Azure AD 기본 제공 역할

Azure ad (Azure Active Directory)에서 다른 관리자나 관리자가 아닌 사용자가 Azure AD 리소스를 관리 해야 하는 경우 필요한 권한을 제공 하는 Azure AD 역할을 할당 합니다. 예를 들어 사용자 추가 또는 변경, 사용자 암호 다시 설정, 사용자 라이선스 관리 또는 도메인 이름 관리를 허용 하도록 역할을 할당할 수 있습니다.

이 문서에는 Azure AD 리소스의 관리를 허용 하기 위해 할당할 수 있는 Azure AD 기본 제공 역할이 나열 되어 있습니다. 역할을 할당 하는 방법에 대 한 자세한 내용은 사용자에 게 AZURE AD 역할 할당을 참조 하세요.

전역 관리자의 사용 제한

전역 관리자 역할에 할당 된 사용자는 Azure AD 조직의 모든 관리 설정을 읽고 수정할 수 있습니다. 기본적으로 사용자가 Microsoft 클라우드 서비스에 등록할 때 Azure AD 테 넌 트가 만들어지고 사용자는 전역 관리자 역할의 구성원이 됩니다. 기존 테 넌 트에 구독을 추가 하면 전역 관리자 역할에 할당 되지 않습니다. 전역 관리자 및 권한 있는 역할 관리자만 관리자 역할을 위임할 수 있습니다. 비즈니스 위험을 줄이기 위해 조직 내 극소수의 사람에게만 이 역할을 할당하는 것이 좋습니다.

모범 사례에 따라 조직 내에서 5명 미만의 사람에게만 이 역할을 할당하는 것이 좋습니다. 조직에서 전역 관리자 역할에 할당된 관리자가 5명을 초과하는 경우 다음과 같은 방법으로 수를 줄일 수 있습니다.

모든 역할

역할 Description 템플릿 ID
애플리케이션 관리자 앱 등록 및 엔터프라이즈 앱의 모든 측면을 만들고 관리할 수 있습니다. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
애플리케이션 개발자 '사용자가 애플리케이션을 등록할 수 있음' 설정에 관계없이 애플리케이션 등록을 만들 수 있습니다. cf1c38e5-3621-4004-a7cb-879624dced7c
공격 페이로드 작성자 관리자가 나중에 시작할 수 있는 공격 페이로드를 만들 수 있습니다. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
공격 시뮬레이션 관리자 공격 시뮬레이션 캠페인의 모든 측면을 만들고 관리할 수 있습니다. c430b396-e693-46cc-96f3-db01bf8bb62a
인증 관리자 관리자가 아닌 사용자에 대 한 인증 방법 정보를 보고 설정 하 고 다시 설정 하기 위해에 액세스할 수 있습니다. c4e39bd9-1100-46d3-8c65-fb160da0071f
인증 정책 관리자 는 인증 방법 및 암호 보호 정책의 모든 측면을 만들고 관리할 수 있습니다. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure AD 조인 장치 로컬 관리자 이 역할에 할당된 사용자는 Azure AD에 조인된 디바이스의 로컬 관리자 그룹에 추가됩니다. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Azure DevOps 관리자 Azure DevOps 조직 정책 및 설정을 관리할 수 있습니다. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection 관리자 Azure Information Protection 제품의 모든 측면을 관리할 수 있습니다. 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF 키 세트 관리자 IEF (Identity Experience Framework)에서 페더레이션 및 암호화에 대 한 암호를 관리할 수 있습니다. aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF 정책 관리자 IEF (Identity Experience Framework)에서 신뢰 프레임 워크 정책을 만들고 관리할 수 있습니다. 3edaf663-341e-4475-9f94-5c398ef6c070
대금 청구 관리자 결제 정보 업데이트와 같은 일반 결제 관련 작업을 수행할 수 있습니다. b0f54661-2d74-4c50-afa3-1ec803f12efe
클라우드 애플리케이션 관리자 앱 프록시를 제외한 앱 등록 및 엔터프라이즈 앱의 모든 측면을 만들고 관리할 수 있습니다. 158c047a-c907-4556-b7ef-446551a6b5f7
클라우드 디바이스 관리자 Azure AD에서 장치를 관리 하기 위한 제한 된 액세스. 7698a772-787b-4ac8-901f-60d6b08affd2
규정 준수 관리자 Azure AD 및 Microsoft 365에서 준수 구성 및 보고서를 읽고 관리할 수 있습니다. 17315797-102d-40b4-93e0-432062caca18
규정 준수 데이터 관리자 규정 준수 콘텐츠를 만들고 관리합니다. e6d1a23a-da11-4be4-9570-befc86d067a7
조건부 액세스 관리자 조건부 액세스 기능을 관리할 수 있습니다. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
고객 LockBox 액세스 승인자 고객 조직 데이터에 액세스하려는 Microsoft 지원 요청을 승인할 수 있습니다. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Desktop Analytics 관리자 데스크톱 관리 도구 및 서비스에 액세스 하 고 관리할 수 있습니다. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
디렉터리 읽기 권한자 기본 디렉터리 정보를 읽을 수 있습니다. 일반적으로 응용 프로그램과 게스트에 대 한 디렉터리 읽기 액세스 권한을 부여 하는 데 사용 됩니다. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
디렉터리 동기화 계정 Azure AD Connect에서만 사용됩니다. d29b2b05-8046-44ba-8758-1e26182fcf32
디렉터리 쓰기 권한자 기본 디렉터리 정보를 읽고 쓸 수 있습니다. 애플리케이션에 대한 액세스 권한은 사용자를 위한 것이 아닙니다. 9360feb5-f418-4baa-8175-e2a00bac4301
도메인 이름 관리자 는 클라우드 및 온-프레미스에서 도메인 이름을 관리할 수 있습니다. 8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 관리자 Dynamics 365 제품의 모든 측면을 관리할 수 있습니다. 44367163-eba1-44c3-98af-f5787879f96a
Exchange 관리자 Exchange 제품의 모든 측면을 관리할 수 있습니다. 29232cdf-9323-42fd-ade2-1d097af3e4de
외부 ID 사용자 흐름 관리자 사용자 흐름의 모든 측면을 만들고 관리할 수 있습니다. 6e591065-9bad-43ed-90f3-e9424366d2f0
외부 ID 사용자 흐름 특성 관리자 모든 사용자 흐름에서 사용할 수 있는 특성 스키마를 만들고 관리할 수 있습니다. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
외부 ID 공급자 관리자 직접 페더레이션에서 사용할 id 공급자를 구성할 수 있습니다. be2f45a1-457d-42af-a067-6ec1fa63bc45
전역 관리자 Azure AD 및 Azure AD ID를 사용하는 Microsoft 서비스의 모든 측면을 관리할 수 있습니다. 62e90394-69f5-4237-9190-012177145e10
글로벌 읽기 권한자 전역 관리자가 수행할 수 있는 모든 항목을 읽을 수 있지만 업데이트할 수는 없습니다. f2ef992c-3afb-46b9-b7cf-a126ee74c451
그룹 관리자 이 역할의 구성원은 그룹을 만들거나 관리 하 고, 이름 및 만료 정책과 같은 그룹 설정을 만들고 관리 하 고, 그룹 작업 및 감사 보고서를 볼 수 있습니다. fdd7a751-b60b-444a-984c-02652fe8fa1c
게스트 초대자 '멤버가 게스트를 초대할 수 있음' 설정에 관계없이 게스트 사용자를 초대할 수 있습니다. 95e79109-95c0-4d8e-aee3-d01accf2d47b
기술 지원팀 관리자 관리자가 아닌 사용자 및 기술 지원팀 관리자의 암호를 재설정할 수 있습니다. 729827e3-9c14-49f7-bb1b-9608f156bbb8
하이브리드 ID 관리자 Azure AD 클라우드 프로 비전, Azure AD Connect 및 페더레이션 설정에 대 한 AD를 관리할 수 있습니다. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Insights 관리자 Microsoft 365 Insights 앱에서 관리 권한이 있습니다. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights 비즈니스 리더 M365 Insights 앱을 통해 대시보드와 정보를 보고 공유할 수 있습니다. 31e939ad-9672-4796-9c2e-873181342d2d
Intune 관리자 Intune 제품의 모든 측면을 관리할 수 있습니다. 3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala 관리자 Microsoft Kaizala의 설정을 관리할 수 있습니다. 74ef975b-6605-40af-a5d2-b9539d836353
기술 관리자 기술 자료, 학습 및 기타 지능형 기능을 구성할 수 있습니다. b5a8dcf3-09d5-43a9-a639-8e29ef291470
라이선스 관리자 사용자 및 그룹의 제품 라이선스를 관리할 수 있습니다. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
메시지 센터 개인 정보 읽기 권한자 Office 365 메시지 센터 에서만 보안 메시지 및 업데이트를 읽을 수 있습니다. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
메시지 센터 읽기 권한자 Office 365 메시지 센터에서만 조직의 메시지 및 업데이트를 읽을 수 있습니다. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
최신 Commerce 사용자 회사, 부서 또는 팀의 상업적 구매를 관리할 수 있습니다. d24aef57-1500-4070-84db-2666f29cf966
네트워크 관리자 네트워크 위치를 관리하고 Microsoft 365 Software as a Service 애플리케이션에 대한 엔터프라이즈 네트워크 디자인 인사이트를 검토할 수 있습니다. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office 앱 관리자 는 정책 및 설정 관리를 비롯 한 Office 앱 클라우드 서비스를 관리할 수 있으며, 최종 사용자의 장치에 ' 새로운 기능 ' 기능 콘텐츠를 선택, 선택 취소 및 게시 하는 기능을 관리할 수 있습니다. 2b745bdf-0803-4d80-aa65-822c4493daac
파트너 계층1 지원 사용하지 마세요. 일반적인 용도로는 적합하지 않습니다. 4ba39ca4-527c-499a-b93d-d9b492c50246
파트너 계층2 지원 사용하지 마세요. 일반적인 용도로는 적합하지 않습니다. e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
암호 관리자 관리자가 아닌 관리자 및 암호 관리자에 대 한 암호를 다시 설정할 수 있습니다. 966707d0-3269-4727-9be2-8c3a10f19b9d
Power BI 관리자 Power BI 제품의 모든 측면을 관리할 수 있습니다. a9ea8996-122f-4c74-9520-8edcd192826c
Power Platform 관리자 Microsoft Dynamics 365, PowerApps 및 Microsoft Flow의 모든 것을 만들고 관리할 수 있습니다. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
프린터 관리자 프린터 및 프린터 커넥터의 모든 것을 관리할 수 있습니다. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
프린터 기술자 프린터를 등록/등록 취소하고 프린터 상태를 업데이트할 수 있습니다. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
권한 있는 인증 관리자 모든 사용자 (관리자 또는 비 관리자)에 대 한 인증 방법 정보를 보고 설정 하 고 다시 설정 하기 위해에 액세스할 수 있습니다. 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
권한 있는 역할 관리자 Azure AD의 역할 할당 및 Privileged Identity Management의 모든 측면을 관리할 수 있습니다. e8611ab8-c189-46e8-94e1-60213ab1f814
보고서 읽기 권한자 로그인 및 감사 보고서를 읽을 수 있습니다. 4a5d8f65-41da-4de4-8968-e035b65339cf
Search 관리자 Microsoft Search 설정의 모든 것을 만들고 관리할 수 있습니다. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Search 편집자 책갈피, 질문과 대답, 위치, 평면도와 같은 편집 콘텐츠를 만들고 관리할 수 있습니다. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
보안 관리자 보안 정보 및 보고서를 읽고 Azure AD 및 Office 365에서 구성을 관리할 수 있습니다. 194ae4cb-b126-40b2-bd5b-6091b380977d
보안 운영자 보안 이벤트를 만들고 관리합니다. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
보안 읽기 권한자 Azure AD 및 Office 365에서 보안 정보 및 보고서를 읽을 수 있습니다. 5d6b6bb7-de71-4623-b4af-96380a352509
서비스 지원 관리자 서비스 상태 정보를 읽고, 지원 티켓을 관리할 수 있습니다. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint 관리자 SharePoint 서비스의 모든 측면을 관리할 수 있습니다. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
비즈니스용 Skype 관리자 비즈니스용 Skype 제품의 모든 측면을 관리할 수 있습니다. 75941009-915a-4869-abe7-691bff18279e
Teams 관리자 Microsoft Teams 서비스를 관리할 수 있습니다. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams 통신 관리자 Microsoft Teams 서비스 내에서 호출 및 회의 기능을 관리할 수 있습니다. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams 통신 지원 엔지니어 고급 도구를 사용하여 Teams 내에서 통신 문제를 해결할 수 있습니다. f70938a0-fc10-4177-9e90-2178f8765737
Teams 통신 지원 전문가 기본 도구를 사용하여 Teams 내에서 통신 문제를 해결할 수 있습니다. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams 디바이스 관리자 팀 인증 장치에서 관리 관련 작업을 수행할 수 있습니다. 3d762c5a-1b6c-493f-843e-55a3b42923d4
사용 요약 보고서 판독기 Microsoft 365 사용량 분석과 생산성 점수에서 테 넌 트 수준 집계만 볼 수 있습니다. 75934031-6c7e-415a-99d7-48dbd49e875e
사용자 관리자 제한된 관리자의 암호 재설정을 비롯하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다. fe930be7-5e62-47db-91af-98c3a49a38b1

애플리케이션 관리자

이 역할의 사용자는 엔터프라이즈 애플리케이션, 애플리케이션 등록 및 애플리케이션 프록시 설정의 모든 측면을 만들고 관리할 수 있습니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.

또한이 역할은 Microsoft Graph 및 Azure AD Graph 모두에 대 한 응용 프로그램 권한을 제외 하 고 위임 된 권한 및 응용 프로그램 권한에 대해 동의 하는 기능을 부여 합니다.

중요

이 예외는 다른 앱 (예: 타사 앱 또는 등록 한 앱)에 대 한 응용 프로그램 사용 권한에 여전히 동의할 수 있음을 의미 합니다. 앱 등록의 일부로 이러한 권한을 계속 요청할 수 있지만 이러한 권한을 부여 (즉, 동의) 하는 것은 전역 관리자와 같은 권한 있는 관리자가 필요 합니다.

이 역할은 애플리케이션 자격 증명을 관리하는 기능을 부여합니다. 이 역할이 할당된 사용자는 애플리케이션에 자격 증명을 추가하고 해당 자격 증명을 사용하여 애플리케이션의 ID를 가장할 수 있습니다. 응용 프로그램의 id에 사용자 또는 다른 개체를 만들거나 업데이트 하는 기능과 같은 리소스에 대 한 액세스 권한이 부여 된 경우이 역할에 할당 된 사용자는 응용 프로그램을 가장 하는 동안 이러한 작업을 수행할 수 있습니다. 응용 프로그램의 id를 가장 하는이 기능은 사용자가 해당 역할 할당을 통해 수행할 수 있는 작업에 대 한 권한 상승 일 수 있습니다. 애플리케이션 관리자 역할에 사용자를 할당하면 애플리케이션의 ID를 가장하는 기능이 해당 사용자에게 부여된다는 점을 이해해야 합니다.

동작 Description
microsoft.directory/applications/create 모든 종류의 응용 프로그램 만들기
microsoft.directory/applications/delete 모든 종류의 응용 프로그램을 삭제 합니다.
microsoft.directory/applications/applicationProxy/read 모든 응용 프로그램 프록시 속성 읽기
microsoft.directory/applications/applicationProxy/update 모든 응용 프로그램 프록시 속성 업데이트
microsoft. directory/응용 프로그램/applicationProxyAuthentication/update 응용 프로그램 프록시 인증 속성 업데이트
microsoft. directory/응용 프로그램/applicationProxySslCertificate/업데이트 응용 프로그램 프록시 사용자 지정 도메인 업데이트
microsoft. directory/applications/applicationProxyUrlSettings/update 응용 프로그램 프록시 내부 및 외부 Url 업데이트
microsoft. directory/응용 프로그램/a p i/업데이트 모든 유형의 응용 프로그램에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 응용 프로그램의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 응용 프로그램에 대 한 인증 업데이트
microsoft.directory/applications/basic/update 응용 프로그램의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 응용 프로그램 자격 증명 업데이트
microsoft.directory/applications/owners/update 응용 프로그램의 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 응용 프로그램에 대해 노출 된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 응용 프로그램 정책 업데이트
microsoft. 디렉터리/응용 프로그램/확인/업데이트 Applicationsverification 속성 업데이트
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 응용 프로그램 템플릿에서 갤러리 응용 프로그램 인스턴스화
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft.directory/connectors/create 응용 프로그램 프록시 커넥터 만들기
microsoft. directory/커넥터/allProperties/read 응용 프로그램 프록시 커넥터의 모든 속성 읽기
microsoft.directory/connectorGroups/create 응용 프로그램 프록시 커넥터 그룹 만들기
microsoft.directory/connectorGroups/delete 응용 프로그램 프록시 커넥터 그룹 삭제
microsoft. directory/Congroups/allProperties/read 응용 프로그램 프록시 커넥터 그룹의 모든 속성 읽기
microsoft. directory/Congroups/allProperties/update 응용 프로그램 프록시 커넥터 그룹의 모든 속성 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/applicationPolicies/create 응용 프로그램 정책 만들기
microsoft.directory/applicationPolicies/delete 응용 프로그램 정책 삭제
microsoft.directory/applicationPolicies/standard/read 응용 프로그램 정책의 표준 속성 읽기
microsoft.directory/applicationPolicies/owners/read 응용 프로그램 정책에서 소유자 읽기
microsoft.directory/applicationPolicies/policyAppliedTo/read 개체 목록에 적용 된 응용 프로그램 정책 읽기
microsoft.directory/applicationPolicies/basic/update 응용 프로그램 정책의 표준 속성 업데이트
microsoft.directory/applicationPolicies/owners/update 응용 프로그램 정책의 owner 속성 업데이트
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 사용자 삭제
microsoft.directory/servicePrincipals/disable 서비스 사용자 사용 안 함
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 서비스 사용자에 대 한 암호 Single Sign-On 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 응용 프로그램 프로 비전 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 응용 프로그램 프로 비전 동기화 작업 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 응용 프로그램 프로 비전 동기화 작업 및 스키마 만들기 및 관리
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 서비스 사용자에 대 한 암호 Single Sign-On 자격 증명 읽기
microsoft. directory/servicePrincipals/managePermissionGrantsForAll. microsoft-application-admin Microsoft Graph 및 Azure AD Graph의 응용 프로그램 권한을 제외한 모든 사용자 또는 모든 사용자를 대신 하 여 응용 프로그램 사용 권한 및 위임 된 권한에 대 한 동의를 부여 합니다.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft.directory/servicePrincipals/audience/update 서비스 사용자의 대상 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 사용자에 대 한 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 사용자의 기본 속성 업데이트
microsoft.directory/servicePrincipals/credentials/update 서비스 사용자의 자격 증명 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 사용자의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 사용자의 사용 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 사용자의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 사용자에 대 한 tag 속성 업데이트
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

애플리케이션 개발자

이 역할의 사용자는 "사용자가 애플리케이션을 등록할 수 있음" 설정이 아니오로 설정된 경우 애플리케이션 등록을 만들 수 있습니다. 또한 이 역할은 “사용자가 앱이 사용자 대신 회사 데이터에 액세스하는 것에 동의할 수 있음” 설정이 [아니요]로 설정된 경우 대신 동의할 수 있는 권한을 부여합니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가됩니다.

