Microsoft Entra 기본 제공 역할
Microsoft Entra ID에서 다른 관리자 또는 비관리자가 Microsoft Entra 리소스를 관리해야 하는 경우 필요한 권한을 제공하는 Microsoft Entra 역할을 할당합니다. 예를 들어 사용자를 추가 또는 변경하고, 사용자 암호를 다시 설정하고, 사용자 라이선스를 관리하고, 도메인 이름을 관리할 수 있도록 허용하는 역할을 할당할 수 있습니다.
이 문서에서는 Microsoft Entra 리소스 관리를 허용하기 위해 할당할 수 있는 Microsoft Entra 기본 제공 역할을 나열합니다. 역할을 할당하는 방법에 대한 자세한 내용은 사용자에게 Microsoft Entra 역할 할당을 참조하세요. Azure 리소스를 관리하는 역할을 찾고 있는 경우 Azure 기본 제공 역할을 참조하세요.
모든 역할
| 역할 | 설명 | 템플릿 ID |
|---|---|---|
| 애플리케이션 관리자 | 앱 등록 및 엔터프라이즈 앱의 모든 측면을 만들고 관리할 수 있습니다. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
| 애플리케이션 개발자 | ‘사용자가 애플리케이션을 등록할 수 있음’ 설정에 관계없이 애플리케이션 등록을 만들 수 있습니다. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
| 공격 페이로드 작성자 | 관리자가 나중에 시작할 수 있는 공격 페이로드를 만들 수 있습니다. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
| 공격 시뮬레이션 관리자 | 공격 시뮬레이션 캠페인의 모든 측면을 만들고 관리할 수 있습니다. | c430b396-e693-46cc-96f3-db01bf8bb62a |
| 특성 할당 관리자 | 사용자 지정 보안 특성 키 및 값을 지원되는 Microsoft Entra 개체에 할당합니다. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
| 특성 할당 읽기 권한자 | 지원되는 Microsoft Entra 개체에 대한 사용자 지정 보안 속성 키 및 값을 읽습니다. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
| 특성 정의 관리자 | 사용자 지정 보안 특성의 정의를 정의하고 관리합니다. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
| 특성 정의 읽기 권한자 | 사용자 지정 보안 특성의 정의를 읽습니다. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
| 특성 로그 관리자 | 감사 로그를 읽고 사용자 지정 보안 특성과 관련된 이벤트에 대한 진단 설정을 구성합니다. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
| 특성 로그 판독기 | 사용자 지정 보안 특성과 관련된 감사 로그를 읽습니다. | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
| 인증 관리자 | 관리 사용자가 아닌 사용자의 인증 방법 정보를 보고, 설정하고, 재설정하기 위해 액세스할 수 있습니다. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
| 인증 확장성 관리istrator | 사용자 지정 인증 확장을 만들고 관리하여 사용자에 대한 로그인 및 등록 환경을 사용자 지정합니다. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
| 인증 정책 관리자 | 인증 방법 정책, 테넌트 전체 MFA 설정, 암호 보호 정책 및 확인 가능한 자격 증명을 만들고 관리할 수 있습니다. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
| Azure DevOps 관리자 | Azure DevOps 정책 및 설정을 관리할 수 있습니다. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
| Azure Information Protection 관리자 | Azure Information Protection 제품의 모든 측면을 관리할 수 있습니다. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
| B2C IEF 키 세트 관리자 | IEF(Identity Experience Framework)에서 페더레이션 및 암호화의 비밀을 관리할 수 있습니다. |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
| B2C IEF 정책 관리자 | IEF(Identity Experience Framework)에서 보안 프레임워크 정책을 만들고 관리할 수 있습니다. | 3edaf663-341e-4475-9f94-5c398ef6c070 |
| 대금 청구 관리자 | 결제 정보 업데이트와 같은 일반 청구 관련 작업을 수행할 수 있습니다. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
| Cloud App Security 관리자 | 클라우드용 Defender 앱 제품의 모든 측면을 관리할 수 있습니다. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
| 클라우드 애플리케이션 관리자 | 애플리케이션 프록시를 제외한 앱 등록 및 엔터프라이즈 앱의 모든 측면을 만들고 관리할 수 있습니다. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
| 클라우드 디바이스 관리자 | Microsoft Entra ID에서 디바이스를 관리하기 위한 액세스가 제한됩니다. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
| 규정 준수 관리자 | Microsoft Entra ID 및 Microsoft 365에서 준수 구성 및 보고서를 읽고 관리할 수 있습니다. | 17315797-102d-40b4-93e0-432062caca18 |
| 규정 준수 데이터 관리자 | 규정 준수 콘텐츠를 만들고 관리합니다. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
| 조건부 액세스 관리자 | 조건부 액세스 기능을 관리할 수 있습니다. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
| 고객 Lockbox 액세스 승인자 | 고객 조직 데이터에 액세스하려는 Microsoft 지원 요청을 승인할 수 있습니다. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
| Desktop Analytics 관리자 | 데스크톱 관리 도구 및 서비스에 액세스하고 관리할 수 있습니다. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
| 디렉터리 읽기 권한자 | 기본 디렉터리 정보를 읽을 수 있습니다. 일반적으로 애플리케이션과 게스트에 대한 디렉터리 읽기 액세스 권한을 부여하는 데 사용됩니다. | 88d8e3e3-8f55-4a1e-953a-9b9898b8876b |
| 디렉터리 동기화 계정 | Microsoft Entra Connect 서비스에서만 사용됩니다. |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
| 디렉터리 쓰기 권한자 | 기본 디렉터리 정보를 읽고 쓸 수 있습니다. 애플리케이션에 대한 액세스 권한은 사용자를 위한 것이 아닙니다. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
| 도메인 이름 관리자 | 클라우드 및 온-프레미스에서 도메인 이름을 관리할 수 있습니다. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
| Dynamics 365 관리자 | Dynamics 365 제품의 모든 측면을 관리할 수 있습니다. | 44367163-eba1-44c3-98af-f5787879f96a |
| Dynamics 365 Business Central 관리istrator | Dynamics 365 Business Central 환경에 액세스하고 환경에서 모든 관리 작업을 수행할 수 있습니다. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
| Edge 관리자 | Microsoft Edge의 모든 측면을 관리합니다. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
| Exchange 관리자 | Exchange 제품의 모든 측면을 관리할 수 있습니다. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
| Exchange 받는 사람 관리자 | Exchange Online 조직 내에서 Exchange Online 수신자를 만들거나 업데이트할 수 있습니다. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
| 외부 ID 사용자 흐름 관리자 | 사용자 흐름의 모든 측면을 만들고 관리할 수 있습니다. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
| 외부 ID 사용자 흐름 특성 관리자 | 모든 사용자 흐름에 사용할 수 있는 특성 스키마를 만들고 관리할 수 있습니다. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
| 외부 ID 공급자 관리자 | 직접 페더레이션에 사용할 ID 공급자를 구성할 수 있습니다. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
| 패브릭 관리자 | 패브릭 및 Power BI 제품의 모든 측면을 관리할 수 있습니다. | a9ea8996-122f-4c74-9520-8edcd192826c |
| 전역 관리자 | Microsoft Entra ID 및 Microsoft Entra ID를 사용하는 Microsoft 서비스의 모든 측면을 관리할 수 있습니다. |
62e90394-69f5-4237-9190-012177145e10 |
| 전역 판독기 | 전역 관리자가 할 수 있는 모든 것을 읽을 수는 있지만, 업데이트할 수는 없습니다. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
| 전역 보안 액세스 관리자 | 공용 및 프라이빗 엔드포인트에 대한 액세스 관리를 비롯하여 Microsoft Entra Internet Access 및 Microsoft Entra 개인 액세스의 모든 측면을 만들고 관리합니다. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
| 그룹 관리자 | 이 역할의 구성원은 그룹을 만들고/관리하고, 이름이나 만료 정책과 같은 그룹 설정을 만들고/관리하고, 그룹 작업 및 감사 보고서를 볼 수 있습니다. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
| 게스트 초대자 | '멤버가 게스트를 초대할 수 있음' 설정에 관계없이 게스트 사용자를 초대할 수 있습니다. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
| 기술 지원팀 관리자 | 관리자가 아닌 사용자 및 기술 지원팀 관리자의 암호를 재설정할 수 있습니다. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
| 하이브리드 ID 관리자 | Active Directory-Microsoft Entra 클라우드 프로비전, Microsoft Entra Connect, PTA(통과 인증), PHS(암호 해시 동기화), Seamless SSO(Seamless Single Sign-On) 및 페더레이션 설정을 관리할 수 있습니다. Microsoft Entra 커넥트 Health를 관리할 수 있는 액세스 권한이 없습니다. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
| Identity Governance 관리자 | ID 거버넌스 시나리오에 대해 Microsoft Entra ID를 사용하여 액세스를 관리합니다. | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
