机。
操作 | 说明 |
---|---|
microsoft.azure.print/connectors/allProperties/read | 在 Microsoft Print 中读取连接器的所有属性 |
microsoft.azure.print/printers/allProperties/read | 在 Microsoft Print 中读取打印机的所有属性 |
microsoft.azure.print/printers/basic/update | 在 Microsoft Print 中更新打印机的基本属性 |
microsoft.azure.print/printers/register | 在 Microsoft Print 中注册打印机 |
microsoft.azure.print/printers/unregister | 在 Microsoft Print 中取消注册打印机 |
特权身份验证管理员
这是一个特权角色。 将特权身份验证管理员角色分配给需要执行以下任务的用户:
- 为任何用户(包括全局管理员)设置或重置身份验证方法(包括密码)。
- 删除或还原任何用户,包括全局管理员。 有关详细信息,请参阅谁可以执行敏感操作。
- 强制用户重新注册现有非密码凭据(例如 MFA 或 FIDO),以及撤销“在设备上记住 MFA”(所有用户下次登录时系统会提示其执行 MFA)。
- 为所有用户更新敏感属性。 有关详细信息,请参阅谁可以执行敏感操作。
- 在 Azure 和 Microsoft 365 管理中心创建和管理支持工单。
具有此角色的用户无法执行以下操作:
- 无法管理旧版 MFA 管理门户中的每用户 MFA。
下表比较了与身份验证相关的角色的功能。
角色 | 管理用户的身份验证方法 | 管理每用户 MFA | 管理 MFA 设置 | 管理身份验证方法策略 | 管理密码保护策略 | 更新敏感属性 | 删除和还原用户 |
---|---|---|---|---|---|---|---|
身份验证管理员 | 对于某些用户为“是” | 对于某些用户为“是” | 是 | 否 | 否 | 对于某些用户为“是” | 对于某些用户为“是” |
特权身份验证管理员 | 对于所有用户为“是” | 对于所有用户为“是” | 否 | No | 否 | 对于所有用户为“是” | 对于所有用户为“是” |
身份验证策略管理员 | 否 | 是 | 是 | 是 | 是 | 否 | 否 |
用户管理员 | 否 | No | No | No | 否 | 对于某些用户为“是” | 对于某些用户为“是” |
重要
具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的凭据。 更改用户的凭据可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予身份验证管理员的特权。 通过此路径,身份验证管理员可以假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置拥有访问权限。
- 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
- Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
- 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
特权角色管理员
这是一个特权角色。 具有此角色的用户可以在 Microsoft Entra ID 中以及 Microsoft Entra Privileged Identity Management 中管理角色分配。 他们可以创建和管理可分配给 Microsoft Entra 角色的组。 此外,此角色允许管理 Privileged Identity Management 和管理单元的所有方面。
重要
此角色具有管理所有 Microsoft Entra 角色(包括全局管理员角色)的分配的能力。 此角色不包括 Microsoft Entra ID 中的任何其他权限功能,如创建或更新用户。 但是,分配到此角色的用户可通过分配其他角色,授予自己或其他人额外的特权。
报告读者
具有此角色的用户可在 Microsoft 365 管理中心以及 Fabric 和 Power BI 中的采用上下文包内查看使用情况报告数据和报告仪表板。 此外,拥有此角色后还可访问 Microsoft Entra ID 中所有的登录日志、审核日志和活动报告,以及 Microsoft Graph 报告 API 返回的数据。 分配到“报告读者”角色的用户只能访问相关使用情况和采用指标。 它们没有任何管理员权限,无法配置设置或访问产品特定的管理中心(如 Exchange)。 此角色无权查看、创建或管理支持票证。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.directory/auditLogs/allProperties/read | 读取审核日志上的所有属性,不包括自定义安全属性审核日志 |
microsoft.directory/provisioningLogs/allProperties/read | 读取预配日志的所有属性 |
microsoft.directory/signInReports/allProperties/read | 读取登录报告上的所有属性,包括特权属性 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
搜索管理员
充当此角色的用户对 Microsoft 365 管理中心内的所有 Microsoft 搜索管理功能拥有完全访问权限。 此外,这些用户可以查看消息中心、监视服务运行状况和创建服务请求。
操作 | 说明 |
---|---|
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.search/content/manage | 在 Microsoft 搜索中创建和删除内容,读取和更新所有属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
