Peran bawaan Azure AD

Artikel
07/18/2022
109 menit untuk membaca

Di Azure Active Directory (AAD), jika admin atau non-admin lain perlu mengelola sumber daya AAD, Anda perlu memberikan mereka peran AAD yang menyediakan izin yang mereka butuhkan. Misalnya, Anda dapat menetapkan peran untuk yang memungkinkan untuk menambahkan atau mengubah pengguna, menyetel ulang kata sandi pengguna, mengelola lisensi pengguna, atau mengelola nama domain.

Artikel ini mencantumkan peran bawaan AAD yang dapat Anda tetapkan untuk memungkinkan manajemen sumber daya AAD. Untuk informasi tentang cara menetapkan peran, lihat Menetapkan peran AAD kepada pengguna. Jika Anda mencari peran untuk mengelola sumber daya Azure, lihat peran bawaan Azure.

Semua peran

Peran	Deskripsi	ID Templat
Administrator Aplikasi	Dapat membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan.	9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Pengembang Aplikasi	Dapat membuat pendaftaran aplikasi yang independen dari pengaturan 'Pengguna dapat mendaftarkan aplikasi'.	cf1c38e5-3621-4004-a7cb-879624dced7c
Pembuat Payload Serangan	Dapat membuat payload serangan yang dapat dimulai oleh admin nanti.	9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Admin Simulasi Serangan	Dapat membuat dan mengelola semua aspek kampanye simulasi serangan.	c430b396-e693-46cc-96f3-db01bf8bb62a
Administrator Tugas Atribut	Tetapkan kunci dan nilai atribut keamanan kustom ke objek Azure AD yang didukung.	58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Pembaca Tugas Atribut	Baca kunci dan nilai atribut keamanan kustom untuk objek Azure AD yang didukung.	ffd52fa5-98dc-465c-991d-fc073eb59f8f
Administrator Definisi Atribut	Menentukan dan mengelola definisi atribut keamanan kustom.	8424c6f0-a189-499e-bbd0-26c1753c96d4
Pembaca Definisi Atribut	Baca definisi atribut keamanan kustom.	1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Administrator Autentikasi	Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk pengguna non-admin.	c4e39bd9-1100-46d3-8c65-fb160da0071f
Admin Kebijakan Autentikasi	Dapat membuat dan mengelola kebijakan metode autentikasi, pengaturan MFA di seluruh penyewa, kebijakan perlindungan kata sandi, dan kredensial yang dapat diverifikasi.	0526716b-113d-4c15-b2c8-68e3c22b9f80
Admin Lokal Perangkat Gabungan Azure Active Directory	Pengguna yang ditetapkan ke peran ini ditambahkan ke grup admin lokal di perangkat yang tergabung dengan AAD.	9f06204d-73c1-4d4c-880a-6edb90606fd8
Admin Azure DevOps	Dapat mengelola kebijakan dan pengaturan Azure DevOps.	e3973bdf-4987-49ae-837a-ba8e231c7286
Admin Perlindungan Informasi Azure	Dapat mengelola semua aspek produk Perlindungan Informasi Azure.	7495fdc4-34c4-4d15-a289-98788ce399fd
Admin Keyset IEF B2C	Dapat mengelola rahasia untuk federasi dan enkripsi di Identity Experience Framework (IEF).	aaf43236-0c0d-4d5f-883a-6955382ac081
Admin Kebijakan IEF B2C	Dapat membuat dan mengelola kebijakan kerangka kerja kepercayaan di IEF.	3edaf663-341e-4475-9f94-5c398ef6c070
Admin Penagihan	Dapat melakukan tugas terkait penagihan umum seperti memperbarui informasi pembayaran.	b0f54661-2d74-4c50-afa3-1ec803f12efe
Administrator Microsoft Cloud App Security	Dapat mengelola semua aspek produk Cloud App Security.	892c5842-a9a6-463a-8041-72aa08ca3cf6
Administrator Aplikasi Cloud	Dapat membuat dan mengelola semua aspek pendaftaran aplikasi dan aplikasi perusahaan kecuali proksi aplikasi.	158c047a-c907-4556-b7ef-446551a6b5f7
Admin Perangkat Cloud	Akses terbatas untuk mengelola perangkat di Azure Active Directory.	7698a772-787b-4ac8-901f-60d6b08affd2
Admin Kepatuhan	Dapat membaca dan mengelola konfigurasi dan laporan kepatuhan di AAD dan Microsoft 365.	17315797-102d-40b4-93e0-432062caca18
Admin Data Kepatuhan	Membuat dan mengelola konten kepatuhan.	e6d1a23a-da11-4be4-9570-befc86d067a7
Admin Akses Bersyarat	Dapat mengelola kemampuan Akses Bersyarat.	b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Pemberi Persetujuan Akses LockBox Pelanggan	Dapat menyetujui permintaan dukungan Microsoft untuk mengakses data organisasi pelanggan.	5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Admin Analitik Desktop	Dapat mengakses dan mengelola alat dan layanan manajemen Desktop.	38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Pembaca Direktori	Dapat membaca informasi direktori dasar. Umum digunakan untuk memberikan akses baca direktori pada aplikasi dan tamu.	88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Akun Sinkronisasi Direktori	Hanya digunakan oleh layanan Azure AD Connect.	d29b2b05-8046-44ba-8758-1e26182fcf32
Penulis Direktori	Dapat membaca dan menulis informasi direktori dasar. Untuk memberikan akses ke aplikasi, tidak ditujukan untuk pengguna.	9360feb5-f418-4baa-8175-e2a00bac4301
Admin Nama Domain	Dapat mengelola nama domain di cloud dan lokal.	8329153b-31d0-4727-b945-745eb3bc5f31
Admin Dynamics 365	Dapat mengelola semua aspek produk Dynamics 365.	44367163-eba1-44c3-98af-f5787879f96a
Administrator Edge	Mengelola semua aspek Microsoft Edge.	3f1acade-1e04-4fbc-9b69-f0302cd84aef
Admin Exchange	Dapat mengelola semua aspek produk Exchange.	29232cdf-9323-42fd-ade2-1d097af3e4de
Admin Penerima Exchange	Dapat membuat atau memperbarui penerima Exchange Online dalam organisasi Exchange Online.	31392ffb-586c-42d1-9346-e59415a2cc4e
Admin Alur Pengguna ID Eksternal	Dapat membuat dan mengelola semua aspek alur pengguna.	6e591065-9bad-43ed-90f3-e9424366d2f0
Admin Atribut Alur Pengguna ID Eksternal	Dapat membuat dan mengelola skema atribut yang tersedia untuk semua alur pengguna.	0f971eea-41eb-4569-a71e-57bb8a3eff1e
Admin IdP Eksternal	Mengonfigurasi IdP untuk digunakan dalam federasi langsung.	be2f45a1-457d-42af-a067-6ec1fa63bc45
Administrator Global	Dapat mengelola semua aspek layanan AAD dan Microsoft yang menggunakan identitas AAD.	62e90394-69f5-4237-9190-012177145e10
Pembaca Global	Dapat membaca semua yang dapat dibaca oleh Administrator Global, tetapi tidak memperbarui apa pun.	f2ef992c-3afb-46b9-b7cf-a126ee74c451
Admin Grup	Anggota peran ini dapat membuat/mengelola grup, membuat/mengelola pengaturan grup seperti penamaan dan kebijakan kedaluwarsa, serta melihat aktivitas grup dan laporan audit.	fdd7a751-b60b-444a-984c-02652fe8fa1c
Pengundang Tamu	Dapat mengundang pengguna tamu yang independen dari pengaturan 'anggota dapat mengundang tamu'.	95e79109-95c0-4d8e-aee3-d01accf2d47b
Admin Bantuan Teknis	Dapat mengatur ulang kata sandi untuk non-admin dan admin Bantuan Teknis.	729827e3-9c14-49f7-bb1b-9608f156bbb8
Admin Identitas Hibrid	Dapat mengelola provisi cloud AD ke Azure AD, Azure AD Connect, Autentikasi Pass-through (PTA), Sinkronisasi hash kata sandi (PHS), Akses menyeluruh tanpa hambatan (SSO tanpa hambatan), dan pengaturan federasi.	8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Administrator Tata Kelola Identitas	Mengelola akses menggunakan Azure Active Directory untuk skenario tata kelola identitas.	45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Admin Insight	Memiliki akses administratif di aplikasi Insight Microsoft 365.	eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analis Insights	Akses kemampuan analitik di Microsoft Viva Insights dan jalankan kueri kustom.	25df335f-86eb-4119-b717-0ff02de207e9
Pemimpin Bisnis Insight	Dapat melihat dan berbagi dasbor dan wawasan melalui aplikasi Microsoft 365 Insights.	31e939ad-9672-4796-9c2e-873181342d2d
Admin Intune	Dapat mengelola semua aspek produk Intune.	3a2c62db-5318-420d-8d74-23affee5d9d5
Admin Kaizala	Dapat mengelola pengaturan untuk Microsoft Kaizala.	74ef975b-6605-40af-a5d2-b9539d836353
Admin Pengetahuan	Dapat mengonfigurasi pengetahuan, pembelajaran, dan fitur cerdas lainnya.	b5a8dcf3-09d5-43a9-a639-8e29ef291470
Manajer Pengetahuan	Dapat mengatur, membuat, mengelola, dan mempromosikan topik dan pengetahuan.	744ec460-397e-42ad-a462-8b3f9747a02c
Admin Lisensi	Dapat mengelola lisensi produk pada pengguna dan grup.	4d6ac14f-3453-41d0-bef9-a3e0c569773a
Pembaca Privasi Pusat Pesan	Dapat membaca pesan dan pembaruan keamanan hanya di Pusat Pesan Office 365.	ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Pembaca Pusat Pesan	Dapat membaca pesan dan pembaruan untuk organisasi mereka hanya di Pusat Pesan Office 365.	790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Pengguna Perdagangan Modern	Dapat mengelola pembelian komersial untuk perusahaan, departemen, atau tim.	d24aef57-1500-4070-84db-2666f29cf966
Admin Jaringan	Dapat mengelola lokasi jaringan dan meninjau wawasan desain jaringan perusahaan untuk aplikasi SaaS Microsoft 365.	d37c8bed-0711-4417-ba38-b4abe66ce4c2
Admin Aplikasi Office	Dapat mengelola layanan cloud aplikasi Office, termasuk kebijakan dan manajemen pengaturan, serta mengelola kemampuan untuk memilih, membatalkan pilihan, dan menerbitkan konten fitur "yang baru" ke perangkat pengguna akhir.	2b745bdf-0803-4d80-aa65-822c4493daac
Dukungan Mitra Tier1	Jangan gunakan - tidak dimaksudkan untuk penggunaan umum.	4ba39ca4-527c-499a-b93d-d9b492c50246
Dukungan Mitra Tier2	Jangan gunakan - tidak dimaksudkan untuk penggunaan umum.	e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Admin Kata Sandi	Dapat mengatur ulang kata sandi untuk non-admin dan Admin Kata Sandi.	966707d0-3269-4727-9be2-8c3a10f19b9d
Admin Power BI	Dapat mengelola semua aspek produk Power BI.	a9ea8996-122f-4c74-9520-8edcd192826c
Admin Microsoft Power Platform	Dapat membuat dan mengelola semua aspek Microsoft Dynamics 365, Power Apps dan Power Automate.	11648597-926c-4cf3-9c36-bcebb0ba8dcc
Admin Pencetak	Dapat mengelola semua aspek printer dan konektor printer.	644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Teknisi Printer	Dapat mendaftar dan membatalkan pendaftaran printer serta memperbarui status printer.	e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Admin Autentikasi Istimewa	Dapat mengakses untuk melihat, mengatur, dan mengatur ulang informasi metode autentikasi untuk semua pengguna (admin atau non-admin).	7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Administrator Peran Privileged	Dapat mengelola penetapan peran di AAD, dan semua aspek PIM.	e8611ab8-c189-46e8-94e1-60213ab1f814
Pembaca Laporan	Dapat membaca laporan masuk dan audit.	4a5d8f65-41da-4de4-8968-e035b65339cf
Admin Pencarian	Dapat membuat dan mengelola semua aspek pengaturan Microsoft Search.	0964bb5e-9bdb-4d7b-ac29-58e794862a40
Penyunting Pencarian	Dapat membuat dan mengelola konten editorial seperti marka buku, Tanya-Jawab, lokasi, floorplan.	8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Administrator Keamanan	Dapat membaca informasi dan laporan keamanan, dan mengelola konfigurasi di Azure Active Directory dan Office 365.	194ae4cb-b126-40b2-bd5b-6091b380977d
Operator Keamanan	Membuat dan mengelola peristiwa keamanan.	5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Pembaca Keamanan	Dapat membaca informasi dan laporan keamanan di Azure Active Directory dan Office 365.	5d6b6bb7-de71-4623-b4af-96380a352509
Admin Dukungan Layanan	Dapat membaca informasi kesehatan layanan dan mengelola tiket dukungan.	f023fd81-a637-4b56-95fd-791ac0226033
Admin SharePoint	Dapat mengelola semua aspek layanan SharePoint.	f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Admin Skype for Business	Dapat mengelola semua aspek produk Skype for Business.	75941009-915a-4869-abe7-691bff18279e
Admin Teams	Dapat mengelola layanan Microsoft Teams.	69091246-20e8-4a56-aa4d-066075b2a7a8
Admin Komunikasi Teams	Dapat mengelola fitur panggilan dan rapat dalam layanan Microsoft Teams.	baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teknisi Dukungan Komunikasi Teams	Dapat memecahkan masalah komunikasi dalam Teams menggunakan alat tingkat lanjut.	f70938a0-fc10-4177-9e90-2178f8765737
Spesialis Dukungan Komunikasi Teams	Dapat memecahkan masalah komunikasi dalam Teams menggunakan alat dasar.	fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Admin Perangkat Teams	Dapat melakukan tugas terkait manajemen pada perangkat bersertifikasi Teams.	3d762c5a-1b6c-493f-843e-55a3b42923d4
Pembaca Laporan Ringkasan Penggunaan	Hanya dapat melihat agregat tingkat penyewa di Analitik Penggunaan Microsoft 365 dan Skor Produktivitas.	75934031-6c7e-415a-99d7-48dbd49e875e
Administrator Pengguna	Dapat mengelola semua aspek pengguna dan grup, termasuk menyetel ulang kata sandi untuk admin terbatas.	fe930be7-5e62-47db-91af-98c3a49a38b1
Administrator Kunjungan Virtual	Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual.	e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Administrator Windows 365	Dapat memprovisikan dan mengelola semua aspek PC Cloud.	11451d60-acb2-45eb-a7d6-43d0f0125c13
Administrator Penerapan Windows Update	Dapat membuat dan mengelola semua aspek penyebaran Windows Update melalui layanan penyebaran Windows Update untuk Bisnis.	32696413-001a-46ae-978c-ce0f6b3620d2

Admin Aplikasi

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek aplikasi perusahaan, pendaftaran aplikasi, dan pengaturan proksi aplikasi. Perhatikan bahwa pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.

Peran ini juga memberikan kemampuan untuk menyetujui izin delegasi dan izin aplikasi, dengan pengecualian izin aplikasi untuk Microsoft Graph.

Penting

Pengecualian ini berarti Anda masih dapat menyetujui izin aplikasi untuk aplikasi lain (misalnya, aplikasi non-Microsoft atau aplikasi yang telah Anda daftarkan). Anda masih dapat meminta izin ini sebagai bagian dari pendaftaran aplikasi, tetapi memberikan (yaitu, menyetujui) izin ini memerlukan admin yang lebih istimewa, seperti Administrator Global.

Peran ini memberikan kemampuan untuk mengelola info masuk aplikasi. Pengguna yang diberi peran ini dapat menambahkan info masuk ke aplikasi, dan menggunakan info masuk tersebut untuk meniru identitas aplikasi. Jika identitas aplikasi telah diberikan akses ke sumber daya, seperti kemampuan untuk membuat atau memperbarui Pengguna atau objek lain, maka pengguna yang ditetapkan untuk peran ini dapat melakukan tindakan tersebut saat meniru aplikasi. Kemampuan untuk meniru identitas aplikasi ini mungkin merupakan peningkatan hak istimewa atas apa yang dapat dilakukan pengguna melalui penetapan peran mereka. Penting untuk dipahami bahwa menetapkan pengguna ke peran Admin Aplikasi memberi mereka kemampuan untuk meniru identitas aplikasi.

Tindakan	Deskripsi
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Mengelola kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/create	Membuat semua jenis aplikasi
microsoft.directory/applications/delete	Menghapus semua jenis aplikasi
microsoft.directory/applications/applicationProxy/read	Membaca semua properti proksi aplikasi
microsoft.directory/applications/applicationProxy/update	Memperbarui semua properti proksi aplikasi
microsoft.directory/applications/applicationProxyAuthentication/update	Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/applicationProxySslCertificate/update	Memperbarui pengaturan sertifikat SSL untuk proksi aplikasi
microsoft.directory/applications/applicationProxyUrlSettings/update	Memperbarui pengaturan URL untuk proksi aplikasi
microsoft.directory/applications/appRoles/update	Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update	Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update	Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update	Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update	Memperbarui info masuk aplikasi
microsoft.directory/applications/extensionProperties/update	Memperbarui properti ekstensi pada aplikasi
microsoft.directory/applications/notes/update	Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update	Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update	Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update	Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update	Memperbarui tag aplikasi
microsoft.directory/applications/verification/update	Memperbarui properti applicationsverification
microsoft.directory/applications/synchronization/standard/read	Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate	Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/connector/create	Membuat konektor proksi aplikasi
microsoft.directory/connectors/allProperties/read	Membaca semua properti konektor proksi aplikasi
microsoft.directory/connectorGroups/create	Membuat grup konektor proksi aplikasi
microsoft.directory/connectorGroups/delete	Menghapus grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/read	Membaca semua properti grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/update	Memperbarui semua properti grup konektor proksi aplikasi
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	Buat dan Kelola ekstensi autentikasi kustom
microsoft.directory/deletedItems.applications/delete	Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.applications/restore	Memulihkan aplikasi yang dihapus sementara ke keadaan asli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/applicationPolicies/create	Membuat kebijakan aplikasi
microsoft.directory/applicationPolicies/delete	Menghapus kebijakan aplikasi
microsoft.directory/applicationPolicies/standard/read	Membaca properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/read	Membaca pemilik pada kebijakan aplikasi
microsoft.directory/applicationPolicies/policyAppliedTo/read	Membaca kebijakan aplikasi yang diterapkan ke daftar objek
microsoft.directory/applicationPolicies/basic/update	Memperbarui properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/update	Memperbarui properti pemilik kebijakan aplikasi
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/servicePrincipals/create	Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete	Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/disable	Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/enable	Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials	Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	Memberikan persetujuan untuk izin aplikasi dan izin yang didelegasikan atas nama pengguna atau semua pengguna, kecuali untuk izin aplikasi untuk Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/audience/update	Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update	Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update	Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/credentials/update	Memperbarui info masuk perwakilan layanan
microsoft.directory/servicePrincipals/notes/update	Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update	Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update	Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update	Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update	Memperbarui properti tag untuk perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read	Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pengembang Aplikasi

Pengguna dengan peran ini dapat membuat pendaftaran aplikasi saat pengaturan ‘Pengguna dapat mendaftarkan aplikasi’ diatur ke Tidak. Peran ini juga memberikan izin untuk menyetujui atas nama seseorang ketika pengaturan "Pengguna dapat menyetujui aplikasi yang mengakses data perusahaan atas nama mereka" diatur ke Tidak. Pengguna yang ditetapkan untuk peran ini ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru.

