Ruoli predefiniti di Azure AD
In Azure Active Directory (Azure AD), se un altro amministratore o un altro amministratore deve gestire Azure AD risorse, assegnargli un ruolo Azure AD che fornisce le autorizzazioni necessarie. Ad esempio, è possibile assegnare ruoli per consentire l'aggiunta o la modifica di utenti, la reimpostazione delle password utente, la gestione delle licenze utente o la gestione dei nomi di dominio.
Questo articolo elenca i ruoli predefiniti Azure AD che è possibile assegnare per consentire la gestione delle risorse Azure AD. Per informazioni su come assegnare ruoli, vedere Assegnare ruoli Azure AD agli utenti. Se si cercano ruoli per gestire le risorse di Azure, vedere Ruoli predefiniti di Azure.
Tutti i ruoli
| Ruolo | Descrizione | ID modello |
|---|---|---|
| Amministratore applicazione | Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali. | 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| Sviluppatore di applicazioni | Può creare registrazioni di applicazioni indipendentemente dall'impostazione 'Gli utenti possono registrare applicazioni'. | cf1c38e5-3621-4004-a7cb-879624dced7c |
| Autore del payload di attacco | Può creare payload di attacco che un amministratore può avviare in un secondo momento. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| Amministratore simulazione attacchi | Può creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| Amministratore assegnazione attributi | Assegnare chiavi e valori degli attributi di sicurezza personalizzati agli oggetti Azure AD supportati. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| Lettore assegnazione attributi | Leggere i valori e le chiavi degli attributi di sicurezza personalizzati per gli oggetti Azure AD supportati. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| Amministratore definizione attributi | Definire e gestire la definizione degli attributi di sicurezza personalizzati. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| Lettore di definizioni di attributi | Leggere la definizione degli attributi di sicurezza personalizzati. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| Amministratore dell'autenticazione | Può accedere a visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore. | c4e39bd9-1100-46d3-8c65-fb160da0071f |
| Amministratore dei criteri di autenticazione | Può creare e gestire i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant, i criteri di protezione delle password e le credenziali verificabili. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure AD amministratore locale del dispositivo aggiunto | Gli utenti assegnati a questo ruolo vengono aggiunti al gruppo di amministratori locale nei dispositivi aggiunti ad Azure AD. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Amministratore di Azure DevOps | Può gestire Azure DevOps criteri e impostazioni. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Amministratore di Azure Information Protection | Può gestire tutti gli aspetti del prodotto Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| Amministratore dei set di chiavi IEF B2C | Può gestire i segreti per la federazione e la crittografia in Identity Experience Framework (IEF). | aaf43236-0c0d-4d5f-883a-6955382ac081 |
| Amministratore dei criteri IEF B2C | Può creare e gestire criteri del framework di attendibilità in Identity Experience Framework (IEF). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| Amministratore fatturazione | Può eseguire attività comuni relative alla fatturazione, ad esempio aggiornare le informazioni di pagamento. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| amministratore di Cloud App Security | Può gestire tutti gli aspetti del prodotto Cloud App Security. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| Amministratore di applicazioni cloud | Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali, ad eccezione del Proxy di applicazione. | 158c047a-c907-4556-b7ef-446551a6b5f7 |
| Amministratore dispositivo cloud | Accesso limitato alla gestione dei dispositivi in Azure AD. | 7698a772-787b-4ac8-901f-60d6b08affd2 |
| Amministratore di conformità | Può leggere e gestire la configurazione e i report di conformità in Azure AD e Microsoft 365. | 17315797-102d-40b4-93e0-432062caca18 |
| Amministratore dei dati sulla conformità | Creare e gestire i contenuti relativi alla conformità. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| Amministratore accesso condizionale | Può gestire le funzionalità di accesso condizionale. | b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| Responsabile approvazione per l'accesso a Customer Lockbox | Può approvare le richieste di supporto Microsoft per l'accesso ai dati aziendali dei clienti. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Amministratore Desktop Analytics | Può accedere e gestire strumenti e servizi di gestione desktop. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| Ruolo con autorizzazioni di lettura nella directory | Può leggere le informazioni base della directory. Usato comunemente per concedere l'accesso in lettura alla directory ad applicazioni e guest. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| Account di sincronizzazione della directory | Usata solo dal servizio di Azure AD Connect. | d29b2b05-8046-44ba-8758-1e26182fcf32 |
| Ruolo con autorizzazioni di scrittura nella directory | Può leggere e scrivere informazioni di base sulla directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti. | 9360feb5-f418-4baa-8175-e2a00bac4301 |
| Amministratore dei nomi di dominio | Può gestire i nomi di dominio nel cloud e in locale. | 8329153b-31d0-4727-b945-745eb3bc5f31 |
| Amministratore di Dynamics 365 | Può gestire tutti gli aspetti del prodotto Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
| Amministratore perimetrale | Gestire tutti gli aspetti di Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Amministratore di Exchange | Può gestire tutti gli aspetti del prodotto Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange amministratore destinatario | Può creare o aggiornare Exchange Online destinatari all'interno dell'organizzazione Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| ID esterno - Amministratore dei flussi utente | Può creare e gestire tutti gli aspetti dei flussi utente. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| Amministratore attributo Flow ID esterno | Può creare e gestire lo schema degli attributi disponibile per tutti i flussi utente. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| Amministratore dei provider di identità esterni | Può configurare i provider di identità da usare nella federazione diretta. | be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| Amministratore globale | Può gestire tutti gli aspetti di Azure AD e dei servizi Microsoft che usano identità di Azure AD. | 62e90394-69f5-4237-9190-012177145e10 |
| Ruolo con autorizzazioni di lettura globali | Può leggere tutto ciò che un amministratore globale può, ma non aggiornare nulla. | f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| Amministratore di gruppi | I membri di questo ruolo possono creare/gestire gruppi, creare/gestire le impostazioni dei gruppi come la denominazione e i criteri di scadenza e visualizzare le attività dei gruppi e i report di controllo. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| Mittente dell'invito guest | Può invitare utenti guest indipendentemente dall'impostazione 'I membri possono invitare utenti guest'. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| Amministratore supporto tecnico | Può reimpostare le password per gli utenti non amministratori e gli amministratori supporto tecnico. | 729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| Amministratore delle identità ibride | È possibile gestire AD per Azure AD cloud provisioning, Azure AD Connessione, autenticazione pass-through (PTA), sincronizzazione dell'hash delle password (PHS), Single Sign-On senza problemi (SSO senza problemi) e impostazioni di federazione. | 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Amministratore della governance delle identità | Gestire l'accesso usando Azure AD per scenari di governance delle identità. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| Amministratore di Insights | Ha accesso amministrativo nell'app Microsoft 365 Insights. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Leader aziendale di Insights | Può visualizzare e condividere dashboard e informazioni dettagliate tramite l'app Microsoft 365 Insights. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Amministratore di Intune | Può gestire tutti gli aspetti del prodotto Intune. | 3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Amministratore di Kaizala | Può gestire le impostazioni per Microsoft Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| Amministratore delle conoscenze | Può configurare conoscenze, apprendimento e altre funzionalità intelligenti. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| Knowledge Manager | Può organizzare, creare, gestire e promuovere argomenti e conoscenze. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| Amministratore licenze | Possono gestire licenze dei prodotti per utenti e gruppi. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi | Può leggere solo i messaggi di sicurezza e gli aggiornamenti in Office 365 Centro messaggi. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| Ruolo con autorizzazioni di lettura per il Centro messaggi | Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Utente Commerce moderno | Può gestire gli acquisti commerciali per una società, un reparto o un team. | d24aef57-1500-4070-84db-2666f29cf966 |
| Amministratore di rete | Può gestire i percorsi di rete ed esaminare le informazioni dettagliate sulla progettazione della rete aziendale per le applicazioni SaaS (Software as a Service) di Microsoft 365. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Amministratore delle app di Office | Può gestire Office servizi cloud delle app, tra cui la gestione dei criteri e delle impostazioni e gestire la possibilità di selezionare, deselezionare e pubblicare il contenuto delle funzionalità "novità" ai dispositivi dell'utente finale. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| Supporto partner - Livello 1 | Non usare: non destinato all'uso generale. | 4ba39ca4-527c-499a-b93d-d9b492c50246 |
| Supporto partner - Livello 2 | Non usare: non destinato all'uso generale. | e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| Amministratore password | Può reimpostare le password per amministratori non amministratori e amministratori password. | 966707d0-3269-4727-9be2-8c3a10f19b9d |
| Amministratore di Power BI | Può gestire tutti gli aspetti del prodotto Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
| Amministratore di Power Platform | Può creare e gestire tutti gli aspetti di Microsoft Dynamics 365, Power Apps e Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| Amministratore stampante | Può gestire tutti gli aspetti delle stampanti e dei connettori delle stampanti. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| Tecnico della stampante | Può registrare e annullare la registrazione delle stampanti e aggiornare lo stato della stampante. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| Amministratore autenticazione con privilegi | Può accedere alla visualizzazione, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore). | 7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| Amministratore dei ruoli con privilegi | Può gestire le assegnazioni di ruolo in Azure AD e tutti gli aspetti di Privileged Identity Management. | e8611ab8-c189-46e8-94e1-60213ab1f814 |
| Lettore di report | Può eseguire la lettura dei report di accesso e di controllo. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Amministratore della ricerca | Consente di creare e gestire tutti gli aspetti delle impostazioni di Microsoft Search. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Editor della ricerca | Può creare e gestire i contenuti editoriali, ad esempio segnalibri, domande e risposte, posizioni e planimetrie. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| Amministratore della sicurezza | Può leggere informazioni e report sulla sicurezza e gestire la configurazione in Azure AD e Office 365. | 194ae4cb-b126-40b2-bd5b-6091b380977d |
| Operatore per la sicurezza | Creare e gestire gli eventi di sicurezza. | 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| Ruolo con autorizzazioni di lettura per la sicurezza | Può eseguire la lettura dei report e delle informazioni di sicurezza in Azure AD e Office 365. | 5d6b6bb7-de71-4623-b4af-96380a352509 |
| Amministratore servizio di supporto | Può eseguire la lettura delle informazioni di integrità dei servizi e gestire i ticket di supporto. | f023fd81-a637-4b56-95fd-791ac0226033 |
| Amministratore di SharePoint | Può gestire tutti gli aspetti del servizio SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| Amministratore di Skype for Business | Può gestire tutti gli aspetti del prodotto Skype for Business. | 75941009-915A-4869-abe7-691bff18279e |
| Amministratore di Teams | Può gestire il servizio Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Amministratore delle comunicazioni con Teams | Può gestire le funzionalità per chiamate e riunioni all'interno del servizio Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Tecnico supporto comunicazioni Teams | Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti avanzati. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Specialista supporto comunicazioni Teams | Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti di base. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Amministratore di dispositivi di Teams | Può eseguire attività correlate alla gestione nei dispositivi certificati Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| Lettore report di riepilogo utilizzo | Può visualizzare solo aggregazioni a livello di tenant in Microsoft 365 Analisi utilizzo e Punteggio di produttività. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| Amministratore utenti | Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per gli amministratori con limitazioni. | fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Amministratore visite virtuali | Gestire e condividere le informazioni sulle visite virtuali e le metriche dalle interfacce di amministrazione o dall'app Visite virtuali. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Windows 365 amministratore | Può effettuare il provisioning e gestire tutti gli aspetti dei PC cloud. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows Update amministratore distribuzione | Può creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update for Business. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Amministratore di applicazioni
gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Si noti che gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o nelle applicazioni aziendali.
Questo ruolo concede anche la possibilità di consenso per autorizzazioni e autorizzazioni dell'applicazione delegate, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph.
Importante
Questa eccezione significa che è comunque possibile concedere il consenso alle autorizzazioni dell'applicazione per altre app, ad esempio app non Microsoft o app registrate. È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio Amministratore globale.
questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se l'identità dell'applicazione è stata concessa all'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. Questa possibilità di rappresentare l'identità dell'applicazione può essere un'elevazione dei privilegi rispetto a ciò che l'utente può eseguire tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gestire i criteri di richiesta di consenso amministratore in Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Azure AD |
| microsoft.directory/applications/create | Creare tutti i tipi di applicazioni |
| microsoft.directory/applications/delete | Eliminare tutti i tipi di applicazioni |
| microsoft.directory/applications/applicationProxy/read | Leggere tutte le proprietà proxy dell'applicazione |
| microsoft.directory/applications/applicationProxy/update | Aggiornare tutte le proprietà proxy dell'applicazione |
| microsoft.directory/applications/applicationProxyAuthentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/applicationProxySslCertificate/update | Aggiornare le impostazioni del certificato SSL per il proxy dell'applicazione |
| microsoft.directory/applications/applicationProxyUrlSettings/update | Aggiornare le impostazioni dell'URL per il proxy dell'applicazione |
| microsoft.directory/applications/appRoles/update | Aggiornare la proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornare la proprietà del gruppo di destinatari per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornare le proprietà di base per le applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornare le credenziali dell'applicazione |
| microsoft.directory/applications/extensionProperties/update | Aggiornare le proprietà dell'estensione nelle applicazioni |
| microsoft.directory/applications/notes/update | Aggiornare le note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornare i proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornare i criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornare i tag delle applicazioni |
| microsoft.directory/applications/verification/update | Aggiornare la proprietà applicationsverification |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applicationTemplates/instantiate | Creare un'istanza di applicazioni della raccolta dai modelli di applicazione |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/connectors/create | Creare connettori proxy applicazione |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori proxy dell'applicazione |
| microsoft.directory/connectorGroups/create | Creare gruppi di connettori proxy applicazione |
| microsoft.directory/connectorGroups/delete | Eliminare i gruppi di connettori proxy dell'applicazione |
| microsoft.directory/connectorGroups/allProperties/read | Leggere tutte le proprietà dei gruppi di connettori proxy dell'applicazione |
| microsoft.directory/connectorGroups/allProperties/update | Aggiornare tutte le proprietà dei gruppi di connettori proxy dell'applicazione |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Creare e gestire estensioni di autenticazione personalizzate |
| microsoft.directory/deletedItems.applications/delete | Eliminare definitivamente le applicazioni, che non possono più essere ripristinate |
| microsoft.directory/deletedItems.applications/restore | Ripristinare le applicazioni eliminate temporanea allo stato originale |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà |
| microsoft.directory/applicationPolicies/create | Creare criteri dell'applicazione |
| microsoft.directory/applicationPolicies/delete | Eliminare i criteri dell'applicazione |
| microsoft.directory/applicationPolicies/standard/read | Leggere le proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/read | Leggere i proprietari nei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Leggere i criteri dell'applicazione applicati all'elenco di oggetti |
| microsoft.directory/applicationPolicies/basic/update | Aggiornare le proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/update | Aggiornare la proprietà proprietario dei criteri dell'applicazione |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminare le entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitare le entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitare le entità servizio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Gestire le credenziali di Single Sign-On password nelle entità servizio |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestire i segreti e le credenziali del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creare e gestire processi e schemi di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Leggere le credenziali di Single Sign-On per l'accesso Single Sign-On nelle entità servizio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Concedere il consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornare le proprietà del gruppo di destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornare le proprietà di autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornare le proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/credentials/update | Aggiornare le credenziali delle entità servizio |
| microsoft.directory/servicePrincipals/notes/update | Aggiornare le note delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornare i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornare le autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornare i criteri delle entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornare la proprietà tag per le entità servizio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Sviluppatore di applicazioni
gli utenti in questo ruolo possono creare registrazioni di applicazioni quando l'opzione "Gli utenti possono registrare applicazioni" è impostata su No. Questo ruolo concede anche l'autorizzazione per fornire il consenso per proprio conto quando l'opzione "Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto" è impostata su No. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni dell'applicazione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/createAsOwner | Creare tutti i tipi di applicazioni e il creatore viene aggiunto come primo proprietario |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | Creare concessioni di autorizzazione OAuth 2.0, con creator come primo proprietario |
| microsoft.directory/servicePrincipals/createAsOwner | Creare entità servizio, con creator come primo proprietario |
Autore del payload di attacco
Gli utenti in questo ruolo possono creare payload di attacco, ma non avviarli o pianificarli. I payload di attacco sono quindi disponibili per tutti gli amministratori del tenant che possono usarli per creare una simulazione.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Creare e gestire payload di attacco nel simulatore di attacco |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report delle risposte di simulazione degli attacchi e il training associato |
Amministratore simulazione attacchi
Gli utenti di questo ruolo possono creare e gestire tutti gli aspetti della creazione della simulazione degli attacchi, l'avvio/pianificazione di una simulazione e la revisione dei risultati della simulazione. I membri di questo ruolo hanno questo accesso per tutte le simulazioni nel tenant.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Creare e gestire payload di attacco nel simulatore di attacco |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report delle risposte di simulazione degli attacchi e il training associato |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Creare e gestire modelli di simulazione degli attacchi in Simulatore di attacco |
Amministratore assegnazione attributi
Gli utenti con questo ruolo possono assegnare e rimuovere chiavi e valori personalizzati degli attributi di sicurezza per gli oggetti Azure AD supportati, ad esempio utenti, entità servizio e dispositivi.