동작 Description
microsoft.directory/applications/createAsOwner 모든 종류의 응용 프로그램을 만들고 작성자가 첫 번째 소유자로 추가 됩니다.
microsoft.directory/appRoleAssignments/createAsOwner 첫 번째 소유자로 생성자를 사용 하 여 응용 프로그램 역할 할당 만들기
microsoft.directory/oAuth2PermissionGrants/createAsOwner 첫 번째 소유자로 만든이를 사용 하 여 OAuth 2.0 권한 부여를 만듭니다.
microsoft.directory/servicePrincipals/createAsOwner 첫 번째 소유자로 생성자를 사용 하 여 서비스 사용자 만들기

공격 페이로드 작성자

이 역할의 사용자는 공격 페이로드를 만들 수 있지만 실제로 시작 하거나 예약할 수는 없습니다. 그러면 테 넌 트의 모든 관리자가이를 사용 하 여 시뮬레이션을 만들 수 있습니다.

동작 Description
protectionCenter/attackSimulator/office365/allProperties/Allproperties 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리
protectionCenter/attackSimulator/office365/allProperties/read 공격 시뮬레이션, 응답 및 관련 교육에 대 한 보고서 읽기

공격 시뮬레이션 관리자

이 역할의 사용자는 공격 시뮬레이션 생성, 시뮬레이션 시작/예약, 시뮬레이션 결과 검토의 모든 측면을 만들고 관리할 수 있습니다. 이 역할의 멤버에 게는 테 넌 트의 모든 시뮬레이션에 대 한이 액세스 권한이 있습니다.

동작 Description
protectionCenter/attackSimulator/office365/allProperties/Allproperties 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리
protectionCenter/attackSimulator/office365/allProperties/read 공격 시뮬레이션, 응답 및 관련 교육에 대 한 보고서 읽기
office365. protectionCenter/attackSimulator/시뮬레이션/allProperties/Allproperties 공격 시뮬레이터에서 공격 시뮬레이션 템플릿 만들기 및 관리

인증 관리자

이 역할을 가진 사용자는 관리자가 아닌 사용자 및 일부 역할에 대해 인증 방법 (암호 포함)을 설정 하거나 다시 설정할 수 있습니다. 인증 관리자는 관리자가 아닌 사용자 또는 일부 역할이 할당된 사용자가 기존의 비암호 자격 증명(예: MFA 또는 FIDO)을 재등록하도록 요구할 수 있으며, 다음에 로그인할 때 MFA를 요청하도록 디바이스에 MFA 저장 을 철회할 수도 있습니다. 인증 관리자가 인증 방법을 읽거나 업데이트할 수 있는 역할 목록은 암호 재설정 권한을 참조 하세요.

권한 있는 인증 관리자 역할에는 모든 사용자가 다시 등록 하 고 multi-factor authentication을 적용할 수 있는 권한이 있습니다.

인증 정책 관리자 역할에는 각 사용자가 등록 하 고 사용할 수 있는 메서드를 결정 하는 테 넌 트의 인증 방법 정책을 설정할 수 있는 권한이 있습니다.

역할 사용자의 인증 방법 관리 사용자별 MFA 관리 MFA 설정 관리 인증 방법 정책 관리 암호 보호 정책 관리
인증 관리자 일부 사용자의 경우 예 (위 참조) 일부 사용자의 경우 예 (위 참조) 아니요 아니요 아니요
권한 있는 인증 관리자 모든 사용자에 대해 예 모든 사용자에 대해 예 아니요 아니요 아니요
인증 정책 관리자 아니요 아니요

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 자격 증명을 변경할 수 있습니다. 사용자의 자격 증명을 변경한다는 것은 사용자의 ID 및 사용 권한을 가정할 수 있음을 의미할 수 있습니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 인증 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 인증 관리자는 응용 프로그램 소유자의 id를 가정 하 고 응용 프로그램에 대 한 자격 증명을 업데이트 하 여 권한 있는 응용 프로그램의 id를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 그룹 멤버 자격을 관리할 수 있는 보안 그룹 및 Microsoft 365 그룹 소유자입니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 보안 및 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부의 다른 서비스에 있는 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.

중요

이 역할은 현재 레거시 MFA 관리 포털에서 사용자 단위 MFA를 관리할 수 없습니다. Set-msoluser 이상 Azure AD Powershell 모듈을 사용 하 여 동일한 기능을 수행할 수 있습니다.

동작 Description
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화 하 여 강제로 로그 아웃
microsoft.directory/users/strongAuthentication/update 사용자에 대 한 강력한 인증 속성 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

인증 정책 관리자

이 역할을 가진 사용자는 인증 방법 정책, 테 넌 트 전체 MFA 설정 및 암호 보호 정책을 구성할 수 있습니다. 이 역할은 암호 보호 설정을 관리할 수 있는 권한을 부여 합니다. 스마트 잠금 구성 및 사용자 지정 금지 된 암호 목록을 업데이트 합니다.

인증 관리자권한 있는 인증 관리자 역할에는 사용자에 대해 등록 된 인증 방법을 관리할 수 있는 권한이 있으며 모든 사용자에 대해 multi-factor authentication을 강제로 다시 등록할 수 있습니다.

역할 사용자의 인증 방법 관리 사용자별 MFA 관리 MFA 설정 관리 인증 방법 정책 관리 암호 보호 정책 관리
인증 관리자 일부 사용자의 경우 예 (위 참조) 일부 사용자의 경우 예 (위 참조) 아니요 아니요 아니요
권한 있는 인증 관리자 모든 사용자에 대해 예 모든 사용자에 대해 예 아니요 아니요 아니요
인증 정책 관리자 아니요 아니요

중요

이 역할은 현재 레거시 MFA 관리 포털에서 MFA 설정을 관리할 수 없습니다.

동작 Description
microsoft. directory/조직/strongAuthentication/업데이트 조직의 강력한 auth 속성 업데이트
microsoft. directory/userCredentialPolicies/만들기 사용자에 대 한 자격 증명 정책 만들기
microsoft. directory/userCredentialPolicies/삭제 사용자에 대 한 자격 증명 정책 삭제
microsoft. directory/userCredentialPolicies/표준/읽기 사용자에 대 한 자격 증명 정책의 표준 속성을 읽습니다.
microsoft. directory/userCredentialPolicies/소유자/읽기 사용자에 대 한 자격 증명 정책의 소유자 읽기
microsoft. directory/userCredentialPolicies/policyAppliedTo/read 정책 읽기. appliesTo 탐색 링크
microsoft. directory/userCredentialPolicies/기본/업데이트 사용자에 대 한 기본 정책 업데이트
microsoft. directory/userCredentialPolicies/소유자/업데이트 사용자에 대 한 자격 증명 정책의 소유자 업데이트
microsoft. directory/userCredentialPolicies/tenantDefault/update IsOrganizationDefault 속성을 업데이트 합니다.

Azure AD 조인 장치 로컬 관리자

이 역할은 디바이스 설정의 추가 로컬 관리자로서 할당을 위해서만 사용할 수 있습니다. 이 역할을 가진 사용자가 Azure Active Directory에 가입된 모든 Windows 10 디바이스에서 로컬 컴퓨터 관리자가 됩니다. Azure Active Directory의 디바이스 개체를 관리하는 기능이 없습니다.

동작 Description
microsoft. directory/groupSettings/standard/read 그룹 설정의 기본 속성 읽기
microsoft. directory/groupSettingTemplates/standard/read 그룹 설정 템플릿에 대 한 기본 속성 읽기

Azure DevOps 관리자

이 역할이 할당된 사용자는 Azure DevOps 정책을 관리하여 새 Azure DevOps 조직 만들기를 구성 가능한 사용자 또는 그룹 세트로 제한할 수 있습니다. 이 역할의 사용자는 회사의 Azure AD 조직에서 지원 되는 모든 Azure DevOps 조직을 통해이 정책을 관리할 수 있습니다. 이 역할은 회사의 Azure AD 조직에 의해 지원 되는 Azure DevOps 조직 내에서 다른 Azure DevOps 관련 사용 권한 (예: Project Collection Administrators)을 부여 하지 않습니다.

모든 엔터프라이즈 Azure DevOps 정책은 이 역할의 사용자가 관리할 수 있습니다.

동작 Description
microsoft.azure.devOps/allEntities/allTasks Azure DevOps 읽기 및 구성

Azure Information Protection 관리자

이 역할을 가진 사용자는 Azure Information Protection 서비스에 대한 모든 사용 권한을 갖습니다. 이 역할은 Azure Information Protection 정책에 대한 레이블을 구성하고, 보호 템플릿을 관리하고, 보호를 활성화하는 권한을 갖습니다. 이 역할은 Id 보호 센터, Privileged Identity Management, 모니터 Microsoft 365 Service Health 또는 Office 365 보안 & 준수 센터에서 사용 권한을 부여 하지 않습니다.

동작 Description
microsoft.azure.informationProtection/allEntities/allTasks Azure Information Protection의 모든 측면 관리
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

B2C IEF 키 세트 관리자

사용자는 토큰 암호화, 토큰 서명 및 클레임 암호화/암호 해독을 위한 정책 키와 비밀을 만들고 관리할 수 있습니다.  기존 키 컨테이너에 새 키를 추가하면 이 제한된 관리자는 기존 애플리케이션에 영향을 주지 않고 필요에 따라 비밀을 롤오버할 수 있습니다.  이 사용자는 이러한 비밀을 만든 후에도 비밀의 전체 콘텐츠와 만료 날짜를 볼 수 있습니다.

중요

이 역할은 중요한 역할입니다.  사전 프로덕션 및 프로덕션 단계에서 키 세트 관리자 역할을 신중하게 감사하고 할당해야 합니다.

동작 Description
microsoft. directory/b2cTrustFrameworkKeySet/allProperties/Allproperties 권한 부여 정책의 모든 속성을 읽고 업데이트 합니다.

B2C IEF 정책 관리자

이 역할의 사용자는 Azure AD B2C에서 모든 사용자 지정 정책을 만들고, 읽고, 업데이트하고, 삭제할 수 있으므로 관련 Azure AD B2C 조직의 ID 환경 프레임워크를 완전히 제어할 수 있습니다. 이 사용자는 정책을 편집하여 외부 ID 공급자와의 직접 페더레이션을 설정하고, 디렉터리 스키마를 변경하고, 모든 사용자 관련 콘텐츠(HTML, CSS, JavaScript)를 변경하고, 인증을 완료하기 위한 요구 사항을 변경하고, 새 사용자를 만들고, 전체 마이그레이션을 포함하여 외부 시스템으로 사용자 데이터를 보내고, 암호 및 전화 번호와 같은 중요한 필드를 비롯한 모든 사용자 정보를 편집할 수 있습니다. 반면 이 역할은 암호화 키를 변경하거나 조직의 페더레이션에 사용되는 비밀을 편집할 수 없습니다.

중요

B2 IEF 정책 관리자는 매우 중요한 역할이므로 프로덕션 환경의 조직에 대해 매우 제한적으로 할당해야 합니다.  이러한 사용자의 활동을 면밀하게 감사해야 하며, 특히 프로덕션 조직이 그렇습니다.

동작 Description
microsoft. directory/b2cTrustFrameworkPolicy/allProperties/Allproperties Azure Active Directory B2C에서 키 집합 읽기 및 구성

대금 청구 관리자

구매, 구독 관리, 지원 티켓 관리 및 서비스 상태 모니터링을 수행할 수 있습니다.

동작 Description
microsoft.directory/organization/basic/update 조직의 기본 속성 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.commerce.billing/allEntities/allTasks Office 365 청구의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

클라우드 애플리케이션 관리자

이 역할의 사용자는 애플리케이션 관리자 역할과 동일한 권한을 가집니다. 다만 애플리케이션 프록시를 관리하는 권한은 없습니다. 이 역할은 엔터프라이즈 애플리케이션 및 애플리케이션 등록의 모든 측면을 만들고 관리하는 기능을 부여합니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.

또한이 역할은 Microsoft Graph 및 Azure AD Graph 모두에 대 한 응용 프로그램 권한을 제외 하 고 위임 된 권한 및 응용 프로그램 권한에 대해 동의 하는 기능을 부여 합니다.

중요

이 예외는 다른 앱 (예: 타사 앱 또는 등록 한 앱)에 대 한 응용 프로그램 사용 권한에 여전히 동의할 수 있음을 의미 합니다. 앱 등록의 일부로 이러한 권한을 계속 요청할 수 있지만 이러한 권한을 부여 (즉, 동의) 하는 것은 전역 관리자와 같은 권한 있는 관리자가 필요 합니다.

이 역할은 애플리케이션 자격 증명을 관리하는 기능을 부여합니다. 이 역할이 할당된 사용자는 애플리케이션에 자격 증명을 추가하고 해당 자격 증명을 사용하여 애플리케이션의 ID를 가장할 수 있습니다. 응용 프로그램의 id에 사용자 또는 다른 개체를 만들거나 업데이트 하는 기능과 같은 리소스에 대 한 액세스 권한이 부여 된 경우이 역할에 할당 된 사용자는 응용 프로그램을 가장 하는 동안 이러한 작업을 수행할 수 있습니다. 응용 프로그램의 id를 가장 하는이 기능은 사용자가 해당 역할 할당을 통해 수행할 수 있는 작업에 대 한 권한 상승 일 수 있습니다. 애플리케이션 관리자 역할에 사용자를 할당하면 애플리케이션의 ID를 가장하는 기능이 해당 사용자에게 부여된다는 점을 이해해야 합니다.

동작 Description
microsoft.directory/applications/create 모든 종류의 응용 프로그램 만들기
microsoft.directory/applications/delete 모든 종류의 응용 프로그램을 삭제 합니다.
microsoft. directory/응용 프로그램/a p i/업데이트 모든 유형의 응용 프로그램에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 응용 프로그램의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 응용 프로그램에 대 한 인증 업데이트
microsoft.directory/applications/basic/update 응용 프로그램의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 응용 프로그램 자격 증명 업데이트
microsoft.directory/applications/owners/update 응용 프로그램의 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 응용 프로그램에 대해 노출 된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 응용 프로그램 정책 업데이트
microsoft. 디렉터리/응용 프로그램/확인/업데이트 Applicationsverification 속성 업데이트
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 응용 프로그램 템플릿에서 갤러리 응용 프로그램 인스턴스화
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/applicationPolicies/create 응용 프로그램 정책 만들기
microsoft.directory/applicationPolicies/delete 응용 프로그램 정책 삭제
microsoft.directory/applicationPolicies/standard/read 응용 프로그램 정책의 표준 속성 읽기
microsoft.directory/applicationPolicies/owners/read 응용 프로그램 정책에서 소유자 읽기
microsoft.directory/applicationPolicies/policyAppliedTo/read 개체 목록에 적용 된 응용 프로그램 정책 읽기
microsoft.directory/applicationPolicies/basic/update 응용 프로그램 정책의 표준 속성 업데이트
microsoft.directory/applicationPolicies/owners/update 응용 프로그램 정책의 owner 속성 업데이트
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 사용자 삭제
microsoft.directory/servicePrincipals/disable 서비스 사용자 사용 안 함
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 서비스 사용자에 대 한 암호 Single Sign-On 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 응용 프로그램 프로 비전 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 응용 프로그램 프로 비전 동기화 작업 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 응용 프로그램 프로 비전 동기화 작업 및 스키마 만들기 및 관리
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 서비스 사용자에 대 한 암호 Single Sign-On 자격 증명 읽기
microsoft. directory/servicePrincipals/managePermissionGrantsForAll. microsoft-application-admin Microsoft Graph 및 Azure AD Graph의 응용 프로그램 권한을 제외한 모든 사용자 또는 모든 사용자를 대신 하 여 응용 프로그램 사용 권한 및 위임 된 권한에 대 한 동의를 부여 합니다.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft.directory/servicePrincipals/audience/update 서비스 사용자의 대상 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 사용자에 대 한 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 사용자의 기본 속성 업데이트
microsoft.directory/servicePrincipals/credentials/update 서비스 사용자의 자격 증명 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 사용자의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 사용자의 사용 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 사용자의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 사용자에 대 한 tag 속성 업데이트
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

클라우드 디바이스 관리자

이 역할의 사용자는 Azure AD에서 디바이스를 사용하고 사용하지 않도록 설정하며, 삭제하고, Azure Portal에서 Windows 10 BitLocker 키(있는 경우)를 읽을 수 있습니다. 역할은 디바이스에서 다른 속성을 관리하는 사용 권한을 부여하지 않습니다.

