共用方式為


Microsoft Entra 內建角色

在 Microsoft Entra ID 中,如果另一個系統管理員或非系統管理員需要管理 Microsoft Entra 資源,您可以為其指派提供其所需權限的 Microsoft Entra 角色。 例如,您可以 指派角色以允許新增 或 變更使用者、重設使用者密碼、管理使用者授權 或 管理網域名稱。

本文列出您可指派以允許管理 Microsoft Entra 資源的 Microsoft Entra 內建角色。 如需有關指派角色的詳細資訊,請參閱將 Microsoft Entra 角色指派給使用者。 如果您要尋找用來管理 Azure 資源的角色,請參閱 Azure 內建角色

所有角色

角色 描述 範本識別碼
應用程式系統管理員 能夠建立及管理應用程式註冊與企業應用程式的所有層面。
特殊權限標籤圖示。
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
應用程式開發人員 可建立與 [使用者可註冊應用程式] 設定不相關的應用程式註冊。
特殊權限標籤圖示。
cf1c38e5-3621-4004-a7cb-879624dced7c
攻擊酬載作者 可建立系統管理員可稍後起始的攻擊酬載。 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
攻擊模擬系統管理員 可建立及管理攻擊模擬活動的各個層面。 c430b396-e693-46cc-96f3-db01bf8bb62a
屬性指派系統管理員 將自訂安全性屬性索引鍵和值指派給支援的 Microsoft Entra 物件。 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
屬性指派讀者 讀取所支援 Microsoft Entra 物件的自訂安全性屬性索引鍵和值。 ffd52fa5-98dc-465c-991d-fc073eb59f8f
屬性定義管理員 定義和管理自訂安全性屬性的定義。 8424c6f0-a189-499e-bbd0-26c1753c96d4
屬性定義讀者 讀取自訂安全性屬性的定義。 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
屬性記錄系統管理員 讀取稽核記錄,並針對與自訂安全性屬性相關的事件設定診斷設定。 5b784334-f94b-471a-a387-e7219fc49ca2
屬性記錄讀者 讀取與自訂安全性屬性相關的稽核記錄。 9c99539d-8186-4804-835f-fd51ef9e2dcd
驗證管理員 可存取以檢視、設定及重設所有非管理員使用者的驗證方法資訊。
特殊權限標籤圖示。
c4e39bd9-1100-46d3-8c65-fb160da0071f
驗證擴充性系統管理員 建立和管理自訂驗證延伸模組,以自訂使用者的登入和註冊體驗。
特殊權限標籤圖示。
25a516ed-2fa0-40ea-a2d0-12923a21473a
驗證原則管理員 可以建立和管理驗證方法原則、整個租用戶的 MFA 設定、密碼保護原則,以及可驗證的認證。 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps 管理員 可以管理 Azure DevOps 原則和設定。 e3973bdf-4987-49ae-837a-ba8e231c7286
Azure 資訊保護管理員 能夠管理 Azure 資訊保護產品的所有層面。 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF 金鑰集管理員 可以在 Identity Experience Framework (IEF) 中管理同盟和加密的祕密。
特殊權限標籤圖示。
aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF 原則管理員 可以在 Identity Experience Framework (IEF) 中建立及管理信任架構原則。 3edaf663-341e-4475-9f94-5c398ef6c070
計費管理員 能夠執行一般計費相關工作,例如更新付款資訊。 b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security 系統管理員 可以管理適用於雲端的 Defender 產品的所有層面。 892c5842-a9a6-463a-8041-72aa08ca3cf6
雲端應用程式系統管理員 能夠建立及管理應用程式註冊與企業應用程式的所有層面,但應用程式 Proxy 除外。
特殊權限標籤圖示。
158c047a-c907-4556-b7ef-446551a6b5f7
雲端裝置管理員 在 Microsoft Entra ID 中管理裝置的有限存取。
特殊權限標籤圖示。
7698a772-787b-4ac8-901f-60d6b08affd2
合規性系統管理員 可以讀取與管理 Microsoft Entra ID 和 Microsoft 365 中的合規性設定和報告。 17315797-102d-40b4-93e0-432062caca18
合規性資料管理員 建立及管理合規性內容。 e6d1a23a-da11-4be4-9570-befc86d067a7
條件式存取系統管理員 可管理條件式存取功能。
特殊權限標籤圖示。
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
客戶加密箱存取核准者 可核准 Microsoft 支援要求,以存取客戶組織的資料。 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
電腦分析管理員 可存取及管理桌面管理工具與服務。 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
目錄讀取者 可讀取基本目錄資訊。 通常用來授與目錄讀取存取權給應用程式和來賓。 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
目錄同步處理帳戶 僅供 Microsoft Entra Connect 和 Microsoft Entra Cloud Sync 服務所使用。
特殊權限標籤圖示。
d29b2b05-8046-44ba-8758-1e26182fcf32
目錄寫入者 可讀取和寫入基本目錄資訊。 用來授與應用程式的存取權,不適用於使用者。
特殊權限標籤圖示。
9360feb5-f418-4baa-8175-e2a00bac4301
網域名稱管理員 可管理雲端及內部部署中的網域名稱。
特殊權限標籤圖示。
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 管理員 可管理 Dynamics 365 產品的所有層面。 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central 系統管理員 存取和執行 Dynamics 365 Business Central 環境上的所有系統管理工作。 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edge 系統管理員 管理 Microsoft Edge 的所有層面。 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange 系統管理員 能夠管理 Exchange 產品的所有層面。 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange 收件者系統管理員 在 Exchange Online 組織內可建立或更新 Exchange Online 收件者。 31392ffb-586c-42d1-9346-e59415a2cc4e
外部識別碼使用者流程系統管理員 可以建立及管理使用者流程的所有層面。 6e591065-9bad-43ed-90f3-e9424366d2f0
外部識別碼使用者流程屬性管理員 可以建立及管理所有使用者流程可用的屬性結構描述。 0f971eea-41eb-4569-a71e-57bb8a3eff1e
外部識別提供者管理員 可以設定識別提供者用於直接同盟。
特殊權限標籤圖示。
be2f45a1-457d-42af-a067-6ec1fa63bc45
網狀架構系統管理員 可以管理網狀架構和 Power BI 產品的所有層面。 a9ea8996-122f-4c74-9520-8edcd192826c
全域管理員 可以管理可使用 Microsoft Entra 身分識別的 Microsoft Entra ID 和 Microsoft 服務的所有層面。
特殊權限標籤圖示。
62e90394-69f5-4237-9190-012177145e10
全域讀取者 可讀取全域管理員能讀取的所有項目,但無法更新任何項目。
特殊權限標籤圖示。
f2ef992c-3afb-46b9-b7cf-a126ee74c451
全球安全存取系統管理員 建立與管理 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取的所有層面 ,包括管理公用和私人端點的存取權。 ac434307-12b9-4fa1-a708-88bf58caabc1
群組管理員 此角色的成員可以建立/管理群組、建立/管理群組設定,例如命名和到期原則,以及查看群組活動和審核報表。 fdd7a751-b60b-444a-984c-02652fe8fa1c
來賓邀請者 能夠邀請不受 [成員能夠邀請來賓] 設定限制的來賓使用者。 95e79109-95c0-4d8e-aee3-d01accf2d47b
服務台系統管理員 能夠為非系統管理員與技術服務人員系統管理員重設密碼。
特殊權限標籤圖示。
729827e3-9c14-49f7-bb1b-9608f156bbb8
混合式身分識別管理員 管理 Active Directory 到 Microsoft Entra 雲端佈建、Microsoft Entra Connect、傳遞驗證 (PTA)、密碼雜湊同步處理 (PHS)、無縫單一登入 (無縫 SSO) 和同盟設定。 沒有 Microsoft Entra Connect Health 管理存取權。
特殊權限標籤圖示。
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
身分識別控管管理員 使用 Microsoft Entra ID 管理存取權,以用於身分識別控管案例。 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
深入解析系統管理員 具有 Microsoft 365 Insights 應用程式的系統管理存取權。 eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights 分析師 存取 Microsoft Viva Insights 中的分析功能,並執行自訂查詢。 25df335f-86eb-4119-b717-0ff02de207e9
深入解析商務領導者 可透過 Microsoft Insights 應用程式檢視及共用儀表板與見解。 31e939ad-9672-4796-9c2e-873181342d2d
Intune 管理員 能夠管理 Intune 產品的所有層面。
特殊權限標籤圖示。
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala 管理員 可以管理 Microsoft Kaizala 的設定。 74ef975b-6605-40af-a5d2-b9539d836353
知識管理員 可以設定知識、學習及其他智慧功能。 b5a8dcf3-09d5-43a9-a639-8e29ef291470
知識管理員 可以組織、建立、管理及推廣主題和知識。 744ec460-397e-42ad-a462-8b3f9747a02c
授權管理員 可管理使用者和群組的產品授權。 4d6ac14f-3453-41d0-bef9-a3e0c569773a
生命週期工作流程管理員 建立和管理與 Microsoft Entra ID 中生命週期工作流程相關聯的工作流程和工作的所有層面。
特殊權限標籤圖示。
59d46f88-662b-457b-bceb-5c3809e5908f
訊息中心隱私權讀取者 只能在 Office 365 訊息中心中讀取安全性訊息和更新。 ac16e43d-7b2d-40e0-ac05-243ff356ab5b
訊息中心讀取者 只可在 Office 365 訊息中心讀取及更新其組織的訊息。 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Microsoft 365 移轉系統管理員 執行所有移轉功能,以使用移轉管理員將內容移轉至 Microsoft 365。 8c8b803f-96e1-4129-9349-20738d9f9652
已加入 Microsoft Entra 的裝置本機系統管理員 指派給此角色的使用者會新增至已加入 Microsoft Entra 的裝置上的本機系統管理員群組。 9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsoft 硬體保固系統管理員 為 Microsoft 製造的硬體 (如 Surface 和 HoloLens) 建立和管理所有方面的保固索賠和權利。 1501b917-7653-4ff9-a4b5-203eaf33784f
Microsoft 硬體保固專員 建立及閱讀 Microsoft 製造之硬體 (例如 Surface 和 HoloLens) 的保固索賠。 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Modern Commerce 管理員 可以管理公司、部門或團隊的商業採購。 d24aef57-1500-4070-84db-2666f29cf966
網路系統管理員 可管理網路位置,及預覽 Microsoft 365 軟體即服務應用程式的企業網路設計見解。 d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office 應用程式管理員 可以管理 Office 應用程式的雲端服務,包括原則和設定管理,以及管理選取、取消選取「新功能」功能內容及將其發佈到終端使用者裝置的能力。 2b745bdf-0803-4d80-aa65-822c4493daac
組織商標系統管理員 管理租用戶中組織商標的所有層面。 92ed04bf-c94a-4b82-9729-b799a7a4c178
組織訊息核准者 先在 Microsoft 365 系統管理中心內檢閱、核准或拒絕要傳遞的新組織訊息,再將其傳送給使用者。 e48398e2-f4bb-4074-8f31-4586725e205b
組織訊息編寫者 為使用 Microsoft 產品介面的使用者撰寫、發佈、管理和檢閱組織訊息。 507f53e4-4e52-4077-abd3-d2e1558b6ea2
合作夥伴第 1 層支援 請勿使用 - 不適用於一般用途。
特殊權限標籤圖示。
4ba39ca4-527c-499a-b93d-d9b492c50246
合作夥伴第 2 層支援 請勿使用 - 不適用於一般用途。
特殊權限標籤圖示。
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
密碼管理員 可以重設非管理員及密碼管理員的密碼。
特殊權限標籤圖示。
966707d0-3269-4727-9be2-8c3a10f19b9d
權限管理系統管理員 管理 Microsoft Entra 權限管理的所有層面。 af78dc32-cf4d-46f9-ba4e-4428526346b5
Power Platform 管理員 可建立及管理 Microsoft Dynamics 365、Power Apps 及 Power Automate 的所有層面。 11648597-926c-4cf3-9c36-bcebb0ba8dcc
印表機管理員 可管理印表機和印表機連線程式的所有層面。 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
印表機技術人員 可註冊和取消註冊印表機,及更新印表機狀態。 e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
特殊權限驗證管理員 可存取以檢視、設定及重設所有使用者 (管理員或非管理員) 的驗證方法資訊。
特殊權限標籤圖示。
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
特殊權限角色管理員 可以管理 Microsoft Entra ID 中的角色指派,以及 Privileged Identity Management 的所有層面。
特殊權限標籤圖示。
e8611ab8-c189-46e8-94e1-60213ab1f814
報告讀取者 可讀取登入與稽核報告。 4a5d8f65-41da-4de4-8968-e035b65339cf
搜尋管理員 可以建立及管理 Microsoft 搜尋設定的所有層面。 0964bb5e-9bdb-4d7b-ac29-58e794862a40
搜尋編輯者 可以建立及管理編輯內容,例如書籤、問與答、位置、樓面規劃。 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
安全性系統管理員 可以讀取安全性資訊和報告,以及管理 Microsoft Entra ID 和 Office 365 中的設定。
特殊權限標籤圖示。
194ae4cb-b126-40b2-bd5b-6091b380977d
安全性操作員 建立及管理安全性事件。
特殊權限標籤圖示。
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
安全性讀取者 可以讀取 Microsoft Entra ID 和 Office 365 中的安全性資訊和報告。
特殊權限標籤圖示。
5d6b6bb7-de71-4623-b4af-96380a352509
服務支援管理員 可讀取服務健康情況資訊及管理支援票證。 f023fd81-a637-4b56-95fd-791ac0226033
SharePoint 管理員 可管理 SharePoint 服務的所有層面。 f28a1f50-f6e7-4571-818b-6a12f2af6b6c
SharePoint Embedded 系統管理員 管理 SharePoint Embedded 容器的所有層面。 1a7d78b6-429f-476b-b8eb-35fb715fffd4
商務用 Skype 系統管理員 可管理商務用 Skype 產品的所有層面。 75941009-915a-4869-abe7-691bff18279e
Teams 系統管理員 能夠管理 Microsoft Teams 服務。 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams 通訊管理員 能夠管理 Microsoft Teams 服務內的呼叫和會議功能。 baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams 通訊支援工程師 能夠使用進階工具針對 Microsoft Teams 內的通訊問題進行疑難排解。 f70938a0-fc10-4177-9e90-2178f8765737
Teams 通訊支援專家 能夠使用基本工具針對 Microsoft Teams 內的通訊問題進行疑難排解。 fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams 裝置管理員 可以在 Teams 認證裝置上,執行管理相關工作。 3d762c5a-1b6c-493f-843e-55a3b42923d4
Teams 電話語音系統管理員 管理聲音和電話語音功能,以及針對 Microsoft Teams 服務內的通訊問題進行疑難排解。 aa38014f-0993-46e9-9b45-30501a20909d
租用戶建立者 建立新的 Microsoft Entra 或 Azure AD B2C 租用戶。 112ca1a2-15ad-4102-995e-45b0bc479a6a
使用方式摘要報表讀者 讀取使用量報告和採用分數,但無法存取使用者詳細資料。 75934031-6c7e-415a-99d7-48dbd49e875e
使用者管理員 能夠管理使用者與群組的所有層面,包含為受限制的管理員重設密碼。
特殊權限標籤圖示。
fe930be7-5e62-47db-91af-98c3a49a38b1
使用者體驗成功管理員 檢視產品意見反應、問卷結果和報告,以尋找訓練和通訊機會。 27460883-1df1-4691-b032-3b79643e5e63
Virtual Visits 管理員 從系統管理中心或 Virtual Visits 應用程式管理及共用 Virtual Visits 資訊和計量。 e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals 系統管理員 管理和設定 Microsoft Viva Goals 的所有層面。 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse 系統管理員 可以管理 Microsoft Viva Pulse 應用程式的所有設定。 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365 系統管理員 可佈建及管理雲端電腦的所有層面。 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows Update 部署系統管理員 可透過商務用 Windows Update 部署服務,建立及管理 Windows Update 部署的所有層面。 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer 管理員 管理 Yammer 服務的所有層面。 810a2642-a034-447f-a5e8-41beaa378541

應用程式系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 此角色中的使用者可以建立和管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 請注意,建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。

此角色也會授與同意委派權限和應用程式權限的能力 (Azure AD Graph 和 Microsoft Graph 的應用程式權限例外)。

重要

此例外表示您仍然可以同意「其他」應用程式 (例如,其他 Microsoft 應用程式、第三方應用程式或您已註冊的應用程式) 的應用程式權限。 在應用程式註冊過程中,您仍然可以「要求」這些權限,但「授與」 (亦即同意) 這些權限則需要具備特殊權限的管理員身分,例如全域管理員。

此角色會授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式身分識別已獲授與資源的存取權,例如建立或更新 [使用者] 或其他物件的能力,則指派給此角色的使用者可以在模擬應用程式時執行這些動作。 這種模擬應用程式身分識別的能力,可能是對使用者可透過其角色指派執行的作業之特殊權限的提升。 請務必瞭解,將使用者指派給 [應用程式系統管理員] 角色,給予了他們模擬應用程式的身分識別之能力。

動作 描述
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 在 Microsoft Entra ID 中管理系統管理員同意要求原則
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/applicationProxy/read 讀取所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxy/update 更新所有應用程式 Proxy 屬性
microsoft.directory/applications/applicationProxyAuthentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/applicationProxySslCertificate/update 更新應用程式 Proxy 的 SSL 憑證設定
microsoft.directory/applications/applicationProxyUrlSettings/update 更新應用程式 Proxy 的 URL 設定
microsoft.directory/applications/appRoles/update 更新所有類型之應用程式上的 appRole 屬性
microsoft.directory/applications/audience/update 更新應用程式的對象屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
特殊權限標籤圖示。
microsoft.directory/applications/extensionProperties/update 更新應用程式的擴充功能屬性
microsoft.directory/applications/notes/update 更新應用程式注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開權限及必要權限
microsoft.directory/applications/policies/update 更新應用程式原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/applications/verification/update 更新 applicationsverification 屬性
microsoft.directory/applications/synchronization/standard/read 讀取此應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/connectors/create 建立私人網路連接器
microsoft.directory/connectors/allProperties/read 讀取私人網路連接器的所有屬性
microsoft.directory/connectorGroups/create 建立私人網路連接器群組
microsoft.directory/connectorGroups/delete 刪除私人網路連接器群組
microsoft.directory/connectorGroups/allProperties/read 讀取私人網路連接器群組的所有屬性
microsoft.directory/connectorGroups/allProperties/update 更新私人網路連接器群組的所有屬性
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 建立及管理自訂驗證延伸模組
特殊權限標籤圖示。
microsoft.directory/deletedItems.applications/delete 永久删除應用程式,這意味著將無法還原它們
microsoft.directory/deletedItems.applications/restore 將虛刪除的應用程式還原為原始狀態
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用到物件清單的應用程式原則
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體上的密碼單一登入認證
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式佈建祕密及認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式佈建同步作業及結構描述
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立及管理應用程式佈建同步作業及結構描述。
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin 代表任何使用者或所有使用者授與應用程式權限和委派權限的同意 (Microsoft Graph 的應用程式權限除外)
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的對象屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的權限
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