Per impostazione predefinita, l'amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per la lettura, la definizione o l'assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli degli attributi di sicurezza personalizzati.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Leggere tutte le proprietà dei set di attributi |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leggere tutte le proprietà delle definizioni di attributi di sicurezza personalizzate |
| microsoft.directory/devices/customSecurityAttributes/read | Leggere i valori degli attributi di sicurezza personalizzati per i dispositivi |
| microsoft.directory/devices/customSecurityAttributes/update | Aggiornare i valori degli attributi di sicurezza personalizzati per i dispositivi |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Leggere i valori degli attributi di sicurezza personalizzati per le entità servizio |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aggiornare i valori degli attributi di sicurezza personalizzati per le entità servizio |
| microsoft.directory/users/customSecurityAttributes/read | Leggere i valori degli attributi di sicurezza personalizzati per gli utenti |
| microsoft.directory/users/customSecurityAttributes/update | Aggiornare i valori degli attributi di sicurezza personalizzati per gli utenti |
Lettore assegnazione attributi
Gli utenti con questo ruolo possono leggere chiavi e valori personalizzati degli attributi di sicurezza per gli oggetti Azure AD supportati.
Per impostazione predefinita, l'amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per la lettura, la definizione o l'assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli degli attributi di sicurezza personalizzati.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Leggere tutte le proprietà dei set di attributi |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leggere tutte le proprietà delle definizioni di attributi di sicurezza personalizzate |
| microsoft.directory/devices/customSecurityAttributes/read | Leggere i valori degli attributi di sicurezza personalizzati per i dispositivi |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | Leggere i valori degli attributi di sicurezza personalizzati per le entità servizio |
| microsoft.directory/users/customSecurityAttributes/read | Leggere i valori degli attributi di sicurezza personalizzati per gli utenti |
Amministratore definizione attributi
Gli utenti con questo ruolo possono definire un set valido di attributi di sicurezza personalizzati che possono essere assegnati agli oggetti Azure AD supportati. Questo ruolo può anche attivare e disattivare attributi di sicurezza personalizzati.
Per impostazione predefinita, l'amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per la lettura, la definizione o l'assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli degli attributi di sicurezza personalizzati.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | Gestire tutti gli aspetti dei set di attributi |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Gestire tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati |
Lettore di definizioni di attributi
Gli utenti con questo ruolo possono leggere la definizione degli attributi di sicurezza personalizzati.
Per impostazione predefinita, l'amministratore globale e altri ruoli di amministratore non dispongono delle autorizzazioni per la lettura, la definizione o l'assegnazione di attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario assegnare uno dei ruoli degli attributi di sicurezza personalizzati.
Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Azure AD.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | Leggere tutte le proprietà dei set di attributi |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Leggere tutte le proprietà delle definizioni di attributi di sicurezza personalizzate |
Amministratore dell'autenticazione
Gli utenti con questo ruolo possono impostare o reimpostare qualsiasi metodo di autenticazione (incluse le password) per gli utenti non amministratori e alcuni ruoli. Gli amministratori di autenticazione possono richiedere agli utenti che non sono amministratori o assegnati ad alcuni ruoli di registrare nuovamente le credenziali non password esistenti (ad esempio, MFA o FIDO) e possono anche revocare l'autenticazione a più fattori nel dispositivo, che richiede l'autenticazione a più fattori al successivo accesso. Per un elenco dei ruoli che un amministratore dell'autenticazione può leggere o aggiornare i metodi di autenticazione, vedere Autorizzazioni di reimpostazione della password.
Il ruolo Amministratore autenticazione con privilegi dispone dell'autorizzazione per forzare la registrazione e l'autenticazione a più fattori per tutti gli utenti.
Il ruolo Amministratore criteri di autenticazione dispone delle autorizzazioni per impostare i criteri del metodo di autenticazione del tenant che determinano i metodi che ogni utente può registrare e usare.
| Ruolo | Gestire i metodi di autenticazione dell'utente | Gestire l'autenticazione a più fattori per utente | Gestire le impostazioni di autenticazione a più fattori | Gestire i criteri del metodo di autenticazione | Gestire i criteri di protezione delle password |
|---|---|---|---|---|---|
| Amministratore dell'autenticazione | Sì per alcuni utenti (vedere sopra) | Sì per alcuni utenti (vedere sopra) | No | No | No |
| Amministratore autenticazione con privilegi | Sì per tutti gli utenti | Sì per tutti gli utenti | No | No | No |
| Amministratore dei criteri di autenticazione | No | No | Sì | Sì | Sì |
Importante
gli utenti con questo ruolo possono modificare le credenziali di utenti che possono avere accesso a dati sensibili, informazioni private o configurazioni critiche sia all'interno che all'esterno di Azure Active Directory. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero avere autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli amministratori dell'autenticazione. Tramite questo percorso un amministratore dell'autenticazione può assumere l'identità di un proprietario dell'applicazione e quindi presupporre ulteriormente l'identità di un'applicazione con privilegi aggiornando le credenziali per l'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
- Gruppo di sicurezza e Microsoft 365 proprietari di gruppi, che possono gestire l'appartenenza ai gruppi. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
- Amministratori in altri servizi all'esterno di Azure AD, ad esempio Exchange Online, Office 365 Centro conformità sicurezza & e sistemi di risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Importante
Questo ruolo non può gestire le impostazioni MFA nel portale di gestione MFA legacy o nei token OATH hardware. È possibile eseguire le stesse funzioni usando il cmdlet Set-MsolUser Azure AD modulo PowerShell.
Gli utenti con questo ruolo non possono modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile a ruoli.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Creare metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/delete | Eliminare i metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Leggere le proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti |
| microsoft.directory/users/authenticationMethods/basic/update | Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzare la disconnescazione invalidando i token di aggiornamento utente |
| microsoft.directory/users/password/update | Reimpostare le password per tutti gli utenti |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore dei criteri di autenticazione
Gli utenti con questo ruolo possono configurare i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant e i criteri di protezione delle password. Questo ruolo concede l'autorizzazione per gestire le impostazioni di protezione password: configurazioni di blocco intelligente e aggiornamento dell'elenco personalizzato di password escluse.
I ruoli Amministratore autenticazione e Amministratore autenticazione con privilegi dispongono dell'autorizzazione per gestire i metodi di autenticazione registrati per gli utenti e possono forzare la registrazione e l'autenticazione a più fattori per tutti gli utenti.
| Ruolo | Gestire i metodi di autenticazione dell'utente | Gestire l'autenticazione a più fattori per utente | Gestire le impostazioni di autenticazione a più fattori | Gestire i criteri del metodo di autenticazione | Gestire i criteri di protezione delle password |
|---|---|---|---|---|---|
| Amministratore dell'autenticazione | Sì per alcuni utenti (vedere sopra) | Sì per alcuni utenti (vedere sopra) | No | No | No |
| Amministratore autenticazione con privilegi | Sì per tutti gli utenti | Sì per tutti gli utenti | No | No | No |
| Amministratore dei criteri di autenticazione | No | No | Sì | Sì | Sì |
Importante
Questo ruolo non può gestire le impostazioni MFA nel portale di gestione MFA legacy o nei token hardware OATH.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | Gestire tutti gli aspetti delle proprietà di autenticazione avanzata di un'organizzazione |
| microsoft.directory/userCredentialPolicies/create | Creare criteri di credenziale per gli utenti |
| microsoft.directory/userCredentialPolicies/delete | Eliminare i criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/standard/read | Leggere le proprietà standard dei criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/owner/read | Leggere i proprietari dei criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Leggere policy.applicasTo collegamento di spostamento |
| microsoft.directory/userCredentialPolicies/basic/update | Aggiornare i criteri di base per gli utenti |
| microsoft.directory/userCredentialPolicies/owner/update | Aggiornare i proprietari dei criteri delle credenziali per gli utenti |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | Update policy.isOrganizationDefault, proprietà |
| microsoft.directory/verificabiliCredentials/configuration/contracts/cards/allProperties/read | Leggere una scheda delle credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/contracts/cards/revoke | Revocare una scheda credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/contracts/create | Creare un contratto di credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/read | Leggere un contratto di credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/update | Aggiornare un contratto di credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/create | Creare la configurazione necessaria per creare e gestire le credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/delete | Eliminare la configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/allProperties/read | Lettura della configurazione necessaria per creare e gestire le credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/allProperties/update | Aggiornare la configurazione necessaria per creare e gestire le credenziali verificabili |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
Azure AD amministratore locale del dispositivo aggiunto
questo ruolo è disponibile per l'assegnazione solo come amministratore locale aggiuntivo in Impostazioni dispositivo. Gli utenti con questo ruolo diventano amministratori del computer locale in tutti i dispositivi Windows 10 aggiunti ad Azure Active Directory. Non possono gestire gli oggetti di dispositivi in Azure Active Directory.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groupSettings/standard/read | Leggere le proprietà di base nelle impostazioni del gruppo |
| microsoft.directory/groupSettingTemplates/standard/read | Leggere le proprietà di base sui modelli di impostazione del gruppo |
Amministratore di Azure DevOps
Gli utenti con questo ruolo possono gestire tutti i criteri di Azure DevOps aziendali, applicabili a tutte le organizzazioni Azure DevOps supportate dalla Azure AD. Gli utenti in questo ruolo possono gestire questi criteri passando a qualsiasi organizzazione Azure DevOps supportata dalla Azure AD dell'azienda. Inoltre, gli utenti in questo ruolo possono richiedere la proprietà delle organizzazioni orfane Azure DevOps. Questo ruolo non concede altre autorizzazioni specifiche di Azure DevOps ,ad esempio Project amministratori raccolta, all'interno di una delle organizzazioni Azure DevOps supportate dall'organizzazione Azure AD dell'azienda.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Leggere e configurare Azure DevOps |
Amministratore di Azure Information Protection
gli utenti con questo ruolo hanno tutte le autorizzazioni nel servizio Azure Information Protection. Questo ruolo consente di configurare etichette per i criteri di Azure Information Protection, gestire i modelli di protezione e attivare la protezione. Questo ruolo non concede autorizzazioni in Identity Protection Center, Privileged Identity Management, Monitor Microsoft 365 integrità del servizio o Office 365 Centro conformità sicurezza&.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.azure.informationProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore dei set di chiavi IEF B2C
L'utente può creare e gestire le chiavi dei criteri e i segreti per la crittografia dei token, le firme dei token e la crittografia/decrittografia delle attestazioni. Aggiungendo nuove chiavi ai contenitori delle chiavi esistenti, questo amministratore limitato può eseguire il roll over dei segreti in base alle esigenze senza influire sulle applicazioni esistenti. Questo utente può visualizzare il contenuto completo di questi segreti e le relative date di scadenza anche dopo la loro creazione.
Importante
Si tratta di un ruolo sensibile. Il ruolo di amministratore dei set di chiavi deve essere controllato attentamente e assegnato con attenzione durante la pre-produzione e la produzione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Leggere e configurare i set di chiavi in Azure Active Directory B2C |
Amministratore dei criteri IEF B2C
Gli utenti con questo ruolo hanno la possibilità di creare, leggere, aggiornare ed eliminare tutti i criteri personalizzati in Azure AD B2C e quindi di avere il controllo completo su Identity Experience Framework nell'organizzazione Azure AD B2C pertinente. Modificando i criteri, l'utente può stabilire una federazione diretta con provider di identità esterni, modificare lo schema della directory, modificare tutti i contenuti esposti agli utenti (HTML, CSS, JavaScript), modificare i requisiti per completare un'autenticazione, creare nuovi utenti, inviare dati utente a sistemi esterni, incluse migrazioni complete, e modificare tutte le informazioni utente, inclusi i campi sensibili come password e numeri di telefono. Viceversa, questo ruolo non può modificare le chiavi di crittografia o modificare i segreti usati per la federazione nell'organizzazione.
Importante
L'amministratore dei criteri IEF B2 è un ruolo estremamente sensibile da assegnare su base molto limitata per le organizzazioni in produzione. Le attività svolte da questi utenti devono essere controllate attentamente, soprattutto per le organizzazioni in produzione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Leggere e configurare criteri personalizzati in Azure Active Directory B2C |
Amministratore fatturazione
può effettuare acquisti, gestire le sottoscrizioni e i ticket di supporto e monitorare l'integrità dei servizi.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/organization/basic/update | Aggiornare le proprietà di base nell'organizzazione |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.commerce.billing/allEntities/allTasks | Gestire tutti gli aspetti della fatturazione di Office 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Cloud App Security amministratore
Gli utenti con questo ruolo dispongono di autorizzazioni complete in Cloud App Security. Possono aggiungere amministratori, aggiungere criteri e impostazioni Microsoft Cloud App Security (MCAS), caricare i log ed eseguire azioni di governance.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Cloud App Security |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore applicazione cloud
gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle applicazioni aziendali e delle registrazioni dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.
Questo ruolo concede anche la possibilità di consenso per autorizzazioni e autorizzazioni dell'applicazione delegate, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph.
Importante
Questa eccezione significa che è comunque possibile concedere il consenso alle autorizzazioni dell'applicazione per altre app, ad esempio app non Microsoft o app registrate. È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio Amministratore globale.
questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se l'identità dell'applicazione è stata concessa all'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. Questa possibilità di rappresentare l'identità dell'applicazione può essere un'elevazione dei privilegi rispetto a ciò che l'utente può eseguire tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gestire i criteri di richiesta di consenso amministratore in Azure AD |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Azure AD |
| microsoft.directory/applications/create | Creare tutti i tipi di applicazioni |
| microsoft.directory/applications/delete | Eliminare tutti i tipi di applicazioni |
| microsoft.directory/applications/appRoles/update | Aggiornare la proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornare la proprietà del gruppo di destinatari per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornare le proprietà di base per le applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornare le credenziali dell'applicazione |
| microsoft.directory/applications/extensionProperties/update | Aggiornare le proprietà dell'estensione nelle applicazioni |
| microsoft.directory/applications/notes/update | Aggiornare le note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornare i proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornare i criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornare i tag delle applicazioni |
| microsoft.directory/applications/verification/update | Aggiornare la proprietà applicationsverification |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applicationTemplates/instantiate | Creare un'istanza di applicazioni della raccolta dai modelli di applicazione |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/deletedItems.applications/delete | Eliminare definitivamente le applicazioni, che non possono più essere ripristinate |
| microsoft.directory/deletedItems.applications/restore | Ripristinare le applicazioni eliminate temporanea allo stato originale |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà |
| microsoft.directory/applicationPolicies/create | Creare criteri dell'applicazione |
| microsoft.directory/applicationPolicies/delete | Eliminare i criteri dell'applicazione |
| microsoft.directory/applicationPolicies/standard/read | Leggere le proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/read | Leggere i proprietari nei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | Leggere i criteri dell'applicazione applicati all'elenco di oggetti |
| microsoft.directory/applicationPolicies/basic/update | Aggiornare le proprietà standard dei criteri dell'applicazione |
| microsoft.directory/applicationPolicies/owners/update | Aggiornare la proprietà proprietario dei criteri dell'applicazione |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminare le entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitare le entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitare le entità servizio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Gestire le credenziali per l'accesso Single Sign-On delle password nelle entità servizio |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestire i segreti e le credenziali del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Leggere le credenziali per l'accesso Single Sign-On delle password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Concedere il consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornare le proprietà dei destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornare le proprietà di autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornare le proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/credentials/update | Aggiornare le credenziali delle entità servizio |
| microsoft.directory/servicePrincipals/notes/update | Aggiornare le note delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornare i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornare le autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornare i criteri delle entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornare la proprietà tag per le entità servizio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore dispositivo cloud
gli utenti con questo ruolo possono abilitare, disabilitare ed eliminare dispositivi in Azure AD, nonché leggere chiavi BitLocker di Windows 10 (se presenti) nel portale di Azure. Il ruolo non concede le autorizzazioni per gestire eventuali altre proprietà nel dispositivo.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave di BitLocker nei dispositivi |
| microsoft.directory/devices/delete | Eliminare i dispositivi da Azure AD |
| microsoft.directory/devices/disable | Disabilitare i dispositivi in Azure AD |
| microsoft.directory/devices/enable | Abilitare i dispositivi in Azure AD |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi |
| microsoft.directory/deviceManagementPolicies/basic/update | Aggiornare le proprietà di base nei criteri delle applicazioni di gestione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di conformità
Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità correlate alla conformità nei Centro conformità Microsoft 365, interfaccia di amministrazione di Microsoft 365, Azure e Office 365 Centro conformità della sicurezza&. Gli assegnatari possono anche gestire tutte le funzionalità all'interno dell'interfaccia di amministrazione di Exchange e Teams & Skype for Business interfacce di amministrazione e creare ticket di supporto per Azure e Microsoft 365. Per altre informazioni, vedere Informazioni sui ruoli di amministratore di Microsoft 365.
