Ruoli predefiniti Microsoft Entra

In Microsoft Entra ID, se un altro amministratore o non amministratore deve gestire le risorse di Microsoft Entra, le assegna un ruolo Microsoft Entra che fornisce le autorizzazioni necessarie. Ad esempio, è possibile assegnare ruoli per consentire l'aggiunta o la modifica degli utenti, la reimpostazione delle password utente, la gestione delle licenze utente o dei nomi di dominio.

Questo articolo elenca i ruoli predefiniti di Microsoft Entra che è possibile assegnare per consentire la gestione delle risorse di Microsoft Entra. Per informazioni sulla modalità di assegnazione dei ruoli, consultare la sezione Assegnare ruoli di Microsoft Entra agli utenti. Se si stanno cercando ruoli per gestire le risorse di Azure, vedere Ruoli predefiniti di Azure.

Tutti i ruoli

Ruolo Descrizione ID modello
Amministratore applicazione Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali.
Icona dell'etichetta con privilegi.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Sviluppatore di applicazioni Può creare registrazioni di applicazioni indipendentemente dall'impostazione 'Gli utenti possono registrare applicazioni'.
Icona dell'etichetta con privilegi.
cf1c38e5-3621-4004-a7cb-879624dced7c
Autore del payload di attacco Può creare payload di attacco che un amministratore può avviare successivamente. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Simulazione attacchi Amministrazione istrator Può creare e gestire tutti gli aspetti delle campagne di simulazione di attacchi. c430b396-e693-46cc-96f3-db01bf8bb62a
Assegnazione di attributi Amministrazione istrator Assegnare chiavi e valori di attributi di sicurezza personalizzati agli oggetti Microsoft Entra supportati. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lettore assegnazione attributi Leggere chiavi e valori di attributi di sicurezza personalizzati per gli oggetti Microsoft Entra supportati. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Definizione dell'attributo Amministrazione istrator Definire e gestire la definizione degli attributi di sicurezza personalizzati. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Lettore di definizioni di attributi Leggere la definizione degli attributi di sicurezza personalizzati. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Attributo Log Amministrazione istrator Leggere i log di controllo e configurare le impostazioni di diagnostica per gli eventi correlati agli attributi di sicurezza personalizzati. 5b784334-f94b-471a-a387-e7219fc49ca2
Lettore log attributi Leggere i log di controllo correlati agli attributi di sicurezza personalizzati. 9c99539d-8186-4804-835f-fd51ef9e2dcd
Amministratore dell'autenticazione Può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente non amministratore.
Icona dell'etichetta con privilegi.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Estendibilità dell'autenticazione Amministrazione istrator Personalizzare le esperienze di accesso e iscrizione per gli utenti creando e gestendo estensioni di autenticazione personalizzate.
Icona dell'etichetta con privilegi.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Criteri di autenticazione Amministrazione istrator Può creare e gestire i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant, i criteri di protezione delle password e le credenziali verificabili. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Amministratore di Azure DevOps Può gestire criteri e impostazioni di Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Amministratore di Azure Information Protection Può gestire tutti gli aspetti del prodotto Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Amministratore dei set di chiavi IEF B2C Può gestire i segreti per la federazione e la crittografia in Identity Experience Framework (IEF).
Icona dell'etichetta con privilegi.
aaf43236-0c0d-4d5f-883a-6955382ac081
Amministratore dei criteri IEF B2C Può creare e gestire i criteri del framework di attendibilità in Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Amministratore fatturazione Può eseguire attività comuni relative alla fatturazione, ad esempio aggiornare le informazioni di pagamento. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security Amministrazione istrator Può gestire tutti gli aspetti del prodotto Defender per il cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Amministratore di applicazioni cloud Può creare e gestire tutti gli aspetti delle registrazioni delle app e delle app aziendali, ad eccezione del proxy dell'applicazione.
Icona dell'etichetta con privilegi.
158c047a-c907-4556-b7ef-446551a6b5f7
Amministratore dispositivo cloud Accesso limitato per la gestione dei dispositivi in Microsoft Entra ID.
Icona dell'etichetta con privilegi.
7698a772-787b-4ac8-901f-60d6b08affd2
Amministratore di conformità Può leggere e gestire la configurazione e i report di conformità in Microsoft Entra ID e Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Amministratore dei dati sulla conformità Creare e gestire i contenuti relativi alla conformità. e6d1a23a-da11-4be4-9570-befc86d067a7
Amministratore accesso condizionale Può gestire le funzionalità di accesso condizionale.
Icona dell'etichetta con privilegi.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Responsabile approvazione accesso Customer LockBox Può approvare le richieste di supporto Microsoft per l'accesso ai dati aziendali dei clienti. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Amministratore Desktop Analytics Può accedere a servizi e strumenti di gestione desktop e gestirli. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Ruolo con autorizzazioni di lettura nella directory Può leggere le informazioni base della directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e ai guest. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Account di sincronizzazione della directory Utilizzato solo dal servizio Microsoft Entra Connessione.
Icona dell'etichetta con privilegi.
d29b2b05-8046-44ba-8758-1e26182fcf32
Ruolo con autorizzazioni di scrittura nella directory Può leggere e scrivere informazioni di base sulla directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti.
Icona dell'etichetta con privilegi.
9360feb5-f418-4baa-8175-e2a00bac4301
Domain Name Amministrazione istrator Può gestire i nomi di dominio nel cloud e in locale.
Icona dell'etichetta con privilegi.
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 Amministrazione istrator Può gestire tutti gli aspetti del prodotto Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central Amministrazione istrator È possibile accedere agli ambienti Dynamics 365 Business Central ed eseguire tutte le attività amministrative negli ambienti. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edge Amministrazione istrator Gestire tutti gli aspetti di Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Amministratore di Exchange Può gestire tutti gli aspetti del prodotto Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange Recipient Amministrazione istrator Può creare o aggiornare i destinatari di Exchange Online all'interno dell'organizzazione di Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Flusso utente CON ID esterno Amministrazione istrator Può creare e gestire tutti gli aspetti dei flussi utente. 6e591065-9bad-43ed-90f3-e9424366d2f0
Attributo flusso utente ID esterno Amministrazione istrator Può creare e gestire lo schema degli attributi disponibile per tutti i flussi utente. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Amministratore dei provider di identità esterni Può configurare i provider di identità per l'uso nella federazione diretta.
Icona dell'etichetta con privilegi.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Infrastruttura Amministrazione istrator Può gestire tutti gli aspetti dei prodotti Fabric e Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Amministratore globale Può gestire tutti gli aspetti di Microsoft Entra ID e servizi Microsoft che usano le identità di Microsoft Entra.
Icona dell'etichetta con privilegi.
62e90394-69f5-4237-9190-012177145e10
Ruolo con autorizzazioni di lettura globali Può leggere tutto ciò che un Amministrazione istrator globale può, ma non aggiornare nulla.
Icona dell'etichetta con privilegi.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Global Secure Access Amministrazione istrator Creare e gestire tutti gli aspetti di Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra, inclusa la gestione dell'accesso agli endpoint pubblici e privati. ac434307-12b9-4fa1-a708-88bf58caabc1
Amministratore di gruppi I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi. fdd7a751-b60b-444a-984c-02652fe8fa1c
Mittente dell'invito guest Può invitare utenti guest indipendentemente dall'impostazione 'I membri possono invitare utenti guest'. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Amministratore supporto tecnico Può reimpostare le password per gli utenti non amministratori e gli amministratori supporto tecnico.
Icona dell'etichetta con privilegi.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Amministratore delle identità ibride Può gestire Active Directory per il provisioning cloud di Microsoft Entra, Microsoft Entra Connessione, autenticazione pass-through (PTA), sincronizzazione dell'hash delle password (PHS), Accesso Single Sign-On facile (Seamless SSO) e impostazioni di federazione. Non ha accesso per gestire Microsoft Entra Connessione Health.
Icona dell'etichetta con privilegi.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Identity Governance Amministrazione istrator Gestire l'accesso usando Microsoft Entra ID per scenari di governance delle identità. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Amministratore Insights Ha accesso amministrativo nell'app Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analista di Insights Accedere alle funzionalità analitiche in Microsoft Viva Insights ed eseguire query personalizzate. 25df335f-86eb-4119-b717-0ff02de207e9
Insights Business Leader Può visualizzare e condividere dashboard e informazioni dettagliate tramite l'app Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Amministratore di Intune Può gestire tutti gli aspetti del prodotto Intune.
Icona dell'etichetta con privilegi.
3a2c62db-5318-420d-8d74-23affee5d9d5
Amministratore di Kaizala Può gestire le impostazioni per Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Amministratore delle informazioni Può configurare conoscenze, apprendimento e altre funzionalità intelligenti. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Responsabile delle informazioni Può organizzare, creare, gestire e promuovere argomenti e conoscenze. 744ec460-397e-42ad-a462-8b3f9747a02c
Amministratore licenze Possono gestire licenze dei prodotti per utenti e gruppi. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Flussi di lavoro del ciclo di vita Amministrazione istrator Creare e gestire tutti gli aspetti dei flussi di lavoro e delle attività associati ai flussi di lavoro del ciclo di vita in Microsoft Entra ID. 59d46f88-662b-457b-bceb-5c3809e5908f
Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi Può leggere solo i messaggi di sicurezza e gli aggiornamenti nel Centro messaggi di Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Ruolo con autorizzazioni di lettura per il Centro messaggi Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Migrazione di Microsoft 365 Amministrazione istrator Eseguire tutte le funzionalità di migrazione per eseguire la migrazione del contenuto a Microsoft 365 usando Gestione migrazione. 8c8b803f-96e1-4129-9349-20738d9f9652
Microsoft Entra Join Device Local Amministrazione istrator Gli utenti assegnati a questo ruolo vengono aggiunti al gruppo administrators locale nei dispositivi aggiunti a Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsoft Hardware Warranty Amministrazione istrator Creare e gestire tutti gli aspetti dei diritti e delle attestazioni di garanzia per l'hardware prodotto da Microsoft, ad esempio Surface e HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Specialista della garanzia hardware Microsoft Creare e leggere attestazioni di garanzia per l'hardware prodotto da Microsoft, ad esempio Surface e HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Amministratore di Commerce moderno Può gestire gli acquisti commerciali per una società, un reparto o un team. d24aef57-1500-4070-84db-2666f29cf966
Amministratore di rete Può gestire i percorsi di rete ed esaminare le informazioni dettagliate sulla progettazione della rete aziendale per le applicazioni SaaS (Software as a Service) di Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Amministratore delle app di Office Può gestire app Office servizi cloud, tra cui la gestione dei criteri e delle impostazioni e gestire la possibilità di selezionare, deselezionare e pubblicare il contenuto delle funzionalità "novità" nei dispositivi dell'utente finale. 2b745bdf-0803-4d80-aa65-822c4493daac
Personalizzazione dell'organizzazione Amministrazione istrator Gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Writer messaggi dell'organizzazione Scrivere, pubblicare, gestire ed esaminare i messaggi dell'organizzazione per gli utenti finali tramite le aree di prodotto Microsoft. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Supporto partner - Livello 1 Non usare: non destinato all'uso generale.
Icona dell'etichetta con privilegi.
4ba39ca4-527c-499a-b93d-d9b492c50246
Supporto partner - Livello 2 Non usare: non destinato all'uso generale.
Icona dell'etichetta con privilegi.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Amministratore password Può reimpostare le password per utenti non amministratori e password Amministrazione istrator.
Icona dell'etichetta con privilegi.
966707d0-3269-4727-9be2-8c3a10f19b9d
Gestione delle autorizzazioni Amministrazione istrator Gestire tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Amministratore di Power Platform Può creare e gestire tutti gli aspetti di Microsoft Dynamics 365, Power Apps e Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Amministratore stampante Può gestire tutti gli aspetti delle stampanti e dei connettori delle stampanti. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Tecnico della stampante Può registrare e annullare la registrazione delle stampanti e aggiornare lo stato della stampante. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Amministratore autenticazione con privilegi Può accedere a visualizzare, impostare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).
Icona dell'etichetta con privilegi.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Amministratore dei ruoli con privilegi Può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management.
Icona dell'etichetta con privilegi.
e8611ab8-c189-46e8-94e1-60213ab1f814
Lettore di report Può eseguire la lettura dei report di accesso e di controllo. 4a5d8f65-41da-4de4-8968-e035b65339cf
Amministratore della ricerca Consente di creare e gestire tutti gli aspetti delle impostazioni di Microsoft Search. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor della ricerca Può creare e gestire i contenuti editoriali, ad esempio segnalibri, domande e risposte, posizioni e planimetrie. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Amministratore della sicurezza Può leggere informazioni e report sulla sicurezza e gestire la configurazione in Microsoft Entra ID e Office 365.
Icona dell'etichetta con privilegi.
194ae4cb-b126-40b2-bd5b-6091b380977d
Operatore di sicurezza Creare e gestire gli eventi di sicurezza.
Icona dell'etichetta con privilegi.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Ruolo con autorizzazioni di lettura per la sicurezza Può leggere informazioni e report sulla sicurezza in Microsoft Entra ID e Office 365.
Icona dell'etichetta con privilegi.
5d6b6bb7-de71-4623-b4af-96380a352509
Amministratore servizio di supporto Può eseguire la lettura delle informazioni di integrità dei servizi e gestire i ticket di supporto. f023fd81-a637-4b56-95fd-791ac0226033
Amministratore di SharePoint Può gestire tutti gli aspetti del servizio SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Skype for Business Amministrazione istrator Può gestire tutti gli aspetti del prodotto Skype for Business. 75941009-915A-4869-abe7-691bff18279e
Teams Amministrazione istrator Può gestire il servizio Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Amministratore delle comunicazioni con Teams Può gestire le funzionalità per chiamate e riunioni all'interno del servizio Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Tecnico supporto comunicazioni Teams Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti avanzati. f70938a0-fc10-4177-9e90-2178f8765737
Specialista supporto comunicazioni Teams Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti di base. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Dispositivi teams Amministrazione istrator Può eseguire attività correlate alla gestione nei dispositivi certificati di Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Autore tenant Creare nuovi tenant di Microsoft Entra o Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Lettore report di riepilogo utilizzo Leggere i report sull'utilizzo e il punteggio di adozione, ma non è possibile accedere ai dettagli dell'utente. 75934031-6c7e-415a-99d7-48dbd49e875e
Amministratore utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per gli amministratori con limitazioni.
Icona dell'etichetta con privilegi.
fe930be7-5e62-47db-91af-98c3a49a38b1
Visite virtuali Amministrazione istrator Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals Amministrazione istrator Gestire e configurare tutti gli aspetti di Microsoft Viva Goals. 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse Amministrazione istrator Può gestire tutte le impostazioni per l'app Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365 Amministrazione istrator Può effettuare il provisioning e gestire tutti gli aspetti dei PC cloud. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Distribuzione di Windows Update Amministrazione istrator Può creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione windows Update for Business. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer Amministrazione istrator Gestire tutti gli aspetti del servizio Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Amministratore di applicazioni

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Si noti che gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o nelle applicazioni aziendali.

Questo ruolo concede inoltre la possibilità di fornire il consenso per le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph.

Importante

Questa eccezione significa che è comunque possibile fornire il consenso alle autorizzazioni dell'applicazione per altre app, ad esempio app non Microsoft o app registrate. È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio Global Amministrazione istrator.

questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. Questa possibilità di rappresentare l'identità dell'applicazione può essere un'elevazione dei privilegi rispetto a ciò che l'utente può eseguire tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.