搜索编辑员
充当此角色的用户可以在 Microsoft 365 管理中心创建、管理和删除 Microsoft 搜索的内容,包括书签、问答和位置。
操作 | 说明 |
---|---|
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.search/content/manage | 在 Microsoft 搜索中创建和删除内容,读取和更新所有属性 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
安全管理员
这是一个特权角色。 具有此角色的用户有权管理 Microsoft 365 Defender 门户、Microsoft Entra ID 保护、Microsoft Entra 身份验证、Azure 信息保护以及 Microsoft Purview 合规门户内与安全相关的功能。 有关 Office 365 权限的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组。
In | 有权执行的操作 |
---|---|
Microsoft 365 Defender 门户 | 跨 Microsoft 365 服务监视与安全相关的策略 管理安全威胁和警报 查看报告 |
Microsoft Entra ID 保护 | 安全读取者角色的所有权限 执行除重置密码之外的所有 ID 保护操作 |
Privileged Identity Management | 安全读取者角色的所有权限 无法管理 Microsoft Entra 角色分配或设置 |
Microsoft Purview 合规性门户 | 管理安全策略 查看、调查和响应安全威胁 查看报表 |
Azure 高级威胁防护 | 监视和响应可疑安全活动 |
用于终结点的 Microsoft Defender | 分配角色 管理计算机组 配置终结点威胁检测和自动修正 查看、调查并响应警报 查看计算机/设备清单 |
Intune | 映射到 Intune 终结点安全管理员角色 |
Microsoft Defender for Cloud Apps | 添加管理员、添加策略和设置、上传日志以及执行管理操作 |
Microsoft 365 服务运行状况 | 查看 Microsoft 365 服务的运行状况 |
智能锁定 | 定义在发生登录失败事件时实施锁定的阈值和持续时间。 |
密码保护 | 配置自定义受禁密码列表或本地密码保护。 |
跨租户同步 | 为另一租户中的用户配置跨租户访问设置。 安全管理员不能直接创建和删除用户,但当两个租户都配置为跨租户同步(一种特权)时,可以从另一个租户间接创建和删除已同步的用户。 |
安全操作员
这是一个特权角色。 具有此角色的用户可以管理警报,并拥有对安全相关功能的全局只读访问权限,包括 Microsoft 365 Defender 门户、Microsoft Entra ID 保护、Privileged Identity Management 和 Microsoft Purview 合规中心内的所有信息。 有关 Office 365 权限的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组。
In | 有权执行的操作 |
---|---|
Microsoft 365 Defender 门户 | 安全读取者角色的所有权限 查看、调查和响应安全威胁警报 在 Microsoft 365 Defender 门户中管理安全设置 |
Microsoft Entra ID 保护 | 安全读取者角色的所有权限 执行所有 ID 保护操作,但配置或更改基于风险的策略、重置密码和配置警报电子邮件除外。 |
Privileged Identity Management | 安全读取者角色的所有权限 |
Microsoft Purview 合规性门户 | 安全读取者角色的所有权限 查看、调查和响应安全警报 |
用于终结点的 Microsoft Defender | 安全读取者角色的所有权限 查看、调查和响应安全警报 在 Microsoft Defender for Endpoint 中启用基于角色的访问控制后,具有只读权限的用户(例如安全读取者角色)在被分配 Microsoft Defender for Endpoint 角色之前会失去访问权限。 |
Intune | 安全读取者角色的所有权限 |
Microsoft Defender for Cloud Apps | 安全读取者角色的所有权限 查看、调查和响应安全警报 |
Microsoft 365 服务运行状况 | 查看 Microsoft 365 服务的运行状况 |
安全读取者
这是一个特权角色。 具有此角色的用户对安全相关的功能具有全局只读访问权限,包括 Microsoft 365 Defender 门户、Microsoft Entra ID 保护、Privileged Identity Management 中的所有信息,并且能够阅读 Microsoft Entra 登录报告和审核日志,还授予了对 Microsoft Purview 合规门户的只读权限。 有关 Office 365 权限的详细信息,请参阅 Microsoft Defender for Office 365 和 Microsoft Purview 合规性中的角色和角色组。
In | 有权执行的操作 |
---|---|
Microsoft 365 Defender 门户 | 跨 Microsoft 365 服务查看与安全相关的策略 查看安全威胁和警报 查看报告 |
Microsoft Entra ID 保护 | 查看所有 ID 保护报告和概述 |