| 인사이트 관리자 | Microsoft 365 Insights 앱에서 관리 권한이 있습니다. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
| Insights 분석가 | Microsoft Viva Insights의 분석 기능에 액세스하고 사용자 지정 쿼리를 실행합니다. | 25df335f-86eb-4119-b717-0ff02de207e9 |
| Insights 비즈니스 리더 | Microsoft 365 Insights 앱을 통해 대시보드 및 인사이트를 보고 공유할 수 있습니다. | 31e939ad-9672-4796-9c2e-873181342d2d |
| Intune 관리자 | Intune 제품의 모든 측면을 관리할 수 있습니다. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
| Kaizala 관리자 | Microsoft Kaizala의 설정을 관리할 수 있습니다. | 74ef975b-6605-40af-a5d2-b9539d836353 |
| 지식 관리자 | 지식, 학습 및 기타 인텔리전트 기능을 구성할 수 있습니다. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
| 지식 관리자 | 항목과 지식을 구성, 생성, 관리 및 승격할 수 있습니다. | 744ec460-397e-42ad-a462-8b3f9747a02c |
| 라이선스 관리자 | 사용자 및 그룹의 제품 라이선스를 관리할 수 있습니다. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
| 수명 주기 워크플로 관리자 | Microsoft Entra ID에서 수명 주기 워크플로와 연결된 워크플로 및 작업의 모든 측면을 만들고 관리합니다. | 59d46f88-662b-457b-bceb-5c3809e5908f |
| 메시지 센터 개인 정보 읽기 권한자 | Office 365 메시지 센터에서만 보안 메시지 및 업데이트를 읽을 수 있습니다. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
| 메시지 센터 읽기 권한자 | Office 365 메시지 센터에서만 조직의 메시지 및 업데이트를 읽을 수 있습니다. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b |
| Microsoft 365 마이그레이션 관리istrator | 마이그레이션 관리자를 사용하여 콘텐츠를 Microsoft 365로 마이그레이션하려면 모든 마이그레이션 기능을 수행합니다. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
| Microsoft Entra Joined Device Local 관리istrator | 이 역할에 할당된 사용자는 Microsoft Entra에 조인된 디바이스의 로컬 관리자 그룹에 추가됩니다. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
| Microsoft 하드웨어 보증 관리자 | Surface, HoloLens 등 Microsoft 제조 하드웨어에 대한 보증 청구 및 자격의 모든 측면을 만들고 관리합니다. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
| Microsoft 하드웨어 보증 전문가 | Surface, HoloLens 등 Microsoft 제조 하드웨어에 대한 보증 청구를 작성하고 읽습니다. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
| 최신 상거래 관리사용자 | 회사, 부서 또는 팀의 상업적 구매를 관리할 수 있습니다. | d24aef57-1500-4070-84db-2666f29cf966 |
| 네트워크 관리자 | 네트워크 위치를 관리하고 Microsoft 365 Software as a Service 애플리케이션에 대한 엔터프라이즈 네트워크 디자인 인사이트를 검토할 수 있습니다. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
| Office 앱 관리자 | 정책 및 설정 관리를 포함하여 Office 앱의 클라우드 서비스를 관리할 수 있고, 최종 사용자의 디바이스에서 "새로운 기능" 기능 콘텐츠를 선택, 선택 취소 및 게시하는 기능을 관리할 수 있습니다. | 2b745bdf-0803-4d80-aa65-822c4493daac |
| 조직 브랜딩 관리istrator | 테넌트에서 조직 브랜딩의 모든 측면을 관리합니다. | 92ed04bf-c94a-4b82-9729-b799a7a4c178 |
| 조직 메시지 승인자 | 사용자에게 전송되기 전에 Microsoft 365 관리 센터 배달을 위해 새 조직 메시지를 검토, 승인 또는 거부합니다. | e48398e2-f4bb-4074-8f31-4586725e205b |
| 조직 메시지 작성자 | Microsoft 제품 화면을 통해 최종 사용자에 대한 조직 메시지를 작성, 게시, 관리, 검토합니다. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
| 파트너 계층1 지원 | 사용하지 마세요. 일반적인 용도로는 적합하지 않습니다. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
| 파트너 계층2 지원 | 사용하지 마세요. 일반적인 용도로는 적합하지 않습니다. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
| 암호 관리자 | 비관리자 및 암호 관리자의 암호를 다시 설정할 수 있습니다. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
| 권한 관리 관리자 | Microsoft Entra 사용 권한 관리의 모든 측면을 관리합니다. | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
| Power Platform 관리자 | Microsoft Dynamics 365, Power Apps, Power Automate의 모든 측면을 만들고 관리할 수 있습니다. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
| 프린터 관리자 | 프린터 및 프린터 커넥터의 모든 것을 관리할 수 있습니다. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
| 프린터 기술자 | 프린터를 등록/등록 취소하고 프린터 상태를 업데이트할 수 있습니다. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
| 권한 있는 인증 관리자 | 사용자(관리자 또는 비관리자)의 인증 방법 정보를 보고, 설정하고. 재설정하기 위해 액세스할 수 있습니다. |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
| 권한 있는 역할 관리자 | Microsoft Entra ID의 역할 할당 및 Privileged Identity Management의 모든 것을 관리할 수 있습니다. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
| 보고서 읽기 권한자 | 로그인 및 감사 보고서를 읽을 수 있습니다. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
| Search 관리자 | Microsoft Search 설정의 모든 것을 만들고 관리할 수 있습니다. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
| Search 편집자 | 책갈피, 질문과 대답, 위치, 평면도와 같은 편집 콘텐츠를 만들고 관리할 수 있습니다. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
| 보안 관리자 | Microsoft Entra ID 및 Office 365에서 보안 정보 및 보고서를 읽고 구성을 관리할 수 있습니다. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
| 보안 운영자 | 보안 이벤트를 만들고 관리합니다. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
| 보안 읽기 권한자 | Microsoft Entra ID 및 Office 365에서 보안 정보 및 보고서를 읽을 수 있습니다. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
| 서비스 지원 관리자 | 서비스 상태 정보를 읽고, 지원 티켓을 관리할 수 있습니다. | f023fd81-a637-4b56-95fd-791ac0226033 |
| SharePoint 관리자 | SharePoint 서비스의 모든 측면을 관리할 수 있습니다. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
| 비즈니스용 Skype 관리자 | 비즈니스용 Skype 제품의 모든 측면을 관리할 수 있습니다. | 75941009-915a-4869-abe7-691bff18279e |
| Teams 관리자 | Microsoft Teams 서비스를 관리할 수 있습니다. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
| Teams 통신 관리자 | Microsoft Teams 서비스 내에서 호출 및 회의 기능을 관리할 수 있습니다. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
| Teams 통신 지원 엔지니어 | 고급 도구를 사용하여 Teams 내에서 통신 문제를 해결할 수 있습니다. | f70938a0-fc10-4177-9e90-2178f8765737 |
| Teams 통신 지원 전문가 | 기본 도구를 사용하여 Teams 내에서 통신 문제를 해결할 수 있습니다. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
| Teams 디바이스 관리자 | Teams 인증 디바이스에서 관리 관련 작업을 수행할 수 있습니다. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
| 테넌트 작성자 | 새 Microsoft Entra 또는 Azure AD B2C 테넌트를 만듭니다. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
| 사용 요약 보고서 읽기 권한자 | 사용 현황 보고서 및 채택 점수를 읽어 보지만 사용자 세부 정보에 액세스할 수는 없습니다. | 75934031-6c7e-415a-99d7-48dbd49e875e |
| 사용자 관리자 | 제한된 관리자의 암호 재설정을 비롯하여 사용자 및 그룹의 모든 측면을 관리할 수 있습니다. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
| Virtual Visits 관리자 | 관리 센터 또는 Virtual Visits 앱에서 Virtual Visits 정보 및 메트릭 관리 및 공유 | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
| Viva Goals 관리자 | Microsoft Viva Goals의 모든 측면을 관리하고 구성합니다. | 92b086b3-e367-4ef2-b869-1de128fb986e |
| Viva Pulse 관리자 | Microsoft Viva Pulse 앱에 대한 모든 설정을 관리할 수 있습니다. | 87761b17-1ed2-4af3-9acd-92a150038160 |
| Windows 365 관리자 | 클라우드 PC의 모든 측면을 프로비전하고 관리할 수 있습니다. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
| Windows 업데이트 배포 관리자 | 비즈니스용 Windows 업데이트 배포 서비스를 통해 Windows Update 배포의 모든 측면을 생성하고 관리할 수 있습니다. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
| Yammer 관리자 | Yammer 서비스의 모든 측면을 관리합니다. | 810a2642-a034-447f-a5e8-41beaa378541 |
애플리케이션 관리자
권한 있는 역할입니다. 이 역할의 사용자는 엔터프라이즈 애플리케이션, 애플리케이션 등록 및 애플리케이션 프록시 설정의 모든 측면을 만들고 관리할 수 있습니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.