應用程式開發人員

特殊權限標籤圖示。

這是特殊權限角色。 在此角色中的使用者可以在「使用者可註冊應用程式」設定為 [否] 時,建立應用程式註冊。 將「使用者可同意應用程式代表自己存取公司資料」設定設為 [否] 時,此角色也會被授與代表某人同意的權限。 建立新的應用程式註冊時,獲指派此角色的使用者會新增為擁有者。

動作 描述
microsoft.directory/applications/createAsOwner 建立所有類型的應用程式,建立者已新增為第一位擁有者
microsoft.directory/oAuth2PermissionGrants/createAsOwner 建立 OAuth 2.0 權限授與,建立者為第一個擁有者
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/createAsOwner 建立服務主體,建立者為第一個擁有者

攻擊承載作者

具備此角色的使用者可以建立攻擊承載,但無法實際啟動或排程攻擊承載。 攻擊承載接著可以供租用戶中的所有管理員使用以便建立模擬。

如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中的適用於 Office 365 的 Microsoft Defender 權限Microsoft Purview 合規性入口網站中的權限

動作 描述
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻擊模擬器中建立及管理攻擊酬載
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬、回應和相關聯訓練的報告

攻擊模擬系統管理員

具備此角色的使用者可建立及管理攻擊模擬的各個層面,包含建立、啟動/排程模擬,以及檢閱模擬結果。 此角色的成員對於租用戶中的所有模擬都有此存取權。

如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中的適用於 Office 365 的 Microsoft Defender 權限Microsoft Purview 合規性入口網站中的權限

動作 描述
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻擊模擬器中建立及管理攻擊酬載
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬、回應和相關聯訓練的報告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 在攻擊模擬器中建立及管理攻擊模擬範本

屬性指派系統管理員

具有此角色的使用者可以為支援的 Microsoft Entra 物件 (使用者、服務主體和裝置) 指派和移除自訂安全性屬性金鑰和值。

依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權

動作 描述
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read 讀取 Microsoft Entra 受控識別的自訂安全性屬性值
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update 更新 Microsoft Entra 受控識別的自訂安全性屬性值
microsoft.directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 讀取自訂安全性屬性定義的所有屬性
microsoft.directory/devices/customSecurityAttributes/read 讀取裝置的自訂安全性屬性值
microsoft.directory/devices/customSecurityAttributes/update 更新裝置的自訂安全性屬性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read 讀取服務主體的自定安全性屬性值
microsoft.directory/servicePrincipals/customSecurityAttributes/update 更新服務主體的自定安全性屬性值
microsoft.directory/users/customSecurityAttributes/read 讀取使用者的自訂安全性屬性值
microsoft.directory/users/customSecurityAttributes/update 更新使用者的自訂安全性屬性值

屬性指派讀取者

具有此角色的使用者可以讀取支援 Microsoft Entra 物件的自訂安全性屬性金鑰和值。

依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權

動作 描述
microsoft.directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read 讀取 Microsoft Entra 受控識別的自訂安全性屬性值
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 讀取自訂安全性屬性定義的所有屬性
microsoft.directory/devices/customSecurityAttributes/read 讀取裝置的自訂安全性屬性值
microsoft.directory/servicePrincipals/customSecurityAttributes/read 讀取服務主體的自定安全性屬性值
microsoft.directory/users/customSecurityAttributes/read 讀取使用者的自訂安全性屬性值

屬性定義系統管理員

具有此角色的使用者可以定義一組有效的自訂安全性屬性,這些屬性可以指派給支援的 Microsoft Entra 物件。 此角色也可以啟用和停用自訂安全性屬性。

依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權

動作 描述
microsoft.directory/attributeSets/allProperties/allTasks 管理屬性集的所有層面
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks 管理自訂安全性屬性定義的所有層面

屬性定義讀取者

具有此角色的使用者可以讀取自訂安全性屬性的定義。

依預設,全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。 若要使用自訂安全性屬性,您必須獲指派其中一個自訂安全性屬性角色。

如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權

動作 描述
microsoft.directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read 讀取自訂安全性屬性定義的所有屬性

屬性記錄系統管理員

將屬性記錄讀取者角色指派給需要執行下列工作的使用者:

  • 讀取自訂安全性屬性值變更的稽核記錄
  • 讀取自訂安全性屬性定義變更和指派的稽核記錄
  • 設定自訂安全性屬性的診斷設定

具有此角色的使用者 無法 讀取其他事件的稽核記錄。

依預設,全域管理員和其他系統管理員角色無權讀取自訂安全性屬性的稽核記錄。 若要讀取自訂安全性屬性的稽核記錄,您必須獲指派此角色或屬性記錄讀取者角色。

如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權

動作 描述
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read 讀取與自訂安全性屬性相關的稽核記錄
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks 設定自訂安全性屬性診斷設定的所有層面

屬性記錄讀取者

將屬性記錄讀取者角色指派給需要執行下列工作的使用者:

  • 讀取自訂安全性屬性值變更的稽核記錄
  • 讀取自訂安全性屬性定義變更和指派的稽核記錄

具有此角色的使用者 無法 執行以下工作:

  • 設定自訂安全性屬性的診斷設定
  • 讀取其他事件的稽核記錄

依預設,全域管理員和其他系統管理員角色無權讀取自訂安全性屬性的稽核記錄。 若要讀取自訂安全性屬性的稽核記錄,您必須獲指派此角色或屬性記錄系統管理員角色。

如需詳細資訊,請參閱在 Microsoft Entra ID 中管理自訂安全性屬性的存取權

動作 描述
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read 讀取與自訂安全性屬性相關的稽核記錄

驗證管理員

特殊權限標籤圖示。

這是特殊權限角色。 將驗證管理員角色指派給需要執行下列工作的使用者:

  • 針對非系統管理員和某些角色,設定或重設任何驗證方法 (包括密碼)。 如需驗證系統管理員可以讀取或更新驗證方法的角色清單,請參閱誰可以重設密碼
  • 要求非系統管理員或被指派某些角色的使用者,針對現有的非密碼認證 (例如 MFA,FIDO) 重新註冊,也可以撤銷在裝置上記住 MFA (其會在下次登入時提示 MFA)。
  • 在舊版 MFA 管理入口網站中管理 MFA 設定。
  • 為某些使用者執行敏感性動作。 如需詳細資訊,請參閱誰可以執行敏感性動作
  • 在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證。

具有此角色的使用者 無法 執行下列項目:

  • 無法變更認證,或為可指派角色群組的成員和擁有者重設 MFA。
  • 無法管理硬體 OATH 令牌。

下表比較驗證相關角色的功能。

角色 管理使用者的驗證方法 管理每個使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則 更新敏感性屬性 刪除和還原使用者
驗證管理員 適用於某些使用者 適用於某些使用者 No 適用於某些使用者 適用於某些使用者
特殊權限驗證管理員 適用於所有使用者 適用於所有使用者 適用於所有使用者 適用於所有使用者
驗證原則管理員 No .是 .是 .是 .是 No
使用者管理員 No 適用於某些使用者 適用於某些使用者

重要

具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要設定的人員變更認證。 變更使用者的認證可能表示能夠採用使用者的身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 和其他位置可能具有未授與 [驗證系統管理員] 的特殊權限。 [驗證系統管理員] 可以透過此路徑採用應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有敏感性或私人資訊或者 Azure 中重要設定的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • Microsoft Entra ID 外部其他服務 (例如 Exchange Online, Microsoft 365 Defender portal, Microsoft Purview 合規性入口網站和人力資源系統) 中的系統管理員。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。
動作 描述
microsoft.directory/users/authenticationMethods/create 更新使用者的驗證方法
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/delete 刪除使用者的驗證方法
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/standard/restrictedRead 讀取不包括使用者個人識別資訊之驗證方法的標準屬性
microsoft.directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
特殊權限標籤圖示。
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/users/delete 刪除使用者
特殊權限標籤圖示。
microsoft.directory/users/disable 停用使用者
特殊權限標籤圖示。
microsoft.directory/users/enable 啟用使用者
特殊權限標籤圖示。
microsoft.directory/users/invalidateAllRefreshTokens 讓使用者重新整理權杖無效以強制登出
特殊權限標籤圖示。
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 更新使用者的管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
特殊權限標籤圖示。
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
特殊權限標籤圖示。
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

驗證擴充性系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 將驗證擴充性系統管理員角色指派給需要執行下列工作的使用者:

  • 建立和管理自訂驗證延伸模組的所有層面。

具有此角色的使用者 無法 執行下列項目:

  • 無法將自訂驗證延伸模組指派給應用程式以修改驗證體驗,而且無法同意應用程式權限或建立與自訂驗證延伸模組相關聯的應用程式註冊。 相反地,您必須使用應用程式系統管理員、應用程式開發人員或雲端應用程式系統管理員角色。

自訂驗證延伸模組是開發人員針對驗證事件所建立的 API 端點,而且在 Microsoft Entra ID 中進行註冊。 應用程式系統管理員和應用程式擁有者可以使用自訂驗證延伸模組來自訂其應用程式的驗證體驗,例如登入和註冊,或密碼重設。

深入了解

動作 描述
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 建立及管理自訂驗證延伸模組
特殊權限標籤圖示。

驗證原則管理員

將驗證原則系統管理員角色指派給需要執行下列工作的使用者:

  • 設定驗證方法原則、整個租用戶的 MFA 設定和密碼保護原則,以決定每位使用者可以註冊和使用的方法。
  • 管理密碼保護設定的權限: 智慧鎖定設定和更新自訂禁用密碼清單。
  • 在舊版 MFA 管理入口網站中管理 MFA 設定。
  • 建立和管理可驗認證。
  • 建立及管理 Azure 支援票證。

具有此角色的使用者 無法 執行下列項目:

下表比較驗證相關角色的功能。

角色 管理使用者的驗證方法 管理每個使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則 更新敏感性屬性 刪除和還原使用者
驗證管理員 適用於某些使用者 適用於某些使用者 No 適用於某些使用者 適用於某些使用者
特殊權限驗證管理員 適用於所有使用者 適用於所有使用者 適用於所有使用者 適用於所有使用者
驗證原則管理員 No .是 .是 .是 .是 No
使用者管理員 No 適用於某些使用者 適用於某些使用者
動作 描述
microsoft.directory/organization/strongAuthentication/allTasks 管理組織增強式驗證屬性的所有層面
microsoft.directory/userCredentialPolicies/create 建立使用者的認證原則
microsoft.directory/userCredentialPolicies/delete 刪除使用者的認證原則
microsoft.directory/userCredentialPolicies/standard/read 讀取使用者認證原則的標準屬性
microsoft.directory/userCredentialPolicies/owners/read 讀取使用者的認證原則擁有者
microsoft.directory/userCredentialPolicies/policyAppliedTo/read 讀取 policy.appliesTo 瀏覽連結
microsoft.directory/userCredentialPolicies/basic/update 更新使用者的基本原則
microsoft.directory/userCredentialPolicies/owners/update 更新使用者認證原則的擁有者
microsoft.directory/userCredentialPolicies/tenantDefault/update 更新 policy.isOrganizationDefault 屬性
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 讀取可驗認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke 撤銷可驗認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/create 建立可驗認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 讀取可驗認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 更新可驗認證合約
microsoft.directory/verifiableCredentials/configuration/create 建立要建立和管理可驗認證所需的設定
microsoft.directory/verifiableCredentials/configuration/delete 刪除建立和管理可驗認證所需的設定,並刪除其所有可驗認證
microsoft.directory/verifiableCredentials/configuration/allProperties/read 讀取建立和管理可驗認證所需的設定
microsoft.directory/verifiableCredentials/configuration/allProperties/update 更新建立和管理可驗認證所需的設定
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證

Azure DevOps 系統管理員

具有此角色的使用者可以管理所有企業 Azure DevOps 原則,適用於 Microsoft Entra ID 所支援的所有 Azure DevOps 組織。 此角色中的使用者可以瀏覽至公司 Microsoft Entra ID 所支援的任何 Azure DevOps 組織,來管理這些原則。 此外,此角色中的使用者可以宣稱孤立 Azure DevOps 組織的擁有權。 此角色不會授與公司 Microsoft Entra 組織所支援任何 Azure DevOps 組織內的任何其他 Azure DevOps 特定權限 (例如專案集合管理員)。

動作 描述
microsoft.azure.devOps/allEntities/allTasks 讀取及設定 Azure DevOps

Azure 資訊保護管理員

具有此角色的使用者在 Azure 資訊保護服務中擁有所有權限。 此角色允許設定 Azure 資訊保護原則的標籤、管理保護範本,以及啟用保護。 此角色不會授與 Identity Protection、Privileged Identity Management、Monitor Microsoft 365 Service Health、Microsoft 365 Defender 入口網站或 Microsoft Purview 合規性入口網站中的任何權限。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

B2C IEF 索引鍵集管理員

特殊權限標籤圖示。

這是特殊權限角色。 使用者可以建立及管理用於權杖加密、權杖簽章和宣告加密/解密的原則金鑰和秘密。 藉由將新的金鑰新增至現有的金鑰容器,此有限的系統管理員可以視需要變換祕密,而不會影響現有的應用程式。 此使用者可以看到這些祕密的完整內容,以及其到期日,即使建立之後也是如此。

重要

這是敏感性角色。 在生產前和生產期間,應謹慎地稽核和指派金鑰集管理員角色。

動作 描述
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定金鑰集
特殊權限標籤圖示。

B2C IEF 原則管理員

具備此角色的使用者能夠在 Azure AD B2C 中建立、讀取、更新及刪除所有自訂原則,因此能完全掌控相關 Azure AD B2C 組織中的 Identity Experience Framework。 該使用者可藉由編輯原則來與外部識別提供者建立直接同盟、變更目錄結構描述、變更所有使用者面對的內容 (HTML、CSS、JavaScript)、變更完成驗證的需求、建立新使用者、將使用者資料傳送至外部系統 (包括完整移轉),以及編輯所有使用者資訊 (包括敏感性欄位,像是密碼和電話號碼)。 相反地,此角色無法變更加密金鑰,或編輯組織中用於同盟的秘密。

重要

B2 IEF 原則管理員是高度敏感的角色,應針對生產中的組織非常有限地進行指派。 這些使用者的活動應予以嚴密稽核,尤其是針對生產中的組織。

動作 描述
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定自訂原則

計費管理員

進行採購、管理訂閱、管理支援票證以及監控服務健康狀況。

動作 描述
microsoft.directory/organization/basic/update 更新組織的基本屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.commerce.billing/allEntities/allProperties/allTasks 管理 Office 365 帳單的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Cloud App Security 系統管理員

具有此角色的使用者在 Defender for Cloud Apps 中具有完整權限。 他們可以新增系統管理員、新增 Microsoft Defender for Cloud Apps 原則和設定、上傳記錄,以及執行治理動作。

動作 描述
microsoft.directory/cloudAppSecurity/allProperties/allTasks 建立和刪除所有資源,同時讀取及更新適用於雲端的 Microsoft Defender 的標準屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

雲端應用程式系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 此角色中的使用者具有與應用程式系統管理員角色相同的權限,但不包括管理應用程式 Proxy 的能力。 此角色會授與能力來建立和管理企業應用程式和應用程式註冊的所有層面。 建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。

此角色也會授與同意委派權限和應用程式權限的能力 (Azure AD Graph 和 Microsoft Graph 的應用程式權限例外)。

重要

此例外表示您仍然可以同意「其他」應用程式 (例如,其他 Microsoft 應用程式、第三方應用程式或您已註冊的應用程式) 的應用程式權限。 在應用程式註冊過程中,您仍然可以「要求」這些權限,但「授與」 (亦即同意) 這些權限則需要具備特殊權限的管理員身分,例如全域管理員。

此角色會授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式身分識別已獲授與資源的存取權,例如建立或更新 [使用者] 或其他物件的能力,則指派給此角色的使用者可以在模擬應用程式時執行這些動作。 這種模擬應用程式身分識別的能力,可能是對使用者可透過其角色指派執行的作業之特殊權限的提升。 請務必瞭解,將使用者指派給 [應用程式系統管理員] 角色,給予了他們模擬應用程式的身分識別之能力。

動作 描述
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 在 Microsoft Entra ID 中管理系統管理員同意要求原則
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/appRoles/update 更新所有類型之應用程式上的 appRole 屬性
microsoft.directory/applications/audience/update 更新應用程式的對象屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
特殊權限標籤圖示。
microsoft.directory/applications/extensionProperties/update 更新應用程式的擴充功能屬性
microsoft.directory/applications/notes/update 更新應用程式注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開權限及必要權限
microsoft.directory/applications/policies/update 更新應用程式原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/applications/verification/update 更新 applicationsverification 屬性
microsoft.directory/applications/synchronization/standard/read 讀取此應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/deletedItems.applications/delete 永久删除應用程式,這意味著將無法還原它們
microsoft.directory/deletedItems.applications/restore 將虛刪除的應用程式還原為原始狀態
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用到物件清單的應用程式原則
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體上的密碼單一登入認證
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式佈建祕密及認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式佈建同步作業及結構描述
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立及管理應用程式佈建同步作業及結構描述。
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin 代表任何使用者或所有使用者授與應用程式權限和委派權限的同意 (Microsoft Graph 的應用程式權限除外)
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的對象屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的權限
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

雲端裝置管理員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者可啟用、停用和刪除 Microsoft Entra ID 中的裝置,並在 Azure 入口網站中讀取 Windows 10 BitLocker 金鑰 (如果有的話)。 此角色不會授與可供管理裝置上任何其他屬性的權限。

動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 Bitlocker 中繼資料和金鑰
特殊權限標籤圖示。
microsoft.directory/deletedItems.devices/delete 永久刪除裝置,將不再能還原物件
microsoft.directory/deletedItems.devices/restore 將虛刪除的裝置還原為原始狀態
microsoft.directory/devices/delete 從 Microsoft Entra ID 刪除裝置
microsoft.directory/devices/disable 在 Microsoft Entra ID 中停用裝置
microsoft.directory/devices/enable 在 Microsoft Entra ID 中啟用裝置
microsoft.directory/deviceLocalCredentials/password/read 針對已加入 Microsoft Entra 的裝置讀取已備份本機系統管理員帳戶認證的所有屬性,包括密碼
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceManagementPolicies/basic/update 更新行動裝置管理和行動應用程式管理原則的基本屬性
特殊權限標籤圖示。
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/deviceRegistrationPolicy/basic/update 更新裝置註冊原則上的基本屬性
特殊權限標籤圖示。
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態

合規性系統管理員

具有此角色的使用者有權管理 Microsoft Purview 合規性入口網站、Microsoft 365 系統管理中心、Azure 和 Microsoft 365 Defender 入口網站中的合規性相關功能。 受託人也可以管理 Exchange 系統管理中心內的所有功能,並建立適用於 Azure 和 Microsoft 365 的支援票證。 如需詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組

In Can do
Microsoft Purview 合規性入口網站 保護和管理您組織在所有 Microsoft 365 服務中的資料
管理合規性警示
Microsoft Purview 合規性管理員 追蹤、指派和確認您組織的法規合規性活動
Microsoft 365 Defender 入口網站 管理資料治理
執行法律和資料的調查
管理資料主體要求

