Microsoft 服務的角色
Microsoft 365 中的服務可以由 Microsoft Entra ID 中的系統管理角色進行管理。 某些服務也提供該服務特定的其他角色。 本文章列出了與 Microsoft 365 和其他服務的角色型存取控制 (RBAC) 相關的內容、API 參考以及稽核與監視參考。
Microsoft Entra
Microsoft Entra 中的 Microsoft Entra ID 與相關服務。
Microsoft Entra ID
| 區域 | Content |
|---|---|
| 概觀 | Microsoft Entra 內建角色 |
| 管理 API 參考 | Microsoft Entra 角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 將角色指派給群組時,請使用 Microsoft Graph v1.0 groups API 管理群組成員資格 |
| 稽核和監視參考 | Microsoft Entra 角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核• 將角色指派給群組時,若要稽核群組成員資格的變更,請參閱使用 GroupManagement 類別、Add member to group 活動與 Remove member from group 稽核 |
權利管理
| 區域 | Content |
|---|---|
| 概觀 | 權利管理角色 |
| 管理 API 參考 | Microsoft Entra ID 中的權利管理特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以下列開頭的許可權的角色: microsoft.directory/entitlementManagement權利管理特定角色 Microsoft Graph v1.0 roleManagement API • 使用 entitlementManagement 提供者 |
| 稽核和監視參考 | Microsoft Entra ID 中的權利管理特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核權利管理特定角色 在 Microsoft Entra 稽核記錄中,具有 EntitlementManagement 類別和活動的是下列其中一項:• Remove Entitlement Management role assignment• Add Entitlement Management role assignment |
Microsoft 365
Microsoft 365 套件中的服務。
Exchange
| 區域 | Content |
|---|---|
| 概觀 | Exchange Online 中的權限 |
| 管理 API 參考 | Microsoft Entra ID 中的交換特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 具有以下列開頭的許可權的角色: microsoft.office365.exchange交換特定角色 Microsoft Graph Beta roleManagement API • 使用 exchange 提供者 |
| 稽核和監視參考 | Microsoft Entra ID 中的交換特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核交換特定角色 使用 Microsoft Graph Beta Security API (稽核記錄查詢) 並列出稽核事件,其中 recordType == ExchangeAdmin 與作業是下列其中一項:Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember、New-RoleGroup、Remove-RoleGroup、New-ManagementRole、Remove-ManagementRoleEntry、New-ManagementRoleAssignment |
SharePoint
包含 SharePoint、OneDrive、Delve、Lists、Project Online 和 Loop。
| 區域 | Content |
|---|---|
| 概觀 | 關於 Microsoft 365 中的 SharePoint 系統管理員角色 深入了解管理員 Microsoft 清單的控制項設定 在 Project Online 中變更使用權限管理 |
| 管理 API 參考 | Microsoft Entra ID 中的 SharePoint 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 具有以下列開頭的許可權的角色: microsoft.office365.sharepoint |
| 稽核和監視參考 | Microsoft Entra ID 中的 SharePoint 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
Intune
| 區域 | Content |
|---|---|
| 概觀 | 使用 Microsoft Intune 的角色型存取控制 (RBAC) |
| 管理 API 參考 | Microsoft Entra ID 中的 Intune 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 具有以下列開頭的許可權的角色: microsoft.intuneIntune 特定角色 Microsoft Graph Beta roleManagement API • 使用 deviceManagement 提供者• 或者,使用 Intune 特定的 Microsoft Graph Beta RBAC management API |
| 稽核和監視參考 | Microsoft Entra ID 中的 Intune 特定角色 Microsoft Graph v1.0 directoryAudit API • RoleManagement 類別Intune 特定角色 Intune 稽核概觀 Intune 特定稽核記錄的 API 存取: • Microsoft Graph Beta getAuditActivityTypes API • 首先列出 category= Role 的活動類型,然後使用 Microsoft Graph Beta auditEvents API 列出每個活動類型的所有 auditEvents |