또한 이 역할은 Azure AD Graph 및 Microsoft Graph에 대한 애플리케이션 권한을 제외하고 위임된 권한 및 애플리케이션 권한에 동의할 수 있는 기능을 부여합니다.
Important
이 예외는 다른 앱(예: 다른 Microsoft 앱, 타사 앱 또는 등록한 앱)에 대한 애플리케이션 권한에 계속 동의할 수 있음을 의미합니다. 여전히 앱을 등록할 때 이 권한을 요청할 수 있지만, 이 권한을 부여(즉, 동의)하려면 전역 관리자처럼 더 많은 권한이 있는 관리자여야 합니다.
이 역할은 애플리케이션 자격 증명을 관리하는 기능을 부여합니다. 이 역할이 할당된 사용자는 애플리케이션에 자격 증명을 추가하고 해당 자격 증명을 사용하여 애플리케이션의 ID를 가장할 수 있습니다. 애플리케이션의 ID에 사용자 또는 다른 개체를 만들거나 업데이트하는 기능과 같이 리소스에 대한 액세스 권한이 부여된 경우 이 역할에 할당된 사용자는 애플리케이션을 가장하는 동안 이러한 작업을 수행할 수 있습니다. 애플리케이션의 ID를 가장하는 이 기능은 본인의 역할 할당을 통해 사용자가 수행할 수 있는 권한 상승이 될 수 있습니다. 애플리케이션 관리자 역할에 사용자를 할당하면 애플리케이션의 ID를 가장하는 기능이 해당 사용자에게 부여된다는 점을 이해해야 합니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Microsoft Entra ID에서 관리자 동의 요청 정책 관리 |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Microsoft Entra ID에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기 |
| microsoft.directory/applications/create | 모든 유형의 애플리케이션 만들기 |
| microsoft.directory/applications/delete | 모든 유형의 애플리케이션을 삭제합니다. |
| microsoft.directory/applications/applicationProxy/read | 모든 애플리케이션 프록시 속성을 읽습니다. |
| microsoft.directory/applications/applicationProxy/update | 모든 애플리케이션 프록시 속성 업데이트 |
| microsoft.directory/applications/applicationProxyAuthentication/update | 모든 유형의 애플리케이션에서 인증 업데이트 |
| microsoft.directory/applications/applicationProxySslCertificate/update | 애플리케이션 프록시에 대한 SSL 인증서 설정 업데이트 |
| microsoft.directory/applications/applicationProxyUrlSettings/update | 애플리케이션 프록시에 대한 URL 설정 업데이트 |
| microsoft.directory/applications/appRoles/update | 모든 유형의 애플리케이션에서 appRoles 속성 업데이트 |
| microsoft.directory/applications/audience/update | 애플리케이션의 대상 그룹 속성 업데이트 |
| microsoft.directory/applications/authentication/update | 모든 유형의 애플리케이션에서 인증 업데이트 |
| microsoft.directory/applications/basic/update | 애플리케이션의 기본 속성 업데이트 |
| microsoft.directory/applications/credentials/update | 애플리케이션 자격 증명 업데이트 |
| microsoft.directory/applications/extensionProperties/update | 애플리케이션의 확장 속성 업데이트 |
| microsoft.directory/applications/notes/update | 애플리케이션의 메모 업데이트 |
| microsoft.directory/applications/owners/update | 애플리케이션 소유자 업데이트 |
| microsoft.directory/applications/permissions/update | 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트 |
| microsoft.directory/applications/policies/update | 애플리케이션 정책 업데이트 |
| microsoft.directory/applications/tag/update | 애플리케이션의 태그 업데이트 |
| microsoft.directory/applications/verification/update | applicationsverification 속성 업데이트 |
| microsoft.directory/applications/synchronization/standard/read | 애플리케이션 개체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/applicationTemplates/instantiate | 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/connectors/create | 프라이빗 네트워크 커넥터 만들기 |
| microsoft.directory/connectors/allProperties/read | 프라이빗 네트워크 커넥터의 모든 속성 읽기 |
| microsoft.directory/connectorGroups/create | 프라이빗 네트워크 커넥터 그룹 만들기 |
| microsoft.directory/connectorGroups/delete | 프라이빗 네트워크 커넥터 그룹 삭제 |
| microsoft.directory/connectorGroups/allProperties/read | 프라이빗 네트워크 커넥터 그룹의 모든 속성 읽기 |
| microsoft.directory/connectorGroups/allProperties/update | 프라이빗 네트워크 커넥터 그룹의 모든 속성 업데이트 |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | 사용자 지정 인증 확장을 만들고 관리합니다. |
| microsoft.directory/deletedItems.applications/delete | 더 이상 복원할 수 없는 애플리케이션 영구 삭제 |
| microsoft.directory/deletedItems.applications/restore | 일시 삭제된 애플리케이션을 원래 상태로 복원 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/applicationPolicies/create | 애플리케이션 정책 만들기 |
| microsoft.directory/applicationPolicies/delete | 애플리케이션 정책 삭제 |
| microsoft.directory/applicationPolicies/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/applicationPolicies/owners/read | 애플리케이션 정책의 소유자 읽기 |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | 개체 목록에 적용된 애플리케이션 정책 읽기 |
| microsoft.directory/applicationPolicies/basic/update | 애플리케이션 정책의 표준 속성 업데이트 |
| microsoft.directory/applicationPolicies/owners/update | 애플리케이션 정책의 소유자 속성 업데이트 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/servicePrincipals/create | 서비스 주체 만들기 |
| microsoft.directory/servicePrincipals/delete | 서비스 주체 삭제 |
| microsoft.directory/servicePrincipals/disable | 서비스 주체를 사용하지 않도록 설정 |
| microsoft.directory/servicePrincipals/enable | 서비스 주체를 사용하도록 설정 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 서비스 주체의 암호 Single Sign-On 자격 증명 관리 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명 관리 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 애플리케이션 프로비전 동기화 작업 시작, 다시 시작, 일시 중지 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 애플리케이션 프로비전 동기화 작업과 스키마 만들기 및 관리 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 애플리케이션 프로비전 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 애플리케이션 프로비전 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 서비스 주체의 암호 Single Sign-On 자격 증명 읽기 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Azure AD Graph 및 Microsoft Graph에 대한 애플리케이션 권한을 제외한 모든 사용자 또는 모든 사용자를 대신하여 애플리케이션 사용 권한 및 위임된 권한에 대한 동의 부여 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/servicePrincipals/audience/update | 서비스 주체의 대상 그룹 속성 업데이트 |