Privileged Identity Management | 以只读方式访问 Microsoft Entra Privileged Identity Management 中显示的所有信息:Microsoft Entra 角色分配的策略和报告以及安全评审。 无法注册 Microsoft Entra Privileged Identity Management 或对其进行任何更改。 充当此角色的人员可以通过 Privileged Identity Management 门户或 PowerShell 为符合条件的用户激活其他角色(例如,特权角色管理员)。 |
Microsoft Purview 合规性门户 | 查看安全策略 查看并调查安全威胁 查看报表 |
用于终结点的 Microsoft Defender | 查看并调查警报 在 Microsoft Defender for Endpoint 中启用基于角色的访问控制后,具有只读权限的用户(例如安全读取者角色)在被分配 Microsoft Defender for Endpoint 角色之前会失去访问权限。 |
Intune | 视图用户、设备、注册、配置和应用程序信息。 无法对 Intune 进行更改。 |
Microsoft Defender for Cloud Apps | 具有读取权限。 |
Microsoft 365 服务运行状况 | 查看 Microsoft 365 服务的运行状况 |
服务支持管理员
具有此角色的用户可以通过 Microsoft 创建和管理有关 Azure 和 Microsoft 365 服务的支持请求,还可以在 Azure 门户和 Microsoft 365 管理中心查看服务仪表板和消息中心。 有关详细信息,请参阅关于 Microsoft 365 管理中心内的管理员角色。
注意
以前,此角色在 Azure 门户和 Microsoft 365 管理中心内称为“服务管理员”。 它已重命名为“服务支持管理员”,以便与 Microsoft Graph API 和 Microsoft Graph PowerShell 中的现有名称保持一致。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
SharePoint 管理员
具有此角色的用户在 Microsoft SharePoint Online(如果存在此服务)中拥有全局权限,并且能够创建和管理所有 Microsoft 365 组,管理支持票证并监视服务运行状况。 有关详细信息,请参阅关于 Microsoft 365 管理中心内的管理员角色。
注意
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色名为“SharePoint 服务管理员”。 在 Azure 门户中,它名为“SharePoint 管理员”。
注意
此角色还将作用域内权限授予用于 Microsoft Intune 的 Microsoft Graph API,从而允许管理和配置与 SharePoint 和 OneDrive 资源相关的策略。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份中创建和管理 OneDrive 保护策略 |
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks | 在 Microsoft 365 备份中读取和配置 OneDrive 的还原会话 |
microsoft.backup/restorePoints/sites/allProperties/allTasks | 在 M365 备份中管理与所选 SharePoint 网站关联的所有还原点 |
microsoft.backup/restorePoints/userDrives/allProperties/allTasks | 在 M365 备份中管理与所选 OneDrive 帐户关联的所有还原点 |
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks | 在 Microsoft 365 备份中创建和管理 SharePoint 保护策略 |
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks | 在 Microsoft 365 备份中读取和配置 SharePoint 的还原会话 |
microsoft.backup/siteProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份中管理添加到 SharePoint 保护策略的网站 |
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks | 在 Microsoft 365 备份中管理添加到 SharePoint 还原会话的网站 |
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks | 在 Microsoft 365 备份中管理添加到 OneDrive 保护策略的帐户 |
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks | 在 Microsoft 365 备份中管理添加到 OneDrive 还原会话的帐户 |
microsoft.directory/groups/hiddenMembers/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员 |
microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups.unified/create | 创建 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/delete | 删除 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 组(不包括可分配角色的组)的所有者 |
microsoft.directory/groups.unified/restore | 从软删除的容器还原 Microsoft 365 组,不包括可进行角色分配的组 |