동작 Description
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft. directory/bitlockerKeys/키/읽기 장치의 bitlocker 메타 데이터 및 키 읽기
microsoft.directory/devices/delete Azure AD에서 장치 삭제
microsoft.directory/devices/disable Azure AD에서 장치 사용 안 함
microsoft.directory/devices/enable Azure AD에서 장치 사용
microsoft. directory/devices/extensionAttributes/update 장치에 대 한 모든 값 업데이트 extensionAttributes 속성
microsoft. directory/deviceManagementPolicies/standard/read 장치 관리 응용 프로그램 정책에서 표준 속성을 읽습니다.
microsoft. directory/deviceManagementPolicies/basic/update 장치 관리 응용 프로그램 정책에 대 한 기본 속성 업데이트
microsoft. directory/deviceRegistrationPolicy/standard/read 장치 등록 정책의 표준 속성 읽기
microsoft. directory/deviceRegistrationPolicy/basic/update 장치 등록 정책에 대 한 기본 속성 업데이트
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성

규정 준수 관리자

이 역할이 있는 사용자에게는 Microsoft 365 규정 준수 센터, Microsoft 365 관리 센터, Azure, Office 365 보안 및 준수 센터에서 규정 준수 관련 기능을 관리할 권한이 있습니다. 담당자는 Exchange 관리 센터와 Teams 및 비즈니스용 Skype 관리 센터 내의 모든 기능을 관리하고 Azure 및 Microsoft 365 관련 지원 티켓을 만들 수도 있습니다. 자세한 내용은 Microsoft 365 관리 역할에 대 한정보를 제공 합니다.

그런 다음 가능한 작업
Microsoft 365 규정 준수 센터 Microsoft 365 서비스 전반에 걸쳐 조직의 데이터 보호 및 관리
규정 준수 경고 관리
준수 관리자 조직의 규정 준수 활동 추적, 할당, 확인
Office 365 보안 및 준수 센터 데이터 거버넌스 관리
법적 조사/데이터 조사 수행
데이터 주체 요청 관리

이 역할은 Office 365 보안 및 준수 센터 역할 기반 액세스 제어의 규정 준수 관리자 RoleGroup과 동일한 권한을 갖습니다.
Intune 모든 Intune 감사 데이터 확인
Cloud App Security 읽기 전용 권한 소유/경고를 관리할 수 있음
파일 정책을 생성/수정하고 파일 거버넌스 작업을 허용할 수 있음
데이터 관리에서 모든 기본 제공 보고서를 확인할 수 있음
동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft. directory/entitlementManagement/allProperties/read Azure AD 자격 관리의 모든 속성 읽기
microsoft.office365.complianceManager/allEntities/allTasks Office 365 준수 관리자의 모든 측면을 관리합니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

규정 준수 데이터 관리자

이 역할이 있는 사용자는 Microsoft 365 규정 준수 센터, Microsoft 365 관리 센터 및 Azure에서 데이터를 추적할 수 있는 권한이 있습니다. 또한 사용자는 Exchange 관리 센터, Compliance Manager, Teams 및 비즈니스용 Skype 관리 센터 내에서 규정 준수 데이터를 추적하고 Azure 및 Microsoft 365의 지원 티켓을 만들 수 있습니다. 이 설명서 에서는 준수 관리자와 규정 준수 데이터 관리자의 차이점에 대해 자세히 설명 합니다.

그런 다음 가능한 작업
Microsoft 365 규정 준수 센터 Microsoft 365 서비스 전반의 규정 준수 관련 정책 모니터링
규정 준수 경고 관리
준수 관리자 조직의 규정 준수 활동 추적, 할당, 확인
Office 365 보안 및 준수 센터 데이터 거버넌스 관리
법적 조사/데이터 조사 수행
데이터 주체 요청 관리

이 역할은 Office 365 보안 및 준수 센터 역할 기반 액세스 제어의 규정 준수 데이터 관리자 RoleGroup과 동일한 권한을 갖습니다.
Intune 모든 Intune 감사 데이터 확인
Cloud App Security 읽기 전용 권한 소유/경고를 관리할 수 있음
파일 정책을 생성/수정하고 파일 거버넌스 작업을 허용할 수 있음
데이터 관리에서 모든 기본 제공 보고서를 확인할 수 있음
동작 Description
microsoft. directory/cloudAppSecurity/allProperties/Allproperties 모든 리소스를 만들고 삭제 하 고, Microsoft Cloud App Security에서 표준 속성을 읽고 업데이트 합니다.
microsoft.azure.informationProtection/allEntities/allTasks Azure Information Protection의 모든 측면 관리
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.complianceManager/allEntities/allTasks Office 365 준수 관리자의 모든 측면을 관리합니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

조건부 액세스 관리자

이 역할을 가진 사용자는 Azure Active Directory 조건부 액세스 설정을 관리할 수 있습니다.

동작 Description
microsoft. directory/conditionalAccessPolicies/create 조건부 액세스 정책 만들기
microsoft. directory/conditionalAccessPolicies/delete 조건부 액세스 정책 삭제
microsoft. directory/conditionalAccessPolicies/standard/read ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/소유자/읽기 ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/policyAppliedTo/read ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/basic/update 조건부 액세스 정책에 대 한 기본 속성 업데이트
microsoft. directory/conditionalAccessPolicies/소유자/업데이트 ConditionalAccess 속성을 업데이트 합니다.
microsoft. directory/conditionalAccessPolicies/tenantDefault/update ConditionalAccess 속성을 업데이트 합니다.
microsoft. directory/crossTenantAccessPolicies/create 테 넌 트 간 액세스 정책 만들기
microsoft. directory/crossTenantAccessPolicies/delete 교차 테 넌 트 액세스 정책 삭제
microsoft. directory/crossTenantAccessPolicies/standard/read 테 넌 트 간 액세스 정책의 기본 속성 읽기
microsoft. directory/crossTenantAccessPolicies/소유자/읽기 교차 테 넌 트 액세스 정책의 소유자 읽기
microsoft. directory/crossTenantAccessPolicies/policyAppliedTo/read 테 넌 트 간 액세스 정책의 policyAppliedTo 속성을 읽습니다.
microsoft. directory/crossTenantAccessPolicies/basic/update 교차 테 넌 트 액세스 정책의 기본 속성 업데이트
microsoft. directory/crossTenantAccessPolicies/소유자/업데이트 교차 테 넌 트 액세스 정책의 소유자 업데이트
microsoft. directory/crossTenantAccessPolicies/tenantDefault/update 테 넌 트 간 액세스 정책에 대 한 기본 테 넌 트 업데이트

고객 LockBox 액세스 승인자

조직에서 고객 Lockbox 요청을 관리합니다. 이러한 고객 Lockbox 요청에 대한 이메일 알림을 수신하고 Microsoft 365 관리 센터에서 요청을 승인 및 거부할 수 있습니다. 고객 Lockbox 기능을 켜거나 끌 수도 있습니다. 전역 관리자만이 역할에 할당 된 사용자의 암호를 다시 설정할 수 있습니다.

동작 Description
microsoft.office365.lockbox/allEntities/allTasks 고객 Lockbox의 모든 측면 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

데스크톱 분석 관리자

이 역할의 사용자는 Desktop Analytics 및 Office Customization 및 Policy 서비스를 관리할 수 있습니다. Desktop Analytics의 경우 여기에는 자산 인벤토리를 확인하고, 배포 계획을 만들고, 배포 및 상태를 볼 수 있는 기능이 포함됩니다. Office Customization & Policy 서비스의 경우 이 역할의 사용자는 Office 정책을 관리할 수 있습니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.desktopAnalytics/allEntities/allTasks 데스크톱 분석의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

디렉터리 읽기 권한자

이 역할의 사용자는 기본 디렉터리 정보를 읽을 수 있습니다. 이 역할은 다음 용도로 사용해야 합니다.

  • 모든 게스트 사용자가 아닌 특정 게스트 사용자에게만 읽기 권한을 부여합니다.
  • "Azure AD 포털에 대한 액세스 권한을 관리자로만 제한"이 "예"로 설정된 경우 관리자가 아닌 특정 사용자에게 Azure Portal에 대한 액세스 권한을 부여합니다.
  • Directory.Read.All을 사용할 수 없는 디렉터리에 대한 액세스 권한을 서비스 주체에게 부여합니다.
동작 Description
microsoft. directory/administrativeUnits/standard/read 관리 단위에 대 한 기본 속성 읽기
microsoft.directory/administrativeUnits/members/read 관리 단위의 구성원 읽기
microsoft. 디렉터리/응용 프로그램/표준/읽기 응용 프로그램의 표준 속성 읽기
microsoft.directory/applications/owners/read 응용 프로그램의 소유자 읽기
microsoft.directory/applications/policies/read 응용 프로그램 정책 읽기
microsoft. directory/연락처/표준/읽기 Azure AD의 연락처에 대 한 기본 속성 읽기
microsoft.directory/contacts/memberOf/read Azure AD의 모든 연락처에 대 한 그룹 멤버 자격 읽기
microsoft. directory/계약/표준/읽기 파트너 계약의 기본 속성 읽기
microsoft. directory/장치/표준/읽기 장치의 기본 속성 읽기
microsoft.directory/devices/memberOf/read 장치 구성원 자격 읽기
microsoft.directory/devices/registeredOwners/read 등록 된 장치의 등록 된 소유자 읽기
microsoft.directory/devices/registeredUsers/read 등록 된 장치의 등록 된 사용자를 읽습니다.
microsoft. directory/directoryRoles/standard/read Azure AD 역할의 기본 속성 업데이트
microsoft.directory/directoryRoles/eligibleMembers/read Azure AD 역할의 적격 구성원 읽기
microsoft.directory/directoryRoles/members/read Azure AD 역할의 모든 구성원 읽기
microsoft. 디렉터리/도메인/표준/읽기 도메인의 기본 속성 읽기
microsoft. directory/groups/standard/read 그룹의 기본 속성 읽기
microsoft.directory/groups/appRoleAssignments/read 그룹의 응용 프로그램 역할 할당 읽기
microsoft.directory/groups/memberOf/read Azure AD에서 그룹이 구성원으로 속해 있는 그룹 읽기
microsoft.directory/groups/members/read 그룹의 구성원 읽기
microsoft.directory/groups/owners/read 그룹 소유자 읽기
microsoft.directory/groups/settings/read 그룹 설정 읽기
microsoft. directory/groupSettings/standard/read 그룹 설정의 기본 속성 읽기
microsoft. directory/groupSettingTemplates/standard/read 그룹 설정 템플릿에 대 한 기본 속성 읽기
microsoft. directory/oAuth2PermissionGrants/standard/read OAuth 2.0 권한 부여의 기본 속성 읽기
microsoft. directory/조직/표준/읽기 조직의 기본 속성 읽기
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read 암호 없는 인증에 대 한 신뢰할 수 있는 인증 기관 읽기
microsoft.directory/applicationPolicies/standard/read 응용 프로그램 정책의 표준 속성 읽기
microsoft. directory/roleAssignments/standard/read 역할 할당에 대 한 기본 속성 읽기
microsoft. directory/roleDefinitions/표준/읽기 역할 정의에 대 한 기본 속성 읽기
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 서비스 사용자 역할 할당 읽기
microsoft.directory/servicePrincipals/appRoleAssignments/read 서비스 사용자에 게 할당 된 역할 할당 읽기
microsoft.directory/servicePrincipals/standard/read 서비스 사용자의 기본 속성 읽기
microsoft.directory/servicePrincipals/memberOf/read 서비스 사용자의 그룹 멤버 자격 읽기
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 서비스 사용자에 대 한 위임 된 권한 부여 읽기
microsoft.directory/servicePrincipals/owners/read 서비스 사용자의 소유자 읽기
microsoft.directory/servicePrincipals/ownedObjects/read 서비스 사용자의 소유 개체 읽기
microsoft.directory/servicePrincipals/policies/read 서비스 사용자의 정책 읽기
microsoft. directory/subscribedSkus/standard/read 구독에 대 한 기본 속성 읽기
microsoft. directory/users/standard/read 사용자의 기본 속성 읽기
microsoft.directory/users/appRoleAssignments/read 사용자의 응용 프로그램 역할 할당 읽기
microsoft.directory/users/directReports/read 사용자에 대 한 직접 보고서 읽기
microsoft.directory/users/manager/read 사용자 관리자 읽기
microsoft.directory/users/memberOf/read 사용자의 그룹 멤버 자격 읽기
microsoft. directory/users/oAuth2PermissionGrants/read 사용자에 게 위임 된 권한 부여 읽기
microsoft.directory/users/ownedDevices/read 소유 된 사용자 장치 읽기
microsoft.directory/users/ownedObjects/read 소유 된 사용자 개체 읽기
microsoft.directory/users/registeredDevices/read 등록 된 사용자 장치를 읽습니다.

디렉터리 동기화 계정

사용하지 마십시오. 이 역할은 Azure AD Connect 서비스에 자동으로 할당되고 다른 사용에 적합하거나 지원되지 않습니다.

동작 Description
microsoft.directory/applications/create 모든 종류의 응용 프로그램 만들기
microsoft.directory/applications/delete 모든 종류의 응용 프로그램을 삭제 합니다.
microsoft. directory/응용 프로그램/a p i/업데이트 모든 유형의 응용 프로그램에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 응용 프로그램의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 응용 프로그램에 대 한 인증 업데이트
microsoft.directory/applications/basic/update 응용 프로그램의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 응용 프로그램 자격 증명 업데이트
microsoft.directory/applications/owners/update 응용 프로그램의 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 응용 프로그램에 대해 노출 된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 응용 프로그램 정책 업데이트
microsoft.directory/organization/dirSync/update 조직 디렉터리 동기화 속성 업데이트
microsoft.directory/policies/create Azure AD에서 정책 만들기
microsoft.directory/policies/delete Azure AD에서 정책 삭제
microsoft.directory/policies/standard/read 정책의 기본 속성 읽기
microsoft.directory/policies/owners/read 정책의 소유자 읽기
microsoft. directory/정책/policyAppliedTo/읽기 PolicyAppliedTo 속성을 읽습니다.
microsoft.directory/policies/basic/update 정책에 대 한 기본 속성 업데이트
microsoft.directory/policies/owners/update 정책의 소유자 업데이트
microsoft.directory/policies/tenantDefault/update 기본 조직 정책 업데이트
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 사용자 삭제
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/disable 서비스 사용자 사용 안 함
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 서비스 사용자에 대 한 암호 Single Sign-On 자격 증명 관리
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 서비스 사용자에 대 한 암호 Single Sign-On 자격 증명 읽기
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 서비스 사용자 역할 할당 읽기
microsoft.directory/servicePrincipals/appRoleAssignments/read 서비스 사용자에 게 할당 된 역할 할당 읽기
microsoft.directory/servicePrincipals/standard/read 서비스 사용자의 기본 속성 읽기
microsoft.directory/servicePrincipals/memberOf/read 서비스 사용자의 그룹 멤버 자격 읽기
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 서비스 사용자에 대 한 위임 된 권한 부여 읽기
microsoft.directory/servicePrincipals/owners/read 서비스 사용자의 소유자 읽기
microsoft.directory/servicePrincipals/ownedObjects/read 서비스 사용자의 소유 개체 읽기
microsoft.directory/servicePrincipals/policies/read 서비스 사용자의 정책 읽기
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft.directory/servicePrincipals/audience/update 서비스 사용자의 대상 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 사용자에 대 한 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 사용자의 기본 속성 업데이트
microsoft.directory/servicePrincipals/credentials/update 서비스 사용자의 자격 증명 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 사용자의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 사용자의 사용 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 사용자의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 사용자에 대 한 tag 속성 업데이트

디렉터리 작성자

이 역할의 사용자는 사용자, 그룹 및 서비스 사용자의 기본 정보를 읽고 업데이트할 수 있습니다. 승인 프레임 워크를 지원 하지 않는 응용 프로그램에만이 역할을 할당 합니다. 이 역할은 어느 사용자에게나 할당되면 안 됩니다.