Azioni Descrizione
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestire i criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/applicationProxy/read Leggere tutte le proprietà del proxy di applicazione
microsoft.directory/applications/applicationProxy/update Aggiornare tutte le proprietà del proxy di applicazione
microsoft.directory/applications/applicationProxyAuthentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/applicationProxySslCertificate/update Aggiornare le impostazioni del certificato SSL per il proxy dell'applicazione
microsoft.directory/applications/applicationProxyUrl Impostazioni/update Aggiornare le impostazioni URL per il proxy dell'applicazione
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/extensionProperties/update Aggiornare le proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/applications/verification/update Aggiornare la proprietà applicationsverification
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare istanze di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/connectors/create Creare connettori proxy di applicazione
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori proxy dell'applicazione
microsoft.directory/connectorGroups/create Creare gruppi di connettori proxy applicazione
microsoft.directory/connectorGroups/delete Eliminare i gruppi di connettori proxy di applicazione
microsoft.directory/connectorGroups/allProperties/read Leggere tutte le proprietà dei gruppi di connettori proxy applicazione
microsoft.directory/connectorGroups/allProperties/update Aggiornare tutte le proprietà dei gruppi di connettori proxy applicazione
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creare e gestire estensioni di autenticazione personalizzate
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems.applications/delete Eliminare definitivamente le applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristinare lo stato originale delle applicazioni eliminate temporaneo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le concessioni di autorizzazione OAuth 2.0 e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/applicationPolicies/create Creare criteri dell'applicazione
microsoft.directory/applicationPolicies/delete Eliminare i criteri dell'applicazione
microsoft.directory/applicationPolicies/standard/read Leggere le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read Leggere i proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read Leggere i criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/applicationPolicies/basic/update Aggiornare le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/update Aggiornare la proprietà proprietario dei criteri dell'applicazione
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestire le credenziali per l'accesso Single Sign-On delle password nelle entità servizio
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire segreti e credenziali di provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire processi e schemi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leggere le credenziali di Single Sign-On per le password nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Concedere il consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà del gruppo di destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornare le credenziali delle entità servizio
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Sviluppatore di applicazioni

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. gli utenti in questo ruolo possono creare registrazioni di applicazioni quando l'opzione "Gli utenti possono registrare applicazioni" è impostata su No. Questo ruolo concede anche l'autorizzazione per fornire il consenso per proprio conto quando l'opzione "Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto" è impostata su No. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazioni.

Azioni Descrizione
microsoft.directory/applications/createAsOwner Creare tutti i tipi di applicazioni e l'autore viene aggiunto come primo proprietario
microsoft.directory/oAuth2PermissionGrants/createAsOwner Creare concessioni di autorizzazione OAuth 2.0, con creator come primo proprietario
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/createAsOwner Creare entità servizio, con creator come primo proprietario

Autore del payload di attacco

Gli utenti con questo ruolo possono creare payload di attacco, ma non effettivamente avviarli o pianificarli. I payload di attacco sono quindi disponibili per tutti gli amministratori del tenant che possono usarli per creare una simulazione.

Per altre informazioni, vedere Microsoft Defender per Office 365 autorizzazioni nel portale di Microsoft 365 Defender e autorizzazioni nel Portale di conformità di Microsoft Purview.

Azioni Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report di simulazione di attacchi, risposte e training associato

Amministratore della simulazione di attacchi

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti della creazione della simulazione di attacchi, l'avvio o la pianificazione di una simulazione e la revisione dei risultati della simulazione. I membri con questo ruolo hanno questo accesso a tutte le simulazioni nel tenant.

Per altre informazioni, vedere Microsoft Defender per Office 365 autorizzazioni nel portale di Microsoft 365 Defender e autorizzazioni nel Portale di conformità di Microsoft Purview.

Azioni Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report di simulazione di attacchi, risposte e training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Creare e gestire modelli di simulazione degli attacchi nel simulatore di attacco

Amministratore assegnazione di attributi

Gli utenti con questo ruolo possono assegnare e rimuovere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati, come ad esempio utenti, entità servizio e dispositivi.

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Aggiornare i valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/attributeSets/allProperties/read Leggere tutte le proprietà dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/devices/customSecurityAttributes/update Aggiornare i valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aggiornare i valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per gli utenti
microsoft.directory/users/customSecurityAttributes/update Aggiornare i valori degli attributi di sicurezza personalizzati per gli utenti

Lettore assegnazione di attributi

Gli utenti con questo ruolo possono leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati.

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Leggere tutte le proprietà dei set di attributi
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read Leggere i valori degli attributi di sicurezza personalizzati per gli utenti

Amministratore definizione di attributi

Gli utenti con questo ruolo possono definire un set valido di attributi di sicurezza personalizzati che possono essere assegnati agli oggetti supportati di Microsoft Entra. Questo ruolo può anche attivare e disattivare gli attributi di sicurezza personalizzati.

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/allTasks Gestire tutti gli aspetti dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Gestire tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati

Lettore di definizioni di attributi

Gli utenti con questo ruolo possono leggere la definizione degli attributi di sicurezza personalizzati.

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere, definire o assegnare attributi di sicurezza personalizzati. Per usare gli attributi di sicurezza personalizzati, è necessario che all'utente sia stato assegnato uno dei ruoli dell'attributo di sicurezza personalizzato.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Leggere tutte le proprietà dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate

Attributo Log Amministrazione istrator

Assegnare il ruolo Lettore log attributi agli utenti che devono eseguire le attività seguenti:

  • Leggere i log di controllo per le modifiche al valore dell'attributo di sicurezza personalizzato
  • Leggere i log di controllo per le modifiche e le assegnazioni delle definizioni degli attributi di sicurezza personalizzate
  • Configurare le impostazioni di diagnostica per gli attributi di sicurezza personalizzati

Gli utenti con questo ruolo non possono leggere i log di controllo per altri eventi.

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere i log di controllo per gli attributi di sicurezza personalizzati. Per leggere i log di controllo per gli attributi di sicurezza personalizzati, è necessario assegnare questo ruolo o il ruolo Lettore log attributi.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Leggere i log di controllo correlati agli attributi di sicurezza personalizzati
microsoft.azure.customSecurityAttributeDiagnostic Impostazioni/allEntities/allProperties/allTasks Configurare tutti gli aspetti delle impostazioni di diagnostica degli attributi di sicurezza personalizzati

Lettore log attributi

Assegnare il ruolo Lettore log attributi agli utenti che devono eseguire le attività seguenti:

  • Leggere i log di controllo per le modifiche al valore dell'attributo di sicurezza personalizzato
  • Leggere i log di controllo per le modifiche e le assegnazioni delle definizioni degli attributi di sicurezza personalizzate

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

  • Configurare le impostazioni di diagnostica per gli attributi di sicurezza personalizzati
  • Leggere i log di controllo per altri eventi

Per impostazione predefinita, Global Amministrazione istrator e altri ruoli di amministratore non dispongono delle autorizzazioni per leggere i log di controllo per gli attributi di sicurezza personalizzati. Per leggere i log di controllo per gli attributi di sicurezza personalizzati, è necessario assegnare questo ruolo o il ruolo log degli attributi Amministrazione istrator.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Leggere i log di controllo correlati agli attributi di sicurezza personalizzati

Amministratore dell'autenticazione

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Assegnare il ruolo di Amministratore autenticazione agli utenti che devono eseguire le operazioni seguenti:

  • Impostare o reimpostare qualsiasi metodo di autenticazione (incluse le password) per gli utenti non amministratori e alcuni ruoli. Per un elenco dei ruoli che un Amministrazione istrator di autenticazione può leggere o aggiornare i metodi di autenticazione, vedere Chi può reimpostare le password.
  • Richiedere agli utenti che non sono amministratori o assegnati ad alcuni ruoli di registrare nuovamente le credenziali non password esistenti (ad esempio, MFA o FIDO) e possono anche revocare l'autenticazione a più fattori nel dispositivo, che richiede l'autenticazione a più fattori nel successivo accesso.
  • Eseguire azioni sensibili per alcuni utenti. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Creare e gestire ticket di supporto in Azure e il interfaccia di amministrazione di Microsoft 365.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile a ruoli.
  • Impossibile gestire le impostazioni MFA nel portale di gestione MFA legacy o nei token OATH hardware.

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo Gestire i metodi di autenticazione dell'utente Gestire l'autenticazione a più fattori per utente Gestire le impostazioni MFA Gestire i criteri del metodo di autenticazione Gestire i criteri di protezione delle password Aggiornare le proprietà sensibili Eliminare e ripristinare gli utenti
Amministratore dell'autenticazione Sì per alcuni utenti Sì per alcuni utenti No No No Sì per alcuni utenti Sì per alcuni utenti
Amministratore autenticazione con privilegi Sì, per tutti gli utenti Sì, per tutti gli utenti No No No Sì, per tutti gli utenti Sì, per tutti gli utenti
Criteri di autenticazione Amministrazione istrator No No No No
Amministratore utenti No No No No No Sì per alcuni utenti Sì per alcuni utenti

Importante

Gli utenti con questo ruolo possono modificare le credenziali per gli utenti che possono accedere a informazioni riservate o private o alla configurazione critica all'interno e all'esterno di Microsoft Entra ID. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse all'autenticazione Amministrazione istrator. Tramite questo percorso un Amministrazione istrator di autenticazione può assumere l'identità di un proprietario dell'applicazione e quindi assumere ulteriormente l'identità di un'applicazione con privilegi aggiornando le credenziali per l'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Gruppi di sicurezza e proprietari di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministrazione istrators in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, portale di Microsoft 365 Defender, Portale di conformità di Microsoft Purview e sistemi di risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.directory/users/authenticationMethods/create Aggiornare i metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/delete Eliminare i metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leggere le proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/users/authenticationMethods/basic/update Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems.users/restore Ripristinare lo stato originale degli utenti eliminati temporaneo
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconneszione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Estendibilità dell'autenticazione Amministrazione istrator

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Assegnare il ruolo Authentication Extensibility Amministrazione istrator agli utenti che devono eseguire le attività seguenti:

  • Creare e gestire tutti gli aspetti delle estensioni di autenticazione personalizzate.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile assegnare estensioni di autenticazione personalizzate alle applicazioni per modificare le esperienze di autenticazione e non può fornire il consenso alle autorizzazioni dell'applicazione o creare registrazioni di app associate all'estensione di autenticazione personalizzata. È invece necessario usare i ruoli Application Amministrazione istrator, Application Developer o Cloud Application Amministrazione istrator.

Un'estensione di autenticazione personalizzata è un endpoint API creato da uno sviluppatore per gli eventi di autenticazione ed è registrato in Microsoft Entra ID. Gli amministratori delle applicazioni e i proprietari di applicazioni possono usare estensioni di autenticazione personalizzate per personalizzare le esperienze di autenticazione dell'applicazione, ad esempio l'accesso e l'iscrizione o la reimpostazione della password.

Ulteriori informazioni

Azioni Descrizione
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creare e gestire estensioni di autenticazione personalizzate
Icona dell'etichetta con privilegi.

Amministratore dei criteri di autenticazione

Assegnare il ruolo di Amministratore dei criteri di autenticazione agli utenti che devono eseguire le operazioni seguenti:

  • Configurare i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant e i criteri di protezione delle password che determinano i metodi che ogni utente può registrare e usare.
  • Gestire le impostazioni di protezione password: configurazioni di blocco intelligente e aggiornamento dell'elenco personalizzato di password escluse.
  • Creare e gestire credenziali verificabili.
  • Creare e gestire i ticket di supporto tecnico di Azure.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile aggiornare le proprietà sensibili. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Impossibile eliminare o ripristinare gli utenti. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Impossibile gestire le impostazioni MFA nel portale di gestione MFA legacy o nei token OATH hardware.

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo Gestire i metodi di autenticazione dell'utente Gestire l'autenticazione a più fattori per utente Gestire le impostazioni MFA Gestire i criteri del metodo di autenticazione Gestire i criteri di protezione delle password Aggiornare le proprietà sensibili Eliminare e ripristinare gli utenti
Amministratore dell'autenticazione Sì per alcuni utenti Sì per alcuni utenti No No No Sì per alcuni utenti Sì per alcuni utenti
Amministratore autenticazione con privilegi Sì, per tutti gli utenti Sì, per tutti gli utenti No No No Sì, per tutti gli utenti Sì, per tutti gli utenti
Criteri di autenticazione Amministrazione istrator No No No No
Amministratore utenti No No No No No Sì per alcuni utenti Sì per alcuni utenti
Azioni Descrizione
microsoft.directory/organization/strongAuthentication/allTasks Gestire tutti gli aspetti delle proprietà di autenticazione avanzata di un'organizzazione
microsoft.directory/userCredentialPolicies/create Creare criteri di credenziale per gli utenti
microsoft.directory/userCredentialPolicies/delete Eliminare i criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/standard/read Leggere le proprietà standard dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/owners/read Leggere i proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Read policy.appliesTo navigation link (Leggi policy.appliesTo navigation link)
microsoft.directory/userCredentialPolicies/basic/update Aggiornare i criteri di base per gli utenti
microsoft.directory/userCredentialPolicies/owners/update Aggiornare i proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/tenantDefault/update Aggiornare la proprietà policy.isOrganizationDefault
microsoft.directory/verificaableCredentials/configuration/contracts/cards/allProperties/read Leggere una scheda credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/cards/revoke Revocare una scheda credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/create Creare un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/read Leggere un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/update Aggiornare un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/create Creare la configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/delete Eliminare la configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/allProperties/update Aggiornare la configurazione necessaria per creare e gestire credenziali verificabili
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure

Amministratore di Azure DevOps

Gli utenti con questo ruolo possono gestire tutti i criteri di Azure DevOps aziendali, applicabili a tutte le organizzazioni di Azure DevOps supportate da Microsoft Entra ID. Gli utenti con questo ruolo possono gestire questi criteri passando a qualsiasi organizzazione di Azure DevOps supportata da Microsoft Entra ID aziendale. Inoltre, gli utenti di questo ruolo possono richiedere la proprietà delle organizzazioni Azure DevOps orfane. Questo ruolo non concede altre autorizzazioni specifiche di Azure DevOps, ad esempio Amministratori raccolta di progetti, all'interno di una delle organizzazioni di Azure DevOps supportate dall'organizzazione con Microsoft Entra aziendale.

Azioni Descrizione
microsoft.azure.devOps/allEntities/allTasks Leggere e configurare Azure DevOps

Amministratore di Azure Information Protection

gli utenti con questo ruolo hanno tutte le autorizzazioni nel servizio Azure Information Protection. Questo ruolo consente di configurare etichette per i criteri di Azure Information Protection, gestire i modelli di protezione e attivare la protezione. Questo ruolo non concede alcuna autorizzazione in Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender Portal o Portale di conformità di Microsoft Purview.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dei set di chiavi IEF B2C

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. L'utente può creare e gestire le chiavi dei criteri e i segreti per la crittografia dei token, le firme dei token e la crittografia/decrittografia delle attestazioni. Con l'aggiunta di nuove chiavi ai contenitori di chiavi esistenti, questo amministratore limitato può eseguire il rollover dei segreti in base alle esigenze senza effetti sulle applicazioni esistenti. Questo utente può visualizzare il contenuto completo di questi segreti e le relative date di scadenza anche dopo la loro creazione.

Importante

Si tratta di un ruolo sensibile. Il ruolo di amministratore dei set di chiavi deve essere controllato attentamente e assegnato con attenzione durante la pre-produzione e la produzione.

Azioni Descrizione
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Leggere e configurare i set di chiavi in Azure Active Directory B2C
Icona dell'etichetta con privilegi.

Amministratore dei criteri IEF B2C

Gli utenti con questo ruolo hanno la possibilità di creare, leggere, aggiornare ed eliminare tutti i criteri personalizzati in Azure AD B2C e quindi di avere il controllo completo su Identity Experience Framework nell'organizzazione Azure AD B2C pertinente. Modificando i criteri, l'utente può stabilire una federazione diretta con provider di identità esterni, modificare lo schema della directory, modificare tutti i contenuti esposti agli utenti (HTML, CSS, JavaScript), modificare i requisiti per completare un'autenticazione, creare nuovi utenti, inviare dati utente a sistemi esterni, incluse migrazioni complete, e modificare tutte le informazioni utente, inclusi i campi sensibili come password e numeri di telefono. Viceversa, questo ruolo non può modificare le chiavi di crittografia o modificare i segreti usati per la federazione nell'organizzazione.