microsoft.office365.migrations/allEntities/allProperties/allTasks | 管理 Microsoft 365 迁移的所有方面 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.sharePoint/allEntities/allTasks | 在 SharePoint 中创建和删除所有资源,读取和更新标准属性 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
SharePoint Embedded 管理员
将 SharePoint Embedded 管理员角色分配给需要执行以下任务的用户:
- 使用 PowerShell、Microsoft Graph API 或 SharePoint 管理中心执行所有任务
- 管理、配置和维护 SharePoint Embedded 容器
- 枚举和管理 SharePoint Embedded 容器
- 枚举和管理 SharePoint Embedded 容器的权限
- 管理租户中 SharePoint Embedded 容器的存储
- 针对 SharePoint Embedded 容器分配安全性与合规性策略
- 针对租户中的 SharePoint Embedded 容器应用安全性与合规性策略
操作 | 说明 |
---|---|
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | 管理 SharePoint Embedded 容器的所有方面 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
Skype for Business 管理员
具有此角色的用户具有 Microsoft Skype for Business 中的全局权限,以及管理 Microsoft Entra ID 中的特定于 Skype 的用户属性。 此外,此角色可授予管理支持票证、监视服务运行状况以及访问 Teams 和 Skype for Business 管理中心的能力。 帐户必须获取 Teams 许可证,否则无法运行 Teams PowerShell cmdlet。 有关详细信息,请参阅 Skype for Business Online 管理员;有关 Teams 许可信息,请参阅 Skype for Business 加载项许可。
注意
在 Microsoft Graph API 和 Microsoft Graph PowerShell 中,此角色名为“Lync 服务管理员”。 在 Azure 门户中,它名为“Skype for Business 管理员”。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
Teams 管理员
充当此角色的用户可以通过 Microsoft Teams 和 Skype for Business 管理中心以及相应的 PowerShell 模块来管理 Microsoft Teams 工作负荷的所有方面。 这包括(但不限于)与电话、消息、会议和 Teams 自身相关的所有管理工具。 另外,利用此角色,还可以创建和管理所有 Microsoft 365 组,管理支持票证并监视服务运行状况。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 更新跨租户访问策略的允许的云终结点 |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 更新默认跨租户访问策略的跨云 Teams 会议 |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | 读取默认跨租户访问策略的基本属性 |
microsoft.directory/crossTenantAccessPolicy/partners/create | 为合作伙伴创建跨租户访问策略 |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 更新合作伙伴的跨租户访问策略的跨云 Teams 会议 |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 读取合作伙伴的跨租户访问策略的基本属性 |
microsoft.directory/crossTenantAccessPolicy/standard/read | 读取跨租户访问策略的基本属性 |
microsoft.directory/externalUserProfiles/basic/update | 在 Teams 的扩展目录中更新外部用户配置文件的基本属性 |
microsoft.directory/externalUserProfiles/delete | 删除 Teams 扩展目录中的外部用户配置文件 |
microsoft.directory/externalUserProfiles/standard/read | 在 Teams 的扩展目录中读取外部用户配置文件的标准属性 |
microsoft.directory/groups/hiddenMembers/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员 |
microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups.unified/create | 创建 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/delete | 删除 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 组(不包括可分配角色的组)的所有者 |
microsoft.directory/groups.unified/restore | 从软删除的容器还原 Microsoft 365 组,不包括可进行角色分配的组 |