동작 Description
microsoft. 디렉터리/그룹/할당 라이선스 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 그룹 만들기
microsoft. directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스에 대 한 라이선스 할당 다시 처리
microsoft.directory/groups/basic/update 역할 할당 가능 그룹을 제외 하 고 그룹의 기본 속성 업데이트
microsoft. 디렉터리/그룹/분류/업데이트 역할 할당 가능 그룹을 제외 하 고 그룹의 분류 속성 업데이트
microsoft. directory/groups/dynamicMembershipRule/update 역할 할당 가능 그룹을 제외 하 고 그룹의 동적 멤버 자격 규칙 업데이트
microsoft. directory/groups/groupType/update 그룹에 대 한 groupType 속성 업데이트
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외 하 고 그룹의 구성원 업데이트
microsoft. directory/groups/onPremWriteBack/update 온-프레미스에 다시 쓸 수 있도록 Azure AD 그룹 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 그룹의 소유자 업데이트
microsoft.directory/groups/settings/update 그룹의 설정 업데이트
microsoft. 디렉터리/그룹/표시/업데이트 그룹의 표시 유형 속성 업데이트
microsoft.directory/groupSettings/create 그룹 설정 만들기
microsoft.directory/groupSettings/delete 그룹 설정 삭제
microsoft.directory/groupSettings/basic/update 그룹 설정의 기본 속성 업데이트
microsoft. directory/oAuth2PermissionGrants/create OAuth 2.0 권한 부여 만들기
microsoft. directory/oAuth2PermissionGrants/basic/update OAuth 2.0 권한 부여 업데이트
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 응용 프로그램 프로 비전 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 응용 프로그램 프로 비전 동기화 작업 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 응용 프로그램 프로 비전 동기화 작업 및 스키마 만들기 및 관리
microsoft. directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 그룹 데이터에 대 한 직접 액세스를 서비스 대 한 주체의에 부여
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft. 디렉터리/사용자/사용 안 함 사용자 사용 안 함
microsoft. 디렉터리/사용자/사용 사용자 사용
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화 하 여 강제로 로그 아웃
microsoft. directory/users/reprocessLicenseAssignment 사용자에 대 한 라이선스 할당 다시 처리
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자 용 업데이트 관리자
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트

도메인 이름 관리자

이 역할을 가진 사용자는 도메인 이름을 관리 (읽기, 추가, 확인, 업데이트 및 삭제) 할 수 있습니다. 사용자, 그룹 및 응용 프로그램에 대 한 디렉터리 정보를 읽을 수도 있습니다. 이러한 개체는 도메인 종속성을 소유 합니다. 온-프레미스 환경의 경우이 역할을 가진 사용자는 연결 된 사용자가 항상 온-프레미스로 인증 되도록 페더레이션에 대 한 도메인 이름을 구성할 수 있습니다. 이러한 사용자는 Single Sign-On를 통해 온-프레미스 암호를 사용 하 여 Azure AD 기반 서비스에 로그인 할 수 있습니다. 페더레이션 설정은 Azure AD Connect를 통해 동기화 해야 하므로 사용자에 게 Azure AD Connect를 관리할 수 있는 권한도 있습니다.

동작 Description
microsoft.directory/domains/allProperties/allTasks 도메인을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리

Dynamics 365 Administrator

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Dynamics 365 Online 내에서 글로벌 사용 권한을 가질 뿐만 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 서비스 관리자 역할을 사용하여 Azure AD 조직 관리를 참조하세요.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Dynamics 365 서비스 관리자"로 식별됩니다. Azure Portal에서 이 역할은 "Dynamics 365 관리자"입니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.dynamics365/allEntities/allTasks Dynamics 365의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Exchange 관리자

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Exchange Online 내에서 글로벌 사용 권한을 갖습니다. 또한에는 모든 Microsoft 365 그룹을 생성 및 관리 하 고, 지원 티켓을 관리 하 고, 서비스 상태를 모니터링할 수 있는 기능이 있습니다. Microsoft 365 관리 역할에 대 한자세한 정보.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Exchange 서비스 관리자"로 식별됩니다. Azure Portal에서 이 역할은 "Exchange 관리자"입니다. Exchange 관리 센터의 "Exchange Online 관리자"입니다.

동작 Description
microsoft.directory/groups/hiddenMembers/read 그룹의 숨겨진 구성원 읽기
microsoft. directory/groups. 통합/만들기 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹 만들기
microsoft. directory/groups. 통합/삭제 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹을 삭제 합니다.
microsoft. directory/groups. 통합/복원 Microsoft 365 그룹 복원
microsoft. directory/groups. 통합/기본/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 기본 속성 업데이트
microsoft. directory/groups. 통합/멤버/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 구성원 업데이트
microsoft. directory/groups. 통합/소유자/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 소유자를 업데이트 합니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
office365/allEntities/기본/Allentities Exchange Online의 모든 측면 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

외부 ID 사용자 흐름 관리자

이 역할을 가진 사용자는 Azure Portal에서 사용자 흐름을 만들고 관리할 수 있습니다 ("기본 제공" 정책이 라고도 함). 이러한 사용자는 HTML/CSS/JavaScript 콘텐츠를 사용자 지정 하 고, MFA 요구 사항을 변경 하 고, 토큰에서 클레임을 선택 하 고, API 커넥터를 관리 하 고, Azure AD 조직의 모든 사용자 흐름에 대해 세션 설정을 구성할 수 있습니다. 반면에이 역할에는 사용자 데이터를 검토 하거나 조직 스키마에 포함 된 특성을 변경할 수 있는 기능이 포함 되지 않습니다. Id 경험 프레임 워크 정책 (사용자 지정 정책이 라고도 함)에 대 한 변경 내용은이 역할의 범위 밖에 있습니다.

동작 Description
microsoft. directory/b2cUserFlow/allProperties/Allproperties Azure Active Directory B2C에서 사용자 특성을 읽고 구성 합니다.

외부 ID 사용자 흐름 특성 관리자

이 역할의 사용자는 Azure AD 조직의 모든 사용자 흐름에서 사용할 수 있는 사용자 지정 특성을 추가 또는 삭제할 수 있습니다.  따라서 이 역할의 사용자는 새 요소를 변경하거나 최종 사용자 스키마에 추가하고 모든 사용자 흐름의 동작에 영향을 줄 수 있으며, 이로 인해 최종 사용자에게 요청하여 결국 애플리케이션에 대한 클레임으로 전송되는 데이터를 간접적으로 변경할 수 있습니다.  이 역할은 사용자 흐름을 편집할 수 없습니다.

동작 Description
microsoft. directory/b2cUserAttribute/allProperties/Allproperties Azure Active Directory B2C에서 사용자 지정 정책 읽기 및 구성

외부 ID 공급자 관리자

이 관리자는 Azure AD 조직과 외부 ID 공급자 간의 페더레이션을 관리합니다.  이 역할의 사용자는 새 ID 공급자를 추가하고 사용 가능한 모든 설정(예: 인증 경로, 서비스 ID, 할당된 키 컨테이너)을 구성할 수 있습니다.  이 사용자는 Azure AD 조직이 외부 ID 공급자의 인증을 신뢰할 수 있게 해줍니다.  최종 사용자 환경에 미치는 영향은 조직의 유형에 따라 달라집니다.

  • 직원 및 파트너를 위한 Azure AD 조직: 페더레이션의 추가 (예: Gmail)는 아직 회수 되지 않은 모든 게스트 초대에 즉시 영향을 줍니다. Google을 B2B 게스트 사용자에 대한 ID 공급자로 추가를 참조하세요.
  • Azure Active Directory B2C 조직: 페더레이션을 추가해도(예: Facebook 또는 다른 Azure AD 조직을 사용하여) 사용자 흐름(기본 제공 정책이라고도 함)에서 ID 공급자를 옵션으로 추가하기 전에는 최종 사용자 흐름에 즉시 영향을 주지 않습니다. 관련 예제는 Microsoft 계정을 ID 공급자로 구성을 참조하세요.  사용자 흐름을 변경하려면 "B2C 사용자 흐름 관리자"의 제한된 역할이 필요합니다.
동작 Description
microsoft. directory/identityProviders/allProperties/Allproperties Azure Active Directory B2C에서 id 공급자를 읽고 구성 합니다.

전역 관리자

이 역할의 사용자는 Azure Active Directory의 모든 관리 기능뿐 아니라 Microsoft 365 보안 센터, Microsoft 365 규정 준수 센터, Exchange Online, SharePoint Online 및 비즈니스용 Skype Online과 같이 Azure Active Directory ID를 사용하는 서비스에도 액세스할 수 있습니다. 또한 전역 관리자는 모든 Azure 구독 및 관리 그룹을 관리 하기 위해 액세스 권한을 상승 시킬 수 있습니다. 이렇게 하면 전역 관리자가 각 Azure AD 테 넌 트를 사용 하 여 모든 Azure 리소스에 대 한 전체 액세스 권한을 얻을 수 있습니다. Azure AD 조직에 등록 하는 사람은 전역 관리자가 됩니다. 회사에 전역 관리자가 두 명 이상 있을 수 있습니다. 전역 관리자는 모든 사용자 및 다른 모든 관리자에 대 한 암호를 다시 설정할 수 있습니다.

동작 Description
microsoft. directory/accessReviews/allProperties/Allproperties Azure AD에서 액세스 검토를 만들고 삭제 하 고 액세스 검토의 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/administrativeUnits/allProperties/allTasks 관리 단위(구성원 포함)를 만들고 관리합니다.
microsoft.directory/applications/allProperties/allTasks 응용 프로그램을 만들고 삭제 하며, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 응용 프로그램 템플릿에서 갤러리 응용 프로그램 인스턴스화
microsoft.directory/appRoleAssignments/allProperties/allTasks AppRoleAssignments를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft. directory/authorizationPolicy/allProperties/Allproperties 권한 부여 정책의 모든 측면 관리
microsoft. directory/bitlockerKeys/키/읽기 장치의 bitlocker 메타 데이터 및 키 읽기
microsoft. directory/cloudAppSecurity/allProperties/Allproperties 모든 리소스를 만들고 삭제 하 고, Microsoft Cloud App Security에서 표준 속성을 읽고 업데이트 합니다.
microsoft.directory/connectors/create 응용 프로그램 프록시 커넥터 만들기
microsoft. directory/커넥터/allProperties/read 응용 프로그램 프록시 커넥터의 모든 속성 읽기
microsoft.directory/connectorGroups/create 응용 프로그램 프록시 커넥터 그룹 만들기
microsoft.directory/connectorGroups/delete 응용 프로그램 프록시 커넥터 그룹 삭제
microsoft. directory/Congroups/allProperties/read 응용 프로그램 프록시 커넥터 그룹의 모든 속성 읽기
microsoft. directory/Congroups/allProperties/update 응용 프로그램 프록시 커넥터 그룹의 모든 속성 업데이트
microsoft.directory/contacts/allProperties/allTasks 연락처를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/contracts/allProperties/allTasks 파트너 계약을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/devices/allProperties/allTasks 장치를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft. directory/deviceManagementPolicies/standard/read 장치 관리 응용 프로그램 정책에서 표준 속성을 읽습니다.
microsoft. directory/deviceManagementPolicies/basic/update 장치 관리 응용 프로그램 정책에 대 한 기본 속성 업데이트
microsoft. directory/deviceRegistrationPolicy/standard/read 장치 등록 정책의 표준 속성 읽기
microsoft. directory/deviceRegistrationPolicy/basic/update 장치 등록 정책에 대 한 기본 속성 업데이트
microsoft.directory/directoryRoles/allProperties/allTasks 디렉터리 역할을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Azure AD 역할 템플릿을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/domains/allProperties/allTasks 도메인을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft. directory/entitlementManagement/allProperties/Allproperties Azure AD 자격 관리에서 리소스를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/groups/allProperties/allTasks 그룹 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft. directory/groupsAssignableToRoles/create 역할 할당 가능 그룹 만들기
microsoft. directory/groupsAssignableToRoles/delete 역할 할당 가능 그룹 삭제
microsoft. directory/groupsAssignableToRoles/restore 역할 할당 가능 그룹 복원
microsoft. directory/groupsAssignableToRoles/allProperties/update 역할 할당 가능 그룹 업데이트
microsoft.directory/groupSettings/allProperties/allTasks 그룹 설정을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/groupSettingTemplates/allProperties/allTasks 그룹 설정 템플릿을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft. directory/identityProtection/allProperties/Allproperties 모든 리소스를 만들고 삭제 하 고, Azure AD ID 보호에서 표준 속성을 읽고 업데이트 합니다.
microsoft. directory/loginOrganizationBranding/allProperties/Allproperties LoginTenantBranding 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/organization/allProperties/allTasks 조직을 만들고 삭제 하며, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/policies/allProperties/allTasks 정책을 만들고 삭제 하며, 모든 속성을 읽고 업데이트 합니다.
microsoft. directory/conditionalAccessPolicies/allProperties/Allproperties 조건부 액세스 정책의 모든 속성 관리
microsoft. directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management의 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/roleAssignments/allProperties/allTasks 역할 할당을 만들고 삭제 하며 모든 역할 할당 속성을 읽고 업데이트 합니다.
microsoft.directory/roleDefinitions/allProperties/allTasks 역할 정의를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/serviceAction/activateService 서비스에 대해 "서비스 활성화" 작업을 수행할 수 있습니다.
microsoft.directory/serviceAction/disableDirectoryFeature "디렉터리 기능 사용 안 함" 서비스 작업을 수행할 수 있습니다.
microsoft.directory/serviceAction/enableDirectoryFeature "디렉터리 기능 사용" 서비스 작업을 수행할 수 있습니다.
microsoft.directory/serviceAction/getAvailableExtentionProperties Get사용할 수 있는 Extneonproperties 서비스 작업을 수행할 수 있습니다.
microsoft.directory/servicePrincipals/allProperties/allTasks 서비스 사용자 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft. directory/servicePrincipals/managePermissionGrantsForAll. microsoft-company-admin 모든 응용 프로그램에 대 한 모든 사용 권한 부여
microsoft. directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 그룹 데이터에 대 한 직접 액세스를 서비스 대 한 주체의에 부여
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.directory/subscribedSkus/allProperties/allTasks 구독 구입 및 관리 및 구독 삭제
microsoft.directory/users/allProperties/allTasks 사용자 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/permissionGrantPolicies/create 권한 부여 정책 만들기
microsoft.directory/permissionGrantPolicies/delete 권한 부여 정책 삭제
microsoft.directory/permissionGrantPolicies/standard/read 권한 부여 정책의 표준 속성 읽기
microsoft.directory/permissionGrantPolicies/basic/update 권한 부여 정책의 기본 속성 업데이트
microsoft. directory/servicePrincipalCreationPolicies/create 서비스 주체 만들기 정책 만들기
microsoft. directory/servicePrincipalCreationPolicies/delete 서비스 사용자 만들기 정책 삭제
microsoft. directory/servicePrincipalCreationPolicies/standard/read 서비스 사용자 만들기 정책의 표준 속성 읽기
microsoft. directory/servicePrincipalCreationPolicies/basic/update 서비스 사용자 만들기 정책의 기본 속성 업데이트
advancedThreatProtection/allEntities/Allentities Azure Advanced Threat Protection의 모든 측면 관리
microsoft.azure.informationProtection/allEntities/allTasks Azure Information Protection의 모든 측면 관리
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.commerce.billing/allEntities/allTasks Office 365 청구의 모든 측면 관리
microsoft.dynamics365/allEntities/allTasks Dynamics 365의 모든 측면 관리
microsoft.flow/allEntities/allTasks Microsoft Power 자동화의 모든 측면 관리
microsoft.intune/allEntities/allTasks Microsoft Intune의 모든 측면 관리
microsoft.office365.complianceManager/allEntities/allTasks Office 365 준수 관리자의 모든 측면을 관리합니다.
microsoft.office365.desktopAnalytics/allEntities/allTasks 데스크톱 분석의 모든 측면 관리
office365/allEntities/기본/Allentities Exchange Online의 모든 측면 관리
microsoft.office365.lockbox/allEntities/allTasks 고객 Lockbox의 모든 측면 관리
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
microsoft.office365.messageCenter/securityMessages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 읽습니다.
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
office365. protectionCenter/allEntities/Allentities/Allentities 보안 및 규정 준수 센터의 모든 측면 관리
office365/내용/관리 Microsoft Search에서 콘텐츠를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.office365.securityComplianceCenter/allEntities/allTasks 모든 리소스를 만들고 삭제 하며 Microsoft 365 보안 및 규정 준수 센터에서 표준 속성을 읽고 업데이트 합니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
office365/allEntities/Allentities SharePoint에서 모든 리소스를 만들고 삭제 하 고 표준 속성을 읽고 업데이트 합니다.
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면을 관리 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.userCommunication/allEntities/allTasks 새 메시지 표시 유형을 읽고 업데이트 합니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft.powerApps/allEntities/allTasks Power Apps의 모든 측면 관리
microsoft.powerApps.powerBI/allEntities/allTasks Power BI의 모든 측면 관리
defenderAdvancedThreatProtection/allEntities/Allentities Microsoft Defender for Endpoint의 모든 측면 관리

전역 Reader

이 역할의 사용자는 모든 Microsoft 365 서비스의 설정 및 관리 정보를 읽을 수 있지만 관리 작업을 수행할 수는 없습니다. 전역 판독기는 전역 관리자에 해당 하는 읽기 전용입니다. 계획, 감사 또는 조사를 위해 전역 관리자 대신 전역 판독기를 할당 합니다. 전역 관리자 역할을 할당하지 말고 Exchange 관리자처럼 제한된 다른 관리자 역할과 함께 글로벌 읽기 권한자를 사용하면 작업을 쉽게 수행할 수 있습니다. 글로벌 읽기 권한자는 Microsoft 365 관리 센터, Exchange 관리 센터, SharePoint 관리 센터, Teams 관리 센터, 보안 센터, 규정 준수 센터, Azure AD 관리 센터 및 디바이스 관리 센터에서 작동합니다.