Importante

L'amministratore dei criteri IEF B2 è un ruolo estremamente sensibile da assegnare su base molto limitata per le organizzazioni in produzione. Le attività svolte da questi utenti devono essere controllate attentamente, soprattutto per le organizzazioni in produzione.

Azioni Descrizione
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Leggere e configurare criteri personalizzati in Azure Active Directory B2C

Amministratore fatturazione

può effettuare acquisti, gestire le sottoscrizioni e i ticket di supporto e monitorare l'integrità dei servizi.

Azioni Descrizione
microsoft.directory/organization/basic/update Aggiornare le proprietà di base nell'organizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Cloud App Security

Gli utenti con questo ruolo dispongono di autorizzazioni complete nelle app Defender for Cloud. Possono aggiungere amministratori, criteri e impostazioni delle app Defender for Cloud, caricare i log ed eseguire azioni di governance.

Azioni Descrizione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender per il cloud App
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore applicazione cloud

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle applicazioni aziendali e delle registrazioni dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

Questo ruolo concede inoltre la possibilità di fornire il consenso per le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph.

Importante

Questa eccezione significa che è comunque possibile fornire il consenso alle autorizzazioni dell'applicazione per altre app, ad esempio app non Microsoft o app registrate. È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio Global Amministrazione istrator.

questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. Questa possibilità di rappresentare l'identità dell'applicazione può essere un'elevazione dei privilegi rispetto a ciò che l'utente può eseguire tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.

Azioni Descrizione
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestire i criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/extensionProperties/update Aggiornare le proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/applications/verification/update Aggiornare la proprietà applicationsverification
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare istanze di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/deletedItems.applications/delete Eliminare definitivamente le applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristinare lo stato originale delle applicazioni eliminate temporaneo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le concessioni di autorizzazione OAuth 2.0 e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/applicationPolicies/create Creare criteri dell'applicazione
microsoft.directory/applicationPolicies/delete Eliminare i criteri dell'applicazione
microsoft.directory/applicationPolicies/standard/read Leggere le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read Leggere i proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read Leggere i criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/applicationPolicies/basic/update Aggiornare le proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/update Aggiornare la proprietà proprietario dei criteri dell'applicazione
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestire le credenziali per l'accesso Single Sign-On delle password nelle entità servizio
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire segreti e credenziali di provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire processi e schemi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leggere le credenziali di Single Sign-On per le password nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Concedere il consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà del gruppo di destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornare le credenziali delle entità servizio
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dispositivo cloud

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo possono abilitare, disabilitare ed eliminare dispositivi in Microsoft Entra ID e leggere le chiavi BitLocker per Windows 10 (se presenti) nel portale di Azure. Il ruolo non concede le autorizzazioni per gestire eventuali altre proprietà nel dispositivo.

Azioni Descrizione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristinare lo stato originale dei dispositivi eliminati temporaneo
microsoft.directory/devices/delete Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable Abilitare i dispositivi in Microsoft Entra ID
microsoft.directory/deviceLocalCredentials/password/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceManagementPolicies/basic/update Aggiornare le proprietà di base per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
Icona dell'etichetta con privilegi.
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/basic/update Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365

Amministratore di conformità

Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità correlate alla conformità nel portale di Portale di conformità di Microsoft Purview, interfaccia di amministrazione di Microsoft 365, Azure e Microsoft 365 Defender. Gli assegnatari possono anche gestire tutte le funzionalità all'interno dell'interfaccia di amministrazione di Exchange e creare ticket di supporto per Azure e Microsoft 365. Per altre informazioni, vedere Ruoli e gruppi di ruoli in conformità Microsoft Defender per Office 365 e Microsoft Purview.

Tra Può eseguire
Portale di conformità di Microsoft Purview Proteggere e gestire i dati dell'organizzazione in tutti i servizi di Microsoft 365
Gestire gli avvisi di conformità
Microsoft Purview Compliance Manager Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
Portale di Microsoft 365 Defender Gestire la governance dei dati
Eseguire analisi sui dati e di carattere legale
Gestire le richieste di soggetti interessati

Questo ruolo ha le stesse autorizzazioni del gruppo di ruoli Compliance Amministrazione istrator nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender.
Intune Visualizzare tutti i dati di controllo di Intune
Microsoft Defender for Cloud Apps Disporre di autorizzazioni di sola lettura e gestire gli avvisi
Creare e modificare i criteri di file e consentire azioni di governance sui file
Visualizzare tutti i report predefiniti in Gestione dati
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore dei dati sulla conformità

Gli utenti con questo ruolo hanno le autorizzazioni per tenere traccia dei dati nel portale di conformità Microsoft Purview, nell'interfaccia di amministrazione di Microsoft 365 e in Azure. Gli utenti possono anche tenere traccia dei dati di conformità all'interno dell'interfaccia di amministrazione di Exchange, in Compliance Manager, nell'interfaccia di amministrazione di Teams e Skype for Business, nonché creare ticket di supporto per Azure e Microsoft 365. Per altre informazioni sulle differenze tra Compliance Amministrazione istrator e Compliance Data Amministrazione istrator, vedere Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità a Microsoft Purview.

Tra Può eseguire
Portale di conformità di Microsoft Purview Monitorare i criteri correlati alla conformità in tutti i servizi di Microsoft 365
Gestire gli avvisi di conformità
Microsoft Purview Compliance Manager Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
Portale di Microsoft 365 Defender Gestire la governance dei dati
Eseguire analisi sui dati e di carattere legale
Gestire le richieste di soggetti interessati

Questo ruolo ha le stesse autorizzazioni del gruppo di ruoli Compliance Data Amministrazione istrator nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender.
Intune Visualizzare tutti i dati di controllo di Intune
Microsoft Defender for Cloud Apps Disporre di autorizzazioni di sola lettura e gestire gli avvisi
Creare e modificare i criteri di file e consentire azioni di governance sui file
Visualizzare tutti i report predefiniti in Gestione dati
Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender per il cloud App
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore accesso condizionale

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo hanno la possibilità di gestire le impostazioni di accesso condizionale di Microsoft Entra.

Azioni Descrizione
microsoft.directory/namedLocations/create Creare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/conditionalAccessPolicies/create Creare criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/delete Eliminare i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/conditionalAccessPolicies/owners/read Leggere i proprietari dei criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/basic/update Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/owners/update Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aggiornare il tenant predefinito per i criteri di accesso condizionale
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di Controllo degli accessi in base al ruolo di Microsoft 365
Icona dell'etichetta con privilegi.

Responsabile approvazione per l'accesso a Customer Lockbox

Gestisce le richieste di Customer Lockbox di Microsoft Purview nell'organizzazione. Gli utenti con questo ruolo ricevono notifiche di posta elettronica per le richieste Customer Lockbox e possono approvare e rifiutare le richieste dall'interfaccia di amministrazione di Microsoft 365. Possono anche attivare o disattivare la funzionalità Customer Lockbox. Solo gli Amministratori globali possono reimpostare le password degli utenti a cui è assegnato questo ruolo.

Azioni Descrizione
microsoft.office365.lockbox/allEntities/allTasks Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore Desktop Analytics

Gli utenti di questo ruolo possono gestire il servizio Desktop Analytics. Ciò include la possibilità di visualizzare l'inventario degli asset, creare piani di distribuzione e visualizzare lo stato di distribuzione e integrità.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks Gestire tutti gli aspetti di Desktop Analytics

Ruolo con autorizzazioni di lettura nella directory

Gli utenti con questo ruolo possono leggere le informazioni di base della directory. Questo ruolo deve essere usato per:

  • Concedere l'accesso in lettura a un set specifico di utenti guest anziché concederlo a tutti gli utenti guest.
  • La concessione di un set specifico di utenti non amministratori all'accesso a portale di Azure quando "Limita l'accesso a portale di Azure solo agli amministratori" è impostato su "Sì".
  • Concedere alle entità servizio l'accesso alla directory in cui Directory.Read.All non è un'opzione.
Azioni Descrizione
microsoft.directory/administrativeUnits/standard/read Leggere le proprietà di base nelle unità amministrative
microsoft.directory/administrativeUnits/members/read Leggere i membri delle unità amministrative
microsoft.directory/applications/standard/read Leggere le proprietà standard delle applicazioni
microsoft.directory/applications/owners/read Leggere i proprietari delle applicazioni
microsoft.directory/applications/policies/read Leggere i criteri delle applicazioni
microsoft.directory/contacts/standard/read Leggere le proprietà di base sui contatti in Microsoft Entra ID
microsoft.directory/contacts/memberOf/read Leggere l'appartenenza al gruppo per tutti i contatti in Microsoft Entra ID
microsoft.directory/contracts/standard/read Leggere le proprietà di base sui contratti partner
microsoft.directory/devices/standard/read Leggere le proprietà di base nei dispositivi
microsoft.directory/devices/memberOf/read Leggere le appartenenze ai dispositivi
microsoft.directory/devices/registeredOwners/read Leggere i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/read Leggere gli utenti registrati dei dispositivi
microsoft.directory/directoryRoles/standard/read Leggere le proprietà di base dei ruoli di Microsoft Entra
microsoft.directory/directoryRoles/eligibleMembers/read Leggere i membri idonei dei ruoli di Microsoft Entra
microsoft.directory/directoryRoles/members/read Leggere tutti i membri dei ruoli di Microsoft Entra
microsoft.directory/domains/standard/read Leggere le proprietà di base nei domini
microsoft.directory/groups/standard/read Leggere le proprietà standard dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/appRoleAssignments/read Leggere le assegnazioni di ruolo dell'applicazione dei gruppi
microsoft.directory/groups/memberOf/read Leggere la proprietà memberOf nei gruppi di sicurezza e nei gruppi di Microsoft 365, inclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/read Leggere i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/owners/read Leggere i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/settings/read Leggere le impostazioni dei gruppi
microsoft.directory/group Impostazioni/standard/read Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read Leggere le proprietà di base sui modelli di impostazione di gruppo
microsoft.directory/oAuth2PermissionGrants/standard/read Leggere le proprietà di base nelle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/standard/read Leggere le proprietà di base in un'organizzazione
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Leggere le autorità di certificazione attendibili per l'autenticazione senza password
microsoft.directory/applicationPolicies/standard/read Leggere le proprietà standard dei criteri dell'applicazione
microsoft.directory/roleAssignments/standard/read Leggere le proprietà di base per le assegnazioni di ruolo
microsoft.directory/roleDefinitions/standard/read Leggere le proprietà di base nelle definizioni dei ruoli
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Leggere le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/appRoleAssignments/read Leggere le assegnazioni di ruolo assegnate alle entità servizio
microsoft.directory/servicePrincipals/standard/read Leggere le proprietà di base delle entità servizio
microsoft.directory/servicePrincipals/memberOf/read Leggere le appartenenze ai gruppi nelle entità servizio
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Leggere le concessioni di autorizzazioni delegate per le entità servizio
microsoft.directory/servicePrincipals/owners/read Leggere i proprietari delle entità servizio
microsoft.directory/servicePrincipals/ownedObjects/read Leggere gli oggetti di proprietà delle entità servizio
microsoft.directory/servicePrincipals/policies/read Leggere i criteri delle entità servizio
microsoft.directory/subscribedSkus/standard/read Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/standard/read Leggere le proprietà di base per gli utenti
microsoft.directory/users/appRoleAssignments/read Leggere le assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read Leggere deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read Leggere i report diretti per gli utenti
microsoft.directory/users/licenseDetails/read Leggere i dettagli delle licenze degli utenti
microsoft.directory/users/manager/read Gestione lettura degli utenti
microsoft.directory/users/memberOf/read Leggere le appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read Autorizzazioni delegate di lettura per gli utenti
microsoft.directory/users/ownedDevices/read Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read Legge gli oggetti di proprietà degli utenti
microsoft.directory/users/photo/read Leggere la foto degli utenti
microsoft.directory/users/registeredDevices/read Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read Leggere l'appartenenza di un utente a un ruolo Microsoft Entra, che ha come ambito un'unità amministrativa
microsoft.directory/users/sponsors/read Leggere gli sponsor degli utenti

Account di sincronizzazione della directory

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Non utilizzare. Questo ruolo viene assegnato automaticamente al servizio Microsoft Entra Connessione e non è destinato o supportato per altri usi.

Azioni Descrizione
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri di autenticazione ibrida in Microsoft Entra ID
Icona dell'etichetta con privilegi.
microsoft.directory/organization/dirSync/update Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID
microsoft.directory/policies/create Creare criteri in Microsoft Entra ID
microsoft.directory/policies/delete Eliminare i criteri in Microsoft Entra ID
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/policies/owners/read Leggere i proprietari dei criteri
microsoft.directory/policies/policyAppliedTo/read Leggere la proprietà policies.policyAppliedTo
microsoft.directory/policies/basic/update Aggiornare le proprietà di base sui criteri
Icona dell'etichetta con privilegi.
microsoft.directory/policies/owners/update Aggiornare i proprietari dei criteri
microsoft.directory/policies/tenantDefault/update Aggiornare i criteri predefiniti dell'organizzazione
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestire le credenziali per l'accesso Single Sign-On delle password nelle entità servizio
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Leggere le credenziali di Single Sign-On per le password nelle entità servizio
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Leggere le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/appRoleAssignments/read Leggere le assegnazioni di ruolo assegnate alle entità servizio
microsoft.directory/servicePrincipals/standard/read Leggere le proprietà di base delle entità servizio
microsoft.directory/servicePrincipals/memberOf/read Leggere le appartenenze ai gruppi nelle entità servizio
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Leggere le concessioni di autorizzazioni delegate per le entità servizio
microsoft.directory/servicePrincipals/owners/read Leggere i proprietari delle entità servizio
microsoft.directory/servicePrincipals/ownedObjects/read Leggere gli oggetti di proprietà delle entità servizio
microsoft.directory/servicePrincipals/policies/read Leggere i criteri delle entità servizio
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà del gruppo di destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornare le credenziali delle entità servizio
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio

Ruolo con autorizzazioni di scrittura nella directory

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo possono leggere e aggiornare le informazioni di base di utenti, gruppi ed entità servizio.

Azioni Descrizione
microsoft.directory/applications/extensionProperties/update Aggiornare le proprietà dell'estensione nelle applicazioni
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto a gruppi per le licenze basate su gruppi
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per le licenze basate su gruppo
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/groupType/update Aggiornare le proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/onPremWriteBack/update Aggiornare i gruppi di Microsoft Entra per essere riscritto in locale con Microsoft Entra Connessione
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/settings/update Aggiornare le impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groupSettings/create Creare le impostazioni dei gruppi
microsoft.directory/groupSettings/delete Eliminare le impostazioni dei gruppi
microsoft.directory/groupSettings/basic/update Aggiornare le proprietà di base nelle impostazioni del gruppo
microsoft.directory/oAuth2PermissionGrants/create Creare concessioni di autorizzazione OAuth 2.0
Icona dell'etichetta con privilegi.
microsoft.directory/oAuth2PermissionGrants/basic/update Aggiornare le concessioni di autorizzazione OAuth 2.0
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire segreti e credenziali di provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire processi e schemi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gestire il tenant cloud per il provisioning di segreti e credenziali delle applicazioni tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Avviare, riavviare e sospendere il tenant cloud nei processi di sincronizzazione del provisioning delle applicazioni tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Creare e gestire il tenant cloud in un'applicazione tenant cloud che effettua il provisioning di processi e schemi di sincronizzazione.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconneszione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/sponsors/update Aggiornare gli sponsor degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.

Amministratore dei nomi di dominio

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo possono gestire, ovvero leggere, aggiungere, verificare, aggiornare ed eliminare, i nomi di dominio. Possono anche leggere le informazioni della directory su utenti, gruppi e applicazioni, in quanto questi oggetti possiedono dipendenze di dominio. Per gli ambienti locali, gli utenti con questo ruolo possono configurare i nomi di dominio per la federazione in modo che gli utenti associati siano sempre autenticati in locale. Questi utenti possono quindi accedere ai servizi basati su Microsoft Entra con le password locali tramite Single Sign-On. Le impostazioni di federazione devono essere sincronizzate tramite Microsoft Entra Connessione, quindi gli utenti hanno anche le autorizzazioni per gestire Microsoft Entra Connessione.