Tindakan	Deskripsi
microsoft.directory/applications/createAsOwner	Membuat semua jenis aplikasi, dan pembuat ditambahkan sebagai pemilik pertama
microsoft.directory/oAuth2PermissionGrants/createAsOwner	Membuat izin OAuth 2.0, dengan pembuat sebagai pemilik pertama
microsoft.directory/servicePrincipals/createAsOwner	Membuat perwakilan layanan, dengan pembuat sebagai pemilik pertama

Penulis Payload Serangan

Pengguna dalam peran ini dapat membuat payload serangan tetapi tidak benar-benar meluncurkan atau menjadwalkannya. Payload serangan kemudian tersedia untuk semua admin di penyewa yang dapat menggunakannya untuk membuat simulasi.

Tindakan	Deskripsi
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Membuat dan mengelola payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Membaca laporan tanggapan simulasi serangan dan pelatihan terkait

Admin Simulasi Serangan

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek pembuatan simulasi serangan, peluncuran/penjadwalan simulasi, dan tinjauan hasil simulasi. Anggota peran ini memiliki akses ini untuk semua simulasi dalam penyewa.

Tindakan	Deskripsi
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Membuat dan mengelola payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Membaca laporan tanggapan simulasi serangan dan pelatihan terkait
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	Membuat dan mengelola templat simulasi serangan di Simulator Serangan

Administrator Tugas Atribut

Pengguna dengan peran ini dapat menetapkan dan menghapus kunci dan nilai atribut keamanan kustom untuk objek Azure AD yang didukung, seperti pengguna, perwakilan layanan, dan perangkat.

Secara default, Administrator Global dan peran administrator lainnya tidak memiliki izin untuk membaca, menentukan, atau menetapkan atribut keamanan kustom. Untuk bekerja dengan atribut keamanan kustom, Anda harus diberi salah satu peran atribut keamanan kustom.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan	Deskripsi
microsoft.directory/attributeSets/allProperties/read	Membaca semua properti set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Membaca semua properti definisi atribut keamanan kustom
microsoft.directory/devices/customSecurityAttributes/read	Membaca nilai atribut keamanan kustom untuk perangkat
microsoft.directory/devices/customSecurityAttributes/update	Memperbarui nilai atribut keamanan kustom untuk perangkat
microsoft.directory/servicePrincipals/customSecurityAttributes/read	Membaca nilai atribut keamanan kustom untuk perwakilan layanan
microsoft.directory/servicePrincipals/customSecurityAttributes/update	Memperbarui nilai atribut keamanan kustom untuk perwakilan layanan
microsoft.directory/users/customSecurityAttributes/read	Membaca nilai atribut keamanan kustom untuk pengguna
microsoft.directory/users/customSecurityAttributes/update	Memperbarui nilai atribut keamanan kustom untuk pengguna

Pembaca Tugas Atribut

Pengguna dengan peran ini dapat membaca kunci dan nilai atribut keamanan kustom untuk objek Azure AD yang didukung.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan	Deskripsi
microsoft.directory/attributeSets/allProperties/read	Membaca semua properti set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Membaca semua properti definisi atribut keamanan kustom
microsoft.directory/devices/customSecurityAttributes/read	Membaca nilai atribut keamanan kustom untuk perangkat
microsoft.directory/servicePrincipals/customSecurityAttributes/read	Membaca nilai atribut keamanan kustom untuk perwakilan layanan
microsoft.directory/users/customSecurityAttributes/read	Membaca nilai atribut keamanan kustom untuk pengguna

Administrator Definisi Atribut

Pengguna dengan peran ini dapat menentukan set valid atribut keamanan kustom yang dapat ditetapkan untuk objek Azure AD yang didukung. Peran ini juga dapat mengaktifkan dan menonaktifkan atribut keamanan kustom.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan	Deskripsi
microsoft.directory/attributeSets/allProperties/allTasks	Mengelola semua aspek dari set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks	Mengelola semua aspek dari definisi atribut keamanan kustom

Pembaca Definisi Atribut

Pengguna dengan peran ini dapat membaca definisi atribut keamanan kustom.

Untuk informasi selengkapnya, lihat Mengelola akses ke atribut keamanan kustom di Azure AD.

Tindakan	Deskripsi
microsoft.directory/attributeSets/allProperties/read	Membaca semua properti set atribut
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read	Membaca semua properti definisi atribut keamanan kustom

Administrator Autentikasi

Pengguna dengan peran ini dapat mengatur atau mengatur ulang metode autentikasi apa pun (termasuk kata sandi) untuk non-admin dan beberapa peran. Administrator Authentication dapat mengharuskan pengguna non-admin atau yang ditetapkan ke beberapa peran untuk mendaftar ulang terhadap info masuk non-kata sandi yang ada (misalnya, autentikasi multifaktor atau FIDO), dan juga dapat mencabut ingat autentikasi multifaktor pada perangkat, yang meminta autentikasi multifaktor pada rincian masuk berikutnya. Untuk daftar peran yang dapat dibaca atau diperbarui metode autentikasinya oleh Administrator Autentikasi, lihat Siapa yang dapat mengatur ulang kata sandi.

Administrator Autentikasi dapat memperbarui atribut sensitif untuk beberapa pengguna. Untuk daftar peran yang dapat diperbarui atribut sensitifnya oleh Administrator Autentikasi, lihat Siapa yang dapat memperbarui atribut sensitif.

Peran Administrator Autentikasi Hak Istimewa memiliki izin untuk memaksa pendaftaran ulang dan autentikasi multifaktor untuk semua pengguna.

Peran Administrator Kebijakan Autentikasi memiliki izin untuk mengatur kebijakan metode autentikasi penyewa yang menentukan metode mana yang dapat didaftarkan dan digunakan oleh setiap pengguna.

Peran	Mengelola metode autentikasi pengguna	Mengelola autentikasi multifaktor per pengguna	Mengelola pengaturan autentikasi multifaktor	Mengelola kebijakan metode autentikasi	Mengelola kebijakan perlindungan kata sandi	Memperbarui atribut sensitif
Administrator Autentikasi	Ya untuk beberapa pengguna (lihat di atas)	Ya untuk beberapa pengguna (lihat di atas)	Tidak	Tidak	Tidak	Ya untuk beberapa pengguna (lihat di atas)
Administrator Autentikasi dengan Hak Istimewa	Ya untuk semua pengguna	Ya untuk semua pengguna	Tidak	Tidak	Tidak	Ya untuk semua pengguna
Admin Kebijakan Autentikasi	Tidak	Tidak	Ya	Ya	Ya	Tidak

Penting

Pengguna dengan peran ini dapat mengubah info masuk bagi orang yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di dalam dan di luar Azure Active Directory. Mengubah info masuk pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:

Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di AAD dan di tempat lain yang tidak diberikan kepada Admin Autentikasi. Melalui jalur ini, Admin Autentikasi dapat mengasumsikan identitas pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui info masuk untuk aplikasi.
Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
Administrator di layanan lain di luar Azure AD seperti Exchange Online, Pusat Keamanan & Kepatuhan Office 365, dan sistem sumber daya manusia.
Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.

Penting

Peran ini tidak dapat mengelola pengaturan MFA di portal manajemen MFA warisan atau token Hardware OATH. Fungsi yang sama dapat dicapai menggunakan modul Azure AD PowerShell commandlet Set-MsolUser.

Pengguna dengan peran ini tidak dapat mengubah informasi masuk atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan perannya.

Tindakan	Deskripsi
microsoft.directory/users/authenticationMethods/create	Membuat metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/delete	Menghapus metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/standard/read	Membaca properti standar metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/basic/update	Memperbarui properti dasar metode autentikasi untuk pengguna
microsoft.directory/deletedItems.users/restore	Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/users/delete	Menghapus pengguna
microsoft.directory/users/disable	Menonaktifkan pengguna
microsoft.directory/users/enable	Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens	Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore	Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update	Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update	Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update	Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/userPrincipalName/update	Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Kebijakan Autentikasi

Pengguna dengan peran ini dapat mengonfigurasi kebijakan metode autentikasi, pengaturan MFA di seluruh penyewa, dan kebijakan perlindungan kata sandi. Peran ini memberikan izin untuk mengelola pengaturan Perlindungan Kata Sandi: konfigurasi penguncian cerdas dan memperbarui daftar kata sandi yang dilarang kustom. Administrator Kebijakan Autentikasi tidak dapat memperbarui atribut sensitif untuk pengguna.

Peran Administrator Autentikasi dan Administrator Autentikasi Hak Istimewa memiliki izin untuk mengelola metode autentikasi yang terdaftar pada pengguna dan dapat memaksa pendaftaran ulang dan autentikasi multifaktor untuk semua pengguna.

Peran	Mengelola metode autentikasi pengguna	Mengelola autentikasi multifaktor per pengguna	Mengelola pengaturan autentikasi multifaktor	Mengelola kebijakan metode autentikasi	Mengelola kebijakan perlindungan kata sandi	Memperbarui atribut sensitif
Administrator Autentikasi	Ya untuk beberapa pengguna (lihat di atas)	Ya untuk beberapa pengguna (lihat di atas)	Tidak	Tidak	Tidak	Ya untuk beberapa pengguna (lihat di atas)
Administrator Autentikasi dengan Hak Istimewa	Ya untuk semua pengguna	Ya untuk semua pengguna	Tidak	Tidak	Tidak	Ya untuk semua pengguna
Admin Kebijakan Autentikasi	Tidak	Tidak	Ya	Ya	Ya	Tidak

Penting

Peran ini tidak dapat mengelola pengaturan MFA di portal manajemen MFA warisan atau token Hardware OATH.

Tindakan	Deskripsi
microsoft.directory/organization/strongAuthentication/allTasks	Mengelola semua aspek properti autentikasi yang kuat dari suatu organisasi
microsoft.directory/userCredentialPolicies/create	Membuat kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/delete	Menghapus kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/standard/read	Membaca properti standar kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/owners/read	Membaca pemilik kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/policyAppliedTo/read	Membaca tautan navigasi policy.appliesTo
microsoft.directory/userCredentialPolicies/basic/update	Memperbarui kebijakan dasar untuk pengguna
microsoft.directory/userCredentialPolicies/owners/update	Memperbarui pemilik kebijakan info masuk untuk pengguna
microsoft.directory/userCredentialPolicies/tenantDefault/update	Memperbarui properti policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	Membaca kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke	Mencabut kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/create	Membuat kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	Membaca kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update	Memperbarui kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/create	Membuat konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/delete	Menghapus konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi dan menghapus semua kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/read	Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/update	Memperbarui konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure

Admin Lokal Perangkat Gabungan Azure Active Directory

Peran ini hanya tersedia untuk penetapan sebagai admin lokal tambahan di Pengaturan perangkat. Pengguna dengan peran ini menjadi admin komputer lokal di semua perangkat Windows 10 yang bergabung ke Azure Active Directory. Mereka tidak memiliki kemampuan untuk mengelola objek perangkat di Azure Active Directory.

Tindakan	Deskripsi
microsoft.directory/groupSettings/standard/read	Membaca properti dasar pada pengaturan grup
microsoft.directory/groupSettingTemplates/standard/read	Membaca properti dasar pada templat pengaturan grup

Admin Azure DevOps

Pengguna dengan peran ini dapat mengelola semua kebijakan Azure DevOps perusahaan, berlaku untuk semua organisasi Azure DevOPS yang didukung oleh Azure AD. Pengguna dalam peran ini dapat mengelola kebijakan ini dengan menavigasi ke organisasi Azure DevOps yang didukung oleh Azure AD perusahaan. Selain itu, pengguna dalam peran ini dapat mengeklaim kepemilikan organisasi Azure DevOps tanpa sumber. Peran ini tidak memberikan izin khusus Azure DevOps lainnya (misalnya, Admin Koleksi Proyek) di dalam salah satu organisasi Azure DevOps yang didukung oleh organisasi AAD perusahaan.

Tindakan	Deskripsi
microsoft.azure.devOps/allEntities/allTasks	Membaca dan mengonfigurasi Azure DevOps

Admin Perlindungan Informasi Azure

Pengguna dengan peran ini memiliki semua izin di layanan Perlindungan Informasi Azure. Peran ini memungkinkan konfigurasi label untuk kebijakan Perlindungan Informasi Azure, mengelola templat perlindungan, dan mengaktifkan perlindungan. Peran ini tidak memberikan izin apa pun di Pusat Perlindungan Identitas, Privileged Identity Management, Service Health Microsoft 365 Monitor, atau Pusat Keamanan & Kepatuhan Office 365.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.azure.informationProtection/allEntities/allTasks	Mengelola semua aspek Perlindungan Informasi Azure
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Keyset IEF B2C

Pengguna dapat membuat dan mengelola kunci dan rahasia kebijakan untuk enkripsi token, tanda tangan token, dan mengklaim enkripsi/dekripsi. Dengan menambahkan kunci baru ke kontainer kunci yang ada, administrator terbatas ini dapat membuka rahasia sesuai kebutuhan tanpa memengaruhi aplikasi yang ada. Pengguna ini dapat melihat konten lengkap dari rahasia ini dan tanggal kedaluwarsa mereka bahkan setelah pembuatannya.

Penting

Ini adalah peran yang sensitif. Peran administrator set kunci harus diaudit dan ditugaskan dengan hati-hati selama pra-produksi dan produksi.

Tindakan	Deskripsi
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks	Membaca dan mengonfigurasi set kunci di Azure Active Directory B2C

Admin Kebijakan IEF B2C

Pengguna dalam peran ini memiliki kemampuan untuk membuat, membaca, memperbarui, dan menghapus semua kebijakan kustom di Azure AD B2C dan karenanya memiliki kontrol penuh atas IEF di organisasi Azure AD B2C yang relevan. Dengan menyunting kebijakan, pengguna ini dapat membentuk federasi langsung dengan IdP eksternal, mengubah skema direktori, mengubah semua konten yang berhubungan dengan pengguna (HTML, CSS, JavaScript), mengubah persyaratan untuk menyelesaikan sebuah autentikasi, membuat pengguna baru, mengirim data pengguna ke sistem eksternal termasuk migrasi penuh, dan mengedit semua informasi pengguna termasuk bidang sensitif seperti kata sandi dan nomor telepon. Sebaliknya, peran ini tidak dapat mengubah kunci enkripsi atau mengedit rahasia yang digunakan untuk federasi dalam organisasi.

Penting

Admin Kebijakan IEF B2 adalah peran yang sangat sensitif yang harus ditetapkan secara sangat terbatas untuk organisasi dalam produksi. Aktivitas oleh pengguna ini harus diaudit dengan cermat, terutama untuk organisasi dalam produksi.

Tindakan	Deskripsi
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks	Membaca dan mengonfigurasi kebijakan kustom di Azure Active Directory B2C

Admin Penagihan

Melakukan pembelian, mengelola langganan, mengelola tiket dukungan, dan memantau kondisi layanan.

Tindakan	Deskripsi
microsoft.directory/organization/basic/update	Memperbarui properti dasar pada organisasi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks	Mengelola semua aspek tagihan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Microsoft Cloud App Security

Pengguna dengan peran ini memiliki izin penuh dalam Cloud App Security. Mereka dapat menambahkan administrator, menambahkan kebijakan dan pengaturan Microsoft Cloud App Security (MCAS), mengunggah log, dan melakukan tindakan tata kelola.

Tindakan	Deskripsi
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Microsoft Cloud App Security
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Aplikasi Cloud

Pengguna dalam peran ini memiliki izin yang sama dengan peran Admin Aplikasi, kecuali kemampuan untuk mengelola proksi aplikasi. Peran ini memberikan kemampuan untuk membuat dan mengelola semua aspek aplikasi perusahaan dan pendaftaran aplikasi. Pengguna yang ditetapkan untuk peran ini tidak ditambahkan sebagai pemilik saat membuat pendaftaran aplikasi baru atau aplikasi perusahaan.

Peran ini juga memberikan kemampuan untuk menyetujui izin delegasi dan izin aplikasi, dengan pengecualian izin aplikasi untuk Microsoft Graph.

Penting

Tindakan	Deskripsi
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Mengelola kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/create	Membuat semua jenis aplikasi
microsoft.directory/applications/delete	Menghapus semua jenis aplikasi
microsoft.directory/applications/appRoles/update	Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update	Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update	Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update	Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update	Memperbarui info masuk aplikasi
microsoft.directory/applications/extensionProperties/update	Memperbarui properti ekstensi pada aplikasi
microsoft.directory/applications/notes/update	Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update	Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update	Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update	Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update	Memperbarui tag aplikasi
microsoft.directory/applications/verification/update	Memperbarui properti applicationsverification
microsoft.directory/applications/synchronization/standard/read	Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate	Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/deletedItems.applications/delete	Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.applications/restore	Memulihkan aplikasi yang dihapus sementara ke keadaan asli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/applicationPolicies/create	Membuat kebijakan aplikasi
microsoft.directory/applicationPolicies/delete	Menghapus kebijakan aplikasi
microsoft.directory/applicationPolicies/standard/read	Membaca properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/read	Membaca pemilik pada kebijakan aplikasi
microsoft.directory/applicationPolicies/policyAppliedTo/read	Membaca kebijakan aplikasi yang diterapkan ke daftar objek
microsoft.directory/applicationPolicies/basic/update	Memperbarui properti standar kebijakan aplikasi
microsoft.directory/applicationPolicies/owners/update	Memperbarui properti pemilik kebijakan aplikasi
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/servicePrincipals/create	Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete	Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/disable	Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/enable	Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials	Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin	Memberikan persetujuan untuk izin aplikasi dan izin yang didelegasikan atas nama pengguna atau semua pengguna, kecuali untuk izin aplikasi untuk Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/audience/update	Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update	Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update	Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/credentials/update	Memperbarui info masuk perwakilan layanan
microsoft.directory/servicePrincipals/notes/update	Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update	Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update	Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update	Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update	Memperbarui properti tag untuk perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read	Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Perangkat Cloud

Pengguna dalam peran ini dapat mengaktifkan, menonaktifkan, dan menghapus perangkat di Azure Active Directory dan membaca kunci BitLocker Windows 10 (jika ada) di portal Microsoft Azure. Peran ini tidak memberikan izin untuk mengelola properti lain pada perangkat.

Tindakan	Deskripsi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read	Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/devices/delete	Menghapus perangkat dari Azure Active Directory
microsoft.directory/devices/disable	Menonaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/enable	Mengaktifkan perangkat di Azure Active Directory
microsoft.directory/deviceManagementPolicies/standard/read	Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceManagementPolicies/basic/update	Memperbarui properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read	Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/deviceRegistrationPolicy/basic/update	Memperbarui properti dasar pada kebijakan pendaftaran perangkat
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365

Admin Kepatuhan

Pengguna dengan peran ini dapat mengelola fitur terkait kepatuhan di portal kepatuhan Microsoft Purview, pusat admin Microsoft 365, Azure, dan Pusat Kepatuhan Office 365 Security &. Penerima tugas juga dapat mengelola semua fitur dalam pusat admin Exchange dan pusat admin Teams & Skype for Business dan membuat tiket dukungan untuk Azure dan Microsoft 365. Informasi selengkapnya tersedia di Tentang peran admin Microsoft 365.