| In ingresso | Operazione consentita |
|---|---|
| Centro conformità Microsoft 365 | Proteggere e gestire i dati dell'organizzazione in tutti i servizi di Microsoft 365 Gestire gli avvisi di conformità |
| Compliance Manager | Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione |
| sicurezza & Office 365 Centro conformità | Gestire la governance dei dati Eseguire analisi sui dati e di carattere legale Gestire le richieste di soggetti interessati Questo ruolo dispone delle stesse autorizzazioni del Ruolo amministratore conformità in Office 365 controllo degli accessi in base al ruolo del Centro conformità sicurezza&. |
| Intune | Visualizzare tutti i dati di controllo di Intune |
| Cloud App Security | Disporre di autorizzazioni di sola lettura e gestire gli avvisi Creare e modificare i criteri di file e consentire azioni di governance sui file Visualizzare tutti i report predefiniti in Gestione dati |
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione dei diritti di Azure AD |
| microsoft.office365.complianceManager/allEntities/allTasks | Gestire tutti gli aspetti di Office 365 Compliance Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore dati di conformità
Gli utenti con questo ruolo hanno le autorizzazioni per tenere traccia dei dati nel Centro conformità Microsoft 365, nell'interfaccia di amministrazione di Microsoft 365 e in Azure. Gli utenti possono anche tenere traccia dei dati di conformità all'interno dell'interfaccia di amministrazione Exchange, Compliance Manager e Teams Skype for Business interfaccia di amministrazione e creare ticket di supporto per Azure e Microsoft 365 & . Questa documentazione contiene informazioni dettagliate sulle differenze tra Amministratore conformità e Amministratore dati di conformità.
| In ingresso | Operazione consentita |
|---|---|
| Centro conformità Microsoft 365 | Monitorare i criteri correlati alla conformità in tutti i servizi di Microsoft 365 Gestire gli avvisi di conformità |
| Compliance Manager | Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione |
| sicurezza & Office 365 Centro conformità | Gestire la governance dei dati Eseguire analisi sui dati e di carattere legale Gestire le richieste di soggetti interessati Questo ruolo ha le stesse autorizzazioni del ruolo Di amministratore dei dati di conformità in Office 365 controllo degli accessi in base al ruolo del Centro conformità sicurezza&. |
| Intune | Visualizzare tutti i dati di controllo di Intune |
| Cloud App Security | Disporre di autorizzazioni di sola lettura e gestire gli avvisi Creare e modificare i criteri di file e consentire azioni di governance sui file Visualizzare tutti i report predefiniti in Gestione dati |
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Cloud App Security |
| microsoft.azure.informationProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.complianceManager/allEntities/allTasks | Gestire tutti gli aspetti di Office 365 Compliance Manager |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore accesso condizionale
Gli utenti con questo ruolo possono gestire le impostazioni di accesso condizionale di Azure Active Directory.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/condizionalAccessPolicies/create | Creare criteri di accesso condizionale |
| microsoft.directory/condizionalAccessPolicies/delete | Eliminare i criteri di accesso condizionale |
| microsoft.directory/condizionalAccessPolicies/standard/read | Lettura dell'accesso condizionale per i criteri |
| microsoft.directory/condizionalAccessPolicies/owner/read | Leggere i proprietari dei criteri di accesso condizionale |
| microsoft.directory/condizionalAccessPolicies/policyAppliedTo/read | Leggere la proprietà "applicata a" per i criteri di accesso condizionale |
| microsoft.directory/condizionalAccessPolicies/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/condizionalAccessPolicies/owner/update | Aggiornare i proprietari per i criteri di accesso condizionale |
| microsoft.directory/condizionalAccessPolicies/tenantDefault/update | Aggiornare il tenant predefinito per i criteri di accesso condizionale |
Responsabile approvazione per l'accesso a Customer Lockbox
gestisce le richieste Customer Lockbox nell'organizzazione. Gli utenti con questo ruolo ricevono notifiche di posta elettronica per le richieste Customer Lockbox e possono approvare e rifiutare le richieste dall'interfaccia di amministrazione di Microsoft 365. Possono anche attivare o disattivare la funzionalità Customer Lockbox. Solo gli amministratori globali possono reimpostare le password degli utenti assegnati a questo ruolo.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | Gestire tutti gli aspetti di Customer Lockbox |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Desktop Analytics
Gli utenti in questo ruolo possono gestire il servizio di Desktop Analytics. Ciò include la possibilità di visualizzare l'inventario degli asset, creare piani di distribuzione e visualizzare lo stato di distribuzione e integrità.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gestire tutti gli aspetti di Desktop Analytics |
Ruoli con autorizzazioni di lettura nella directory
Gli utenti con questo ruolo possono leggere le informazioni di base della directory. Questo ruolo deve essere usato per:
- Concedere l'accesso in lettura a un set specifico di utenti guest anziché concederlo a tutti gli utenti guest.
- Concedere a un set specifico di utenti non amministratori l'accesso al portale di Azure quando l'opzione "Limita l'accesso al portale Azure AD solo agli amministratori" è impostata su "Sì".
- Concedere alle entità servizio l'accesso alla directory in cui Directory.Read.All non è un'opzione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | Leggere le proprietà di base nelle unità amministrative |
| microsoft.directory/administrativeUnits/members/read | Leggere i membri delle unità amministrative |
| microsoft.directory/applications/standard/read | Leggere le proprietà standard delle applicazioni |
| microsoft.directory/applications/owners/read | Leggere i proprietari delle applicazioni |
| microsoft.directory/applications/policies/read | Leggere i criteri delle applicazioni |
| microsoft.directory/contacts/standard/read | Leggere le proprietà di base sui contatti in Azure AD |
| microsoft.directory/contacts/memberOf/read | Leggere l'appartenenza al gruppo per tutti i contatti in Azure AD |
| microsoft.directory/contracts/standard/read | Leggere le proprietà di base nei contratti partner |
| microsoft.directory/devices/standard/read | Leggere le proprietà di base nei dispositivi |
| microsoft.directory/devices/memberOf/read | Leggere le appartenenze ai dispositivi |
| microsoft.directory/devices/registeredOwners/read | Leggere i proprietari registrati dei dispositivi |
| microsoft.directory/devices/registeredUsers/read | Leggere gli utenti registrati dei dispositivi |
| microsoft.directory/directoryRoles/standard/read | Leggere le proprietà di base nei ruoli di Azure AD |
| microsoft.directory/directoryRoles/eligibleMembers/read | Leggere i membri idonei dei ruoli Azure AD |
| microsoft.directory/directoryRoles/members/read | Leggere tutti i membri dei ruoli di Azure AD |
| microsoft.directory/domains/standard/read | Leggere le proprietà di base nei domini |
| microsoft.directory/groups/standard/read | Leggere le proprietà standard dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/appRoleAssignments/read | Leggere le assegnazioni di ruolo dell'applicazione dei gruppi |
| microsoft.directory/groups/memberOf/read | Leggere la proprietà memberOf nei gruppi di sicurezza e nei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/members/read | Leggere i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/owners/read | Leggere i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/settings/read | Impostazioni di lettura dei gruppi |
| microsoft.directory/groupSettings/standard/read | Leggere le proprietà di base nelle impostazioni del gruppo |
| microsoft.directory/groupSettingTemplates/standard/read | Leggere le proprietà di base sui modelli di impostazione del gruppo |
| microsoft.directory/oAuth2PermissionGrants/standard/read | Leggere le proprietà di base nelle concessioni di autorizzazione OAuth 2.0 |
| microsoft.directory/organization/standard/read | Leggere le proprietà di base in un'organizzazione |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Leggere le autorità di certificazione attendibili per l'autenticazione senza password |
| microsoft.directory/applicationPolicies/standard/read | Leggere le proprietà standard dei criteri dell'applicazione |
| microsoft.directory/roleAssignments/standard/read | Leggere le proprietà di base sulle assegnazioni di ruolo |
| microsoft.directory/roleDefinitions/standard/read | Leggere le proprietà di base sulle definizioni di ruolo |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Leggere le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Leggere le assegnazioni di ruolo assegnate alle entità servizio |
| microsoft.directory/servicePrincipals/standard/read | Leggere le proprietà di base delle entità servizio |
| microsoft.directory/servicePrincipals/memberOf/read | Leggere le appartenenze ai gruppi nelle entità servizio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Autorizzazioni delegate di lettura per le entità servizio |
| microsoft.directory/servicePrincipals/owners/read | Leggere i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/ownedObjects/read | Leggere gli oggetti di proprietà delle entità servizio |
| microsoft.directory/servicePrincipals/policies/read | Leggere i criteri delle entità servizio |
| microsoft.directory/subscribedSkus/standard/read | Leggere le proprietà di base nelle sottoscrizioni |
| microsoft.directory/users/standard/read | Leggere le proprietà di base per gli utenti |
| microsoft.directory/users/appRoleAssignments/read | Leggere le assegnazioni di ruolo dell'applicazione per gli utenti |
| microsoft.directory/users/deviceForResourceAccount/read | Leggere deviceForResourceAccount degli utenti |
| microsoft.directory/users/directReports/read | Leggere i report diretti per gli utenti |
| microsoft.directory/users/licenseDetails/read | Leggere i dettagli della licenza degli utenti |
| microsoft.directory/users/manager/read | Strumento di gestione lettura degli utenti |
| microsoft.directory/users/memberOf/read | Leggere le appartenenze ai gruppi degli utenti |
| microsoft.directory/users/oAuth2PermissionGrants/read | Leggere le concessioni di autorizzazioni delegate per gli utenti |
| microsoft.directory/users/ownedDevices/read | Leggere i dispositivi di proprietà degli utenti |
| microsoft.directory/users/ownedObjects/read | Legge gli oggetti di proprietà degli utenti |
| microsoft.directory/users/photo/read | Leggere la foto degli utenti |
| microsoft.directory/users/registeredDevices/read | Leggere i dispositivi registrati degli utenti |
| microsoft.directory/users/scopedRoleMemberOf/read | Leggere l'appartenenza dell'utente a un ruolo Azure AD, con ambito a un'unità amministrativa |
Account di sincronizzazione della directory
Non usare. Questo ruolo viene assegnato automaticamente al servizio Azure AD Connect e non è progettato o supportato per altri usi.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/create | Creare tutti i tipi di applicazioni |
| microsoft.directory/applications/delete | Eliminare tutti i tipi di applicazioni |
| microsoft.directory/applications/appRoles/update | Aggiornare la proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornare la proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornare le proprietà di base per le applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornare le credenziali dell'applicazione |
| microsoft.directory/applications/notes/update | Aggiornare le note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornare i proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornare i criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornare i tag delle applicazioni |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gestire i criteri di autenticazione ibrida in Azure AD |
| microsoft.directory/organization/dirSync/update | Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Azure AD |
| microsoft.directory/policies/create | Creare criteri in Azure AD |
| microsoft.directory/policies/delete | Eliminare i criteri in Azure AD |
| microsoft.directory/policies/standard/read | Leggere le proprietà di base sui criteri |
| microsoft.directory/policies/owners/read | Leggere i proprietari dei criteri |
| microsoft.directory/policies/policyAppliedTo/read | Leggere la proprietà policies.policyAppliedTo |
| microsoft.directory/policies/basic/update | Aggiornare le proprietà di base nei criteri |
| microsoft.directory/policies/owners/update | Aggiornare i proprietari dei criteri |
| microsoft.directory/policies/tenantDefault/update | Aggiornare i criteri predefiniti dell'organizzazione |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminare le entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitare le entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitare le entità servizio |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | Gestire le credenziali per l'accesso Single Sign-On delle password nelle entità servizio |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | Leggere le credenziali per l'accesso Single Sign-On delle password nelle entità servizio |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Leggere le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | Leggere le assegnazioni di ruolo assegnate alle entità servizio |
| microsoft.directory/servicePrincipals/standard/read | Leggere le proprietà di base delle entità servizio |
| microsoft.directory/servicePrincipals/memberOf/read | Leggere le appartenenze ai gruppi nelle entità servizio |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Leggere le concessioni di autorizzazioni delegate per le entità servizio |
| microsoft.directory/servicePrincipals/owners/read | Leggere i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/ownedObjects/read | Leggere gli oggetti di proprietà delle entità servizio |
| microsoft.directory/servicePrincipals/policies/read | Leggere i criteri delle entità servizio |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/servicePrincipals/audience/update | Aggiornare le proprietà dei destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornare le proprietà di autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornare le proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/credentials/update | Aggiornare le credenziali delle entità servizio |
| microsoft.directory/servicePrincipals/notes/update | Aggiornare le note delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornare i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornare le autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornare i criteri delle entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornare la proprietà tag per le entità servizio |
Writer di directory
Gli utenti di questo ruolo possono leggere e aggiornare le informazioni di base di utenti, gruppi ed entità servizio. Assegnare questo ruolo solo alle applicazioni che non supportano il framework di consenso. Non deve essere assegnato agli utenti.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/extensionProperties/update | Aggiornare le proprietà dell'estensione nelle applicazioni |
| microsoft.directory/groups/assignLicense | Assegnare licenze di prodotto a gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze per le licenze basate su gruppo |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, escludendo i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/groupType/update | Aggiornare le proprietà che influirebbero sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/onPremWriteBack/update | Aggiornare i gruppi di Azure Active Directory in modo che vengano riscritto in locale con Azure AD Connessione |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/settings/update | Aggiornare le impostazioni dei gruppi |
| microsoft.directory/groups/visibility/update | Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groupSettings/create | Creare le impostazioni dei gruppi |
| microsoft.directory/groupSettings/delete | Eliminare le impostazioni dei gruppi |
| microsoft.directory/groupSettings/basic/update | Aggiornare le proprietà di base nelle impostazioni del gruppo |
| microsoft.directory/oAuth2PermissionGrants/create | Creare concessioni di autorizzazioni OAuth 2.0 |
| microsoft.directory/oAuth2PermissionGrants/basic/update | Aggiornare le concessioni di autorizzazioni OAuth 2.0 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestire i segreti e le credenziali del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Concedere a un'entità servizio l'accesso diretto ai dati di un gruppo |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/disable | Disabilitare gli utenti |
| microsoft.directory/users/enable | Abilitare gli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzare la disconnescazione invalidando i token di aggiornamento utente |
| microsoft.directory/users/inviteGuest | Invitare gli utenti guest |
| microsoft.directory/users/reprocessLicenseAssignment | Rielaborare le assegnazioni delle licenze per gli utenti |
| microsoft.directory/users/basic/update | Aggiornare le proprietà di base per gli utenti |
| microsoft.directory/users/manager/update | Gestione aggiornamenti per gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/userPrincipalName/update | Aggiornare il nome dell'entità utente degli utenti |
Amministratore nome di dominio
Gli utenti con questo ruolo possono gestire (leggere, aggiungere, verificare, aggiornare ed eliminare) nomi di dominio. Possono anche leggere le informazioni sulla directory sugli utenti, i gruppi e le applicazioni, in quanto questi oggetti possiedono dipendenze di dominio. Per gli ambienti locali, gli utenti con questo ruolo possono configurare i nomi di dominio per la federazione in modo che gli utenti associati siano sempre autenticati in locale. Questi utenti possono quindi accedere ai servizi basati su Azure AD con le password locali tramite Single Sign-On. Le impostazioni di federazione devono essere sincronizzate tramite Azure AD Connessione, quindi gli utenti hanno anche le autorizzazioni per gestire Azure AD Connessione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | Creare ed eliminare domini e leggere e aggiornare tutte le proprietà |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Dynamics 365
gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Dynamics 365 Online, quando il servizio è presente, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Altre informazioni sono disponibili in Usare il ruolo di amministratore del servizio per gestire l'organizzazione Azure AD.
Nota
In Microsoft API Graph e Azure AD PowerShell, questo ruolo viene identificato come "Dynamics 365 Service Administrator". È "Dynamics 365 Administrator" nella portale di Azure.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.dynamics365/allEntities/allTasks | Gestire tutti gli aspetti di Dynamics 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore perimetrale
Gli utenti in questo ruolo possono creare e gestire l'elenco di siti aziendali necessari per la modalità Internet Explorer in Microsoft Edge. Questo ruolo concede le autorizzazioni per creare, modificare e pubblicare l'elenco dei siti e consente inoltre l'accesso per gestire i ticket di supporto. Scopri di più
| Azioni | Descrizione |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Edge |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Exchange
gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Exchange Online, quando il servizio è presente. È anche possibile creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio. Altre informazioni sono disponibili in Informazioni sui ruoli di amministratore di Microsoft 365.