Azioni Descrizione
microsoft.directory/domains/allProperties/allTasks Creare ed eliminare domini e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Dynamics 365

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Dynamics 365 Online, quando il servizio è presente, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per altre informazioni, vedere Usare i ruoli di amministratore del servizio per gestire il tenant.

Nota

Nell'API Microsoft Graph e In Azure AD PowerShell questo ruolo è denominato Dynamics 365 Service Amministrazione istrator. Nel portale di Azure è denominato Dynamics 365 Amministrazione istrator.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.dynamics365/allEntities/allTasks Gestire tutti gli aspetti di Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Dynamics 365 Business Central Amministrazione istrator

Assegnare il ruolo dynamics 365 Business Central Amministrazione istrator agli utenti che devono eseguire le attività seguenti:

  • Accedere ad ambienti Dynamics 365 Business Central
  • Eseguire tutte le attività amministrative in ambienti
  • Gestire il ciclo di vita degli ambienti del cliente
  • Supervisione delle estensioni installate negli ambienti
  • Controllare gli aggiornamenti degli ambienti
  • Eseguire esportazioni di dati di ambienti
  • Leggere e configurare i dashboard di integrità dei servizi di Azure e Microsoft 365

Questo ruolo non fornisce autorizzazioni per altri prodotti Dynamics 365.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.directory/subscribedSkus/allProperties/read Leggere tutte le proprietà delle sottoscrizioni di prodotti
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore Edge

Gli utenti con questo ruolo possono creare e gestire l'elenco dei siti aziendali richiesto per la modalità Internet Explorer in Microsoft Edge. Questo ruolo concede le autorizzazioni per creare, modificare e pubblicare l'elenco dei siti e consente inoltre l'accesso per gestire i ticket di supporto. Ulteriori informazioni

Azioni Descrizione
microsoft.edge/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Exchange

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Exchange Online, quando il servizio è presente. Consente anche di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

Nell'API Microsoft Graph e In Azure AD PowerShell questo ruolo è denominato Exchange Service Amministrazione istrator. Nel portale di Azure è denominato Exchange Amministrazione istrator. Nell'interfaccia di amministrazione di Exchange, è denominato amministratore di Exchange Online.

Azioni Descrizione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/create Creare gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.exchange/allEntities/basic/allTasks Gestire tutti gli aspetti di Exchange Online
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore destinatari di Exchange

Gli utenti con questo ruolo hanno accesso in lettura ai destinatari e accesso in scrittura agli attributi di tali destinatari in Exchange Online. Per altre informazioni, vedere Destinatari in Exchange Server.

Azioni Descrizione
microsoft.office365.exchange/recipients/allProperties/allTasks Creazione ed eliminazione di tutti i destinatari e lettura e aggiornamento di tutte le proprietà dei destinatari in Exchange Online
microsoft.office365.exchange/migration/allProperties/allTasks Gestione di tutte le attività correlate alla migrazione di destinatari in Exchange Online

ID esterno - Amministratore dei flussi utente

Gli utenti con questo ruolo possono creare e gestire i flussi utente, detti anche criteri "predefiniti", nel portale di Azure. Questi utenti possono personalizzare il contenuto HTML/CSS/JavaScript, modificare i requisiti dell'autenticazione a più fattori, selezionare le attestazioni nel token, gestire i connettori API e le relative credenziali e configurare le impostazioni di sessione per tutti i flussi utente nell'organizzazione di Microsoft Entra. D'altra parte, questo ruolo non include la possibilità di esaminare i dati utente o apportare modifiche agli attributi inclusi nello schema dell'organizzazione. Anche le modifiche ai criteri di Identity Experience Framework, noti anche come criteri personalizzati, non rientrano nell'ambito di questo ruolo.

Azioni Descrizione
microsoft.directory/b2cUserFlow/allProperties/allTasks Leggere e configurare il flusso utente in Azure Active Directory B2C

ID esterno - Amministratore degli attributi dei flussi utente

Gli utenti con questo ruolo aggiungono o eliminano attributi personalizzati disponibili per tutti i flussi utente nell'organizzazione di Microsoft Entra. Gli utenti con questo ruolo possono quindi modificare o aggiungere nuovi elementi allo schema degli utenti finali e influire sul comportamento di tutti i flussi utente, causando indirettamente modifiche ai dati che possono essere richiesti agli utenti finali e inviati infine come attestazioni alle applicazioni. Questo ruolo non può modificare i flussi utente.

Azioni Descrizione
microsoft.directory/b2cUserAttribute/allProperties/allTasks Leggere e configurare l'attributo utente in Azure Active Directory B2C

Amministratore dei provider di identità esterni

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Questo amministratore gestisce la federazione tra le organizzazioni di Microsoft Entra e i provider di identità esterni. Con questo ruolo gli utenti possono aggiungere nuovi provider di identità e configurare tutte le impostazioni disponibili, ad esempio percorso di autenticazione, ID del servizio e contenitori di chiavi assegnati. Questo utente può consentire all'organizzazione Microsoft Entra di considerare attendibili le autenticazioni da provider di identità esterni. L'impatto risultante sulle esperienze degli utenti finali dipende dal tipo di organizzazione:

  • Organizzazioni Di Microsoft Entra per dipendenti e partner: l'aggiunta di una federazione (ad esempio con Gmail) influirà immediatamente su tutti gli inviti guest non ancora riscattati. Vedere Aggiungere Google come provider di identità per utenti guest B2B.
  • Organizzazioni di Azure Active Directory B2C: l'aggiunta di una federazione (ad esempio, con Facebook o con un'altra organizzazione di Microsoft Entra) non influisce immediatamente sui flussi degli utenti finali finché il provider di identità non viene aggiunto come opzione in un flusso utente (detto anche criterio predefinito). Per un esempio, vedere Configurazione di un account Microsoft come provider di identità. Per modificare i flussi utente, è necessario il ruolo limitato di "Amministratore dei flussi utente B2C".
Azioni Descrizione
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
Icona dell'etichetta con privilegi.
microsoft.directory/identityProviders/allProperties/allTasks Leggere e configurare provider di identità in Azure Active Directory B2C
Icona dell'etichetta con privilegi.

Infrastruttura Amministrazione istrator

Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft Fabric e Power BI, quando il servizio è presente, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per altre informazioni, vedere Informazioni sui ruoli di amministratore di Fabric.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gestire tutti gli aspetti di Fabric e Power BI

Amministratore globale

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Microsoft Entra ID, nonché ai servizi che usano identità di Microsoft Entra come il portale di Microsoft 365 Defender, il Portale di conformità di Microsoft Purview, Exchange Online, SharePoint Online e Skype for Business Online. I Amministrazione istrator globali possono visualizzare i log attività della directory. Inoltre, i Amministrazione istrator globali possono elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Ciò consente agli Amministratori globali di ottenere l'accesso completo a tutte le risorse di Azure usando il rispettivo tenant di Microsoft Entra. La persona che effettua l'iscrizione per l'organizzazione di Microsoft Entra diventa amministratore globale. In una società possono essere presenti più Amministratori globali. Gli Amministratori globali possono reimpostare la password per qualsiasi utente e per tutti gli altri amministratori. Un Amministrazione istrator globale non può rimuovere la propria assegnazione di Amministrazione istrator globale. Si tratta di prevenire una situazione in cui un'organizzazione ha zero Amministrazione istrator globali.

Nota

Come procedura consigliata, Microsoft consiglia di assegnare il ruolo di Amministratore globale a meno di cinque persone nell'organizzazione. Per altre informazioni, vedere Procedure consigliate per i ruoli di Microsoft Entra.

Azioni Descrizione
microsoft.directory/accessReviews/allProperties/allTasks (Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Gestire le verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestire i criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Creare e gestire le unità amministrative inclusi i membri
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks Creare ed eliminare applicazioni e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare istanze di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/users/authenticationMethods/create Aggiornare i metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/delete Eliminare i metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/standard/read Leggere le proprietà standard dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/basic/update Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/authorizationPolicy/allProperties/allTasks Gestire tutti gli aspetti dei criteri di autorizzazione
Icona dell'etichetta con privilegi.
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender per il cloud App
microsoft.directory/connectors/create Creare connettori proxy di applicazione
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori proxy dell'applicazione
microsoft.directory/connectorGroups/create Creare gruppi di connettori proxy applicazione
microsoft.directory/connectorGroups/delete Eliminare i gruppi di connettori proxy di applicazione
microsoft.directory/connectorGroups/allProperties/read Leggere tutte le proprietà dei gruppi di connettori proxy applicazione
microsoft.directory/connectorGroups/allProperties/update Aggiornare tutte le proprietà dei gruppi di connettori proxy applicazione
microsoft.directory/contacts/allProperties/allTasks Creare ed eliminare contatti e leggere e aggiornare tutte le proprietà
microsoft.directory/contracts/allProperties/allTasks Creare ed eliminare contratti partner e leggere e aggiornare tutte le proprietà
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creare e gestire estensioni di autenticazione personalizzate
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems/delete Eliminare definitivamente gli oggetti che non possono più essere ripristinati
microsoft.directory/deletedItems/restore Ripristinare lo stato originale degli oggetti eliminati temporaneo
microsoft.directory/devices/allProperties/allTasks Creare ed eliminare dispositivi e leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/assignLicense Assegnare una licenza a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli
microsoft.directory/multiTenantOrganization/basic/update Aggiornare le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/create Creare un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Partecipare a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leggere le proprietà di una richiesta di aggiunta a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create Creare un tenant in un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete Eliminare un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/create Creare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/deviceLocalCredentials/password/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceManagementPolicies/basic/update Aggiornare le proprietà di base per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
Icona dell'etichetta con privilegi.
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/deviceRegistrationPolicy/basic/update Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/directoryRoles/allProperties/allTasks Creare ed eliminare ruoli directory e leggere e aggiornare tutte le proprietà
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Creare ed eliminare modelli di ruolo di Microsoft Entra e leggere e aggiornare tutte le proprietà
microsoft.directory/domains/allProperties/allTasks Creare ed eliminare domini e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/basic/update Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete Eliminare la configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/groups/allProperties/allTasks Creare ed eliminare gruppi e leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/create Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete Eliminare gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/restore Ripristinare gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/allProperties/update Aggiornare i gruppi assegnabili a ruoli
microsoft.directory/groupSettings/allProperties/allTasks Creare ed eliminare le impostazioni del gruppo e leggere e aggiornare tutte le proprietà
microsoft.directory/groupSettingTemplates/allProperties/allTasks Creare ed eliminare modelli di impostazione di gruppo e leggere e aggiornare tutte le proprietà
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri di autenticazione ibrida in Microsoft Entra ID
Icona dell'etichetta con privilegi.
microsoft.directory/identityProtection/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Entra ID Protection
Icona dell'etichetta con privilegi.
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Creare ed eliminare loginTenantBranding e leggere e aggiornare tutte le proprietà
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le concessioni di autorizzazione OAuth 2.0 e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/organization/allProperties/allTasks Leggere e aggiornare tutte le proprietà per un'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID
microsoft.directory/policies/allProperties/allTasks Creare ed eliminare criteri e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Gestire tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Connessione/update Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso cross-tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aggiornare i modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Impostazioni Reimpostare il modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant impostando le impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aggiornare i modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Impostazioni Reimpostare il modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Connessione/update Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Creare criteri di sincronizzazione tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di Controllo degli accessi in base al ruolo di Microsoft 365
Icona dell'etichetta con privilegi.
microsoft.directory/roleAssignments/allProperties/allTasks Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà
microsoft.directory/serviceAction/activateService Può eseguire l'azione "attiva servizio" per un servizio
microsoft.directory/serviceAction/disableDirectoryFeature Può eseguire l'azione del servizio "disabilita funzionalità directory"
microsoft.directory/serviceAction/enableDirectoryFeature Può eseguire l'azione del servizio "Abilita funzionalità directory"
microsoft.directory/serviceAction/getAvailableExtentionProperties Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/allTasks Creare ed eliminare entità servizio e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gestire il tenant cloud per il provisioning di segreti e credenziali delle applicazioni tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Avviare, riavviare e sospendere il tenant cloud nei processi di sincronizzazione del provisioning delle applicazioni tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Creare e gestire il tenant cloud in un'applicazione tenant cloud che effettua il provisioning di processi e schemi di sincronizzazione.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/allTasks Acquistare e gestire sottoscrizioni ed eliminare sottoscrizioni
microsoft.directory/users/allProperties/allTasks Creare ed eliminare utenti e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/users/convertExternalToInternalMemberUser Convertire l'utente esterno in un utente interno
microsoft.directory/permissionGrantPolicies/create Creare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/delete Eliminare i criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/basic/update Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni
microsoft.directory/servicePrincipalCreationPolicies/create Creare criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/delete Eliminare i criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leggere le proprietà standard dei criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aggiornare le proprietà di base dei criteri di creazione dell'entità servizio
microsoft.directory/tenantManagement/tenants/create Creare nuovi tenant in Microsoft Entra ID
microsoft.directory/verificaableCredentials/configuration/contracts/cards/allProperties/read Leggere una scheda credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/cards/revoke Revocare una scheda credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/create Creare un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/read Leggere un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/update Aggiornare un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/create Creare la configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/delete Eliminare la configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verificaableCredentials/configuration/allProperties/update Aggiornare la configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.directory/pendingExternalUserProfiles/create Creare profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.commerce.billing/purchases/standard/read Leggere i servizi di acquisto in M365 Amministrazione Center.
microsoft.dynamics365/allEntities/allTasks Gestire tutti gli aspetti di Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.flow/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.hardware.support/shippingAddress/allProperties/allTasks Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per le richieste di garanzia hardware Microsoft aperte
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft
microsoft.insights/allEntities/allProperties/allTasks Gestire tutti gli aspetti dell'app Insights
microsoft.intune/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Gestire tutti gli aspetti di Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Gestire tutti gli aspetti di Exchange Online
microsoft.office365.file Archiviazione Containers/allEntities/allProperties/allTasks Gestire tutti gli aspetti dei contenitori di SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gestire le origini di apprendimento e tutte le relative proprietà in Learning App.
microsoft.office365.lockbox/allEntities/allTasks Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gestire tutti gli aspetti dei centri sicurezza e conformità
microsoft.office365.search/content/manage Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.userCommunication/allEntities/allTasks Leggere e aggiornare la visibilità dei nuovi messaggi
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra
microsoft.powerApps/allEntities/allTasks Gestire tutti gli aspetti di Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Gestire tutti gli aspetti di Fabric e Power BI
microsoft.teams/allEntities/allProperties/allTasks Gestire tutte le risorse in Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali
microsoft.viva.goals/allEntities/allProperties/allTasks Gestire tutti gli aspetti degli obiettivi di Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Defender per endpoint
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leggere e configurare tutti gli aspetti del servizio Windows Update

Lettore globale

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti in questo ruolo possono leggere le impostazioni e le informazioni amministrative dei servizi di Microsoft 365, ma non possono eseguire azioni di gestione. Il Ruolo con autorizzazioni di lettura globali è la controparte di sola lettura dell'Amministratore globale. Assegnare il Ruolo con autorizzazioni di lettura globali anziché quello di Amministratore globale per le attività di pianificazione, controllo o indagine. Usare il Ruolo con autorizzazioni di lettura globali insieme ad altri ruoli amministrativi limitati, come quello di Amministratore di Exchange, per semplificare il lavoro senza assegnare il ruolo di Amministratore globale. Lettore globale funziona con interfaccia di amministrazione di Microsoft 365, interfaccia di amministrazione di Exchange, interfaccia di amministrazione di SharePoint, interfaccia di amministrazione di Teams, portale di Microsoft 365 Defender, Portale di conformità di Microsoft Purview, portale di Azure e Gestione dispositivi'interfaccia di amministrazione.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile accedere all'area Servizi di acquisto nella interfaccia di amministrazione di Microsoft 365.