Teams
包括 Teams、Bookings、Copilot Studio for Teams 和 Shifts。
| 區域 | Content |
|---|---|
| 概觀 | 使用 Microsoft Teams 系統管理員角色來管理 Teams |
| 管理 API 參考 | Microsoft Entra ID 中的 Teams 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 具有以下列開頭的許可權的角色: microsoft.teams |
| 稽核和監視參考 | Microsoft Entra ID 中的 Teams 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
Purview 套件
包括 Purview 套件、Azure 資訊保護和資訊屏障。
| 區域 | Content |
|---|---|
| 概觀 | 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 中的角色和角色群組 |
| 管理 API 參考 | Microsoft Entra ID 中的 Purview 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以下列開頭的許可權的角色: microsoft.office365.complianceManagermicrosoft.office365.protectionCentermicrosoft.office365.securityComplianceCenterPurview 特定角色 使用 PowerShell:安全性與合規性 PowerShell。 特定 Cmdlet 包括: Get-RoleGroup Get-RoleGroupMember New-RoleGroup Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Remove-RoleGroup |
| 稽核和監視參考 | Microsoft Entra ID 中的 Purview 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核Purview 特定角色 使用 Microsoft Graph Beta Security API (稽核記錄查詢搶鮮版) 並列出稽核事件,其中 recordType == SecurityComplianceRBAC 與作業是下列其中一項:Add-RoleGroupMember、Remove-RoleGroupMember、Update-RoleGroupMember、New-RoleGroup、Remove-RoleGroup |
Power Platform
包括 Power Platform、Dynamics 365、Flow 和 Dataverse for Teams。
| 區域 | Content |
|---|---|
| 概觀 | 使用服務管理員角色管理您的租用戶 資訊安全角色和權限 |
| 管理 API 參考 | Microsoft Entra ID 中的 Power Platform 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以下列開頭的許可權的角色: microsoft.powerAppsmicrosoft.dynamics365microsoft.flowDataverse 特定角色 使用 Web API 執行作業 • 查詢 使用者 (SystemUser) 資料表/實體參考 • 角色指派是 systemuserroles_association 資料表的一部分 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Power Platform 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核Dataverse 特定角色 Dataverse 稽核概觀 用來存取 dataverse 特定稽核記錄的 API Dataverse Web API • 稽核資料表參考 • 使用動作代碼稽核: 53 – 將角色指派給小組 54 – 從小組中移除角色 55 – 將角色指派給使用者 56 – 從使用者中移除角色 57 – 將權限新增至角色 58 – 從角色中移除權限 59 – 取代角色中的權限 |
Defender 套件
包括 Defender 套件、安全分數、雲端應用程式安全性和威脅情報。
| 區域 | Content |
|---|---|
| 概觀 | Microsoft Defender XDR 統一角色型存取控制 (RBAC) |
| 管理 API 參考 | Microsoft Entra ID 中的 Defender 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 下列角色具有權限(參考):安全性系統管理員、安全性操作員、安全性讀取者、全域系統管理員和全域讀者 Defender 特定角色 必須啟用工作負載,才能使用 Defender 整合 RBAC。 請參閱啟用 Microsoft Defender XDR 統一角色型存取控制 (RBAC)。 啟用 Defender Unified RBAC 將會關閉單個 Defender 解決方案角色。 • 只能透過 security.microsoft.com 入口網站來管理。 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Defender 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
Viva Engage
| 區域 | Content |
|---|---|
| 概觀 | 在 Viva Engage 中管理系統管理員角色 |
| 管理 API 參考 | Microsoft Entra ID 中的 Viva Engage 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以 microsoft.office365.yammer 開頭的權限的角色。Viva Engage 特定角色 • 可透過 Yammer 系統管理中心管理已驗證的管理員和網路管理員角色。 • 可透過 Viva Engage 系統管理中心指派公司通訊員角色。 • Yammer 資料匯出 API 可用來匯出 admins.csv,以讀取管理員清單 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Viva Engage 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核Viva Engage 特定角色 • 使用 Yammer 資料匯出 API 以累加方式匯出 admins.csv 格式的系統管理員清單 |