Dalam	Dapat melakukan
Portal kepatuhan Microsoft Purview	Melindungi dan mengelola data organisasi Anda di seluruh layanan Microsoft 365 Mengelola pemberitahuan kepatuhan
Manajer Kepatuhan	Melacak, menetapkan, dan memverifikasi aktivitas kepatuhan terhadap peraturan organisasi Anda
Pusat Keamanan & Kepatuhan Office 365	Mengelola data pemerintahan Melakukan penyelidikan hukum dan data Mengelola Permintaan Subjek Data Peran ini memiliki izin yang sama dengan RoleGroup Administrator Kepatuhan di kontrol akses berbasis peran Pusat Keamanan & Kepatuhan Office 365.
Intune	Menampilkan semua data audit Intune
Cloud App Security	Memiliki izin baca-saja dan dapat mengelola pemberitahuan Dapat membuat dan mengubah kebijakan file dan mengizinkan tindakan file pemerintahan Dapat menampilkan semua laporan bawaan di bawah Manajemen Data

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.directory/entitlementManagement/allProperties/read	Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.office365.complianceManager/allEntities/allTasks	Mengelola semua aspek Manajer Kepatuhan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Data Kepatuhan

Pengguna dengan peran ini dapat memiliki izin untuk melacak data di portal kepatuhan Microsoft Purview, pusat admin Microsoft 365, dan Azure. Pengguna juga dapat melacak data kepatuhan dalam pusat admin Exchange, Manajer Kepatuhan, dan pusat admin Teams & Skype for Business dan membuat tiket dukungan untuk Azure dan Microsoft 365. Dokumentasi ini memiliki detail tentang perbedaan antara Admin Kepatuhan dan Admin Data Kepatuhan.

Dalam	Dapat melakukan
Portal kepatuhan Microsoft Purview	Memantau kebijakan terkait kepatuhan di seluruh layanan Microsoft 365 Mengelola pemberitahuan kepatuhan
Manajer Kepatuhan	Melacak, menetapkan, dan memverifikasi aktivitas kepatuhan terhadap peraturan organisasi Anda
Pusat Keamanan & Kepatuhan Office 365	Mengelola data pemerintahan Melakukan penyelidikan hukum dan data Mengelola Permintaan Subjek Data Peran ini memiliki izin yang sama dengan RoleGroup Administrator Data Kepatuhan di kontrol akses berbasis peran Pusat Keamanan & Kepatuhan Office 365.
Intune	Menampilkan semua data audit Intune
Cloud App Security	Memiliki izin baca-saja dan dapat mengelola pemberitahuan Dapat membuat dan mengubah kebijakan file dan mengizinkan tindakan file pemerintahan Dapat menampilkan semua laporan bawaan di bawah Manajemen Data

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Microsoft Cloud App Security
microsoft.azure.informationProtection/allEntities/allTasks	Mengelola semua aspek Perlindungan Informasi Azure
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.complianceManager/allEntities/allTasks	Mengelola semua aspek Manajer Kepatuhan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Akses Bersyarat

Pengguna dengan peran ini memiliki kemampuan untuk mengelola pengaturan Akses Bersyarat Azure Active Directory.

Tindakan	Deskripsi
microsoft.directory/conditionalAccessPolicies/create	Membuat kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/delete	Menghapus kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/standard/read	Membaca akses bersyarat untuk kebijakan
microsoft.directory/conditionalAccessPolicies/owners/read	Membaca pemilik kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Membaca properti "diterapkan ke" untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/basic/update	Memperbarui properti dasar untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/owners/update	Memperbarui pemilik untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/tenantDefault/update	Memperbarui penyewa default untuk kebijakan akses bersyarat

Pemberi Izin Akses Customer LockBox

Mengelola permintaan Customer Lockbox di organisasi Anda. Mereka menerima pemberitahuan surel untuk permintaan Customer Lockbox dan dapat menyetujui atau menolak permintaan dari pusat admin Microsoft 365. Mereka juga dapat mengaktifkan atau menonaktifkan fitur Customer Lockbox. Hanya Administrator Global yang dapat mengatur ulang kata sandi orang yang ditetapkan ke peran ini.

Tindakan	Deskripsi
microsoft.office365.lockbox/allEntities/allTasks	Mengelola semua aspek Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Analitik Desktop

Pengguna dalam peran ini dapat mengelola layanan Analitik Desktop. Ini mencakup kemampuan untuk melihat inventaris aset, membuat rencana penyebaran, dan melihat penyebaran dan status kesehatan.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks	Mengelola semua aspek Analitik Desktop

Pembaca Direktori

Pengguna dalam peran ini dapat membaca informasi direktori dasar. Peran ini harus digunakan untuk:

Memberikan akses baca pada sekumpulan pengguna tamu tertentu alih-alih memberikan izin pada semua pengguna tamu.
Memberikan akses pada sekumpulan pengguna non-admin tertentu ke portal Microsoft Azure saat "Batasi akses ke portal Azure Active Directory hanya untuk admin" diatur ke "Ya".
Memberikan akses perwakilan layanan ke direktori saat Directory.Read.All tidak menjadi pilihan.

Tindakan	Deskripsi
microsoft.directory/administrativeUnits/standard/read	Membaca properti dasar pada unit administratif
microsoft.directory/administrativeUnits/members/read	Membacakan anggota unit administratif
microsoft.directory/applications/standard/read	Membaca properti standar aplikasi
microsoft.directory/applications/owners/read	Membaca pemilik aplikasi
microsoft.directory/applications/policies/read	Membaca kebijakan aplikasi
microsoft.directory/contacts/standard/read	Membaca properti dasar pada kontak di Azure Active Directory
microsoft.directory/contacts/memberOf/read	Membaca keanggotaan grup untuk semua kontak di Azure Active Directory
microsoft.directory/contracts/standard/read	Membaca properti dasar pada kontrak mitra
microsoft.directory/devices/standard/read	Membaca properti dasar pada perangkat
microsoft.directory/devices/memberOf/read	Membaca keanggotaan perangkat
microsoft.directory/devices/registeredOwners/read	Membaca pemilik terdaftar perangkat
microsoft.directory/devices/registeredUsers/read	Membaca pengguna terdaftar perangkat
microsoft.directory/directoryRoles/standard/read	Membaca properti dasar dalam peran Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read	Membaca peran Azure Active Directory yang memenuhi syarat
microsoft.directory/directoryRoles/members/read	Membaca semua anggota peran Azure Active Directory
microsoft.directory/domains/standard/read	Membaca properti dasar pada domain
microsoft.directory/groups/standard/read	Baca properti standar grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/appRoleAssignments/read	Membaca penetapan peran aplikasi grup
microsoft.directory/groups/memberOf/read	Baca properti memberOf grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/members/read	Membaca anggota grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/owners/read	Membaca pemilik grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/read	Membaca pengaturan grup
microsoft.directory/groupSettings/standard/read	Membaca properti dasar pada pengaturan grup
microsoft.directory/groupSettingTemplates/standard/read	Membaca properti dasar pada templat pengaturan grup
microsoft.directory/oAuth2PermissionGrants/standard/read	Membaca properti dasar tentang pemberian izin OAuth 2.0
microsoft.directory/organization/standard/read	Membaca properti dasar pada organisasi
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read	Membaca otoritas sertifikat tepercaya untuk autentikasi tanpa kata sandi
microsoft.directory/applicationPolicies/standard/read	Membaca properti standar kebijakan aplikasi
microsoft.directory/roleAssignments/standard/read	Membaca properti dasar tentang penetapan peran
microsoft.directory/roleDefinitions/standard/read	Membaca properti dasar tentang definisi peran
microsoft.directory/servicePrincipals/appRoleAssignedTo/read	Membaca penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignments/read	Membaca penetapan peran yang ditetapkan untuk perwakilan layanan
microsoft.directory/servicePrincipals/standard/read	Membaca properti dasar perwakilan layanan
microsoft.directory/servicePrincipals/memberOf/read	Membaca keanggotaan grup pada perwakilan layanan
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read	Membaca pemberian izin yang didelegasikan pada perwakilan layanan
microsoft.directory/servicePrincipals/owners/read	Membaca pemilik perwakilan layanan
microsoft.directory/servicePrincipals/ownedObjects/read	Membaca objek yang dimiliki perwakilan layanan
microsoft.directory/servicePrincipals/policies/read	Membaca kebijakan perwakilan layanan
microsoft.directory/subscribedSkus/standard/read	Membaca properti dasar pada langganan
microsoft.directory/users/standard/read	Membaca properti dasar pada pengguna
microsoft.directory/users/appRoleAssignments/read	Membaca penetapan peran aplikasi untuk pengguna
microsoft.directory/users/deviceForResourceAccount/read	Membaca deviceForResourceAccount pengguna
microsoft.directory/users/directReports/read	Membaca laporan langsung untuk pengguna
microsoft.directory/users/licenseDetails/read	Membaca detail lisensi pengguna
microsoft.directory/users/manager/read	Membaca manajer pengguna
microsoft.directory/users/memberOf/read	Membaca keanggotaan grup pengguna
microsoft.directory/users/oAuth2PermissionGrants/read	Membaca pemberian izin yang didelegasikan pada pengguna
microsoft.directory/users/ownedDevices/read	Membaca perangkat yang dimiliki pengguna
microsoft.directory/users/ownedObjects/read	Membaca objek yang dimiliki pengguna
microsoft.directory/users/photo/read	Membaca foto pengguna
microsoft.directory/users/registeredDevices/read	Membaca perangkat pengguna yang terdaftar
microsoft.directory/users/scopedRoleMemberOf/read	Membaca keanggotaan pengguna dari peran Microsoft Azure Active Directory, yang dicakup ke unit administratif

Akun Sinkronisasi Direktori

Jangan gunakan. Peran ini secara otomatis ditetapkan ke layanan Azure AD Connect, dan tidak ditujukan atau didukung untuk penggunaan lain.

Tindakan	Deskripsi
microsoft.directory/applications/create	Membuat semua jenis aplikasi
microsoft.directory/applications/delete	Menghapus semua jenis aplikasi
microsoft.directory/applications/appRoles/update	Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update	Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update	Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update	Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update	Memperbarui info masuk aplikasi
microsoft.directory/applications/notes/update	Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update	Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update	Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update	Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update	Memperbarui tag aplikasi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	Kelola kebijakan autentikasi hibrid di Azure AD
microsoft.directory/organization/dirSync/update	Memperbarui properti sinkronisasi direktori organisasi
microsoft.directory/passwordHashSync/allProperties/allTasks	Kelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di Azure AD
microsoft.directory/policies/create	Membuat kebijakan di Azure Active Directory
microsoft.directory/policies/delete	Menghapus kebijakan di Azure Active Directory
microsoft.directory/policies/standard/read	Membaca properti dasar pada kebijakan
microsoft.directory/policies/owners/read	Membaca pemilik kebijakan
microsoft.directory/policies/policyAppliedTo/read	Membaca properti policies.policyAppliedTo
microsoft.directory/policies/basic/update	Memperbarui properti dasar pada kebijakan
microsoft.directory/policies/owners/update	Memperbarui pemilik kebijakan
microsoft.directory/policies/tenantDefault/update	Memperbarui kebijakan organisasi default
microsoft.directory/servicePrincipals/create	Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete	Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/enable	Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/disable	Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials	Mengelola info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials	Membaca info masuk kata sandi akses menyeluruh pada perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignedTo/read	Membaca penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignments/read	Membaca penetapan peran yang ditetapkan untuk perwakilan layanan
microsoft.directory/servicePrincipals/standard/read	Membaca properti dasar perwakilan layanan
microsoft.directory/servicePrincipals/memberOf/read	Membaca keanggotaan grup pada perwakilan layanan
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read	Membaca pemberian izin yang didelegasikan pada perwakilan layanan
microsoft.directory/servicePrincipals/owners/read	Membaca pemilik perwakilan layanan
microsoft.directory/servicePrincipals/ownedObjects/read	Membaca objek yang dimiliki perwakilan layanan
microsoft.directory/servicePrincipals/policies/read	Membaca kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/audience/update	Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update	Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update	Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/credentials/update	Memperbarui info masuk perwakilan layanan
microsoft.directory/servicePrincipals/notes/update	Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update	Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update	Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update	Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update	Memperbarui properti tag untuk perwakilan layanan

Penulis Direktori

Pengguna dalam peran ini dapat membaca dan memperbarui informasi dasar pengguna, grup, dan perwakilan layanan. Tetapkan peran ini hanya untuk aplikasi yang tidak mendukung Kerangka Kerja Persetujuan. Seharusnya tidak ditugaskan kepada pengguna mana pun.

Tindakan	Deskripsi
microsoft.directory/applications/extensionProperties/update	Memperbarui properti ekstensi pada aplikasi
microsoft.directory/groups/assignLicense	Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/create	Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/reprocessLicenseAssignment	Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/groups/basic/update	Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/classification/update	Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/dynamicMembershipRule/update	Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/groupType/update	Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/members/update	Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/onPremWriteBack/update	Memperbarui grup Azure Active Directory untuk ditulis kembali ke lokal dengan Azure Active Directory Connect
microsoft.directory/groups/owners/update	Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/update	Memperbarui pengaturan grup
microsoft.directory/groups/visibility/update	Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groupSettings/create	Membuat pengaturan grup
microsoft.directory/groupSettings/delete	Menghapus pengaturan grup
microsoft.directory/groupSettings/basic/update	Memperbarui properti dasar pada pengaturan grup
microsoft.directory/oAuth2PermissionGrants/create	Membuat pemberian izin OAuth 2.0
microsoft.directory/oAuth2PermissionGrants/basic/update	Memperbarui pemberian izin OAuth 2.0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/users/assignLicense	Mengelola lisensi pengguna
microsoft.directory/users/create	Menambahkan pengguna
microsoft.directory/users/disable	Menonaktifkan pengguna
microsoft.directory/users/enable	Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens	Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/inviteGuest	Mengundang pengguna tamu
microsoft.directory/users/reprocessLicenseAssignment	Memproses ulang penugasan lisensi untuk pengguna
microsoft.directory/users/basic/update	Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update	Memperbarui pengelola untuk pengguna
microsoft.directory/users/photo/update	Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update	Memperbarui Nama Prinsipal Pengguna milik pengguna

Admin Nama Domain

Pengguna dengan peran ini dapat mengelola (membaca, menambahkan, memverifikasi, memperbarui, dan menghapus) nama domain. Mereka juga dapat membaca informasi direktori tentang pengguna, grup, dan aplikasi, karena objek ini memiliki dependensi domain. Untuk lingkungan lokal, pengguna dengan peran ini dapat mengonfigurasi nama domain untuk federasi sehingga pengguna terkait selalu diautentikasi secara lokal. Pengguna ini kemudian dapat masuk ke layanan berbasis Azure Active Directory dengan kata sandi lokal mereka melalui akses menyeluruh. Pengaturan federasi perlu disinkronkan melalui Azure Active Directory Connect, sehingga pengguna juga memiliki izin untuk mengelola Azure Active Directory Connect.

Tindakan	Deskripsi
microsoft.directory/domains/allProperties/allTasks	Membuat dan menghapus domain, serta membaca dan memperbarui semua properti
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Dynamics 365

Pengguna dengan peran ini memiliki izin global dalam Microsoft Dynamics 365 Online, ketika layanan tersedia, serta kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan. Informasi selengkapnya dalam Menggunakan peran admin layanan untuk mengelola organisasi Azure Active Directory Anda.

Catatan

Dalam Microsoft Graph API dan Azure AD PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Dynamics 365."Itu adalah "Administrator Dynamics 365." dalam portal Azure.

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.dynamics365/allEntities/allTasks	Mengelola semua aspek Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Edge

Pengguna dalam peran ini dapat membuat dan mengelola daftar situs perusahaan yang diperlukan untuk mode Internet Explorer di Microsoft Edge. Peran ini memberikan izin untuk membuat, mengedit, dan memublikasikan daftar situs dan juga memungkinkan akses untuk mengelola tiket dukungan. Pelajari lebih lanjut

Tindakan	Deskripsi
microsoft.edge/allEntities/allProperties/allTasks	Mengelola semua aspek Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Exchange

Pengguna dengan peran ini memiliki izin global dalam Microsoft Exchange Online, ketika layanan tersedia. Juga memiliki kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan. Informasi selengkapnya di Tentang peran admin Microsoft 365.

Catatan

Dalam Microsoft Graph API dan Azure AD PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Exchange." Ini adalah "Administrator Exchange" dalam portal Azure. Peran ini disebut "admin Exchange Online" di pusat admin Exchange.

Tindakan	Deskripsi
microsoft.directory/groups/hiddenMembers/read	Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.unified/create	Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/delete	Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/restore	Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran
microsoft.directory/groups.unified/basic/update	Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/members/update	Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/owners/update	Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.exchange/allEntities/basic/allTasks	Mengelola semua aspek Exchange Online
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Penerima Exchange

Pengguna dengan peran ini memiliki akses baca ke penerima dan akses menulis ke atribut penerima tersebut di Exchange Online. Informasi selengkapnya di Penerima Exchange.

Tindakan	Deskripsi
microsoft.office365.exchange/allRecipients/allProperties/allTasks	Membuat dan menghapus semua penerima, serta membaca dan memperbarui semua properti penerima di Exchange Online
microsoft.office365.exchange/messageTracking/allProperties/allTasks	Mengelola semua tugas dalam pelacakan pesan di Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks	Mengelola semua tugas yang terkait dengan migrasi penerima di Exchange Online

Admin Alur Pengguna ID Eksternal

Pengguna dengan peran ini dapat membuat dan mengelola alur pengguna (juga disebut kebijakan "bawaan") di portal Microsoft Azure. Pengguna ini dapat menyesuaikan konten HTML/CSS/JavaScript, mengubah persyaratan MFA, memilih klaim di token, mengelola konektor API dan info masuknya, serta mengonfigurasi pengaturan sesi untuk semua alur pengguna di organisasi Azure AD. Di sisi lain, peran ini tidak mencakup kemampuan untuk meninjau data pengguna atau membuat perubahan pada atribut yang disertakan dalam skema organisasi. Perubahan pada kebijakan IEF (juga dikenal sebagai kebijakan kustom) juga berada di luar cakupan peran ini.

Tindakan	Deskripsi
microsoft.directory/b2cUserFlow/allProperties/allTasks	Membaca dan mengonfigurasi alur pengguna di Azure Active Directory B2C

Admin Atribut Alur Pengguna ID Eksternal

Pengguna dengan peran ini menambahkan atau menghapus atribut kustom yang tersedia untuk semua alur pengguna di organisasi Azure Active Directory. Dengan demikian, pengguna dengan peran ini dapat mengubah atau menambahkan elemen baru ke skema pengguna akhir dan memengaruhi perilaku semua alur pengguna dan secara tidak langsung mengakibatkan perubahan pada data apa yang mungkin diminta dari pengguna akhir dan akhirnya dikirim sebagai klaim ke aplikasi. Peran ini tidak dapat mengedit alur pengguna.