Nota

Il ruolo Con autorizzazioni di lettura globali presenta le limitazioni seguenti:

  • Interfaccia di amministrazione di OneDrive - L'interfaccia di amministrazione di OneDrive non supporta il ruolo Lettore globale
  • interfaccia di amministrazione di Microsoft 365 - Lettore globale non può leggere le app integrate. Non troverai la scheda App integrate in Impostazioni nel riquadro sinistro di interfaccia di amministrazione di Microsoft 365.
  • Portale di Microsoft 365 Defender: l'utilità di lettura globale non può leggere i log di controllo SCC, eseguire la ricerca di contenuto o vedere Secure Score.
  • Interfaccia di amministrazione di Teams- Lettore globale non può leggere il ciclo di vita di Teams, Analisi e report, gestione dei dispositivi per telefoni IP e Catalogo app. Per altre informazioni, vedere Usare i ruoli di amministratore di Microsoft Teams per gestire Teams.
  • Privileged Access Management non supporta il ruolo con autorizzazioni di lettura globali.
  • Azure Information Protection : il ruolo con autorizzazioni di lettura globale è supportato solo per la creazione di report centralizzati e quando l'organizzazione Microsoft Entra non è nella piattaforma di etichettatura unificata.
  • SharePoint - Lettore globale attualmente non è in grado di accedere a SharePoint tramite PowerShell.
  • Interfaccia di amministrazione di Power Platform: lettore globale non è ancora supportato nell'interfaccia di amministrazione di Power Platform.
  • Microsoft Purview non supporta il ruolo Lettore globale.
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.directory/accessReviews/allProperties/read (Deprecato) Leggere tutte le proprietà delle verifiche di accesso
microsoft.directory/accessReviews/definitions/allProperties/read Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Leggere tutte le proprietà dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/read Leggere tutte le proprietà delle unità amministrative, inclusi i membri
microsoft.directory/appConsent/appConsentRequests/allProperties/read Leggere tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) in tutti i tipi di applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/users/authenticationMethods/standard/restrictedRead Leggere le proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/cloudAppSecurity/allProperties/read Leggere tutte le proprietà per le app di Defender per il cloud
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori proxy dell'applicazione
microsoft.directory/connectorGroups/allProperties/read Leggere tutte le proprietà dei gruppi di connettori proxy applicazione
microsoft.directory/contacts/allProperties/read Leggere tutte le proprietà per i contatti
microsoft.directory/customAuthenticationExtensions/allProperties/read Leggere le estensioni di autenticazione personalizzate
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/devices/allProperties/read Lettura di tutte le proprietà dei dispositivi
microsoft.directory/directoryRoles/allProperties/read Leggere tutte le proprietà dei ruoli della directory
microsoft.directory/directoryRoleTemplates/allProperties/read Leggere tutte le proprietà dei modelli di ruolo della directory
microsoft.directory/domains/allProperties/read Leggere tutte le proprietà dei domini
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/groups/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) nei gruppi di sicurezza e nei gruppi di Microsoft 365, inclusi i gruppi assegnabili di ruolo
microsoft.directory/group Impostazioni/allProperties/read Leggere tutte le proprietà delle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/allProperties/read Leggere tutte le proprietà dei modelli di impostazione di gruppo
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/loginOrganizationBranding/allProperties/read Leggere tutte le proprietà per la pagina di accesso personalizzata dell'organizzazione
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/oAuth2PermissionGrants/allProperties/read Leggere tutte le proprietà delle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/allProperties/read Leggere tutte le proprietà per un'organizzazione
microsoft.directory/pendingExternalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/policies/allProperties/read Lettura di tutte le proprietà dei criteri
microsoft.directory/conditionalAccessPolicies/allProperties/read Leggere tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leggere le proprietà di una richiesta di aggiunta a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/roleAssignments/allProperties/read Leggere tutte le proprietà delle assegnazioni di ruolo
microsoft.directory/roleDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni dei ruoli
microsoft.directory/scopedRoleMemberships/allProperties/read Visualizzare i membri nelle unità amministrative
microsoft.directory/serviceAction/getAvailableExtentionProperties Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipals/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leggere le proprietà standard dei criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/read Leggere tutte le proprietà delle sottoscrizioni di prodotti
microsoft.directory/users/allProperties/read Leggere tutte le proprietà degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/verificaableCredentials/configuration/contracts/cards/allProperties/read Leggere una scheda credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/contracts/allProperties/read Leggere un contratto di credenziali verificabile
microsoft.directory/verificaableCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Leggere tutte le proprietà dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.cloudPC/allEntities/allProperties/read Leggi tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Leggere tutte le risorse della fatturazione di Office 365
microsoft.commerce.billing/purchases/standard/read Leggere i servizi di acquisto in M365 Amministrazione Center.
microsoft.edge/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Entra Network Access
microsoft.hardware.support/shippingAddress/allProperties/read Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per le richieste di garanzia hardware Microsoft aperte
microsoft.hardware.support/warrantyClaims/allProperties/read Leggere attestazioni di garanzia hardware Microsoft
microsoft.insights/allEntities/allProperties/read Leggere tutti gli aspetti di Viva Insights
microsoft.office365.file Archiviazione Containers/allEntities/allProperties/read Leggere le entità e le autorizzazioni dei contenitori di SharePoint Embedded
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Leggere tutte le proprietà nei centri sicurezza e conformità
microsoft.office365.securityComplianceCenter/allEntities/read Leggere le proprietà standard nel Centro sicurezza e conformità di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Leggere tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Leggere tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra
microsoft.teams/allEntities/allProperties/read Leggere tutte le proprietà di Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Leggi tutti gli aspetti delle visite virtuali
microsoft.viva.goals/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Leggere tutti gli aspetti del servizio Windows Update

Global Secure Access Amministrazione istrator

Assegnare il ruolo global Secure Access Amministrazione istrator agli utenti che devono eseguire le operazioni seguenti:

  • Creare e gestire tutti gli aspetti di Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra
  • Gestire l'accesso agli endpoint pubblici e privati

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile gestire applicazioni aziendali, registrazioni dell'applicazione, accesso condizionale o impostazioni proxy applicazione

Ulteriori informazioni

Azioni Descrizione
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.directory/applicationPolicies/standard/read Leggere le proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/applicationProxy/read Leggere tutte le proprietà del proxy di applicazione
microsoft.directory/applications/owners/read Leggere i proprietari delle applicazioni
microsoft.directory/applications/policies/read Leggere i criteri delle applicazioni
microsoft.directory/applications/standard/read Leggere le proprietà standard delle applicazioni
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/connectorGroups/allProperties/read Leggere tutte le proprietà dei gruppi di connettori proxy applicazione
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori proxy dell'applicazione
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.networkAccess/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di gruppi

Gli utenti con questo ruolo possono creare o gestire gruppi e le relative impostazioni, ad esempio i criteri di denominazione e scadenza. È importante comprendere che l'assegnazione di un utente a questo ruolo offre la possibilità di gestire tutti i gruppi nell'organizzazione per diversi carichi di lavoro, ad esempio Teams, SharePoint, Yammer, oltre a Outlook. Inoltre, l'utente sarà in grado di gestire le varie impostazioni dei gruppi in vari portali di amministrazione, ad esempio l'interfaccia di amministrazione Di Microsoft, portale di Azure, nonché quelli specifici del carico di lavoro, ad esempio Teams e interfacce di amministrazione di SharePoint.

Azioni Descrizione
microsoft.directory/deletedItems.groups/delete Eliminare definitivamente i gruppi, che non possono più essere ripristinati
microsoft.directory/deletedItems.groups/restore Ripristinare lo stato originale dei gruppi eliminati temporaneo
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto a gruppi per le licenze basate su gruppi
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per le licenze basate su gruppo
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/groupType/update Aggiornare le proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/onPremWriteBack/update Aggiornare i gruppi di Microsoft Entra per essere riscritto in locale con Microsoft Entra Connessione
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/settings/update Aggiornare le impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Mittente dell'invito guest

Gli utenti con questo ruolo possono gestire gli inviti per gli utenti guest di Microsoft Entra B2B quando l'impostazione utente "I membri possono invitare" è impostata su No. Per altre informazioni sulla collaborazione B2B, vedere Informazioni sulla collaborazione B2B di Microsoft Entra. Il ruolo non include altre autorizzazioni.

Azioni Descrizione
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/standard/read Leggere le proprietà di base per gli utenti
microsoft.directory/users/appRoleAssignments/read Leggere le assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read Leggere deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read Leggere i report diretti per gli utenti
microsoft.directory/users/licenseDetails/read Leggere i dettagli delle licenze degli utenti
microsoft.directory/users/manager/read Gestione lettura degli utenti
microsoft.directory/users/memberOf/read Leggere le appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read Autorizzazioni delegate di lettura per gli utenti
microsoft.directory/users/ownedDevices/read Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read Legge gli oggetti di proprietà degli utenti
microsoft.directory/users/photo/read Leggere la foto degli utenti
microsoft.directory/users/registeredDevices/read Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read Leggere l'appartenenza di un utente a un ruolo Microsoft Entra, che ha come ambito un'unità amministrativa
microsoft.directory/users/sponsors/read Leggere gli sponsor degli utenti

Amministratore supporto tecnico

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo possono modificare le password, invalidare i token di aggiornamento, creare e gestire le richieste di supporto con Microsoft per Azure e i servizi Microsoft 365 e monitorare l'integrità del servizio. Invalidando un token di aggiornamento si impone all'utente di eseguire di nuovo l'accesso. Il fatto che un Amministratore del supporto tecnico possa reimpostare la password di un utente e invalidare i token di aggiornamento dipende dal ruolo assegnato all'utente. Per un elenco dei ruoli che un helpdesk Amministrazione istrator può reimpostare le password per e invalidare i token di aggiornamento, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile a ruoli.

Importante

Gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse a Helpdesk Amministrazione istrators. Ciò significa che un Amministratore supporto tecnico potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure.
  • Gruppi di sicurezza e proprietari di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministrazione istrators in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, portale di Microsoft 365 Defender, Portale di conformità di Microsoft Purview e sistemi di risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.

La delega delle autorizzazioni amministrative su subset di utenti e l'applicazione di criteri a un subset di utenti è possibile con unità Amministrazione istrative.

Questo ruolo era precedentemente denominato Password Amministrazione istrator nel portale di Azure. È stato rinominato helpdesk Amministrazione istrator per allinearlo al nome esistente nell'API Microsoft Graph e in Azure AD PowerShell.

Azioni Descrizione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconneszione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore delle identità ibride

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti di questo ruolo possono creare, gestire e distribuire la configurazione di configurazione del provisioning da Active Directory a Microsoft Entra ID usando il provisioning cloud, nonché gestire Le impostazioni di federazione e Accesso Single Sign-On facile di Microsoft Entra Connessione, Autenticazione pass-through (PTA), sincronizzazione dell'hash delle password (PHS), Accesso Single Sign-On facile (Seamless SSO). Non ha accesso per gestire Microsoft Entra Connessione Health. Usando questo ruolo gli utenti possono anche risolvere i problemi e monitorare i log.

Azioni Descrizione
microsoft.directory/applications/create Creare tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminare tutti i tipi di applicazioni
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creare istanze di applicazioni della raccolta dai modelli di applicazione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/cloudProvisioning/allProperties/allTasks Leggere e configurare tutte le proprietà del servizio di provisioning cloud Microsoft Entra.
microsoft.directory/deletedItems.applications/delete Eliminare definitivamente le applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristinare lo stato originale delle applicazioni eliminate temporaneo
microsoft.directory/domains/allProperties/read Leggere tutte le proprietà dei domini
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
Icona dell'etichetta con privilegi.
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/basic/update Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete Eliminare la configurazione della federazione per i domini
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri di autenticazione ibrida in Microsoft Entra ID
Icona dell'etichetta con privilegi.
microsoft.directory/organization/dirSync/update Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminare le entità servizio
microsoft.directory/servicePrincipals/disable Disabilitare le entità servizio
microsoft.directory/servicePrincipals/enable Abilitare le entità servizio
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestire segreti e credenziali di provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creare e gestire processi e schemi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire i processi e lo schema di sincronizzazione del provisioning delle applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gestire il tenant cloud per il provisioning di segreti e credenziali delle applicazioni tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Avviare, riavviare e sospendere il tenant cloud nei processi di sincronizzazione del provisioning delle applicazioni tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Creare e gestire il tenant cloud in un'applicazione tenant cloud che effettua il provisioning di processi e schemi di sincronizzazione.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornare le proprietà del gruppo di destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornare le proprietà di autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornare le proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/notes/update Aggiornare le note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornare i proprietari delle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornare la proprietà tag per le entità servizio
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/users/authorizationInfo/update Aggiornare la proprietà ID utente certificato multivalore degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Identity Governance

Gli utenti con questo ruolo possono gestire la configurazione di Microsoft Entra ID Governance, inclusi i pacchetti di accesso, le verifiche di accesso, i cataloghi e i criteri, in modo da assicurare l'approvazione e la verifica dell'accesso e la rimozione degli utenti guest che non hanno più bisogno dell'accesso.

Azioni Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gestire le verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni dei pacchetti di accesso nella gestione entitlement
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/create Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/allProperties/allTasks (Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio

Amministratore Insights

Gli utenti con questo ruolo possono accedere al set completo di funzionalità amministrative nell'app Microsoft Viva Insights. Questo ruolo ha la possibilità di leggere le informazioni della directory, monitorare l'integrità del servizio, inviare i ticket di supporto e accedere agli aspetti delle impostazioni di Amministratore di Insights.

Ulteriori informazioni

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.insights/allEntities/allProperties/allTasks Gestire tutti gli aspetti dell'app Insights
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Analista di Insights

Assegnare il ruolo analista di Insights agli utenti che devono eseguire le operazioni seguenti:

  • Analizzare i dati nell'app Microsoft Viva Insights, ma non è possibile gestire le impostazioni di configurazione
  • Creare, gestire ed eseguire query
  • Visualizzare le impostazioni e i report di base nel interfaccia di amministrazione di Microsoft 365
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365

Ulteriori informazioni

Azioni Descrizione
microsoft.insights/queries/allProperties/allTasks Eseguire e gestire query in Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Leader aziendale Insights

Gli utenti con questo ruolo possono accedere a un set di dashboard e informazioni dettagliate tramite l'app Microsoft Viva Insights. Ciò include l'accesso completo a tutti i dashboard e alle funzionalità di esplorazione dei dati e delle informazioni dettagliate presentate. Gli utenti di questo ruolo non hanno accesso alle impostazioni di configurazione del prodotto, che è responsabilità del ruolo Insights Amministrazione istrator.

Ulteriori informazioni

Azioni Descrizione
microsoft.insights/reports/allProperties/read Visualizzare report e dashboard nell'app Insights
microsoft.insights/programs/allProperties/update Distribuire e gestire programmi nell'app Insights

Amministratore di Intune

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Intune Online, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi. Per altre informazioni, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Questo ruolo può creare e gestire tutti i gruppi di sicurezza. Tuttavia, Intune Amministrazione istrator non dispone dei diritti di amministratore sui gruppi di Office. Questo significa che l'amministratore non può aggiornare i proprietari o le appartenenze di tutti i gruppi di Office nell'organizzazione. Tuttavia, è in grado di gestire il gruppo di Office creato come parte dei propri privilegi di utente finale. Pertanto, qualsiasi gruppo di Office (non gruppo di sicurezza) creato dall'utente deve essere conteggiato ai fini della quota di 250.

Nota

Nell'API Microsoft Graph e In Azure AD PowerShell questo ruolo è denominato Intune Service Amministrazione istrator. Nel portale di Azure è denominato Intune Amministrazione istrator.