| microsoft.directory/servicePrincipals/authentication/update | 서비스 주체의 인증 속성 업데이트 |
| microsoft.directory/servicePrincipals/basic/update | 서비스 주체의 기본 속성 업데이트 |
| microsoft.directory/servicePrincipals/credentials/update | 서비스 주체의 자격 증명 업데이트 |
| microsoft.directory/servicePrincipals/notes/update | 서비스 주체의 메모 업데이트 |
| microsoft.directory/servicePrincipals/owners/update | 서비스 주체의 소유자 업데이트 |
| microsoft.directory/servicePrincipals/permissions/update | 서비스 주체의 권한 업데이트 |
| microsoft.directory/servicePrincipals/policies/update | 서비스 주체의 정책 업데이트 |
| microsoft.directory/servicePrincipals/tag/update | 서비스 주체의 태그 속성 업데이트 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
애플리케이션 개발자
권한 있는 역할입니다. 이 역할의 사용자는 "사용자가 애플리케이션을 등록할 수 있음" 설정이 아니오로 설정된 경우 애플리케이션 등록을 만들 수 있습니다. 또한 이 역할은 “사용자가 앱이 사용자 대신 회사 데이터에 액세스하는 것에 동의할 수 있음” 설정이 [아니요]로 설정된 경우 대신 동의할 수 있는 권한을 부여합니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록을 만들 때 소유자로 추가됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/applications/createAsOwner | 모든 유형의 애플리케이션 만들기. 작성자는 첫 번째 소유자로 추가됨 |
| microsoft.directory/oAuth2PermissionGrants/createAsOwner | OAuth 2.0 권한 부여 만들기. 작성자는 첫 번째 소유자가 됨 |
| microsoft.directory/servicePrincipals/createAsOwner | 서비스 주체 만들기. 작성자는 첫 번째 소유자가 됨 |
공격 페이로드 작성자
이 역할의 사용자는 공격 페이로드를 만들 수 있지만 실제로 시작하거나 예약할 수는 없습니다. 만들어진 공격 페이로드는 공격 페이로드를 사용하여 시뮬레이션을 만들 수 있는 테넌트의 모든 관리자에게 제공됩니다.
자세한 내용은 Microsoft 365 Defender 포털에서 Office 365용 Microsoft Defender 사용 권한 및 Microsoft Purview 준수 포털에서 사용 권한을 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기 |
공격 시뮬레이션 관리자
이 역할의 사용자는 공격 시뮬레이션 만들기, 시뮬레이션 시작/예약, 시뮬레이션 결과 검토의 모든 측면을 만들고 관리할 수 있습니다. 이 역할의 구성원은 테넌트의 모든 시뮬레이션에 액세스할 수 있습니다.
자세한 내용은 Microsoft 365 Defender 포털에서 Office 365용 Microsoft Defender 사용 권한 및 Microsoft Purview 준수 포털에서 사용 권한을 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기 |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 공격 시뮬레이터에서 공격 시뮬레이션 템플릿 만들기 및 관리 |
특성 할당 관리자
이 역할의 사용자는 사용자, 서비스 주체 및 디바이스와 같은 지원되는 Microsoft Entra 개체에 대한 사용자 지정 보안 특성 키 및 값을 할당하고 제거할 수 있습니다.
기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.
자세한 내용은 Microsoft Entra ID의 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Microsoft Entra 관리 ID에 대한 사용자 지정 보안 특성 값 읽기 |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Microsoft Entra 관리 ID에 대한 사용자 지정 보안 특성 값 업데이트 |
| microsoft.directory/attributeSets/allProperties/read | 특성 집합의 모든 속성 읽기 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 사용자 지정 보안 특성 정의의 모든 속성 읽기 |
| microsoft.directory/devices/customSecurityAttributes/read | 디바이스에 대한 사용자 지정 보안 특성 값 읽기 |
| microsoft.directory/devices/customSecurityAttributes/update | 디바이스에 대한 사용자 지정 보안 특성 값 업데이트 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | 서비스 주체에 대한 사용자 지정 보안 특성 값 읽기 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/update | 서비스 주체에 대한 사용자 지정 보안 특성 값 업데이트 |
| microsoft.directory/users/customSecurityAttributes/read | 사용자에 대한 사용자 지정 보안 특성 값 읽기 |
| microsoft.directory/users/customSecurityAttributes/update | 사용자에 대한 사용자 지정 보안 특성 값 업데이트 |
특성 할당 읽기 권한자
이 역할의 사용자는 지원되는 Microsoft Entra 개체에 대한 사용자 지정 보안 특성 키 및 값을 읽을 수 있습니다.
기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.
자세한 내용은 Microsoft Entra ID의 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 특성 집합의 모든 속성 읽기 |
| microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Microsoft Entra 관리 ID에 대한 사용자 지정 보안 특성 값 읽기 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 사용자 지정 보안 특성 정의의 모든 속성 읽기 |
| microsoft.directory/devices/customSecurityAttributes/read | 디바이스에 대한 사용자 지정 보안 특성 값 읽기 |
| microsoft.directory/servicePrincipals/customSecurityAttributes/read | 서비스 주체에 대한 사용자 지정 보안 특성 값 읽기 |
| microsoft.directory/users/customSecurityAttributes/read | 사용자에 대한 사용자 지정 보안 특성 값 읽기 |
특성 정의 관리자
이 역할의 사용자는 지원되는 Microsoft Entra 개체에 할당할 수 있는 유효한 사용자 지정 보안 특성 집합을 정의할 수 있습니다. 이 역할은 사용자 지정 보안 특성을 활성화 및 비활성화할 수도 있습니다.
기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.
자세한 내용은 Microsoft Entra ID의 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.directory/attributeSets/allProperties/allTasks | 특성 집합의 모든 측면 관리 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | 사용자 지정 보안 특성 정의의 모든 측면 관리 |
특성 정의 읽기 권한자
이 역할의 사용자는 사용자 지정 보안 특성의 정의를 읽을 수 있습니다.
기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성을 읽거나 정의하거나 할당할 수 있는 권한이 없습니다. 사용자 지정 보안 특성을 사용하려면 사용자 지정 보안 특성 역할 중 하나를 할당받아야 합니다.
자세한 내용은 Microsoft Entra ID의 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.directory/attributeSets/allProperties/read | 특성 집합의 모든 속성 읽기 |
| microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | 사용자 지정 보안 특성 정의의 모든 속성 읽기 |
특성 로그 관리자
다음 작업을 수행해야 하는 사용자에게 특성 로그 읽기 권한자 역할을 할당합니다.
- 사용자 지정 보안 특성 값 변경에 대한 감사 로그 읽기
- 사용자 지정 보안 특성 정의 변경 및 할당에 대한 감사 로그 읽기
- 사용자 지정 보안 특성에 대한 진단 설정 구성
이 역할을 가진 사용자는 다른 이벤트에 대한 감사 로그를 읽을 수 없습니다.