Nota
In Microsoft API Graph e Azure AD PowerShell, questo ruolo viene identificato come "Exchange amministratore del servizio". È "amministratore Exchange" nella portale di Azure. È l'"Amministratore di Exchange Online" nell'interfaccia di amministrazione di Exchange.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.unified/create | Creare gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/delete | Eliminare gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/restore | Ripristinare i gruppi Microsoft 365 dal contenitore eliminato temporanea, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/basic/update | Aggiornare le proprietà di base nei gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/members/update | Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/owner/update | Aggiornare i proprietari di gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.exchange/allEntities/basic/allTasks | Gestire tutti gli aspetti di Exchange Online |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere Office 365 report sull'utilizzo |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Exchange amministratore destinatario
Gli utenti con questo ruolo hanno accesso in lettura ai destinatari e l'accesso in scrittura agli attributi di tali destinatari in Exchange Online. Altre informazioni in Exchange Destinatari.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.exchange/allRecipients/allProperties/allTasks | Creare ed eliminare tutti i destinatari e leggere e aggiornare tutte le proprietà dei destinatari in Exchange Online |
| microsoft.office365.exchange/messageTracking/allProperties/allTasks | Gestire tutte le attività nel rilevamento dei messaggi in Exchange Online |
| microsoft.office365.exchange/migration/allProperties/allTasks | Gestire tutte le attività correlate alla migrazione dei destinatari in Exchange Online |
ID esterno - Amministratore dei flussi utente
Gli utenti con questo ruolo possono creare e gestire i flussi utente (detti anche criteri predefiniti) nel portale di Azure. Questi utenti possono personalizzare il contenuto HTML/CSS/JavaScript, modificare i requisiti di MFA, selezionare le attestazioni nel token, gestire i connettori API e le relative credenziali e configurare le impostazioni di sessione per tutti i flussi utente nell'organizzazione Azure AD. D'altra parte, questo ruolo non include la possibilità di esaminare i dati utente o apportare modifiche agli attributi inclusi nello schema dell'organizzazione. Le modifiche apportate ai criteri del framework dell'esperienza di gestione delle identità (noti anche come criteri personalizzati) non rientrano nell'ambito di questo ruolo.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Leggere e configurare il flusso utente in Azure Active Directory B2C |
ID esterno - Amministratore degli attributi dei flussi utente
Gli utenti con questo ruolo aggiungono o eliminano attributi personalizzati disponibili per tutti i flussi utente nell'organizzazione Azure AD. Gli utenti con questo ruolo possono quindi modificare o aggiungere nuovi elementi allo schema degli utenti finali e influire sul comportamento di tutti i flussi utente, causando indirettamente modifiche ai dati che possono essere richiesti agli utenti finali e inviati infine come attestazioni alle applicazioni. Questo ruolo non può modificare i flussi utente.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Leggere e configurare l'attributo utente in Azure Active Directory B2C |
Amministratore dei provider di identità esterni
Questo amministratore gestisce la federazione tra le organizzazioni Azure AD e i provider di identità esterni. Con questo ruolo gli utenti possono aggiungere nuovi provider di identità e configurare tutte le impostazioni disponibili, ad esempio percorso di autenticazione, ID del servizio e contenitori di chiavi assegnati. Questo utente può abilitare l'organizzazione Azure AD in modo che ritenga attendibili le autenticazioni da provider di identità esterni. L'impatto risultante sulle esperienze degli utenti finali dipende dal tipo di organizzazione:
- Azure AD organizzazioni per dipendenti e partner: l'aggiunta di una federazione (ad esempio con Gmail) influirà immediatamente su tutti gli inviti guest non ancora riscattati. Vedere Aggiungere Google come provider di identità per utenti guest B2B.
- Organizzazioni Azure Active Directory B2C: l'aggiunta di una federazione, ad esempio con Facebook o con un'altra organizzazione Azure AD, non ha impatto immediato sui flussi degli utenti finali fino all'aggiunta del provider di identità come opzione in un flusso utente, definito anche criterio predefinito. Per un esempio, vedere Configurazione di un account Microsoft come provider di identità. Per modificare i flussi utente, è necessario il ruolo limitato di "Amministratore dei flussi utente B2C".
| Azioni | Descrizione |
|---|---|
| microsoft.directory/identityProviders/allProperties/allTasks | Leggere e configurare i provider di identità in Azure Active Directory B2C |
Amministratore globale
Gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Azure Active Directory, nonché ai servizi che usano identità Azure Active Directory come il portale di Microsoft 365 Defender, Centro conformità Microsoft 365, Exchange Online, SharePoint Online e Skype for Business Online. Inoltre, gli amministratori globali possono elevare il proprio accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Ciò consente agli amministratori globali di ottenere l'accesso completo a tutte le risorse di Azure usando il rispettivo tenant Azure AD. La persona che si iscrive all'organizzazione Azure AD diventa un amministratore globale. L'azienda può includere più di un amministratore globale. Gli amministratori globali possono reimpostare la password per qualsiasi utente e tutti gli altri amministratori.
Nota
Come procedura consigliata, Microsoft consiglia di assegnare il ruolo di amministratore globale a meno di cinque persone nell'organizzazione. Per altre informazioni, vedere Procedure consigliate per i ruoli di Azure AD.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Azure AD |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Gestire le verifiche di accesso di tutte le risorse rivedibili in Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Gestire i criteri di richiesta di consenso amministratore in Azure AD |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Creare e gestire le unità amministrative inclusi i membri |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Azure AD |
| microsoft.directory/applications/allProperties/allTasks | Creare ed eliminare applicazioni e leggere e aggiornare tutte le proprietà |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applicationTemplates/instantiate | Creare un'istanza di applicazioni della raccolta dai modelli di applicazione |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/users/authenticationMethods/create | Creare metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/delete | Eliminare i metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/standard/read | Leggere le proprietà standard dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/basic/update | Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Gestire tutti gli aspetti dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave di BitLocker nei dispositivi |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Cloud App Security |
| microsoft.directory/connectors/create | Creare connettori proxy di applicazione |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori proxy dell'applicazione |
| microsoft.directory/connectorGroups/create | Creare gruppi di connettori del proxy di applicazione |
| microsoft.directory/connectorGroups/delete | Eliminare i gruppi di connettori del proxy di applicazione |
| microsoft.directory/connectorGroups/allProperties/read | Leggere tutte le proprietà dei gruppi di connettori proxy applicazione |
| microsoft.directory/connectorGroups/allProperties/update | Aggiornare tutte le proprietà dei gruppi di connettori del proxy applicazione |
| microsoft.directory/contacts/allProperties/allTasks | Creare ed eliminare contatti e leggere e aggiornare tutte le proprietà |
| microsoft.directory/contracts/allProperties/allTasks | Creare ed eliminare contratti partner e leggere e aggiornare tutte le proprietà |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Creare e gestire estensioni di autenticazione personalizzate |
| microsoft.directory/deletedItems/delete | Eliminare definitivamente gli oggetti che non possono più essere ripristinati |
| microsoft.directory/deletedItems/restore | Ripristinare lo stato originale degli oggetti eliminati temporaneo |
| microsoft.directory/devices/allProperties/allTasks | Creare ed eliminare dispositivi e leggere e aggiornare tutte le proprietà |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi |
| microsoft.directory/deviceManagementPolicies/basic/update | Aggiornare le proprietà di base nei criteri delle applicazioni di gestione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/basic/update | Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi |
| microsoft.directory/directoryRoles/allProperties/allTasks | Creare ed eliminare i ruoli della directory e leggere e aggiornare tutte le proprietà |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Creare ed eliminare modelli di ruolo Azure AD e leggere e aggiornare tutte le proprietà |
| microsoft.directory/domains/allProperties/allTasks | Creare ed eliminare domini e leggere e aggiornare tutte le proprietà |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione dei diritti Azure AD |
| microsoft.directory/groups/allProperties/allTasks | Creare ed eliminare gruppi e leggere e aggiornare tutte le proprietà |
| microsoft.directory/groupsAssignableToRoles/create | Creare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/delete | Eliminare i gruppi assegnabili dal ruolo |
| microsoft.directory/groupsAssignableToRoles/restore | Ripristinare i gruppi assegnabili dal ruolo |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aggiornare i gruppi assegnabili dal ruolo |
| microsoft.directory/groupSettings/allProperties/allTasks | Creare ed eliminare le impostazioni del gruppo e leggere e aggiornare tutte le proprietà |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | Creare ed eliminare modelli di impostazione del gruppo e leggere e aggiornare tutte le proprietà |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gestire i criteri di autenticazione ibrida in Azure AD |
| microsoft.directory/identityProtection/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | Creare ed eliminare loginTenantBranding e leggere e aggiornare tutte le proprietà |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà |
| microsoft.directory/organization/allProperties/allTasks | Leggere e aggiornare tutte le proprietà per un'organizzazione |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gestire tutti gli aspetti della sincronizzazione hash delle password in Azure AD |
| microsoft.directory/policies/allProperties/allTasks | Creare ed eliminare criteri e leggere e aggiornare tutte le proprietà |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | Gestire tutte le proprietà dei criteri di accesso condizionale |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aggiornare le impostazioni di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aggiornare Azure AD impostazioni di collaborazione B2B dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aggiornare Azure AD impostazioni di connessione diretta B2B dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di accesso multi-cloud Teams riunione dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminare i criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aggiornare Azure AD impostazioni di collaborazione B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aggiornare Azure AD impostazioni di connessione diretta B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni di accesso multi-cloud Teams riunione dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/roleAssignments/allProperties/allTasks | Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà dell'assegnazione di ruolo |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà |
| microsoft.directory/serviceAction/activateService | Può eseguire l'azione "attiva servizio" per un servizio |
| microsoft.directory/serviceAction/disableDirectoryFeature | Può eseguire l'azione del servizio "disabilita funzionalità directory" |
| microsoft.directory/serviceAction/enableDirectoryFeature | Può eseguire l'azione del servizio "enable directory feature" |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Può eseguire l'azione del servizio getAvailableExtentionProperties |
| microsoft.directory/servicePrincipals/allProperties/allTasks | Creare ed eliminare entità servizio e leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Concedere a un'entità servizio l'accesso diretto ai dati di un gruppo |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.directory/subscribedSkus/allProperties/allTasks | Acquistare ed gestire sottoscrizioni ed eliminare sottoscrizioni |
| microsoft.directory/users/allProperties/allTasks | Creare ed eliminare utenti e leggere e aggiornare tutte le proprietà |
| microsoft.directory/permissionGrantPolicies/create | Creare criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/delete | Eliminare i criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/standard/read | Leggere le proprietà standard dei criteri di concessione delle autorizzazioni |
| microsoft.directory/permissionGrantPolicies/basic/update | Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni |
| microsoft.directory/servicePrincipalCreationPolicies/create | Creare criteri di creazione dell'entità servizio |
| microsoft.directory/servicePrincipalCreationPolicies/delete | Eliminare i criteri di creazione dell'entità servizio |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Leggere le proprietà standard dei criteri di creazione dell'entità servizio |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | Aggiornare le proprietà di base dei criteri di creazione dell'entità servizio |
| microsoft.directory/verificabiliCredentials/configuration/contracts/cards/allProperties/read | Leggere una scheda delle credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/contracts/cards/revoke | Revocare una scheda credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/contracts/create | Creare un contratto di credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/read | Leggere un contratto di credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/update | Aggiornare un contratto di credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/create | Creare la configurazione necessaria per creare e gestire le credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/delete | Eliminare la configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/allProperties/read | Lettura della configurazione necessaria per creare e gestire le credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/allProperties/update | Aggiornare la configurazione necessaria per creare e gestire le credenziali verificabili |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Advanced Threat Protection |
| microsoft.azure.informationProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Information Protection |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Windows 365 |
| microsoft.commerce.billing/allEntities/allTasks | Gestire tutti gli aspetti della fatturazione di Office 365 |
| microsoft.dynamics365/allEntities/allTasks | Gestire tutti gli aspetti di Dynamics 365 |
| microsoft.edge/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Microsoft Edge |
| microsoft.flow/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Power Automate |
| microsoft.insights/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dell'app Insights |
| microsoft.intune/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Intune |
| microsoft.office365.complianceManager/allEntities/allTasks | Gestire tutti gli aspetti di Office 365 Compliance Manager |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | Gestire tutti gli aspetti di Desktop Analytics |
| microsoft.office365.exchange/allEntities/basic/allTasks | Gestire tutti gli aspetti di Exchange Online |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Leggere i report analitici sulla comprensione del contenuto in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Leggere e aggiornare tutte le proprietà della rete di conoscenze in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gestire la visibilità dell'argomento della rete delle conoscenze in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gestire le origini di apprendimento e tutte le relative proprietà in Learning App. |
| microsoft.office365.lockbox/allEntities/allTasks | Gestire tutti gli aspetti di Customer Lockbox |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.messageCenter/securityMessages/read | Leggere i messaggi di sicurezza nel Centro messaggi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dei centri sicurezza e conformità |
| microsoft.office365.search/content/manage | Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Search |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Office 365 Centro conformità sicurezza & |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere i report sull'utilizzo di Office 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leggere e aggiornare la visibilità dei nuovi messaggi |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Yammer |
| microsoft.powerApps/allEntities/allTasks | Gestire tutti gli aspetti di Power Apps |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gestire tutti gli aspetti di Power BI |
| microsoft.teams/allEntities/allProperties/allTasks | Gestire tutte le risorse in Teams |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Defender per endpoint |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leggere e configurare tutti gli aspetti del servizio Windows Update |
Ruolo con autorizzazioni di lettura globali
Gli utenti con questo ruolo possono leggere le impostazioni e le informazioni amministrative tra servizi Microsoft 365, ma non possono eseguire azioni di gestione. Global Reader è la controparte di sola lettura di Amministratore globale. Assegnare il lettore globale anziché l'amministratore globale per la pianificazione, i controlli o le indagini. Usare l'utilità di lettura globale in combinazione con altri ruoli di amministratore limitati, ad esempio Exchange Administrator, per semplificare l'esecuzione del lavoro senza l'assegnazione del ruolo di amministratore globale. Il lettore globale funziona con interfaccia di amministrazione di Microsoft 365, interfaccia di amministrazione di Exchange, interfaccia di amministrazione SharePoint, interfaccia di amministrazione Teams, Centro sicurezza, Centro conformità, interfaccia di amministrazione Azure AD e Gestione dispositivi interfaccia di amministrazione.
Nota
Il ruolo Lettore globale presenta alcune limitazioni al momento:
- interfaccia di amministrazione di OneDrive : l'interfaccia di amministrazione di OneDrive non supporta il ruolo Lettore globale
- interfaccia di amministrazione di Microsoft 365: il lettore globale non può leggere le app integrate. La scheda App integrate non verrà visualizzata in Impostazioni nel riquadro sinistro di interfaccia di amministrazione di Microsoft 365.
- Office Centro sicurezza & conformità - Il lettore globale non può leggere i log di controllo SCC, eseguire la ricerca contenuto o vedere Secure Score.
- interfaccia di amministrazione di Teams: il lettore globale non può leggere Teams ciclo di vita, report di Analisi&, gestione dei dispositivi ip e Catalogo app. Per altre informazioni, vedere Usare i ruoli di amministratore di Microsoft Teams per gestire Teams.
- Privileged Access Management (PAM) non supporta il ruolo Lettore globale.
- Azure Information Protection: lettore globale è supportato solo per la creazione di report centrali e quando l'organizzazione Azure AD non si trova nella piattaforma di etichettatura unificata.
- SharePoint: il lettore globale non può attualmente accedere alle SharePoint tramite PowerShell.