microsoft.directory/pendingExternalUserProfiles/basic/update | 在 Teams 的扩展目录中更新外部用户配置文件的基本属性 |
microsoft.directory/pendingExternalUserProfiles/create | 在 Teams 的扩展目录中创建外部用户配置文件 |
microsoft.directory/pendingExternalUserProfiles/delete | 删除 Teams 扩展目录中的外部用户配置文件 |
microsoft.directory/pendingExternalUserProfiles/standard/read | 在 Teams 的扩展目录中读取外部用户配置文件的标准属性 |
microsoft.directory/permissionGrantPolicies/standard/read | 读取权限授予策略的标准属性 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.teams/allEntities/allProperties/allTasks | 管理 Teams 中的所有资源 |
Teams 通信管理员
充当此角色的用户可以管理 Microsoft Teams 工作负荷的语音与电话相关方面。 这包括用于分配电话号码的管理工具、语音和会议策略,以及通话分析工具集的完全访问权限。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.teams/callQuality/allProperties/read | 读取通话质量仪表板 (CQD) 中的所有数据 |
microsoft.teams/meetings/allProperties/allTasks | 管理会议,包括会议策略、配置和会议网桥 |
microsoft.teams/voice/allProperties/allTasks | 管理语音,包括呼叫策略以及电话号码清单和分配 |
Teams 通信支持工程师
充当此角色的用户可以使用 Microsoft Teams 和 Skype for Business 管理中心的用户通话故障排除工具,来排查 Microsoft Teams 和 Skype for Business 中的通信问题。 充当此角色的用户可以查看所有参与方的完整通话记录信息。 此角色无权查看、创建或管理支持票证。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.teams/callQuality/allProperties/read | 读取通话质量仪表板 (CQD) 中的所有数据 |
Teams 通信支持专家
充当此角色的用户可以使用 Microsoft Teams 和 Skype for Business 管理中心的用户通话故障排除工具,来排查 Microsoft Teams 和 Skype for Business 中的通信问题。 充当此角色的用户只能查看他们所查找的特定用户的通话中的用户详细信息。 此角色无权查看、创建或管理支持票证。
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.teams/callQuality/standard/read | 读取通话质量仪表板 (CQD) 中的基本数据 |
Teams 设备管理员
具有此角色的用户可以在 Teams 管理中心管理 Teams 认证的设备。 此角色允许同时查看所有设备,并能够搜索和筛选设备。 用户可以检查每个设备的详细信息,包括设备的登录帐户、品牌和型号。 用户可以更改设备上的设置并更新软件版本。 此角色不会授权检查 Teams 活动和设备的通话质量。
操作 | 说明 |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.teams/devices/standard/read | 管理经 Teams 认证的设备的各个方面,包括配置策略 |
Teams 电话服务管理员
将 Teams 电话服务管理员角色分配给需要执行以下任务的用户:
- 管理语音和电话服务,包括通话策略、电话号码管理和分配,以及语音应用程序
- 在 Teams 管理中心只能访问公用电话交换网 (PSTN) 使用报告
- 查看用户个人资料页
- 在 Azure 和 Microsoft 365 管理中心创建和管理支持工单
操作 | 说明 |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | 读取和配置 Azure 服务运行状况 |
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.directory/authorizationPolicy/standard/read | 读取授权策略的标准属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | 管理 Skype for Business Online 的各个方面 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.teams/callQuality/allProperties/read | 读取通话质量仪表板 (CQD) 中的所有数据 |
microsoft.teams/voice/allProperties/allTasks | 管理语音,包括呼叫策略以及电话号码清单和分配 |
租户创建者
为需要执行以下任务的用户分配租户创建者角色:
- 即使在用户设置中关闭了租户创建开关,也可以创建 Microsoft Entra 和 Azure Active Directory B2C 租户
注意
将为租户创建者分配他们所创建的新租户的全局管理员角色。
操作 | 说明 |
---|---|
microsoft.directory/tenantManagement/tenants/create | 在 Microsoft Entra ID 中创建新租户 |