Azioni Descrizione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristinare lo stato originale dei dispositivi eliminati temporaneo
microsoft.directory/devices/create Creare dispositivi (registrarsi in Microsoft Entra ID)
microsoft.directory/devices/delete Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable Abilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/basic/update Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/extensionAttributeSet1/update Aggiornare extensionAttribute1 alle proprietà extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update Aggiornare extensionAttribute6 alle proprietà extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update Aggiornare extensionAttribute11 alle proprietà extensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update Aggiornare i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/deviceLocalCredentials/password/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/visibility/update Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.intune/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Kaizala

Gli utenti con questo ruolo hanno autorizzazioni globali per gestire le impostazioni in Microsoft Kaizala, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Inoltre, l'utente può accedere ai report relativi all'adozione e all'utilizzo di Kaizala da parte dei membri dell'organizzazione e ai report aziendali generati usando le azioni Kaizala.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore delle conoscenze

Gli utenti con questo ruolo hanno accesso completo a tutte le impostazioni delle funzionalità intelligenti, relative a conoscenze e apprendimento nell'interfaccia di amministrazione di Microsoft 365. Hanno una conoscenza generale della suite di prodotti, dei dettagli delle licenze e hanno la responsabilità di controllare l'accesso. L'amministratore delle conoscenze può creare e gestire i contenuti, ad esempio argomenti, acronimi e risorse di apprendimento. Questi utenti possono anche creare i centri di contenuti, monitorare l'integrità del servizio e creare le richieste di servizio.

Azioni Descrizione
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/createAsOwner Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gestire le origini di apprendimento e tutte le relative proprietà in Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Leggere tutte le proprietà delle etichette di riservatezza nei centri sicurezza e conformità
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Responsabile delle conoscenze

Gli utenti con questo ruolo possono creare e gestire i contenuti, ad esempio argomenti, acronimi e contenuti di apprendimento. Questi utenti sono principalmente responsabili della qualità e della struttura delle conoscenze. Questo utente dispone di diritti completi per le azioni di gestione degli argomenti per confermare un argomento, approvare le modifiche o eliminare un argomento. Questo ruolo può anche gestire le tassonomie come parte dello strumento di gestione dell'archivio di termini e creare centri di contenuto.

Azioni Descrizione
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/createAsOwner Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore licenze

Gli utenti di questo ruolo possono leggere, aggiungere, rimuovere e aggiornare le assegnazioni di licenze per utenti, gruppi (usando licenze basate su gruppo) e gestire la posizione di utilizzo per gli utenti. Il ruolo non garantisce la possibilità di acquistare o gestire sottoscrizioni, creare o gestire gruppi o creare o gestire utenti al di fuori del percorso di utilizzo. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto a gruppi per le licenze basate su gruppi
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per le licenze basate su gruppo
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/usageLocation/update Aggiornare la posizione di utilizzo degli utenti
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore flussi di lavoro del ciclo di vita

Assegnare il ruolo di Amministratore flussi di lavoro del ciclo di vita agli utenti che devono eseguire le attività seguenti:

  • Creare e gestire tutti gli aspetti dei flussi di lavoro e delle attività associati ai flussi di lavoro del ciclo di vita in Microsoft Entra ID
  • Controllare l'esecuzione dei flussi di lavoro pianificati
  • Avviare esecuzioni del flusso di lavoro su richiesta
  • Esaminare i log di esecuzione del flusso di lavoro
Azioni Descrizione
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.directory/organization/strongAuthentication/read Leggere le proprietà di autenticazione avanzata di un'organizzazione

Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi

Gli utenti con questo ruolo possono monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati. Gli utenti con il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi ricevono notifiche tramite posta elettronica, incluse quelle relative alla privacy dei dati, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo l'amministratore globale e il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo include anche la possibilità di visualizzare gruppi, domini e sottoscrizioni. Questo ruolo non ha le autorizzazioni per visualizzare, creare o gestire richieste di servizio.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Ruolo con autorizzazioni di lettura per il Centro messaggi

Gli utenti di questo ruolo possono monitorare le notifiche e gli aggiornamenti dell'integrità di consulenza nel Centro messaggi per l'organizzazione su servizi configurati, ad esempio Exchange, Intune e Microsoft Teams. Il Ruolo con autorizzazioni di lettura per il Centro messaggi riceve settimanalmente riepiloghi di posta elettronica di post, aggiornamenti e può condividere i post del centro messaggi in Office 365. In Microsoft Entra ID, gli utenti assegnati a questo ruolo avranno accesso in sola lettura ai servizi Microsoft Entra, come ad esempio utenti e gruppi. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Migrazione di Microsoft 365 Amministrazione istrator

Assegnare il ruolo Amministrazione istrator di Migrazione di Microsoft 365 agli utenti che devono eseguire le attività seguenti:

  • Usare Gestione migrazione nei interfaccia di amministrazione di Microsoft 365 per gestire la migrazione dei contenuti a Microsoft 365, tra cui Teams, OneDrive for Business e siti di SharePoint, da Google Drive, Dropbox, Box e Egnyte
  • Selezionare le origini di migrazione, creare inventari della migrazione (ad esempio elenchi di utenti di Google Drive), pianificare ed eseguire migrazioni e scaricare i report
  • Creare nuovi siti di SharePoint se i siti di destinazione non esistono già, creare elenchi di SharePoint nei siti di amministrazione di SharePoint e creare e aggiornare elementi negli elenchi di SharePoint
  • Gestire le impostazioni del progetto di migrazione e il ciclo di vita della migrazione per le attività
  • Gestire i mapping delle autorizzazioni dall'origine alla destinazione

Nota

Questo ruolo non consente di eseguire la migrazione da origini di condivisione file usando l'interfaccia di amministrazione di SharePoint. È possibile usare il ruolo Amministrazione istrator di SharePoint per eseguire la migrazione da origini di condivisione file.

Ulteriori informazioni

Azioni Descrizione
microsoft.office365.migrations/allEntities/allProperties/allTasks Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365

Microsoft Entra Join Device Local Amministrazione istrator

questo ruolo è disponibile per l'assegnazione solo come amministratore locale aggiuntivo in Impostazioni dispositivo. Gli utenti con questo ruolo diventano amministratori del computer locale in tutti i dispositivi Windows 10 aggiunti a Microsoft Entra ID. Non hanno la possibilità di gestire gli oggetti dei dispositivi in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/group Impostazioni/standard/read Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read Leggere le proprietà di base sui modelli di impostazione di gruppo

Amministratore garanzie hardware Microsoft

Assegnare il ruolo di Amministratore garanzie hardware Microsoft agli utenti che devono eseguire le attività seguenti:

  • Creare nuove attestazioni di garanzia per l'hardware prodotto da Microsoft, ad esempio Surface e HoloLens
  • Ricerca e lettura di richieste di garanzia aperte o chiuse
  • Cercare e leggere le richieste di garanzia in base al numero di serie
  • Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione
  • Legge lo stato di spedizione per le richieste di garanzia aperte
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365
  • Leggere gli annunci del Centro messaggi nella interfaccia di amministrazione di Microsoft 365

Una richiesta di garanzia è una richiesta di riparazione o sostituzione dell'hardware in conformità alle condizioni della garanzia. Per altre informazioni, vedi Self-service your Surface warranty & service requests .For more information, see Self-service your Surface warranty & service requests.

Azioni Descrizione
microsoft.hardware.support/shippingAddress/allProperties/allTasks Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per le richieste di garanzia hardware Microsoft aperte
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Specialista garanzie hardware Microsoft

Assegnare il ruolo di Specialista garanzie hardware Microsoft agli utenti che devono eseguire le attività seguenti:

  • Creare nuove attestazioni di garanzia per l'hardware prodotto da Microsoft, ad esempio Surface e HoloLens
  • Legge le attestazioni di garanzia create
  • Leggere e aggiornare gli indirizzi di spedizione esistenti
  • Legge lo stato di spedizione per le richieste di garanzia aperte create
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365

Una richiesta di garanzia è una richiesta di riparazione o sostituzione dell'hardware in conformità alle condizioni della garanzia. Per altre informazioni, vedi Self-service your Surface warranty & service requests .For more information, see Self-service your Surface warranty & service requests.

Azioni Descrizione
microsoft.hardware.support/shippingAddress/allProperties/read Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti
microsoft.hardware.support/warrantyClaims/createAsOwner Creare attestazioni di garanzia hardware Microsoft in cui creator è il proprietario
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per le richieste di garanzia hardware Microsoft aperte
microsoft.hardware.support/warrantyClaims/allProperties/read Leggere attestazioni di garanzia hardware Microsoft

Amministratore di Commerce moderno

Non utilizzare. Questo ruolo viene assegnato automaticamente da Commerce e non è progettato o supportato per altri usi. Vedere i dettagli di seguito.

Il ruolo Amministratore di Commerce moderno concede a determinati utenti le autorizzazioni per accedere all'interfaccia di amministrazione di Microsoft 365 e visualizzare le voci di spostamento a sinistra per Home, Fatturazione e Supporto. I contenuti disponibili in queste aree sono controllati da ruoli specifici per attività commerciali assegnati agli utenti per gestire i prodotti acquistati per se stessi o per la propria organizzazione. Questo potrebbe includere attività quali il pagamento di fatture o l'accesso agli account di fatturazione e ai profili di fatturazione.

Gli utenti con il ruolo modern commerce Amministrazione istrator hanno in genere autorizzazioni amministrative in altri sistemi di acquisto Microsoft, ma non dispongono di ruoli di Amministrazione istrator globale o di fatturazione Amministrazione istrator usati per accedere all'interfaccia di amministrazione.

Quando viene assegnato il ruolo di amministratore di Commerce moderno?

  • Acquisto self-service nell'interfaccia di amministrazione di Microsoft 365 - L'acquisto self-service offre agli utenti la possibilità di provare nuovi prodotti acquistandoli o effettuando l'iscrizione autonomamente. Questi prodotti vengono gestiti nell'interfaccia di amministrazione. Agli utenti che effettuano un acquisto self-service viene assegnato un ruolo nel sistema commerciale e il ruolo di amministratore di Commerce moderno per poter gestire gli acquisti nell'interfaccia di amministrazione. Amministrazione possono bloccare gli acquisti self-service (per Infrastruttura, Power BI, Power Apps, Power Automate) tramite PowerShell. Per altre informazioni, vedere Domande frequenti sugli acquisti self-service.
  • Acquisti dal marketplace commerciale Microsoft: analogamente all'acquisto self-service, quando un utente acquista un prodotto o un servizio da Microsoft AppSource o Azure Marketplace, il ruolo Modern Commerce Amministrazione istrator viene assegnato se non ha il ruolo Global Amministrazione istrator o Billing Amministrazione istrator. In alcuni casi, è possibile che gli utenti non possano effettuare questi acquisti. Per altre informazioni, vedere Marketplace commerciale Microsoft.
  • Proposte di Microsoft : una proposta è un'offerta formale di Microsoft per l'organizzazione per l'acquisto di prodotti e servizi Microsoft. Quando la persona che accetta la proposta non ha un ruolo globale di Amministrazione istrator o fatturazione Amministrazione istrator in Microsoft Entra ID, viene assegnato sia un ruolo specifico del commercio per completare la proposta che il ruolo Amministrazione istrator moderno per accedere all'interfaccia di amministrazione. Quando accedono all'interfaccia di amministrazione, possono usare solo le funzionalità autorizzate dal proprio ruolo specifico per attività commerciali.
  • Ruoli specifici per attività commerciali - Ad alcuni utenti vengono assegnati ruoli specifici per attività commerciali. Se un utente non è un Amministrazione istrator globale o un Amministrazione istrator di fatturazione, ottiene il ruolo modern commerce Amministrazione istrator in modo che possa accedere all'interfaccia di amministrazione.

Se viene annullata l'assegnazione del ruolo di amministratore di Commerce moderno a un utente, questi perderà l'accesso al centro di amministrazione di Microsoft 365. Se era responsabile della gestione di prodotti, per se stesso o per l'organizzazione, non sarà più in grado di occuparsene. I compiti di gestione potrebbero includere l'assegnazione di licenze, la modifica dei metodi di pagamento, il pagamento di fatture o altre attività per la gestione delle sottoscrizioni.

Azioni Descrizione
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gestire tutti gli aspetti del Centro servizi per contratti multilicenza
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di rete

Gli utenti con questo ruolo possono esaminare le raccomandazioni relative all'architettura perimetrale di rete di Microsoft basate sui dati di telemetria di rete dalle posizioni degli utenti. Le prestazioni di rete per Microsoft 365 si basano su un'attenta architettura perimetrale della rete dei clienti aziendali, che in genere è specifica della posizione utente. Questo ruolo consente di modificare le posizioni utente individuate e la configurazione dei parametri di rete per tali posizioni per favorire le misurazioni di telemetria e le raccomandazioni di progettazione migliori.

Azioni Descrizione
microsoft.office365.network/locations/allProperties/allTasks Gestire tutti gli aspetti dei percorsi di rete
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore delle app di Office

Gli utenti con questo ruolo possono gestire le impostazioni cloud per le app di Microsoft 365. Sono incluse la gestione dei criteri cloud, la gestione dei download self-service e la possibilità di visualizzare report correlati alle app di Office. Questo ruolo concede anche la possibilità di gestire i ticket di supporto e di monitorare l'integrità dei servizi nell'interfaccia di amministrazione principale. Gli utenti assegnati a questo ruolo possono anche gestire la comunicazione delle nuove funzionalità nelle app di Office.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Leggere e aggiornare la visibilità dei nuovi messaggi
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Personalizzazione dell'organizzazione Amministrazione istrator

Assegnare il ruolo personalizzazione dell'organizzazione Amministrazione istrator agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant
  • Leggere, creare, aggiornare ed eliminare temi di personalizzazione
  • Gestire il tema di personalizzazione predefinito e tutti i temi di localizzazione della personalizzazione
Azioni Descrizione
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Creare ed eliminare loginTenantBranding e leggere e aggiornare tutte le proprietà

Windows Live Writer messaggi dell'organizzazione

Assegnare il ruolo di Windows Live Writer messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:

  • Scrivere, pubblicare ed eliminare messaggi aziendali usando interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
  • Gestire le opzioni di recapito dei messaggi dell'organizzazione usando interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
  • Leggere i risultati del recapito dei messaggi dell'organizzazione usando interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
  • Visualizzare i report sull'utilizzo e la maggior parte delle impostazioni nella interfaccia di amministrazione di Microsoft 365, ma non è possibile apportare modifiche
Azioni Descrizione
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Supporto partner - Livello 1

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Non utilizzare. Questo ruolo è stato dismesso e verrà rimosso da Microsoft Entra ID in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento solo per gli utenti non amministratori. Questo ruolo non deve essere usato perché è deprecato.

Azioni Descrizione
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/deletedItems.groups/restore Ripristinare lo stato originale dei gruppi eliminati temporaneo
microsoft.directory/deletedItems.users/restore Ripristinare lo stato originale degli utenti eliminati temporaneo
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le concessioni di autorizzazione OAuth 2.0 e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconneszione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Supporto partner - Livello 2

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Non utilizzare. Questo ruolo è stato dismesso e verrà rimosso da Microsoft Entra ID in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento per tutti gli amministratori e gli amministratori (inclusi i Amministrazione istratori globali). Questo ruolo non deve essere usato perché è deprecato.

Azioni Descrizione
microsoft.directory/applications/appRoles/update Aggiornare la proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornare la proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornare l'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornare le proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornare le credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/notes/update Aggiornare le note delle applicazioni
microsoft.directory/applications/owners/update Aggiornare i proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornare le autorizzazioni esposte e le autorizzazioni necessarie per tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornare i tag delle applicazioni
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/deletedItems.groups/restore Ripristinare lo stato originale dei gruppi eliminati temporaneo
microsoft.directory/deletedItems.users/restore Ripristinare lo stato originale degli utenti eliminati temporaneo
microsoft.directory/domains/allProperties/allTasks Creare ed eliminare domini e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le concessioni di autorizzazione OAuth 2.0 e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/organization/basic/update Aggiornare le proprietà di base nell'organizzazione
microsoft.directory/roleAssignments/allProperties/allTasks Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/subscribedSkus/standard/read Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconneszione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore password

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo hanno la possibilità di gestire le password in modo limitato. Questo ruolo non concede la possibilità di gestire le richieste di servizio o di monitorare l'integrità dei servizi. Se un Amministrazione istrator password può reimpostare la password di un utente dipende dal ruolo assegnato dall'utente. Per un elenco dei ruoli per cui un Amministrazione istrator password può reimpostare le password, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile a ruoli.
Azioni Descrizione
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore gestione autorizzazioni

Assegnare il ruolo di Amministratore gestione autorizzazioni agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra, quando il servizio è presente

Altre informazioni sui ruoli e i criteri di gestione delle autorizzazioni sono disponibili in Visualizzare informazioni sui ruoli/criteri.