참고

글로벌 읽기 권한자 역할에는 현재 다음과 같은 제한이 있습니다.

  • Onedrive 관리 센터 -onedrive 관리 센터는 전역 읽기 권한자 역할을 지원 하지 않습니다.
  • M365 관리 센터 - 글로벌 읽기 권한자는 고객 lockbox 요청을 읽을 수 없습니다. M365 관리 센터의 왼쪽 창에 있는 지원 에서 고객 lockbox 요청 탭을 찾을 수 없습니다.
  • Office 보안 및 준수 센터 - 글로벌 읽기 권한자는 SCC 감사 로그를 읽거나, 콘텐츠를 검색하거나, 보안 점수를 볼 수 없습니다.
  • Teams 관리 센터 - 글로벌 읽기 권한자는 Teams 수명 주기, 분석 및 보고서, IP 전화 디바이스 관리앱 카탈로그 를 읽을 수 없습니다.
  • PAM(Privileged Access Management)은 글로벌 읽기 권한자 역할을 지원하지 않습니다.
  • Azure Information Protection - 글로벌 읽기 권한자는 중앙 보고에만 지원되고, Azure AD 조직이 통합 레이블 플랫폼에 있지 않은 경우에만 지원됩니다.

이러한 기능은 현재 개발 중입니다.

동작 Description
microsoft.directory/applications/applicationProxy/read 모든 응용 프로그램 프록시 속성 읽기
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft. directory/bitlockerKeys/키/읽기 장치의 bitlocker 메타 데이터 및 키 읽기
microsoft. directory/커넥터/allProperties/read 응용 프로그램 프록시 커넥터의 모든 속성 읽기
microsoft. directory/Congroups/allProperties/read 응용 프로그램 프록시 커넥터 그룹의 모든 속성 읽기
microsoft. directory/entitlementManagement/allProperties/read Azure AD 자격 관리의 모든 속성 읽기
microsoft. directory/deviceManagementPolicies/standard/read 장치 관리 응용 프로그램 정책에서 표준 속성을 읽습니다.
microsoft. directory/deviceRegistrationPolicy/standard/read 장치 등록 정책의 표준 속성 읽기
microsoft.directory/groups/hiddenMembers/read 그룹의 숨겨진 구성원 읽기
microsoft.directory/policies/standard/read 정책의 기본 속성 읽기
microsoft.directory/policies/owners/read 정책의 소유자 읽기
microsoft. directory/정책/policyAppliedTo/읽기 PolicyAppliedTo 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/standard/read ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/소유자/읽기 ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/policyAppliedTo/read ConditionalAccess 속성을 읽습니다.
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/authentication/read 서비스 사용자에 대 한 인증 속성 읽기
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.directory/users/strongAuthentication/read 사용자에 대 한 강력한 인증 속성 읽기
microsoft.commerce.billing/allEntities/read Office 365 청구의 모든 리소스 읽기
office365/allEntities/표준/읽기 Exchange Online의 모든 리소스 읽기
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
microsoft.office365.messageCenter/securityMessages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 읽습니다.
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
office365. protectionCenter/allEntities/Allentities/read 보안 및 규정 준수 센터의 모든 속성 읽기
microsoft.office365.securityComplianceCenter/allEntities/read Microsoft 365 보안 및 규정 준수 센터에서 표준 속성 읽기
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

그룹 관리자

이 역할의 사용자는 그룹과 해당 설정(이름, 만료 정책 등)을 만들고 관리할 수 있습니다. 사용자를 이 역할에 할당하면 Outlook뿐 아니라 Teams, SharePoint, Yammer 등의 다양한 워크로드에서 조직의 모든 그룹을 관리하는 기능이 부여됩니다. 또한 사용자는 Microsoft 관리 센터, Azure Portal 등의 다양한 관리 포털에서 다양한 그룹 설정을 관리할 수 있을 뿐 아니라 Teams 및 SharePoint 관리 센터와 같은 워크로드 관련 그룹 설정을 관리할 수 있습니다.

동작 Description
microsoft. 디렉터리/그룹/할당 라이선스 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 그룹 삭제
microsoft.directory/groups/hiddenMembers/read 그룹의 숨겨진 구성원 읽기
microsoft. directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스에 대 한 라이선스 할당 다시 처리
microsoft.directory/groups/restore 삭제된 그룹 복원
microsoft.directory/groups/basic/update 역할 할당 가능 그룹을 제외 하 고 그룹의 기본 속성 업데이트
microsoft. 디렉터리/그룹/분류/업데이트 역할 할당 가능 그룹을 제외 하 고 그룹의 분류 속성 업데이트
microsoft. directory/groups/dynamicMembershipRule/update 역할 할당 가능 그룹을 제외 하 고 그룹의 동적 멤버 자격 규칙 업데이트
microsoft. directory/groups/groupType/update 그룹에 대 한 groupType 속성 업데이트
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외 하 고 그룹의 구성원 업데이트
microsoft. directory/groups/onPremWriteBack/update 온-프레미스에 다시 쓸 수 있도록 Azure AD 그룹 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 그룹의 소유자 업데이트
microsoft.directory/groups/settings/update 그룹의 설정 업데이트
microsoft. 디렉터리/그룹/표시/업데이트 그룹의 표시 유형 속성 업데이트
microsoft. directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 그룹 데이터에 대 한 직접 액세스를 서비스 대 한 주체의에 부여
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

게스트 초대자

이 역할의 사용자는 멤버가 초대할 수 있음 사용자 설정을 아니요로 설정하는 경우 Azure Active Directory B2B 게스트 사용자 초대를 관리할 수 있습니다. B2B 협업에 대한 자세한 내용은 Azure AD B2B 협업 정보를 참조하세요. 다른 권한은 포함되지 않습니다.

동작 Description
microsoft.directory/users/inviteGuest 게스트 사용자 초대
microsoft. directory/users/standard/read 사용자의 기본 속성 읽기
microsoft.directory/users/appRoleAssignments/read 사용자의 응용 프로그램 역할 할당 읽기
microsoft.directory/users/directReports/read 사용자에 대 한 직접 보고서 읽기
microsoft.directory/users/manager/read 사용자 관리자 읽기
microsoft.directory/users/memberOf/read 사용자의 그룹 멤버 자격 읽기
microsoft. directory/users/oAuth2PermissionGrants/read 사용자에 게 위임 된 권한 부여 읽기
microsoft.directory/users/ownedDevices/read 소유 된 사용자 장치 읽기
microsoft.directory/users/ownedObjects/read 소유 된 사용자 개체 읽기
microsoft.directory/users/registeredDevices/read 등록 된 사용자 장치를 읽습니다.

기술 지원팀 관리자

이 역할을 가진 사용자는 암호를 변경하고, 새로 고침 토큰을 무효화하고, 서비스 요청을 관리하며, 서비스 상태를 모니터링할 수 있습니다. 새로 고침 토큰을 무효화하면 사용자가 다시 로그인해야 합니다. 기술 지원팀 관리자가 사용자의 암호를 재설정 하 고 새로 고침 토큰이 무효화 될 수 있는지 여부는 사용자에 게 할당 된 역할에 따라 달라 집니다. 기술 지원팀 관리자가 암호를 다시 설정 하 고 새로 고침 토큰을 무효화할 수 있는 역할 목록은 암호 재설정 권한을 참조 하세요.

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 암호를 변경할 수 있습니다. 사용자의 암호를 변경한다는 것은 사용자의 ID 및 권한을 가정할 수 있다는 것을 의미합니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 권한이 부여되었을 수 있으며, 다른 위치에서는 기술 지원 팀 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 기술 지원 팀 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure의 중요한 정보나 개인 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 그룹 멤버 자격을 관리할 수 있는 보안 그룹 및 Microsoft 365 그룹 소유자입니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 보안 및 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부의 다른 서비스에 있는 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.

사용자의 하위 집합에 대해 관리 권한을 위임 하 고 일부 사용자에 게 정책을 적용 하는 것은 관리 단위에서 가능 합니다.

이 역할을 이전에는 Azure Portal에서 "암호 관리자"라고 했습니다. Azure AD의 "기술 지원팀 관리자" 이름이 이제는 Azure AD PowerShell 및 Microsoft Graph API의 이름과 일치합니다.

동작 Description
microsoft. directory/bitlockerKeys/키/읽기 장치의 bitlocker 메타 데이터 및 키 읽기
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화 하 여 강제로 로그 아웃
microsoft.directory/users/password/update 모든 사용자에 대 한 암호 다시 설정
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

하이브리드 ID 관리자

이 역할의 사용자는 클라우드 프로 비전을 사용 하 고 Azure AD Connect 및 페더레이션 설정을 관리 하 여 AD에서 Azure AD로의 프로 비전 구성 설정을 만들고 관리 하 고 배포할 수 있습니다. 또한 사용자는이 역할을 사용 하 여 로그 문제를 해결 하 고 모니터링할 수 있습니다.

동작 Description
microsoft.directory/applications/create 모든 종류의 응용 프로그램 만들기
microsoft.directory/applications/delete 모든 종류의 응용 프로그램을 삭제 합니다.
microsoft. directory/응용 프로그램/a p i/업데이트 모든 유형의 응용 프로그램에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 응용 프로그램의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 응용 프로그램에 대 한 인증 업데이트
microsoft.directory/applications/basic/update 응용 프로그램의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 응용 프로그램 자격 증명 업데이트
microsoft.directory/applications/owners/update 응용 프로그램의 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 응용 프로그램에 대해 노출 된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 응용 프로그램 정책 업데이트
microsoft.directory/applications/synchronization/standard/read 애플리케이션 개체와 연결된 프로비저닝 설정 읽기
microsoft.directory/applicationTemplates/instantiate 응용 프로그램 템플릿에서 갤러리 응용 프로그램 인스턴스화
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft.directory/cloudProvisioning/allProperties/allTasks Azure AD 클라우드 프로비저닝 서비스의 모든 속성을 읽고 구성합니다.
microsoft. directory/domains/allProperties/read 도메인의 모든 속성 읽기
microsoft. 디렉터리/도메인/페더레이션/업데이트 도메인의 페더레이션 속성 업데이트
microsoft.directory/organization/dirSync/update 조직 디렉터리 동기화 속성 업데이트
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/create 서비스 주체 만들기
microsoft.directory/servicePrincipals/delete 서비스 사용자 삭제
microsoft.directory/servicePrincipals/disable 서비스 사용자 사용 안 함
microsoft.directory/servicePrincipals/enable 서비스 주체를 사용하도록 설정
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 응용 프로그램 프로 비전 비밀 및 자격 증명 관리
microsoft.directory/servicePrincipals/synchronizationJobs/manage 응용 프로그램 프로 비전 동기화 작업 시작, 다시 시작 및 일시 중지
microsoft.directory/servicePrincipals/synchronizationSchema/manage 응용 프로그램 프로 비전 동기화 작업 및 스키마 만들기 및 관리
microsoft.directory/servicePrincipals/audience/update 서비스 사용자의 대상 속성 업데이트
microsoft.directory/servicePrincipals/authentication/update 서비스 사용자에 대 한 인증 속성 업데이트
microsoft.directory/servicePrincipals/basic/update 서비스 사용자의 기본 속성 업데이트
microsoft.directory/servicePrincipals/credentials/update 서비스 사용자의 자격 증명 업데이트
microsoft.directory/servicePrincipals/owners/update 서비스 사용자의 소유자 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 사용자의 사용 권한 업데이트
microsoft.directory/servicePrincipals/policies/update 서비스 사용자의 정책 업데이트
microsoft.directory/servicePrincipals/tag/update 서비스 사용자에 대 한 tag 속성 업데이트
microsoft.directory/servicePrincipals/synchronization/standard/read 서비스 주체와 연결된 프로비저닝 설정 읽기
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Insights 관리자

이 역할의 사용자는 M365 Insights 응용 프로그램의 전체 관리 기능 집합에 액세스할 수 있습니다. 이 역할에는 디렉터리 정보를 읽고, 서비스 상태를 모니터링 하 고, 파일 지원 티켓을 확인 하 고, Insights 관리 설정 측면에 액세스할 수 있는 기능이 있습니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft insights/allEntities/Allentities Insights 앱의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Insights 비즈니스 리더

이 역할의 사용자는 M365 insights 응용 프로그램을 통해 대시보드와 정보 집합에 액세스할 수 있습니다. 여기에는 모든 대시보드에 대 한 모든 액세스 권한 및 제공 되는 정보 및 데이터 탐색 기능이 포함 됩니다. 이 역할의 사용자는 정보 관리자 역할의 책임이 있는 제품 구성 설정에 액세스할 수 없습니다.

동작 Description
microsoft의 통찰력/보고서/읽기 Insights 앱에서 보고서 및 대시보드 보기
microsoft insights/프로그램/업데이트 Insights 앱에서 프로그램 배포 및 관리

Intune 관리자

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Intune Online 내에서 글로벌 사용 권한을 갖습니다. 또한 이 역할은 정책을 연결하고 그룹을 만들고 관리하기 위해 사용자와 디바이스를 관리하는 기능을 포함합니다. 자세한 내용은 Microsoft Intune에서 RBAC(역할 기반 관리 제어)를 참조하세요

이 역할은 모든 보안 그룹을 만들고 관리할 수 있습니다. 그러나 Intune 관리자는 Office 그룹에 대한 관리자 권한이 없습니다. 즉, 관리자는 조직 내 모든 Office 그룹의 소유자 또는 멤버를 업데이트할 수 없습니다. 그러나 관리자는 자신이 만드는 Office 그룹을 관리할 수 있으며, 이 권한은 최종 사용자 권한의 일부로 제공됩니다. 따라서 관리자가 만드는 모든 Office 그룹(보안 그룹 아님)은 관리자의 250 할당량을 기준으로 계산되어야 합니다.

참고

Microsoft Graph API 및 Azure AD PowerShell에서이 역할은 "Intune 서비스 관리자"로 식별 됩니다. Azure Portal에서 이 역할은 "Intune 관리자"입니다.

동작 Description
microsoft. directory/bitlockerKeys/키/읽기 장치의 bitlocker 메타 데이터 및 키 읽기
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처에 대 한 기본 속성 업데이트
microsoft.directory/devices/create 장치 만들기 (Azure AD에 등록)
microsoft.directory/devices/delete Azure AD에서 장치 삭제
microsoft.directory/devices/disable Azure AD에서 장치 사용 안 함
microsoft.directory/devices/enable Azure AD에서 장치 사용
microsoft.directory/devices/basic/update 장치에서 기본 속성 업데이트
microsoft. directory/devices/extensionAttributes/update 장치에 대 한 모든 값 업데이트 extensionAttributes 속성
microsoft.directory/devices/registeredOwners/update 등록 된 장치의 등록 된 소유자 업데이트
microsoft.directory/devices/registeredUsers/update 등록 된 장치의 등록 된 사용자 업데이트
microsoft. directory/deviceManagementPolicies/standard/read 장치 관리 응용 프로그램 정책에서 표준 속성을 읽습니다.
microsoft. directory/deviceRegistrationPolicy/standard/read 장치 등록 정책의 표준 속성 읽기
microsoft.directory/groups/hiddenMembers/read 그룹의 숨겨진 구성원 읽기
microsoft. directory/groups. 보안/만들기 역할 할당 가능 그룹을 제외 하 고 보안 그룹 만들기
microsoft. directory/groups. 보안/삭제 역할 할당 가능 그룹을 제외 하 고 보안 그룹 삭제
microsoft. directory/groups. security/basic/update 역할 할당 가능 그룹을 제외 하 고 보안 그룹의 기본 속성을 업데이트 합니다.
microsoft. directory/groups. 보안/분류/업데이트 역할 할당 가능 그룹을 제외 하 고 보안 그룹의 분류 속성을 업데이트 합니다.
microsoft. directory/groups. security/dynamicMembershipRule/update 역할 할당 가능 그룹을 제외 하 고 보안 그룹의 dynamicMembershipRule 속성을 업데이트 합니다.
microsoft. directory/groups. 보안/멤버/업데이트 역할 할당 가능 그룹 제외를 사용 하 여 보안 그룹의 구성원 업데이트
microsoft. directory/groups. 보안/소유자/업데이트 역할 할당 가능 그룹을 제외 하 고 보안 그룹의 소유자를 업데이트 합니다.
microsoft. directory/groups. 보안/표시/업데이트 역할 할당 가능 그룹을 제외 하 고 보안 그룹의 표시 유형 속성을 업데이트 합니다.
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자 용 업데이트 관리자
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.intune/allEntities/allTasks Microsoft Intune의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Kaizala 관리자

Microsoft Kaizala 서비스가 있는 경우 이 역할의 사용자에게는 서비스 내에서 설정을 관리할 수 있을 뿐 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있는 글로벌 권한이 부여됩니다. 또한 사용자는 조직 구성원의 Kaizala 도입 및 사용과 관련된 정보, 그리고 Kaizala 작업을 사용하여 생성된 비즈니스 보고서에 액세스할 수 있습니다.