此角色所具有的權限與 Microsoft 365 Defender 入口網站角色型存取控制中的合規性系統管理員角色群組相同。
Intune 檢視所有的 Intune 稽核資料
適用於雲端應用程式的 Microsoft Defender 具有唯讀權限,並可管理警示
可建立和修改檔案原則,並允許檔案治理動作
可檢視 [資料管理] 下的所有內建報告
動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

合規性資料管理員

具有此角色的使用者有權限追蹤 Microsoft Purview 合規性入口網站、Microsoft 365 系統管理中心和 Azure 中的資料。 使用者也可以追蹤 Exchange 系統管理中心、合規性管理員、Teams 和商務用 Skype 系統管理中心內的合規性資料,並建立適用於 Azure 和 Microsoft 365 的支援票證。 如需合規性系統管理員與合規性資料系統管理員之間差異的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組

In Can do
Microsoft Purview 合規性入口網站 監視所有 Microsoft 365 服務的合規性相關原則
管理合規性警示
Microsoft Purview 合規性管理員 追蹤、指派和確認您組織的法規合規性活動
Microsoft 365 Defender 入口網站 管理資料治理
執行法律和資料的調查
管理資料主體要求

此角色所具有的權限與 Microsoft 365 Defender 入口網站角色型存取控制中的合規性資料系統管理員角色群組相同。
Intune 檢視所有的 Intune 稽核資料
適用於雲端應用程式的 Microsoft Defender 具有唯讀權限,並可管理警示
可建立和修改檔案原則,並允許檔案治理動作
可檢視 [資料管理] 下的所有內建報告
動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/cloudAppSecurity/allProperties/allTasks 建立和刪除所有資源,同時讀取及更新適用於雲端的 Microsoft Defender 的標準屬性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

條件式存取系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者能夠管理 Microsoft Entra 條件式存取設定。

動作 描述
microsoft.directory/namedLocations/create 建立可定義網路位置的自訂規則
microsoft.directory/namedLocations/delete 刪除可定義網路位置的自訂規則
microsoft.directory/namedLocations/standard/read 讀取可定義網路位置之自訂規則的基本屬性
microsoft.directory/namedLocations/basic/update 更新可定義網路位置之自訂規則的基本屬性
microsoft.directory/conditionalAccessPolicies/create 建立條件式存取原則
microsoft.directory/conditionalAccessPolicies/delete 刪除條件式存取原則
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/conditionalAccessPolicies/owners/read 讀取條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的「套用至」屬性
microsoft.directory/conditionalAccessPolicies/basic/update 更新條件式存取原則的基本屬性
microsoft.directory/conditionalAccessPolicies/owners/update 更新條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 更新條件式存取原則的預設租用戶
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容
特殊權限標籤圖示。

客戶 LockBox 存取核准者

管理組織中的 Microsoft Purview 客戶加密箱要求。 他們會收到客戶加密箱要求的電子郵件通知,並可核准和拒絕來自 Microsoft 365 系統管理中心的要求。 他們也可以開啟或關閉客戶加密箱功能。 只有全域管理員可以重設指派給此角色的人員密碼。

動作 描述
microsoft.office365.lockbox/allEntities/allTasks 管理客戶加密箱的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

電腦分析系統管理員

此角色中的使用者可以管理電腦分析服務。 此角色能夠檢視資產庫存、建立部署計畫、檢視部署和健康狀態。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理電腦分析的所有層面

目錄讀取者

具備此角色的使用者可讀取基本目錄資訊。 此角色應該用於:

  • 將讀取權限授予一組特定的來賓使用者,而不是將其授予所有來賓使用者。
  • [僅限系統管理員存取 Azure 入口網站] 設定為 [是] 時,將 Azure 入口網站的存取權授與一組特定的非系統管理員使用者。
  • 如果 Directory.Read.All 不是選項,將目錄的存取權授予服務主體。
動作 描述
microsoft.directory/administrativeUnits/standard/read 讀取管理單位上的基本屬性
microsoft.directory/administrativeUnits/members/read 讀取管理單位的成員
microsoft.directory/applications/standard/read 讀取應用程式的標準屬性
microsoft.directory/applications/owners/read 讀取應用程式擁有者
microsoft.directory/applications/policies/read 讀取應用程式原則
microsoft.directory/contacts/standard/read 在 Microsoft Entra ID 中讀取連絡人的基本屬性
microsoft.directory/contacts/memberOf/read 讀取 Microsoft Entra ID 中所有連絡人的群組成員資格
microsoft.directory/contracts/standard/read 讀取夥伴合約的基本屬性
microsoft.directory/devices/standard/read 讀取裝置上的基本屬性
microsoft.directory/devices/memberOf/read 讀取裝置成員資格
microsoft.directory/devices/registeredOwners/read 讀取裝置的已註冊擁有者
microsoft.directory/devices/registeredUsers/read 讀取裝置的已註冊使用者
microsoft.directory/directoryRoles/standard/read 讀取 Microsoft Entra 角色的基本屬性
microsoft.directory/directoryRoles/eligibleMembers/read 讀取 Microsoft Entra 角色的合格成員
microsoft.directory/directoryRoles/members/read 讀取 Microsoft Entra 角色的所有成員
microsoft.directory/domains/standard/read 讀取網域上的基本屬性
microsoft.directory/groups/standard/read 讀取安全性群組與 Microsoft 365 群組的標準屬性,包含可指派角色的群組
microsoft.directory/groups/appRoleAssignments/read 讀取群組的應用程式角色指派
microsoft.directory/groups/memberOf/read 讀取安全性群組與 Microsoft 365 群組的 memberOf 屬性,包含可指派角色的群組
microsoft.directory/groups/members/read 讀取安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups/owners/read 讀取安全性群組與 Microsoft 365 群組的擁有者,包含可指派角色的群組
microsoft.directory/groups/settings/read 讀取群組的設定
microsoft.directory/groupSettings/standard/read 讀取群組設定的基本屬性
microsoft.directory/groupSettingTemplates/standard/read 讀取群組設定範本的基本屬性
microsoft.directory/oAuth2PermissionGrants/standard/read 讀取 OAuth 2.0 權限授與的基本屬性
microsoft.directory/organization/standard/read 讀取組織的基本屬性
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read 讀取無密碼驗證的受信任憑證授權單位
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/roleAssignments/standard/read 讀取角色指派的基本屬性
microsoft.directory/roleDefinitions/standard/read 讀取角色定義的基本屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體的角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/memberOf/read 讀取服務主體的群組成員資格
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取授與服務主體的委派權限
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/ownedObjects/read 讀取服務主體擁有的物件
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft.directory/subscribedSkus/standard/read 讀取訂用帳戶的基本屬性
microsoft.directory/users/standard/read 讀取使用者的基本屬性
microsoft.directory/users/appRoleAssignments/read 讀取使用者的應用程式角色指派
microsoft.directory/users/deviceForResourceAccount/read 讀取使用者的 deviceForResourceAccount
microsoft.directory/users/directReports/read 讀取使用者的直屬員工
microsoft.directory/users/invitedBy/read 讀取已邀請外部使用者加入租用戶的使用者
microsoft.directory/users/licenseDetails/read 讀取使用者的授權詳細資料
microsoft.directory/users/manager/read 讀取使用者的經理
microsoft.directory/users/memberOf/read 讀取使用者的群組成員資格
microsoft.directory/users/oAuth2PermissionGrants/read 讀取授與使用者的委派權限
microsoft.directory/users/ownedDevices/read 讀取使用者擁有的裝置
microsoft.directory/users/ownedObjects/read 讀取使用者擁有的物件
microsoft.directory/users/photo/read 讀取使用者的相片
microsoft.directory/users/registeredDevices/read 讀取使用者的已註冊裝置
microsoft.directory/users/scopedRoleMemberOf/read 讀取某個管理單位範圍內 Microsoft Entra 角色的使用者成員資格
microsoft.directory/users/sponsors/read 讀取使用者的贊助者

目錄同步處理帳戶

特殊權限標籤圖示。

這是特殊權限角色。 請勿使用。 此角色會自動指派給 Microsoft Entra Connect 和 Microsoft Entra Cloud Sync 服務,而且不適合或不支援任何其他用途。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/appRoles/update 更新所有類型之應用程式上的 appRole 屬性
microsoft.directory/applications/audience/update 更新應用程式的對象屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
特殊權限標籤圖示。
microsoft.directory/applications/notes/update 更新應用程式注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開權限及必要權限
microsoft.directory/applications/policies/update 更新應用程式原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 在 Microsoft Entra ID 中管理混合式驗證原則
特殊權限標籤圖示。
microsoft.directory/organization/dirSync/update 更新組織目錄同步屬性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密碼雜湊同步 (PHS) 的所有層面
microsoft.directory/policies/create 在 Microsoft Entra ID 中建立原則
microsoft.directory/policies/delete 刪除 Microsoft Entra ID 中的原則
microsoft.directory/policies/standard/read 讀取原則上的基本屬性
microsoft.directory/policies/owners/read 讀取原則的擁有者
microsoft.directory/policies/policyAppliedTo/read 讀取 policies.policyAppliedTo 屬性
microsoft.directory/policies/basic/update 更新原則的基本屬性
特殊權限標籤圖示。
microsoft.directory/policies/owners/update 更新原則的擁有者
microsoft.directory/policies/tenantDefault/update 更新預設的組織原則
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體上的密碼單一登入認證
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體的角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/memberOf/read 讀取服務主體的群組成員資格
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取授與服務主體的委派權限
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/ownedObjects/read 讀取服務主體擁有的物件
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的對象屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的權限
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性

目錄寫入者

特殊權限標籤圖示。

這是特殊權限角色。 具備此角色的使用者可以讀取及更新使用者、群組和服務主體的基本資訊。

動作 描述
microsoft.directory/applications/extensionProperties/update 更新應用程式的擴充功能屬性
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/groups/basic/update 更新安全性群組和 Microsoft 365 群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups/classification/update 更新安全性群組和 Microsoft 365 群組的分類屬性,不包含可指派角色的群組
microsoft.directory/groups/dynamicMembershipRule/update 更新安全性群組和 Microsoft 365 群組的動態成員資格規則,不包含可指派角色的群組
microsoft.directory/groups/groupType/update 更新會影響安全性群組和 Microsoft 365 群組的群組類型的屬性,不包含可指派角色的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra Connect 以更新寫回內部部署的 Microsoft Entra 群組
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft.directory/groups/visibility/update 更新安全性群組與 Microsoft 365 群組的可見度屬性,不包含可指派角色的群組
microsoft.directory/groupSettings/create 建立群組設定
microsoft.directory/groupSettings/delete 刪除群組設定
microsoft.directory/groupSettings/basic/update 更新群組設定的基本屬性
microsoft.directory/oAuth2PermissionGrants/create 建立 OAuth 2.0 權限授與
特殊權限標籤圖示。
microsoft.directory/oAuth2PermissionGrants/basic/update 更新 OAuth 2.0 權限授與
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式佈建祕密及認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式佈建同步作業及結構描述
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立及管理應用程式佈建同步作業及結構描述。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理雲端租用戶到雲端租用戶應用程式佈建祕密和認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 開始、重新開始和暫停雲端租用戶至雲端租用戶應用程式佈建同步工作。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 建立和管理雲端租用戶至雲端租用戶應用程式佈建同步工作和結構描述。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
特殊權限標籤圖示。
microsoft.directory/users/disable 停用使用者
特殊權限標籤圖示。
microsoft.directory/users/enable 啟用使用者
特殊權限標籤圖示。
microsoft.directory/users/invalidateAllRefreshTokens 讓使用者重新整理權杖無效以強制登出
特殊權限標籤圖示。
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft.directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 更新使用者的管理員
microsoft.directory/users/photo/update 更新使用者的相片
microsoft.directory/users/sponsors/update 更新使用者的贊助者
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
特殊權限標籤圖示。

網域名稱管理員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者可以管理 (讀取、新增、驗證、更新和刪除) 網域名稱。 他們也可以讀取使用者、群組和應用程式的目錄資訊,因為這些物件擁有網域相依性。 針對內部部署環境,具有此角色的使用者可以設定同盟的網域名稱,讓相關聯的使用者一律在內部部署進行驗證。 這些使用者接著可以透過單一登入,以使用其內部部署密碼來登入 Microsoft Entra 型服務。 同盟設定需要透過 Microsoft Entra Connect 進行同步,因此使用者也有權管理 Microsoft Entra Connect。

動作 描述
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Dynamics 365 系統管理員

此角色的使用者具有 Microsoft Dynamics 365 Online (如其存在) 的全域權限,並能管理支援票證及監視服務的健康情況。 如需詳細資訊,請參閱使用服務系統管理員角色來管理您的租用戶

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色命名為「Dynamics 365 服務管理員」。 在 Azure 入口網站中,其命名為「Dynamics 365 管理員」。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Dynamics 365 Business Central 系統管理員

將 Dynamics 365 Business Central 系統管理員角色指派給需要執行下列工作的使用者:

  • 存取 Dynamics 365 Business Central 環境
  • 在環境上執行所有系統管理工作
  • 管理客戶環境的生命週期
  • 監督環境上所安裝的延伸模組
  • 控制環境的升級
  • 執行環境的資料匯出
  • 讀取和設定 Azure 和 Microsoft 365 服務健康狀態儀表板

此角色不會提供其他 Dynamics 365 產品的任何權限。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.directory/subscribedSkus/standard/read 讀取訂用帳戶的基本屬性
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks 管理 Dynamics 365 Business Central 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Edge 系統管理員

具備此角色的使用者可以建立和管理 Microsoft Edge 上 Internet Explorer 模式所需的企業網站清單。 此角色授與建立、編輯及發佈網站清單的權限,並額外允許存取管理支援票證。 深入了解

動作 描述
microsoft.edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Exchange 系統管理員

此角色的使用者具有 Microsoft Exchange Online (如其存在) 的全域權限。 也能夠建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色稱為「Exchange 服務管理員」。 在 Azure 入口網站中,其命名為「Exchange 系統管理員」。 在 Exchange 系統管理中心中,此角色稱為「Exchange Online 系統管理員」。

動作 描述
microsoft.directory/groups/hiddenMembers/read 讀取隱藏的安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括角色可指派的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Exchange 收件者系統管理員

具有此角色的使用者即具備收件者的讀取存取權,且對於 Exchange Online 中這些收件者的屬性,具有寫入存取權。 如需詳細資訊,請參閱 Exchange Server 中的收件者

動作 描述
microsoft.office365.exchange/recipients/allProperties/allTasks 建立和刪除所有收件者,以及在 Exchange Online 中讀取和更新所有收件者的屬性
microsoft.office365.exchange/migration/allProperties/allTasks 在 Exchange Online 中管理與收件者遷移相關的所有工作

外部識別碼使用者流程管理員

具備此角色的使用者可以建立和管理 Azure 入口網站中的使用者流程 (也稱為「內建」原則)。 這些使用者可以自訂 HTML/CSS/JavaScript 內容、變更 MFA 需求、選取權杖中的宣告、管理 API 連接器及其認證,以及設定 Microsoft Entra 組織中所有使用者流程的工作階段設定。 另一方面,此角色不包含檢閱使用者資料,或對組織結構描述內含屬性進行變更的能力。 Identity Experience Framework 原則 (也稱為自訂原則) 的變更也超出此角色的範圍。

動作 描述
microsoft.directory/b2cUserFlow/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定使用者流程

外部識別碼使用者流程屬性管理員

具有此角色的使用者可新增或刪除 Microsoft Entra 組織中所有使用者流程可用的自訂屬性。 因此,具備此角色的使用者可以變更項目,或將其新增至終端使用者結構描述,而影響所有使用者流程的行為,進而間接變更可能要求的終端使用者資料,最後以宣告的形式傳送給應用程式。此角色無法編輯使用者流程。 此角色無法編輯使用者流程。

動作 描述
microsoft.directory/b2cUserAttribute/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定使用者屬性

外部識別提供者系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 此系統管理員會管理 Microsoft Entra 組織與外部身分識別提供者之間的同盟。 具備此角色,使用者可以新增識別提供者及設定所有可用的設定 (例如,驗證路徑、服務識別碼、指派的金鑰容器)。 此使用者可以讓 Microsoft Entra 組織信任來自外部識別提供者的驗證。 對使用者體驗產生的影響取決於組織類型:

  • 員工和合作夥伴的 Microsoft Entra 組織:新增同盟 (例如與 Gmail 同盟) 將會立即影響尚未兌換的所有來賓邀請。 請參閱將 Google 新增為 B2B 來賓使用者的識別提供者
  • Azure Active Directory B2C 組織:除非識別提供者新增為使用者流程 (也稱為內建原則) 中的選項,否則新增同盟 (例如,與 Facebook 同盟,或與另一個 Microsoft Entra 組織同盟) 不會立即影響終端使用者流程。 如需範例,請參閱將 Microsoft 帳戶設為識別提供者。 若要變更使用者流程,需要有「B2C 使用者流程管理員」的受限角色。
動作 描述
microsoft.directory/domains/federation/update 更新網域的同盟屬性
特殊權限標籤圖示。
microsoft.directory/identityProviders/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定識別提供者
特殊權限標籤圖示。

網狀架構系統管理員

此角色的使用者具有 Microsoft Fabric 和 Power BI (如其存在) 的全域權限,而且可以管理支援票證以及監視服務健康狀態。 如需詳細資訊,請參閱了解網狀架構系統管理員角色

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Fabric 和 Power BI 的所有層面

全域系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者可以存取 Microsoft Entra ID 中的所有系統管理功能,以及使用 Microsoft Entra 身分識別的服務,例如 Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站、Exchange Online、SharePoint Online 和商務用 Skype Online。 全域系統管理員可以檢視目錄活動記錄。 此外,全域管理員可以提高其存取權,以管理所有 Azure 訂用帳戶和管理群組。 這可讓全域管理員使用個別的 Microsoft Entra 租用戶,取得所有 Azure 資源的完整存取權。 註冊 Microsoft Entra 組織的人員會成為全域管理員。 您的公司可以擁有多個全域管理員。 全域管理員可以為任何使用者和所有其他管理員重設密碼。 全域系統管理員無法移除自己的全域系統管理員指派。 這是為了避免組織有零個全域系統管理員的情況。