Viva Connections
| 區域 | Content |
|---|---|
| 概觀 | Microsoft Viva 中的管理員角色和工作 |
| 管理 API 參考 | Microsoft Entra ID 中的 Viva Connections 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 下列角色具有權限:SharePoint 系統管理員、Teams 系統管理員和全域系統管理員 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Viva Connections 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
Viva Learning
| 區域 | Content |
|---|---|
| 概觀 | 在 Teams 系統管理中心設定 Microsoft Viva Learning |
| 管理 API 參考 | Microsoft Entra ID中的 Viva Learning 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以 microsoft.office365.knowledge 開頭的權限的角色 |
| 稽核和監視參考 | Microsoft Entra ID中的 Viva Learning 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
Viva Insights
| 區域 | Content |
|---|---|
| 概觀 | Viva Insights 中的角色 |
| 管理 API 參考 | Microsoft Entra ID 中的 Viva Insights 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以 microsoft.office365.insights 開頭的權限的角色 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Viva Insights 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
搜尋
| 區域 | Content |
|---|---|
| 概觀 | 設定 Microsoft 搜尋 |
| 管理 API 參考 | Microsoft Entra ID 中的搜尋特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以 microsoft.office365.search 開頭的權限的角色 |
| 稽核和監視參考 | Microsoft Entra ID 中的搜尋特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
通用列印
| 區域 | Content |
|---|---|
| 概觀 | 通用列印管理員角色 |
| 管理 API 參考 | Microsoft Entra ID 中的通用列印特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以 microsoft.azure.print 開頭的權限的角色 |
| 稽核和監視參考 | Microsoft Entra ID 中的通用列印特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
Microsoft 365 應用程式套件管理
包含 Microsoft 365 應用程式套件管理和表單。
| 區域 | Content |
|---|---|
| 概觀 | Microsoft 365 應用程式系統管理中心概觀 Microsoft Forms 系統管理員設定 |
| 管理 API 參考 | Microsoft Entra ID 中的 Microsoft 365 應用程式特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 下列角色具有權限:Office 應用程式系統管理員、安全性系統管理員、全域系統管理員 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Microsoft 365 應用程式特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用 RoleManagement 類別稽核 |
Azure
適用於 Azure 控制平面和訂用帳戶資訊的 Azure 角色型存取控制 (Azure RBAC)。
Azure
包含 Azure 和 Sentinel。
| 區域 | Content |
|---|---|
| 概觀 | 什麼是 Azure 角色型存取控制 (Azure RBAC)? Microsoft Sentinel 中的角色與權限 |
| 管理 API 參考 | Azure 中的 Azure 服務特定角色 Azure Resource Manager 授權 API • 角色指派:清單、建立/更新、刪除 • 角色定義:清單、建立/更新、刪除 • 有舊版方法可將存取權授與被稱為傳統系統管理員的 Azure 資源。 傳統系統管理員相當於 Azure RBAC 中的所有者角色。 傳統系統管理員將於 2024 年 8 月淘汰。 • 請注意,Microsoft Entra 全域系統管理員可以透過提高存取權來獲得 Azure 單方面存取權。 |
| 稽核和監視參考 | Azure 中的 Azure 服務特定角色 在 Azure 活動記錄中監視 Azure RBAC 變更 • Azure 活動記錄 API • 使用 Administrative 事件類別和 Create role assignment 作業、Delete role assignment、Create or update custom role definition、Delete custom role definition 進行稽核。在租用戶層級的 Azure 活動記錄中檢視提高存取權記錄 • Azure 活動記錄 API – 租用戶活動記錄 • 使用 Administrative 事件類別稽核,並包含 elevateAccess 字串。• 存取租用戶層級的活動記錄需要至少使用提高存取權一次,才能取得租用戶層級的存取權。 |