Queste funzionalità sono attualmente in fase di sviluppo.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/allProperties/read | (Deprecato) Leggere tutte le proprietà delle verifiche di accesso |
| microsoft.directory/accessReviews/definitions/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse rivedibili in Azure AD |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Leggere tutte le proprietà dei criteri di richiesta di consenso amministratore in Azure AD |
| microsoft.directory/administrativeUnits/allProperties/read | Leggere tutte le proprietà delle unità amministrative, inclusi i membri |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Azure AD |
| microsoft.directory/applications/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) in tutti i tipi di applicazioni |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | Leggere le proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave di BitLocker nei dispositivi |
| microsoft.directory/cloudAppSecurity/allProperties/read | Leggere tutte le proprietà per Cloud App Security |
| microsoft.directory/connectors/allProperties/read | Leggere tutte le proprietà dei connettori proxy dell'applicazione |
| microsoft.directory/connectorGroups/allProperties/read | Leggere tutte le proprietà dei gruppi di connettori proxy applicazione |
| microsoft.directory/contacts/allProperties/read | Leggere tutte le proprietà per i contatti |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | Leggere le estensioni di autenticazione personalizzate |
| microsoft.directory/devices/allProperties/read | Lettura di tutte le proprietà dei dispositivi |
| microsoft.directory/directoryRoles/allProperties/read | Leggere tutte le proprietà dei ruoli della directory |
| microsoft.directory/directoryRoleTemplates/allProperties/read | Leggere tutte le proprietà dei modelli di ruolo della directory |
| microsoft.directory/domains/allProperties/read | Leggere tutte le proprietà dei domini |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione entitlement di Azure AD |
| microsoft.directory/groups/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) nei gruppi di sicurezza e nei gruppi di Microsoft 365, inclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groupSettings/allProperties/read | Leggere tutte le proprietà delle impostazioni del gruppo |
| microsoft.directory/groupSettingTemplates/allProperties/read | Leggere tutte le proprietà dei modelli di impostazione di gruppo |
| microsoft.directory/identityProtection/allProperties/read | Leggere tutte le risorse in Azure AD Identity Protection |
| microsoft.directory/loginOrganizationBranding/allProperties/read | Leggere tutte le proprietà per la pagina di accesso personalizzata dell'organizzazione |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | Leggere tutte le proprietà delle concessioni di autorizzazione OAuth 2.0 |
| microsoft.directory/organization/allProperties/read | Leggere tutte le proprietà per un'organizzazione |
| microsoft.directory/permissionGrantPolicies/standard/read | Leggere le proprietà standard dei criteri di concessione delle autorizzazioni |
| microsoft.directory/policies/allProperties/read | Lettura di tutte le proprietà dei criteri |
| microsoft.directory/condizionalAccessPolicies/allProperties/read | Leggere tutte le proprietà dei criteri di accesso condizionale |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/roleAssignments/allProperties/read | Leggere tutte le proprietà delle assegnazioni di ruolo |
| microsoft.directory/roleDefinitions/allProperties/read | Leggere tutte le proprietà delle definizioni dei ruoli |
| microsoft.directory/scopedRoleMemberships/allProperties/read | Visualizzare i membri nelle unità amministrative |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Può eseguire l'azione del servizio getAvailableExtentionProperties |
| microsoft.directory/servicePrincipals/allProperties/read | Leggere tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | Leggere le proprietà standard dei criteri di creazione dell'entità servizio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.directory/subscribedSkus/allProperties/read | Leggere tutte le proprietà delle sottoscrizioni del prodotto |
| microsoft.directory/users/allProperties/read | Leggere tutte le proprietà degli utenti |
| microsoft.directory/verificabiliCredentials/configuration/contracts/cards/allProperties/read | Leggere una scheda delle credenziali verificabili |
| microsoft.directory/verificabiliCredentials/configuration/contracts/allProperties/read | Leggere un contratto di credenziali verificabile |
| microsoft.directory/verificabiliCredentials/configuration/allProperties/read | Lettura della configurazione necessaria per creare e gestire le credenziali verificabili |
| microsoft.cloudPC/allEntities/allProperties/read | Leggere tutti gli aspetti di Windows 365 |
| microsoft.commerce.billing/allEntities/read | Leggere tutte le risorse di fatturazione Office 365 |
| microsoft.edge/allEntities/allProperties/read | Leggere tutti gli aspetti di Microsoft Edge |
| microsoft.insights/allEntities/allProperties/read | Leggere tutti gli aspetti di Viva Insights |
| microsoft.office365.exchange/allEntities/standard/read | Leggere tutte le risorse di Exchange Online |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.messageCenter/securityMessages/read | Leggere i messaggi di sicurezza nel Centro messaggi nell'interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | Leggere tutte le proprietà nei centri sicurezza e conformità |
| microsoft.office365.securityComplianceCenter/allEntities/read | Leggere le proprietà standard in Microsoft 365 Security and Compliance Center |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere Office 365 report sull'utilizzo |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.yammer/allEntities/allProperties/read | Leggere tutti gli aspetti di Yammer |
| microsoft.teams/allEntities/allProperties/read | Leggere tutte le proprietà di Microsoft Teams |
| microsoft.virtualVisits/allEntities/allProperties/read | Leggere tutti gli aspetti delle visite virtuali |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Leggere tutti gli aspetti del servizio Windows Update |
Amministratore di gruppi
Gli utenti con questo ruolo possono creare o gestire gruppi e le relative impostazioni, ad esempio i criteri di denominazione e scadenza. È importante comprendere che l'assegnazione di un utente a questo ruolo offre la possibilità di gestire tutti i gruppi nell'organizzazione per diversi carichi di lavoro, ad esempio Teams, SharePoint, Yammer, oltre a Outlook. Inoltre, l'utente sarà in grado di gestire le varie impostazioni dei gruppi in vari portali di amministrazione, ad esempio l'interfaccia di amministrazione Microsoft, portale di Azure, nonché quelli specifici del carico di lavoro, ad esempio Teams e SharePoint interfacce di amministrazione.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/deletedItems.groups/delete | Eliminare definitivamente i gruppi, che non possono più essere ripristinati |
| microsoft.directory/deletedItems.groups/restore | Ripristinare i gruppi eliminati temporanea allo stato originale |
| microsoft.directory/groups/assignLicense | Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups/hiddenMembers/read | Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenza per le licenze basate su gruppo |
| microsoft.directory/groups/restore | Ripristinare i gruppi dal contenitore eliminato temporanea |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili da ruolo |
| microsoft.directory/groups/groupType/update | Proprietà di aggiornamento che influiscono sul tipo di gruppo di gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili da ruolo |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups/onPremWriteBack/update | Aggiornare Azure Active Directory gruppi da scrivere in locale con Azure AD Connessione |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups/settings/update | Aggiornare le impostazioni dei gruppi |
| microsoft.directory/groups/visibility/update | Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Concedere a un'entità servizio l'accesso diretto ai dati di un gruppo |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Mittente dell'invito guest
gli utenti con questo ruolo possono gestire gli inviti per gli utenti guest di Azure Active Directory B2B quando il valore dell'impostazione utente I membri possono invitare è No. Altre informazioni sulla collaborazione B2B in Informazioni su Collaborazione B2B di Azure Active Directory. Il ruolo non include altre autorizzazioni.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/users/inviteGuest | Invitare gli utenti guest |
| microsoft.directory/users/standard/read | Leggere le proprietà di base sugli utenti |
| microsoft.directory/users/appRoleAssignments/read | Leggere le assegnazioni di ruolo dell'applicazione per gli utenti |
| microsoft.directory/users/deviceForResourceAccount/read | Leggere deviceForResourceAccount degli utenti |
| microsoft.directory/users/directReports/read | Leggere i report diretti per gli utenti |
| microsoft.directory/users/licenseDetails/read | Leggere i dettagli della licenza degli utenti |
| microsoft.directory/users/manager/read | Lettura del gestore degli utenti |
| microsoft.directory/users/memberOf/read | Leggere le appartenenze ai gruppi degli utenti |
| microsoft.directory/users/oAuth2PermissionGrants/read | Autorizzazioni delegate di lettura per gli utenti |
| microsoft.directory/users/ownedDevices/read | Leggere i dispositivi di proprietà degli utenti |
| microsoft.directory/users/ownedObjects/read | Leggere oggetti di proprietà degli utenti |
| microsoft.directory/users/photo/read | Leggere foto degli utenti |
| microsoft.directory/users/registeredDevices/read | Leggere i dispositivi registrati degli utenti |
| microsoft.directory/users/scopedRoleMemberOf/read | Leggere l'appartenenza dell'utente a un ruolo di Azure AD, con ambito a un'unità amministrativa |
Amministratore del supporto tecnico
Gli utenti con questo ruolo possono modificare le password, invalidare i token di aggiornamento, creare e gestire le richieste di supporto con Microsoft per Azure e Microsoft 365 servizi e monitorare l'integrità dei servizi. Invalidando un token di aggiornamento si impone all'utente di eseguire di nuovo l'accesso. Se un amministratore del supporto tecnico può reimpostare la password di un utente e invalidare i token di aggiornamento dipende dal ruolo assegnato dall'utente. Per un elenco dei ruoli che un amministratore del supporto tecnico può reimpostare le password per e invalidare i token di aggiornamento, vedere Autorizzazioni di reimpostazione della password.
Importante
gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a dati sensibili, informazioni riservate o configurazioni critiche sia dall'interno che dall'esterno di Azure Active Directory. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero disporre di autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli utenti con ruolo di Amministratore supporto tecnico. Ciò significa che un Amministratore supporto tecnico potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure.
- Gruppo di sicurezza e Microsoft 365 proprietari di gruppi, che possono gestire l'appartenenza al gruppo. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
- Amministratori in altri servizi all'esterno di Azure Active Directory, ad esempio Exchange Online, Centro sicurezza e conformità di Office e sistemi di gestione delle risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Gli utenti con questo ruolo non possono modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile al ruolo.
Delegare le autorizzazioni amministrative sui subset di utenti e applicare i criteri a un subset di utenti è possibile con unità amministrative.
Questo ruolo era precedentemente chiamato "Amministratore password" nel portale di Azure. Il nome "Amministratore supporto tecnico" in Azure AD ora corrisponde al nome in Azure AD PowerShell e nell'API Microsoft Graph.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave di bitlocker nei dispositivi |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzare l'disconnessamento invalidando i token di aggiornamento utente |
| microsoft.directory/users/password/update | Reimpostare le password per tutti gli utenti |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore delle identità ibride
Gli utenti di questo ruolo possono creare, gestire e distribuire la configurazione della configurazione del provisioning da AD a Azure AD usando il provisioning cloud, nonché gestire Azure AD Connessione, autenticazione pass-through (PTA), sincronizzazione dell'hash delle password (PHS), facile single Sign-On (Seamless SSO) e impostazioni di federazione. Gli utenti possono anche risolvere i problemi e monitorare i log usando questo ruolo.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/create | Creare tutti i tipi di applicazioni |
| microsoft.directory/applications/delete | Eliminare tutti i tipi di applicazioni |
| microsoft.directory/applications/appRoles/update | Aggiornare la proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornare la proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornare le proprietà di base per le applicazioni |
| microsoft.directory/applications/notes/update | Aggiornare le note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornare i proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornare i criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornare i tag delle applicazioni |
| microsoft.directory/applications/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'oggetto applicazione |
| microsoft.directory/applicationTemplates/instantiate | Creare un'istanza di applicazioni della raccolta dai modelli di applicazione |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Leggere e configurare tutte le proprietà del servizio di provisioning cloud di Azure AD. |
| microsoft.directory/deletedItems.applications/delete | Eliminare definitivamente le applicazioni che non possono più essere ripristinate |
| microsoft.directory/deletedItems.applications/restore | Ripristinare lo stato originale delle applicazioni eliminate soft |
| microsoft.directory/domains/allProperties/read | Leggere tutte le proprietà dei domini |
| microsoft.directory/domains/federation/update | Aggiornare la proprietà federativa dei domini |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gestire i criteri di autenticazione ibrida in Azure AD |
| microsoft.directory/organization/dirSync/update | Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Azure AD |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/servicePrincipals/create | Creare entità servizio |
| microsoft.directory/servicePrincipals/delete | Eliminare le entità servizio |
| microsoft.directory/servicePrincipals/disable | Disabilitare le entità servizio |
| microsoft.directory/servicePrincipals/enable | Abilitare le entità servizio |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | Gestire i segreti e le credenziali del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni |
| microsoft.directory/servicePrincipals/audience/update | Aggiornare le proprietà dei destinatari nelle entità servizio |
| microsoft.directory/servicePrincipals/authentication/update | Aggiornare le proprietà di autenticazione nelle entità servizio |
| microsoft.directory/servicePrincipals/basic/update | Aggiornare le proprietà di base nelle entità servizio |
| microsoft.directory/servicePrincipals/notes/update | Aggiornare le note delle entità servizio |
| microsoft.directory/servicePrincipals/owners/update | Aggiornare i proprietari delle entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornare le autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/policies/update | Aggiornare i criteri delle entità servizio |
| microsoft.directory/servicePrincipals/tag/update | Aggiornare la proprietà tag per le entità servizio |
| microsoft.directory/servicePrincipals/synchronization/standard/read | Leggere le impostazioni di provisioning associate all'entità servizio |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Identity Governance
Gli utenti con questo ruolo possono gestire Azure AD configurazione di Identity Governance, inclusi i pacchetti di accesso, le verifiche di accesso, i cataloghi e i criteri, assicurando che l'accesso venga approvato e esaminato e gli utenti guest che non hanno più bisogno di accesso vengono rimossi.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gestire le verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Azure AD |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gestire le verifiche di accesso per le assegnazioni dei pacchetti di accesso nella gestione dei diritti |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Sicurezza e Microsoft 365, esclusi i gruppi assegnabili di ruolo. |
| microsoft.directory/accessReviews/definitions.groups/create | Creare verifiche di accesso per l'appartenenza ai gruppi Sicurezza e Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Eliminare le verifiche di accesso per l'appartenenza ai gruppi sicurezza e Microsoft 365. |
| microsoft.directory/accessReviews/allProperties/allTasks | (Deprecato) Creare ed eliminare le verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Azure AD |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione dei diritti Azure AD |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
Amministratore di Insights
Gli utenti in questo ruolo possono accedere al set completo di funzionalità amministrative nell'applicazione Microsoft 365 Insights. Questo ruolo ha la possibilità di leggere le informazioni sulla directory, monitorare l'integrità del servizio, i ticket di supporto dei file e accedere agli aspetti delle impostazioni di amministratore Insights.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.insights/allEntities/allProperties/allTasks | Gestire tutti gli aspetti dell'app Insights |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Leader aziendale di Insights
Gli utenti in questo ruolo possono accedere a un set di dashboard e informazioni dettagliate tramite l'applicazione Microsoft 365 Insights. Ciò include l'accesso completo a tutti i dashboard e alle funzionalità di esplorazione dei dati e informazioni dettagliate. Gli utenti in questo ruolo non hanno accesso alle impostazioni di configurazione del prodotto, ovvero la responsabilità del ruolo amministratore Insights.
| Azioni | Descrizione |
|---|---|
| microsoft.insights/reports/allProperties/read | Visualizzare report e dashboard nell'app Insights |
| microsoft.insights/programs/allProperties/update | Distribuire e gestire programmi nell'app Insights |
Amministratore di Intune
gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Intune Online, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi. Altre informazioni sono disponibili in Controllo degli accessi in base al ruolo (RBAC) con Microsoft Intune.
Questo ruolo può creare e gestire tutti i gruppi di sicurezza. Tuttavia, Intune amministratore non dispone dei diritti di amministratore sui gruppi di Office. Questo significa che l'amministratore non può aggiornare i proprietari o le appartenenze di tutti i gruppi di Office nell'organizzazione. Tuttavia, è in grado di gestire il gruppo di Office creato come parte dei propri privilegi di utente finale. Pertanto, qualsiasi gruppo di Office (non gruppo di sicurezza) creato dall'utente deve essere conteggiato ai fini della quota di 250.
Nota
In Microsoft API Graph e Azure AD PowerShell, questo ruolo viene identificato come "amministratore del servizio Intune". È "amministratore Intune" nella portale di Azure.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave di bitlocker nei dispositivi |
| microsoft.directory/contacts/create | Creare contatti |
| microsoft.directory/contacts/delete | Eliminare i contatti |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base nei contatti |
| microsoft.directory/devices/create | Creare dispositivi (registrare in Azure AD) |
| microsoft.directory/devices/delete | Eliminare i dispositivi da Azure AD |
| microsoft.directory/devices/disable | Disabilitare i dispositivi in Azure AD |
| microsoft.directory/devices/enable | Abilitare i dispositivi in Azure AD |
| microsoft.directory/devices/basic/update | Aggiornare le proprietà di base nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet1/update | Aggiornare l'estensioneAttribute1 alle proprietà extensionAttribute5 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet2/update | Aggiornare l'extensionAttribute6 alle proprietà extensionAttribute10 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet3/update | Aggiornare l'estensioneAttribute11 alle proprietà ExtensionAttribute15 nei dispositivi |
| microsoft.directory/devices/registeredOwners/update | Aggiornare i proprietari registrati dei dispositivi |
| microsoft.directory/devices/registeredUsers/update | Aggiornare gli utenti registrati dei dispositivi |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.directory/groups/hiddenMembers/read | Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo |
| microsoft.directory/groups.security/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/owners/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/visibility/update | Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/users/basic/update | Aggiornare le proprietà di base per gli utenti |
| microsoft.directory/users/manager/update | Gestione aggiornamenti per gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Windows 365 |
| microsoft.intune/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Intune |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Kaizala
Gli utenti con questo ruolo hanno autorizzazioni globali per gestire le impostazioni in Microsoft Kaizala, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Inoltre, l'utente può accedere ai report relativi all'utilizzo dell'adozione di Kaizala da parte dei membri dell'organizzazione & e dei report aziendali generati usando le azioni Kaizala.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore delle conoscenze
Gli utenti di questo ruolo hanno accesso completo a tutte le impostazioni di conoscenza, apprendimento e funzionalità intelligenti nel interfaccia di amministrazione di Microsoft 365. Hanno una conoscenza generale della suite di prodotti, dettagli delle licenze e ha la responsabilità di controllare l'accesso. L'amministratore delle informazioni può creare e gestire contenuti, ad esempio argomenti, acronimi e risorse di apprendimento. Inoltre, questi utenti possono creare centri contenuti, monitorare l'integrità dei servizi e creare richieste di servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/createAsOwner | Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli. L'autore viene aggiunto come primo proprietario. |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/owners/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Leggere e aggiornare tutte le proprietà della comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | Gestire le origini di apprendimento e tutte le relative proprietà in Learning App. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Leggere tutte le proprietà delle etichette di riservatezza nei centri sicurezza e conformità |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Knowledge Manager
Gli utenti di questo ruolo possono creare e gestire contenuto, ad esempio argomenti, acronimi e contenuti di apprendimento. Questi utenti sono principalmente responsabili della qualità e della struttura delle conoscenze. Questo utente dispone dei diritti completi per le azioni di gestione degli argomenti per confermare un argomento, approvare le modifiche o eliminare un argomento. Questo ruolo può anche gestire le tassonomie come parte dello strumento di gestione dell'archivio termini e creare centri contenuti.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/createAsOwner | Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli. L'autore viene aggiunto come primo proprietario. |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.security/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.security/owners/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili ai ruoli |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore licenze
gli utenti in questo ruolo possono aggiungere, rimuovere e aggiornare le assegnazioni di licenze a utenti, gruppi (usando licenze basate su gruppi) e gestire i percorsi di utilizzo per gli utenti. Il ruolo non garantisce la possibilità di acquistare o gestire sottoscrizioni, creare o gestire gruppi o creare o gestire utenti al di fuori del percorso di utilizzo. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/groups/assignLicense | Assegnare licenze di prodotto a gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze per le licenze basate su gruppo |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/reprocessLicenseAssignment | Rielaborare le assegnazioni delle licenze per gli utenti |
| microsoft.directory/users/usageLocation/update | Aggiornare la posizione di utilizzo degli utenti |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi
Gli utenti con questo ruolo possono monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati. Gli utenti con il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi ricevono notifiche tramite posta elettronica, incluse quelle relative alla privacy dei dati, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo l'amministratore globale e il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo include anche la possibilità di visualizzare gruppi, domini e sottoscrizioni. Questo ruolo non ha le autorizzazioni per visualizzare, creare o gestire richieste di servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.messageCenter/securityMessages/read | Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Ruolo con autorizzazioni di lettura per il Centro messaggi
Gli utenti di questo ruolo possono monitorare le notifiche e gli aggiornamenti dell'integrità di avviso nel Centro messaggi per l'organizzazione in servizi configurati, ad esempio Exchange, Intune e Microsoft Teams. I lettori del Centro messaggi ricevono digest settimanali di post, aggiornamenti e possono condividere post del Centro messaggi in Microsoft 365. In Azure AD, gli utenti assegnati a questo ruolo avranno solo l'accesso di sola lettura ai servizi di Azure AD, ad esempio utenti e gruppi. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Utente Commerce moderno
Non usare. Questo ruolo viene assegnato automaticamente da Commerce e non è progettato o supportato per altri usi. Vedere i dettagli di seguito.