注意

Microsoft 建議的最佳做法是將全域管理員角色指派給組織中的五人以下。 如需詳細資訊,請參閱 Microsoft Entra 角色的最佳做法

動作 描述
microsoft.directory/accessReviews/allProperties/allTasks (已取代) 建立和刪除存取權檢閱、讀取和更新存取權檢閱的所有屬性,以及管理 Microsoft Entra ID 中群組的存取權檢閱
microsoft.directory/accessReviews/definitions/allProperties/allTasks 管理 Microsoft Entra ID 中所有可檢閱資源的存取權檢閱
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks 在 Microsoft Entra ID 中管理系統管理員同意要求原則
microsoft.directory/administrativeUnits/allProperties/allTasks 建立及管理系統管理單位 (包括成員)
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性
microsoft.directory/applications/allProperties/allTasks 建立和刪除應用程式,以及讀取和更新所有屬性。
特殊權限標籤圖示。
microsoft.directory/applications/synchronization/standard/read 讀取此應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/users/authenticationMethods/create 更新使用者的驗證方法
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/delete 刪除使用者的驗證方法
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/standard/read 讀取使用者驗證方法的標準屬性
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
特殊權限標籤圖示。
microsoft.directory/authorizationPolicy/allProperties/allTasks 管理授權原則的所有層面
特殊權限標籤圖示。
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 Bitlocker 中繼資料和金鑰
特殊權限標籤圖示。
microsoft.directory/cloudAppSecurity/allProperties/allTasks 建立和刪除所有資源,同時讀取及更新適用於雲端的 Microsoft Defender 的標準屬性
microsoft.directory/connectors/create 建立私人網路連接器
microsoft.directory/connectors/allProperties/read 讀取私人網路連接器的所有屬性
microsoft.directory/connectorGroups/create 建立私人網路連接器群組
microsoft.directory/connectorGroups/delete 刪除私人網路連接器群組
microsoft.directory/connectorGroups/allProperties/read 讀取私人網路連接器群組的所有屬性
microsoft.directory/connectorGroups/allProperties/update 更新私人網路連接器群組的所有屬性
microsoft.directory/contacts/allProperties/allTasks 建立和刪除連絡人,以及讀取和更新所有屬性。
microsoft.directory/contracts/allProperties/allTasks 建立和刪除夥伴連絡人,以及讀取和更新所有屬性。
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks 建立及管理自訂驗證延伸模組
特殊權限標籤圖示。
microsoft.directory/deletedItems/delete 永久刪除物件,將不再能還原物件
microsoft.directory/deletedItems/restore 將虛刪除的物件還原為原始狀態
microsoft.directory/devices/allProperties/allTasks 建立和刪除裝置,以及讀取和更新所有屬性
microsoft.directory/groupsAssignableToRoles/assignLicense 將授權指派給可指派角色的群組
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment 將授權指派重新處理至可指派角色的群組
microsoft.directory/multiTenantOrganization/basic/update 更新多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/create 建立多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update 加入多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update 更新參與多租用戶組織的租用戶的基本屬性
microsoft.directory/multiTenantOrganization/tenants/create 在多租用戶組織中建立租用戶
microsoft.directory/multiTenantOrganization/tenants/delete 刪除參與多租用戶組織的租用戶
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶的組織詳細資料
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織的租用戶的基本屬性
microsoft.directory/namedLocations/create 建立可定義網路位置的自訂規則
microsoft.directory/namedLocations/delete 刪除可定義網路位置的自訂規則
microsoft.directory/namedLocations/standard/read 讀取可定義網路位置之自訂規則的基本屬性
microsoft.directory/namedLocations/basic/update 更新可定義網路位置之自訂規則的基本屬性
microsoft.directory/deviceLocalCredentials/password/read 針對已加入 Microsoft Entra 的裝置讀取已備份本機系統管理員帳戶認證的所有屬性,包括密碼
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceManagementPolicies/basic/update 更新行動裝置管理和行動應用程式管理原則的基本屬性
特殊權限標籤圖示。
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/deviceRegistrationPolicy/basic/update 更新裝置註冊原則上的基本屬性
特殊權限標籤圖示。
microsoft.directory/directoryRoles/allProperties/allTasks 建立和刪除目錄角色,以及讀取和更新所有屬性
microsoft.directory/directoryRoleTemplates/allProperties/allTasks 建立和刪除 Microsoft Entra 角色範本,以及讀取和更新所有屬性
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/domains/federationConfiguration/basic/update 更新網域的基本同盟設定
microsoft.directory/domains/federationConfiguration/create 建立網域的同盟設定
microsoft.directory/domains/federationConfiguration/delete 刪除網域的同盟設定
microsoft.directory/entitlementManagement/allProperties/allTasks 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/groups/allProperties/allTasks 建立和刪除群組,以及讀取和更新所有屬性
microsoft.directory/groupsAssignableToRoles/create 建立可指派角色的群組
microsoft.directory/groupsAssignableToRoles/delete 刪除可指派角色的群組
microsoft.directory/groupsAssignableToRoles/restore 還原可指派角色的群組
microsoft.directory/groupsAssignableToRoles/allProperties/update 更新可指派角色的群組
microsoft.directory/groupSettings/allProperties/allTasks 建立和刪除群組設定,以及讀取和更新所有屬性
microsoft.directory/groupSettingTemplates/allProperties/allTasks 建立和刪除群組設定範本,以及讀取和更新所有屬性
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 在 Microsoft Entra ID 中管理混合式驗證原則
特殊權限標籤圖示。
microsoft.directory/identityProtection/allProperties/allTasks 建立和刪除所有資源,以及讀取和更新 Microsoft Entra ID Protection 中的標準屬性
特殊權限標籤圖示。
microsoft.directory/loginOrganizationBranding/allProperties/allTasks 建立和刪除 loginTenantBranding,以及讀取和更新所有屬性
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/organization/allProperties/allTasks 讀取及更新組織的所有屬性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密碼雜湊同步 (PHS) 的所有層面
microsoft.directory/policies/allProperties/allTasks 建立和刪除原則,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks 管理條件式存取原則的所有屬性
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新允許的跨租用戶存取原則的雲端端點
microsoft.directory/crossTenantAccessPolicy/basic/update 更新跨租用戶存取原則的基本設定
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 更新預設跨租用戶存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update 更新預設跨租用戶存取原則的 Microsoft Entra B2B 直接連接設定
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新預設跨租用戶存取原則的跨雲端 Teams 會議設定
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 更新預設跨租用戶存取原則的租用戶限制
microsoft.directory/crossTenantAccessPolicy/partners/create 建立合作夥伴的跨租用戶存取原則
microsoft.directory/crossTenantAccessPolicy/partners/delete 刪除合作夥伴的跨租用戶存取原則
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update 更新多租用戶組織的跨租用戶同步處理原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings 將多租用戶組織的跨租用戶同步處理原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織的跨租用戶同步處理原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update 更新多租用戶組織的跨租用戶存取原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings 將多租用戶組織的跨租用戶存取原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織的跨租用戶存取原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 更新合作夥伴跨租用戶存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update 更新合作夥伴跨租用戶存取原則的 Microsoft Entra B2B 直接連接設定
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作夥伴的跨租用戶存取原則的跨雲端 Teams 會議設定
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 更新合作夥伴的跨租用戶存取原則的租用戶限制
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create 建立合作夥伴的跨租用戶同步處理原則
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update 更新跨租用戶同步處理原則的基本設定
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 讀取跨租用戶同步處理原則的基本屬性
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容
特殊權限標籤圖示。
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/serviceAction/activateService 可以執行服務的 [啟動服務] 動作
microsoft.directory/serviceAction/disableDirectoryFeature 可以執行「停用目錄功能」服務動作
microsoft.directory/serviceAction/enableDirectoryFeature 可以執行「啟用目錄功能」服務動作
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以在 Azure Active Directory 中執行 getAvailableExtentionProperties 服務動作
microsoft.directory/servicePrincipals/allProperties/allTasks 建立和刪除服務主體,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 將任何權限的同意授與任何應用程式
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立及管理應用程式佈建同步作業及結構描述。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理雲端租用戶到雲端租用戶應用程式佈建祕密和認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 開始、重新開始和暫停雲端租用戶至雲端租用戶應用程式佈建同步工作。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 建立和管理雲端租用戶至雲端租用戶應用程式佈建同步工作和結構描述。
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.directory/subscribedSkus/allProperties/allTasks 購買和管理訂用帳戶和刪除訂用帳戶
microsoft.directory/users/allProperties/allTasks 建立和刪除使用者,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/users/convertExternalToInternalMemberUser 將外部使用者轉換為內部使用者
microsoft.directory/permissionGrantPolicies/create 建立權限授與原則
microsoft.directory/permissionGrantPolicies/delete 刪除權限授與原則
microsoft.directory/permissionGrantPolicies/standard/read 讀取權限授與原則的標準屬性
microsoft.directory/permissionGrantPolicies/basic/update 更新權限授與原則的基本屬性
microsoft.directory/servicePrincipalCreationPolicies/create 建立服務主體建立原則
microsoft.directory/servicePrincipalCreationPolicies/delete 刪除服務主體建立原則
microsoft.directory/servicePrincipalCreationPolicies/standard/read 讀取服務主體建立原則的標準屬性
microsoft.directory/servicePrincipalCreationPolicies/basic/update 更新服務主體建立原則的基本屬性
microsoft.directory/tenantManagement/tenants/create 在 Microsoft Entra ID 中建立新的租用戶
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 讀取可驗認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke 撤銷可驗認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/create 建立可驗認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 讀取可驗認證合約
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update 更新可驗認證合約
microsoft.directory/verifiableCredentials/configuration/create 建立要建立和管理可驗認證所需的設定
microsoft.directory/verifiableCredentials/configuration/delete 刪除建立和管理可驗認證所需的設定,並刪除其所有可驗認證
microsoft.directory/verifiableCredentials/configuration/allProperties/read 讀取建立和管理可驗認證所需的設定
microsoft.directory/verifiableCredentials/configuration/allProperties/update 更新建立和管理可驗認證所需的設定
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks 管理 Microsoft Entra ID 中生命週期工作流程和工作的所有層面
microsoft.directory/pendingExternalUserProfiles/create 在 Teams 的擴充目錄中建立外部使用者設定檔
microsoft.directory/pendingExternalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者設定檔的標準屬性
microsoft.directory/pendingExternalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者設定檔的基本屬性
microsoft.directory/pendingExternalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者設定檔
microsoft.directory/externalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者設定檔的標準屬性
microsoft.directory/externalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者設定檔的基本屬性
microsoft.directory/externalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者設定檔
microsoft.azure.advancedThreatProtection/allEntities/allTasks 管理 Azure 進階威脅防護的所有層面
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.commerce.billing/allEntities/allProperties/allTasks 管理 Office 365 帳單的所有層面
microsoft.commerce.billing/purchases/standard/read 讀取 M365 系統管理中心內的購買服務。
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有層面
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 網路存取的所有層面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的所有層面
microsoft.hardware.support/shippingAddress/allProperties/allTasks 建立、讀取、更新和刪除 Microsoft 硬體保固宣告的交貨地址,包括其他人所建立的交貨地址
microsoft.hardware.support/shippingStatus/allProperties/read 讀取未結案 Microsoft 硬體保固宣告的交貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/allTasks 建立和管理 Microsoft 硬體保固宣告的所有層面
microsoft.insights/allEntities/allProperties/allTasks 管理 Insights 應用程式的所有層面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的所有層面
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理電腦分析的所有層面
microsoft.office365.exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有層面
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks 管理 SharePoint Embedded 容器的所有層面
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks 讀取並更新 Microsoft 365 系統管理中心內容瞭解的所有屬性
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read 讀取 Microsoft 365 系統管理中心內容瞭解的分析報告
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks 讀取並更新 Microsoft 365 系統管理中心知識網路的所有屬性
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks 管理 Microsoft 365 系統管理中心中知識網路的主題顯示方式
microsoft.office365.knowledge/learningSources/allProperties/allTasks 在 Learning App 中管理學習來源及其所有屬性。
microsoft.office365.lockbox/allEntities/allTasks 管理客戶加密箱的所有層面
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 系統管理中心中閱讀訊息中心的安全性訊息
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 移轉的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks 管理 Microsoft 365 組織訊息的所有製作層面
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks 管理安全性與合規性中心的所有層面
microsoft.office365.search/content/manage 在 Microsoft 搜尋中建立和刪除內容,以及讀取和更新所有屬性
microsoft.office365.securityComplianceCenter/allEntities/allTasks 建立和刪除所有資源,以及讀取和更新 Office 365 安全性和合規性中心內的標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.sharePoint/allEntities/allTasks 建立和刪除所有資源,以及讀取與更新 SharePoint 的標準屬性
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.userCommunication/allEntities/allTasks 讀取及更新新功能訊息的顯示設定
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.office365.yammer/allEntities/allProperties/allTasks 管理 Yammer 的所有層面
microsoft.permissionsManagement/allEntities/allProperties/allTasks 管理 Microsoft Entra 權限管理的所有層面
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 產品的所有層面
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Fabric 和 Power BI 的所有層面
microsoft.teams/allEntities/allProperties/allTasks 管理 Teams 中的所有資源
microsoft.virtualVisits/allEntities/allProperties/allTasks 從系統管理中心或 Virtual Visits 應用程式管理及共用 Virtual Visits 資訊和計量
microsoft.viva.goals/allEntities/allProperties/allTasks 管理 Microsoft Viva Goals 的所有層面
microsoft.viva.pulse/allEntities/allProperties/allTasks 管理 Microsoft Viva Pulse 的所有層面
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 管理 Microsoft Defender for Endpoint 的所有層面
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks 讀取及設定 Windows Update 服務的所有層面

全域讀取者

特殊權限標籤圖示。

這是特殊權限角色。 具備此角色的使用者可以跨 Microsoft 365 服務讀取設定和系統管理資訊,但無法採取管理動作。 全域讀取者是全域管理員的唯讀對應項目。 指派全域讀取者,而不是全域管理員來進行規劃、稽核或調查。 使用全域讀取者與其他有限的系統管理員角色 (例如 Exchange 系統管理員) 搭配使用,讓您更輕鬆地完成工作,而不需要指派全域管理員角色。 全域讀者可以與 Microsoft 365 系統管理中心、Exchange 系統管理中心、SharePoint 系統管理中心、Teams 系統管理中心、Microsoft 365 Defender 入口網站、Microsoft Purview 合規性入口網站、Azure 入口網站和裝置管理系統管理中心搭配運作。

具有此角色的使用者 無法 執行下列項目:

  • 無法存取 Microsoft 365 系統管理中心中的「購買服務」區域。

注意

全域讀者角色具有下列限制:

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.directory/accessReviews/allProperties/read (已取代) 讀取存取權檢閱的所有屬性
microsoft.directory/accessReviews/definitions/allProperties/read 在 Microsoft Entra ID 中讀取所有可檢閱資源存取權檢閱的所有屬性
microsoft.directory/adminConsentRequestPolicy/allProperties/read 在 Microsoft Entra ID 中讀取管理員同意要求原則的所有屬性
microsoft.directory/administrativeUnits/allProperties/read 讀取管理單位的所有屬性,包括成員
microsoft.directory/appConsent/appConsentRequests/allProperties/read 讀取使用 Microsoft Entra ID 註冊之應用程式的同意要求的所有屬性
microsoft.directory/applications/allProperties/read 讀取應用程式所有類型的屬性 (包括特殊權限屬性)
microsoft.directory/applications/synchronization/standard/read 讀取此應用程式物件相關聯的佈建設定
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/users/authenticationMethods/standard/restrictedRead 讀取不包括使用者個人識別資訊之驗證方法的標準屬性
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 Bitlocker 中繼資料和金鑰
特殊權限標籤圖示。
microsoft.directory/cloudAppSecurity/allProperties/read 讀取適用於雲端的 Defender 應用程式的所有屬性
microsoft.directory/connectors/allProperties/read 讀取私人網路連接器的所有屬性
microsoft.directory/connectorGroups/allProperties/read 讀取私人網路連接器群組的所有屬性
microsoft.directory/contacts/allProperties/read 讀取連絡人的所有屬性
microsoft.directory/customAuthenticationExtensions/allProperties/read 讀取自訂驗證延伸模組
microsoft.directory/deviceLocalCredentials/standard/read 針對已加入 Microsoft Entra 的裝置讀取已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/devices/allProperties/read 讀取裝置的所有屬性
microsoft.directory/directoryRoles/allProperties/read 讀取目錄角色的所有屬性
microsoft.directory/directoryRoleTemplates/allProperties/read 讀取目錄角色範本的所有屬性
microsoft.directory/domains/allProperties/read 讀取網域的所有屬性
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/externalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者設定檔的標準屬性
microsoft.directory/groups/allProperties/read 讀取安全性群組與 Microsoft 365 群組的所有屬性 (包含特殊權限屬性),包含可指派角色的群組
microsoft.directory/groupSettings/allProperties/read 讀取群組設定的所有屬性
microsoft.directory/groupSettingTemplates/allProperties/read 讀取群組設定範本的所有屬性
microsoft.directory/identityProtection/allProperties/read 讀取 Microsoft Entra ID Protection 中的所有資源
microsoft.directory/loginOrganizationBranding/allProperties/read 讀取貴組織品牌化登入頁面的所有屬性
microsoft.directory/namedLocations/standard/read 讀取可定義網路位置之自訂規則的基本屬性
microsoft.directory/oAuth2PermissionGrants/allProperties/read 讀取 OAuth 2.0 權限授與的所有屬性
microsoft.directory/organization/allProperties/read 讀取組織的所有屬性
microsoft.directory/pendingExternalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者設定檔的標準屬性
microsoft.directory/permissionGrantPolicies/standard/read 讀取權限授與原則的標準屬性
microsoft.directory/policies/allProperties/read 讀取原則的所有屬性
microsoft.directory/conditionalAccessPolicies/allProperties/read 讀取條件式存取原則的所有屬性
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織的跨租用戶同步處理原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織的跨租用戶存取原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 讀取跨租用戶同步處理原則的基本屬性
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶的組織詳細資料
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織的租用戶的基本屬性
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/roleAssignments/allProperties/read 讀取角色指派的所有屬性
microsoft.directory/roleDefinitions/allProperties/read 讀取角色定義的所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/read 檢視管理單位中的成員
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以在 Azure Active Directory 中執行 getAvailableExtentionProperties 服務動作
microsoft.directory/servicePrincipals/allProperties/read 讀取 servicePrincipals 的所有屬性 (包括特殊權限屬性)
microsoft.directory/servicePrincipalCreationPolicies/standard/read 讀取服務主體建立原則的標準屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.directory/subscribedSkus/allProperties/read 讀取產品訂用帳戶的所有屬性
microsoft.directory/users/allProperties/read 讀取使用者的所有屬性
特殊權限標籤圖示。
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read 讀取可驗認證卡
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read 讀取可驗認證合約
microsoft.directory/verifiableCredentials/configuration/allProperties/read 讀取建立和管理可驗認證所需的設定
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read 讀取 Microsoft Entra ID 中生命週期工作流程和工作的所有屬性
microsoft.cloudPC/allEntities/allProperties/read 管理 Windows 365 的所有層面
microsoft.commerce.billing/allEntities/allProperties/read 讀取 Office 365 帳單的所有資源
microsoft.commerce.billing/purchases/standard/read 讀取 M365 系統管理中心內的購買服務。
microsoft.edge/allEntities/allProperties/read 管理 Microsoft Edge 的所有層面
microsoft.networkAccess/allEntities/allProperties/read 讀取 Microsoft Entra 網路存取的所有層面
microsoft.hardware.support/shippingAddress/allProperties/read 讀取 Microsoft 硬體保固宣告的交貨地址,包括其他人所建立的現有交貨地址
microsoft.hardware.support/shippingStatus/allProperties/read 讀取未結案 Microsoft 硬體保固宣告的交貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/read 讀取 Microsoft 硬體保固宣告
microsoft.insights/allEntities/allProperties/read 讀取 Viva Insights 的所有層面
microsoft.office365.fileStorageContainers/allEntities/allProperties/read 讀取 SharePoint Embedded 容器的實體和權限
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 系統管理中心中閱讀訊息中心的安全性訊息
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.organizationalMessages/allEntities/allProperties/read 讀取 Microsoft 365 組織訊息的所有層面
microsoft.office365.protectionCenter/allEntities/allProperties/read 讀取安全性與合規性中心的所有屬性
microsoft.office365.securityComplianceCenter/allEntities/read 讀取安 Microsoft 365 全性與合規性中心的所有屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.office365.yammer/allEntities/allProperties/read 管理 Yammer 的所有層面
microsoft.permissionsManagement/allEntities/allProperties/read 讀取 Microsoft Entra 權限管理的所有層面
microsoft.teams/allEntities/allProperties/read 讀取 Microsoft Teams 的所有屬性
microsoft.virtualVisits/allEntities/allProperties/read 讀取 Virtual Visits 的所有層面
microsoft.viva.goals/allEntities/allProperties/read 讀取 Microsoft Viva Goals 的所有層面
microsoft.viva.pulse/allEntities/allProperties/read 讀取 Microsoft Viva Pulse 的所有層面
microsoft.windows.updatesDeployments/allEntities/allProperties/read 閱讀 Windows Update 服務的所有層面