Tindakan	Deskripsi
microsoft.directory/b2cUserAttribute/allProperties/allTasks	Membaca dan mengonfigurasi atribut pengguna di Azure Active Directory B2C

Admin IdP Eksternal

Admin ini mengelola federasi antara organisasi Azure Active Directory dan IdP eksternal. Dengan peran ini, pengguna dapat menambahkan IdP baru dan mengonfigurasi semua pengaturan yang tersedia (misalnya jalur autentikasi, ID layanan, kontainer kunci yang ditetapkan). Pengguna ini dapat mengaktifkan organisasi Azure Active Directory untuk mempercayai autentikasi dari IdP eksternal. Dampak yang dihasilkan pada pengalaman pengguna akhir tergantung pada jenis organisasi:

Organisasi Azure Active Directory untuk karyawan dan mitra: Penambahan federasi (misalnya dengan Gmail) akan segera memengaruhi semua undangan tamu yang belum ditukarkan. Lihat Menambahkan Google sebagai IdP untuk pengguna tamu B2B.
Organisasi Azure Active Directory B2C: Penambahan federasi (misalnya, dengan Facebook, atau dengan organisasi Azure Active Directory lainnya) tidak segera memengaruhi alur pengguna akhir hingga IdP ditambahkan sebagai opsi dalam alur pengguna (juga disebut kebijakan bawaan). Lihat Mengonfigurasi akun Microsoft sebagai IdP sebagai contoh. Untuk mengubah alur pengguna, peran terbatas "Admin Aliran Pengguna B2C" diperlukan.

Tindakan	Deskripsi
microsoft.directory/identityProviders/allProperties/allTasks	Membaca dan mengonfigurasi IdP di Azure Active Directory B2C

Administrator Global

Pengguna dengan peran ini memiliki akses ke semua fitur administratif di Azure Active Directory serta layanan yang menggunakan identitas Azure Active Directory, seperti portal Microsoft 365 Defender, portal kepatuhan Microsoft Purview, Exchange Online, SharePoint Online, dan Skype untuk Bisnis Online. Selain itu, Administrator Global dapat meningkatkan akses mereka untuk mengelola semua langganan dan grup manajemen Azure. Hal ini memungkinkan Administrator Global untuk mendapatkan akses penuh ke semua sumber daya Azure menggunakan Penyewa Azure Active Directory masing-masing Admin. Orang yang mendaftar ke organisasi Azure Active Directory menjadi Administrator Global. Mungkin ada lebih dari satu Administrator Global di perusahaan Anda. Administrator Global dapat mereset kata sandi untuk setiap pengguna dan semua admin lainnya.

Catatan

Sebagai praktik terbaik, Microsoft menyarankan agar Anda menetapkan peran Administrator Global menjadi kurang dari lima orang di organisasi Anda. Untuk informasi selengkapnya, lihat Praktik terbaik untuk peran Azure Active Directory.

Tindakan	Deskripsi
microsoft.directory/accessReviews/allProperties/allTasks	(Tidak digunakan lagi) Membuat dan menghapus ulasan akses, membaca dan memperbarui semua properti ulasan akses, dan mengelola ulasan akses grup di Azure AD
microsoft.directory/accessReviews/definitions/allProperties/allTasks	Mengelola ulasan akses semua sumber daya yang dapat ditinjau di Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks	Mengelola kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks	Membuat dan mengelola unit administratif (termasuk anggota)
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/allProperties/allTasks	Membuat dan menghapus aplikasi, serta membaca dan memperbarui semua properti
microsoft.directory/applications/synchronization/standard/read	Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate	Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/users/authenticationMethods/create	Membuat metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/delete	Menghapus metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/standard/read	Membaca properti standar metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/basic/update	Memperbarui properti dasar metode autentikasi untuk pengguna
microsoft.directory/authorizationPolicy/allProperties/allTasks	Mengelola semua aspek kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read	Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Microsoft Cloud App Security
microsoft.directory/connector/create	Membuat konektor proksi aplikasi
microsoft.directory/connectors/allProperties/read	Membaca semua properti konektor proksi aplikasi
microsoft.directory/connectorGroups/create	Membuat grup konektor proksi aplikasi
microsoft.directory/connectorGroups/delete	Menghapus grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/read	Membaca semua properti grup konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/update	Memperbarui semua properti grup konektor proksi aplikasi
microsoft.directory/contacts/allProperties/allTasks	Membuat dan menghapus kontak, serta membaca dan memperbarui semua properti
microsoft.directory/contracts/allProperties/allTasks	Membuat dan menghapus kontrak mitra, serta membaca dan memperbarui semua properti
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks	Buat dan Kelola ekstensi autentikasi kustom
microsoft.directory/deletedItems/delete	Menghapus objek secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems/restore	Memulihkan objek yang dihapus sementara ke status asli
microsoft.directory/devices/allProperties/allTasks	Membuat dan menghapus perangkat, serta membaca dan memperbarui semua properti
microsoft.directory/deviceManagementPolicies/standard/read	Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceManagementPolicies/basic/update	Memperbarui properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read	Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/deviceRegistrationPolicy/basic/update	Memperbarui properti dasar pada kebijakan pendaftaran perangkat
microsoft.directory/directoryRoles/allProperties/allTasks	Membuat dan menghapus peran direktori, serta membaca dan memperbarui semua properti
microsoft.directory/directoryRoleTemplates/allProperties/allTasks	Membuat dan menghapus templat peran Azure Active Directory, serta membaca dan memperbarui semua properti
microsoft.directory/domains/allProperties/allTasks	Membuat dan menghapus domain, serta membaca dan memperbarui semua properti
microsoft.directory/entitlementManagement/allProperties/allTasks	Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/allProperties/allTasks	Membuat dan menghapus grup, serta membaca dan memperbarui semua properti
microsoft.directory/groupsAssignableToRoles/create	Membuat grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/delete	Menghapus grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/restore	Memulihkan grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/allProperties/update	Memperbarui grup yang dapat diberikan peran
microsoft.directory/groupSettings/allProperties/allTasks	Membuat dan menghapus pengaturan grup, serta membaca dan memperbarui semua properti
microsoft.directory/groupSettingTemplates/allProperties/allTasks	Membuat dan menghapus templat pengaturan grup, serta membaca dan memperbarui semua properti
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	Kelola kebijakan autentikasi hibrid di Azure AD
microsoft.directory/identityProtection/allProperties/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Azure Active Directory Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/allTasks	Membuat dan menghapus loginTenantBranding, serta membaca dan memperbarui semua properti
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/organization/allProperties/allTasks	Membaca dan memperbarui semua properti untuk suatu organisasi
microsoft.directory/passwordHashSync/allProperties/allTasks	Kelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di Azure AD
microsoft.directory/policies/allProperties/allTasks	Membuat dan menghapus kebijakan, serta membaca dan memperbarui semua properti
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks	Mengelola semua properti kebijakan akses bersyarat
microsoft.directory/crossTenantAccessPolicy/standard/read	Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/basic/update	Perbarui pengaturan dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	Perbarui pengaturan kolaborasi B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update	Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/create	Buat kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/delete	Hapus kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	Perbarui pengaturan kolaborasi B2B Azure AD kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update	Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra
microsoft.directory/privilegedIdentityManagement/allProperties/read	Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/roleAssignments/allProperties/allTasks	Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/allTasks	Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti
microsoft.directory/serviceAction/activateService	Dapat melakukan tindakan "aktifkan layanan" untuk layanan
microsoft.directory/serviceAction/disableDirectoryFeature	Dapat melakukan tindakan layanan "nonaktifkan fitur direktori".
microsoft.directory/serviceAction/enableDirectoryFeature	Dapat melakukan tindakan layanan "aktifkan fitur direktori"
microsoft.directory/serviceAction/getAvailableExtentionProperties	Dapat melakukan tindakan layanan getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks	Membuat dan menghapus perwakilan layanan, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	Memberikan persetujuan untuk izin apa pun untuk aplikasi apa pun
microsoft.directory/servicePrincipals/synchronization/standard/read	Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.directory/subscribedSkus/allProperties/allTasks	Membeli dan mengelola langganan dan menghapus langganan
microsoft.directory/users/allProperties/allTasks	Membuat dan menghapus pengguna, serta membaca dan memperbarui semua properti
microsoft.directory/permissionGrantPolicies/create	Membuat kebijakan pemberian izin
microsoft.directory/permissionGrantPolicies/delete	Menghapus kebijakan pemberian izin
microsoft.directory/permissionGrantPolicies/standard/read	Membaca properti standar kebijakan pemberian izin
microsoft.directory/permissionGrantPolicies/basic/update	Memperbarui properti dasar kebijakan pemberian izin
microsoft.directory/servicePrincipalCreationPolicies/create	Membuat kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipalCreationPolicies/delete	Menghapus kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipalCreationPolicies/standard/read	Membaca properti standar kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipalCreationPolicies/basic/update	Memperbarui properti dasar kebijakan pembuatan perwakilan layanan
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	Membaca kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke	Mencabut kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/create	Membuat kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	Membaca kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update	Memperbarui kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/create	Membuat konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/delete	Menghapus konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi dan menghapus semua kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/read	Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/update	Memperbarui konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/lifecycleManagement/workflows/allProperties/allTasks	Mengelola semua aspek alur kerja dan tugas manajemen siklus hidup di Azure Active Directory
microsoft.azure.advancedThreatProtection/allEntities/allTasks	Mengelola semua aspek Perlindungan Ancaman Tingkat Lanjut Azure
microsoft.azure.informationProtection/allEntities/allTasks	Mengelola semua aspek Perlindungan Informasi Azure
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.cloudPC/allEntities/allProperties/allTasks	Mengelola semua aspek Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks	Mengelola semua aspek tagihan Office 365
microsoft.dynamics365/allEntities/allTasks	Mengelola semua aspek Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks	Mengelola semua aspek Microsoft Edge
microsoft.flow/allEntities/allTasks	Mengelola semua aspek Microsoft Power Automate
microsoft.insights/allEntities/allProperties/allTasks	Mengelola semua aspek aplikasi Insights
microsoft.intune/allEntities/allTasks	Mengelola semua aspek Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks	Mengelola semua aspek Manajer Kepatuhan Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks	Mengelola semua aspek Analitik Desktop
microsoft.office365.exchange/allEntities/basic/allTasks	Mengelola semua aspek Exchange Online
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	Membaca dan memperbarui semua properti pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	Membaca laporan analitik pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	Membaca dan memperbarui semua properti jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	Mengelola visibilitas topik jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks	Mengelola sumber pembelajaran dan semua propertinya di Learning App.
microsoft.office365.lockbox/allEntities/allTasks	Mengelola semua aspek Customer Lockbox
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.messageCenter/securityMessages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks	Mengelola semua aspek pusat Keamanan dan Kepatuhan
microsoft.office365.search/content/manage	Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Pusat Keamanan & Kepatuhan Office 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks	Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.userCommunication/allEntities/allTasks	Membaca dan memperbarui visibilitas pesan baru
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks	Mengelola semua aspek Yammer
microsoft.powerApps/allEntities/allTasks	Mengelola semua aspek Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks	Mengelola semua aspek Power BI
microsoft.teams/allEntities/allProperties/allTasks	Mengelola semua sumber daya di Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks	Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	Mengelola semua aspek Pertahanan Microsoft untuk Titik Akhir
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	Membaca dan mengonfigurasikan semua aspek Layanan Windows Update

Pembaca Global

Pengguna dalam peran ini dapat membaca pengaturan dan informasi administratif di seluruh layanan Microsoft 365 tetapi tidak dapat mengambil tindakan manajemen. Pembaca Global adalah rekan baca-saja untuk Administrator Global. Tetapkan Pembaca Global alih-alih Administrator Global untuk perencanaan, audit, atau investigasi. Gunakan Pembaca Global dalam kombinasi dengan peran admin terbatas lainnya seperti Admin Exchange untuk mempermudah pekerjaan tanpa menetapkan peran Administrator Global. Pembaca Global bekerja dengan pusat admin Microsoft 365, pusat admin Exchange, pusat admin SharePoint, pusat admin Teams, pusat Keamanan, pusat Kepatuhan, pusat admin Microsoft Azure Active Directory, dan pusat admin Manajemen Perangkat.

Catatan

Peran Pembaca Global memiliki beberapa keterbatasan saat ini -

Pusat admin OneDrive - Pusat admin OneDrive tidak mendukung peran Pembaca Global
Pusat admin Microsoft 365 - Pembaca Global tidak dapat membaca aplikasi terintegrasi. Anda tidak akan menemukan tab Aplikasi terintegrasi di bawah Pengaturan di panel kiri pusat admin Microsoft 365.
Pusat Keamanan & Kepatuhan Office - Pembaca Global tidak bisa membaca log audit SCC, melakukan pencarian konten, atau melihat Skor Aman.
Pusat admin Teams - Pembaca Global tidak dapat membaca Siklus hidup tim, Laporan& analitik, manajemen perangkat telepon IP, dan Katalog aplikasi. Untuk informasi selengkapnya, lihat Menggunakan peran administrator Microsoft Teams untuk mengelola Teams.
Privileged Access Management (PAM) tidak mendukung peran Pembaca Global.
Microsoft Azure Information Protection - Pembaca Global hanya didukung untuk pelaporan pusat, dan ketika organisasi Azure Active Directory Anda tidak berada di platform pelabelan terpadu.
SharePoint - Pembaca Global saat ini tidak dapat mengakses SharePoint menggunakan PowerShell.
Pusat admin Power Platform - Pusat admin Power Platform saat ini tidak mendukung Pembaca Global.
Microsoft Purview tidak mendukung peran Pembaca Global.

Fitur-fitur ini saat ini sedang dalam pengembangan.

Tindakan	Deskripsi
microsoft.directory/accessReviews/allProperties/read	(Tidak digunakan lagi) Baca semua properti ulasan akses
microsoft.directory/accessReviews/definitions/allProperties/read	Baca semua properti ulasan akses semua sumber daya yang dapat ditinjau di Azure AD
microsoft.directory/adminConsentRequestPolicy/allProperties/read	Baca semua properti kebijakan permintaan persetujuan admin di Azure AD
microsoft.directory/administrativeUnits/allProperties/read	Baca semua properti unit administratif, termasuk anggota
microsoft.directory/appConsent/appConsentRequests/allProperties/read	Baca semua properti permintaan persetujuan untuk aplikasi yang terdaftar di Azure AD
microsoft.directory/applications/allProperties/read	Baca semua properti (termasuk properti istimewa) di semua jenis aplikasi
microsoft.directory/applications/synchronization/standard/read	Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/users/authenticationMethods/standard/restrictedRead	Membaca properti standar metode autentikasi yang tidak menyertakan informasi pengidentifikasi pribadi bagi pengguna
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read	Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/cloudAppSecurity/allProperties/read	Membaca semua properti untuk keamanan aplikasi Cloud
microsoft.directory/connectors/allProperties/read	Membaca semua properti konektor proksi aplikasi
microsoft.directory/connectorGroups/allProperties/read	Membaca semua properti grup konektor proksi aplikasi
microsoft.directory/contacts/allProperties/read	Membaca semua properti untuk kontak
microsoft.directory/customAuthenticationExtensions/allProperties/read	Baca ekstensi autentikasi kustom
microsoft.directory/devices/allProperties/read	Membaca semua properti perangkat
microsoft.directory/directoryRoles/allProperties/read	Membaca semua properti peran direktori
microsoft.directory/directoryRoleTemplates/allProperties/read	Membaca semua properti templat peran direktori
microsoft.directory/domains/allProperties/read	Membaca semua properti domain
microsoft.directory/entitlementManagement/allProperties/read	Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/allProperties/read	Baca semua properti (termasuk properti dengan hak istimewa) di grup Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groupSettings/allProperties/read	Membaca semua properti pengaturan grup
microsoft.directory/groupSettingTemplates/allProperties/read	Membaca semua properti templat pengaturan grup
microsoft.directory/identityProtection/allProperties/read	Membaca semua sumber daya dalam Azure Active Directory Identity Protection
microsoft.directory/loginOrganizationBranding/allProperties/read	Membaca semua properti untuk halaman masuk bermerek organisasi Anda
microsoft.directory/oAuth2PermissionGrants/allProperties/read	Membaca semua properti pemberian izin OAuth 2.0
microsoft.directory/organization/allProperties/read	Baca semua properti untuk suatu organisasi
microsoft.directory/permissionGrantPolicies/standard/read	Membaca properti standar kebijakan pemberian izin
microsoft.directory/policies/allProperties/read	Membaca semua properti kebijakan
microsoft.directory/conditionalAccessPolicies/allProperties/read	Membaca semua properti kebijakan akses bersyarat
microsoft.directory/crossTenantAccessPolicy/standard/read	Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/deviceManagementPolicies/standard/read	Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read	Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/privilegedIdentityManagement/allProperties/read	Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/roleAssignments/allProperties/read	Membaca semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/read	Membaca semua properti definisi peran
microsoft.directory/scopedRoleMemberships/allProperties/read	Melihat anggota di unit administratif
microsoft.directory/serviceAction/getAvailableExtentionProperties	Dapat melakukan tindakan layanan getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/baca	Membaca semua properti (termasuk properti istimewa) pada servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read	Membaca properti standar kebijakan pembuatan perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read	Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.directory/subscribedSkus/allProperties/read	Membaca semua properti langganan produk
microsoft.directory/users/allProperties/read	Membaca semua properti pengguna
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read	Membaca kartu kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read	Membaca kontrak kredensial yang dapat diverifikasi
microsoft.directory/verifiableCredentials/configuration/allProperties/read	Membaca konfigurasi yang diperlukan untuk membuat dan mengelola kredensial yang dapat diverifikasi
microsoft.directory/lifecycleManagement/workflows/allProperties/read	Membaca semua properti alur kerja dan tugas manajemen siklus hidup di Azure Active Directory
microsoft.cloudPC/allEntities/allProperties/read	Membaca semua aspek Windows 365
microsoft.commerce.billing/allEntities/allProperties/read	Membaca semua sumber daya tagihan Office 365
microsoft.edge/allEntities/allProperties/read	Membaca semua aspek Microsoft Edge
microsoft.insights/allEntities/allProperties/read	Membaca semua aspek Insight Viva
microsoft.office365.exchange/allEntities/standard/read	Membaca semua sumber daya Exchange Online
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.messageCenter/securityMessages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read	Membaca semua properti di pusat Keamanan dan Kepatuhan
microsoft.office365.securityComplianceCenter/allEntities/read	Membaca properti standar di Pusat Keamanan dan Kepatuhan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read	Membaca semua aspek Yammer
microsoft.teams/allEntities/allProperties/read	Membaca semua properti Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read	Membaca semua aspek Kunjungan Virtual
microsoft.windows.updatesDeployments/allEntities/allProperties/read	Baca semua aspek Layanan Windows Update

Admin Grup

Pengguna dalam peran ini dapat membuat/mengelola grup dan pengaturannya seperti kebijakan penamaan dan kedaluwarsa. Penting untuk dipahami bahwa menetapkan pengguna untuk peran ini memberi mereka kemampuan untuk mengelola semua grup di organisasi di berbagai beban kerja seperti Teams, SharePoint, Yammer, dan Outlook. Pengguna juga akan dapat mengelola berbagai pengaturan grup di berbagai portal admin seperti Microsoft Admin Center, portal Microsoft Azure, serta beban kerja yang spesifik seperti pusat admin Teams dan SharePoint.