기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성에 대한 감사 로그를 읽을 수 있는 권한이 없습니다. 사용자 지정 보안 특성에 대한 감사 로그를 읽으려면 이 역할 또는 특성 로그 읽기 권한자 역할을 할당받아야 합니다.
자세한 내용은 Microsoft Entra ID의 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 사용자 지정 보안 특성과 관련된 감사 로그 읽기 |
| microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks | 사용자 지정 보안 특성 진단 설정의 모든 측면을 구성합니다. |
특성 로그 판독기
다음 작업을 수행해야 하는 사용자에게 특성 로그 읽기 권한자 역할을 할당합니다.
- 사용자 지정 보안 특성 값 변경에 대한 감사 로그 읽기
- 사용자 지정 보안 특성 정의 변경 및 할당에 대한 감사 로그 읽기
이 역할을 가진 사용자는 다음 작업을 수행할 수 없습니다.
- 사용자 지정 보안 특성에 대한 진단 설정 구성
- 다른 이벤트에 대한 감사 로그 읽기
기본적으로 전역 관리자 및 기타 관리자 역할에는 사용자 지정 보안 특성에 대한 감사 로그를 읽을 수 있는 권한이 없습니다. 사용자 지정 보안 특성에 대한 감사 로그를 읽으려면 이 역할 또는 특성 로그 관리자 역할을 할당받아야 합니다.
자세한 내용은 Microsoft Entra ID의 사용자 지정 보안 특성에 대한 액세스 관리를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | 사용자 지정 보안 특성과 관련된 감사 로그 읽기 |
인증 관리자
권한 있는 역할입니다. 다음 작업을 수행해야 하는 사용자에게 인증 관리자 역할을 할당합니다.
- 관리자가 아닌 사용자 및 일부 역할의 인증 방법(암호 포함)을 설정하거나 다시 설정합니다. 인증 관리자가 인증 방법을 읽거나 업데이트할 수 있는 역할 목록은 암호를 다시 설정할 수 있는 사용자를 참조하세요.
- 관리자가 아닌 사용자나 일부 역할이 할당된 사용자가 기존의 비암호 자격 증명(예: MFA 또는 FIDO)을 재등록하도록 요구하며 다음에 로그인할 때 MFA를 요청하도록 디바이스에 MFA 저장을 철회할 수도 있습니다.
- 일부 사용자에 대해 중요한 작업을 수행합니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
- Azure 및 Microsoft 365 관리 센터에서 지원 티켓을 만들고 관리합니다.
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- 역할 할당 가능 그룹의 멤버 및 소유자에 대해 자격 증명을 변경하거나 MFA를 다시 설정할 수 없습니다.
- 레거시 MFA 관리 포털 또는 하드웨어 OATH 토큰의 MFA 설정을 관리할 수 없습니다.
다음 표에서는 인증 관련 역할의 기능을 비교합니다.
| 역할 | 사용자 인증 방법 관리 | 사용자별 MFA 관리 | MFA 설정 관리 | 인증 방법 정책 관리 | 암호 보호 정책 관리 | 중요한 속성 업데이트 | 사용자 삭제 및 복원 |
|---|---|---|---|---|---|---|---|
| 인증 관리자 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 | 예 | 없음 | 예 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 |
| 권한 있는 인증 관리자 | 모든 사용자에 대해 예 | 모든 사용자에 대해 예 | 아니요 | 없음 | 아니요 | 모든 사용자에 대해 예 | 모든 사용자에 대해 예 |
| 인증 정책 관리자 | 아니요 | 없음 | 예 | 네 | 네 | 없음 | 아니요 |
| 사용자 관리자 | 아니요 | 없음 | 없음 | 없음 | 예 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 |
Important
이 역할의 사용자는 Microsoft Entra ID 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 자격 증명을 변경할 수 있습니다. 사용자의 자격 증명을 변경한다는 것은 사용자의 ID 및 사용 권한을 가정할 수 있음을 의미할 수 있습니다. 예시:
- 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Microsoft Entra ID에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 인증 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 인증 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
- Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
- 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Microsoft Entra ID 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
- Exchange Online, Microsoft 365 Defender 포털, Microsoft Purview 준수 포털, 인적 자원 시스템과 같은 Microsoft Entra ID 외부의 다른 서비스 관리자
- 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
| 작업 | 설명 |
|---|---|
| microsoft.directory/users/authenticationMethods/create | 사용자에 대한 인증 방법 업데이트 |
| microsoft.directory/users/authenticationMethods/delete | 사용자에 대한 인증 방법 삭제 |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | 사용자에 대한 개인 식별 정보를 포함하지 않는 인증 방법의 표준 속성 읽기 |
| microsoft.directory/users/authenticationMethods/basic/update | 사용자에 대한 인증 방법의 기본 속성 업데이트 |
| microsoft.directory/deletedItems.users/restore | 일시 삭제된 사용자를 원래 상태로 복원 |
| microsoft.directory/users/delete | 사용자 삭제 |
| microsoft.directory/users/disable | 사용자를 사용하지 않도록 설정 |
| microsoft.directory/users/enable | 사용자를 사용하도록 설정 |
| microsoft.directory/users/invalidateAllRefreshTokens | 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃 |
| microsoft.directory/users/restore | 삭제된 사용자 복원 |
| microsoft.directory/users/basic/update | 사용자의 기본 속성 업데이트 |
| microsoft.directory/users/manager/update | 사용자의 관리자 업데이트 |
| microsoft.directory/users/password/update | 모든 사용자 암호 재설정 |
| microsoft.directory/users/userPrincipalName/update | 사용자의 사용자 계정 이름 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
인증 확장성 관리istrator
권한 있는 역할입니다. 다음 작업을 수행해야 하는 사용자에게 인증 확장성 관리istrator 역할을 할당합니다.
- 사용자 지정 인증 확장의 모든 측면을 만들고 관리합니다.
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- 인증 환경을 수정하기 위해 애플리케이션에 사용자 지정 인증 확장을 할당할 수 없으며, 애플리케이션 권한에 동의하거나 사용자 지정 인증 확장과 연결된 앱 등록을 만들 수 없습니다. 대신 Application 관리istrator, Application Developer 또는 Cloud Application 관리istrator 역할을 사용해야 합니다.
사용자 지정 인증 확장은 인증 이벤트를 위해 개발자가 만든 API 엔드포인트이며 Microsoft Entra ID에 등록됩니다. 애플리케이션 관리자 및 애플리케이션 소유자는 사용자 지정 인증 확장을 사용하여 로그인 및 등록 또는 암호 재설정과 같은 애플리케이션의 인증 환경을 사용자 지정할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | 사용자 지정 인증 확장을 만들고 관리합니다. |
인증 정책 관리자
다음 작업을 수행해야 하는 사용자에게 인증 정책 관리자 역할을 할당합니다.
- 각 사용자가 등록하고 사용할 수 있는 방법을 결정하는 인증 방법 정책, 테넌트 전체 MFA 설정, 암호 보호 정책을 구성합니다.
- 암호 보호 설정인 스마트 잠금 구성 및 사용자 지정 금지 암호 목록 업데이트를 관리합니다.
- 확인 가능한 자격 증명을 만들고 관리합니다.
- Azure 지원 티켓을 만들고 관리합니다.
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- 중요한 속성을 업데이트할 수 없습니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
- 사용자를 삭제하거나 복원할 수 없습니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
- 레거시 MFA 관리 포털 또는 하드웨어 OATH 토큰의 MFA 설정을 관리할 수 없습니다.