全球安全存取系統管理員

將全域安全存取系統管理員角色指派給需要執行下列作業的使用者:

  • 建立和管理 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取的所有層面
  • 管理公用和私人端點的存取權

具有此角色的使用者 無法 執行下列項目:

  • 無法管理企業應用程式、應用程式註冊、條件式存取或應用程式 Proxy 設定

深入了解

動作 描述
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applications/applicationProxy/read 讀取所有應用程式 Proxy 屬性
microsoft.directory/applications/owners/read 讀取應用程式擁有者
microsoft.directory/applications/policies/read 讀取應用程式原則
microsoft.directory/applications/standard/read 讀取應用程式的標準屬性
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/connectorGroups/allProperties/read 讀取私人網路連接器群組的所有屬性
microsoft.directory/connectors/allProperties/read 讀取私人網路連接器的所有屬性
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租用戶存取原則的基本屬性
microsoft.directory/namedLocations/standard/read 讀取可定義網路位置之自訂規則的基本屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 網路存取的所有層面
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

群組管理員

具備此角色的使用者可以建立/管理群組及其設定 (例如命名和到期原則)。 請務必瞭解,將使用者指派給這個角色,他就能夠在除了 Outlook 以外的各種工作負載 (例如 Teams、SharePoint、Yammer) 上管理組織中的所有群組。 此外,該使用者也能夠在各種系統管理入口網站 (例如 Microsoft 系統管理中心、Azure 入口網站,以及 Teams 和 SharePoint 系統管理中心之類的工作負載專屬入口網站) 中管理各種群組設定。

動作 描述
microsoft.directory/deletedItems.groups/delete 永久刪除群組,將不再能還原物件
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/hiddenMembers/read 讀取隱藏的安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/basic/update 更新安全性群組和 Microsoft 365 群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups/classification/update 更新安全性群組和 Microsoft 365 群組的分類屬性,不包含可指派角色的群組
microsoft.directory/groups/dynamicMembershipRule/update 更新安全性群組和 Microsoft 365 群組的動態成員資格規則,不包含可指派角色的群組
microsoft.directory/groups/groupType/update 更新會影響安全性群組和 Microsoft 365 群組的群組類型的屬性,不包含可指派角色的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra Connect 以更新寫回內部部署的 Microsoft Entra 群組
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft.directory/groups/visibility/update 更新安全性群組與 Microsoft 365 群組的可見度屬性,不包含可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

來賓邀請者

當 [成員可邀請使用者] 設定設為 [否] 時,此角色中的使用者可以管理 Microsoft Entra B2B 來賓使用者的邀請。 關於 Microsoft Entra B2B 共同作業中的 B2B 共同作業詳細資訊。 這不包含任何其他權限。

動作 描述
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft.directory/users/standard/read 讀取使用者的基本屬性
microsoft.directory/users/appRoleAssignments/read 讀取使用者的應用程式角色指派
microsoft.directory/users/deviceForResourceAccount/read 讀取使用者的 deviceForResourceAccount
microsoft.directory/users/directReports/read 讀取使用者的直屬員工
microsoft.directory/users/invitedBy/read 讀取已邀請外部使用者加入租用戶的使用者
microsoft.directory/users/licenseDetails/read 讀取使用者的授權詳細資料
microsoft.directory/users/manager/read 讀取使用者的經理
microsoft.directory/users/memberOf/read 讀取使用者的群組成員資格
microsoft.directory/users/oAuth2PermissionGrants/read 讀取授與使用者的委派權限
microsoft.directory/users/ownedDevices/read 讀取使用者擁有的裝置
microsoft.directory/users/ownedObjects/read 讀取使用者擁有的物件
microsoft.directory/users/photo/read 讀取使用者的相片
microsoft.directory/users/registeredDevices/read 讀取使用者的已註冊裝置
microsoft.directory/users/scopedRoleMemberOf/read 讀取某個管理單位範圍內 Microsoft Entra 角色的使用者成員資格
microsoft.directory/users/sponsors/read 讀取使用者的贊助者

服務台系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者可以變更密碼、使重新整理權杖失效、使用 Microsoft for Azure 和 Microsoft 365 服務建立和管理支援要求,以及監視服務健康情況。 使重新整理權杖失效會強制使用者再次登入。 服務台系統管理員是否可以重設使用者的密碼,並使重新整理權杖失效,取決於指派使用者的角色。 如需服務台系統管理員可以重設密碼並使重新整理權杖失效的角色清單,請參閱誰可以重設密碼

具有此角色的使用者 無法 執行下列項目:

重要

具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要組態的人員變更密碼。 變更使用者的密碼可能表示能夠採用使用者的身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 中可能有特殊權限,而在其他地方未授與技術支援中心系統管理員。 技術支援中心系統管理員可以透過此路徑承擔應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有機密或私人資訊或者 Azure 中重要組態的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • Microsoft Entra ID 外部其他服務 (例如 Exchange Online, Microsoft 365 Defender portal, Microsoft Purview 合規性入口網站和人力資源系統) 中的系統管理員。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。

利用管理單位,有可能將系統管理權限委派給使用者子集,以及將原則套用到使用者子集。

Azure 入口網站中,此角色先前稱為「密碼系統管理員」。 其已重新命名為「服務台系統管理員」,使其與 Microsoft Graph API 和 Azure AD PowerShell 中的現有名稱一致。

動作 描述
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 Bitlocker 中繼資料和金鑰
特殊權限標籤圖示。
microsoft.directory/deviceLocalCredentials/standard/read 針對已加入 Microsoft Entra 的裝置讀取已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/users/invalidateAllRefreshTokens 讓使用者重新整理權杖無效以強制登出
特殊權限標籤圖示。
microsoft.directory/users/password/update 重設所有使用者的密碼
特殊權限標籤圖示。
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

混合式身分識別管理員

特殊權限標籤圖示。

這是特殊權限角色。 此角色中的使用者可以使用雲端佈建來建立、管理和部署從 Active Directory 到 Microsoft Entra ID 的佈建組態設定,以及管理 Microsoft Entra Connect、傳遞驗證 (PTA)、密碼雜湊同步 (PHS)、無縫單一登入 (無縫 SSO) 和同盟設定。 沒有 Microsoft Entra Connect Health 管理存取權。 使用者也可以使用此角色對記錄進行疑難排解和監視。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/appRoles/update 更新所有類型之應用程式上的 appRole 屬性
microsoft.directory/applications/audience/update 更新應用程式的對象屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/notes/update 更新應用程式注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開權限及必要權限
microsoft.directory/applications/policies/update 更新應用程式原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/applications/synchronization/standard/read 讀取此應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/cloudProvisioning/allProperties/allTasks 讀取和設定 Microsoft Entra 雲端佈建服務的所有屬性。
microsoft.directory/deletedItems.applications/delete 永久删除應用程式,這意味著將無法還原它們
microsoft.directory/deletedItems.applications/restore 將虛刪除的應用程式還原為原始狀態
microsoft.directory/domains/allProperties/read 讀取網域的所有屬性
microsoft.directory/domains/federation/update 更新網域的同盟屬性
特殊權限標籤圖示。
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/domains/federationConfiguration/basic/update 更新網域的基本同盟設定
microsoft.directory/domains/federationConfiguration/create 建立網域的同盟設定
microsoft.directory/domains/federationConfiguration/delete 刪除網域的同盟設定
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks 在 Microsoft Entra ID 中管理混合式驗證原則
特殊權限標籤圖示。
microsoft.directory/organization/dirSync/update 更新組織目錄同步屬性
microsoft.directory/passwordHashSync/allProperties/allTasks 在 Microsoft Entra ID 中管理密碼雜湊同步 (PHS) 的所有層面
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式佈建祕密及認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式佈建同步作業及結構描述
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage 管理應用程式佈建密碼及認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage 啟動、重新啟動及暫停應用程式佈建同步作業。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage 建立及管理應用程式佈建同步作業及結構描述。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage 管理雲端租用戶到雲端租用戶應用程式佈建祕密和認證。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage 開始、重新開始和暫停雲端租用戶至雲端租用戶應用程式佈建同步工作。
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage 建立和管理雲端租用戶至雲端租用戶應用程式佈建同步工作和結構描述。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的對象屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/notes/update 更新服務主體的注意事項
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的權限
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的標籤屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取您服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.directory/users/authorizationInfo/update 更新使用者的多重值憑證使用者識別碼屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

身分識別控管系統管理員

具有此角色的使用者可以管理 Microsoft Entra ID 治理設定,包括存取套件、存取檢閱、目錄和原則、確保存取權已核准和已審核,以及已移除不再需要存取權的來賓使用者。

動作 描述
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks 在 Microsoft Entra ID 中管理應用程式角色指派的存取權檢閱
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 在權利管理中管理存取套件指派的存取權檢閱
microsoft.directory/accessReviews/definitions.groups/allProperties/read 在安全性與 Microsoft 365 群組,包括可指派角色的群組中,讀取成員資格存取權檢閱的所有屬性。
microsoft.directory/accessReviews/definitions.groups/allProperties/update 在安全性與 Microsoft 365 群組,排除可指派角色的群組中,更新成員資格存取權檢閱的所有屬性。
microsoft.directory/accessReviews/definitions.groups/create 在安全性與 Microsoft 365 群組中建立成員資格的存取權檢閱。
microsoft.directory/accessReviews/definitions.groups/delete 在安全性與 Microsoft 365 群組中刪除成員資格的存取權檢閱。
microsoft.directory/accessReviews/allProperties/allTasks (已取代) 建立和刪除存取權檢閱、讀取和更新存取權檢閱的所有屬性,以及管理 Microsoft Entra ID 中群組的存取權檢閱
microsoft.directory/entitlementManagement/allProperties/allTasks 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派

深入解析系統管理員

擁有此角色的使用者可以存取 Microsoft Viva Insights 應用程式中的完整系統管理功能。 此角色能夠讀取目錄資訊、監視服務健康情況、檔案支援票證,以及存取 Insights 系統管理員設定層面。

深入了解

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.insights/allEntities/allProperties/allTasks 管理 Insights 應用程式的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Insights 分析師

將 Insights 分析師角色指派給必須執行下列操作的使用者:

  • 分析 Microsoft Viva Insights 應用程式中的資料,但無法管理任何組態設定
  • 建立、管理和執行查詢
  • 在 Microsoft 365 系統管理中心中檢視基本設定和報告
  • 在 Microsoft 365 系統管理中心中建立和管理服務要求

深入了解

動作 描述
microsoft.insights/queries/allProperties/allTasks 執行及管理 Viva Insights 中的查詢
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

深入解析商務領導者

此角色的使用者可以透過 Microsoft Viva Insights 應用程式存取一組儀表板和深入解析。 這包括所有儀表板的完整存取,以及呈現見解和資料探索功能。 擔任此角色的使用者無法存取產品設定,因為這是 Insights 管理員角色的責任。

深入了解

動作 描述
microsoft.insights/reports/allProperties/read 在 Insights 應用程式中檢視報表與儀表板
microsoft.insights/programs/allProperties/update 在 Insights 應用程式中部署和管理程式

Intune 管理員

特殊權限標籤圖示。

這是特殊權限角色。 此角色的使用者具有 Microsoft Intune Online (如其存在) 的全域權限。 此外,此角色包含管理使用者和裝置的能力,可相關聯原則以及建立和管理群組。 如需詳細資訊,請參閱使用 Microsoft Intune 的角色型系統管理控制 (RBAC)

此角色可以建立和管理所有安全性群組。 不過,Intune 管理員沒有 Office 群組的系統管理權限。 這表示此管理員無法更新組織中所有 Office 群組的擁有者或成員資格。 不過,他/她可以管理其所建立的 Office 群組,這屬於其終端使用者權限的一部分。 因此,他/她所建立的任何 Office 群組 (而不是安全性群組),都應該根據其配額 250 個來計算。

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色稱為「Intune 服務管理員」。 在 Azure 入口網站中,其命名為「Intune 系統管理員」。

動作 描述
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 Bitlocker 中繼資料和金鑰
特殊權限標籤圖示。
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.devices/delete 永久刪除裝置,將不再能還原物件
microsoft.directory/deletedItems.devices/restore 將虛刪除的裝置還原為原始狀態
microsoft.directory/devices/create 建立裝置 (在 Microsoft Entra ID 中註冊)
microsoft.directory/devices/delete 從 Microsoft Entra ID 刪除裝置
microsoft.directory/devices/disable 在 Microsoft Entra ID 中停用裝置
microsoft.directory/devices/enable 在 Microsoft Entra ID 中啟用裝置
microsoft.directory/devices/basic/update 更新裝置上的基本屬性
microsoft.directory/devices/extensionAttributeSet1/update 將裝置上的 extensionAttribute1 更新為 extensionAttribute5 屬性
microsoft.directory/devices/extensionAttributeSet2/update 將裝置上的 extensionAttribute6 更新為 extensionAttribute10 屬性
microsoft.directory/devices/extensionAttributeSet3/update 將裝置上的 extensionAttribute11 更新為 extensionAttribute15 屬性
microsoft.directory/devices/registeredOwners/update 更新裝置的已註冊擁有者
microsoft.directory/devices/registeredUsers/update 更新裝置的已註冊使用者
microsoft.directory/deviceLocalCredentials/password/read 針對已加入 Microsoft Entra 的裝置讀取已備份本機系統管理員帳戶認證的所有屬性,包括密碼
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.directory/groups/hiddenMembers/read 讀取隱藏的安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups.security/create 建立安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/delete 刪除安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全性群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.security/classification/update 更新安全性群組的分類屬性,不包含可指派角色的群組
microsoft.directory/groups.security/dynamicMembershipRule/update 更新安全性群組的分類屬性,不包含可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全性群組的成員,不包含可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全性群組的擁有者,不包含可指派角色的群組
microsoft.directory/groups.security/visibility/update 更新安全性群組的可見度屬性,不包含可指派角色的群組
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 更新使用者的管理員
microsoft.directory/users/photo/update 更新使用者的相片
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的所有層面
microsoft.office365.organizationalMessages/allEntities/allProperties/read 讀取 Microsoft 365 組織訊息的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Kaizala 管理員

具備此角色的使用者有全域權限可管理 Microsoft Kaizala (如其存在) 內的設定,還能夠管理支援票證及監視服務健康情況。 此外,該使用者也可存取與組織成員採用和使用 Kaizala 相關的報告,以及使用 Kaizala 動作所產生的商務報告。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

知識系統管理員

擁有角色的使用者可完整存取 Microsoft 365 系統管理中心內的所有知識、學習和智慧功能設定。 他們對產品套件、授權詳細資料有大致的了解,並負責控制存取權。 知識系統管理員可以建立和管理內容,例如主題、縮略字和學習資源。 此外,這些使用者可以建立內容中心、監視服務健康情況,以及建立服務要求。

動作 描述
microsoft.directory/groups.security/create 建立安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/createAsOwner 建立安全性群組,不包含可指派角色的群組。 建立者會新增為第一個擁有者。
microsoft.directory/groups.security/delete 刪除安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全性群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全性群組的成員,不包含可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全性群組的擁有者,不包含可指派角色的群組
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks 讀取並更新 Microsoft 365 系統管理中心內容瞭解的所有屬性
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks 讀取並更新 Microsoft 365 系統管理中心知識網路的所有屬性
microsoft.office365.knowledge/learningSources/allProperties/allTasks 在 Learning App 中管理學習來源及其所有屬性。
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read 讀取安全性與合規性中心內所有敏感度標籤的屬性
microsoft.office365.sharePoint/allEntities/allTasks 建立和刪除所有資源,以及讀取與更新 SharePoint 的標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

知識管理員

擁有此角色的使用者可以建立和管理內容,例如主題、縮略字和學習內容。 這些使用者主要負責知識的品質和結構。 此使用者具有主題管理動作的完整權限,可確認主題、核准編輯或刪除主題。 此角色也可以管理分類法,作為字詞庫管理工具的一部分,並建立內容中心。

動作 描述
microsoft.directory/groups.security/create 建立安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/createAsOwner 建立安全性群組,不包含可指派角色的群組。 建立者會新增為第一個擁有者。
microsoft.directory/groups.security/delete 刪除安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全性群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全性群組的成員,不包含可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全性群組的擁有者,不包含可指派角色的群組
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read 讀取 Microsoft 365 系統管理中心內容瞭解的分析報告
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks 管理 Microsoft 365 系統管理中心中知識網路的主題顯示方式
microsoft.office365.sharePoint/allEntities/allTasks 建立和刪除所有資源,以及讀取與更新 SharePoint 的標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

授權管理員

此角色中的使用者可以讀取、新增、移除和更新使用者和群組 (使用群組型授權) 的授權指派,以及管理使用者的使用位置。 此角色不會授與購買或管理訂用帳戶、建立或管理群組,或在使用位置以外建立或管理使用者的能力。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft.directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/usageLocation/update 更新使用者的使用位置
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

生命週期工作流程系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 將生命週期工作流程系統管理員角色指派給需要執行下列工作的使用者:

  • 建立和管理與 Microsoft Entra ID 中生命週期工作流程相關聯的工作流程和工作的所有層面
  • 檢查已排程工作流程的執行
  • 啟動隨選工作流程執行
  • 檢查工作流程執行記錄
動作 描述
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks 管理 Microsoft Entra ID 中生命週期工作流程和工作的所有層面
microsoft.directory/organization/strongAuthentication/read 讀取組織的增強式驗證屬性
microsoft.directory/users/lifeCycleInfo/read 讀取使用者的生命週期資訊,例如 employeeLeaveDateTime
特殊權限標籤圖示。