Tindakan	Deskripsi
microsoft.directory/deletedItems.groups/delete	Menghapus grup secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.groups/restore	Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/groups/assignLicense	Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/create	Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete	Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/hiddenMembers/read	Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/reprocessLicenseAssignment	Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/groups/restore	Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/basic/update	Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/classification/update	Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/dynamicMembershipRule/update	Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/groupType/update	Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/members/update	Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/onPremWriteBack/update	Memperbarui grup Azure Active Directory untuk ditulis kembali ke lokal dengan Azure Active Directory Connect
microsoft.directory/groups/owners/update	Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/update	Memperbarui pengaturan grup
microsoft.directory/groups/visibility/update	Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pengundang Tamu

Pengguna dalam peran ini dapat mengelola undangan pengguna tamu Azure Active Directory B2B saat pengaturan pengguna Anggota dapat mengundang diatur ke Tidak. Informasi selengkapnya tentang kolaborasi B2B di Tentang kolaborasi Azure Active Directory B2B. Ini tidak termasuk izin lainnya.

Tindakan	Deskripsi
microsoft.directory/users/inviteGuest	Mengundang pengguna tamu
microsoft.directory/users/standard/read	Membaca properti dasar pada pengguna
microsoft.directory/users/appRoleAssignments/read	Membaca penetapan peran aplikasi untuk pengguna
microsoft.directory/users/deviceForResourceAccount/read	Membaca deviceForResourceAccount pengguna
microsoft.directory/users/directReports/read	Membaca laporan langsung untuk pengguna
microsoft.directory/users/licenseDetails/read	Membaca detail lisensi pengguna
microsoft.directory/users/manager/read	Membaca manajer pengguna
microsoft.directory/users/memberOf/read	Membaca keanggotaan grup pengguna
microsoft.directory/users/oAuth2PermissionGrants/read	Membaca pemberian izin yang didelegasikan pada pengguna
microsoft.directory/users/ownedDevices/read	Membaca perangkat yang dimiliki pengguna
microsoft.directory/users/ownedObjects/read	Membaca objek yang dimiliki pengguna
microsoft.directory/users/photo/read	Membaca foto pengguna
microsoft.directory/users/registeredDevices/read	Membaca perangkat pengguna yang terdaftar
microsoft.directory/users/scopedRoleMemberOf/read	Membaca keanggotaan pengguna dari peran Microsoft Azure Active Directory, yang dicakup ke unit administratif

Administrator Bantuan Teknis

Pengguna dengan peran ini dapat mengubah kata sandi, membatalkan token refresh, membuat dan mengelola permintaan dukungan dengan Microsoft untuk Azure dan layanan Microsoft 365, dan memantau kesehatan layanan. Membatalkan token refresh memaksa pengguna untuk masuk lagi. Apakah Admin Bantuan Teknis dapat mereset kata sandi pengguna dan membatalkan token refresh bergantung pada peran yang ditetapkan pengguna. Untuk daftar peran yang kata sandinya dapat diatur ulang dan validasi token refreshnya dapat dibatalkan oleh Administrator Helpdesk, lihat Siapa yang dapat mengatur ulang kata sandi.

Penting

Pengguna dengan peran ini dapat mengubah kata sandi bagi orang yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di dalam dan di luar Azure Active Directory. Mengubah kata sandi seorang pengguna mungkin berarti kemampuan untuk mengasumsikan identitas dan izin pengguna tersebut. Contohnya:

Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di Azure Active Directory dan di tempat lain yang tidak diberikan kepada Admin Bantuan Teknis. Melalui jalur ini, seorang Admin Helpdesk mungkin dapat mengasumsikan identitas seorang pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui informasi masuk untuk aplikasinya.
Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau privat atau konfigurasi penting di Azure.
Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
Admin di layanan lain di luar AAD seperti Exchange Online, Pusat Keamanan dan Kepatuhan Office, dan sistem sumber daya manusia.
Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.

Pengguna dengan peran ini tidak dapat mengubah informasi masuk atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan perannya.

Mendelegasikan izin administratif atas subkumpulan pengguna dan menerapkan kebijakan ke subkumpulan pengguna dimungkinkan dengan Unit Administratif.

Peran ini sebelumnya disebut "Admin Kata Sandi" di portal Microsoft Azure. Nama "Admin Helpdesk" di Azure Active Director sekarang cocok dengan namanya di Azure Active Director PowerShell dan Microsoft Graph API.

Tindakan	Deskripsi
microsoft.directory/bitlockerKeys/key/read	Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/users/invalidateAllRefreshTokens	Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/password/update	Mengatur ulang kata sandi untuk semua pengguna
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Identitas Hibrid

Dalam peran ini, pengguna dapat membuat, mengelola, dan menyebarkan pengaturan konfigurasi provisi dari AD ke Azure AD menggunakan Provisi Cloud serta mengelola Azure AD Connect, Autentikasi Pass-through (PTA), Sinkronisasi hash kata sandi (PHS), Akses Menyeluruh Tanpa Hambatan (SSO Tanpa Hambatan), dan pengaturan federasi. Pengguna juga dapat memecahkan masalah dan memantau log menggunakan peran ini.

Tindakan	Deskripsi
microsoft.directory/applications/create	Membuat semua jenis aplikasi
microsoft.directory/applications/delete	Menghapus semua jenis aplikasi
microsoft.directory/applications/appRoles/update	Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update	Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update	Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update	Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/notes/update	Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update	Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update	Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update	Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update	Memperbarui tag aplikasi
microsoft.directory/applications/synchronization/standard/read	Membaca pengaturan provisi yang terkait dengan objek aplikasi
microsoft.directory/applicationTemplates/instantiate	Membuat instans aplikasi galeri dari templat aplikasi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/cloudProvisioning/allProperties/allTasks	Membaca dan mengonfigurasikan semua properti layanan Provisi Cloud Azure Active Directory.
microsoft.directory/deletedItems.applications/delete	Menghapus aplikasi secara permanen, yang tidak dapat dipulihkan lagi
microsoft.directory/deletedItems.applications/restore	Memulihkan aplikasi yang dihapus sementara ke keadaan asli
microsoft.directory/domains/allProperties/read	Membaca semua properti domain
microsoft.directory/domains/federation/update	Memperbarui properti federasi domain
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks	Kelola kebijakan autentikasi hibrid di Azure AD
microsoft.directory/organization/dirSync/update	Memperbarui properti sinkronisasi direktori organisasi
microsoft.directory/passwordHashSync/allProperties/allTasks	Kelola semua aspek Sinkronisasi Hash Kata Sandi (PHS) di Azure AD
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/servicePrincipals/create	Membuat perwakilan layanan
microsoft.directory/servicePrincipals/delete	Menghapus perwakilan layanan
microsoft.directory/servicePrincipals/disable	Menonaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/enable	Mengaktifkan perwakilan layanan
microsoft.directory/servicePrincipals/synchronizationCredentials/manage	Mengelola rahasia dan info masuk provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationJobs/manage	Memulai, menghidupkan ulang, dan menjeda pekerjaan sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/synchronizationSchema/manage	Membuat dan mengelola pekerjaan dan skema sinkronisasi provisi aplikasi
microsoft.directory/servicePrincipals/audience/update	Memperbarui properti audiens pada perwakilan layanan
microsoft.directory/servicePrincipals/authentication/update	Memperbarui properti autentikasi pada perwakilan layanan
microsoft.directory/servicePrincipals/basic/update	Memperbarui properti dasar pada perwakilan layanan
microsoft.directory/servicePrincipals/notes/update	Memperbarui catatan perwakilan layanan
microsoft.directory/servicePrincipals/owners/update	Memperbarui pemilik perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update	Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/policies/update	Memperbarui kebijakan perwakilan layanan
microsoft.directory/servicePrincipals/tag/update	Memperbarui properti tag untuk perwakilan layanan
microsoft.directory/servicePrincipals/synchronization/standard/read	Membaca pengaturan provisi yang berkaitan dengan perwakilan layanan Anda
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Tata Kelola Identitas

Pengguna dengan peran ini dapat mengelola konfigurasi tata kelola identitas Azure Active Directory, termasuk paket akses, tinjauan akses, katalog, dan kebijakan, memastikan akses disetujui dan ditinjau serta pengguna tamu yang tidak lagi memerlukan akses akan dihapus.

Tindakan	Deskripsi
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	Mengelola ulasan akses dari tugas peran aplikasi di Microsoft Azure Active Directory
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	Kelola tinjauan akses untuk penetapan paket akses dalam pengelolaan pemberian hak
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran.
microsoft.directory/accessReviews/definitions.groups/allProperties/update	Perbarui semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, tidak termasuk grup yang dapat ditetapkan peran.
microsoft.directory/accessReviews/definitions.groups/create	Buat ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete	Hapus ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/allProperties/allTasks	(Tidak digunakan lagi) Membuat dan menghapus ulasan akses, membaca dan memperbarui semua properti ulasan akses, dan mengelola ulasan akses grup di Azure AD
microsoft.directory/entitlementManagement/allProperties/allTasks	Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/members/update	Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan

Admin Insight

Pengguna dalam peran ini dapat mengakses set lengkap kemampuan administratif di aplikasi Microsoft Viva Insights. Peran ini memiliki kemampuan untuk membaca informasi direktori, memantau kesehatan layanan, mengajukan tiket dukungan, dan mengakses aspek pengaturan Administrator Insights.

Pelajari lebih lanjut

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.insights/allEntities/allProperties/allTasks	Mengelola semua aspek aplikasi Insights
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Analis Insights

Tetapkan peran Analis Insights kepada pengguna yang perlu melakukan hal berikut:

Menganalisis data di aplikasi Microsoft Viva Insights, tetapi tidak dapat mengelola pengaturan konfigurasi apa pun
Buat, kelola, dan jalankan kueri
Melihat pengaturan dan laporan dasar di pusat admin Microsoft 365
Membuat dan mengelola permintaan layanan di pusat admin Microsoft 365

Pelajari lebih lanjut

Tindakan	Deskripsi
microsoft.insights/queries/allProperties/allTasks	Menjalankan dan mengelola kueri di Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pemimpin Bisnis Insights

Pengguna dalam peran ini dapat mengakses set dasbor dan insight melalui aplikasi Microsoft Viva Insights. Ini termasuk akses penuh ke semua dasbor dan wawasan yang disajikan dan fungsi eksplorasi data. Pengguna dalam peran ini tidak memiliki akses ke pengaturan konfigurasi produk, yang merupakan tanggung jawab peran Administrator Insights.

Pelajari lebih lanjut

Tindakan	Deskripsi
microsoft.insights/reports/allProperties/read	Melihat laporan dan dasbor di aplikasi Insights
microsoft.insights/programs/allProperties/update	Menyebarkan dan mengelola program di aplikasi Insights

Admin Intune

Pengguna dengan peran ini memiliki izin global dalam Microsoft Intune Online, ketika layanan tersedia. Selain itu, peran ini memiliki kemampuan untuk mengelola pengguna dan perangkat untuk mengaitkan kebijakan, serta membuat dan mengelola grup. Informasi selengkapnya di Kontrol administrasi berbasis peran (RBAC) dengan Microsoft Intune.

Peran ini dapat membuat dan mengelola semua grup keamanan. Namun, Administrator Intune tidak memiliki hak admin atas grup Office. Itu berarti admin tidak bisa memperbarui pemilik atau keanggotaan semua grup Office dalam organisasi. Namun, dia dapat mengelola grup Office yang dibuatnya yang menjadi sebagai bagian dari hak istimewa pengguna akhir. Jadi, setiap grup Office (bukan grup keamanan) yang dibuatnya harus dihitung berdasarkan kuota 250 miliknya.

Catatan

Dalam Microsoft Graph API dan Azure Ad PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Intune." Ini adalah "Administrator Intune" dalam portal Azure.

Tindakan	Deskripsi
microsoft.directory/bitlockerKeys/key/read	Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/contacts/create	Membuat kontak
microsoft.directory/contacts/delete	Menghapus kontak
microsoft.directory/contacts/basic/update	Memperbarui properti dasar pada kontak
microsoft.directory/devices/create	Membuat perangkat (mendaftar di Azure Active Directory)
microsoft.directory/devices/delete	Menghapus perangkat dari Azure Active Directory
microsoft.directory/devices/disable	Menonaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/enable	Mengaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/basic/update	Memperbarui properti dasar pada perangkat
microsoft.directory/devices/extensionAttributeSet1/update	Memperbarui extensionAttribute1 ke properti extensionAttribute5 di perangkat
microsoft.directory/devices/extensionAttributeSet2/update	Memperbarui extensionAttribute6 ke properti extensionAttribute10 di perangkat
microsoft.directory/devices/extensionAttributeSet3/update	Memperbarui extensionAttribute11 ke properti extensionAttribute15 di perangkat
microsoft.directory/devices/registeredOwners/update	Memperbarui pemilik terdaftar perangkat
microsoft.directory/devices/registeredUsers/update	Memperbarui pengguna terdaftar perangkat
microsoft.directory/deviceManagementPolicies/standard/read	Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read	Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.directory/groups/hiddenMembers/read	Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.security/create	Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/delete	Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update	Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/classification/update	Memperbarui properti klasifikasi grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/dynamicMembershipRule/update	Memperbarui aturan keanggotaan dinamis dalam Kelompok keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update	Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update	Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/visibility/update	Memperbarui properti visibilitas grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/users/basic/update	Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update	Memperbarui pengelola untuk pengguna
microsoft.directory/users/photo/update	Memperbarui foto pengguna
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.cloudPC/allEntities/allProperties/allTasks	Mengelola semua aspek Windows 365
microsoft.intune/allEntities/allTasks	Mengelola semua aspek Microsoft Intune
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Kaizala

Pengguna dengan peran ini memiliki izin global untuk mengelola pengaturan dalam Microsoft Kaizala, saat layanan tersedia, serta kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan. Selain itu, pengguna dapat mengakses laporan yang terkait dengan adopsi & penggunaan Kaizala oleh Anggota organisasi dan laporan bisnis dihasilkan menggunakan tindakan Kaizala.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Pengetahuan

Pengguna dalam peran ini memiliki akses penuh ke semua pengetahuan, pembelajaran, dan fitur cerdas di pusat admin Microsoft 365. Mereka memiliki pemahaman umum tentang rangkaian produk, detail lisensi, dan memiliki tanggung jawab untuk mengontrol akses. Administrator pengetahuan dapat membuat dan mengelola konten, seperti topik, akronim, dan sumber pembelajaran. Selain itu, pengguna ini dapat membuat pusat konten, memantau kesehatan layanan, dan membuat permintaan layanan.

Tindakan	Deskripsi
microsoft.directory/groups.security/create	Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/createAsOwner	Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran. Pembuat ditambahkan sebagai pemilik pertama.
microsoft.directory/groups.security/delete	Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update	Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update	Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update	Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks	Membaca dan memperbarui semua properti pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks	Membaca dan memperbarui semua properti jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks	Mengelola sumber pembelajaran dan semua propertinya di Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read	Membaca semua properti label sensitivitas dalam Pusat Keamanan dan Kepatuhan
microsoft.office365.sharePoint/allEntities/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Manajer Pengetahuan

Pengguna dalam peran ini dapat membuat dan mengelola konten, seperti topik, akronim, dan konten pembelajaran. Pengguna ini terutama bertanggung jawab atas kualitas dan struktur pengetahuan. Pengguna ini memiliki hak penuh atas tindakan manajemen topik untuk mengonfirmasi topik, menyetujui pengeditan, atau menghapus topik. Peran ini juga dapat mengelola taksonomi sebagai bagian dari alat manajemen penyimpanan istilah dan membuat pusat konten.

Tindakan	Deskripsi
microsoft.directory/groups.security/create	Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/createAsOwner	Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran. Pembuat ditambahkan sebagai pemilik pertama.
microsoft.directory/groups.security/delete	Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update	Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update	Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update	Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read	Membaca laporan analitik pemahaman konten di pusat admin Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks	Mengelola visibilitas topik jaringan pengetahuan di pusat admin Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Lisensi

Pengguna dalam peran ini dapat menambahkan, menghapus, dan memperbarui penetapan lisensi pada pengguna, grup (menggunakan lisensi berbasis grup), dan mengelola lokasi penggunaan pada pengguna. Peran ini tidak memberikan kemampuan untuk membeli atau mengelola langganan, membuat atau mengelola grup, atau membuat atau mengelola pengguna di luar lokasi penggunaan. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/groups/assignLicense	Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/reprocessLicenseAssignment	Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/users/assignLicense	Mengelola lisensi pengguna
microsoft.directory/users/reprocessLicenseAssignment	Memproses ulang penugasan lisensi untuk pengguna
microsoft.directory/users/usageLocation/update	Memperbarui lokasi penggunaan pengguna
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pembaca Privasi Pusat Pesan

Pengguna dalam peran ini dapat memantau semua pemberitahuan di Pusat Pesan, termasuk pesan privasi data. Pembaca Privasi Pusat Pesan mendapatkan pemberitahuan email termasuk yang terkait dengan privasi data dan mereka dapat berhenti berlangganan menggunakan Preferensi Pusat Pesan. Hanya Administrator Global dan Pembaca Privasi Pusat Pesan yang dapat membaca pesan privasi data. Selain itu, peran ini memiliki kemampuan untuk menampilkan grup, domain, dan langganan. Peran ini tidak memiliki izin untuk melihat, membuat, atau mengelola permintaan layanan.

Tindakan	Deskripsi
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.messageCenter/securityMessages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pembaca Pusat Pesan

Pengguna dalam peran ini dapat memantau pemberitahuan dan pembaruan kesehatan penasihat di Pusat pesan untuk organisasi mereka pada layanan yang dikonfigurasi seperti Exchange, Intune, dan Microsoft Teams. Pembaca Pusat Pesan menerima hash email mingguan berupa posting, pembaruan, dan dapat berbagi posting pusat pesan di Microsoft 365. Di Azure Active Directory, pengguna yang ditetapkan untuk peran ini hanya akan memiliki akses baca-saja pada layanan Azure Active Directory seperti pengguna dan grup. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan	Deskripsi
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pengguna Perdagangan Modern

Jangan gunakan. Peran ini secara otomatis ditetapkan dari Perdagangan, dan tidak dimaksudkan atau didukung untuk penggunaan lain. Lihat detail di bawah ini.

Peran Pengguna Perdagangan Modern memberi pengguna tertentu izin untuk mengakses pusat admin Microsoft 365 dan melihat entri navigasi kiri untuk Beranda, Penagihan, dan Dukungan. Konten yang tersedia di area ini dikendalikan oleh peran khusus perdagangan yang ditetapkan kepada pengguna untuk mengelola produk yang mereka beli sendiri atau untuk organisasi Anda. Ini mungkin termasuk tugas seperti membayar tagihan, atau untuk akses ke akun penagihan dan profil penagihan.

Pengguna dengan peran Pengguna Perdagangan Modern biasanya memiliki izin administratif di sistem pembelian Microsoft lainnya, tetapi tidak memiliki peran Administrator Global atau Administrator Penagihan yang digunakan untuk mengakses pusat admin.

Kapan peran Pengguna Perdagangan Modern ditetapkan?