Commerce
與購買和計費相關的服務。
成本管理與計費 – Enterprise 合約
| 區域 | Content |
|---|---|
| 概觀 | 管理 Azure Enterprise 合約角色 |
| 管理 API 參考 | Microsoft Entra ID 中的 Enterprise 合約特定角色 Enterprise 合約不支援 Microsoft Entra 角色。 Enterprise 合約特定角色 計費角色指派 API • Enterprise 系統管理員(角色識別碼:9f1983cb-2574-400c-87e9-34cf8e2280db) • Enterprise 系統管理員(只讀)(角色識別碼:24f8edb6-1668-4659-b5e2-40bb5f3a7d7e) • EA 購買者(角色識別碼:da6647fb-7651-49ee-be91-c43c4877f0c4) Enrollment 部門角色指派 API • 部門管理員(角色識別碼:fb2cf67f-be5b-42e7-8025-4683c668f840) • 部門讀者(角色識別碼:db609904-a47f-4794-9be8-9bd86fbffd8a) Enrollment 帳戶角色指派 API • 帳戶擁有者(角色識別碼:c15c22c0-9faf-424c-9b7e-bd91c06a240b) |
| 稽核和監視參考 | Enterprise 合約特定角色 Azure 活動記錄 API – 租用戶活動記錄 • 存取租用戶層級的活動記錄需要至少使用提高存取權一次,才能取得租用戶層級的存取權。 • 針對 resourceProvider == Microsoft.Billing 以及 operationName 包含 billingRoleAssignments 或 EnrollmentAccount 的內容進行稽核 |
成本管理和計費 – Microsoft 客戶合約
| 區域 | Content |
|---|---|
| 概觀 | 了解 Azure 中的 Microsoft 客戶合約管理角色 了解您的 Microsoft 商務計費帳戶 |
| 管理 API 參考 | Microsoft Entra ID 中的 Microsoft 客戶合約特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 下列角色具有權限:計費管理員、全域管理員。 Microsoft 客戶協定特定角色 • 預設情況下,Microsoft Entra 全域管理員和計費管理員角色會在 Microsoft 客戶協定特定 RBAC 中,自動指派計費帳戶擁有者角色。 • 計費角色指派 API |
| 稽核和監視參考 | Microsoft Entra ID 中的 Microsoft 客戶合約特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用類別稽核 RoleManagementMicrosoft 客戶協定特定角色 Azure 活動記錄 API – 租用戶活動記錄 • 存取租用戶層級的活動記錄需要至少使用提高存取權一次,才能取得租用戶層級的存取權。 • 稽核 resourceProvider == Microsoft.Billing 和 operationName 下列其中一項 (前面都加上 Microsoft.Billing):/permissionRequests/write/billingAccounts/createBillingRoleAssignment/action/billingAccounts/billingProfiles/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action/billingAccounts/customers/createBillingRoleAssignment/action/billingAccounts/billingRoleAssignments/write/billingAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/billingRoleAssignments/delete/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete/billingAccounts/departments/billingRoleAssignments/write/billingAccounts/departments/billingRoleAssignments/delete/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action/billingAccounts/enrollmentAccounts/billingRoleAssignments/write/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action/billingAccounts/billingProfiles/invoiceSections/transfers/delete/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action/billingAccounts/billingProfiles/invoiceSections/transfers/write/transfers/acceptTransfer/action/transfers/accept/action/transfers/decline/action/transfers/declineTransfer/action/billingAccounts/customers/initiateTransfer/action/billingAccounts/customers/transfers/delete/billingAccounts/customers/transfers/cancel/action/billingAccounts/customers/transfers/write/billingAccounts/billingProfiles/invoiceSections/products/transfer/action/billingAccounts/billingSubscriptions/elevateRole/action |