다음 표에서는 인증 관련 역할의 기능을 비교합니다.
| 역할 | 사용자 인증 방법 관리 | 사용자별 MFA 관리 | MFA 설정 관리 | 인증 방법 정책 관리 | 암호 보호 정책 관리 | 중요한 속성 업데이트 | 사용자 삭제 및 복원 |
|---|---|---|---|---|---|---|---|
| 인증 관리자 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 | 예 | 없음 | 예 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 |
| 권한 있는 인증 관리자 | 모든 사용자에 대해 예 | 모든 사용자에 대해 예 | 아니요 | 없음 | 아니요 | 모든 사용자에 대해 예 | 모든 사용자에 대해 예 |
| 인증 정책 관리자 | 아니요 | 없음 | 예 | 네 | 네 | 없음 | 아니요 |
| 사용자 관리자 | 아니요 | 없음 | 없음 | 없음 | 예 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 |
| 작업 | 설명 |
|---|---|
| microsoft.directory/organization/strongAuthentication/allTasks | 조직의 강력한 인증 속성의 모든 측면 관리 |
| microsoft.directory/userCredentialPolicies/create | 사용자에 대한 자격 증명 정책 만들기 |
| microsoft.directory/userCredentialPolicies/delete | 사용자에 대한 자격 증명 정책 삭제 |
| microsoft.directory/userCredentialPolicies/standard/read | 사용자에 대한 자격 증명 정책의 표준 속성 읽기 |
| microsoft.directory/userCredentialPolicies/owners/read | 사용자에 대한 자격 증명 정책의 소유자 읽기 |
| microsoft.directory/userCredentialPolicies/policyAppliedTo/read | policy.appliesTo 탐색 링크 읽기 |
| microsoft.directory/userCredentialPolicies/basic/update | 사용자에 대한 기본 정책 업데이트 |
| microsoft.directory/userCredentialPolicies/owners/update | 사용자에 대한 자격 증명 정책의 소유자 업데이트 |
| microsoft.directory/userCredentialPolicies/tenantDefault/update | policy.isOrganizationDefault 속성 업데이트 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 확인 가능한 자격 증명 카드를 읽습니다. |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 확인 가능한 자격 증명 카드 해지 |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | 확인 가능한 자격 증명 계약을 만듭니다. |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 확인 가능한 자격 증명 계약을 읽습니다. |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 확인 가능한 자격 증명 계약을 업데이트합니다. |
| microsoft.directory/verifiableCredentials/configuration/create | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 만들기 |
| microsoft.directory/verifiableCredentials/configuration/delete | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성을 삭제하고 확인 가능한 자격 증명을 모두 삭제 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 읽기 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 업데이트 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
Azure DevOps 관리자
이 역할의 사용자는 Microsoft Entra ID에서 지원하는 모든 Azure DevOps 조직에 적용 가능한 모든 엔터프라이즈 Azure DevOps 정책을 관리할 수 있습니다. 이 역할의 사용자는 회사의 Microsoft Entra ID에서 지원하는 Azure DevOps 조직으로 이동하여 이러한 정책을 관리할 수 있습니다. 또한 이 역할의 사용자는 분리된 Azure DevOps 조직의 소유권을 클레임할 수 있습니다. 이 역할은 회사의 Microsoft Entra ID 조직에서 지원하는 Azure DevOps 조직 내부에서 다른 Azure DevOps 관련 권한(예: 프로젝트 컬렉션 관리자)을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.devOps/allEntities/allTasks | Azure DevOps 읽기 및 구성 |
Azure Information Protection 관리자
이 역할을 가진 사용자는 Azure Information Protection 서비스에 대한 모든 사용 권한을 갖습니다. 이 역할은 Azure Information Protection 정책에 대한 레이블을 구성하고, 보호 템플릿을 관리하고, 보호를 활성화하는 권한을 갖습니다. 이 역할은 ID 보호, Privileged Identity Management, Microsoft 365 서비스 상태 모니터링, Microsoft 365 Defender 포털 또는 Microsoft Purview 준수 포털 사용 권한을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.azure.informationProtection/allEntities/allTasks | Azure Information Protection의 모든 측면 관리 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
B2C IEF 키 집합 관리자
권한 있는 역할입니다. 사용자는 토큰 암호화, 토큰 서명 및 클레임 암호화/암호 해독을 위한 정책 키와 비밀을 만들고 관리할 수 있습니다. 기존 키 컨테이너에 새 키를 추가하면 이 제한된 관리자는 기존 애플리케이션에 영향을 주지 않고 필요에 따라 비밀을 롤오버할 수 있습니다. 이 사용자는 이러한 비밀을 만든 후에도 비밀의 전체 콘텐츠와 만료 날짜를 볼 수 있습니다.
Important
이 역할은 중요한 역할입니다. 사전 프로덕션 및 프로덕션 단계에서 키 세트 관리자 역할을 신중하게 감사하고 할당해야 합니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Azure Active Directory B2C에서 키 집합 읽기 및 구성 |
B2C IEF 정책 관리자
이 역할의 사용자는 Azure AD B2C에서 모든 사용자 지정 정책을 만들고, 읽고, 업데이트하고, 삭제할 수 있으므로 관련 Azure AD B2C 조직의 ID 환경 프레임워크를 완전히 제어할 수 있습니다. 이 사용자는 정책을 편집하여 외부 ID 공급자와의 직접 페더레이션을 설정하고, 디렉터리 스키마를 변경하고, 모든 사용자 관련 콘텐츠(HTML, CSS, JavaScript)를 변경하고, 인증을 완료하기 위한 요구 사항을 변경하고, 새 사용자를 만들고, 전체 마이그레이션을 포함하여 외부 시스템으로 사용자 데이터를 보내고, 암호 및 전화 번호와 같은 중요한 필드를 비롯한 모든 사용자 정보를 편집할 수 있습니다. 반면 이 역할은 암호화 키를 변경하거나 조직의 페더레이션에 사용되는 비밀을 편집할 수 없습니다.
Important
B2 IEF 정책 관리자는 매우 중요한 역할이므로 프로덕션 환경의 조직에 대해 매우 제한적으로 할당해야 합니다. 이러한 사용자의 활동을 면밀하게 감사해야 하며, 특히 프로덕션 조직이 그렇습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Azure Active Directory B2C에서 사용자 지정 정책 읽기 및 구성 |
대금 청구 관리자
구매, 구독 관리, 지원 티켓 관리 및 서비스 상태 모니터링을 수행할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/organization/basic/update | 조직의 기본 속성 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Office 365 청구의 모든 측면 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Cloud App Security 관리자
이 역할의 사용자는 클라우드용 Defender 앱에서 모든 권한을 갖습니다. 관리자를 추가하고 클라우드용 Microsoft Defender 앱 정책과 설정을 추가하고 로그를 업로드하고 거버넌스 작업을 수행할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
클라우드 애플리케이션 관리자
권한 있는 역할입니다. 이 역할의 사용자는 애플리케이션 관리자 역할과 동일한 권한을 가집니다. 다만 애플리케이션 프록시를 관리하는 권한은 없습니다. 이 역할은 엔터프라이즈 애플리케이션 및 애플리케이션 등록의 모든 측면을 만들고 관리하는 기능을 부여합니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.
또한 이 역할은 Azure AD Graph 및 Microsoft Graph에 대한 애플리케이션 권한을 제외하고 위임된 권한 및 애플리케이션 권한에 동의할 수 있는 기능을 부여합니다.
Important
이 예외는 다른 앱(예: 다른 Microsoft 앱, 타사 앱 또는 등록한 앱)에 대한 애플리케이션 권한에 계속 동의할 수 있음을 의미합니다. 여전히 앱을 등록할 때 이 권한을 요청할 수 있지만, 이 권한을 부여(즉, 동의)하려면 전역 관리자처럼 더 많은 권한이 있는 관리자여야 합니다.