Pembelian layanan mandiri di pusat admin Microsoft 365 - Pembelian layanan mandiri memberi pengguna kesempatan untuk mencoba produk baru dengan membeli atau mendaftar untuk mereka sendiri. Produk-produk ini dikelola di pusat admin. Pengguna yang melakukan pembelian layanan mandiri diberi peran dalam sistem perdagangan, dan peran Pengguna Perdagangan Modern sehingga mereka dapat mengelola pembelian mereka di pusat admin. Admin dapat memblokir pembelian layanan mandiri (untuk Power BI, Power Apps, Power automate) melalui PowerShell. Untuk informasi selengkapnya, lihat Tanya Jawab Umum pembelian mandiri.
Pembelian dari marketplace komersial Microsoft - Mirip dengan pembelian layanan mandiri, ketika pengguna membeli produk atau layanan dari Microsoft AppSource atau Marketplace Azure, peran Pengguna Perdagangan Modern ditetapkan jika mereka tidak memiliki peran admin Administrator Global atau Administrator Penagihan. Dalam beberapa kasus, pengguna mungkin diblokir untuk melakukan pembelian ini. Untuk informasi selengkapnya, lihat Marketplace komersial Microsoft.
Proposal dari Microsoft - Proposal adalah penawaran resmi dari Microsoft untuk organisasi Anda untuk membeli produk dan layanan Microsoft. Ketika orang yang menerima proposal tidak memiliki peran admin Administrator Global atau Administrator Penagihan di Azure Active Directory, mereka diberi peran khusus perdagangan untuk menyelesaikan proposal dan peran Pengguna Perdagangan Modern untuk mengakses pusat admin. Ketika mereka mengakses pusat admin, mereka hanya dapat menggunakan fitur yang diotorisasi oleh peran khusus perdagangan mereka.
Peran khusus perdagangan - Beberapa pengguna diberi peran khusus perdagangan. Jika pengguna bukan Administrator Global atau Administrator Penagihan, mereka mendapatkan peran Pengguna Perdagangan Modern sehingga mereka dapat mengakses pusat admin.

Jika peran Pengguna Perdagangan Modern tidak ditetapkan dari pengguna, mereka akan kehilangan akses ke pusat admin Microsoft 365. Jika mereka mengelola produk apa pun, baik untuk diri mereka sendiri atau untuk organisasi Anda, mereka tidak akan dapat mengelolanya. Ini mungkin termasuk menetapkan lisensi, mengubah metode pembayaran, membayar tagihan, atau tugas lain untuk mengelola langganan.

Tindakan	Deskripsi
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks	Mengelola semua aspek Pusat Layanan Lisensi Volume
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Jaringan

Pengguna dalam peran ini dapat meninjau rekomendasi arsitektur perimeter jaringan dari Microsoft yang didasarkan pada telemetri jaringan dari lokasi pengguna mereka. Performa jaringan untuk Microsoft 365 bergantung pada cermatnya arsitektur perimeter jaringan pelanggan perusahaan yang umumnya bersifat spesifik ke lokasi pengguna. Peran ini memungkinkan pengeditan lokasi pengguna yang ditemukan dan konfigurasi parameter jaringan untuk lokasi tersebut untuk memfasilitasi pengukuran telemetri yang ditingkatkan dan rekomendasi desain

Tindakan	Deskripsi
microsoft.office365.network/locations/allProperties/allTasks	Mengelola semua aspek lokasi jaringan
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Aplikasi Office

Pengguna dalam peran ini dapat mengelola pengaturan cloud aplikasi Microsoft 365. Ini termasuk mengelola kebijakan cloud, manajemen unduhan layanan mandiri dan kemampuan untuk menampilkan laporan terkait aplikasi Office. Peran ini juga memberikan kemampuan untuk mengelola tiket dukungan, dan memantau kesehatan layanan di pusat admin utama. Pengguna yang ditetapkan untuk peran ini juga dapat mengelola komunikasi fitur baru di aplikasi Office.

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks	Membaca dan memperbarui visibilitas pesan baru
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Dukungan Mitra Tier1

Jangan gunakan. Peran ini sudah tidak digunakan lagi dan akan dihapus dari Azure Active Directory di masa mendatang. Peran ini ditujukan untuk penggunaan oleh sejumlah kecil mitra penjual kembali Microsoft, dan tidak dimaksudkan untuk penggunaan umum.

Penting

Peran ini dapat mengatur ulang kata sandi dan membatalkan token refresh hanya untuk non-administrator. Peran ini tidak boleh digunakan karena tidak digunakan lagi dan tidak akan ditampilkan lagi dalam API.

Tindakan	Deskripsi
microsoft.directory/applications/appRoles/update	Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update	Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update	Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update	Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update	Memperbarui info masuk aplikasi
microsoft.directory/applications/notes/update	Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update	Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update	Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update	Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update	Memperbarui tag aplikasi
microsoft.directory/contacts/create	Membuat kontak
microsoft.directory/contacts/delete	Menghapus kontak
microsoft.directory/contacts/basic/update	Memperbarui properti dasar pada kontak
microsoft.directory/deletedItems.groups/restore	Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/deletedItems.users/restore	Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/groups/create	Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete	Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/restore	Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/members/update	Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/owners/update	Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/users/assignLicense	Mengelola lisensi pengguna
microsoft.directory/users/create	Menambahkan pengguna
microsoft.directory/users/delete	Menghapus pengguna
microsoft.directory/users/disable	Menonaktifkan pengguna
microsoft.directory/users/enable	Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens	Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore	Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update	Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update	Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update	Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/photo/update	Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update	Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Dukungan Mitra Tier2

Penting

Peran ini dapat mengatur ulang kata sandi dan membatalkan token refresh untuk semua non-admin dan admin (termasuk Administrator Global). Peran ini tidak boleh digunakan karena tidak digunakan lagi dan tidak akan ditampilkan lagi dalam API.

Tindakan	Deskripsi
microsoft.directory/applications/appRoles/update	Memperbarui properti appRoles pada semua jenis aplikasi
microsoft.directory/applications/audience/update	Memperbarui properti audiens untuk aplikasi
microsoft.directory/applications/authentication/update	Memperbarui autentikasi pada semua jenis aplikasi
microsoft.directory/applications/basic/update	Memperbarui properti dasar untuk aplikasi
microsoft.directory/applications/credentials/update	Memperbarui info masuk aplikasi
microsoft.directory/applications/notes/update	Memperbarui catatan aplikasi
microsoft.directory/applications/owners/update	Memperbarui pemilik aplikasi
microsoft.directory/applications/permissions/update	Memperbarui izin yang diekspos dan izin yang diperlukan pada semua jenis aplikasi
microsoft.directory/applications/policies/update	Memperbarui kebijakan aplikasi
microsoft.directory/applications/tag/update	Memperbarui tag aplikasi
microsoft.directory/contacts/create	Membuat kontak
microsoft.directory/contacts/delete	Menghapus kontak
microsoft.directory/contacts/basic/update	Memperbarui properti dasar pada kontak
microsoft.directory/deletedItems.groups/restore	Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/deletedItems.users/restore	Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/domains/allProperties/allTasks	Membuat dan menghapus domain, serta membaca dan memperbarui semua properti
microsoft.directory/groups/create	Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete	Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/restore	Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/members/update	Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/owners/update	Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/organization/basic/update	Memperbarui properti dasar pada organisasi
microsoft.directory/roleAssignments/allProperties/allTasks	Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/allTasks	Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/subscribedSkus/standard/read	Membaca properti dasar pada langganan
microsoft.directory/users/assignLicense	Mengelola lisensi pengguna
microsoft.directory/users/create	Menambahkan pengguna
microsoft.directory/users/delete	Menghapus pengguna
microsoft.directory/users/disable	Menonaktifkan pengguna
microsoft.directory/users/enable	Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens	Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore	Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update	Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update	Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update	Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/photo/update	Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update	Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Kata Sandi

Pengguna dengan peran ini memiliki kemampuan terbatas untuk mengelola kata sandi. Peran ini tidak memberikan kemampuan untuk mengelola permintaan layanan atau memantau kesehatan layanan. Apakah Admin Kata Sandi dapat mengatur ulang kata sandi pengguna tergantung pada peran yang ditetapkan pada pengguna. Untuk daftar peran yang kata sandinya dapat diatur ulang oleh Administrator Kata Sandi, lihat Siapa yang dapat mengatur ulang kata sandi.

Pengguna dengan peran ini tidak dapat mengubah informasi masuk atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan perannya.

Tindakan	Deskripsi
microsoft.directory/users/password/update	Mengatur ulang kata sandi untuk semua pengguna
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Power BI

Pengguna dengan peran ini memiliki izin global dalam Microsoft Power BI, ketika layanan hadir, serta kemampuan untuk mengelola tiket dukungan dan memantau kondisi layanan. Informasi selengkapnya di Memahami peran Administrator Power BI.

Catatan

Dalam Microsoft Graph API dan Azure Active Directory PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Power BI". Peran ini disebut "Admin Power BI" di portal Microsoft Azure.

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks	Mengelola semua aspek Power BI

Admin Power Platform

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek lingkungan, Power Apps, Alur, kebijakan Pencegahan Kehilangan Data. Selain itu, pengguna dengan peran ini memiliki kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan.

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.dynamics365/allEntities/allTasks	Mengelola semua aspek Dynamics 365
microsoft.flow/allEntities/allTasks	Mengelola semua aspek Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.powerApps/allEntities/allTasks	Mengelola semua aspek Power Apps

Admin Printer

Pengguna dalam peran ini dapat mendaftarkan printer dan mengelola semua aspek semua konfigurasi printer di solusi Microsoft Universal Print, termasuk pengaturan Universal Print Connector. Mereka dapat menyetujui semua permintaan izin cetak yang didelegasikan. Admin Printer juga memiliki akses untuk mencetak laporan.

Tindakan	Deskripsi
microsoft.azure.print/allEntities/allProperties/allTasks	Membuat dan menghapus printer dan konektor, serta membaca dan memperbarui semua properti di Microsoft Print

Teknisi Printer

Pengguna dengan peran ini dapat mendaftarkan printer dan mengelola status printer dalam solusi Microsoft Universal Print. Mereka juga dapat membaca semua informasi konektor. Tugas utama yang tidak bisa dilakukan Teknisi Printer adalah mengatur ijin pengguna pada printer dan printer berbagi.

Tindakan	Deskripsi
microsoft.azure.print/connectors/allProperties/read	Membaca semua properti konektor di Microsoft Print
microsoft.azure.print/printers/allProperties/read	Membaca semua properti printer di Microsoft Print
microsoft.azure.print/printers/register	Mendaftarkan printer di Microsoft Print
microsoft.azure.print/printers/unregister	Membatalkan pendaftaran printer di Microsoft Print
microsoft.azure.print/printers/basic/update	Memperbarui properti dasar printer di Microsoft Print

Administrator Autentikasi Istimewa

Pengguna dengan peran ini dapat mengatur atau mengatur ulang metode autentikasi apapun (termasuk kata sandi) untuk pengguna apapun, termasuk Administrator Global. Admin Autentikasi Istimewa dapat memaksa pengguna untuk mendaftar ulang terhadap informasi masuk non-kata sandi yang ada (seperti MFA atau FIDO) dan mencabut 'ingat MFA pada perangkat', meminta MFA pada rincian masuk berikutnya dari semua pengguna. Administrator Autentikasi Istimewa dapat memperbarui atribut sensitif untuk semua pengguna.

Peran Administrator Autentikasi memiliki izin untuk memaksa pendaftaran ulang dan autentikasi multifaktor untuk pengguna standar dan pengguna dengan beberapa peran admin.

Peran Administrator Kebijakan Autentikasi memiliki izin untuk mengatur kebijakan metode autentikasi penyewa yang menentukan metode mana yang dapat didaftarkan dan digunakan oleh setiap pengguna.

Peran	Mengelola metode autentikasi pengguna	Mengelola autentikasi multifaktor per pengguna	Mengelola pengaturan autentikasi multifaktor	Mengelola kebijakan metode autentikasi	Mengelola kebijakan perlindungan kata sandi	Memperbarui atribut sensitif
Administrator Autentikasi	Ya untuk beberapa pengguna (lihat di atas)	Ya untuk beberapa pengguna (lihat di atas)	Tidak	Tidak	Tidak	Ya untuk beberapa pengguna (lihat di atas)
Administrator Autentikasi dengan Hak Istimewa	Ya untuk semua pengguna	Ya untuk semua pengguna	Tidak	Tidak	Tidak	Ya untuk semua pengguna
Admin Kebijakan Autentikasi	Tidak	Tidak	Ya	Ya	Ya	Tidak

Penting

Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di AAD dan di tempat lain yang tidak diberikan kepada Admin Autentikasi. Melalui jalur ini, Admin Autentikasi dapat mengasumsikan identitas pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui info masuk untuk aplikasi.
Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
Admin di layanan lain di luar AAD seperti Exchange Online, Pusat Keamanan dan Kepatuhan Office, dan sistem sumber daya manusia.
Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.

Penting

Peran ini saat ini tidak mampu mengelola MFA setiap pengguna di portal manajemen MFA warisan. Fungsi yang sama dapat dicapai menggunakan modul Azure AD PowerShell commandlet Set-MsolUser.

Tindakan	Deskripsi
microsoft.directory/users/authenticationMethods/create	Membuat metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/delete	Menghapus metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/standard/read	Membaca properti standar metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/basic/update	Memperbarui properti dasar metode autentikasi untuk pengguna
microsoft.directory/deletedItems.users/restore	Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/users/delete	Menghapus pengguna
microsoft.directory/users/disable	Menonaktifkan pengguna
microsoft.directory/users/enable	Mengaktifkan pengguna
microsoft.directory/users/invalidateAllRefreshTokens	Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/restore	Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update	Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update	Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update	Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/userPrincipalName/update	Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Peran Istimewa

Pengguna dengan peran ini dapat mengelola penetapan peran di Azure Active Directory dan Azure Active Directory Privileged Identity Management. Mereka dapat membuat dan mengelola grup yang dapat ditetapkan ke peran Azure Active Directory. Selain itu, peran ini memungkinkan pengelolaan semua aspek Privileged Identity Management dan unit administratif.

Penting

Peran ini memberikan kemampuan untuk mengelola tugas untuk semua peran Azure Active Directory termasuk peran Administrator Global. Peran ini tidak mencakup kemampuan istimewa lainnya di Azure Active Directory seperti membuat atau memperbarui pengguna. Namun, pengguna yang ditetapkan untuk peran ini dapat memberikan hak istimewa tambahan kepada diri mereka sendiri atau orang lain dengan menetapkan peran tambahan.

Tindakan	Deskripsi
microsoft.directory/accessReviews/definitions.applications/allProperties/read	Baca semua properti ulasan akses penetapan peran aplikasi di Azure AD
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks	Mengelola ulasan akses untuk penetapan peran Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update	Memperbarui semua properti ulasan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create	Membuat ulasan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Azure AD
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete	Menghapus ulasan akses untuk keanggotaan dalam grup yang dapat ditetapkan ke peran Azure AD
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran.
microsoft.directory/administrativeUnits/allProperties/allTasks	Membuat dan mengelola unit administratif (termasuk anggota)
microsoft.directory/authorizationPolicy/allProperties/allTasks	Mengelola semua aspek kebijakan otorisasi
microsoft.directory/directoryRoles/allProperties/allTasks	Membuat dan menghapus peran direktori, serta membaca dan memperbarui semua properti
microsoft.directory/groupsAssignableToRoles/create	Membuat grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/delete	Menghapus grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/restore	Memulihkan grup yang dapat diberikan peran
microsoft.directory/groupsAssignableToRoles/allProperties/update	Memperbarui grup yang dapat diberikan peran
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar dalam Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks	Membuat dan menghapus penetapan peran, serta membaca dan memperbarui semua properti penetapan peran
microsoft.directory/roleDefinitions/allProperties/allTasks	Membuat dan menghapus definisi peran, serta membaca dan memperbarui semua properti
microsoft.directory/scopedRoleMemberships/allProperties/allTasks	Membuat dan menghapus scopedRoleMemberships, serta membaca dan memperbarui semua properti
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/servicePrincipals/permissions/update	Memperbarui izin perwakilan layanan
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin	Memberikan persetujuan untuk izin apa pun untuk aplikasi apa pun
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Pembaca Laporan

Pengguna dengan peran ini dapat melihat data pelaporan penggunaan dan dasbor laporan di pusat admin Microsoft 365 serta paket konteks adopsi di Power BI. Selain itu, peran ini menyediakan akses ke laporan dan aktivitas rincian masuk di Azure Active Directory dan data yang dikembalikan oleh API pelaporan Microsoft Graph. Pengguna yang ditetapkan ke peran Pembaca Laporan hanya dapat mengakses metrik penggunaan dan adopsi yang relevan. Mereka tidak memiliki izin admin untuk mengonfigurasi pengaturan atau mengakses pusat admin khusus produk seperti Exchange. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan	Deskripsi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Pencarian

Pengguna dalam peran ini memiliki akses penuh ke semua fitur manajemen Microsoft Search di pusat admin Microsoft 365. Selain itu, pengguna ini dapat melihat pusat pesan, memantau kesehatan layanan, dan membuat permintaan layanan.

Tindakan	Deskripsi
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.search/content/manage	Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Penyunting Pencarian

Pengguna dalam peran ini dapat membuat, mengelola, dan menghapus konten untuk Microsoft Search di pusat admin Microsoft 365, termasuk marka buku, Q&A, dan lokasi.

Tindakan	Deskripsi
microsoft.office365.messageCenter/messages/read	Membaca pesan di Pusat Pesan di pusat admin Microsoft 365, tidak termasuk pesan keamanan
microsoft.office365.search/content/manage	Membuat dan menghapus konten, serta membaca dan memperbarui semua properti di Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Keamanan

Pengguna dengan peran ini memiliki izin untuk mengelola fitur terkait keamanan di portal Pertahanan Microsoft 365, Azure Active Directory Identity Protection, Autentikasi Azure Active Directory, Microsoft Azure Information Protection, dan Pusat Keamanan & Kepatuhan Office 365. Informasi selengkapnya tentang izin Office 365 tersedia pada Izin di Pusat Keamanan & Kepatuhan.

Dalam	Dapat melakukan
Pusat Keamanan Microsoft 365	Memantau kebijakan terkait keamanan di seluruh layanan Microsoft 365 Mengelola ancaman keamanan dan pemberitahuan Melihat laporan
Pusat Perlindungan Identitas	Semua izin peran Pembaca Keamanan Selain itu, kemampuan untuk melakukan semua operasi Pusat Perlindungan Identitas kecuali untuk mengatur ulang kata sandi
Privileged Identity Management	Semua izin peran Pembaca Keamanan Tidak bisa mengelola penetapan atau pengaturan peran Azure Active Directory
Pusat Keamanan & Kepatuhan Office 365	Mengelola kebijakan keamanan Melihat, menyelidiki, dan menanggapi ancaman keamanan Melihat laporan
Perlindungan Ancaman Tingkat Lanjut Azure	Memantau dan menanggapi aktivitas keamanan yang mencurigakan
Pertahanan Microsoft untuk Titik Akhir	Menetapkan peran Mengelola grup komputer Mengonfigurasi deteksi ancaman titik akhir dan remediasi otomatis Melihat, menyelidiki, dan menanggapi pemberitahuan Melihat inventaris mesin/perangkat
Intune	Melihat informasi pengguna, perangkat, pendaftaran, konfigurasi, dan aplikasi Tidak dapat membuat perubahan pada Intune
Cloud App Security	Menambahkan admin, menambahkan kebijakan dan pengaturan, mengunggah log, dan melakukan tindakan pemerintahan
Kesehatan layanan Microsoft 365	Melihat kesehatan layanan Microsoft 365
Penguncian cerdas	Mendefinisikan ambang dan durasi penguncian saat kejadian rincian masuk yang gagal terjadi.
Perlindungan Kata Sandi	Mengonfigurasi daftar kata sandi kustom yang dilarang atau perlindungan kata sandi lokal.