Azioni Descrizione
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra

Amministratore di Power Platform

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti degli ambienti, di Power Apps, Flows e i criteri di prevenzione della perdita dei dati. Possono inoltre gestire i ticket di supporto e monitorare l'integrità del servizio.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.dynamics365/allEntities/allTasks Gestire tutti gli aspetti di Dynamics 365
microsoft.flow/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.powerApps/allEntities/allTasks Gestire tutti gli aspetti di Power Apps

Amministratore stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni del connettore Stampa universale. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori stampante possono anche accedere ai report di stampa.

Azioni Descrizione
microsoft.azure.print/allEntities/allProperties/allTasks Creare ed eliminare stampanti e connettori e leggere e aggiornare tutte le proprietà in Microsoft Print

Tecnico della stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire lo stato della stampante nella soluzione Stampa universale Microsoft. Possono anche leggere tutte le informazioni sul connettore. Due attività chiave che un tecnico della stampante non può eseguire sono impostare le autorizzazioni utente per le stampanti e condividere stampanti.

Azioni Descrizione
microsoft.azure.print/connectors/allProperties/read Leggere tutte le proprietà dei connettori in Microsoft Print
microsoft.azure.print/printers/allProperties/read Leggere tutte le proprietà delle stampanti in Microsoft Print
microsoft.azure.print/printers/register Registrare stampanti in Microsoft Print
microsoft.azure.print/printers/unregister Annullare la registrazione delle stampanti in Microsoft Print
microsoft.azure.print/printers/basic/update Aggiornare le proprietà di base delle stampanti in Microsoft Print

Amministratore autenticazione con privilegi

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Assegnare il ruolo privileged Authentication Amministrazione istrator agli utenti che devono eseguire le operazioni seguenti:

  • Impostare o reimpostare qualsiasi metodo di autenticazione (incluse le password) per qualsiasi utente, inclusi i Amministrazione istrator globali.
  • Eliminare o ripristinare tutti gli utenti, inclusi i Amministrazione istratori globali. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Forzare gli utenti a registrare nuovamente le credenziali non password esistenti (ad esempio MFA o FIDO) e revocare l'autenticazione a più fattori nel dispositivo, richiedendo l'autenticazione a più fattori al successivo accesso di tutti gli utenti.
  • Aggiornare le proprietà sensibili per tutti gli utenti. Per altre informazioni, vedere Chi può eseguire azioni sensibili.
  • Creare e gestire ticket di supporto in Azure e il interfaccia di amministrazione di Microsoft 365.

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile gestire l'autenticazione a più fattori per utente nel portale di gestione MFA legacy.

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo Gestire i metodi di autenticazione dell'utente Gestire l'autenticazione a più fattori per utente Gestire le impostazioni MFA Gestire i criteri del metodo di autenticazione Gestire i criteri di protezione delle password Aggiornare le proprietà sensibili Eliminare e ripristinare gli utenti
Amministratore dell'autenticazione Sì per alcuni utenti Sì per alcuni utenti No No No Sì per alcuni utenti Sì per alcuni utenti
Amministratore autenticazione con privilegi Sì, per tutti gli utenti Sì, per tutti gli utenti No No No Sì, per tutti gli utenti Sì, per tutti gli utenti
Criteri di autenticazione Amministrazione istrator No No No No
Amministratore utenti No No No No No Sì per alcuni utenti Sì per alcuni utenti

Importante

Gli utenti con questo ruolo possono modificare le credenziali per gli utenti che possono accedere a informazioni riservate o private o alla configurazione critica all'interno e all'esterno di Microsoft Entra ID. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse all'autenticazione Amministrazione istrator. Tramite questo percorso un Amministrazione istrator di autenticazione può assumere l'identità di un proprietario dell'applicazione e quindi assumere ulteriormente l'identità di un'applicazione con privilegi aggiornando le credenziali per l'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Gruppi di sicurezza e proprietari di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministrazione istrators in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, portale di Microsoft 365 Defender e Portale di conformità di Microsoft Purview e sistemi di risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.directory/users/authenticationMethods/create Aggiornare i metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/delete Eliminare i metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/standard/read Leggere le proprietà standard dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/basic/update Aggiornare le proprietà di base dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems.users/restore Ripristinare lo stato originale degli utenti eliminati temporaneo
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconneszione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/authorizationInfo/update Aggiornare la proprietà ID utente certificato multivalore degli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore ruolo con privilegi

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Microsoft Entra ID, nonché all'interno di Microsoft Entra Privileged Identity Management. Possono creare e gestire gruppi che possono essere assegnati ai ruoli di Microsoft Entra. Inoltre, questo ruolo consente la gestione di tutti gli aspetti di Privileged Identity Management e delle unità amministrative.

Importante

Questo ruolo concede la possibilità di gestire le assegnazioni per tutti i ruoli di Microsoft Entra, incluso il ruolo di amministratore globale. Questo ruolo non include altre funzionalità con privilegi in Microsoft Entra ID, ad esempio la creazione o l'aggiornamento degli utenti. Tuttavia, gli utenti assegnati a questo ruolo possono concedere a se stessi o ad altri utenti privilegi aggiuntivi, perché possono assegnare ruoli aggiuntivi.

Azioni Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/read Leggere tutte le proprietà delle verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Creare verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Eliminare le verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/administrativeUnits/allProperties/allTasks Creare e gestire le unità amministrative inclusi i membri
microsoft.directory/authorizationPolicy/allProperties/allTasks Gestire tutti gli aspetti dei criteri di autorizzazione
Icona dell'etichetta con privilegi.
microsoft.directory/directoryRoles/allProperties/allTasks Creare ed eliminare ruoli directory e leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/create Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete Eliminare gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/restore Ripristinare gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/allProperties/update Aggiornare i gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/assignLicense Assegnare una licenza a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le concessioni di autorizzazione OAuth 2.0 e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Creare ed eliminare assegnazioni di ruolo e leggere e aggiornare tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni di ruolo e leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships e leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornare le autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.directory/permissionGrantPolicies/create Creare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/delete Eliminare i criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/allProperties/read Leggere tutte le proprietà dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/allProperties/update Aggiornare tutte le proprietà dei criteri di concessione delle autorizzazioni

Amministratore che legge i report

Gli utenti con questo ruolo possono visualizzare i dati di report sull'utilizzo e il dashboard dei report in interfaccia di amministrazione di Microsoft 365 e il pacchetto di contesto di adozione in Fabric e Power BI. Il ruolo consente anche l'accesso ai log di accesso, ai log di audit e ai report sulle attività in Microsoft Entra ID e ai dati restituiti dall'API di creazione report di Microsoft Graph. Un utente assegnato al ruolo di lettore di report può accedere solo alle metriche rilevanti per utilizzo e adozione. Questi utenti non hanno le autorizzazioni di amministratore per configurare le impostazioni o accedere alle interfacce di amministrazione specifiche di prodotti come Exchange. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore della ricerca

Gli utenti con questo ruolo hanno accesso completo a tutte le funzionalità di gestione di Microsoft Search nell'interfaccia di amministrazione di Microsoft 365. Questi utenti possono anche visualizzare il centro messaggi, monitorare l'integrità del servizio e creare richieste di servizio.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Editor della ricerca

Gli utenti con questo ruolo possono creare, gestire ed eliminare contenuti per Microsoft Search nell'interfaccia di amministrazione di Microsoft 365, inclusi segnalibri, domande e risposte e posizioni.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage Creare ed eliminare contenuto e leggere e aggiornare tutte le proprietà in Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore della sicurezza

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità correlate alla sicurezza nel portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Microsoft Entra Authentication, Azure Information Protection e Portale di conformità di Microsoft Purview. Per altre informazioni sulle autorizzazioni di Office 365, vedere Ruoli e gruppi di ruoli in conformità Microsoft Defender per Office 365 e Microsoft Purview.

Tra Può eseguire
Portale di Microsoft 365 Defender Monitorare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365
Gestire gli avvisi e le minacce alla sicurezza
Visualizzazione di report
Identity Protection Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Eseguire tutte le operazioni di Identity Protection, ad eccezione della reimpostazione delle password
Privileged Identity Management Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Impossibile gestire le assegnazioni di ruolo o le impostazioni di Microsoft Entra
Portale di conformità di Microsoft Purview Gestire i criteri di sicurezza
Visualizzare, analizzare e rispondere alle minacce alla sicurezza
Visualizzazione di report
Azure Advanced Threat Protection Monitorare e rispondere alle attività sospette dal punto di vista della sicurezza
Microsoft Defender per endpoint Assegnazione di ruoli
Gestione dei gruppi di computer
Configurare il rilevamento delle minacce agli endpoint e le funzionalità automatizzate di correzione
Visualizzare, analizzare e rispondere agli avvisi
Visualizzare computer/inventario dispositivi
Intune Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione
Non è consentito apportare modifiche a Intune
Microsoft Defender for Cloud Apps Aggiungere amministratori, criteri e impostazioni, caricare i log ed eseguire azioni di governance
Integrità dei servizi di Microsoft 365 Visualizzare l'integrità dei servizi di Microsoft 365
Blocco intelligente Definire la soglia e la durata dei blocchi quando si verificano eventi di accesso non riuscito.
Password di protezione Configurare l'elenco delle password personalizzate escluse o la password di protezione locale.
Sincronizzazione tra tenant Configurare le impostazioni di accesso tra tenant per gli utenti in un altro tenant. I Amministrazione istratori di sicurezza non possono creare ed eliminare direttamente gli utenti, ma possono creare ed eliminare indirettamente gli utenti sincronizzati da un altro tenant quando entrambi i tenant sono configurati per la sincronizzazione tra tenant, ovvero un'autorizzazione con privilegi.
Azioni Descrizione
microsoft.directory/applications/policies/update Aggiornare i criteri delle applicazioni
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Connessione/update Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso cross-tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aggiornare i modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Impostazioni Reimpostare il modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant impostando le impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aggiornare i modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Impostazioni Reimpostare il modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aggiornare le impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Connessione/update Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Creare criteri di sincronizzazione tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
Icona dell'etichetta con privilegi.
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/basic/update Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete Eliminare la configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Aggiornare tutte le risorse in Microsoft Entra ID Protection
Icona dell'etichetta con privilegi.
microsoft.directory/multiTenantOrganization/basic/update Aggiornare le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/create Creare un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Partecipare a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leggere le proprietà di una richiesta di aggiunta a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create Creare un tenant in un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete Eliminare un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/create Creare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/create Creare criteri in Microsoft Entra ID
microsoft.directory/policies/delete Eliminare i criteri in Microsoft Entra ID
microsoft.directory/policies/basic/update Aggiornare le proprietà di base sui criteri
Icona dell'etichetta con privilegi.
microsoft.directory/policies/owners/update Aggiornare i proprietari dei criteri
microsoft.directory/policies/tenantDefault/update Aggiornare i criteri predefiniti dell'organizzazione
microsoft.directory/conditionalAccessPolicies/create Creare criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/delete Eliminare i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/conditionalAccessPolicies/owners/read Leggere i proprietari dei criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/basic/update Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/owners/update Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aggiornare il tenant predefinito per i criteri di accesso condizionale
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di Controllo degli accessi in base al ruolo di Microsoft 365
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/policies/update Aggiornare i criteri delle entità servizio
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.networkAccess/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/standard/read Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/allEntities/basic/update Aggiornare le proprietà di base di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report di simulazione di attacchi, risposte e training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Creare e gestire modelli di simulazione degli attacchi nel simulatore di attacco
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Operatore per la sicurezza

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo possono gestire gli avvisi e avere accesso di sola lettura globale alle funzionalità correlate alla sicurezza, incluse tutte le informazioni nel portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management e Portale di conformità di Microsoft Purview. Per altre informazioni sulle autorizzazioni di Office 365, vedere Ruoli e gruppi di ruoli in conformità Microsoft Defender per Office 365 e Microsoft Purview.

Tra Può eseguire
Portale di Microsoft 365 Defender Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per minacce alla sicurezza
Gestire le impostazioni di sicurezza nel portale di Microsoft 365 Defender
Identity Protection Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Eseguire tutte le operazioni di Identity Protection, ad eccezione della configurazione o della modifica dei criteri basati sul rischio, della reimpostazione delle password e della configurazione dei messaggi di posta elettronica degli avvisi.
Privileged Identity Management Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Portale di conformità di Microsoft Purview Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Microsoft Defender per endpoint Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo Con autorizzazioni di lettura per la sicurezza, perdono l'accesso fino a quando non vengono assegnati un ruolo di Microsoft Defender per endpoint.
Intune Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Microsoft Defender for Cloud Apps Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Integrità dei servizi di Microsoft 365 Visualizzare l'integrità dei servizi di Microsoft 365
Azioni Descrizione
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender per il cloud App
microsoft.directory/identityProtection/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Entra ID Protection
Icona dell'etichetta con privilegi.
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.advancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.intune/allEntities/read Leggere tutte le risorse in Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Defender per endpoint

Ruolo con autorizzazioni di lettura per la sicurezza

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Gli utenti con questo ruolo hanno accesso di sola lettura globale alla funzionalità relativa alla sicurezza, incluse tutte le informazioni nel portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management, nonché la possibilità di leggere i report di accesso e i log di controllo di Microsoft Entra e in Portale di conformità di Microsoft Purview. Per altre informazioni sulle autorizzazioni di Office 365, vedere Ruoli e gruppi di ruoli in conformità Microsoft Defender per Office 365 e Microsoft Purview.

Tra Può eseguire
Portale di Microsoft 365 Defender Visualizzare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365
Visualizzare gli avvisi e le minacce alla sicurezza
Visualizzazione di report
Identity Protection Visualizzare tutti i report di Identity Protection e panoramica
Privileged Identity Management Ha accesso in sola lettura a tutte le informazioni visualizzate in Microsoft Entra Privileged Identity Management: criteri e report per le assegnazioni di ruolo e le verifiche di sicurezza di Microsoft Entra.
Impossibile iscriversi a Microsoft Entra Privileged Identity Management o apportare modifiche. Nel portale di Privileged Identity Management o tramite PowerShell un utente di questo ruolo può attivare ruoli aggiuntivi (ad esempio, Global Amministrazione istrator o Privileged Role Amministrazione istrator), se l'utente è idoneo per loro.
Portale di conformità di Microsoft Purview Visualizzare i criteri di sicurezza
Visualizzare e analizzare le minacce alla sicurezza
Visualizzazione di report
Microsoft Defender per endpoint Visualizzare e analizzare gli avvisi
Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo Con autorizzazioni di lettura per la sicurezza, perdono l'accesso fino a quando non vengono assegnati un ruolo di Microsoft Defender per endpoint.
Intune Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione. Non è consentito apportare modifiche a Intune.
Microsoft Defender for Cloud Apps Dispone delle autorizzazioni di lettura.
Integrità dei servizi di Microsoft 365 Visualizzare l'integrità dei servizi di Microsoft 365
Azioni Descrizione
microsoft.directory/accessReviews/definitions/allProperties/read Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/auditLogs/allProperties/read Leggere tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave di bitlocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/policies/owners/read Leggere i proprietari dei criteri
microsoft.directory/policies/policyAppliedTo/read Leggere la proprietà policies.policyAppliedTo
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/conditionalAccessPolicies/owners/read Leggere i proprietari dei criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Leggere le proprietà di una richiesta di aggiunta a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning.
microsoft.directory/signInReports/allProperties/read Leggere tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.networkAccess/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/standard/read Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Leggere tutte le proprietà dei payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report di simulazione di attacchi, risposte e training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Leggere tutte le proprietà dei modelli di simulazione degli attacchi in Simulatore di attacco
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore servizio di supporto

Gli utenti con questo ruolo possono creare e gestire richieste di supporto con i servizi Microsoft per Azure e Microsoft 365 e visualizzare il dashboard del servizio e il centro messaggi nel portale di Azure e interfaccia di amministrazione di Microsoft 365. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

Questo ruolo era precedentemente denominato Service Amministrazione istrator nel portale di Azure e nel interfaccia di amministrazione di Microsoft 365. È stato rinominato service support Amministrazione istrator per allinearlo al nome esistente nell'API Microsoft Graph e in Azure AD PowerShell.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore SharePoint

Gli utenti con questo ruolo dispongono di autorizzazioni globali all'interno di Microsoft SharePoint Online, quando il servizio è presente, nonché la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità dei servizi. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

Nell'API Microsoft Graph e In Azure AD PowerShell questo ruolo è denominato SharePoint Service Amministrazione istrator. Nel portale di Azure è denominato SharePoint Amministrazione istrator.