使用情况摘要报表读取者
将使用情况摘要报告读取者角色分配给需要在Microsoft 365 管理中心中执行以下任务的用户:
- 查看使用情况报告和采用分数
- 读取组织见解,但不读取用户的个人身份信息 (PII)
此角色仅允许用户查看组织级数据,但存在以下例外情况:
- 成员用户可以查看用户管理数据和设置。
- 分配了此角色的来宾用户无法查看用户管理数据和设置。
操作 | 说明 |
---|---|
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.usageReports/allEntities/standard/read | 读取租户级聚合的 Office 365 使用情况报表 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
用户管理员
这是一个特权角色。 将用户管理员角色分配给需要执行以下操作的用户:
权限 | 详细信息 |
---|---|
创建用户 | |
为所有用户更新大多数用户属性,包括所有管理员 | 谁可以执行敏感操作 |
为某些用户更新敏感属性(包括用户主体名称) | 谁可以执行敏感操作 |
禁用或启用某些用户 | 谁可以执行敏感操作 |
删除或还原某些用户 | 谁可以执行敏感操作 |
创建和管理用户视图 | |
创建和管理所有组 | |
分配和读取所有用户(包括所有管理员)的许可证 | |
重置密码 | 谁可以重置密码 |
使刷新令牌失效 | 谁可以重置密码 |
更新 (FIDO) 设备密钥 | |
更新密码过期策略 | |
在 Azure 和 Microsoft 365 管理中心创建和管理支持工单 | |
监视服务运行状况 |
具有此角色的用户无法执行以下操作:
- 无法管理 MFA。
- 无法为可分配角色的组中的成员和所有者更改凭据或重置 MFA。
- 无法管理共享邮箱。
- 无法修改密码重置操作的安全问题。
重要
具有此角色的用户可以更改可能有权访问 Microsoft Entra ID 内外敏感或私有信息或关键配置的用户的密码。 更改用户的密码可能意味着假定用户标识和权限的能力。 例如:
- 应用程序注册和企业应用程序所有者,可以管理他们拥有的应用的凭据。 这些应用程序可能在 Microsoft Entra ID 或其他位置拥有未授予用户管理员的特权。 通过此路径,用户管理员可能能够假定应用程序所有者的身份,然后通过更新应用程序的凭据来进一步假定特权应用程序的标识。
- Azure 订阅所有者,可能对 Azure 中的敏感或私有信息或关键配置拥有访问权限。
- 安全组和 Microsoft 365 组所有者,可以管理组成员资格。 这些组可能会授予对 Microsoft Entra ID 或其他位置敏感或私有信息或关键配置的访问权限。
- Microsoft Entra ID 以外的其他服务(如 Exchange Online、Microsoft 365 Defender 门户、Microsoft Purview 合规门户和人力资源系统)中的管理员。
- 高级管理人员、法律顾问和人力资源员工之类的非管理员,可能有权访问敏感或私有信息。
用户体验成功管理器
将用户体验成功管理员角色分配给需要执行以下任务的用户:
- 读取 Microsoft 365 应用和服务的组织级使用情况报告,但不包括用户详细信息
- 查看组织的产品反馈、Net Promoter Score (NPS) 调查结果,并帮助文章视图确定沟通和培训机会
- 读取消息中心帖子和服务运行状况数据
操作 | 说明 |
---|---|
microsoft.commerce.billing/purchases/standard/read | 在 M365 管理员中心读取购买服务。 |
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.organizationalMessages/allEntities/allProperties/read | 读取 Microsoft 365 组织消息的各个方面 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.usageReports/allEntities/standard/read | 读取租户级聚合的 Office 365 使用情况报表 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Virtual Visits 管理员
具有此角色的用户可执行以下任务:
- 在 Microsoft 365 管理中心的 Bookings 中和 Teams EHR 连接器中管理和配置 Virtual Visits 的各个方面
- 在 Teams 管理中心、Microsoft 365 管理中心、Fabric 和 PowerBI 中查看虚拟访问的使用情况报告
- 在 Microsoft 365 管理中心查看功能和设置,但无法编辑任何设置
Virtual Visits 是一种用于为员工和与会者安排和管理在线和视频会议的简单方法。 例如,使用情况报告可以显示在会议之前如何发送短信可减少不参加会议的人数。
操作 | 说明 |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
microsoft.virtualVisits/allEntities/allProperties/allTasks | 从管理中心或 Virtual Visits 应用管理和共享 Virtual Visits 信息和指标 |
Viva Goals 管理员
将 Viva Goals 管理员角色分配给需要执行以下任务的用户:
- 管理和配置 Microsoft Viva Goals 应用程序的所有方面
- 配置 Microsoft Viva Goals 管理员设置
- 读取 Microsoft Entra 租户信息
- 监视 Microsoft 365 服务运行状况
- 创建和管理 Microsoft 365 服务请求