Tindakan	Deskripsi
microsoft.directory/applications/policies/update	Memperbarui kebijakan aplikasi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read	Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/crossTenantAccessPolicy/standard/read	Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/basic/update	Perbarui pengaturan dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	Perbarui pengaturan kolaborasi B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update	Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/create	Buat kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/delete	Hapus kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	Perbarui pengaturan kolaborasi B2B Azure AD kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update	Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra
microsoft.directory/entitlementManagement/allProperties/read	Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.directory/identityProtection/allProperties/read	Membaca semua sumber daya dalam Azure Active Directory Identity Protection
microsoft.directory/identityProtection/allProperties/update	Memperbarui semua sumber daya di Azure Active Directory Identity Protection
microsoft.directory/policies/create	Membuat kebijakan di Azure Active Directory
microsoft.directory/policies/delete	Menghapus kebijakan di Azure Active Directory
microsoft.directory/policies/basic/update	Memperbarui properti dasar pada kebijakan
microsoft.directory/policies/owners/update	Memperbarui pemilik kebijakan
microsoft.directory/policies/tenantDefault/update	Memperbarui kebijakan organisasi default
microsoft.directory/conditionalAccessPolicies/create	Membuat kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/delete	Menghapus kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/standard/read	Membaca akses bersyarat untuk kebijakan
microsoft.directory/conditionalAccessPolicies/owners/read	Membaca pemilik kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Membaca properti "diterapkan ke" untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/basic/update	Memperbarui properti dasar untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/owners/update	Memperbarui pemilik untuk kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/tenantDefault/update	Memperbarui penyewa default untuk kebijakan akses bersyarat
microsoft.directory/privilegedIdentityManagement/allProperties/read	Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/servicePrincipals/policies/update	Memperbarui kebijakan perwakilan layanan
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.protectionCenter/allEntities/standard/read	Membaca properti standar semua sumber daya di pusat Keamanan dan Kepatuhan
microsoft.office365.protectionCenter/allEntities/basic/update	Memperbarui properti dasar semua sumber daya di pusat Keamanan dan Kepatuhan
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks	Membuat dan mengelola payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Membaca laporan tanggapan simulasi serangan dan pelatihan terkait
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks	Membuat dan mengelola templat simulasi serangan di Simulator Serangan
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Operator Keamanan

Pengguna dengan peran ini dapat mengelola pemberitahuan dan memiliki akses baca-saja global pada fitur terkait keamanan, termasuk semua informasi di pusat keamanan Microsoft 365, Azure Active Directory, Perlindungan Identitas, Privileged Identity Management dan Pusat Keamanan & Kepatuhan Office 365. Informasi selengkapnya tentang izin Office 365 tersedia pada Izin di Pusat Keamanan & Kepatuhan.

Dalam	Dapat melakukan
Pusat Keamanan Microsoft 365	Semua izin peran Pembaca Keamanan Melihat, menyelidiki, dan menanggapi pemberitahuan ancaman keamanan Mengelola pengaturan keamanan di pusat keamanan
Azure AD Identity Protection	Semua izin peran Pembaca Keamanan Selain itu, kemampuan untuk melakukan semua operasi Pusat Perlindungan Identitas kecuali untuk mengatur ulang kata sandi dan mengonfigurasi pemberitahuan e-mail.
Privileged Identity Management	Semua izin peran Pembaca Keamanan
Pusat Keamanan & Kepatuhan Office 365	Semua izin peran Pembaca Keamanan Melihat, menyelidiki, dan menanggapi pemberitahuan keamanan
Pertahanan Microsoft untuk Titik Akhir	Semua izin peran Pembaca Keamanan Melihat, menyelidiki, dan menanggapi pemberitahuan keamanan
Intune	Semua izin peran Pembaca Keamanan
Cloud App Security	Semua izin peran Pembaca Keamanan
Kesehatan layanan Microsoft 365	Melihat kesehatan layanan Microsoft 365

Tindakan	Deskripsi
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/cloudAppSecurity/allProperties/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Microsoft Cloud App Security
microsoft.directory/identityProtection/allProperties/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Azure Active Directory Identity Protection
microsoft.directory/privilegedIdentityManagement/allProperties/read	Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.advancedThreatProtection/allEntities/allTasks	Mengelola semua aspek Perlindungan Ancaman Tingkat Lanjut Azure
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.intune/allEntities/read	Membaca semua sumber daya di Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di Pusat Keamanan & Kepatuhan Office 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks	Mengelola semua aspek Pertahanan Microsoft untuk Titik Akhir

Pembaca Keamanan

Pengguna dengan peran ini memiliki akses baca-saja global pada fitur terkait keamanan, termasuk semua informasi di pusat keamanan Microsoft 365, Azure Active Directory, Perlindungan Identitas, Privileged Identity Management, serta kemampuan untuk membaca laporan masuk dan log audit Azure Active Directory, dan di Pusat Keamanan & Kepatuhan Office 365. Informasi selengkapnya tentang izin Office 365 tersedia pada Izin di Pusat Keamanan & Kepatuhan.

Dalam	Dapat melakukan
Pusat Keamanan Microsoft 365	Melihat kebijakan terkait keamanan di seluruh layanan Microsoft 365 Melihat ancaman keamanan dan pemberitahuan Melihat laporan
Pusat Perlindungan Identitas	Membaca semua laporan keamanan dan informasi pengaturan untuk fitur keamanan Anti-spam Enkripsi Pencegahan kehilangan data Anti-malware Perlindungan terhadap ancaman tingkat lanjut Anti-phishing Aturan aliran email
Privileged Identity Management	Memiliki akses baca-saja ke semua informasi yang muncul di Azure Active Directory Privileged Identity Management: Kebijakan dan laporan untuk penetapan peran Azure Active Directory dan ulasan keamanan. Tidak dapat mendaftar untuk Azure Active Directory Privileged Identity Management atau membuat perubahan apa pun padanya. Di portal Privileged Identity Management atau melalui PowerShell, seseorang dalam peran ini dapat mengaktifkan peran tambahan (misalnya, Administrator Global atau Admin Peran Istimewa), jika penggunanya memenuhi syarat untuk itu.
Pusat Keamanan & Kepatuhan Office 365	Melihat kebijakan keamanan Melihat dan menyelidiki ancaman keamanan Melihat laporan
Pertahanan Microsoft untuk Titik Akhir	Melihat dan menyelidiki pemberitahuan. Ketika Anda mengaktifkan kontrol akses berbasis peran di MDE, pengguna dengan izin baca-saja seperti akses kehilangan peran Pembaca Keamanan Azure AD sampai ditetapkan ke peran MDE.
Intune	Melihat informasi pengguna, perangkat, pendaftaran, konfigurasi, dan aplikasi. Tidak dapat membuat perubahan pada Intune.
Cloud App Security	Memiliki izin baca dan dapat mengelola pemberitahuan
Kesehatan layanan Microsoft 365	Melihat kesehatan layanan Microsoft 365

Tindakan	Deskripsi
microsoft.directory/accessReviews/definitions/allProperties/read	Baca semua properti ulasan akses semua sumber daya yang dapat ditinjau di Azure AD
microsoft.directory/auditLogs/allProperties/read	Membaca semua properti pada log audit, termasuk properti istimewa
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/bitlockerKeys/key/read	Membaca metadata bitlocker dan kunci pada perangkat
microsoft.directory/entitlementManagement/allProperties/read	Membaca semua properti di pengelolaan pemberian hak Azure Active Directory
microsoft.directory/identityProtection/allProperties/read	Membaca semua sumber daya dalam Azure Active Directory Identity Protection
microsoft.directory/policies/standard/read	Membaca properti dasar pada kebijakan
microsoft.directory/policies/owners/read	Membaca pemilik kebijakan
microsoft.directory/policies/policyAppliedTo/read	Membaca properti policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read	Membaca akses bersyarat untuk kebijakan
microsoft.directory/conditionalAccessPolicies/owners/read	Membaca pemilik kebijakan akses bersyarat
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read	Membaca properti "diterapkan ke" untuk kebijakan akses bersyarat
microsoft.directory/privilegedIdentityManagement/allProperties/read	Membaca semua sumber daya dalam Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read	Membaca semua properti log provisi
microsoft.directory/signInReports/allProperties/read	Membaca semua properti pada laporan masuk, termasuk properti istimewa
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.protectionCenter/allEntities/standard/read	Membaca properti standar semua sumber daya di pusat Keamanan dan Kepatuhan
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read	Membaca semua properti payload serangan di Simulator Serangan
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read	Membaca laporan tanggapan simulasi serangan dan pelatihan terkait
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read	Membaca semua properti templat simulasi serangan di Simulator Serangan
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Dukungan Layanan

Pengguna dengan peran ini dapat membuka permintaan dukungan dengan layanan Microsoft untuk Azure dan Microsoft 365, serta melihat dasbor layanan dan pusat pesan di portal Azure dan pusat admin Microsoft 365. Informasi selengkapnya di Tentang peran admin.

Catatan

Sebelumnya, peran ini disebut "Administrator Layanan" di portal Microsoft Azure dan pusat admin Microsoft 365. Kami telah mengganti namanya menjadi "Admin Dukungan Layanan" agar sesuai dengan nama yang ada di Microsoft Graph API dan Azure AD PowerShell.

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin SharePoint

Pengguna dengan peran ini memiliki izin global dalam Microsoft SharePoint Online, ketika layanannya hadir, serta kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan. Informasi selengkapnya di Tentang peran admin.

Catatan

Dalam Microsoft Graph API dan Azure Ad PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan SharePoint." Ini adalah "Administrator SharePoint" dalam Azure Portal.

Catatan

Peran ini juga memberikan izin yang dicakup ke Microsoft Graph API untuk Microsoft Intune, yang memungkinkan pengelolaan dan konfigurasi kebijakan yang terkait dengan sumber daya SharePoint dan OneDrive.

Tindakan	Deskripsi
microsoft.directory/groups.unified/create	Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/delete	Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/restore	Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran
microsoft.directory/groups.unified/basic/update	Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/members/update	Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/owners/update	Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks	Membuat dan menghapus semua sumber daya, serta membaca dan memperbarui properti standar di SharePoint
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Skype for Business

Pengguna dengan peran ini memiliki izin global dalam Microsoft Skype for Business, saat layanannya hadir, serta mengelola atribut pengguna khusus Skype di Azure Active Directory. Selain itu, peran ini memberikan kemampuan untuk mengelola tiket dukungan dan memantau kesehatan layanan, dan untuk mengakses pusat admin Teams dan Skype for Business. Akun juga harus dilisensikan untuk Teams atau itu tidak dapat menjalankan cmdlet Teams PowerShell. Informasi selengkapnya tentang peran admin Skype for Business dan informasi lisensi Teams di lisensi add-on Skype for Business dan Microsoft Teams

Catatan

Dalam Microsoft Graph API dan Azure AD PowerShell, peran ini diidentifikasi sebagai "Administrator Layanan Lync." Ini adalah "Skype for Business Administrator" dalam portal Azure.

Tindakan	Deskripsi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Teams

Pengguna dalam peran ini dapat mengelola semua aspek beban kerja Microsoft Teams melalui pusat admin Microsoft Teams & Skype for Business dan modul PowerShell masing-masing. Ini termasuk, di antara bidang-bidang lain, semua alat manajemen yang terkait dengan telepon, Olahpesan, rapat, dan tim itu sendiri. Peran ini juga memberikan kemampuan untuk membuat dan mengelola semua grup Microsoft 365, mengelola tiket dukungan, dan memantau kesehatan layanan.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.directory/groups/hiddenMembers/read	Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups.unified/create	Membuat grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/delete	Menghapus grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/restore	Pulihkan grup Microsoft 365 dari kontainer yang dihapus dengan lunak, tidak termasuk grup yang dapat ditetapkan peran
microsoft.directory/groups.unified/basic/update	Memperbarui properti dasar pada grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/members/update	Memperbarui anggota grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.unified/owners/update	Memperbarui pemilik grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks	Mengelola semua sumber daya di Teams
microsoft.directory/crossTenantAccessPolicy/standard/read	Baca properti dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update	Perbarui titik akhir cloud yang diizinkan dari kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/basic/update	Perbarui pengaturan dasar kebijakan akses lintas penyewa
microsoft.directory/crossTenantAccessPolicy/default/standard/read	Baca properti dasar kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update	Perbarui pengaturan kolaborasi B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update	Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update	Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update	Perbarui pembatasan penyewa dari kebijakan akses lintas penyewa default
microsoft.directory/crossTenantAccessPolicy/partners/create	Buat kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/delete	Hapus kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/standard/read	Membaca properti dasar kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update	Perbarui pengaturan kolaborasi B2B Azure AD kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update	Perbarui pengaturan koneksi langsung B2B Azure AD dari kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update	Perbarui pengaturan rapat lintas cloud Teams pada kebijakan akses lintas penyewa untuk mitra
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update	Perbarui pembatasan penyewa kebijakan akses lintas penyewa untuk mitra

Admin Komunikasi Teams

Pengguna dalam peran ini dapat mengelola aspek beban kerja Microsoft Teams yang terkait dengan suara & telepon. Ini termasuk alat manajemen untuk penugasan nomor telepon, kebijakan suara dan rapat, dan akses penuh ke toolset analitik panggilan.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Mengelola semua aspek Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/callQuality/allProperties/read	Membaca semua data di Dasbor Kualitas Panggilan (CQD)
microsoft.teams/meetings/allProperties/allTasks	Mengelola rapat termasuk kebijakan rapat, konfigurasi, dan jembatan konferensi
microsoft.teams/voice/allProperties/allTasks	Mengelola suara termasuk kebijakan panggilan dan inventaris nomor telepon dan penugasan

Teknisi Dukungan Komunikasi Teams

Pengguna dalam peran ini dapat memecahkan masalah komunikasi dalam Microsoft Teams & Skype for Business menggunakan alat pemecahan masalah panggilan pengguna di pusat admin Microsoft Teams & Skype for Business. Pengguna dalam peran ini dapat melihat informasi rekaman panggilan penuh untuk semua peserta yang terlibat. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Mengelola semua aspek Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/callQuality/allProperties/read	Membaca semua data di Dasbor Kualitas Panggilan (CQD)

Spesialis Dukungan Komunikasi Teams

Pengguna dalam peran ini dapat memecahkan masalah komunikasi dalam Microsoft Teams & Skype for Business menggunakan alat pemecahan masalah panggilan pengguna di pusat admin Microsoft Teams & Skype for Business. Pengguna dalam peran ini hanya dapat melihat detail pengguna dalam panggilan untuk pengguna tertentu yang telah mereka cari. Peran ini tidak memiliki akses untuk melihat, membuat, atau mengelola tiket dukungan.

Tindakan	Deskripsi
microsoft.directory/authorizationPolicy/standard/read	Baca properti standar kebijakan otorisasi
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks	Mengelola semua aspek Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/callQuality/standard/read	Membaca data dasar di Dasbor Kualitas Panggilan (CQD)

Admin Perangkat Teams

Pengguna dengan peran ini dapat mengelola perangkat bersertifikasi Teams dari pusat admin Teams. Peran ini memungkinkan melihat semua perangkat secara sekilas, dengan kemampuan untuk mencari dan memfilter perangkat. Pengguna dapat memeriksa detail setiap perangkat termasuk akun yang masuk, pembuat dan model perangkat. Pengguna dapat mengubah pengaturan pada perangkat dan memperbarui versi perangkat lunak. Peran ini tidak memberikan izin untuk memeriksa aktivitas Teams dan kualitas panggilan perangkat.

Tindakan	Deskripsi
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365
microsoft.teams/devices/standard/read	Mengelola semua aspek perangkat bersertifikat Teams termasuk kebijakan konfigurasi

Pembaca Laporan Ringkasan Penggunaan

Pengguna dengan peran ini dapat mengakses data agregat tingkat penyewa dan wawasan terkait di pusat admin Microsoft 365 untuk Skor Penggunaan dan Produktivitas tetapi tidak dapat mengakses detail atau wawasan tingkat pengguna apa pun. Di pusat admin Microsoft 365 untuk dua laporan tersebut, kami membedakan antara data agregat tingkat penyewa dan detail tingkat pengguna. Peran ini memberikan lapisan perlindungan ekstra pada data yang dapat diidentifikasi pengguna individu, yang diminta baik oleh pelanggan dan tim hukum.

Tindakan	Deskripsi
microsoft.office365.network/performance/allProperties/read	Membaca semua properti performa jaringan di pusat admin Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read	Membaca laporan penggunaan agregat Office 365 tingkat penyewa
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Admin Pengguna

Pengguna dengan peran ini dapat membuat pengguna, dan mengelola semua aspek pengguna dengan beberapa batasan (lihat tabel), dan dapat memperbarui kebijakan kedaluwarsa kata sandi. Selain itu, pengguna dengan peran ini dapat membuat dan mengelola semua grup. Peran ini juga mencakup kemampuan untuk membuat dan mengelola tampilan pengguna, mengelola tiket dukungan, dan memantau kesehatan layanan. Admin Pengguna tidak memiliki izin untuk mengelola beberapa properti pengguna untuk pengguna di sebagian besar peran administrator. Admin dengan peran ini tidak memiliki izin untuk mengelola MFA atau mengelola kotak surat bersama. Peran yang merupakan pengecualian untuk pembatasan ini tercantum dalam tabel berikut.

Izin Admin Pengguna	Catatan
Mengelola pengguna dan grup Membuat dan mengelola tampilan pengguna Mengelola tiket dukungan Office Memperbarui kebijakan kedaluwarsa kata sandi
Mengelola lisensi Mengelola semua properti pengguna kecuali Nama Prinsipal Pengguna	Berlaku untuk semua pengguna, termasuk semua admin
Menghapus dan memulihkan Menonaktifkan dan mengaktifkan Mengelola semua properti pengguna termasuk Nama Prinsipal Pengguna Memperbarui kunci perangkat (FIDO)	Berlaku untuk pengguna yang bukan admin atau dalam salah satu peran berikut: Administrator Bantuan Teknis Pengguna tanpa peran Admin Pengguna
Membatalkan validasi Token refresh Atur ulang kata sandi	Untuk daftar peran yang kata sandinya dapat diatur ulang dan validasi token refreshnya dapat dibatalkan oleh Administrator Pengguna, lihat Siapa yang dapat mengatur ulang kata sandi.
Memperbarui atribut sensitif	Untuk daftar peran yang atribut sensitifnya dapat diperbarui oleh Administrator Pengguna, lihat Siapa yang dapat memperbarui atribut sensitif.