訊息中心隱私權讀取者

擁有此角色的使用者可以監視訊息中心中的所有通知,包括資料隱私權訊息。 訊息中心隱私權讀者會收到電子郵件通知,包括與資料隱私權相關的通知,而且可以使用訊息中心喜好設定取消訂閱。 只有全域管理員和訊息中心隱私權讀取者可以讀取資料隱私權訊息。 此外,此角色也包含檢視群組、網域和訂用帳戶的能力。 此角色沒有檢視、建立或管理服務要求的權限。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 系統管理中心中閱讀訊息中心的安全性訊息
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

訊息中心讀取者

此角色中的使用者可以在訊息中心內,為他們的組織監視所設服務 (例如 Exchange、Intune 和 Microsoft Teams) 的通知和諮詢健康情況更新。 訊息中心讀取者會收到每週的電子郵件摘要文章、更新,並可分享 Microsoft 365 中的訊息中心文章。 在 Microsoft Entra ID 中,指派給此角色的使用者只會在 Microsoft Entra 服務上具有唯讀存取權,例如使用者和群組。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Microsoft 365 移轉系統管理員

將 Microsoft 365 移轉系統管理員角色指派給需要執行下列工作的使用者:

  • 在 Microsoft 365 系統管理中心內使用移轉管理員來管理從 Google 雲端硬碟、Dropbox、Box 和 Egnyte 到 Microsoft 365 (包括 Teams、商務用 OneDrive 和 SharePoint 網站) 的內容移轉
  • 選取移轉來源、建立移轉清查 (例如 Google Drive 使用者清單)、排程和執行移轉,以及下載報告
  • 在目的地網站不存在時建立新的 SharePoint 網站、在 SharePoint 系統管理網站下方建立 SharePoint 清單,以及在 SharePoint 清單中建立和更新項目
  • 管理工作的移轉專案設定和移轉生命週期
  • 管理從來源到目的地的權限對應

注意

此角色不允許您使用 SharePoint 系統管理中心以從檔案共用來源進行移轉。 您可以使用 SharePoint 系統管理員角色以從檔案共用來源進行移轉。

深入了解

動作 描述
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 移轉的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求

已加入 Microsoft Entra 的裝置本機管理員

此角色是只能指派為裝置設定中的其他本機系統管理員。 具有此角色的使用者,會在已加入 Microsoft Entra ID 的所有 Windows 10 裝置上,成為本機電腦系統管理員。 其無法管理 Microsoft Entra ID 中的裝置物件。

動作 描述
microsoft.directory/groupSettings/standard/read 讀取群組設定的基本屬性
microsoft.directory/groupSettingTemplates/standard/read 讀取群組設定範本的基本屬性

Microsoft 硬體瑕疵擔保系統管理員

將 Microsoft 硬體瑕疵擔保系統管理員角色指派給需要執行下列工作的使用者:

  • 為 Microsoft 製造的硬體 (例如 Surface 和 HoloLens) 建立新的保固索賠
  • 搜尋並讀取未結案或已結案的保固索賠
  • 依序號搜尋和讀取保固索賠
  • 建立、讀取、更新、刪除交貨地址
  • 讀取未結案保固索賠的出貨狀態
  • 在 Microsoft 365 系統管理中心中建立和管理服務要求
  • 在 Microsoft 365 管理中心閱讀訊息中心公告

保固索賠是要求根據保固條款修復或替換硬體。 如需詳細資訊,請參閱自助式 Surface 保固和服務要求

動作 描述
microsoft.hardware.support/shippingAddress/allProperties/allTasks 建立、讀取、更新和刪除 Microsoft 硬體保固宣告的交貨地址,包括其他人所建立的交貨地址
microsoft.hardware.support/shippingStatus/allProperties/read 讀取未結案 Microsoft 硬體保固宣告的交貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/allTasks 建立和管理 Microsoft 硬體保固宣告的所有層面
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Microsoft 硬體瑕疵擔保專員

將 Microsoft 硬體瑕疵擔保專員角色指派給需要執行下列工作的使用者:

  • 為 Microsoft 製造的硬體 (例如 Surface 和 HoloLens) 建立新的保固索賠
  • 讀取其所建立的保固索賠
  • 讀取和更新現有的交貨地址
  • 讀取其所建立的未結案保固索賠的出貨狀態
  • 在 Microsoft 365 系統管理中心中建立和管理服務要求

保固索賠是要求根據保固條款修復或替換硬體。 如需詳細資訊,請參閱自助式 Surface 保固和服務要求

動作 描述
microsoft.hardware.support/shippingAddress/allProperties/read 讀取 Microsoft 硬體保固宣告的交貨地址,包括其他人所建立的現有交貨地址
microsoft.hardware.support/warrantyClaims/createAsOwner 在建立者是擁有者的情況下建立 Microsoft 硬體保固宣告
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.hardware.support/shippingStatus/allProperties/read 讀取未結案 Microsoft 硬體保固宣告的交貨狀態
microsoft.hardware.support/warrantyClaims/allProperties/read 讀取 Microsoft 硬體保固宣告

Modern Commerce 管理員

請勿使用。 此角色會從 Commerce 自動指派,不適用於、也不支援任何其他用途。 請參閱下面的詳細資料。

Modern Commerce 管理員角色可讓特定使用者有權存取 Microsoft 365 系統管理中心,以及查看 [首頁]、[計費] 和 [支援] 的左側導覽項目。 這些區域中可用的內容是由指派給使用者的商務專用角色所控制,以管理其為自己或貴組織所購買的產品。 這可能包括支付帳單之類的工作,或用於存取計費帳戶和帳單設定檔。

在其他 Microsoft 採購系統中,具有 Modern Commerce 管理員角色的使用者通常具有系統管理權限,但沒有用來存取系統管理中心的全域系統管理員或計費系統管理員角色。

何時會指派 Modern Commerce 管理員角色?

  • Microsoft 365 系統管理中心的自助式採購 - 自助式採購讓使用者有機會藉由自行購買或註冊來試用新產品。 這些產品都是在系統管理中心進行管理。 進行自助式採購的使用者會被指派商務系統中的角色以及 Modern Commerce 管理員角色,以便在系統管理中心管理其採購項目。 系統管理員可以透過 PowerShell 來封鎖自助式購買 (針對 Fabric、Power BI、Power Apps、Power Automate)。 如需詳細資訊,請參閱自助式購買常見問題集
  • 從 Microsoft 商業市集採購:類似於自助式採購,當使用者從 Microsoft AppSource 或 Azure Marketplace 購買產品或服務時,如果他們沒有全域系統管理員或計費系統管理員角色,則會獲指派 Modern Commerce 系統管理員角色。 在某些情況下,使用者可能會遭到封鎖而無法進行採購。 如需詳細資訊,請參閱 Microsoft 商業市集
  • Microsoft 的提案 – 提案是來自 Microsoft 的正式報價,可供貴組織購買 Microsoft 產品和服務。 如果要接受提案的人員沒有 Microsoft Entra ID 中的全域系統管理員或計費系統管理員角色,則會獲指派商務專用角色來完成提案,以及獲指派 Modern Commerce 系統管理員角色來存取系統管理中心。 當他們存取系統管理中心時,只能使用其商務專用角色所授權的功能。
  • 商務專用角色 – 某些使用者會被指派商務專用角色。 如果使用者不是全域系統管理員或計費系統管理員,則會取得 Modern Commerce 系統管理員角色,以存取系統管理中心。

如果取消指派使用者的 Modern Commerce 管理員角色,他們就會喪失 Microsoft 365 系統管理中心的存取權。 如果他們正為自己或貴組織管理任何產品,將無法管理這些產品。 這可能包括指派授權、變更付款方式、支付帳單,或其他管理訂用帳戶的工作。

動作 描述
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks 管理大量授權服務中心的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/basic/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

網路系統管理員

擁有此角色的使用者可以檢閱來自 Microsoft 的網路周邊架構建議,這些建議是以來自其使用者位置的網路遙測為基礎。 Microsoft 365 的網路效能依賴嚴謹的企業客戶網路周邊架構,這通常是使用者位置專屬的架構。 此角色可讓您編輯這些位置探索到的使用者位置和網路參數設定,以利改善遙測測量和設計建議

動作 描述
microsoft.office365.network/locations/allProperties/allTasks 管理網路位置的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Office 應用程式管理員

擁有此角色的使用者可以管理 Microsoft 365 應用程式的雲端設定。 這包括管理雲端原則、自助式下載管理,以及檢視 Office 應用程式相關報告的能力。 此角色會額外授與管理支援票證的能力,以及監視主要系統管理中心內的服務健康情況。 指派給此角色的使用者也可以管理 Office 應用程式中新功能的通訊。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.userCommunication/allEntities/allTasks 讀取及更新新功能訊息的顯示設定
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

組織商標系統管理員

將組織商標系統管理員角色指派給需要執行下列工作的使用者:

  • 管理租用戶中組織商標的所有層面
  • 讀取、建立、更新和刪除商標佈景主題
  • 管理預設商標佈景主題和所有商標當地語系化佈景主題
動作 描述
microsoft.directory/loginOrganizationBranding/allProperties/allTasks 建立和刪除 loginTenantBranding,以及讀取和更新所有屬性

組織訊息核准者

將組織訊息核准者角色指派給需要執行下列工作的使用者:

  • 先在 Microsoft 365 系統管理中心內檢閱、核准或拒絕要傳遞的新組織訊息,再使用 Microsoft 365 組織訊息平台以將其傳送給使用者
  • 讀取組織訊息的所有層面
  • 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
動作 描述
microsoft.office365.organizationalMessages/allEntities/allProperties/read 讀取 Microsoft 365 組織訊息的所有層面
microsoft.office365.organizationalMessages/allEntities/allProperties/update 在 Microsoft 365 系統管理中心內核准或拒絕要傳遞的新組織訊息
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

組織訊息編寫者

將組織訊息編寫者角色指派給需要執行下列工作的使用者:

  • 使用 Microsoft 365 系統管理中心或 Microsoft Intune 來撰寫、發佈和刪除組織訊息
  • 使用 Microsoft 365 系統管理中心或 Microsoft Intune 來管理組織訊息傳遞選項
  • 使用 Microsoft 365 系統管理中心或 Microsoft Intune 來讀取組織訊息傳遞結果
  • 在 Microsoft 365 系統管理中心檢視使用量報告和大部分設定,但無法進行變更
動作 描述
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks 管理 Microsoft 365 組織訊息的所有製作層面
microsoft.office365.usageReports/allEntities/standard/read 讀取租用戶層級的 Office 365 使用情況彙總報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

合作夥伴第 1 層支援

特殊權限標籤圖示。

這是特殊權限角色。 請勿使用。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。

重要

此角色可以重設密碼,並使非系統管理員的重新整理權杖失效。 不應該使用此角色,因為其已遭取代。

動作 描述
microsoft.directory/applications/appRoles/update 更新所有類型之應用程式上的 appRole 屬性
microsoft.directory/applications/audience/update 更新應用程式的對象屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
特殊權限標籤圖示。
microsoft.directory/applications/notes/update 更新應用程式注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開權限及必要權限
microsoft.directory/applications/policies/update 更新應用程式原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
特殊權限標籤圖示。
microsoft.directory/users/delete 刪除使用者
特殊權限標籤圖示。
microsoft.directory/users/disable 停用使用者
特殊權限標籤圖示。
microsoft.directory/users/enable 啟用使用者
特殊權限標籤圖示。
microsoft.directory/users/invalidateAllRefreshTokens 讓使用者重新整理權杖無效以強制登出
特殊權限標籤圖示。
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 更新使用者的管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
特殊權限標籤圖示。
microsoft.directory/users/photo/update 更新使用者的相片
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
特殊權限標籤圖示。
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

合作夥伴第 2 層支援

特殊權限標籤圖示。

這是特殊權限角色。 請勿使用。 此角色已被取代,未來將會從 Microsoft Entra ID 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。

重要

此角色可以重設密碼,並使所有非系統管理員和系統管理員的重新整理權杖失效,(包括全域管理員)。 不應該使用此角色,因為其已遭取代。

動作 描述
microsoft.directory/applications/appRoles/update 更新所有類型之應用程式上的 appRole 屬性
microsoft.directory/applications/audience/update 更新應用程式的對象屬性
microsoft.directory/applications/authentication/update 更新所有類型的應用程式上的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
特殊權限標籤圖示。
microsoft.directory/applications/notes/update 更新應用程式注意事項
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開權限及必要權限
microsoft.directory/applications/policies/update 更新應用程式原則
microsoft.directory/applications/tag/update 更新應用程式的標籤
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/organization/basic/update 更新組織的基本屬性
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/subscribedSkus/standard/read 讀取訂用帳戶的基本屬性
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
特殊權限標籤圖示。
microsoft.directory/users/delete 刪除使用者
特殊權限標籤圖示。
microsoft.directory/users/disable 停用使用者
特殊權限標籤圖示。
microsoft.directory/users/enable 啟用使用者
特殊權限標籤圖示。
microsoft.directory/users/invalidateAllRefreshTokens 讓使用者重新整理權杖無效以強制登出
特殊權限標籤圖示。
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 更新使用者的管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
特殊權限標籤圖示。
microsoft.directory/users/photo/update 更新使用者的相片
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
特殊權限標籤圖示。
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

密碼管理員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者管理密碼的能力有限。 此角色無法管理服務要求或監視服務健康情況。 密碼系統管理員是否可以重設使用者的密碼,需視使用者指派的角色而定。 如需密碼管理員可以重設密碼的角色清單,請參閱誰可以重設密碼

具有此角色的使用者 無法 執行下列項目:

動作 描述
microsoft.directory/users/password/update 重設所有使用者的密碼
特殊權限標籤圖示。
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

權限管理系統管理員

將權限管理系統管理員角色指派給需要執行下列工作的使用者:

  • 服務存在時,管理 Microsoft Entra 權限管理的所有層面

若要深入了解版權管理角色和原則,請參閱檢視角色/原則的相關資訊

動作 描述
microsoft.permissionsManagement/allEntities/allProperties/allTasks 管理 Microsoft Entra 權限管理的所有層面

Power Platform 系統管理員

擁有此角色的使用者可以建立和管理環境、Power Apps、流程、資料外洩防護原則的所有層面。 此外,具有此角色的使用者能夠管理支援票證並監視服務健康情況。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 產品的所有層面

印表機系統管理員

擁有此角色的使用者可以註冊印表機,並管理 Microsoft 通用列印解決方案中所有印表機設定的所有層面,包括通用列印連接器設定。 他們可以同意所有委派的列印權限要求。 印表機系統管理員也可以存取列印報告。

動作 描述
microsoft.azure.print/allEntities/allProperties/allTasks 建立與刪除印表機和連線程式,及讀取與更新 Microsoft Print 中的所有屬性

印表機技術人員

擁有此角色的使用者可以在 Microsoft 通用列印解決方案中註冊印表機及管理印表機狀態。 他們也可以讀取所有連接器資訊。 印表機技術人員無法執行的重要工作,就是在印表機上設定使用者權限和共用印表機。

動作 描述
microsoft.azure.print/connectors/allProperties/read 讀取 Microsoft Print 中連線程式的所有屬性
microsoft.azure.print/printers/allProperties/read 讀取 Microsoft Print 中印表機的所有屬性
microsoft.azure.print/printers/register 在 Microsoft Print 中註冊印表機
microsoft.azure.print/printers/unregister 在 Microsoft Print 中取消註冊印表機
microsoft.azure.print/printers/basic/update 更新 Microsoft Print 中印表機的基本屬性

特殊權限驗證管理員

特殊權限標籤圖示。

這是特殊權限角色。 將具有權限的驗證管理員角色指派給需要執行下列工作的使用者:

  • 針對任何使用者設定或重設任何驗證方法 (包括密碼),包括全域管理員。
  • 刪除或還原任何使用者,包括全域管理員。 如需詳細資訊,請參閱誰可以執行敏感性動作
  • 強制使用者針對現有的非密碼認證 (例如 MFA 或 FIDO) 重新註冊,以及撤銷在裝置上記住 MFA (其會在所有使用者下次登入時提示 MFA)。
  • 更新所有使用者的敏感性屬性。 如需詳細資訊,請參閱誰可以執行敏感性動作
  • 在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證。

具有此角色的使用者 無法 執行下列項目:

  • 無法在舊版 MFA 管理入口網站中管理每個使用者 MFA。

下表比較驗證相關角色的功能。

角色 管理使用者的驗證方法 管理每個使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則 更新敏感性屬性 刪除和還原使用者
驗證管理員 適用於某些使用者 適用於某些使用者 No 適用於某些使用者 適用於某些使用者
特殊權限驗證管理員 適用於所有使用者 適用於所有使用者 適用於所有使用者 適用於所有使用者
驗證原則管理員 No .是 .是 .是 .是 No
使用者管理員 No 適用於某些使用者 適用於某些使用者

重要

具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要設定的人員變更認證。 變更使用者的認證可能表示能夠採用使用者的身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 和其他位置可能具有未授與 [驗證系統管理員] 的特殊權限。 [驗證系統管理員] 可以透過此路徑採用應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有敏感性或私人資訊或者 Azure 中重要設定的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • Microsoft Entra ID 外部其他服務 (例如,Exchange Online、Microsoft 365 Defender 入口網站和 Microsoft Purview 合規性入口網站) 和人力資源系統中的系統管理員。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。
動作 描述
microsoft.directory/users/authenticationMethods/create 更新使用者的驗證方法
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/delete 刪除使用者的驗證方法
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/standard/read 讀取使用者驗證方法的標準屬性
特殊權限標籤圖示。
microsoft.directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
特殊權限標籤圖示。
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/users/delete 刪除使用者
特殊權限標籤圖示。
microsoft.directory/users/disable 停用使用者
特殊權限標籤圖示。
microsoft.directory/users/enable 啟用使用者
特殊權限標籤圖示。
microsoft.directory/users/invalidateAllRefreshTokens 讓使用者重新整理權杖無效以強制登出
特殊權限標籤圖示。
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/authorizationInfo/update 更新使用者的多重值憑證使用者識別碼屬性
microsoft.directory/users/manager/update 更新使用者的管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
特殊權限標籤圖示。
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
特殊權限標籤圖示。
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

特殊權限角色管理員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者可以管理 Microsoft Entra ID 中和 Microsoft Entra Privileged Identity Management 內的角色指派。 其可以建立和管理可指派給 Microsoft Entra 角色的群組。 此外,此角色允許管理 Privileged Identity Management 和系統管理單位的所有層面。

重要

此角色能夠管理所有 Microsoft Entra 角色 (包括全域管理員角色) 的指派。 此角色未包括 Microsoft Entra ID 中的任何其他特殊權限能力,例如,建立或更新使用者。 不過,指派給這個角色的使用者可以藉由指派額外的角色,來授與自己或其他人額外權限。