有关详细信息,请参阅 Viva Goals 中的角色和权限和 Microsoft Viva Goals 简介。
操作 | 说明 |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.viva.goals/allEntities/allProperties/allTasks | 管理 Microsoft Viva Goals 的所有方面 |
Viva Pulse 管理员
将 Viva Pulse 管理员角色分配给需要执行以下任务的用户:
- 读取并配置 Viva Pulse 的所有设置
- 在 Microsoft 365 管理中心中读取所有资源的基本属性
- 读取和配置 Azure 服务运行状况
- 创建和管理 Azure 支持票证
- 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息
- 在 Microsoft 365 管理中心读取使用情况报告
有关详细信息,请参阅在 Microsoft 365 管理中心分配 Viva Pulse 管理员。
操作 | 说明 |
---|---|
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | 管理 Microsoft Viva Pulse 的所有方面 |
Windows 365 管理员
具有此角色的用户具有对 Windows 365 资源的全局权限(如果该服务存在)。 此外,此角色包含管理以关联策略,以及创建和管理组的用户和设备的能力。
此角色可创建和管理安全组,但不具有对 Microsoft 365 组的管理员权限。 这意味着管理员无法更新组织中 Microsoft 365 组的所有者或成员身份。 但是,他们可以管理他们创建的 Microsoft 365 组,这是其最终用户权限的一部分。 因此,他们创建的任何 Microsoft 365 组(不是安全组)都计入其 250 的配额。
将 Windows 365 管理员角色分配给需要执行以下任务的用户:
- 在 Microsoft Intune 中管理 Windows 365云电脑
- 在 Microsoft Entra ID 中注册和管理设备,包括分配用户和策略
- 创建和管理安全组,但不是可分配角色的组
- 在 Microsoft 365 管理中心查看基本属性
- 在 Microsoft 365 管理中心读取使用情况报告
- 在 Azure 和 Microsoft 365 管理中心创建和管理支持工单
操作 | 说明 |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | 创建和管理 Azure 支持票证 |
microsoft.cloudPC/allEntities/allProperties/allTasks | 管理 Windows 365 的所有方面 |
microsoft.directory/deletedItems.devices/delete | 永久删除无法再还原的设备 |
microsoft.directory/deletedItems.devices/restore | 将软删除的设备还原到原始状态 |
microsoft.directory/deviceManagementPolicies/standard/read | 读取有关移动设备管理和移动应用管理策略的标准属性 |
microsoft.directory/deviceRegistrationPolicy/standard/read | 读取设备注册策略上的标准属性 |
microsoft.directory/devices/basic/update | 更新设备上的基本属性 |
microsoft.directory/devices/create | 创建设备(在 Microsoft Entra ID 中注册) |
microsoft.directory/devices/delete | 从 Microsoft Entra ID 中删除设备 |
microsoft.directory/devices/disable | 在 Microsoft Entra ID 中禁用设备 |
microsoft.directory/devices/enable | 在 Microsoft Entra ID 中启用设备 |
microsoft.directory/devices/extensionAttributeSet1/update | 在设备上更新 extensionAttribute1 到 extensionAttribute5 属性 |
microsoft.directory/devices/extensionAttributeSet2/update | 在设备上更新 extensionAttribute6 到 extensionAttribute10 属性 |
microsoft.directory/devices/extensionAttributeSet3/update | 在设备上更新 extensionAttribute11 到 extensionAttribute15 属性 |
microsoft.directory/devices/registeredOwners/update | 更新设备的已注册所有者 |
microsoft.directory/devices/registeredUsers/update | 更新设备的已注册用户 |
microsoft.directory/groups.security/basic/update | 更新安全组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups.security/classification/update | 更新安全组(不包括可分配角色的组)的分类属性 |
microsoft.directory/groups.security/create | 创建安全组(不包括可分配角色的组) |
microsoft.directory/groups.security/delete | 删除安全组(不包括可分配角色的组) |