Penting

Pendaftaran Aplikasi dan pemilik Aplikasi Perusahaan, yang dapat mengelola info masuk aplikasi yang mereka miliki. Aplikasi tersebut mungkin memiliki izin istimewa di Azure Active Directory dan di tempat lain yang tidak diberikan kepada Admin Pengguna. Melalui jalur ini, seorang Admin Pengguna mungkin dapat mengasumsikan identitas seorang pemilik aplikasi dan kemudian lebih lanjut mengasumsikan identitas aplikasi istimewa dengan memperbarui informasi masuk untuk aplikasinya.
Pemilik langganan Azure, yang mungkin memiliki akses ke informasi sensitif atau pribadi atau konfigurasi penting di Azure.
Grup Keamanan dan pemilik grup Microsoft 365, yang dapat mengelola keanggotaan grup. Grup tersebut dapat memberikan akses ke informasi sensitif atau pribadi atau konfigurasi penting di AAD dan di tempat lain.
Admin di layanan lain di luar AAD seperti Exchange Online, Pusat Keamanan dan Kepatuhan Office, dan sistem sumber daya manusia.
Non-admin seperti eksekutif, penasihat hukum, dan karyawan sumber daya manusia yang mungkin memiliki akses ke informasi sensitif atau pribadi.

Pengguna dengan peran ini tidak dapat mengubah informasi masuk atau mengatur ulang MFA untuk anggota dan pemilik grup yang dapat ditetapkan perannya.

Tindakan	Deskripsi
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks	Mengelola ulasan akses dari tugas peran aplikasi di Microsoft Azure Active Directory
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read	Baca semua properti ulasan akses untuk penetapan peran Azure AD
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks	Kelola tinjauan akses untuk penetapan paket akses dalam pengelolaan pemberian hak
microsoft.directory/accessReviews/definitions.groups/allProperties/update	Perbarui semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, tidak termasuk grup yang dapat ditetapkan peran.
microsoft.directory/accessReviews/definitions.groups/create	Buat ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete	Hapus ulasan akses untuk keanggotaan di grup Keamanan dan Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/allProperties/read	Baca semua properti ulasan akses untuk keanggotaan di Grup keamanan dan Microsoft 365, termasuk grup yang dapat ditetapkan peran.
microsoft.directory/users/authenticationMethods/create	Membuat metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/delete	Menghapus metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/standard/read	Membaca properti standar metode autentikasi untuk pengguna
microsoft.directory/users/authenticationMethods/basic/update	Memperbarui properti dasar metode autentikasi untuk pengguna
microsoft.directory/contacts/create	Membuat kontak
microsoft.directory/contacts/delete	Menghapus kontak
microsoft.directory/contacts/basic/update	Memperbarui properti dasar pada kontak
microsoft.directory/deletedItems.groups/restore	Memulihkan grup yang dihapus sementara ke status asli
microsoft.directory/deletedItems.users/restore	Memulihkan pengguna yang dihapus sementara ke kondisi semula
microsoft.directory/entitlementManagement/allProperties/allTasks	Membuat dan menghapus sumber daya, serta membaca dan memperbarui semua properti dalam pengelolaan pemberian hak Azure Active Directory
microsoft.directory/groups/assignLicense	Menetapkan lisensi produk ke grup untuk lisensi berbasis grup
microsoft.directory/groups/create	Membuat grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/delete	Menghapus grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat ditugaskan peran
microsoft.directory/groups/hiddenMembers/read	Membaca anggota tersembunyi dari anggota Keamanan dan grup Microsoft 365, termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/reprocessLicenseAssignment	Memproses ulang penugasan lisensi untuk lisensi berbasis grup
microsoft.directory/groups/restore	Memulihkan grup dari kontainer yang dihapus dengan lembut
microsoft.directory/groups/basic/update	Memperbarui properti dasar di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/classification/update	Memperbarui properti klasifikasi di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/dynamicMembershipRule/update	Memperbarui aturan keanggotaan dinamis di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/groupType/update	Memperbarui properti yang dapat memengaruhi jenis grup dari grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups/members/update	Perbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/onPremWriteBack/update	Memperbarui grup Azure Active Directory untuk ditulis kembali ke lokal dengan Azure Active Directory Connect
microsoft.directory/groups/owners/update	Memperbarui anggota grup Keamanan dan grup Microsoft 365, tidak termasuk grup peran yang dapat dialihkan
microsoft.directory/groups/settings/update	Memperbarui pengaturan grup
microsoft.directory/groups/visibility/update	Memperbarui properti visibilitas di grup Keamanan dan grup Microsoft 365, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks	Membuat dan menghapus pemberian izin OAuth 2.0, serta membaca dan memperbarui semua properti
microsoft.directory/policies/standard/read	Membaca properti dasar pada kebijakan
microsoft.directory/servicePrincipals/appRoleAssignedTo/update	Memperbarui penetapan peran perwakilan layanan
microsoft.directory/users/assignLicense	Mengelola lisensi pengguna
microsoft.directory/users/create	Menambahkan pengguna
microsoft.directory/users/delete	Menghapus pengguna
microsoft.directory/users/disable	Menonaktifkan pengguna
microsoft.directory/users/enable	Mengaktifkan pengguna
microsoft.directory/users/inviteGuest	Mengundang pengguna tamu
microsoft.directory/users/invalidateAllRefreshTokens	Memaksa keluar dengan membatalkan validasi token refresh pengguna
microsoft.directory/users/reprocessLicenseAssignment	Memproses ulang penugasan lisensi untuk pengguna
microsoft.directory/users/restore	Memulihkan pengguna yang dihapus
microsoft.directory/users/basic/update	Memperbarui properti dasar pada pengguna
microsoft.directory/users/manager/update	Memperbarui pengelola untuk pengguna
microsoft.directory/users/password/update	Mengatur ulang kata sandi untuk semua pengguna
microsoft.directory/users/photo/update	Memperbarui foto pengguna
microsoft.directory/users/userPrincipalName/update	Memperbarui Nama Prinsipal Pengguna milik pengguna
microsoft.azure.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.office365.serviceHealth/allEntities/allTasks	Membaca dan mengonfigurasi Service Health di pusat admin Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Kunjungan Virtual

Pengguna dengan peran ini dapat melakukan tugas berikut:

Mengelola dan mengonfigurasi semua aspek Kunjungan Virtual di Bookings di pusat admin Microsoft 365, dan di konektor EHR Teams
Menampilkan laporan penggunaan untuk Kunjungan Virtual di pusat admin Teams, pusat admin Microsoft 365, dan PowerBI
Menampilkan fitur dan pengaturan di pusat admin Microsoft 365, tetapi tidak dapat mengedit pengaturan apa pun

Kunjungan Virtual adalah cara sederhana untuk menjadwalkan dan mengelola janji temu online dan video untuk staf dan peserta. Misalnya, pelaporan penggunaan dapat menunjukkan cara mengirim pesan teks SMS sebelum janji temu dapat mengurangi jumlah orang yang tidak muncul untuk janji temu.

Tindakan	Deskripsi
microsoft.virtualVisits/allEntities/allProperties/allTasks	Mengelola dan berbagi metrik dan informasi Kunjungan Virtual dari pusat admin atau aplikasi Kunjungan Virtual
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Windows 365

Pengguna dengan peran ini memiliki izin global pada Windows 365 sumber daya, ketika layanan ada. Selain itu, peran ini memiliki kemampuan untuk mengelola pengguna dan perangkat untuk mengaitkan kebijakan, serta membuat dan mengelola grup.

Peran ini dapat membuat dan mengelola kelompok keamanan, tetapi tidak memiliki hak administrator atas Microsoft 365 grup. Itu berarti administrator tidak dapat memperbarui pemilik atau keanggotaan grup Microsoft 365 dalam organisasi. Namun, mereka dapat mengelola grup Microsoft 365 yang mereka buat, yang merupakan bagian dari hak istimewa pengguna akhir mereka. Jadi, setiap kelompok Microsoft 365 (bukan kelompok keamanan) yang mereka buat dihitung berdasarkan kuota mereka sebesar 250.

Tetapkan peran Administrator Windows 365 kepada pengguna yang perlu melakukan tugas-tugas berikut:

Mengelola Windows 365 PC Cloud di Microsoft Endpoint Manager
Mendaftarkan dan mengelola perangkat di Azure AD, termasuk menetapkan pengguna dan kebijakan
Membuat dan mengelola kelompok keamanan, tetapi bukan grup yang dapat ditetapkan peran
Melihat properti dasar di pusat admin Microsoft 365
Membaca laporan penggunaan di pusat admin Microsoft 365
Membuat dan mengelola tiket dukungan di Azure AD dan pusat admin Microsoft 365

Tindakan	Deskripsi
microsoft.directory/devices/create	Membuat perangkat (mendaftar di Azure Active Directory)
microsoft.directory/devices/delete	Menghapus perangkat dari Azure Active Directory
microsoft.directory/devices/disable	Menonaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/enable	Mengaktifkan perangkat di Azure Active Directory
microsoft.directory/devices/basic/update	Memperbarui properti dasar pada perangkat
microsoft.directory/devices/extensionAttributeSet1/update	Memperbarui extensionAttribute1 ke properti extensionAttribute5 di perangkat
microsoft.directory/devices/extensionAttributeSet2/update	Memperbarui extensionAttribute6 ke properti extensionAttribute10 di perangkat
microsoft.directory/devices/extensionAttributeSet3/update	Memperbarui extensionAttribute11 ke properti extensionAttribute15 di perangkat
microsoft.directory/devices/registeredOwners/update	Memperbarui pemilik terdaftar perangkat
microsoft.directory/devices/registeredUsers/update	Memperbarui pengguna terdaftar perangkat
microsoft.directory/groups.security/create	Membuat grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/delete	Menghapus grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/basic/update	Memperbarui properti dasar pada grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/classification/update	Memperbarui properti klasifikasi grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/dynamicMembershipRule/update	Memperbarui aturan keanggotaan dinamis dalam Kelompok keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/members/update	Memperbarui anggota grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/owners/update	Memperbarui pemilik grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/groups.security/visibility/update	Memperbarui properti visibilitas grup Keamanan, tidak termasuk grup yang dapat diberikan peran
microsoft.directory/deviceManagementPolicies/standard/read	Membaca properti standar pada kebijakan aplikasi pengelolaan perangkat
microsoft.directory/deviceRegistrationPolicy/standard/read	Membaca properti standar tentang kebijakan pendaftaran perangkat
microsoft.azure.supportTickets/allEntities/allTasks	Membuat dan mengelola tiket dukungan Azure
microsoft.cloudPC/allEntities/allProperties/allTasks	Mengelola semua aspek Windows 365
microsoft.office365.supportTickets/allEntities/allTasks	Membuat dan mengelola permintaan layanan Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read	Membaca laporan penggunaan Office 365
microsoft.office365.webPortal/allEntities/standard/read	Membaca properti dasar pada semua sumber daya di pusat admin Microsoft 365

Administrator Penerapan Windows Update

Pengguna dalam peran ini dapat membuat dan mengelola semua aspek penyebaran Windows Update melalui layanan penyebaran Pembaruan Windows untuk Bisnis. Layanan penyebaran memungkinkan pengguna menentukan pengaturan waktu dan cara pembaruan disebarkan, dan menentukan pembaruan mana yang ditawarkan kepada grup perangkat di penyewa mereka. Hal ini juga memungkinkan pengguna untuk memantau kemajuan pembaruan.

Tindakan	Deskripsi
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks	Membaca dan mengonfigurasikan semua aspek Layanan Windows Update

Cara memahami izin peran

Skema untuk izin secara longgar mengikuti format REST Microsoft Graph:

<namespace>/<entity>/<propertySet>/<action>

Contohnya:

microsoft.directory/applications/credentials/update

Elemen izin	Deskripsi
namespace	Produk atau layanan yang memaparkan tugas dan ditambahkan dengan `microsoft`. Misalnya, di Azure Active Directory menggunakan namespace layanan `microsoft.directory` pada semua tugasnya.
entitas	Fitur logika atau komponen yang diekspos oleh layanan di Microsoft Graph. Misalnya, Azure Active Directory mengekspos Pengguna dan Grup, OneNote memaparkan Catatan, dan Exchange memaparkan Kotak Surat dan Kalender. Ada kata kunci khusus yaitu `allEntities` untuk menentukan semua entitas dalam sebuah namespace layanan. Ini sering digunakan dalam peran yang memberikan akses ke seluruh produk.
propertySet	Properti atau aspek spesifik entitas tempat akses diberikan. Misalnya, `microsoft.directory/applications/authentication/read` memberikan kemampuan untuk membaca URL balasan, URL keluar, dan properti alur implisit pada objek aplikasi di Azure Active Directory. `allProperties` menunjuk semua properti entitas, termasuk properti istimewa. `standard` menunjuk properti umum, tetapi tidak termasuk yang istimewa yang terkait dengan tindakan `read`. Misalnya, `microsoft.directory/user/standard/read` menyertakan kemampuan untuk membaca properti standar seperti nomor telepon publik dan alamat email, tetapi bukan nomor telepon sekunder pribadi atau alamat email yang digunakan untuk autentikasi multifaktor. `basic` menunjuk properti umum, tetapi tidak termasuk yang istimewa yang terkait dengan tindakan `update`. Kumpulan properti yang bisa Anda baca mungkin berbeda dari yang bisa Anda perbarui. Itu sebabnya ada kata kunci `standard` dan `basic` untuk mencerminkannya.
tindakan	Operasi diberikan, paling banyak yaitu membuat, membaca, memperbarui, atau menghapus (CRUD). Ada kata kunci spesial yaitu `allTasks` untuk menentukan semua kemampuan di atas (membuat, membaca, memperbarui, dan menghapus).

Peran yang tidak digunakan lagi

Peran berikut tidak boleh digunakan. Mereka sudah tidak digunakan lagi dan akan dihapus dari Azure Active Directory di masa mendatang.

Admin Lisensi AdHoc
Bergabung dengan Perangkat
Pengelola Perangkat
Pengguna Perangkat
Pembuat Pengguna Terverifikasi Email
Admin Kotak Surat
Bergabung dengan Perangkat Tempat Kerja

Peran yang tidak ditampilkan di portal

Tidak setiap peran yang dikembalikan oleh PowerShell atau MS Graph API terlihat di portal Microsoft Azure. Tabel berikut ini mengatur perbedaan tersebut.

Nama API	Nama portal Microsoft Azure	Catatan
Bergabung dengan Perangkat	Tidak digunakan lagi	Dokumentasi peran yang tidak digunakan lagi
Pengelola Perangkat	Tidak digunakan lagi	Dokumentasi peran yang tidak digunakan lagi
Pengguna Perangkat	Tidak digunakan lagi	Dokumentasi peran yang tidak digunakan lagi
Akun Sinkronisasi Direktori	Tidak ditampilkan karena seharusnya tidak digunakan	Dokumentasi Akun Sinkronisasi Direktori
Pengguna Tamu	Tidak ditampilkan karena tidak dapat digunakan	NA
Dukungan Mitra Tingkat 1	Tidak ditampilkan karena seharusnya tidak digunakan	Dokumentasi Dukungan Mitra Tier1
Dukungan Mitra Tingkat 2	Tidak ditampilkan karena seharusnya tidak digunakan	Dokumentasi Dukungan Mitra Tier2
Pengguna Tamu Terbatas	Tidak ditampilkan karena tidak dapat digunakan	NA
Pengguna	Tidak ditampilkan karena tidak dapat digunakan	NA
Bergabung dengan Perangkat Tempat Kerja	Tidak digunakan lagi	Dokumentasi peran yang tidak digunakan lagi

Siapa yang dapat mengatur ulang kata sandi

Dalam tabel berikut, kolomnya berisi peran yang dapat mengatur ulang kata sandi. Barisnya berisi peran yang dapat diatur ulang kata sandinya.

Tabel berikut adalah untuk peran yang ditugaskan di cakupan penyewa. Untuk peran yang ditugaskan pada cakupan unit administrasi, pembatasan lebih lanjut berlaku.

Peran yang kata sandinya dapat diatur ulang	Admin Kata Sandi	Admin Bantuan Teknis	Admin Autentikasi	Admin Pengguna	Admin Autentikasi Istimewa	Admin global
Admin Autentikasi			✔️		✔️	✔️
Pembaca Direktori	✔️	✔️	✔️	✔️	✔️	✔️
Admin global					✔️	✔️*
Admin Grup				✔️	✔️	✔️
Pengundang Tamu	✔️	✔️	✔️	✔️	✔️	✔️
Admin Bantuan Teknis		✔️		✔️	✔️	✔️
Pembaca Pusat Pesan		✔️	✔️	✔️	✔️	✔️
Admin Kata Sandi	✔️	✔️	✔️	✔️	✔️	✔️
Admin Autentikasi Istimewa					✔️	✔️
Admin Peran Istimewa					✔️	✔️
Pembaca Laporan		✔️	✔️	✔️	✔️	✔️
Pengguna (tidak ada peran admin)	✔️	✔️	✔️	✔️	✔️	✔️
Pengguna (tidak ada peran admin, tetapi anggota atau pemilik grup yang dapat diberikan peran)					✔️	✔️
Admin Pengguna				✔️	✔️	✔️
Pembaca Laporan Ringkasan Penggunaan		✔️	✔️	✔️	✔️	✔️

* Seorang Administrator Global tidak dapat menghapus penetapan Administrator Global miliknya sendiri. Ini untuk mencegah situasi di mana sebuah organisasi memiliki 0 Administrator Global.

Siapa yang dapat memperbarui atribut sensitif

Beberapa administrator dapat memperbarui atribut sensitif berikut untuk beberapa pengguna. Semua pengguna dapat membaca atribut sensitif ini.

accountEnabled
businessPhones
mobilePhone
onPremisesImmutableId
otherMails
passwordProfile
userPrincipalName

Dalam tabel berikut, kolomnya berisi peran yang dapat memperbarui atribut sensitif. Barisnya berisi peran yang atribut sensitifnya dapat diperbarui.

Tabel berikut adalah untuk peran yang ditugaskan di cakupan penyewa. Untuk peran yang ditugaskan pada cakupan unit administrasi, pembatasan lebih lanjut berlaku.

Peran yang dapat diperbarui oleh atribut sensitif	Admin Autentikasi	Admin Pengguna	Admin Autentikasi Istimewa	Admin global
Admin Autentikasi	✔️		✔️	✔️
Pembaca Direktori	✔️	✔️	✔️	✔️
Admin global			✔️	✔️
Admin Grup		✔️	✔️	✔️
Pengundang Tamu	✔️	✔️	✔️	✔️
Admin Bantuan Teknis		✔️	✔️	✔️
Pembaca Pusat Pesan	✔️	✔️	✔️	✔️
Admin Kata Sandi	✔️	✔️	✔️	✔️
Admin Autentikasi Istimewa			✔️	✔️
Admin Peran Istimewa			✔️	✔️
Pembaca Laporan	✔️	✔️	✔️	✔️
Pengguna (tidak ada peran admin)	✔️	✔️	✔️	✔️
Pengguna (tidak ada peran admin, tetapi anggota atau pemilik grup yang dapat diberikan peran)			✔️	✔️
Admin Pengguna		✔️	✔️	✔️
Pembaca Laporan Ringkasan Penggunaan	✔️	✔️	✔️	✔️