Nota

Questo ruolo concede anche autorizzazioni con ambito all'API Microsoft Graph per Microsoft Intune, consentendo la gestione e la configurazione dei criteri correlati alle risorse di SharePoint e OneDrive.

Azioni Descrizione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/create Creare gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.migrations/allEntities/allProperties/allTasks Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Skype for Business

Gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft Skype for Business, quando il servizio è presente, nonché gestire attributi utente specifici di Skype in Microsoft Entra ID. Inoltre, questo ruolo garantisce la possibilità di gestire i ticket di supporto e monitorare l'integrità del servizio, e di accedere all'interfaccia di amministrazione di Teams e di Skype for Business. L'account deve anche avere una licenza per Teams. In caso contrario, non può eseguire i cmdlet di PowerShell per Teams. Per altre informazioni, vedere Skype for Business Online Amministrazione and Teams licensing information at Skype for Business add-on licensing (Licenze per componenti aggiuntivi skype for Business).

Nota

Nell'API Microsoft Graph e In Azure AD PowerShell questo ruolo è denominato Lync Service Amministrazione istrator. Nel portale di Azure è denominato Skype for Business Amministrazione istrator.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Teams

gli utenti in questo ruolo possono gestire tutti gli aspetti del carico di lavoro Microsoft Teams tramite l'interfaccia di amministrazione di Microsoft Teams e Skype for Business e i rispettivi moduli di PowerShell. Sono inclusi, tra le altre aree, tutti gli strumenti di gestione correlati a telefonia, messaggistica, riunioni e i team stessi. Il ruolo concede anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/create Creare gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gestire tutte le risorse in Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/pendingExternalUserProfiles/create Creare profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni

Amministratore delle comunicazioni di Teams

gli utenti con questo ruolo possono gestire gli aspetti del carico di lavoro Microsoft Teams correlati a voce e telefonia. Sono inclusi gli strumenti di gestione per l'assegnazione di numeri di telefono, i criteri per chiamate vocali e riunioni, nonché l'accesso completo al set di strumenti di analisi delle chiamate.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)
microsoft.teams/meetings/allProperties/allTasks Gestire le riunioni, inclusi i criteri di riunione, le configurazioni e i bridge di conferenza
microsoft.teams/voice/allProperties/allTasks Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono

Tecnico supporto comunicazioni Teams

gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti in questo ruolo possono visualizzare informazioni complete sui record delle chiamate per tutti i partecipanti coinvolti. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)

Specialista supporto comunicazioni Teams

gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti con questo ruolo possono visualizzare i dettagli dell'utente nella chiamata per l'utente specifico cercato. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/standard/read Leggere i dati di base nel Dashboard Qualità delle chiamate (CQD)

Amministratore di dispositivi di Teams

Gli utenti con questo ruolo possono gestire i dispositivi certificati teams dall'interfaccia di amministrazione di Teams. Questo ruolo consente di visualizzare tutti i dispositivi a colpo d'occhio, con la possibilità di cercarli e filtrarli. L'utente può controllare i dettagli di ogni dispositivo, tra cui account connesso, marca e modello del dispositivo. L'utente può modificare le impostazioni nel dispositivo e aggiornare le versioni del software. Questo ruolo non concede le autorizzazioni per controllare l'attività di Teams e la qualità delle chiamate del dispositivo.

Azioni Descrizione
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.teams/devices/standard/read Gestire tutti gli aspetti dei dispositivi certificati di Teams, inclusi i criteri di configurazione

Creatore tenant

Assegnare il ruolo di Creatore tenant agli utenti che devono eseguire le attività seguenti:

  • Creare tenant microsoft Entra e Azure Active Directory B2C anche se l'interruttore di creazione del tenant è disattivato nelle impostazioni utente

Nota

Ai creatori di tenant verrà assegnato il ruolo di amministratore globale nei nuovi tenant creati.

Azioni Descrizione
microsoft.directory/tenantManagement/tenants/create Creare nuovi tenant in Microsoft Entra ID

Ruolo con autorizzazioni di lettura per i report di riepilogo dell'utilizzo

Assegnare il ruolo Lettore report di riepilogo utilizzo agli utenti che devono eseguire le attività seguenti nel interfaccia di amministrazione di Microsoft 365:

  • Visualizzare i report sull'utilizzo e il punteggio di adozione
  • Leggere informazioni dettagliate sull'organizzazione, ma non informazioni personali (PII) degli utenti

Questo ruolo consente solo agli utenti di visualizzare i dati a livello di organizzazione con le eccezioni seguenti:

  • Gli utenti membri possono visualizzare i dati e le impostazioni di gestione degli utenti.
  • Gli utenti guest assegnati a questo ruolo non possono visualizzare i dati e le impostazioni di gestione degli utenti.
Azioni Descrizione
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore utenti

Icona dell'etichetta con privilegi.

Si tratta di un ruolo privilegiato. Assegnare il ruolo User Amministrazione istrator agli utenti che devono eseguire le operazioni seguenti:

Autorizzazione Ulteriori informazioni
Creare utenti
Aggiornare la maggior parte delle proprietà utente per tutti gli utenti, inclusi tutti gli amministratori Chi può eseguire azioni sensibili
Aggiornare le proprietà sensibili (incluso il nome dell'entità utente) per alcuni utenti Chi può eseguire azioni sensibili
Disabilitare o abilitare alcuni utenti Chi può eseguire azioni sensibili
Eliminare o ripristinare alcuni utenti Chi può eseguire azioni sensibili
Creare e gestire visualizzazioni utente
Creare e gestire tutti i gruppi
Assegnare e leggere licenze per tutti gli utenti, inclusi tutti gli amministratori
Reimpostare le password Chi può reimpostare le password
Invalidare i token di aggiornamento Chi può reimpostare le password
Aggiornare le chiavi dispositivo (FIDO)
Aggiornare i criteri di scadenza delle password
Creare e gestire ticket di supporto in Azure e l'interfaccia di amministrazione di Microsoft 365
Monitorare l'integrità dei servizi

Gli utenti con questo ruolo non possono eseguire le operazioni seguenti:

  • Impossibile gestire l'autenticazione a più fattori.
  • Impossibile modificare le credenziali o reimpostare l'autenticazione a più fattori per i membri e i proprietari di un gruppo assegnabile a ruoli.
  • Impossibile gestire le cassette postali condivise.

Importante

Gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse agli amministratori utenti. Ciò significa che un amministratore degli utenti potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Gruppi di sicurezza e proprietari di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministrazione istrators in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, portale di Microsoft 365 Defender, Portale di conformità di Microsoft Purview e sistemi di risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gestire le verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni dei pacchetti di accesso nella gestione entitlement
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/create Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Eliminare i contatti
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/deletedItems.groups/restore Ripristinare lo stato originale dei gruppi eliminati temporaneo
microsoft.directory/deletedItems.users/restore Ripristinare lo stato originale degli utenti eliminati temporaneo
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto a gruppi per le licenze basate su gruppi
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per le licenze basate su gruppo
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/groupType/update Aggiornare le proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/onPremWriteBack/update Aggiornare i gruppi di Microsoft Entra per essere riscritto in locale con Microsoft Entra Connessione
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/settings/update Aggiornare le impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creare ed eliminare le concessioni di autorizzazione OAuth 2.0 e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornare le assegnazioni di ruolo dell'entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/convertExternalToInternalMemberUser Convertire l'utente esterno in un utente interno
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitare gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/invalidateAllRefreshTokens Forzare la disconneszione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/basic/update Aggiornare le proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostare le password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/sponsors/update Aggiornare gli sponsor degli utenti
microsoft.directory/users/usageLocation/update Aggiornare la posizione di utilizzo degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornare il nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.azure.serviceHealth/allEntities/allTasks Leggere e configurare Integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore di Visite virtuali

Gli utenti con questo ruolo possono eseguire le attività seguenti:

  • Gestire e configurare tutti gli aspetti delle visite virtuali in Bookings nel interfaccia di amministrazione di Microsoft 365 e nel connettore EHR di Teams
  • Visualizzare i report sull'utilizzo per le visite virtuali nell'interfaccia di amministrazione di Teams, interfaccia di amministrazione di Microsoft 365, Infrastruttura e Power BI
  • Visualizzare le funzionalità e le impostazioni nella interfaccia di amministrazione di Microsoft 365, ma non è possibile modificare le impostazioni

Le visite virtuali sono un modo semplice per pianificare e gestire appuntamenti online e video per il personale e i partecipanti. Ad esempio, la segnalazione sull'utilizzo può mostrare come inviare SMS sms prima che gli appuntamenti possano ridurre il numero di persone che non vengono visualizzate per gli appuntamenti.

Azioni Descrizione
microsoft.virtualVisits/allEntities/allProperties/allTasks Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Viva Goals Amministrazione istrator

Assegnare il ruolo Viva Goals Amministrazione istrator agli utenti che devono eseguire le attività seguenti:

  • Gestire e configurare tutti gli aspetti dell'applicazione Microsoft Viva Goals
  • Configurare le impostazioni di amministratore di Microsoft Viva Goals
  • Leggere le informazioni sul tenant di Microsoft Entra
  • Monitorare l'integrità dei servizi di Microsoft 365
  • Creare e gestire le richieste di servizio di Microsoft 365

Per altre informazioni, vedere Ruoli e autorizzazioni in Viva Goals e Introduzione a Microsoft Viva Goals.

Azioni Descrizione
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks Gestire tutti gli aspetti degli obiettivi di Microsoft Viva

Viva Pulse Amministrazione istrator

Assegnare il ruolo Viva Pulse Amministrazione istrator agli utenti che devono eseguire le attività seguenti:

  • Leggere e configurare tutte le impostazioni di Viva Pulse
  • Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
  • Leggere e configurare Integrità dei servizi di Azure
  • Creare e gestire i ticket supporto tecnico di Azure
  • Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
  • Leggere i report sull'utilizzo nella interfaccia di amministrazione di Microsoft 365

Per altre informazioni, vedere Assegnare un amministratore viva Pulse nel interfaccia di amministrazione di Microsoft 365.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Viva Pulse

Amministratore di Windows 365

Gli utenti con questo ruolo hanno autorizzazioni globali sulle risorse di Windows 365, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi.

Questo ruolo può creare e gestire gruppi di sicurezza, ma non dispone dei diritti di amministratore sui gruppi di Microsoft 365. Ciò significa che gli amministratori non possono aggiornare i proprietari o le appartenenze dei gruppi di Microsoft 365 nell'organizzazione. Possono gestire, tuttavia, il gruppo di Microsoft 365 creato, operazione che rientra tra i privilegi degli utenti finali. Qualsiasi gruppo di Microsoft 365 creato, esclusi i gruppi di sicurezza, viene pertanto conteggiato nella quota di 250.

Assegnare il ruolo di Amministratore di Windows 365 agli utenti che devono eseguire le attività seguenti:

  • Gestire PC Windows 365 Cloud in Microsoft Intune
  • Registrare e gestire i dispositivi in Microsoft Entra ID, inclusi l'assegnazione di utenti e criteri
  • Creare e gestire gruppi di sicurezza, ma non gruppi assegnabili a ruoli
  • Visualizzare le proprietà di base nel interfaccia di amministrazione di Microsoft 365
  • Leggere i report sull'utilizzo nella interfaccia di amministrazione di Microsoft 365
  • Creare e gestire ticket di supporto in Azure e l'interfaccia di amministrazione di Microsoft 365
Azioni Descrizione
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristinare lo stato originale dei dispositivi eliminati temporaneo
microsoft.directory/devices/create Creare dispositivi (registrarsi in Microsoft Entra ID)
microsoft.directory/devices/delete Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable Abilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/basic/update Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/extensionAttributeSet1/update Aggiornare extensionAttribute1 alle proprietà extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update Aggiornare extensionAttribute6 alle proprietà extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update Aggiornare extensionAttribute11 alle proprietà extensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update Aggiornare i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/visibility/update Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.azure.supportTickets/allEntities/allTasks Creare e gestire i ticket supporto tecnico di Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365

Amministratore della distribuzione di Windows Update

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update per le aziende. Il servizio di distribuzione consente agli utenti di definire le impostazioni relative al momento e alle modalità con cui vengono distribuiti gli aggiornamenti e di specificare gli aggiornamenti che vengono offerti ai gruppi di dispositivi nel tenant. Consente anche agli utenti di monitorare lo stato di avanzamento dell'aggiornamento.

Azioni Descrizione
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leggere e configurare tutti gli aspetti del servizio Windows Update

Amministratore di Yammer

Assegnare il ruolo di Amministratore di Yammer agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti di Yammer
  • Creare, gestire e ripristinare Gruppi di Microsoft 365, ma non gruppi assegnabili a ruoli
  • Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili di ruoli
  • Leggere i report sull'utilizzo nella interfaccia di amministrazione di Microsoft 365
  • Creare e gestire le richieste di servizio nel interfaccia di amministrazione di Microsoft 365
  • Visualizzare gli annunci nel Centro messaggi, ma non gli annunci di sicurezza
  • Visualizzare l'integrità dei servizi

Ulteriori informazioni

Azioni Descrizione
microsoft.directory/groups/hiddenMembers/read Leggere i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/create Creare gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups.unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read Leggere tutte le proprietà delle prestazioni di rete nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Leggere e configurare l'integrità dei servizi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creare e gestire le richieste di servizio di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Leggere i report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Leggere le proprietà di base su tutte le risorse nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Yammer

Ruoli deprecati

I ruoli seguenti non devono essere usati. Sono stati deprecati e verranno rimossi da Microsoft Entra ID in futuro.

  • Amministratore di licenze ad hoc
  • Aggiunta di dispositivi
  • Gestione dispositivi
  • Utenti di dispositivi
  • Autore di utenti verificati tramite posta elettronica
  • Amministratore della cassetta postale
  • Aggiunta di dispositivi all'area di lavoro

Ruoli non visualizzati nel portale

Non tutti i ruoli restituiti da PowerShell o dall'API Microsoft Graph sono visibili nel portale di Azure. Nella tabella seguente sono riportate queste differenze in modo organizzato.

Nome API Nome portale di Azure Note
Aggiunta di dispositivi Deprecato Documentazione dei ruoli deprecati
Gestione dispositivi Deprecato Documentazione dei ruoli deprecati
Utenti di dispositivi Deprecato Documentazione dei ruoli deprecati
Account di sincronizzazione della directory Non viene visualizzato perché non deve essere usato Documentazione per gli account di sincronizzazione della directory
Utente guest Non viene visualizzato perché non può essere usato N/D
Supporto di livello 1 partner Non viene visualizzato perché non deve essere usato Documentazione per Supporto partner - Livello 1
Supporto di livello 2 partner Non viene visualizzato perché non deve essere usato Documentazione per Supporto partner - Livello 2
Utente guest con restrizioni Non viene visualizzato perché non può essere usato N/D
User Non viene visualizzato perché non può essere usato N/D
Aggiunta di dispositivi all'area di lavoro Deprecato Documentazione dei ruoli deprecati

Passaggi successivi