動作 描述
microsoft.directory/accessReviews/definitions.applications/allProperties/read 在 Microsoft Entra ID 中讀取應用程式角色指派存取權檢閱的所有屬性
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks 管理 Microsoft Entra 角色指派的存取權檢閱
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update 在可指派給 Microsoft Entra 角色的群組中,更新成員資格存取權檢閱的所有屬性
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create 在可指派給 Microsoft Entra 角色的群組中,建立成員資格的存取權檢閱
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete 在可指派給 Microsoft Entra 角色的群組中,刪除成員資格的存取權檢閱
microsoft.directory/accessReviews/definitions.groups/allProperties/read 在安全性與 Microsoft 365 群組,包括可指派角色的群組中,讀取成員資格存取權檢閱的所有屬性。
microsoft.directory/administrativeUnits/allProperties/allTasks 建立及管理系統管理單位 (包括成員)
microsoft.directory/authorizationPolicy/allProperties/allTasks 管理授權原則的所有層面
特殊權限標籤圖示。
microsoft.directory/directoryRoles/allProperties/allTasks 建立和刪除目錄角色,以及讀取和更新所有屬性
microsoft.directory/groupsAssignableToRoles/create 建立可指派角色的群組
microsoft.directory/groupsAssignableToRoles/delete 刪除可指派角色的群組
microsoft.directory/groupsAssignableToRoles/restore 還原可指派角色的群組
microsoft.directory/groupsAssignableToRoles/allProperties/update 更新可指派角色的群組
microsoft.directory/groupsAssignableToRoles/assignLicense 將授權指派給可指派角色的群組
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment 將授權指派重新處理至可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks 建立和刪除所有資源,以及讀取和更新 Privileged Identity Management 中的標準屬性。
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的權限
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin 將任何權限的同意授與任何應用程式
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.directory/permissionGrantPolicies/create 建立權限授與原則
microsoft.directory/permissionGrantPolicies/delete 刪除權限授與原則
microsoft.directory/permissionGrantPolicies/allProperties/read 讀取權限授與原則的所有屬性
microsoft.directory/permissionGrantPolicies/allProperties/update 更新權限授與原則的所有屬性

報告讀取者

具有此角色的使用者可以檢視 Microsoft 365 系統管理中心內的使用報告資料和報告儀表板,以及 Fabric 和 Power BI 中的採用內容套件。 此外,角色也可讓您存取 Microsoft Entra ID 中的所有登入記錄、稽核記錄和活動報告,以及 Microsoft Graph 報告 API 所傳回的資料。 指派給報表讀者角色的使用者只能存取相關的使用方式和採用計量。 他們沒有任何系統管理員權限可設定設定或存取 Exchange 等產品特定系統管理中心。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

搜尋系統管理員

擁有此角色的使用者具有 Microsoft 365 系統管理中心內所有 Microsoft 搜尋管理功能的完整存取。 此外,這些使用者可以檢視訊息中心、監視服務健康情況,以及建立服務要求。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.search/content/manage 在 Microsoft 搜尋中建立和刪除內容,以及讀取和更新所有屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

搜尋編輯者

具備此角色的使用者可以建立、管理及刪除 Microsoft 365 系統管理中心中 Microsoft 搜尋的內容,包括書籤、問與答和位置。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.search/content/manage 在 Microsoft 搜尋中建立和刪除內容,以及讀取和更新所有屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

安全性系統管理員

特殊權限標籤圖示。

這是特殊權限角色。 擔任此角色的使用者有權管理 Microsoft 365 Defendr 入口網站、Microsoft Entra ID Protection、Microsoft Entra 驗證、Azure 資訊保護和 Microsoft Purview 合規性入口網站的安全性相關功能。 如需 Office 365 權限的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組

In Can do
Microsoft 365 Defender 入口網站 監視所有 Microsoft 365 服務的安全性相關原則
管理安全性威脅和警示
檢視報告
身分識別保護 「安全性讀取者」角色的所有權限
執行重設密碼以外的所有 Identity Protection 作業
Privileged Identity Management 「安全性讀取者」角色的所有權限
「無法」管理 Microsoft Entra 角色指派或設定
Microsoft Purview 合規性入口網站 管理安全性原則
檢視、調查及回應安全性威脅
檢視報告
Azure 進階威脅防護 監視及回應可疑的安全性活動
適用於端點的 Microsoft Defender 指派角色
管理電腦群組
設定端點威脅偵測和自動補救
檢視、調查及回應警示
檢視電腦/裝置詳細目錄
Intune 檢視使用者、裝置、註冊、設定及應用程式資訊
無法對 Intune 進行變更
適用於雲端應用程式的 Microsoft Defender 新增管理員、新增原則和設定、上傳記錄及執行治理動作
Microsoft 365 服務健康狀態 檢視 Microsoft 365 服務的健康狀態
智慧鎖定 定義發生登入失敗事件時鎖定的閾值和持續時間。
密碼保護 設定自訂禁用密碼清單或內部部署密碼保護。
跨租用戶同步處理 針對另一個租用戶中的使用者設定跨租用戶存取設定。 兩個租用戶都設定為進行跨租用戶同步處理時,安全性系統管理員無法直接建立和刪除使用者,但可以間接建立和刪除另一個租用戶的已同步處理使用者,這是特殊權限。
動作 描述
microsoft.directory/applications/policies/update 更新應用程式原則
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 Bitlocker 中繼資料和金鑰
特殊權限標籤圖示。
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新允許的跨租用戶存取原則的雲端端點
microsoft.directory/crossTenantAccessPolicy/basic/update 更新跨租用戶存取原則的基本設定
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update 更新預設跨租用戶存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update 更新預設跨租用戶存取原則的 Microsoft Entra B2B 直接連接設定
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新預設跨租用戶存取原則的跨雲端 Teams 會議設定
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update 更新預設跨租用戶存取原則的租用戶限制
microsoft.directory/crossTenantAccessPolicy/partners/create 建立合作夥伴的跨租用戶存取原則
microsoft.directory/crossTenantAccessPolicy/partners/delete 刪除合作夥伴的跨租用戶存取原則
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update 更新多租用戶組織的跨租用戶同步處理原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings 將多租用戶組織的跨租用戶同步處理原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織的跨租用戶同步處理原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update 更新多租用戶組織的跨租用戶存取原則範本
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings 將多租用戶組織的跨租用戶存取原則範本重設為預設設定
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織的跨租用戶存取原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update 更新合作夥伴跨租用戶存取原則的 Microsoft Entra B2B 共同作業設定
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update 更新合作夥伴跨租用戶存取原則的 Microsoft Entra B2B 直接連接設定
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作夥伴的跨租用戶存取原則的跨雲端 Teams 會議設定
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update 更新合作夥伴的跨租用戶存取原則的租用戶限制
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create 建立合作夥伴的跨租用戶同步處理原則
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update 更新跨租用戶同步處理原則的基本設定
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read 讀取跨租用戶同步處理原則的基本屬性
microsoft.directory/deviceLocalCredentials/standard/read 針對已加入 Microsoft Entra 的裝置讀取已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/domains/federation/update 更新網域的同盟屬性
特殊權限標籤圖示。
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/domains/federationConfiguration/basic/update 更新網域的基本同盟設定
microsoft.directory/domains/federationConfiguration/create 建立網域的同盟設定
microsoft.directory/domains/federationConfiguration/delete 刪除網域的同盟設定
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/identityProtection/allProperties/read 讀取 Microsoft Entra ID Protection 中的所有資源
microsoft.directory/identityProtection/allProperties/update 更新 Microsoft Entra ID Protection 中的所有資源
特殊權限標籤圖示。
microsoft.directory/multiTenantOrganization/basic/update 更新多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/create 建立多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update 加入多租用戶組織
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update 更新參與多租用戶組織的租用戶的基本屬性
microsoft.directory/multiTenantOrganization/tenants/create 在多租用戶組織中建立租用戶
microsoft.directory/multiTenantOrganization/tenants/delete 刪除參與多租用戶組織的租用戶
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶的組織詳細資料
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織的租用戶的基本屬性
microsoft.directory/namedLocations/create 建立可定義網路位置的自訂規則
microsoft.directory/namedLocations/delete 刪除可定義網路位置的自訂規則
microsoft.directory/namedLocations/standard/read 讀取可定義網路位置之自訂規則的基本屬性
microsoft.directory/namedLocations/basic/update 更新可定義網路位置之自訂規則的基本屬性
microsoft.directory/policies/create 在 Microsoft Entra ID 中建立原則
microsoft.directory/policies/delete 刪除 Microsoft Entra ID 中的原則
microsoft.directory/policies/basic/update 更新原則的基本屬性
特殊權限標籤圖示。
microsoft.directory/policies/owners/update 更新原則的擁有者
microsoft.directory/policies/tenantDefault/update 更新預設的組織原則
microsoft.directory/conditionalAccessPolicies/create 建立條件式存取原則
microsoft.directory/conditionalAccessPolicies/delete 刪除條件式存取原則
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/conditionalAccessPolicies/owners/read 讀取條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的「套用至」屬性
microsoft.directory/conditionalAccessPolicies/basic/update 更新條件式存取原則的基本屬性
microsoft.directory/conditionalAccessPolicies/owners/update 更新條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/tenantDefault/update 更新條件式存取原則的預設租用戶
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update 更新 Microsoft 365 角色型存取控制 (RBAC) 資源動作的條件式存取驗證內容
特殊權限標籤圖示。
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.networkAccess/allEntities/allProperties/allTasks 管理 Microsoft Entra 網路存取的所有層面
microsoft.office365.protectionCenter/allEntities/standard/read 讀取安全性與合規性中心內所有資源的標準屬性
microsoft.office365.protectionCenter/allEntities/basic/update 更新安全性與合規性中心內所有資源的基本屬性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks 在攻擊模擬器中建立及管理攻擊酬載
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬、回應和相關聯訓練的報告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks 在攻擊模擬器中建立及管理攻擊模擬範本
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

安全性操作員

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者可以管理警示,並且具有安全性相關功能的全域唯讀存取權,包括 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Privileged Identity Management 和 Microsoft Purview 合規性入口網站中的所有資訊。 如需 Office 365 權限的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組

In Can do
Microsoft 365 Defender 入口網站 「安全性讀取者」角色的所有權限
檢視、調查及回應安全性威脅警示
在 Microsoft 365 Defender 入口網站中管理安全性設定
身分識別保護 「安全性讀取者」角色的所有權限
執行所有 Identity Protection 作業,但設定或變更風險型原則、重設密碼以及設定警示電子郵件除外。
Privileged Identity Management 「安全性讀取者」角色的所有權限
Microsoft Purview 合規性入口網站 「安全性讀取者」角色的所有權限
檢視、調查及回應安全性警示
適用於端點的 Microsoft Defender 「安全性讀取者」角色的所有權限
檢視、調查及回應安全性警示
當您在 Microsoft Defender for Endpoin 中開啟角色型存取控制時,具有唯讀權限 (例如安全性讀取者角色) 的使用者會在獲指派 Microsoft Defender for Endpoin 角色之前喪失存取權。
Intune 「安全性讀取者」角色的所有權限
適用於雲端應用程式的 Microsoft Defender 「安全性讀取者」角色的所有權限
檢視、調查及回應安全性警示
Microsoft 365 服務健康狀態 檢視 Microsoft 365 服務的健康狀態
動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/cloudAppSecurity/allProperties/allTasks 建立和刪除所有資源,同時讀取及更新適用於雲端的 Microsoft Defender 的標準屬性
microsoft.directory/identityProtection/allProperties/allTasks 建立和刪除所有資源,以及讀取和更新 Microsoft Entra ID Protection 中的標準屬性
特殊權限標籤圖示。
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.azure.advancedThreatProtection/allEntities/allTasks 管理 Azure 進階威脅防護的所有層面
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.intune/allEntities/read 讀取 Microsoft Intune 中的所有資源
microsoft.office365.securityComplianceCenter/allEntities/allTasks 建立和刪除所有資源,以及讀取和更新 Office 365 安全性和合規性中心內的標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks 管理 Microsoft Defender for Endpoint 的所有層面

安全性讀取者

特殊權限標籤圖示。

這是特殊權限角色。 具有此角色的使用者具有安全性相關功能的全域唯讀存取權 (包括 Microsoft 365 Defender 入口網站、Microsoft Entra ID Protection、Privileged Identity Management 中的所有資訊),並且可以讀取 Microsoft Entra 登入報告和稽核記錄,而且具有 Microsoft Purview 合規性入口網站中的全域唯讀存取權。 如需 Office 365 權限的詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 合規性中的角色和角色群組

In Can do
Microsoft 365 Defender 入口網站 檢視所有 Microsoft 365 服務的安全性相關原則
檢視安全性威脅和警示
檢視報告
身分識別保護 查看所有 Identity Protection 報告和概觀
Privileged Identity Management 具有 Microsoft Entra Privileged Identity Management 中所顯示所有資訊的唯讀存取權:Microsoft Entra 角色指派和安全性檢閱的原則和報告。
「無法」註冊 Microsoft Entra Privileged Identity Management 或對其進行任何變更。 具有此角色的人員可以在 Privileged Identity Management 入口網站中或透過 PowerShell,啟用其他角色 (例如「全域管理員」或「特殊權限角色管理員」),前提是該使用者必須有資格擔任該角色。
Microsoft Purview 合規性入口網站 檢視安全性原則
檢視及調查安全性威脅
檢視報告
適用於端點的 Microsoft Defender 檢視和調查警示
當您在 Microsoft Defender for Endpoin 中開啟角色型存取控制時,具有唯讀權限 (例如安全性讀取者角色) 的使用者會在獲指派 Microsoft Defender for Endpoin 角色之前喪失存取權。
Intune 檢視使用者、裝置、註冊、設定及應用程式資訊。 無法對 Intune 進行變更。
適用於雲端應用程式的 Microsoft Defender 具有讀取權限。
Microsoft 365 服務健康狀態 檢視 Microsoft 365 服務的健康狀態
動作 描述
microsoft.directory/accessReviews/definitions/allProperties/read 在 Microsoft Entra ID 中讀取所有可檢閱資源存取權檢閱的所有屬性
microsoft.directory/auditLogs/allProperties/read 讀取稽核記錄上的所有屬性,不包括自訂安全性屬性稽核記錄
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/bitlockerKeys/key/read 讀取裝置上的 Bitlocker 中繼資料和金鑰
特殊權限標籤圖示。
microsoft.directory/deviceLocalCredentials/standard/read 針對已加入 Microsoft Entra 的裝置讀取已備份本機系統管理員帳戶認證的所有屬性,但密碼除外
microsoft.directory/domains/federationConfiguration/standard/read 讀取網域同盟設定的標準屬性
microsoft.directory/entitlementManagement/allProperties/read 讀取 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/identityProtection/allProperties/read 讀取 Microsoft Entra ID Protection 中的所有資源
microsoft.directory/namedLocations/standard/read 讀取可定義網路位置之自訂規則的基本屬性
microsoft.directory/policies/standard/read 讀取原則上的基本屬性
microsoft.directory/policies/owners/read 讀取原則的擁有者
microsoft.directory/policies/policyAppliedTo/read 讀取 policies.policyAppliedTo 屬性
microsoft.directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft.directory/conditionalAccessPolicies/owners/read 讀取條件式存取原則的擁有者
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的「套用至」屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read 讀取多租用戶組織的跨租用戶同步處理原則範本的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read 讀取多租用戶組織的跨租用戶存取原則範本的基本屬性
microsoft.directory/multiTenantOrganization/joinRequest/standard/read 讀取多租用戶組織加入要求的屬性
microsoft.directory/multiTenantOrganization/standard/read 讀取多租用戶組織的基本屬性
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read 讀取參與多租用戶組織的租用戶的組織詳細資料
microsoft.directory/multiTenantOrganization/tenants/standard/read 讀取參與多租用戶組織的租用戶的基本屬性
microsoft.directory/privilegedIdentityManagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括特殊權限屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.networkAccess/allEntities/allProperties/read 讀取 Microsoft Entra 網路存取的所有層面
microsoft.office365.protectionCenter/allEntities/standard/read 讀取安全性與合規性中心內所有資源的標準屬性
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read 讀取受攻擊模擬器中攻擊承載的所有屬性
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬、回應和相關聯訓練的報告
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read 讀取攻擊模擬器中受攻擊模擬範本的所有屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

服務支援管理員

具備此角色的使用者可以建立和管理 Microsoft Azure 與 Microsoft 365 服務的支援要求,以及在 Azure 入口網站Microsoft 365 系統管理中心檢視服務儀表板與訊息中心。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色

注意

Azure 入口網站Microsoft 365 系統管理中心內,此角色先前稱為「服務系統管理員」。 此角色已重新命名為「服務系統管理員」,以符合 Microsoft Graph API 和 Azure AD PowerShell 中的現有名稱。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Sharepoint 系統管理員

具備此角色的使用者在有 Microsoft SharePoint Online 服務時,於該服務內具有全域權限,以及建立和管理所有 Microsoft 365 群組、管理支援票證和監控服務健康情況的能力。 如需詳細資訊,請參閱關於 Microsoft 365 系統管理中心中的管理員角色

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色稱為「SharePoint 服務系統管理員」。 在 Azure 入口網站中,其命名為「SharePoint 系統管理員」。

注意

此角色也會授與 Microsoft Intune 的 Microsoft Graph API 範圍權限,以允許管理和設定與 SharePoint 和 OneDrive 資源相關的原則。

動作 描述
microsoft.directory/groups/hiddenMembers/read 讀取隱藏的安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括角色可指派的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.migrations/allEntities/allProperties/allTasks 管理 Microsoft 365 移轉的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.sharePoint/allEntities/allTasks 建立和刪除所有資源,以及讀取與更新 SharePoint 的標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

SharePoint Embedded 系統管理員

將 SharePoint Embedded 系統管理員角色指派給需要執行下列工作的使用者:

  • 使用 PowerShell、Microsoft Graph API 或 SharePoint 系統管理中心來執行所有工作
  • 管理、設定和維護 SharePoint Embedded 容器
  • 列舉和管理 SharePoint Embedded 容器
  • 列舉和管理 SharePoint Embedded 容器的權限
  • 管理租用戶中 SharePoint Embedded 容器的儲存體
  • 在 SharePoint Embedded 容器上指派安全性和合規性原則
  • 在租用戶的 SharePoint Embedded 容器上套用安全性和合規性原則

深入了解

動作 描述
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks 管理 SharePoint Embedded 容器的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

商務用 Skype 系統管理員

Microsoft 商務用 Skype 服務存在時,具有此角色的使用者具有其內的全域權限,以及在 Microsoft Entra ID 中管理 Skype 特定使用者屬性。 此外,此角色可授與管理支援票證及監視服務健康情況的能力,以及存取 Teams 和商務用 Skype 系統管理中心。 帳戶也必須獲得 Teams 的授權,否則無法執行 Teams PowerShell Cmdlet。 如需詳細資訊,請參閱商務用 Skype Online 系統管理員和 Teams 授權資訊 (位於商務用 Skype 附加元件授權)。

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,此角色稱為「Lync 服務管理員」。 在 Azure 入口網站中,此角色稱為「商務用 Skype 管理員」。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Teams 系統管理員