microsoft.directory/groups.security/dynamicMembershipRule/update | 更新安全组(不包括可分配角色的组)的动态成员身份规则 |
microsoft.directory/groups.security/members/update | 更新安全组(不包括可分配角色的组)的成员 |
microsoft.directory/groups.security/owners/update | 更新安全组(不包括可分配角色的组)的所有者 |
microsoft.directory/groups.security/visibility/update | 更新安全组(不包括可分配角色的组)的可见性属性 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心读取所有资源的基本属性 |
Windows 更新部署管理员
此角色中的用户可以通过适用于企业的 Windows 更新部署服务来创建和管理 Windows 更新部署的所有方面。 利用该部署服务,用户可以定义部署更新的时间和方式的相关设置,并指定向其租户中的设备组提供哪些更新。 该服务还允许用户监视更新进度。
操作 | 说明 |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | 读取和配置 Windows 更新服务的各个方面 |
Yammer 管理员
将 Yammer 管理员角色分配给需要执行以下任务的用户:
- 管理 Yammer 的所有方面
- 创建、管理和还原 Microsoft 365 组(但不包括可分配角色的组)
- 查看安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员
- 在 Microsoft 365 管理中心读取使用情况报告
- 在 Microsoft 365 管理中心创建和管理服务请求
- 在消息中心查看公告(但不包括安全公告)
- 查看服务运行状况
操作 | 说明 |
---|---|
microsoft.directory/groups/hiddenMembers/read | 读取安全组和 Microsoft 365 组(包括可分配角色的组)的隐藏成员 |
microsoft.directory/groups.unified/basic/update | 更新 Microsoft 365 组(不包括可分配角色的组)的基本属性 |
microsoft.directory/groups.unified/create | 创建 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/delete | 删除 Microsoft 365 组(不包括可分配角色的组) |
microsoft.directory/groups.unified/members/update | 更新 Microsoft 365 组(不包括可分配角色的组)的成员 |
microsoft.directory/groups.unified/owners/update | 更新 Microsoft 365 组(不包括可分配角色的组)的所有者 |
microsoft.directory/groups.unified/restore | 从软删除的容器还原 Microsoft 365 组,不包括可进行角色分配的组 |
microsoft.office365.messageCenter/messages/read | 在 Microsoft 365 管理中心读取消息中心中的消息,不包括安全消息 |
microsoft.office365.network/performance/allProperties/read | 在 Microsoft 365 管理中心中读取所有网络性能属性 |
microsoft.office365.serviceHealth/allEntities/allTasks | 在 Microsoft 365 管理中心读取和配置服务运行状况 |
microsoft.office365.supportTickets/allEntities/allTasks | 创建和管理 Microsoft 365 服务请求 |
microsoft.office365.usageReports/allEntities/allProperties/read | 阅读 Office 365 使用情况报告 |
microsoft.office365.webPortal/allEntities/standard/read | 在 Microsoft 365 管理中心中读取所有资源的基本属性 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | 管理 Yammer 的所有方面 |
已弃用的角色
不应使用以下角色。 它们已被弃用,将在未来从 Microsoft Entra ID 中移除。
- 即席许可证管理员
- 设备联接
- 设备管理器
- 设备用户
- 经电子邮件验证的用户创建者
- 邮箱管理员
- 工作区设备联接
门户中未显示的角色
Azure 门户中不一定会显示 PowerShell 或 MS Graph API 返回的每个角色。 下表整理了这些差异。
API 名称 | Azure 门户中的名称 | 说明 |
---|---|---|
设备联接 | 已放弃 | 已弃用角色的文档 |
设备管理器 | 已放弃 | 已弃用角色的文档 |
设备用户 | 已放弃 | 已弃用角色的文档 |
目录同步帐户 | 未显示,因为不应使用它 | 目录同步帐户文档 |
来宾用户 | 未显示,因为无法使用它 | NA |
合作伙伴层 1 支持 | 未显示,因为不应使用它 | 合作伙伴一线支持人员文档 |
合作伙伴层 2 支持 | 未显示,因为不应使用它 | 合作伙伴二线支持人员文档 |
受限来宾用户 | 未显示,因为无法使用它 | NA |
用户 | 未显示,因为无法使用它 | NA |
工作区设备联接 | 已放弃 | 已弃用角色的文档 |