이 역할은 애플리케이션 자격 증명을 관리하는 기능을 부여합니다. 이 역할이 할당된 사용자는 애플리케이션에 자격 증명을 추가하고 해당 자격 증명을 사용하여 애플리케이션의 ID를 가장할 수 있습니다. 애플리케이션의 ID에 사용자 또는 다른 개체를 만들거나 업데이트하는 기능과 같이 리소스에 대한 액세스 권한이 부여된 경우 이 역할에 할당된 사용자는 애플리케이션을 가장하는 동안 이러한 작업을 수행할 수 있습니다. 애플리케이션의 ID를 가장하는 이 기능은 본인의 역할 할당을 통해 사용자가 수행할 수 있는 권한 상승이 될 수 있습니다. 애플리케이션 관리자 역할에 사용자를 할당하면 애플리케이션의 ID를 가장하는 기능이 해당 사용자에게 부여된다는 점을 이해해야 합니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Microsoft Entra ID에서 관리자 동의 요청 정책 관리 |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Microsoft Entra ID에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기 |
| microsoft.directory/applications/create | 모든 유형의 애플리케이션 만들기 |
| microsoft.directory/applications/delete | 모든 유형의 애플리케이션을 삭제합니다. |
| microsoft.directory/applications/appRoles/update | 모든 유형의 애플리케이션에서 appRoles 속성 업데이트 |
| microsoft.directory/applications/audience/update | 애플리케이션의 대상 그룹 속성 업데이트 |
| microsoft.directory/applications/authentication/update | 모든 유형의 애플리케이션에서 인증 업데이트 |
| microsoft.directory/applications/basic/update | 애플리케이션의 기본 속성 업데이트 |
| microsoft.directory/applications/credentials/update | 애플리케이션 자격 증명 업데이트 |
| microsoft.directory/applications/extensionProperties/update | 애플리케이션의 확장 속성 업데이트 |
| microsoft.directory/applications/notes/update | 애플리케이션의 메모 업데이트 |
| microsoft.directory/applications/owners/update | 애플리케이션 소유자 업데이트 |
| microsoft.directory/applications/permissions/update | 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트 |
| microsoft.directory/applications/policies/update | 애플리케이션 정책 업데이트 |
| microsoft.directory/applications/tag/update | 애플리케이션의 태그 업데이트 |
| microsoft.directory/applications/verification/update | applicationsverification 속성 업데이트 |
| microsoft.directory/applications/synchronization/standard/read | 애플리케이션 개체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/applicationTemplates/instantiate | 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/deletedItems.applications/delete | 더 이상 복원할 수 없는 애플리케이션 영구 삭제 |
| microsoft.directory/deletedItems.applications/restore | 일시 삭제된 애플리케이션을 원래 상태로 복원 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/applicationPolicies/create | 애플리케이션 정책 만들기 |
| microsoft.directory/applicationPolicies/delete | 애플리케이션 정책 삭제 |
| microsoft.directory/applicationPolicies/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/applicationPolicies/owners/read | 애플리케이션 정책의 소유자 읽기 |
| microsoft.directory/applicationPolicies/policyAppliedTo/read | 개체 목록에 적용된 애플리케이션 정책 읽기 |
| microsoft.directory/applicationPolicies/basic/update | 애플리케이션 정책의 표준 속성 업데이트 |
| microsoft.directory/applicationPolicies/owners/update | 애플리케이션 정책의 소유자 속성 업데이트 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/servicePrincipals/create | 서비스 주체 만들기 |
| microsoft.directory/servicePrincipals/delete | 서비스 주체 삭제 |
| microsoft.directory/servicePrincipals/disable | 서비스 주체를 사용하지 않도록 설정 |
| microsoft.directory/servicePrincipals/enable | 서비스 주체를 사용하도록 설정 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 서비스 주체의 암호 Single Sign-On 자격 증명 관리 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명 관리 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 애플리케이션 프로비전 동기화 작업 시작, 다시 시작, 일시 중지 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 애플리케이션 프로비전 동기화 작업과 스키마 만들기 및 관리 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 애플리케이션 프로비전 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 애플리케이션 프로비전 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 서비스 주체의 암호 Single Sign-On 자격 증명 읽기 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin | Azure AD Graph 및 Microsoft Graph에 대한 애플리케이션 권한을 제외한 모든 사용자 또는 모든 사용자를 대신하여 애플리케이션 사용 권한 및 위임된 권한에 대한 동의 부여 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/servicePrincipals/audience/update | 서비스 주체의 대상 그룹 속성 업데이트 |
| microsoft.directory/servicePrincipals/authentication/update | 서비스 주체의 인증 속성 업데이트 |
| microsoft.directory/servicePrincipals/basic/update | 서비스 주체의 기본 속성 업데이트 |
| microsoft.directory/servicePrincipals/credentials/update | 서비스 주체의 자격 증명 업데이트 |
| microsoft.directory/servicePrincipals/notes/update | 서비스 주체의 메모 업데이트 |
| microsoft.directory/servicePrincipals/owners/update | 서비스 주체의 소유자 업데이트 |
| microsoft.directory/servicePrincipals/permissions/update | 서비스 주체의 권한 업데이트 |
| microsoft.directory/servicePrincipals/policies/update | 서비스 주체의 정책 업데이트 |
| microsoft.directory/servicePrincipals/tag/update | 서비스 주체의 태그 속성 업데이트 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
클라우드 디바이스 관리자
권한 있는 역할입니다. 이 역할의 사용자는 Microsoft Entra ID에서 디바이스를 사용하고 사용하지 않도록 설정하며, 삭제하고, Azure Portal에서 Windows 10 BitLocker 키(있는 경우)를 읽을 수 있습니다. 역할은 디바이스에서 다른 속성을 관리하는 사용 권한을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/deletedItems.devices/delete | 더 이상 복원할 수 없는 디바이스 영구 삭제 |
| microsoft.directory/deletedItems.devices/restore | 일시 삭제된 디바이스를 원래 상태로 복원 |
| microsoft.directory/devices/delete | Microsoft Entra ID에서 디바이스 삭제 |
| microsoft.directory/devices/disable | Microsoft Entra ID에서 디바이스 사용 안 함 |
| microsoft.directory/devices/enable | Microsoft Entra ID에서 디바이스 사용 |
| microsoft.directory/deviceLocalCredentials/password/read | 암호를 포함하여 Microsoft Entra ID에 조인된 디바이스에 대해 백업된 로컬 관리자 계정 자격 증명의 모든 속성 읽기 |
| microsoft.directory/deviceManagementPolicies/standard/read | 모바일 디바이스 관리 및 모바일 앱 관리 정책에서 표준 속성 읽기 |
| microsoft.directory/deviceManagementPolicies/basic/update | 모바일 디바이스 관리 및 모바일 앱 관리 정책의 기본 속성 업데이트 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 디바이스 등록 정책의 표준 속성 읽기 |
| microsoft.directory/deviceRegistrationPolicy/basic/update | 디바이스 등록 정책의 기본 속성 업데이트 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
규정 준수 관리자
이 역할이 있는 사용자에게는 Microsoft Purview 준수 포털, Microsoft 365 관리 센터, Azure, Microsoft 365 Defender 포털에서 규정 준수 관련 기능을 관리할 권한이 있습니다. 또한 담당자는 Exchange 관리 센터 내의 모든 기능을 관리하고, Azure 및 Microsoft 365에 대한 지원 티켓을 만들 수 있습니다. 자세한 내용은 Office 365용 Microsoft Defender 및 Microsoft Purview 준수에서 역할 및 역할 그룹을 참조하세요.