동작 Description
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

기술 관리자

이 역할의 사용자는 Microsoft 365 관리 센터의 모든 기술 자료, 학습 및 인텔리전트 기능 설정에 대 한 모든 권한을 갖습니다. 제품 모음에 대 한 일반적인 이해를 담당 하며, 라이선스 정보를 통해 액세스를 제어 해야 합니다. 기술 관리자는 토픽, 머리글자어 및 학습 리소스와 같은 콘텐츠를 만들고 관리할 수 있습니다. 또한 이러한 사용자는 콘텐츠 센터를 만들고, 서비스 상태를 모니터링 하 고, 서비스 요청을 만들 수 있습니다.

동작 Description
microsoft. directory/groups. 보안/만들기 역할 할당 가능 그룹을 제외 하 고 보안 그룹 만들기
microsoft. directory/groups. security/createAsOwner 역할 할당 가능 그룹 및 작성자를 제외 하 고 보안 그룹 만들기가 첫 번째 소유자로 추가 됩니다.
microsoft. directory/groups. 보안/삭제 역할 할당 가능 그룹을 제외 하 고 보안 그룹 삭제
microsoft. directory/groups. security/basic/update 역할 할당 가능 그룹을 제외 하 고 보안 그룹의 기본 속성을 업데이트 합니다.
microsoft. directory/groups. 보안/멤버/업데이트 역할 할당 가능 그룹 제외를 사용 하 여 보안 그룹의 구성원 업데이트
microsoft. directory/groups. 보안/소유자/업데이트 역할 할당 가능 그룹을 제외 하 고 보안 그룹의 소유자를 업데이트 합니다.
office365/contentUnderstanding/allProperties/Allproperties Microsoft 365 관리 센터에서 콘텐츠 이해의 모든 속성을 읽고 업데이트 합니다.
office365/knowledgeNetwork/allProperties/Allproperties Microsoft 365 관리 센터에서 기술 네트워크의 모든 속성을 읽고 업데이트 합니다.
office365 protectionCenter/sensitivityLabels/allProperties/read 보안 및 규정 준수 센터의 민감도 레이블 읽기
office365/allEntities/Allentities SharePoint에서 모든 리소스를 만들고 삭제 하 고 표준 속성을 읽고 업데이트 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

라이선스 관리자

이 역할의 사용자는 사용자 및 그룹의(그룹 기반 라이선스 사용) 라이선스 할당을 추가, 제거 및 업데이트하고, 사용자의 사용 위치를 관리합니다. 이 역할은 사용 위치를 벗어나서 구독을 구매 또는 관리하고, 그룹을 만들거나 관리하고, 사용자를 만들거나 관리하는 기능을 부여하지 않습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 Description
microsoft. 디렉터리/그룹/할당 라이선스 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft. directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스에 대 한 라이선스 할당 다시 처리
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft. directory/users/reprocessLicenseAssignment 사용자에 대 한 라이선스 할당 다시 처리
microsoft.directory/users/usageLocation/update 사용자의 사용 위치 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

메시지 센터 개인 정보 읽기 권한자

이 역할의 사용자는 데이터 개인 정보 메시지를 포함하여 메시지 센터의 모든 알림을 모니터링할 수 있습니다. 메시지 센터 개인 정보 읽기 권한자는 데이터 개인 정보와 관련된 알림을 비롯한 이메일 알림을 수신하며, 메시지 센터 기본 설정을 사용하여 구독을 취소할 수 있습니다. 전역 관리자와 메시지 센터 개인 정보 읽기 권한자만 데이터 개인 정보 메시지를 읽을 수 있습니다. 또한 이 역할은 그룹, 도메인 및 구독을 볼 수 있습니다. 이 역할에는 서비스 요청을 보고, 만들고, 관리할 수 있는 권한이 없습니다.

동작 Description
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
microsoft.office365.messageCenter/securityMessages/read Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 읽습니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

메시지 센터 읽기 권한자

이 역할의 사용자는 Exchange, Intune 및 Microsoft 팀과 같은 구성 된 서비스에서 조직의 메시지 센터 에서 알림 및 자문 상태 업데이트를 모니터링할 수 있습니다. 메시지 센터 독자는 게시, 업데이트 및 Microsoft 365의 메시지 센터 게시물을 공유할 수 있는 주간 전자 메일 다이제스트를 수신 합니다. Azure AD에서 이 역할에 할당된 사용자는 Azure AD 서비스에서 사용자 및 그룹처럼 읽기 전용 권한만 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 Description
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

최신 Commerce 사용자

사용하지 마십시오. 이 역할은 상거래에서 자동으로 할당되며 다른 용도로 사용하기에 적합하거나 지원되지 않습니다. 아래에서 자세한 내용을 참조하세요.

최신 상거래 사용자 역할은 Microsoft 365 관리 센터에 액세스할 수 있는 권한을 특정 사용자에 게 제공 하 고 , 대금 청구지원 에 대 한 왼쪽 탐색 항목을 표시 합니다. 이러한 영역에 제공되는 콘텐츠는 사용자가 직접 구매했거나 조직을 대신해서 구매한 제품을 관리하기 위해 사용자에게 할당하는 상거래 관련 역할을 통해 제어됩니다. 여기에는 요금 결제 또는 청구 계정 및 청구 프로필 액세스와 같은 작업이 포함될 수 있습니다.

최신 상거래 사용자 역할의 사용자에 게는 일반적으로 다른 Microsoft 구매 시스템에서 관리 권한이 있지만 관리 센터에 액세스 하는 데 사용 되는 전역 관리자 또는 청구 관리자 역할은 없습니다.

최신 상거래 사용자 역할은 언제 할당 되나요?

  • Microsoft 365 관리 센터에서 셀프 서비스 구매 – 사용자는 셀프 서비스 구매를 통해 제품을 직접 구매하거나 가입하여 신제품을 사용해 볼 수 있습니다. 이러한 제품은 관리 센터에서 관리됩니다. 셀프 서비스 구매를 수행 하는 사용자에 게는 상거래 시스템의 역할과 최신 상거래 사용자 역할이 할당 되므로 관리 센터에서 해당 구매를 관리할 수 있습니다. 관리자는 PowerShell을 통해(Power BI, Power Apps 및 Power Automate에 대한) 셀프 서비스 구매를 차단할 수 있습니다. 자세한 내용은 셀프 서비스 구매 질문과 대답을 참조하세요.
  • Microsoft 상업적 marketplace에서 구매 – 사용자가 Microsoft AppSource 또는 Azure Marketplace에서 제품이 나 서비스를 구입 하는 경우에는 전역 관리자 또는 청구 관리자 역할이 없는 경우 최신 상거래 사용자 역할이 할당 됩니다. 경우에 따라 사용자가 제품을 구매하지 못하게 차단될 수도 있습니다. 자세한 내용은 Microsoft 상업용 마켓플레이스를 참조하세요.
  • Microsoft의 제안 – 제안은 microsoft 제품 및 서비스를 구매할 수 있는 microsoft의 공식 제품입니다. 제안을 수락 하는 사용자에 게 Azure AD의 전역 관리자 또는 청구 관리자 역할이 없는 경우, 해당 제안서를 완료 하 고 최신 상거래 사용자 역할을 할당 하 여 관리 센터에 액세스 하기 위한 상거래 역할을 모두 할당 받습니다. 이 사람은 관리 센터에 액세스할 때 자신의 상거래 관련 역할에 의해 권한이 부여된 기능만 사용할 수 있습니다.
  • 상거래 관련 역할 - 일부 사용자에게 상거래 관련 역할이 할당됩니다. 사용자가 전역 또는 대금 청구 관리자가 아니면 관리 센터에 액세스할 수 있도록 최신 상거래 사용자 역할을 받게 됩니다.

최신 상거래 사용자 역할이 사용자에 게 할당 되지 않은 경우에는 Microsoft 365 관리 센터에 액세스할 수 없게 됩니다. 직접 또는 조직을 대신해서 제품을 관리하는 사용자는 제품을 관리할 수 없게 됩니다. 여기에는 라이선스 할당, 결제 방법 변경, 청구서 결제 또는 구독 관리에 대한 기타 작업이 포함될 수 있습니다.

동작 Description
microsoft.commerce.billing/partners/read Microsoft 365 청구의 파트너 속성 읽기
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks 볼륨 라이선스 서비스 센터의 모든 측면 관리
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/basic/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

네트워크 관리자

이 역할의 사용자는 사용자 위치의 네트워크 원격 분석 데이터를 기반으로 작성되는 Microsoft의 네트워크 경계 아키텍처 권장 사항을 검토할 수 있습니다. Microsoft 365의 네트워크 성능은 일반적으로 사용자 위치와 관련 된 신중한 엔터프라이즈 고객 네트워크 경계 아키텍처를 사용 합니다. 이 역할을 통해 검색 된 사용자 위치를 편집 하 고 해당 위치에 대 한 네트워크 매개 변수를 구성 하 여 원격 분석 측정 및 디자인 권장 사항을 향상할 수 있습니다.

동작 Description
microsoft.office365.network/locations/allProperties/allTasks 네트워크 위치의 모든 측면 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Office 앱 관리자

이 역할의 사용자는 Microsoft 365 앱의 클라우드 설정을 관리할 수 있습니다. 여기에는 클라우드 정책 관리, 셀프 서비스 다운로드 관리, Office 앱 관련 보고서를 살펴보는 기능이 포함됩니다. 이 역할은 주 관리 센터 내에서 지원 티켓을 관리하고 서비스 상태를 모니터링하는 기능도 부여합니다. 이 역할이 할당된 사용자는 Office 앱 최신 기능의 통신도 관리할 수도 있습니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.userCommunication/allEntities/allTasks 새 메시지 표시 유형을 읽고 업데이트 합니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

파트너 계층1 지원

사용하지 마십시오. 이 역할은 사용되지 않으며 향후 Azure AD에서 제거됩니다. 이 역할은 적은 수의 Microsoft 전매 파트너에서 사용하기 위한 것으로 일반적인 용도로는 적합하지 않습니다.

중요

이 역할은 관리자가 아닌 경우에만 암호를 다시 설정 하 고 새로 고침 토큰을 무효화할 수 있습니다. 이 역할은 사용 되지 않으므로 API에서 더 이상 반환 되지 않으므로 사용 하면 안 됩니다.

동작 Description
microsoft. directory/응용 프로그램/a p i/업데이트 모든 유형의 응용 프로그램에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 응용 프로그램의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 응용 프로그램에 대 한 인증 업데이트
microsoft.directory/applications/basic/update 응용 프로그램의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 응용 프로그램 자격 증명 업데이트
microsoft.directory/applications/owners/update 응용 프로그램의 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 응용 프로그램에 대해 노출 된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 응용 프로그램 정책 업데이트
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처에 대 한 기본 속성 업데이트
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 그룹 삭제
microsoft.directory/groups/restore 삭제된 그룹 복원
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외 하 고 그룹의 구성원 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 그룹의 소유자 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft.directory/users/delete 사용자 삭제
microsoft. 디렉터리/사용자/사용 안 함 사용자 사용 안 함
microsoft. 디렉터리/사용자/사용 사용자 사용
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화 하 여 강제로 로그 아웃
microsoft.directory/users/restore 삭제 된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자 용 업데이트 관리자
microsoft.directory/users/password/update 모든 사용자에 대 한 암호 다시 설정
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

파트너 계층2 지원

사용하지 마십시오. 이 역할은 사용되지 않으며 향후 Azure AD에서 제거됩니다. 이 역할은 적은 수의 Microsoft 전매 파트너에서 사용하기 위한 것으로 일반적인 용도로는 적합하지 않습니다.

중요

이 역할은 암호를 다시 설정할 수 있으며 전역 관리자를 포함 하 여 관리자가 아닌 모든 관리자에 대 한 새로 고침 토큰을 무효화 합니다. 이 역할은 사용 되지 않으므로 API에서 더 이상 반환 되지 않으므로 사용 하면 안 됩니다.

동작 Description
microsoft. directory/응용 프로그램/a p i/업데이트 모든 유형의 응용 프로그램에서 appRoles 속성 업데이트
microsoft.directory/applications/audience/update 응용 프로그램의 대상 그룹 속성 업데이트
microsoft.directory/applications/authentication/update 모든 유형의 응용 프로그램에 대 한 인증 업데이트
microsoft.directory/applications/basic/update 응용 프로그램의 기본 속성 업데이트
microsoft.directory/applications/credentials/update 응용 프로그램 자격 증명 업데이트
microsoft.directory/applications/owners/update 응용 프로그램의 소유자 업데이트
microsoft.directory/applications/permissions/update 모든 유형의 응용 프로그램에 대해 노출 된 권한 및 필요한 권한 업데이트
microsoft.directory/applications/policies/update 응용 프로그램 정책 업데이트
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처에 대 한 기본 속성 업데이트
microsoft. directory/도메인/기본/allTasks 도메인을 만들고 삭제 하며 표준 속성을 읽고 업데이트 합니다.
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 그룹 삭제
microsoft.directory/groups/restore 삭제된 그룹 복원
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외 하 고 그룹의 구성원 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 그룹의 소유자 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/organization/basic/update 조직의 기본 속성 업데이트
microsoft.directory/roleAssignments/allProperties/allTasks 역할 할당을 만들고 삭제 하며 모든 역할 할당 속성을 읽고 업데이트 합니다.
microsoft.directory/roleDefinitions/allProperties/allTasks 역할 정의를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft. directory/subscribedSkus/standard/read 구독에 대 한 기본 속성 읽기
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft.directory/users/delete 사용자 삭제
microsoft. 디렉터리/사용자/사용 안 함 사용자 사용 안 함
microsoft. 디렉터리/사용자/사용 사용자 사용
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화 하 여 강제로 로그 아웃
microsoft.directory/users/restore 삭제 된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자 용 업데이트 관리자
microsoft.directory/users/password/update 모든 사용자에 대 한 암호 다시 설정
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

암호 관리자

이 역할의 사용자는 제한적으로 암호를 관리할 수 있습니다. 이 역할은 서비스 요청을 관리하거나 서비스 상태를 모니터링하는 기능을 부여하지 않습니다. 암호 관리자가 사용자의 암호를 다시 설정할 수 있는지 여부는 사용자에 게 할당 된 역할에 따라 달라 집니다. 암호 관리자가 암호를 재설정할 수 있는 역할 목록은 암호 재설정 권한을 참조 하세요.

동작 Description
microsoft.directory/users/password/update 모든 사용자에 대 한 암호 다시 설정
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Power BI 관리자

이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Power BI 내에서 글로벌 사용 권한을 가질 뿐만 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 Power BI 관리자 역할 이해를 참조하세요.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Power BI 서비스 관리자"로 식별됩니다. Azure Portal에서 이 역할은 "Power BI 관리자"입니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft.powerApps.powerBI/allEntities/allTasks Power BI의 모든 측면 관리

Power Platform 관리자

이 역할의 사용자는 환경, PowerApps, 흐름, 데이터 손실 방지 정책의 모든 것을 만들고 관리할 수 있습니다. 또한 이 역할이 할당된 사용자는 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.dynamics365/allEntities/allTasks Dynamics 365의 모든 측면 관리
microsoft.flow/allEntities/allTasks Microsoft Power 자동화의 모든 측면 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft.powerApps/allEntities/allTasks Power Apps의 모든 측면 관리

프린터 관리자

이 역할의 사용자는 Microsoft 유니버설 인쇄 솔루션에서 프린터를 등록하고 유니버설 인쇄 커넥터 설정을 비롯한 모든 프린터 구성을 관리할 수 있습니다. 모든 위임된 인쇄 권한 요청에 동의할 수 있습니다. 또한 프린터 관리자는 보고서를 인쇄할 수 있습니다.

동작 Description
microsoft.azure.print/allEntities/allProperties/allTasks Microsoft 인쇄에서 프린터 및 커넥터를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.

프린터 기술자

이 역할의 사용자는 Microsoft 유니버설 인쇄 솔루션에서 프린터를 등록하고 프린터 상태를 관리할 수 있습니다. 또한 모든 커넥터 정보를 읽을 수 있습니다. 프린터 기술자가 할 수 없는 주요 작업은 프린터 및 공유 프린터에 대한 사용자 권한을 설정하는 것입니다.

동작 Description
microsoft.azure.print/connectors/allProperties/read Microsoft 인쇄에서 커넥터의 모든 속성 읽기
microsoft.azure.print/printers/allProperties/read Microsoft 인쇄에서 프린터의 모든 속성 읽기
microsoft.azure.print/printers/register Microsoft 인쇄에 프린터 등록
microsoft.azure.print/printers/unregister Microsoft 인쇄에서 프린터 등록 취소
microsoft.azure.print/printers/basic/update Microsoft 인쇄에서 프린터의 기본 속성 업데이트

권한 있는 인증 관리자

이 역할을 가진 사용자는 전역 관리자를 포함 하 여 모든 사용자에 대 한 인증 방법 (암호 포함)을 설정 하거나 다시 설정할 수 있습니다. 권한 있는 인증 관리자는 사용자가 기존의 비암호 자격 증명(예: MFA 또는 FIDO)을 다시 등록하고 ‘디바이스에 MFA 저장’을 철회하도록 강제 적용한 다음, 모든 사용자가 다음에 로그인할 때 MFA를 요청할 수 있습니다.