Il ruolo Utente di Modern Commerce concede a determinati utenti l'autorizzazione ad accedere a interfaccia di amministrazione di Microsoft 365 e visualizzare le voci di spostamento a sinistra per Home, Fatturazione e Supporto. I contenuti disponibili in queste aree sono controllati da ruoli specifici per attività commerciali assegnati agli utenti per gestire i prodotti acquistati per se stessi o per la propria organizzazione. Questo potrebbe includere attività quali il pagamento di fatture o l'accesso agli account di fatturazione e ai profili di fatturazione.
Gli utenti con il ruolo Utente di Modern Commerce hanno in genere autorizzazioni amministrative in altri sistemi di acquisto Microsoft, ma non hanno ruoli di amministratore globale o amministratore fatturazione usati per accedere all'interfaccia di amministrazione.
Quando viene assegnato il ruolo Utente di Commercio moderno?
- Acquisto self-service nell'interfaccia di amministrazione di Microsoft 365 - L'acquisto self-service offre agli utenti la possibilità di provare nuovi prodotti acquistandoli o effettuando l'iscrizione autonomamente. Questi prodotti vengono gestiti nell'interfaccia di amministrazione. Agli utenti che effettuano un acquisto self-service viene assegnato un ruolo nel sistema commerciale e al ruolo Utente commercio moderno in modo che possano gestire gli acquisti nell'interfaccia di amministrazione. Gli amministratori possono bloccare gli acquisti self-service (per Power BI, Power Apps, Power Automate) tramite PowerShell. Per altre informazioni, vedere Domande frequenti sugli acquisti self-service.
- Acquisti dal marketplace commerciale Microsoft: analogamente all'acquisto self-service, quando un utente acquista un prodotto o un servizio da Microsoft AppSource o Azure Marketplace, il ruolo Utente di Commercio moderno viene assegnato se non ha il ruolo Amministratore globale o Amministratore fatturazione. In alcuni casi, è possibile che gli utenti non possano effettuare questi acquisti. Per altre informazioni, vedere Marketplace commerciale Microsoft.
- Proposte di Microsoft : una proposta è un'offerta formale di Microsoft per l'acquisto di prodotti e servizi Microsoft da parte dell'organizzazione. Quando la persona che accetta la proposta non ha un ruolo di amministratore globale o amministratore fatturazione in Azure AD, viene assegnato sia un ruolo specifico dell'azienda per completare la proposta che il ruolo Utente commercio moderno per accedere all'interfaccia di amministrazione. Quando accedono all'interfaccia di amministrazione, possono usare solo le funzionalità autorizzate dal proprio ruolo specifico per attività commerciali.
- Ruoli specifici per attività commerciali - Ad alcuni utenti vengono assegnati ruoli specifici per attività commerciali. Se un utente non è un amministratore globale o un amministratore fatturazione, ottiene il ruolo utente di Modern Commerce in modo che possa accedere all'interfaccia di amministrazione.
Se il ruolo Utente di Modern Commerce non viene assegnato da un utente, perde l'accesso a interfaccia di amministrazione di Microsoft 365. Se era responsabile della gestione di prodotti, per se stesso o per l'organizzazione, non sarà più in grado di occuparsene. I compiti di gestione potrebbero includere l'assegnazione di licenze, la modifica dei metodi di pagamento, il pagamento di fatture o altre attività per la gestione delle sottoscrizioni.
| Azioni | Descrizione |
|---|---|
| microsoft.commerce.billing/partners/read | Legge la proprietà partner di fatturazione di Microsoft 365 |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Gestire tutti gli aspetti del Centro servizi per contratti multilicenza |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/basic/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di rete
Gli utenti con questo ruolo possono esaminare le raccomandazioni relative all'architettura perimetrale di rete di Microsoft basate sui dati di telemetria di rete dalle posizioni degli utenti. Le prestazioni di rete per Microsoft 365 si basano su un'attenta architettura perimetrale della rete del cliente aziendale, in genere specifica della posizione utente. Questo ruolo consente di modificare le posizioni utente individuate e la configurazione dei parametri di rete per tali posizioni per facilitare misure di telemetria e raccomandazioni di progettazione migliorate
| Azioni | Descrizione |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | Gestire tutti gli aspetti dei percorsi di rete |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore delle app di Office
Gli utenti di questo ruolo possono gestire le impostazioni cloud delle app Microsoft 365. Sono incluse la gestione dei criteri cloud, la gestione dei download self-service e la possibilità di visualizzare report correlati alle app di Office. Questo ruolo concede anche la possibilità di gestire i ticket di supporto e di monitorare l'integrità dei servizi nell'interfaccia di amministrazione principale. Gli utenti assegnati a questo ruolo possono anche gestire la comunicazione delle nuove funzionalità nelle app di Office.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.userCommunication/allEntities/allTasks | Leggere e aggiornare la visibilità dei nuovi messaggi |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Supporto partner - Livello 1
Non usare. Questo ruolo è deprecato e verrà rimosso da Azure AD in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.
Importante
Questo ruolo può reimpostare le password e invalidare i token di aggiornamento solo per gli utenti non amministratori. Questo ruolo non deve essere usato perché è deprecato e non verrà più restituito nell'API.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/appRoles/update | Aggiornare la proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornare la proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornare le proprietà di base per le applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornare le credenziali dell'applicazione |
| microsoft.directory/applications/notes/update | Aggiornare le note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornare i proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornare i criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornare i tag delle applicazioni |
| microsoft.directory/contacts/create | Creare contatti |
| microsoft.directory/contacts/delete | Elimina contatti |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base sui contatti |
| microsoft.directory/deletedItems.groups/restore | Ripristinare lo stato originale dei gruppi eliminati temporaneo |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/restore | Ripristinare i gruppi da un contenitore eliminato leggero |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/delete | Eliminare gli utenti |
| microsoft.directory/users/disable | Disabilitare gli utenti |
| microsoft.directory/users/enable | Abilitare gli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzare la disconnescazione invalidando i token di aggiornamento utente |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/basic/update | Aggiornare le proprietà di base per gli utenti |
| microsoft.directory/users/manager/update | Gestione aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostare le password per tutti gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/userPrincipalName/update | Aggiornare il nome dell'entità utente degli utenti |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Supporto partner - Livello 2
Non usare. Questo ruolo è deprecato e verrà rimosso da Azure AD in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.
Importante
Questo ruolo può reimpostare le password e invalidare i token di aggiornamento per tutti gli amministratori e gli amministratori non amministratori (inclusi gli amministratori globali). Questo ruolo non deve essere usato perché è deprecato e non verrà più restituito nell'API.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/appRoles/update | Aggiornare la proprietà appRoles in tutti i tipi di applicazioni |
| microsoft.directory/applications/audience/update | Aggiornare la proprietà audience per le applicazioni |
| microsoft.directory/applications/authentication/update | Aggiornare l'autenticazione in tutti i tipi di applicazioni |
| microsoft.directory/applications/basic/update | Aggiornare le proprietà di base per le applicazioni |
| microsoft.directory/applications/credentials/update | Aggiornare le credenziali dell'applicazione |
| microsoft.directory/applications/notes/update | Aggiornare le note delle applicazioni |
| microsoft.directory/applications/owners/update | Aggiornare i proprietari delle applicazioni |
| microsoft.directory/applications/permissions/update | Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni |
| microsoft.directory/applications/policies/update | Aggiornare i criteri delle applicazioni |
| microsoft.directory/applications/tag/update | Aggiornare i tag delle applicazioni |
| microsoft.directory/contacts/create | Creare contatti |
| microsoft.directory/contacts/delete | Elimina contatti |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base sui contatti |
| microsoft.directory/deletedItems.groups/restore | Ripristinare lo stato originale dei gruppi eliminati temporaneo |
| microsoft.directory/domains/allProperties/allTasks | Creare ed eliminare domini e leggere e aggiornare tutte le proprietà |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/restore | Ripristinare i gruppi da un contenitore eliminato leggero |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà |
| microsoft.directory/organization/basic/update | Aggiornare le proprietà di base nell'organizzazione |
| microsoft.directory/roleAssignments/allProperties/allTasks | Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà di assegnazione di ruolo |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/subscribedSkus/standard/read | Leggere le proprietà di base nelle sottoscrizioni |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/delete | Eliminare gli utenti |
| microsoft.directory/users/disable | Disabilitare gli utenti |
| microsoft.directory/users/enable | Abilitare gli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzare la disconnescazione invalidando i token di aggiornamento utente |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/basic/update | Aggiornare le proprietà di base per gli utenti |
| microsoft.directory/users/manager/update | Gestione aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostare le password per tutti gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/userPrincipalName/update | Aggiornare il nome dell'entità utente degli utenti |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore password
Gli utenti con questo ruolo hanno la possibilità di gestire le password in modo limitato. Questo ruolo non concede la possibilità di gestire le richieste di servizio o di monitorare l'integrità dei servizi. Se un amministratore password può reimpostare la password di un utente dipende dal ruolo assegnato dall'utente. Per un elenco dei ruoli per cui un amministratore password può reimpostare le password, vedere Autorizzazioni di reimpostazione della password.
Gli utenti con questo ruolo non possono modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile a ruoli.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/users/password/update | Reimpostare le password per tutti gli utenti |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Power BI
gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Power BI, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per altre informazioni, vedere Informazioni sul ruolo di amministratore Power BI.
Nota
Nell'API Microsoft Graph e in Azure AD PowerShell questo ruolo è identificato come "Amministratore del servizio Power BI". È l'"Amministratore di Power BI" nel portale di Azure.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.powerApps.powerBI/allEntities/allTasks | Gestire tutti gli aspetti di Power BI |
Amministratore di Power Platform
Gli utenti di questo ruolo possono creare e gestire tutti gli aspetti di ambienti, Power Apps, flussi, criteri di prevenzione della perdita dei dati. Possono inoltre gestire i ticket di supporto e monitorare l'integrità del servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.dynamics365/allEntities/allTasks | Gestire tutti gli aspetti di Dynamics 365 |
| microsoft.flow/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Power Automate |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.powerApps/allEntities/allTasks | Gestire tutti gli aspetti di Power Apps |
Amministratore stampante
Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni del connettore Stampa universale. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori stampante possono anche accedere ai report di stampa.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Creare ed eliminare stampanti e connettori e leggere e aggiornare tutte le proprietà in Microsoft Print |
Tecnico della stampante
Gli utenti con questo ruolo possono registrare le stampanti e gestire lo stato della stampante nella soluzione Stampa universale Microsoft. Possono anche leggere tutte le informazioni sul connettore. Due attività chiave che un tecnico della stampante non può eseguire sono impostare le autorizzazioni utente per le stampanti e condividere stampanti.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Leggere tutte le proprietà dei connettori in Microsoft Print |
| microsoft.azure.print/printers/allProperties/read | Leggere tutte le proprietà delle stampanti in Microsoft Print |
| microsoft.azure.print/printers/register | Registrare le stampanti in Microsoft Print |
| microsoft.azure.print/printers/unregister | Annullare la registrazione delle stampanti in Microsoft Print |
| microsoft.azure.print/printers/basic/update | Aggiornare le proprietà di base delle stampanti in Microsoft Print |
Amministratore autenticazione con privilegi
Gli utenti con questo ruolo possono impostare o reimpostare qualsiasi metodo di autenticazione (incluse le password) per qualsiasi utente, inclusi gli amministratori globali. Gli amministratori dell'autenticazione con privilegi possono forzare gli utenti a eseguire di nuovo la registrazione per le credenziali esistenti diverse dalle password (ad esempio MFA, FIDO) e revocare la scelta di ricordare l'autenticazione a più fattori sul dispositivo, richiedendo l'autenticazione MFA al successivo accesso per tutti gli utenti.
Il ruolo Amministratore autenticazione dispone dell'autorizzazione per forzare la registrazione e l'autenticazione a più fattori per utenti e utenti standard con alcuni ruoli di amministratore.
Il ruolo Amministratore criteri di autenticazione dispone delle autorizzazioni per impostare i criteri del metodo di autenticazione del tenant che determinano i metodi che ogni utente può registrare e usare.
| Ruolo | Gestire i metodi di autenticazione dell'utente | Gestire l'autenticazione a più fattori per utente | Gestire le impostazioni di autenticazione a più fattori | Gestire i criteri del metodo di autenticazione | Gestire i criteri di protezione delle password |
|---|---|---|---|---|---|
| Amministratore dell'autenticazione | Sì per alcuni utenti (vedere sopra) | Sì per alcuni utenti (vedere sopra) | No | No | No |
| Amministratore autenticazione con privilegi | Sì per tutti gli utenti | Sì per tutti gli utenti | No | No | No |
| Amministratore dei criteri di autenticazione | No | No | Sì | Sì | Sì |
Importante
gli utenti con questo ruolo possono modificare le credenziali di utenti che possono avere accesso a dati sensibili, informazioni private o configurazioni critiche sia all'interno che all'esterno di Azure Active Directory. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero avere autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli amministratori dell'autenticazione. Tramite questo percorso un amministratore dell'autenticazione può assumere l'identità di un proprietario dell'applicazione e quindi presupporre ulteriormente l'identità di un'applicazione con privilegi aggiornando le credenziali per l'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
- Gruppo di sicurezza e Microsoft 365 proprietari di gruppi, che possono gestire l'appartenenza ai gruppi. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
- Amministratori in altri servizi all'esterno di Azure Active Directory, ad esempio Exchange Online, Centro sicurezza e conformità di Office e sistemi di gestione delle risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Importante
Questo ruolo non è attualmente in grado di gestire L'autenticazione a più fattori per utente nel portale di gestione MFA legacy. È possibile eseguire le stesse funzioni usando il cmdlet Set-MsolUser Azure AD modulo PowerShell.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/users/authenticationMethods/create | Creare metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/delete | Eliminare i metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/standard/read | Leggere le proprietà standard dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/authenticationMethods/basic/update | Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzare la disconnescazione invalidando i token di aggiornamento utente |
| microsoft.directory/users/password/update | Reimpostare le password per tutti gli utenti |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore dei ruoli con privilegi
gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Azure Active Directory e in Azure AD Privileged Identity Management. Possono creare e gestire gruppi che possono essere assegnati a Azure AD ruoli. Inoltre, questo ruolo consente la gestione di tutti gli aspetti di Privileged Identity Management e delle unità amministrative.