商務訂用帳戶和計費 – 大量授權
| 區域 | Content |
|---|---|
| 概觀 | 管理大量授權使用者角色常見問題 |
| 管理 API 參考 | Microsoft Entra ID 中的大量授權特定角色 大量授權不支援 Microsoft Entra 角色。 大量授權特定角色 VL 使用者和角色 在 M365 系統管理中心進行管理。 |
合作夥伴中心
| 區域 | Content |
|---|---|
| 概觀 | 使用者的角色、權限和工作區存取權 |
| 管理 API 參考 | Microsoft Entra ID 中的合作夥伴中心特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 下列角色具有權限:全域管理員、使用者管理員。 合作夥伴中心特定角色 合作夥伴中心特定角色 只能透過合作夥伴中心進行管理。 |
| 稽核和監視參考 | Microsoft Entra ID 中的合作夥伴中心特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用類別稽核 RoleManagement |
其他服務
Azure DevOps
| 區域 | Content |
|---|---|
| 概觀 | 關於權限和安全性群組 |
| 管理 API 參考 | Microsoft Entra ID 中的 Azure DevOps 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以 microsoft.azure.devOps 為開頭的權限。Azure DevOps 特定角色 建立/讀取/更新/刪除透過 Roleassignments API 授與的權限 • 使用 Roledefinitions API 檢視角色權限 • 權限參考主題 • 當 Azure DevOps 群組(注意:不同於 Microsoft Entra 群組)指派給角色時,請使用 Memberships API 建立/讀取/更新/刪除群組成員資格 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Azure DevOps 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用類別稽核 RoleManagementAzure DevOps 特定角色 • 存取 AzureDevOps 稽核記錄 • 稽核 API 參考 • AuditId 參考 • 使用 ActionId Security.ModifyPermission、Security.RemovePermission 稽核。• 針對指派給角色的群組變更,請使用 ActionId Group.UpdateGroupMembership、Group.UpdateGroupMembership.Add、Group.UpdateGroupMembership.Remove 進行稽核 |
網狀架構
包含 Fabric 和 Power BI。
| 區域 | Content |
|---|---|
| 概觀 | 了解 Microsoft Fabric 管理員角色 |
| 管理 API 參考 | Microsoft Entra ID 中的 Fabric 特定角色 Microsoft Graph v1.0 roleManagement API • 使用 directory 提供者• 請參閱具有以 microsoft.powerApps.powerBI 開頭的權限的角色。 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Fabric 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用類別稽核 RoleManagement |
管理客戶支援案例的統一支援入口網站
包含統一支援入口網站和服務中樞。
| 區域 | Content |
|---|---|
| 概觀 | 服務中樞角色和權限 |
| 管理 API 參考 | 在服務中樞入口網站 https://serviceshub.microsoft.com 中管理這些角色。 |
Microsoft Graph 應用程式權限
除了先前提及的 RBAC 系統之外,還可以使用應用程式權限將提升的權限授與給 Microsoft Entra 應用程式註冊和服務主體。 例如,可以將讀取租用戶中的所有郵件的權限(Mail.Read 應用程式權限)授與非互動式的非人類應用程式身分識別。 下表列出如何管理和監視應用程式權限。
| 區域 | Content |
|---|---|
| 概觀 | Microsoft Graph 權限概觀 |
| 管理 API 參考 | Microsoft Entra ID 中的 Microsoft Graph 特定角色 Microsoft Graph v1.0 servicePrincipal API • 列舉租用戶中每個 servicePrincipal 的 appRoleAssignments 。 • 針對每個 appRoleAssignment,透過讀取 appRoleAssignment 中 resourceId 和 appRoleId 所參考之 servicePrincipal 物件上的 appRole 属性,以取得指派所授與之權限相關資訊。 • 特別有趣的是 Microsoft Graph 的應用程式權限 ( servicePrincipal with appID == "00000003-0000-0000-c000-000000000000" ),它授與對 Exchange、SharePoint、Teams 等的存取權。 以下是 Microsoft Graph 權限的參考。 • 另請參閱 應用程式的 Microsoft Entra 安全性作業 |
| 稽核和監視參考 | Microsoft Entra ID 中的 Microsoft Graph 特定角色 Microsoft Entra 活動記錄概觀 Microsoft Entra 稽核記錄的 API 存取: • Microsoft Graph v1.0 directoryAudit API • 使用類別 ApplicationManagement 和活動名稱稽核 Add app role assignment to service principal |