인증 관리자 역할에는 일부 관리자 역할의 표준 사용자 및 사용자에 대해 다시 등록 및 multi-factor Authentication을 적용할 수 있는 권한이 있습니다.

인증 정책 관리자 역할에는 각 사용자가 등록 하 고 사용할 수 있는 메서드를 결정 하는 테 넌 트의 인증 방법 정책을 설정할 수 있는 권한이 있습니다.

역할 사용자의 인증 방법 관리 사용자별 MFA 관리 MFA 설정 관리 인증 방법 정책 관리 암호 보호 정책 관리
인증 관리자 일부 사용자의 경우 예 (위 참조) 일부 사용자의 경우 예 (위 참조) 아니요 아니요 아니요
권한 있는 인증 관리자 모든 사용자에 대해 예 모든 사용자에 대해 예 아니요 아니요 아니요
인증 정책 관리자 아니요 아니요

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 자격 증명을 변경할 수 있습니다. 사용자의 자격 증명을 변경한다는 것은 사용자의 ID 및 사용 권한을 가정할 수 있음을 의미할 수 있습니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 인증 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 인증 관리자는 응용 프로그램 소유자의 id를 가정 하 고 응용 프로그램에 대 한 자격 증명을 업데이트 하 여 권한 있는 응용 프로그램의 id를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 그룹 멤버 자격을 관리할 수 있는 보안 그룹 및 Microsoft 365 그룹 소유자입니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 보안 및 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부의 다른 서비스에 있는 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.

중요

이 역할은 현재 레거시 MFA 관리 포털에서 사용자 단위 MFA를 관리할 수 없습니다. Set-msoluser 이상 Azure AD Powershell 모듈을 사용 하 여 동일한 기능을 수행할 수 있습니다.

동작 Description
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화 하 여 강제로 로그 아웃
microsoft.directory/users/strongAuthentication/update 사용자에 대 한 강력한 인증 속성 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

권한 있는 역할 관리자

이 역할을 가진 사용자는 Azure Active Directory 및 Azure AD Privileged Identity Management에서 역할 할당을 관리할 수 있습니다. Azure AD 역할에 할당 될 수 있는 그룹을 만들고 관리할 수 있습니다. 또한 이 역할을 통해 Privileged Identity Management 및 관리 단위의 모든 것을 관리할 수 있습니다.

중요

이 역할은 전역 관리자 역할을 포함하여 모든 Azure AD 역할의 할당을 관리할 수 있습니다. 이 역할은 사용자 생성 또는 업데이트와 같은 Azure AD의 다른 모든 권한 있는 기능을 포함하지는 않습니다. 그러나 이 역할에 할당된 사용자는 추가 역할을 할당하여 본인 또는 다른 사용자에게 추가 권한을 부여할 수 있습니다.

동작 Description
microsoft.directory/administrativeUnits/allProperties/allTasks 관리 단위(구성원 포함)를 만들고 관리합니다.
microsoft.directory/appRoleAssignments/allProperties/allTasks AppRoleAssignments를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft. directory/authorizationPolicy/allProperties/Allproperties 권한 부여 정책의 모든 측면 관리
microsoft.directory/directoryRoles/allProperties/allTasks 디렉터리 역할을 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft. directory/groupsAssignableToRoles/create 역할 할당 가능 그룹 만들기
microsoft. directory/groupsAssignableToRoles/delete 역할 할당 가능 그룹 삭제
microsoft. directory/groupsAssignableToRoles/restore 역할 할당 가능 그룹 복원
microsoft. directory/groupsAssignableToRoles/allProperties/update 역할 할당 가능 그룹 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft. directory/privilegedIdentityManagement/allProperties/Allproperties 모든 리소스를 만들고 삭제 하 고, Privileged Identity Management에서 표준 속성을 읽고 업데이트 합니다.
microsoft.directory/roleAssignments/allProperties/allTasks 역할 할당을 만들고 삭제 하며 모든 역할 할당 속성을 읽고 업데이트 합니다.
microsoft.directory/roleDefinitions/allProperties/allTasks 역할 정의를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/scopedRoleMemberships/allProperties/allTasks ScopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft.directory/servicePrincipals/permissions/update 서비스 사용자의 사용 권한 업데이트
microsoft. directory/servicePrincipals/managePermissionGrantsForAll. microsoft-company-admin 모든 응용 프로그램에 대 한 모든 사용 권한 부여
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

보고서 구독자

이 역할의 사용자는 Microsoft 365 관리 센터의 사용 현황 보고 데이터 및 보고서 대시보드와 Power BI의 채택 컨텍스트 팩을 볼 수 있습니다. 또한 역할은 Azure AD의 로그온 보고서 및 활동과 함께 Microsoft Graph Reporting API에서 반환되는 데이터에 대한 액세스를 제공합니다. 보고서 구독자 역할에 할당된 사용자는 관련된 사용량 및 채택 메트릭에만 액세스할 수 있습니다. 설정을 구성하거나 Exchange와 같은 제품 특정 관리 센터에 액세스할 수 있는 관리자 권한은 없습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 Description
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Search 관리자

이 역할의 사용자는 Microsoft 365 관리 센터의 모든 Microsoft Search 관리 기능에 액세스할 수 있습니다. 또한 이 역할의 사용자는 메시지 센터를 살펴보고, 서비스 상태를 모니터링하고, 서비스 요청을 만들 수 있습니다.

동작 Description
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
office365/내용/관리 Microsoft Search에서 콘텐츠를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Search 편집자

이 역할의 사용자는 Microsoft 365 관리 센터에서 책갈피, 질문과 대답, 위치 등 Microsoft Search에 대한 콘텐츠를 만들고, 관리하고, 삭제할 수 있습니다.

동작 Description
microsoft.office365.messageCenter/messages/read 보안 메시지를 제외 하 고 Microsoft 365 관리 센터의 메시지 센터에서 메시지를 읽습니다.
office365/내용/관리 Microsoft Search에서 콘텐츠를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

보안 관리자

이 역할의 사용자에게는 Microsoft 365 보안 센터, Azure Active Directory Identity Protection, Azure Active Directory Authentication, Azure Information Protection, Office 365 보안 및 준수 센터의 보안 관련 기능을 관리할 권한이 있습니다. Office 365 권한에 대 한 자세한 내용은 보안 & 준수 센터의 사용 권한에있습니다.

그런 다음 가능한 작업
Microsoft 365 보안 센터 Microsoft 365 서비스 전반의 보안 관련 정책 모니터링
보안 위협과 경고 관리
보고서 보기
ID 보호 센터 보안 읽기 권한자 역할의 모든 권한
암호 재설정을 제외한 모든 ID 보호 센터 작업을 수행하는 기능도 있음
Privileged Identity Management 보안 읽기 권한자 역할의 모든 권한
Azure AD 역할 할당 또는 설정을 관리할 수 없음
Office 365 보안 및 준수 센터 보안 정책 관리
보안 위협 확인/조사/대응
보고서 보기
Azure Advanced Threat Protection 의심스러운 보안 활동 모니터링/대응
Windows Defender ATP 및 EDR 역할 할당
머신 그룹 관리
엔드포인트 위협 검색 및 자동 수정 구성
경고 확인/조사/대응
Intune 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보 확인
Intune을 변경할 수는 없음
Cloud App Security 관리자/정책/설정 추가, 로그 업로드, 거버넌스 작업 수행
Azure Security Center 보안 정책 보기, 보안 상태 보기, 보안 정책 편집, 경고 및 권장 사항 보기, 경고 및 권장 사항 해제를 수행합니다.
Microsoft 365 서비스 상태 Microsoft 365 서비스의 상태 보기
스마트 잠금 실패한 로그인 이벤트가 발생할 때 잠금의 임계값 및 기간을 정의합니다.
암호 보호 사용자 지정 금지 암호 목록 또는 온-프레미스 암호 보호를 구성합니다.
동작 Description
microsoft.directory/applications/policies/update 응용 프로그램 정책 업데이트
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft. directory/bitlockerKeys/키/읽기 장치의 bitlocker 메타 데이터 및 키 읽기
microsoft. directory/entitlementManagement/allProperties/read Azure AD 자격 관리의 모든 속성 읽기
microsoft. directory/identityProtection/allProperties/read Azure AD ID 보호의 모든 리소스 읽기
microsoft. directory/identityProtection/allProperties/update Azure AD ID 보호의 모든 리소스 업데이트
microsoft.directory/policies/create Azure AD에서 정책 만들기
microsoft.directory/policies/delete Azure AD에서 정책 삭제
microsoft.directory/policies/basic/update 정책에 대 한 기본 속성 업데이트
microsoft.directory/policies/owners/update 정책의 소유자 업데이트
microsoft.directory/policies/tenantDefault/update 기본 조직 정책 업데이트
microsoft. directory/conditionalAccessPolicies/create 조건부 액세스 정책 만들기
microsoft. directory/conditionalAccessPolicies/delete 조건부 액세스 정책 삭제
microsoft. directory/conditionalAccessPolicies/standard/read ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/소유자/읽기 ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/policyAppliedTo/read ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/basic/update 조건부 액세스 정책에 대 한 기본 속성 업데이트
microsoft. directory/conditionalAccessPolicies/소유자/업데이트 ConditionalAccess 속성을 업데이트 합니다.
microsoft. directory/conditionalAccessPolicies/tenantDefault/update ConditionalAccess 속성을 업데이트 합니다.
microsoft. directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management의 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/servicePrincipals/policies/update 서비스 사용자의 정책 업데이트
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
office365. protectionCenter/allEntities/standard/read 보안 및 규정 준수 센터에서 모든 리소스의 표준 속성을 읽습니다.
office365. protectionCenter/allEntities/기본/업데이트 보안 및 규정 준수 센터에서 모든 리소스의 기본 속성 업데이트
protectionCenter/attackSimulator/office365/allProperties/Allproperties 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리
protectionCenter/attackSimulator/office365/allProperties/read 공격 시뮬레이션, 응답 및 관련 교육에 대 한 보고서 읽기
office365. protectionCenter/attackSimulator/시뮬레이션/allProperties/Allproperties 공격 시뮬레이터에서 공격 시뮬레이션 템플릿 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

보안 운영자

이 역할의 사용자는 경고를 관리할 수 있으며 Microsoft 365 보안 센터, Azure Active Directory, Identity Protection, Privileged Identity Management, Office 365 보안 및 준수 센터의 모든 정보를 포함하여 보안 관련 기능에 대한 글로벌 읽기 전용 액세스 권한이 있습니다. Office 365 권한에 대 한 자세한 내용은 보안 & 준수 센터의 사용 권한에있습니다.

그런 다음 가능한 작업
Microsoft 365 보안 센터 보안 읽기 권한자 역할의 모든 권한
보안 위협 경고 확인/조사/대응
Azure AD ID 보호 보안 읽기 권한자 역할의 모든 권한
또한 암호를 재설정 하 고 경고 전자 메일을 구성 하는 경우를 제외 하 고 모든 Id 보호 센터 작업을 수행할 수 있습니다.
Privileged Identity Management 보안 읽기 권한자 역할의 모든 권한
Office 365 보안 및 준수 센터 보안 읽기 권한자 역할의 모든 권한
보안 경고 확인/조사/대응
Windows Defender ATP 및 EDR 보안 읽기 권한자 역할의 모든 권한
보안 경고 확인/조사/대응
Intune 보안 읽기 권한자 역할의 모든 권한
Cloud App Security 보안 읽기 권한자 역할의 모든 권한
Microsoft 365 서비스 상태 Microsoft 365 서비스의 상태 보기
동작 Description
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft. directory/cloudAppSecurity/allProperties/Allproperties 모든 리소스를 만들고 삭제 하 고, Microsoft Cloud App Security에서 표준 속성을 읽고 업데이트 합니다.
microsoft. directory/identityProtection/allProperties/Allproperties 모든 리소스를 만들고 삭제 하 고, Azure AD ID 보호에서 표준 속성을 읽고 업데이트 합니다.
microsoft. directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management의 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
advancedThreatProtection/allEntities/Allentities Azure Advanced Threat Protection의 모든 측면 관리
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft intune/allEntities/읽기 Microsoft Intune의 모든 리소스 읽기
microsoft.office365.securityComplianceCenter/allEntities/allTasks 모든 리소스를 만들고 삭제 하며 Microsoft 365 보안 및 규정 준수 센터에서 표준 속성을 읽고 업데이트 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
defenderAdvancedThreatProtection/allEntities/Allentities Microsoft Defender for Endpoint의 모든 측면 관리

보안 Reader

이 역할의 사용자에게는 Microsoft 365 보안 센터, Azure Active Directory, ID 보호, Privileged Identity Management의 모든 정보를 비롯한 보안 관련 기능에 대한 전역 읽기 전용 액세스 권한이 있습니다. 또한 Azure Active Directory 로그인 보고서와 감사 로그 읽기 권한 및 Office 365 보안 및 준수 센터의 읽기 권한도 있습니다. Office 365 권한에 대 한 자세한 내용은 보안 & 준수 센터의 사용 권한에있습니다.

그런 다음 가능한 작업
Microsoft 365 보안 센터 Microsoft 365 서비스 전반에서 보안 관련 정책 확인
보안 위협 및 경고 확인
보고서 보기
ID 보호 센터 모든 보안 보고서 및 보안 기능에 대한 설정 정보를 읽습니다.
  • 스팸 방지
  • 암호화
  • 데이터 손실 방지
  • 맬웨어 방지
  • Advanced Threat Protection
  • 피싱 방지
  • 메일 흐름 규칙
Privileged Identity Management Azure AD Privileged Identity Management에 표시되는 다음과 같은 모든 정보에 대한 읽기 전용 액세스 권한이 있습니다. Azure AD 역할 할당 및 보안 검토에 대한 정책 및 보고서.
Azure AD Privileged Identity Management에 가입하거나 변경할 수 없습니다. Privileged Identity Management 포털 또는 PowerShell을 통해이 역할의 누군가가 사용자에 게 적합 한 경우 추가 역할 (예: 전역 관리자 또는 권한 있는 역할 관리자)을 활성화할 수 있습니다.
Office 365 보안 및 준수 센터 보안 정책 보기
보안 위협 확인/조사
보고서 보기
Windows Defender ATP 및 EDR 경고 확인/조사 Windows Defender ATP에서 역할 기반 액세스 제어를 켜면 Azure AD 보안 읽기 권한자 역할처럼 읽기 전용 권한이 있는 사용자는 Windows Defender ATP 역할에 할당될 때까지 액세스 권한을 잃게 됩니다.
Intune 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보 확인. Intune을 변경할 수는 없음
Cloud App Security 읽기 전용 권한 소유/경고를 관리할 수 있음
Azure Security Center 권장 사항 및 경고를 보고, 보안 정책을 보고, 보안 상태를 볼 수 있지만 변경할 수는 없습니다.
Microsoft 365 서비스 상태 Microsoft 365 서비스의 상태 보기
동작 Description
microsoft.directory/auditLogs/allProperties/read 권한 있는 속성을 포함 하 여 감사 로그의 모든 속성을 읽습니다.
microsoft. directory/bitlockerKeys/키/읽기 장치의 bitlocker 메타 데이터 및 키 읽기
microsoft. directory/entitlementManagement/allProperties/read Azure AD 자격 관리의 모든 속성 읽기
microsoft. directory/identityProtection/allProperties/read Azure AD ID 보호의 모든 리소스 읽기
microsoft.directory/policies/standard/read 정책의 기본 속성 읽기
microsoft.directory/policies/owners/read 정책의 소유자 읽기
microsoft. directory/정책/policyAppliedTo/읽기 PolicyAppliedTo 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/standard/read ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/소유자/읽기 ConditionalAccess 속성을 읽습니다.
microsoft. directory/conditionalAccessPolicies/policyAppliedTo/read ConditionalAccess 속성을 읽습니다.
microsoft. directory/privilegedIdentityManagement/allProperties/read Privileged Identity Management의 모든 리소스 읽기
microsoft.directory/provisioningLogs/allProperties/read 프로비저닝 로그의 모든 속성을 읽습니다.
microsoft.directory/signInReports/allProperties/read 권한 있는 속성을 포함 하 여 로그인 보고서의 모든 속성을 읽습니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
office365. protectionCenter/allEntities/standard/read 보안 및 규정 준수 센터에서 모든 리소스의 표준 속성을 읽습니다.
protectionCenter/attackSimulator/office365/allProperties/read 공격 시뮬레이터에서 공격 페이로드의 모든 속성을 읽습니다.
protectionCenter/attackSimulator/office365/allProperties/read 공격 시뮬레이션, 응답 및 관련 교육에 대 한 보고서 읽기
office365 protectionCenter/attackSimulator/시뮬레이션/allProperties/read 공격 시뮬레이터의 모든 공격 시뮬레이션 템플릿 속성을 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

서비스 지원 관리자

이 역할을 가진 사용자는 Azure 및 Microsoft 365 서비스에 대해 Microsoft와 함께 지원 요청을 열 수 있으며, Azure PortalMicrosoft 365 관리 센터에서 서비스 대시보드와 메시지 센터를 볼 수 있습니다. 자세한 내용은 관리자 역할 정보를 참조하세요.