Importante
Questo ruolo concede la possibilità di gestire le assegnazioni per tutti i ruoli di Azure AD, incluso il ruolo di Amministratore globale. Non prevede altre capacità con privilegi in Azure Active Directory, ad esempio la creazione o l'aggiornamento degli utenti. Tuttavia, gli utenti assegnati a questo ruolo possono concedere a se stessi o ad altri utenti privilegi aggiuntivi, perché possono assegnare ruoli aggiuntivi.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Gestire le verifiche di accesso per Azure AD assegnazioni di ruolo |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi assegnabili ai ruoli di Azure AD |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Creare verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Azure AD |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Eliminare le verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati a Azure AD ruoli |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi sicurezza e Microsoft 365, inclusi i gruppi assegnabili a ruoli. |
| microsoft.directory/administrativeUnits/allProperties/allTasks | Creare e gestire le unità amministrative inclusi i membri |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | Gestire tutti gli aspetti dei criteri di autorizzazione |
| microsoft.directory/directoryRoles/allProperties/allTasks | Creare ed eliminare ruoli della directory e leggere e aggiornare tutte le proprietà |
| microsoft.directory/groupsAssignableToRoles/create | Creare gruppi assegnabili a un ruolo |
| microsoft.directory/groupsAssignableToRoles/delete | Eliminare gruppi assegnabili a ruoli |
| microsoft.directory/groupsAssignableToRoles/restore | Ripristinare gruppi assegnabili a ruoli |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | Aggiornare i gruppi assegnabili a ruoli |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Privileged Identity Management |
| microsoft.directory/roleAssignments/allProperties/allTasks | Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà di assegnazione di ruolo |
| microsoft.directory/roleDefinitions/allProperties/allTasks | Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/servicePrincipals/permissions/update | Aggiornare le autorizzazioni delle entità servizio |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Lettore di report
Gli utenti con questo ruolo possono visualizzare i dati dei report sull'utilizzo e il dashboard dei report nell'interfaccia di amministrazione di Microsoft 365 e in Adoption Content Pack in Power BI. Il ruolo consente anche l'accesso ai report e alle attività di accesso in Azure Active Directory e ai dati restituiti dall'API di creazione report di Microsoft Graph. Un utente assegnato al ruolo di lettore di report può accedere solo alle metriche rilevanti per utilizzo e adozione. Questi utenti non hanno le autorizzazioni di amministratore per configurare le impostazioni o accedere alle interfacce di amministrazione specifiche di prodotti come Exchange. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere Office 365 report sull'utilizzo |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore della ricerca
Gli utenti con questo ruolo hanno accesso completo a tutte le funzionalità di gestione di Microsoft Search nell'interfaccia di amministrazione di Microsoft 365. Questi utenti possono anche visualizzare il centro messaggi, monitorare l'integrità del servizio e creare richieste di servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.search/content/manage | Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Search |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Editor della ricerca
Gli utenti in questo ruolo possono creare, gestire ed eliminare contenuto per Microsoft Search nella interfaccia di amministrazione di Microsoft 365, inclusi segnalibri, QAs& e posizioni.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.messageCenter/messages/read | Leggere i messaggi nel Centro messaggi nella interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza |
| microsoft.office365.search/content/manage | Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Search |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore della protezione
Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità correlate alla sicurezza nel portale di Microsoft 365 Defender, Azure Active Directory Identity Protection, Azure Active Directory Autenticazione, Information Protection di Azure, e Office 365 Centro conformità alla sicurezza&. Altre informazioni sulle autorizzazioni di Office 365 sono disponibili in Autorizzazioni nel Centro conformità sicurezza&.
| In ingresso | Operazione consentita |
|---|---|
| Centro sicurezza Microsoft 365 | Monitorare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365 Gestire gli avvisi e le minacce alla sicurezza Visualizzazione di report |
| Centro di Identity Protection | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Inoltre, eseguire tutte le operazioni di Identity Protection Center, tranne la reimpostazione delle password |
| Privileged Identity Management | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Non è consentito gestire le assegnazioni di ruolo o le impostazioni di Azure AD |
| sicurezza & Office 365 Centro conformità | Gestire i criteri di sicurezza Visualizzare, analizzare e rispondere alle minacce alla sicurezza Visualizzazione di report |
| Azure Advanced Threat Protection | Monitorare e rispondere alle attività sospette dal punto di vista della sicurezza |
| Microsoft Defender for Endpoint | Assegnare ruoli Gestire i gruppi di computer Configurare il rilevamento delle minacce agli endpoint e le funzionalità automatizzate di correzione Visualizzare, analizzare e rispondere agli avvisi Visualizzare computer/inventario dispositivi |
| Intune | Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione Non è consentito apportare modifiche a Intune |
| Cloud App Security | Aggiungere amministratori, criteri e impostazioni, caricare i log ed eseguire azioni di governance |
| integrità del servizio Microsoft 365 | Visualizzare l'integrità dei servizi di Microsoft 365 |
| Blocco intelligente | Definire la soglia e la durata dei blocchi quando si verificano eventi di accesso non riuscito. |
| Password di protezione | Configurare l'elenco delle password personalizzate escluse o la password di protezione locale. |
| Azioni | Descrizione |
|---|---|
| microsoft.directory/applications/policies/update | Aggiornare i criteri delle applicazioni |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave di bitlocker nei dispositivi |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aggiornare le impostazioni di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aggiornare Azure AD impostazioni di collaborazione B2B dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aggiornare Azure AD impostazioni di connessione diretta B2B dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di riunione tra cloud Teams dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminare i criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aggiornare Azure AD impostazioni di collaborazione B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aggiornare Azure AD impostazioni di connessione diretta B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni di riunione tra cloud Teams dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione entitlement di Azure AD |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Gestire i criteri di autenticazione ibrida in Azure AD |
| microsoft.directory/identityProtection/allProperties/read | Leggere tutte le risorse in Azure AD Identity Protection |
| microsoft.directory/identityProtection/allProperties/update | Aggiornare tutte le risorse in Azure AD Identity Protection |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Azure AD |
| microsoft.directory/policies/create | Creare criteri in Azure AD |
| microsoft.directory/policies/delete | Eliminare i criteri in Azure AD |
| microsoft.directory/policies/basic/update | Aggiornare le proprietà di base nei criteri |
| microsoft.directory/policies/owners/update | Aggiornare i proprietari dei criteri |
| microsoft.directory/policies/tenantDefault/update | Aggiornare i criteri predefiniti dell'organizzazione |
| microsoft.directory/conditionalAccessPolicies/create | Creare criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/delete | Eliminare i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lettura dell'accesso condizionale per i criteri |
| microsoft.directory/conditionalAccessPolicies/owners/read | Leggere i proprietari dei criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leggere la proprietà "applicata a" per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/basic/update | Aggiornare le proprietà di base per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/owners/update | Aggiornare i proprietari per i criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | Aggiornare il tenant predefinito per i criteri di accesso condizionale |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/servicePrincipals/policies/update | Aggiornare i criteri delle entità servizio |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.protectionCenter/allEntities/standard/read | Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità |
| microsoft.office365.protectionCenter/allEntities/basic/update | Aggiornare le proprietà di base di tutte le risorse nei centri sicurezza e conformità |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Creare e gestire payload di attacco nel simulatore di attacco |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report delle risposte di simulazione degli attacchi e il training associato |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Creare e gestire modelli di simulazione degli attacchi in Simulatore di attacco |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Operatore di sicurezza
Gli utenti con questo ruolo possono gestire gli avvisi e avere accesso in sola lettura globale sulle funzionalità correlate alla sicurezza, incluse tutte le informazioni in Centro sicurezza Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management e sicurezza & Office 365 Centro conformità. Altre informazioni sulle autorizzazioni di Office 365 sono disponibili in Autorizzazioni nel Centro sicurezza & conformità.
| In ingresso | Operazione consentita |
|---|---|
| Centro sicurezza Microsoft 365 | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per minacce alla sicurezza Gestire le impostazioni di sicurezza nel Centro sicurezza |
| Azure AD Identity Protection | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Inoltre, la possibilità di eseguire tutte le operazioni di Identity Protection Center, ad eccezione della reimpostazione delle password e della configurazione dei messaggi di posta elettronica degli avvisi. |
| Privileged Identity Management | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza |
| sicurezza & Office 365 Centro conformità | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza |
| Microsoft Defender for Endpoint | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza Visualizzare, analizzare e rispondere agli avvisi per la sicurezza |
| Intune | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza |
| Cloud App Security | Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza |
| integrità del servizio Microsoft 365 | Visualizzare l'integrità dei servizi di Microsoft 365 |
| Azioni | Descrizione |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Cloud App Security |
| microsoft.directory/identityProtection/allProperties/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Azure AD Identity Protection |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Gestire tutti gli aspetti di Azure Advanced Threat Protection |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.intune/allEntities/read | Leggere tutte le risorse in Microsoft Intune |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro conformità della sicurezza & di Office 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | Gestire tutti gli aspetti di Microsoft Defender per endpoint |
Ruolo con autorizzazioni di lettura per la sicurezza
Gli utenti con questo ruolo hanno accesso in sola lettura globale alla funzionalità correlata alla sicurezza, incluse tutte le informazioni in Centro sicurezza Microsoft 365, Azure Active Directory, Identity Protection, Privileged Identity Management, nonché la possibilità di leggere Azure Active Directory report di accesso e log di controllo e nel Centro conformità della sicurezza & di Office 365. Altre informazioni sulle autorizzazioni di Office 365 sono disponibili in Autorizzazioni nel Centro sicurezza & conformità.
| In ingresso | Operazione consentita |
|---|---|
| Centro sicurezza Microsoft 365 | Visualizzare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365 Visualizzare gli avvisi e le minacce alla sicurezza Visualizzazione di report |
| Centro di Identity Protection | Leggere tutte le informazioni sulle impostazioni e sui report di sicurezza per le funzionalità di sicurezza
|
| Privileged Identity Management | Ha accesso in sola lettura a tutte le informazioni presentate in Azure AD Privileged Identity Management: Criteri e report per le assegnazioni di ruolo e le verifiche della sicurezza di Azure AD. Non è possibile iscriversi per Azure AD Privileged Identity Management o apportare modifiche. Nel portale di Privileged Identity Management o tramite PowerShell un utente di questo ruolo può attivare ruoli aggiuntivi (ad esempio, Amministratore globale o Amministratore ruolo con privilegi), se l'utente è idoneo per loro. |
| sicurezza & Office 365 Centro conformità | Visualizzare i criteri di sicurezza Visualizzare e analizzare le minacce alla sicurezza Visualizzazione di report |
| Microsoft Defender for Endpoint | Visualizzare e analizzare gli avvisi. Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo lettore di sicurezza Azure AD perdono l'accesso fino a quando non vengono assegnati a un ruolo di Microsoft Defender per endpoint. |
| Intune | Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione. Non è consentito apportare modifiche a Intune. |
| Cloud App Security | Dispone di autorizzazioni di lettura e può gestire gli avvisi |
| integrità del servizio Microsoft 365 | Visualizzare l'integrità dei servizi di Microsoft 365 |
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse rivedibili in Azure AD |
| microsoft.directory/auditLogs/allProperties/read | Leggere tutte le proprietà nei log di controllo, incluse le proprietà con privilegi |
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/bitlockerKeys/key/read | Leggere i metadati e la chiave di BitLocker nei dispositivi |
| microsoft.directory/entitlementManagement/allProperties/read | Leggere tutte le proprietà nella gestione entitlement di Azure AD |
| microsoft.directory/identityProtection/allProperties/read | Leggere tutte le risorse in Azure AD Identity Protection |
| microsoft.directory/policies/standard/read | Leggere le proprietà di base sui criteri |
| microsoft.directory/policies/owners/read | Leggere i proprietari dei criteri |
| microsoft.directory/policies/policyAppliedTo/read | Leggere la proprietà policies.policyAppliedTo |
| microsoft.directory/conditionalAccessPolicies/standard/read | Lettura dell'accesso condizionale per i criteri |
| microsoft.directory/conditionalAccessPolicies/owners/read | Leggere i proprietari dei criteri di accesso condizionale |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | Leggere la proprietà "applicata a" per i criteri di accesso condizionale |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Leggere tutte le risorse in Privileged Identity Management |
| microsoft.directory/provisioningLogs/allProperties/read | Lettura di tutte le proprietà dei log di provisioning. |
| microsoft.directory/signInReports/allProperties/read | Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.office365.protectionCenter/allEntities/standard/read | Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | Leggere tutte le proprietà dei payload di attacco nel simulatore di attacco |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Leggere i report delle risposte di simulazione degli attacchi e il training associato |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | Leggere tutte le proprietà dei modelli di simulazione degli attacchi nel simulatore di attacco |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore del supporto servizio
Gli utenti con questo ruolo possono creare e gestire richieste di supporto con Microsoft per Azure e servizi di Microsoft 365 e visualizzare il dashboard del servizio e il centro messaggi nel portale di Azure e interfaccia di amministrazione di Microsoft 365. Per altre informazioni vedere Informazioni sui ruoli di amministratore.
Nota
In precedenza, questo ruolo era denominato "Amministratore del servizio" nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. È stato rinominato "Amministratore del supporto dei servizi" per allinearlo al nome esistente in Microsoft API Graph e Azure AD PowerShell.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di SharePoint
Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft SharePoint Online, quando il servizio è presente, nonché la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità dei servizi. Per altre informazioni vedere Informazioni sui ruoli di amministratore.
Nota
In Microsoft API Graph e Azure AD PowerShell questo ruolo viene identificato come "amministratore del servizio SharePoint". È "amministratore SharePoint" nel portale di Azure.
Nota
Questo ruolo concede inoltre autorizzazioni con ambito al API Graph Microsoft per Microsoft Intune, consentendo la gestione e la configurazione dei criteri correlati alle risorse SharePoint e OneDrive.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/groups.unified/create | Creare gruppi Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.unified/delete | Eliminare gruppi Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.unified/restore | Ripristinare Microsoft 365 gruppi da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/basic/update | Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.unified/members/update | Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups.unified/owners/update | Aggiornare i proprietari di gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.sharePoint/allEntities/allTasks | Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere i report sull'utilizzo di Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Skype for Business
gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft Skype for Business, quando il servizio è presente, nonché la possibilità di gestire gli attributi specifici per Skype in Azure Active Directory. Questo ruolo consente inoltre di gestire i ticket di supporto e monitorare l'integrità dei servizi e di accedere all'interfaccia di amministrazione di Teams e di Skype for Business. L'account deve anche avere una licenza per Teams. In caso contrario, non può eseguire i cmdlet di PowerShell per Teams. Per altre informazioni, vedere Amministratore Skype for Business Online. Per informazioni sulle licenze per Teams, vedere Licenze per i componenti aggiuntivi Skype for Business e Microsoft Teams
Nota
In Microsoft API Graph e Azure AD PowerShell, questo ruolo viene identificato come "Amministratore del servizio Lync". È "amministratore Skype for Business" nel portale di Azure.
| Azioni | Descrizione |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire supporto tecnico di Azure ticket |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere Office 365 report sull'utilizzo |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore di Teams
Gli utenti in questo ruolo possono gestire tutti gli aspetti del carico di lavoro Microsoft Teams tramite l'interfaccia di amministrazione Microsoft Teams Skype for Business & e i rispettivi moduli di PowerShell. Sono inclusi, tra le altre aree, tutti gli strumenti di gestione correlati a telefonia, messaggistica, riunioni e i team stessi. Questo ruolo concede inoltre la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.directory/groups/hiddenMembers/read | Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli |
| microsoft.directory/groups.unified/create | Creare gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/delete | Eliminare gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/restore | Ripristinare i gruppi Microsoft 365 dal contenitore eliminato temporanea, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/basic/update | Aggiornare le proprietà di base nei gruppi Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/members/update | Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.unified/owner/update | Aggiornare i proprietari di gruppi di Microsoft 365, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/servicePrincipals/managePermissionGrantsForGroup.microsoft-all-application-permissions | Concedere a un'entità servizio l'accesso diretto ai dati di un gruppo |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere Office 365 report sull'utilizzo |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/allEntities/allProperties/allTasks | Gestire tutte le risorse in Teams |
| microsoft.directory/crossTenantAccessPolicy/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/basic/update | Aggiornare le impostazioni di base dei criteri di accesso tra tenant |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | Aggiornare Azure AD impostazioni di collaborazione B2B dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | Aggiornare Azure AD impostazioni di connessione diretta B2B dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aggiornare le impostazioni di accesso multi-cloud Teams riunione dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti |
| microsoft.directory/crossTenantAccessPolicy/partners/create | Creare criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | Eliminare i criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Leggere le proprietà di base dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | Aggiornare Azure AD impostazioni di collaborazione B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | Aggiornare Azure AD impostazioni di connessione diretta B2B dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aggiornare le impostazioni di accesso multi-cloud Teams riunione dei criteri di accesso tra tenant per i partner |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner |
Amministratore comunicazioni Teams
Gli utenti in questo ruolo possono gestire gli aspetti del carico di lavoro Microsoft Teams correlati alla telefonia vocale&. Sono inclusi gli strumenti di gestione per l'assegnazione di numeri di telefono, i criteri per chiamate vocali e riunioni, nonché l'accesso completo al set di strumenti di analisi delle chiamate.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere Office 365 report sull'utilizzo |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leggere tutti i dati nel dashboard Qualità della chiamata (CQD) |
| microsoft.teams/meetings/allProperties/allTasks | Gestire le riunioni, inclusi i criteri delle riunioni, le configurazioni e i bridge di conferenza |
| microsoft.teams/voice/allProperties/allTasks | Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono |
Tecnico di supporto comunicazioni Teams
Gli utenti di questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams Skype for Business & usando gli strumenti di risoluzione dei problemi delle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams & Skype for Business. Gli utenti in questo ruolo possono visualizzare informazioni complete sui record delle chiamate per tutti i partecipanti coinvolti. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/callQuality/allProperties/read | Leggere tutti i dati nel dashboard Qualità della chiamata (CQD) |
Specialista di supporto comunicazioni Teams
Gli utenti di questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams Skype for Business & usando gli strumenti di risoluzione dei problemi delle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams & Skype for Business. Gli utenti con questo ruolo possono visualizzare i dettagli dell'utente nella chiamata per l'utente specifico cercato. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | Leggere le proprietà standard dei criteri di autorizzazione |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | Gestire tutti gli aspetti di Skype for Business Online |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/callQuality/standard/read | Leggere i dati di base nel dashboard Qualità della chiamata (CQD) |
Amministratore di dispositivi di Teams
Gli utenti con questo ruolo possono gestire i dispositivi certificati Teams dall'interfaccia di amministrazione di Teams. Questo ruolo consente di visualizzare tutti i dispositivi a colpo d'occhio, con la possibilità di cercare e filtrare i dispositivi. L'utente può controllare i dettagli di ogni dispositivo, inclusi l'account connesso, la make e il modello del dispositivo. L'utente può modificare le impostazioni nel dispositivo e aggiornare le versioni software. Questo ruolo non concede le autorizzazioni per controllare Teams'attività e la qualità delle chiamate del dispositivo.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.teams/devices/standard/read | Gestire tutti gli aspetti dei dispositivi certificati Teams, inclusi i criteri di configurazione |
Lettore report di riepilogo utilizzo
Gli utenti con questo ruolo possono accedere ai dati aggregati a livello di tenant e alle informazioni dettagliate associate in interfaccia di amministrazione di Microsoft 365 per Il punteggio di utilizzo e produttività, ma non possono accedere ai dettagli o alle informazioni dettagliate a livello di utente. In interfaccia di amministrazione di Microsoft 365 per i due report si distingue tra i dati aggregati a livello di tenant e i dettagli a livello di utente. Questo ruolo offre un ulteriore livello di protezione sui dati personali degli utenti singoli, richiesti sia dai clienti che dai team legali.