此角色的使用者可以透過 Microsoft Teams 和商務用 Skype 系統管理中心以及個別的 PowerShell 模組,管理 Microsoft Teams 工作負載的所有層面。 這包括與電話語音、傳訊、會議和小組本身相關的所有管理工具。 此角色會額外授與建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況的能力。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/groups/hiddenMembers/read 讀取隱藏的安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括角色可指派的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.teams/allEntities/allProperties/allTasks 管理 Teams 中的所有資源
microsoft.directory/crossTenantAccessPolicy/standard/read 讀取跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update 更新允許的跨租用戶存取原則的雲端端點
microsoft.directory/crossTenantAccessPolicy/default/standard/read 讀取預設跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update 更新預設跨租用戶存取原則的跨雲端 Teams 會議設定
microsoft.directory/crossTenantAccessPolicy/partners/create 建立合作夥伴的跨租用戶存取原則
microsoft.directory/crossTenantAccessPolicy/partners/standard/read 讀取合作夥伴跨租用戶存取原則的基本屬性
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update 更新合作夥伴的跨租用戶存取原則的跨雲端 Teams 會議設定
microsoft.directory/pendingExternalUserProfiles/create 在 Teams 的擴充目錄中建立外部使用者設定檔
microsoft.directory/pendingExternalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者設定檔的標準屬性
microsoft.directory/pendingExternalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者設定檔的基本屬性
microsoft.directory/pendingExternalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者設定檔
microsoft.directory/externalUserProfiles/standard/read 讀取 Teams 擴充目錄中外部使用者設定檔的標準屬性
microsoft.directory/externalUserProfiles/basic/update 更新 Teams 擴充目錄中外部使用者設定檔的基本屬性
microsoft.directory/externalUserProfiles/delete 刪除 Teams 擴充目錄中的外部使用者設定檔
microsoft.directory/permissionGrantPolicies/standard/read 讀取權限授與原則的標準屬性

Teams 通訊系統管理員

此角色的使用者可以管理 Microsoft Teams 在語音和電話語音相關工作負載的各個層面。 這包括電話號碼指派、語音和會議原則的管理工具,以及通話分析工具組的完整存取。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.teams/callQuality/allProperties/read 讀取通話品質儀表板 (CQD) 中的所有資料
microsoft.teams/meetings/allProperties/allTasks 管理會議,包括會議原則、設定及會議橋接器
microsoft.teams/voice/allProperties/allTasks 管理語音,包括通話原則、電話號碼清查及指派

Microsoft Teams 通訊支援工程師

此角色的使用者可以使用 Microsoft Teams 和商務用 Skype 系統管理中心內的使用者呼叫疑難排解工具,針對 Microsoft Teams 和商務用 Skype 內的通訊問題進行疑難排解。 擁有此角色的使用者可以檢視所有相關參與者的完整通話記錄資訊。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.teams/callQuality/allProperties/read 讀取通話品質儀表板 (CQD) 中的所有資料

Teams 通訊支援專家

此角色的使用者可以使用 Microsoft Teams 和商務用 Skype 系統管理中心內的使用者呼叫疑難排解工具,針對 Microsoft Teams 和商務用 Skype 內的通訊問題進行疑難排解。 此角色的使用者只能檢視其所查閱特定使用者的呼叫中所含有的使用者詳細資料。 此角色無法檢視、建立或管理支援票證。

動作 描述
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.teams/callQuality/standard/read 讀取通話品質儀表板 (CQD) 中的基本資料

Teams 裝置系統管理員

具有此角色的使用者可以從 Teams 系統管理中心管理 Teams 認證的裝置。 此角色可讓您一目了然地檢視所有裝置,並能夠搜尋及篩選裝置。 使用者可以檢查每個裝置的詳細資料,包括登入帳戶、裝置的品牌和型號。 使用者可以變更裝置上的設定,以及更新軟體版本。 此角色不會授與可供檢查裝置上 Teams 活動和通話品質的權限。

動作 描述
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.teams/devices/standard/read 管理 Teams 認證裝置的所有層面,包括設定原則

Teams 電話語音系統管理員

將 Teams 電話語音系統管理員角色指派給需要執行下列工作的使用者:

  • 管理聲音和電話語音,包括通話原則、電話號碼管理和指派,以及聲音應用程式
  • 僅從 Teams 系統管理中心存取公用交換電話網路 (PSTN) 使用量報告
  • 檢視使用者設定檔頁面
  • 在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證

深入了解

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.teams/voice/allProperties/allTasks 管理語音,包括通話原則、電話號碼清查及指派

租用戶建立者

將租用戶建立者角色指派給需要執行下列工作的使用者:

  • 建立 Microsoft Entra 和 Azure Active Directory B2C 租用戶,即使使用者設定中關閉租用戶建立切換也是一樣

注意

租使用者建立者將會在他們建立的新租用戶上獲指派全域管理員角色。

動作 描述
microsoft.directory/tenantManagement/tenants/create 在 Microsoft Entra ID 中建立新的租用戶

使用狀況摘要報告閱讀程式

將使用量摘要報告讀者角色指派給需要在 Microsoft 365 系統管理中心內執行下列工作的使用者:

  • 檢視使用量報告和採用分數
  • 讀取組織深入解析,但不讀取使用者的個人識別資訊 (PII)

此角色只允許使用者檢視組織層級資料,但有具有下列例外狀況:

  • 成員使用者可以檢視使用者管理資料和設定。
  • 獲指派此角色的來賓使用者無法檢視使用者管理資料和設定。
動作 描述
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.usageReports/allEntities/standard/read 讀取租用戶層級的 Office 365 使用情況彙總報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

使用者管理員

特殊權限標籤圖示。

這是特殊權限角色。 將使用者管理員角色指派給需要執行下列工作的使用者:

權限 其他相關資訊
建立使用者
更新所有使用者的大部分使用者屬性,包括所有系統管理員 誰可以執行敏感性動作
更新敏感性屬性 (包括某些使用者的使用者主體名稱) 誰可以執行敏感性動作
停用或啟用某些使用者 誰可以執行敏感性動作
刪除或還原某些使用者 誰可以執行敏感性動作
建立和管理使用者檢視
建立及管理所有群組
指派和讀取所有使用者的授權,包括所有系統管理員
重設密碼 誰可以重設密碼
使重新整理權杖失效 誰可以重設密碼
更新 (FIDO) 裝置金鑰
更新密碼到期原則
在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證
監視服務健康情況

具有此角色的使用者 無法 執行下列項目:

  • 無法管理 MFA。
  • 無法變更認證,或為可指派角色群組的成員和擁有者重設 MFA。
  • 無法管理共用信箱。
  • 無法修改密碼重設作業的安全性問題。

重要

具有此角色的使用者可針對有權存取機密或私人資訊或 Microsoft Entra ID 內外重要組態的人員變更密碼。 變更使用者的密碼可能表示能夠採用使用者的身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Microsoft Entra ID 和其他位置可能具有未授與使用者系統管理員的特殊權限。 使用者系統管理員可以透過此路徑承擔應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有敏感性或私人資訊或者 Azure 中重要設定的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這些群組可能會授與 Microsoft Entra ID 和其他位置敏感性或私人資訊或重要設定的存取權。
  • Microsoft Entra ID 外部其他服務 (例如 Exchange Online, Microsoft 365 Defender portal, Microsoft Purview 合規性入口網站和人力資源系統) 中的系統管理員。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取敏感性或私人資訊。
動作 描述
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks 在 Microsoft Entra ID 中管理應用程式角色指派的存取權檢閱
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read 讀取 Microsoft Entra 角色指派存取權檢閱的所有屬性
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks 在權利管理中管理存取套件指派的存取權檢閱
microsoft.directory/accessReviews/definitions.groups/allProperties/update 在安全性與 Microsoft 365 群組,排除可指派角色的群組中,更新成員資格存取權檢閱的所有屬性。
microsoft.directory/accessReviews/definitions.groups/create 在安全性與 Microsoft 365 群組中建立成員資格的存取權檢閱。
microsoft.directory/accessReviews/definitions.groups/delete 在安全性與 Microsoft 365 群組中刪除成員資格的存取權檢閱。
microsoft.directory/accessReviews/definitions.groups/allProperties/read 在安全性與 Microsoft 365 群組,包括可指派角色的群組中,讀取成員資格存取權檢閱的所有屬性。
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/deletedItems.groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/deletedItems.users/restore 將虛刪除的使用者還原為原始狀態
microsoft.directory/entitlementManagement/allProperties/allTasks 建立和刪除資源,以及讀取和更新 Microsoft Entra 權利管理中的所有屬性
microsoft.directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups/hiddenMembers/read 讀取隱藏的安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/groups/restore 從虛刪除的容器還原群組
microsoft.directory/groups/basic/update 更新安全性群組和 Microsoft 365 群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups/classification/update 更新安全性群組和 Microsoft 365 群組的分類屬性,不包含可指派角色的群組
microsoft.directory/groups/dynamicMembershipRule/update 更新安全性群組和 Microsoft 365 群組的動態成員資格規則,不包含可指派角色的群組
microsoft.directory/groups/groupType/update 更新會影響安全性群組和 Microsoft 365 群組的群組類型的屬性,不包含可指派角色的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups/onPremWriteBack/update 使用 Microsoft Entra Connect 以更新寫回內部部署的 Microsoft Entra 群組
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft.directory/groups/visibility/update 更新安全性群組與 Microsoft 365 群組的可見度屬性,不包含可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 權限授與,以及讀取和更新所有屬性
特殊權限標籤圖示。
microsoft.directory/policies/standard/read 讀取原則上的基本屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體的角色指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
特殊權限標籤圖示。
microsoft.directory/users/convertExternalToInternalMemberUser 將外部使用者轉換為內部使用者
microsoft.directory/users/delete 刪除使用者
特殊權限標籤圖示。
microsoft.directory/users/disable 停用使用者
特殊權限標籤圖示。
microsoft.directory/users/enable 啟用使用者
特殊權限標籤圖示。
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft.directory/users/invalidateAllRefreshTokens 讓使用者重新整理權杖無效以強制登出
特殊權限標籤圖示。
microsoft.directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 更新使用者的管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
特殊權限標籤圖示。
microsoft.directory/users/photo/update 更新使用者的相片
microsoft.directory/users/sponsors/update 更新使用者的贊助者
microsoft.directory/users/usageLocation/update 更新使用者的使用位置
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
特殊權限標籤圖示。
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

使用者體驗成功主管

將使用者體驗成功管理員角色指派給需要執行下列工作的使用者:

  • 讀取 Microsoft 365 Apps 和服務的組織層級使用量報告,但不是使用者詳細資料
  • 檢視您組織的產品意見反應、Net Promoter Score (NPS) 調查結果,並協助文章檢視識別通訊和訓練機會
  • 讀取訊息中心貼文和服務健康狀態資料

深入了解

動作 描述
microsoft.commerce.billing/purchases/standard/read 讀取 M365 系統管理中心內的購買服務。
microsoft.office365.organizationalMessages/allEntities/allProperties/read 讀取 Microsoft 365 組織訊息的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.usageReports/allEntities/standard/read 讀取租用戶層級的 Office 365 使用情況彙總報表
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態

Virtual Visits 系統管理員

具有此角色的使用者可以執行以下工作:

  • 在 Microsoft 365 系統管理中心的預約和 Teams EHR 連接器中管理及設定 Virtual Visits 的所有層面
  • 在 Teams 系統管理中心、Microsoft 365 系統管理中心、Fabric 和 Power BI 中檢視 Virtual Visits 的使用量報告
  • 檢視 Microsoft 365 系統管理中心中的功能和設定,但無法編輯任何設定

Virtual Visits 是排程和管理員工和出席者線上和視訊約會的簡單方式。 例如,使用量報告會顯示在約會之前傳送簡訊,如何能減少未出席約會的人員數目。

動作 描述
microsoft.virtualVisits/allEntities/allProperties/allTasks 從系統管理中心或 Virtual Visits 應用程式管理及共用 Virtual Visits 資訊和計量
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Viva Goals 系統管理員

將 Viva Goals 系統管理員角色指派給需要執行下列工作的使用者:

  • 管理和設定 Microsoft Viva Goals 應用程式的所有層面
  • 設定 Microsoft Viva Goals 系統管理員設定
  • 讀取 Microsoft Entra 租用戶資訊
  • 監視 Microsoft 365 服務健康狀態
  • 建立及管理 Microsoft 365 服務要求

如需詳細資訊,請參閱 Viva Goals 中的角色和權限以及 Microsoft Viva Goals 簡介

動作 描述
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.viva.goals/allEntities/allProperties/allTasks 管理 Microsoft Viva Goals 的所有層面

Viva Pulse 系統管理員

將 Viva Pulse 系統管理員角色指派給需要執行下列工作的使用者:

  • 讀取和設定 Viva Pulse 的所有設定
  • 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
  • 讀取及設定 Azure 服務健康狀態
  • 建立及管理 Azure 支援票證
  • 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
  • 在 Microsoft 365 系統管理中心中閱讀使用量基本屬性

如需詳細資訊,請參閱在 Microsoft 365 系統管理中心內指派 Viva Pulse 系統管理員

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.viva.pulse/allEntities/allProperties/allTasks 管理 Microsoft Viva Pulse 的所有層面

Windows 365 系統管理員

具備此角色的使用者具有 Windows 365 資源 (如其存在) 的全域權限。 此外,此角色包含管理使用者和裝置的能力,可相關聯原則以及建立和管理群組。

此角色可以建立和管理安全性群組,但不會有 Microsoft 365 群組的系統管理員權限。 這表示系統管理員無法更新組織中 Microsoft 365 群組的擁有者或成員資格。 不過,他們可以管理其建立的 Microsoft 365 群組,這是其使用者權限的一部分。 因此,他們建立的任何 Microsoft 365 群組(而非安全性群組)都會計入其 250 的配額。

將 Windows 365 系統管理員角色指派給需要執行下列工作的使用者:

  • 在 Microsoft Intune 中管理 Windows 365 雲端電腦
  • 在 Microsoft Entra ID 中註冊和管理裝置,包括指派使用者和原則
  • 建立及管理安全性群組,但不能指派角色的群組
  • 在 Microsoft 365 系統管理中心中查看基本屬性
  • 在 Microsoft 365 系統管理中心中閱讀使用量基本屬性
  • 在 Azure 和 Microsoft 365 系統管理中心中建立和管理支援票證
動作 描述
microsoft.directory/deletedItems.devices/delete 永久刪除裝置,將不再能還原物件
microsoft.directory/deletedItems.devices/restore 將虛刪除的裝置還原為原始狀態
microsoft.directory/devices/create 建立裝置 (在 Microsoft Entra ID 中註冊)
microsoft.directory/devices/delete 從 Microsoft Entra ID 刪除裝置
microsoft.directory/devices/disable 在 Microsoft Entra ID 中停用裝置
microsoft.directory/devices/enable 在 Microsoft Entra ID 中啟用裝置
microsoft.directory/devices/basic/update 更新裝置上的基本屬性
microsoft.directory/devices/extensionAttributeSet1/update 將裝置上的 extensionAttribute1 更新為 extensionAttribute5 屬性
microsoft.directory/devices/extensionAttributeSet2/update 將裝置上的 extensionAttribute6 更新為 extensionAttribute10 屬性
microsoft.directory/devices/extensionAttributeSet3/update 將裝置上的 extensionAttribute11 更新為 extensionAttribute15 屬性
microsoft.directory/devices/registeredOwners/update 更新裝置的已註冊擁有者
microsoft.directory/devices/registeredUsers/update 更新裝置的已註冊使用者
microsoft.directory/groups.security/create 建立安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/delete 刪除安全性群組,不包含可指派角色的群組
microsoft.directory/groups.security/basic/update 更新安全性群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.security/classification/update 更新安全性群組的分類屬性,不包含可指派角色的群組
microsoft.directory/groups.security/dynamicMembershipRule/update 更新安全性群組的分類屬性,不包含可指派角色的群組
microsoft.directory/groups.security/members/update 更新安全性群組的成員,不包含可指派角色的群組
microsoft.directory/groups.security/owners/update 更新安全性群組的擁有者,不包含可指派角色的群組
microsoft.directory/groups.security/visibility/update 更新安全性群組的可見度屬性,不包含可指派角色的群組
microsoft.directory/deviceManagementPolicies/standard/read 讀取行動裝置管理和行動應用程式管理原則的標準屬性
microsoft.directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則上的標準屬性
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性

Windows Update 部署系統管理員

擁有此角色的使用者可透過商務用 Windows Update 部署服務,建立及管理 Windows Update 部署的所有層面。 部署服務可讓使用者定義何時及如何部署更新的設定,以及指定哪些更新提供給其租用戶中的裝置群組。 它也允許使用者監視更新進度。

動作 描述
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks 讀取及設定 Windows Update 服務的所有層面

Yammer 系統管理員

將 Yammer 系統管理員角色指派給需要執行下列工作的使用者:

  • 管理 Yammer 的所有層面
  • 建立、管理和還原 Microsoft 365 群組,但不會建立、管理和還原可指派角色的群組
  • 檢視隱藏的安全性群組和 Microsoft 365 群組的成員,包含可指派角色的群組
  • 在 Microsoft 365 系統管理中心中閱讀使用量基本屬性
  • 在 Microsoft 365 系統管理中心中建立和管理服務要求
  • 在訊息中心檢視公告,但不會檢視安全性公告
  • 檢視服務健康狀態

深入了解

動作 描述
microsoft.directory/groups/hiddenMembers/read 讀取隱藏的安全性群組與 Microsoft 365 群組的成員,包含可指派角色的群組
microsoft.directory/groups.unified/create 建立 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/delete 刪除 Microsoft 365 群組,不包含可指派角色的群組
microsoft.directory/groups.unified/restore 從虛刪除的容器還原 Microsoft 365 群組,但不包括角色可指派的群組
microsoft.directory/groups.unified/basic/update 更新 Microsoft 365 群組的基本屬性,不包含可指派角色的群組
microsoft.directory/groups.unified/members/update 更新 Microsoft 365 群組的成員,不包含可指派角色的群組
microsoft.directory/groups.unified/owners/update 更新 Microsoft 365 群組的擁有者,不包含可指派角色的群組
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心讀取和設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報告
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心所有資源上的基本屬性
microsoft.office365.yammer/allEntities/allProperties/allTasks 管理 Yammer 的所有層面

已被取代的角色

以下是不應使用的角色。 其已遭取代,未來將會從 Microsoft Entra ID 中予以移除。

  • AdHoc 授權管理員
  • 加入裝置
  • 裝置管理員
  • 裝置使用者
  • 傳送電子郵件給經過驗證的使用者建立者
  • 信箱管理員
  • 加入工作場所裝置

入口網站中未顯示的角色

並非 PowerShell 或 MS Graph API 所傳回的每個角色都可以在 Azure 入口網站中看到。 下表將組織這些差異。

API 名稱 Azure 入口網站名稱 備註
加入裝置 已淘汰 已淘汰的角色文件
裝置管理員 已淘汰 已淘汰的角色文件
裝置使用者 已淘汰 已淘汰的角色文件
目錄同步處理帳戶 未顯示,因為不得使用 目錄同步處理帳戶文件
來賓使用者 未顯示,因為不能使用 NA
合作夥伴第 1 層支援 未顯示,因為不得使用 合作夥伴第 1 層支援文件
合作夥伴第 2 層支援 未顯示,因為不得使用 合作夥伴第 2 層支援文件
受限制的來賓使用者 未顯示,因為不能使用 NA
User 未顯示,因為不能使用 NA
加入工作場所裝置 已淘汰 已淘汰的角色文件

下一步