참고

이전에는 Azure PortalMicrosoft 365 관리 센터에서 이 역할을 "서비스 관리자"라고 했습니다. Microsoft Graph API, Azure AD Graph API 및 Azure AD PowerShell의 기존 이름과 맞추기 위해 "서비스 지원 관리자"로 변경했습니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

SharePoint 관리자

이 역할을 가진 사용자는 서비스가 있는 경우 Microsoft SharePoint Online 내에서 전역 사용 권한을 가지 며, 모든 Microsoft 365 그룹을 생성 및 관리 하 고, 지원 티켓을 관리 하 고, 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 관리자 역할 정보를 참조하세요.

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "SharePoint 서비스 관리자"로 식별됩니다. Azure Portal에서 이 역할은 "SharePoint 관리자"입니다.

참고

또한이 역할은 Microsoft Intune에 대 한 Microsoft Graph API에 범위 지정 된 사용 권한을 부여 하 여 SharePoint 및 OneDrive 리소스와 관련 된 정책을 관리 하 고 구성할 수 있도록 합니다.

동작 Description
microsoft. directory/groups. 통합/만들기 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹 만들기
microsoft. directory/groups. 통합/삭제 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹을 삭제 합니다.
microsoft. directory/groups. 통합/복원 Microsoft 365 그룹 복원
microsoft. directory/groups. 통합/기본/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 기본 속성 업데이트
microsoft. directory/groups. 통합/멤버/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 구성원 업데이트
microsoft. directory/groups. 통합/소유자/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 소유자를 업데이트 합니다.
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
office365/allEntities/Allentities SharePoint에서 모든 리소스를 만들고 삭제 하 고 표준 속성을 읽고 업데이트 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

비즈니스용 Skype 관리자

이 역할의 사용자는 해당 서비스가 있는 경우 Microsoft 비즈니스용 Skype 내에서 글로벌 사용 권한을 가질 뿐만 아니라 Azure Active Directory에서 Skype 관련 사용자 특성을 관리할 수 있습니다. 또한 이 역할은 지원 티켓을 관리하고 서비스 상태를 모니터링하고, Teams 및 Business용 Skype 관리 센터에 액세스하는 기능을 부여합니다. 계정에는 Teams에 대한 라이선스가 있어야 합니다. 그렇지 않으면 Teams PowerShell cmdlet을 실행할 수 없습니다. 비즈니스용 Skype 관리자 역할 정보의 자세한 내용 및 비즈니스용 Skype 및 Microsoft Teams 추가 기능 라이선스의 Teams 라이선스 정보

참고

Microsoft Graph API 및 Azure AD PowerShell에서 이 역할은 "Lync 서비스 관리자"로 식별됩니다. Azure Portal에서는 “비즈니스용 Skype 관리자”입니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면을 관리 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

Teams 관리자

이 역할의 사용자는 Microsoft Teams 및 비즈니스용 Skype 관리 센터와 해당하는 PowerShell 모듈을 통해 Microsoft Teams 워크로드의 모든 측면을 관리할 수 있습니다. 여기에는 다른 영역 중 전화 통신, 메시징, 회의 및 팀 자체와 관련된 모든 관리 도구가 포함됩니다. 이 역할은 모든 Microsoft 365 그룹을 생성 및 관리 하 고, 지원 티켓을 관리 하 고, 서비스 상태를 모니터링 하는 기능을 추가로 부여 합니다.

동작 Description
microsoft.directory/groups/hiddenMembers/read 그룹의 숨겨진 구성원 읽기
microsoft. directory/groups. 통합/만들기 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹 만들기
microsoft. directory/groups. 통합/삭제 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹을 삭제 합니다.
microsoft. directory/groups. 통합/복원 Microsoft 365 그룹 복원
microsoft. directory/groups. 통합/기본/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 기본 속성 업데이트
microsoft. directory/groups. 통합/멤버/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 구성원 업데이트
microsoft. directory/groups. 통합/소유자/업데이트 역할 할당 가능 그룹을 제외 하 고 Microsoft 365 그룹의 소유자를 업데이트 합니다.
microsoft. directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 그룹 데이터에 대 한 직접 액세스를 서비스 대 한 주체의에 부여
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면을 관리 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft 팀/allEntities/Allentities/Allentities 팀의 모든 리소스 관리

Teams 통신 관리자

이 역할의 사용자는 음성 및 전화 통신과 관련된 Microsoft Teams 워크로드의 측면을 관리할 수 있습니다. 여기에는 전화 번호 할당, 음성 및 회의 정책 및 호출 분석 도구 집합에 대한 전체 액세스를 위한 관리 도구가 포함됩니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면을 관리 합니다.
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
office365/allEntities/Allentities/read Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft 팀/callQuality/allProperties/read CQD (통화 품질 대시보드)의 모든 데이터 읽기
microsoft. 팀/모임/allProperties/Allproperties 모임 정책, 구성 및 회의 브리지를 포함 하 여 모임 관리
microsoft 팀/음성/allProperties/Allproperties 호출 정책 및 전화 번호 인벤토리 및 할당을 포함 하 여 음성 관리

Teams 통신 지원 엔지니어

이 역할의 사용자는 Microsoft Teams 및 비즈니스용 Skype 관리 센터에서 사용자 호출 문제 해결 도구를 사용하여 Microsoft Teams 및 비즈니스용 Skype 내에서 통신 문제를 해결할 수 있습니다. 이 역할의 사용자는 관련된 모든 참가자에 대한 전체 호출 레코드 정보를 볼 수 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면을 관리 합니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft 팀/callQuality/allProperties/read CQD (통화 품질 대시보드)의 모든 데이터 읽기

Teams 통신 지원 전문가

이 역할의 사용자는 Microsoft Teams 및 비즈니스용 Skype 관리 센터에서 사용자 호출 문제 해결 도구를 사용하여 Microsoft Teams 및 비즈니스용 Skype 내에서 통신 문제를 해결할 수 있습니다. 이 역할의 사용자는 조회하는 특정 사용자에 대한 호출에서 사용자 세부 정보를 보기만 할 수 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.

동작 Description
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.skypeForBusiness/allEntities/allTasks 비즈니스용 Skype Online의 모든 측면을 관리 합니다.
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft 팀/callQuality/standard/read CQD (통화 품질 대시보드)에서 기본 데이터를 읽습니다.

Teams 디바이스 관리자

이 역할을 가진 사용자는 팀 관리 센터에서 팀 인증 장치 를 관리할 수 있습니다. 이 역할을 사용 하면 장치를 검색 하 고 필터링 할 수 있는 기능을 통해 모든 장치를 한 눈에 볼 수 있습니다. 사용자는 장치의 로그인 된 계정, 제조업체 및 모델을 포함 하 여 각 장치에 대 한 세부 정보를 확인할 수 있습니다. 사용자는 장치에서 설정을 변경 하 고 소프트웨어 버전을 업데이트할 수 있습니다. 이 역할은 팀 활동을 확인 하 고 장치의 품질을 호출할 수 있는 권한을 부여 하지 않습니다.

동작 Description
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.
microsoft. 팀/장치/표준/읽기 구성 정책을 포함 하 여 팀 인증 장치의 모든 측면 관리

사용 요약 보고서 판독기

이 역할을 가진 사용자는 사용 및 생산성 점수를 얻기 위해 Microsoft 365 관리 센터에서 테 넌 트 수준 집계 데이터 및 관련 정보에 액세스할 수 있지만 사용자 수준 정보 또는 정보에는 액세스할 수 없습니다. 두 보고서에 대 한 Microsoft 365 관리 센터에서 테 넌 트 수준 집계 된 데이터와 사용자 수준 세부 정보를 구분 합니다. 이 역할은 고객과 법률 팀에서 요청 된 개별 사용자 식별 가능 데이터에 대 한 추가 보호 계층을 제공 합니다.

동작 Description
microsoft.office365.network/performance/allProperties/read Microsoft 365 관리 센터에서 모든 네트워크 성능 속성을 읽습니다.
office365/allEntities/표준/읽기 테 넌 트 수준 집계 Office 365 사용 보고서 읽기
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

사용자 관리자

이 역할을 가진 사용자는 사용자를 만들고 몇 가지 제한 사항이 있는 사용자의 모든 측면을 관리할 수 있습니다 (표 참조). 암호 만료 정책을 업데이트할 수 있습니다. 또한 이 역할의 사용자는 모든 그룹을 만들고 관리할 수 있습니다. 이 역할은 사용자 보기를 만들고 관리하며, 지원 티켓을 관리하고, 서비스 상태를 모니터링하는 기능도 포함합니다. 사용자 관리자는 대부분의 관리자 역할에 속한 사용자의 일부 사용자 속성을 관리할 권한이 없습니다. 이 역할의 사용자는 MFA를 관리할 권한이 없습니다. 다음 표에는 이 제한이 적용되지 않는 예외적인 역할이 나열되어 있습니다.

사용자 관리자 권한 메모
사용자 및 그룹 만들기
사용자 보기 만들기 및 관리
Office 지원 티켓 관리
암호 만료 정책 업데이트
라이선스 관리
사용자 계정 이름을 제외한 모든 사용자 속성 관리
모든 관리자를 포함 하 여 모든 사용자에 게 적용 됩니다.
삭제 및 복원
사용 안 함 및 사용
사용자 계정 이름을 포함한 모든 사용자 속성 관리
(FIDO) 디바이스 키 업데이트
관리자가 아닌 사용자 또는 다음 역할의 사용자에 게 적용 됩니다.
  • 기술 지원팀 관리자
  • 역할이 없는 사용자
  • 사용자 관리자
새로 고침 토큰 무효화
암호 재설정
사용자 관리자가 암호를 다시 설정 하 고 새로 고침 토큰을 무효화할 수 있는 역할 목록은 암호 재설정 권한을 참조 하세요.

중요

이 역할의 사용자는 Azure Active Directory 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 암호를 변경할 수 있습니다. 사용자의 암호를 변경한다는 것은 사용자의 ID 및 권한을 가정할 수 있다는 것을 의미합니다. 다음은 그 예입니다.

  • 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Azure AD에서 권한이 부여되었을 수 있으며, 다른 위치에서는 사용자 관리자에게 권한이 부여되지 않습니다. 이 경로를 통해 사용자 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
  • Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
  • 그룹 멤버 자격을 관리할 수 있는 보안 그룹 및 Microsoft 365 그룹 소유자입니다. 해당 그룹은 중요한 프라이빗 정보 또는 Azure AD 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
  • Exchange Online, Office 보안 및 준수 센터, 인사 관리 시스템과 같은 Azure AD 외부의 다른 서비스에 있는 관리자
  • 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
동작 Description
microsoft.directory/appRoleAssignments/create 응용 프로그램 역할 할당 만들기
microsoft.directory/appRoleAssignments/delete 응용 프로그램 역할 할당 삭제
microsoft. directory/appRoleAssignments/basic/update 응용 프로그램 역할 할당의 기본 속성 업데이트
microsoft.directory/contacts/create 연락처 만들기
microsoft.directory/contacts/delete 연락처 삭제
microsoft.directory/contacts/basic/update 연락처에 대 한 기본 속성 업데이트
microsoft. directory/entitlementManagement/allProperties/Allproperties Azure AD 자격 관리에서 리소스를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft. 디렉터리/그룹/할당 라이선스 그룹 기반 라이선스 그룹에 제품 라이선스 할당
microsoft.directory/groups/create 역할 할당 가능 그룹을 제외한 그룹 만들기
microsoft.directory/groups/delete 역할 할당 가능 그룹을 제외한 그룹 삭제
microsoft.directory/groups/hiddenMembers/read 그룹의 숨겨진 구성원 읽기
microsoft. directory/groups/reprocessLicenseAssignment 그룹 기반 라이선스에 대 한 라이선스 할당 다시 처리
microsoft.directory/groups/restore 삭제된 그룹 복원
microsoft.directory/groups/basic/update 역할 할당 가능 그룹을 제외 하 고 그룹의 기본 속성 업데이트
microsoft. 디렉터리/그룹/분류/업데이트 역할 할당 가능 그룹을 제외 하 고 그룹의 분류 속성 업데이트
microsoft. directory/groups/dynamicMembershipRule/update 역할 할당 가능 그룹을 제외 하 고 그룹의 동적 멤버 자격 규칙 업데이트
microsoft. directory/groups/groupType/update 그룹에 대 한 groupType 속성 업데이트
microsoft.directory/groups/members/update 역할 할당 가능 그룹을 제외 하 고 그룹의 구성원 업데이트
microsoft. directory/groups/onPremWriteBack/update 온-프레미스에 다시 쓸 수 있도록 Azure AD 그룹 업데이트
microsoft.directory/groups/owners/update 역할 할당 가능 그룹을 제외한 그룹의 소유자 업데이트
microsoft.directory/groups/settings/update 그룹의 설정 업데이트
microsoft. 디렉터리/그룹/표시/업데이트 그룹의 표시 유형 속성 업데이트
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks OAuth 2.0 권한 부여를 만들고 삭제 하 고, 모든 속성을 읽고 업데이트 합니다.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 서비스 사용자 역할 할당 업데이트
microsoft.directory/users/assignLicense 사용자 라이선스 관리
microsoft.directory/users/create 사용자 추가
microsoft.directory/users/delete 사용자 삭제
microsoft. 디렉터리/사용자/사용 안 함 사용자 사용 안 함
microsoft. 디렉터리/사용자/사용 사용자 사용
microsoft.directory/users/inviteGuest 게스트 사용자 초대
microsoft.directory/users/invalidateAllRefreshTokens 사용자 새로 고침 토큰을 무효화 하 여 강제로 로그 아웃
microsoft. directory/users/reprocessLicenseAssignment 사용자에 대 한 라이선스 할당 다시 처리
microsoft.directory/users/restore 삭제 된 사용자 복원
microsoft.directory/users/basic/update 사용자의 기본 속성 업데이트
microsoft.directory/users/manager/update 사용자 용 업데이트 관리자
microsoft.directory/users/password/update 모든 사용자에 대 한 암호 다시 설정
microsoft.directory/users/userPrincipalName/update 사용자의 사용자 계정 이름 업데이트
microsoft.azure.serviceHealth/allEntities/allTasks Azure Service Health 읽기 및 구성
microsoft.azure.supportTickets/allEntities/allTasks Azure 지원 티켓 만들기 및 관리
microsoft.office365.serviceHealth/allEntities/allTasks Microsoft 365 관리 센터에서 Service Health 읽기 및 구성
microsoft.office365.supportTickets/allEntities/allTasks Microsoft 365 서비스 요청 만들기 및 관리
microsoft.office365.webPortal/allEntities/standard/read Microsoft 365 관리 센터의 모든 리소스에 대 한 기본 속성을 읽습니다.

사용되지 않는 역할

다음 역할은 사용할 수 없습니다. 해당 역할은 사용되지 않으며 향후 Azure AD에서 제거됩니다.

  • 임시 라이선스 관리자
  • 디바이스 연결
  • 디바이스 관리
  • 디바이스 사용자
  • 전자 메일 확인 사용자 생성자
  • 사서함 관리자
  • 작업 공간 디바이스 연결

포털에 표시되지 않는 역할

PowerShell 또는 MS Graph API에서 반환된 모든 역할이 Azure Portal에 표시되는 것은 아닙니다. 다음 표에는 이러한 차이점이 정리되어 있습니다.

API 이름 Azure Portal 이름 메모
디바이스 연결 사용되지 않음 사용되지 않는 역할 설명서
디바이스 관리 사용되지 않음 사용되지 않는 역할 설명서
디바이스 사용자 사용되지 않음 사용되지 않는 역할 설명서
디렉터리 동기화 계정 사용하면 안되므로 표시되지 않습니다. 디렉터리 동기화 계정 설명서
게스트 사용자 사용하면 안되므로 표시되지 않습니다. 해당 없음
파트너 계층 1 지원 사용하면 안되므로 표시되지 않습니다. 파트너 계층1 지원 설명서
파트너 계층 2 지원 사용하면 안되므로 표시되지 않습니다. 파트너 계층2 지원 설명서
제한된 게스트 사용자 사용하면 안되므로 표시되지 않습니다. 해당 없음
사용자 사용하면 안되므로 표시되지 않습니다. 해당 없음
작업 공간 디바이스 연결 사용되지 않음 사용되지 않는 역할 설명서

암호 재설정 권한

열 머리글은 암호를 다시 설정할 수 있는 역할을 나타냅니다. 테이블 행에는 암호를 다시 설정할 수 있는 역할이 포함 됩니다.

암호를 다시 설정할 수 있습니다. 암호 관리자 기술 지원팀 관리자 인증 관리자 사용자 관리 권한 있는 인증 관리자 전역 관리자
인증 관리자     ✔️   ✔️ ✔️
디렉터리 읽기 권한자 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
전역 관리자         ✔️ ✔️*
그룹 관리자       ✔️ ✔️ ✔️
게스트 초대자 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
기술 지원팀 관리자   ✔️   ✔️ ✔️ ✔️
메시지 센터 읽기 권한자   ✔️ ✔️ ✔️ ✔️ ✔️
암호 관리자 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
권한 있는 인증 관리자         ✔️ ✔️
권한 있는 역할 관리자         ✔️ ✔️
보고서 구독자   ✔️ ✔️ ✔️ ✔️ ✔️
사용자 (관리자 역할 없음) ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
사용자 관리       ✔️ ✔️ ✔️
사용 요약 보고서 판독기   ✔️ ✔️ ✔️ ✔️ ✔️

* 전역 관리자는 자신의 전역 관리자 할당을 제거할 수 없습니다. 이는 조직에 0 전역 관리자가 있는 상황을 방지 하기 위한 것입니다.

다음 단계