| Azioni | Descrizione |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.usageReports/allEntities/standard/read | Leggere i report di utilizzo aggregati a livello di tenant Office 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore utenti
Gli utenti con questo ruolo possono creare utenti e gestire tutti gli aspetti degli utenti con alcune restrizioni (vedere la tabella) e possono aggiornare i criteri di scadenza delle password. Possono anche creare e gestire tutti i gruppi. Il ruolo consente anche di creare e gestire visualizzazioni utente, gestire i ticket di supporto e monitorare l'integrità del servizio. Gli amministratori utenti non dispongono dell'autorizzazione per gestire alcune proprietà utente per gli utenti nella maggior parte dei ruoli di amministratore. Gli amministratori con questo ruolo non dispongono delle autorizzazioni per gestire l'autenticazione a più fattori o gestire le cassette postali condivise. I ruoli che rappresentano eccezioni a questa restrizione sono elencati nella tabella seguente.
| Autorizzazione amministratore utenti | Note |
|---|---|
| Creare utenti e gruppi Creare e gestire visualizzazioni utente Gestire ticket di supporto di Office Aggiornare i criteri di scadenza delle password |
|
| Gestire licenze Gestire tutte le proprietà utente, ad eccezione del Nome dell'entità utente |
Si applica a tutti gli utenti, inclusi tutti gli amministratori |
| Eliminare e ripristinare Disattivare e attivare Gestire tutte le proprietà utente, incluso il Nome dell'entità utente Aggiornare le chiavi dispositivo (FIDO) |
Si applica agli utenti che non sono amministratori o in uno dei ruoli seguenti:
|
| Invalidare i token di aggiornamento Reimposta password |
Per un elenco dei ruoli che un amministratore utente può reimpostare le password per e invalidare i token di aggiornamento, vedere Autorizzazioni di reimpostazione della password. |
Importante
gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a dati sensibili, informazioni riservate o configurazioni critiche sia dall'interno che dall'esterno di Azure Active Directory. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:
- Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali applicazioni potrebbero avere autorizzazioni con privilegi in Azure Active Directory e altrove non concesse agli utenti con ruolo di amministratore degli utenti. Ciò significa che un amministratore degli utenti potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
- Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
- Gruppo di sicurezza e Microsoft 365 proprietari di gruppi, che possono gestire l'appartenenza ai gruppi. Tali gruppi potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure Active Directory o altrove.
- Amministratori in altri servizi all'esterno di Azure Active Directory, ad esempio Exchange Online, Centro sicurezza e conformità di Office e sistemi di gestione delle risorse umane.
- Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Gli utenti con questo ruolo non possono modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile a ruoli.
| Azioni | Descrizione |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Gestire le verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Azure AD |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per Azure AD assegnazioni di ruolo |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Gestire le verifiche di accesso per le assegnazioni dei pacchetti di accesso nella gestione entitlement |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza a Gruppi di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli. |
| microsoft.directory/accessReviews/definitions.groups/create | Creare verifiche di accesso per l'appartenenza ai gruppi sicurezza e Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/delete | Eliminare le verifiche di accesso per l'appartenenza ai gruppi sicurezza e Microsoft 365. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi sicurezza e Microsoft 365, inclusi i gruppi assegnabili a ruoli. |
| microsoft.directory/contacts/create | Creare contatti |
| microsoft.directory/contacts/delete | Elimina contatti |
| microsoft.directory/contacts/basic/update | Aggiornare le proprietà di base sui contatti |
| microsoft.directory/deletedItems.groups/restore | Ripristinare lo stato originale dei gruppi eliminati temporaneo |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Azure AD |
| microsoft.directory/groups/assignLicense | Assegnare licenze di prodotto a gruppi per le licenze basate su gruppo |
| microsoft.directory/groups/create | Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/delete | Eliminare gruppi di sicurezza e Microsoft 365 gruppi, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/hiddenMembers/read | Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/reprocessLicenseAssignment | Rielaborare le assegnazioni di licenze per le licenze basate su gruppo |
| microsoft.directory/groups/restore | Ripristinare i gruppi da un contenitore eliminato leggero |
| microsoft.directory/groups/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, escludendo i gruppi assegnabili ai ruoli |
| microsoft.directory/groups/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/groupType/update | Aggiornare le proprietà che influirebbero sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/members/update | Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/onPremWriteBack/update | Aggiornare i gruppi di Azure Active Directory in modo che vengano riscritto in locale con Azure AD Connessione |
| microsoft.directory/groups/owners/update | Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/groups/settings/update | Aggiornare le impostazioni dei gruppi |
| microsoft.directory/groups/visibility/update | Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | Creare ed eliminare le autorizzazioni OAuth 2.0 e leggere e aggiornare tutte le proprietà |
| microsoft.directory/policies/standard/read | Leggere le proprietà di base sui criteri |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aggiornare le assegnazioni di ruolo dell'entità servizio |
| microsoft.directory/users/assignLicense | Gestire le licenze utente |
| microsoft.directory/users/create | Aggiungere utenti |
| microsoft.directory/users/delete | Eliminare gli utenti |
| microsoft.directory/users/disable | Disabilitare gli utenti |
| microsoft.directory/users/enable | Abilitare gli utenti |
| microsoft.directory/users/inviteGuest | Invitare gli utenti guest |
| microsoft.directory/users/invalidateAllRefreshTokens | Forzare la disconnescazione invalidando i token di aggiornamento utente |
| microsoft.directory/users/reprocessLicenseAssignment | Rielaborare le assegnazioni delle licenze per gli utenti |
| microsoft.directory/users/restore | Ripristinare gli utenti eliminati |
| microsoft.directory/users/basic/update | Aggiornare le proprietà di base per gli utenti |
| microsoft.directory/users/manager/update | Gestione aggiornamenti per gli utenti |
| microsoft.directory/users/password/update | Reimpostare le password per tutti gli utenti |
| microsoft.directory/users/photo/update | Aggiornare la foto degli utenti |
| microsoft.directory/users/userPrincipalName/update | Aggiornare il nome dell'entità utente degli utenti |
| microsoft.azure.serviceHealth/allEntities/allTasks | Leggere e configurare Integrità dei servizi di Azure |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.office365.serviceHealth/allEntities/allTasks | Leggere e configurare integrità dei servizi nel interfaccia di amministrazione di Microsoft 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Amministratore visite virtuali
Gli utenti con questo ruolo possono eseguire le attività seguenti:
- Gestire e configurare tutti gli aspetti delle visite virtuali in Bookings nel interfaccia di amministrazione di Microsoft 365 e nel connettore Teams EHR
- Visualizzare i report sull'utilizzo per le visite virtuali nell'interfaccia di amministrazione Teams, interfaccia di amministrazione di Microsoft 365 e PowerBI
- Visualizzare le funzionalità e le impostazioni nella interfaccia di amministrazione di Microsoft 365, ma non è possibile modificare le impostazioni
Le visite virtuali sono un modo semplice per pianificare e gestire appuntamenti online e video per il personale e i partecipanti. Ad esempio, la segnalazione sull'utilizzo può mostrare come inviare messaggi di testo SMS prima che gli appuntamenti possano ridurre il numero di persone che non vengono visualizzate per gli appuntamenti.
| Azioni | Descrizione |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Windows 365 amministratore
Gli utenti con questo ruolo dispongono di autorizzazioni globali per Windows 365 risorse, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi.
Questo ruolo può creare e gestire i gruppi di sicurezza, ma non dispone dei diritti di amministratore sui gruppi di Microsoft 365. Ciò significa che gli amministratori non possono aggiornare i proprietari o le appartenenze dei gruppi di Microsoft 365 nell'organizzazione. Tuttavia, possono gestire il gruppo di Microsoft 365 creato, che fa parte dei privilegi dell'utente finale. Pertanto, qualsiasi gruppo di Microsoft 365 (non gruppo di sicurezza) creato viene conteggiato rispetto alla quota di 250.
Assegnare il ruolo amministratore di Windows 365 agli utenti che devono eseguire le attività seguenti:
- Gestire i PC cloud di Windows 365 in Microsoft Endpoint Manager
- Registrare e gestire i dispositivi in Azure AD, inclusi l'assegnazione di utenti e criteri
- Creare e gestire gruppi di sicurezza, ma non gruppi assegnabili da ruoli
- Visualizzare le proprietà di base nel interfaccia di amministrazione di Microsoft 365
- Leggere i report sull'utilizzo nel interfaccia di amministrazione di Microsoft 365
- Creare e gestire i ticket di supporto in Azure AD e i interfaccia di amministrazione di Microsoft 365
| Azioni | Descrizione |
|---|---|
| microsoft.directory/devices/create | Creare dispositivi (registrare in Azure AD) |
| microsoft.directory/devices/delete | Eliminare i dispositivi da Azure AD |
| microsoft.directory/devices/disable | Disabilitare i dispositivi in Azure AD |
| microsoft.directory/devices/enable | Abilitare i dispositivi in Azure AD |
| microsoft.directory/devices/basic/update | Aggiornare le proprietà di base nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet1/update | Aggiornare l'estensioneAttribute1 alle proprietà extensionAttribute5 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet2/update | Aggiornare l'extensionAttribute6 alle proprietà extensionAttribute10 nei dispositivi |
| microsoft.directory/devices/extensionAttributeSet3/update | Aggiornare l'estensioneAttribute11 alle proprietà ExtensionAttribute15 nei dispositivi |
| microsoft.directory/devices/registeredOwners/update | Aggiornare i proprietari registrati dei dispositivi |
| microsoft.directory/devices/registeredUsers/update | Aggiornare gli utenti registrati dei dispositivi |
| microsoft.directory/groups.security/create | Creare gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.security/delete | Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo |
| microsoft.directory/groups.security/basic/update | Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili da ruolo |
| microsoft.directory/groups.security/classification/update | Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili di ruolo |
| microsoft.directory/groups.security/dynamicMembershipRule/update | Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.security/members/update | Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.security/owner/update | Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili dal ruolo |
| microsoft.directory/groups.security/visibility/update | Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili di ruolo |
| microsoft.directory/deviceManagementPolicies/standard/read | Leggere le proprietà standard nei criteri delle applicazioni di gestione dei dispositivi |
| microsoft.directory/deviceRegistrationPolicy/standard/read | Leggere le proprietà standard nei criteri di registrazione dei dispositivi |
| microsoft.azure.supportTickets/allEntities/allTasks | Creare e gestire i ticket di supporto tecnico di Azure |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Gestire tutti gli aspetti di Windows 365 |
| microsoft.office365.supportTickets/allEntities/allTasks | Creare e gestire richieste di servizio Microsoft 365 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Leggere Office 365 report sull'utilizzo |
| microsoft.office365.webPortal/allEntities/standard/read | Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365 |
Windows Update amministratore distribuzione
Gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update for Business. Il servizio di distribuzione consente agli utenti di definire le impostazioni per quando e come vengono distribuiti gli aggiornamenti e specificare quali aggiornamenti vengono offerti ai gruppi di dispositivi nel tenant. Consente anche agli utenti di monitorare lo stato di avanzamento dell'aggiornamento.
| Azioni | Descrizione |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Leggere e configurare tutti gli aspetti del servizio Windows Update |
Come comprendere le autorizzazioni del ruolo
Lo schema per le autorizzazioni segue in modo libero il formato REST di Microsoft Graph:
<namespace>/<entity>/<propertySet>/<action>
Ad esempio:
microsoft.directory/applications/credentials/update
| Elemento Permission | Descrizione |
|---|---|
| namespace | Prodotto o servizio che espone l'attività e viene anteporta a microsoft. Ad esempio, tutte le attività in Azure AD usano lo spazio dei microsoft.directory nomi . |
| Entità | Funzionalità logica o componente esposto dal servizio in Microsoft Graph. Ad esempio, Azure AD espone utenti e gruppi, OneNote espone note e Exchange espone cassette postali e calendari. Esiste una parola chiave speciale allEntities per specificare tutte le entità in uno spazio dei nomi. Questo viene spesso usato nei ruoli che concedono l'accesso a un intero prodotto. |
| Propertyset | Proprietà o aspetti specifici dell'entità a cui viene concesso l'accesso. Ad esempio, microsoft.directory/applications/authentication/read concede la possibilità di leggere l'URL di risposta, l'URL di disconnessione e la proprietà del flusso implicito nell'oggetto applicazione in Azure AD.
|
| azione | Operazione concessa, in genere creare, leggere, aggiornare o eliminare (CRUD). Esiste una parola chiave speciale allTasks per specificare tutte le funzionalità precedenti (creare, leggere, aggiornare ed eliminare). |
Ruoli deprecati
I ruoli seguenti non devono essere usati. Questi ruoli sono stati deprecati e verranno rimossi da Azure Active Directory in futuro.
- Amministratore di licenze ad hoc
- Aggiunta di dispositivi
- Gestione dispositivi
- Utenti di dispositivi
- Autore di utenti verificati tramite posta elettronica
- Amministratore della cassetta postale
- Aggiunta di dispositivi all'area di lavoro
Ruoli non visualizzati nel portale
Non tutti i ruoli restituiti da PowerShell o dall'API Microsoft Graph sono visibili nel portale di Azure. Nella tabella seguente sono riportate queste differenze in modo organizzato.
| Nome API | Nome portale di Azure | Note |
|---|---|---|
| Aggiunta di dispositivi | Deprecato | Documentazione dei ruoli deprecati |
| Gestione dispositivi | Deprecato | Documentazione dei ruoli deprecati |
| Utenti di dispositivi | Deprecato | Documentazione dei ruoli deprecati |
| Account di sincronizzazione della directory | Non viene visualizzato perché non deve essere usato | Documentazione per gli account di sincronizzazione della directory |
| Utente guest | Non viene visualizzato perché non può essere usato | ND |
| Supporto di livello 1 partner | Non viene visualizzato perché non deve essere usato | Documentazione per Supporto partner - Livello 1 |
| Supporto di livello 2 partner | Non viene visualizzato perché non deve essere usato | Documentazione per Supporto partner - Livello 2 |
| Utente guest con restrizioni | Non viene visualizzato perché non può essere usato | ND |
| Utente | Non viene visualizzato perché non può essere usato | ND |
| Aggiunta di dispositivi all'area di lavoro | Deprecato | Documentazione dei ruoli deprecati |
Autorizzazioni per la reimpostazione della password
Le intestazioni di colonna rappresentano i ruoli che possono reimpostare le password. Le righe di tabella contengono i ruoli per cui è possibile reimpostare la password.
La tabella seguente è relativa ai ruoli assegnati nell'ambito di un tenant. Per i ruoli assegnati all'ambito di un'unità amministrativa, si applicano ulteriori restrizioni.
| La password può essere reimpostata | Amministratore password | Amministratore del supporto tecnico | Amministratore autenticazione | User Admin | Amministratore autenticazione con privilegi | Amministratore globale |
|---|---|---|---|---|---|---|
| Amministratore autenticazione | ✔️ | ✔️ | ✔️ | |||
| Ruoli con autorizzazioni di lettura nella directory | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Amministratore globale | ✔️ | ✔️* | ||||
| Amministratore gruppi | ✔️ | ✔️ | ✔️ | |||
| Mittente dell'invito guest | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Amministratore del supporto tecnico | ✔️ | ✔️ | ✔️ | ✔️ | ||
| Ruolo con autorizzazioni di lettura per il Centro messaggi | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| Amministratore password | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| Amministratore autenticazione con privilegi | ✔️ | ✔️ | ||||
| Amministratore ruolo con privilegi | ✔️ | ✔️ | ||||
| Lettore di report | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ | |
| User (nessun ruolo di amministratore) |
✔️ | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| User (nessun ruolo di amministratore, ma membro o proprietario di un gruppo assegnabile al ruolo) |
✔️ | ✔️ | ||||
| User Admin | ✔️ | ✔️ | ✔️ | |||
| Lettore report di riepilogo utilizzo | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
* Un amministratore globale non può rimuovere la propria assegnazione di amministratore globale. Ciò consente di evitare una situazione in cui un'organizzazione dispone di 0 amministratori globali.