| In | 할 수 있음 |
|---|---|
| Microsoft Purview 규정 준수 포털 | Microsoft 365 서비스 전반에 걸쳐 조직의 데이터 보호 및 관리 규정 준수 경고 관리 |
| Microsoft Purview 준수 관리자 | 조직의 규정 준수 활동 추적, 할당, 확인 |
| Microsoft 365 Defender 포털 | 데이터 거버넌스 관리 법적 조사/데이터 조사 수행 데이터 주체 요청 관리 이 역할은 Microsoft 365 Defender 포털 역할 기반 액세스 제어의 준수 관리자 역할 그룹과 동일한 권한을 갖습니다. |
| Intune | 모든 Intune 감사 데이터 확인 |
| Microsoft Defender for Cloud 앱 | 읽기 전용 권한 소유/경고를 관리할 수 있음 파일 정책을 생성/수정하고 파일 거버넌스 작업을 허용할 수 있음 데이터 관리에서 모든 기본 제공 보고서를 확인할 수 있음 |
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.directory/entitlementManagement/allProperties/read | Microsoft Entra 권한 관리에서 모든 속성 읽기 |
| microsoft.office365.complianceManager/allEntities/allTasks | Office 365 준수 관리자의 모든 측면을 관리합니다. |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
규정 준수 데이터 관리자
이 역할이 있는 사용자는 Microsoft Purview 규정 준수 포털, Microsoft 365 관리 센터, Azure에서 데이터를 추적할 수 있는 권한이 있습니다. 또한 사용자는 Exchange 관리 센터, Compliance Manager, Teams 및 비즈니스용 Skype 관리 센터 내에서 규정 준수 데이터를 추적하고 Azure 및 Microsoft 365의 지원 티켓을 만들 수 있습니다. 준수 관리자와 규정 준수 데이터 관리자 간의 차이점에 대한 자세한 내용은 Office 365용 Microsoft Defender 및 Microsoft Purview 준수에서 역할 및 역할 그룹을 참조하세요.
| In | 할 수 있음 |
|---|---|
| Microsoft Purview 규정 준수 포털 | Microsoft 365 서비스 전반의 규정 준수 관련 정책 모니터링 규정 준수 경고 관리 |
| Microsoft Purview 준수 관리자 | 조직의 규정 준수 활동 추적, 할당, 확인 |
| Microsoft 365 Defender 포털 | 데이터 거버넌스 관리 법적 조사/데이터 조사 수행 데이터 주체 요청 관리 이 역할은 Microsoft 365 Defender 포털 역할 기반 액세스 제어의 규정 준수 데이터 관리자 역할 그룹과 동일한 권한을 갖습니다. |
| Intune | 모든 Intune 감사 데이터 확인 |
| Microsoft Defender for Cloud 앱 | 읽기 전용 권한 소유/경고를 관리할 수 있음 파일 정책을 생성/수정하고 파일 거버넌스 작업을 허용할 수 있음 데이터 관리에서 모든 기본 제공 보고서를 확인할 수 있음 |
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.azure.informationProtection/allEntities/allTasks | Azure Information Protection의 모든 측면 관리 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.complianceManager/allEntities/allTasks | Office 365 준수 관리자의 모든 측면을 관리합니다. |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
조건부 액세스 관리자
권한 있는 역할입니다. 이 역할을 가진 사용자는 Microsoft Entra ID 조건부 액세스 설정을 관리할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/namedLocations/create | 네트워크 위치를 정의하는 사용자 지정 규칙 만들기 |
| microsoft.directory/namedLocations/delete | 네트워크 위치를 정의하는 사용자 지정 규칙 삭제 |
| microsoft.directory/namedLocations/standard/read | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기 |
| microsoft.directory/namedLocations/basic/update | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 업데이트 |
| microsoft.directory/conditionalAccessPolicies/create | 조건부 액세스 정책 만들기 |
| microsoft.directory/conditionalAccessPolicies/delete | 조건부 액세스 정책 삭제 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 정책에 대한 조건부 액세스 읽기 |
| microsoft.directory/conditionalAccessPolicies/owners/read | 조건부 액세스 정책 소유자 읽기 |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 조건부 액세스 정책에 대한 "적용 대상" 속성을 읽습니다. |
| microsoft.directory/conditionalAccessPolicies/basic/update | 조건부 액세스 정책의 기본 속성 업데이트 |
| microsoft.directory/conditionalAccessPolicies/owners/update | 조건부 액세스 정책에 대한 소유자 업데이트 |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | 조건부 액세스 정책에 대한 기본 테넌트 업데이트 |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | MICROSOFT 365 RBAC(역할 기반 액세스 제어) 리소스 작업의 조건부 액세스 인증 컨텍스트 업데이트 |
고객 Lockbox 액세스 승인자
조직에서 Microsoft Purview 고객 Lockbox 요청을 관리합니다. 이러한 고객 Lockbox 요청에 대한 이메일 알림을 수신하고 Microsoft 365 관리 센터에서 요청을 승인 및 거부할 수 있습니다. 고객 Lockbox 기능을 켜거나 끌 수도 있습니다. 전역 관리자만이 이 역할에 할당된 사용자의 암호를 다시 설정할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.lockbox/allEntities/allTasks | 고객 Lockbox의 모든 측면 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Desktop Analytics 관리자
이 역할의 사용자는 Desktop Analytics 서비스를 관리할 수 있습니다. 여기에는 자산 인벤토리를 확인하고, 배포 계획을 만들고, 배포 및 상태를 볼 수 있는 기능이 포함됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | 데스크톱 분석의 모든 측면 관리 |
디렉터리 읽기 권한자
이 역할의 사용자는 기본 디렉터리 정보를 읽을 수 있습니다. 이 역할은 다음 용도로 사용해야 합니다.
- 모든 게스트 사용자가 아닌 특정 게스트 사용자에게만 읽기 권한을 부여합니다.
- “Azure AD 포털에 대한 액세스 권한을 관리자로만 제한”이 “예”로 설정된 경우 관리자가 아닌 특정 사용자에게 Azure Portal에 대한 액세스 권한을 부여합니다.
- Directory.Read.All을 사용할 수 없는 디렉터리에 대한 액세스 권한을 서비스 주체에게 부여합니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/administrativeUnits/standard/read | 관리 단위의 기본 속성 읽기 |
| microsoft.directory/administrativeUnits/members/read | 관리 단위의 구성원 읽기 |
| microsoft.directory/applications/standard/read | 애플리케이션의 표준 속성 읽기 |
| microsoft.directory/applications/owners/read | 애플리케이션 소유자 읽기 |
| microsoft.directory/applications/policies/read | 애플리케이션 정책 읽기 |
| microsoft.directory/contacts/standard/read | Microsoft Entra ID의 연락처에 대한 기본 속성 읽기 |
| microsoft.directory/contacts/memberOf/read | Microsoft Entra ID의 모든 연락처에 대한 그룹 멤버 자격 읽기 |
| microsoft.directory/contracts/standard/read | 파트너 계약의 기본 속성 읽기 |
| microsoft.directory/devices/standard/read | 디바이스의 기본 속성 읽기 |
| microsoft.directory/devices/memberOf/read | 디바이스 멤버 자격 읽기 |
| microsoft.directory/devices/registeredOwners/read | 등록된 디바이스 소유자 읽기 |
| microsoft.directory/devices/registeredUsers/read | 등록된 디바이스 사용자 읽기 |
| microsoft.directory/directoryRoles/standard/read | Microsoft Entra 역할의 기본 속성 읽기 |
| microsoft.directory/directoryRoles/eligibleMembers/read | Microsoft Entra 역할의 적격 멤버 읽기 |
| microsoft.directory/directoryRoles/members/read | Microsoft Entra 역할의 모든 멤버 읽기 |
| microsoft.directory/domains/standard/read | 도메인의 기본 속성 읽기 |
| microsoft.directory/groups/standard/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 표준 속성 읽기 |
| microsoft.directory/groups/appRoleAssignments/read | 그룹의 애플리케이션 역할 할당 읽기 |
| microsoft.directory/groups/memberOf/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 memberOf 속성 읽기 |
| microsoft.directory/groups/members/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 구성원 읽기 |
| microsoft.directory/groups/owners/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 소유자 읽기 |
| microsoft.directory/groups/settings/read | 그룹 설정 읽기 |
| microsoft.directory/groupSettings/standard/read | 그룹 설정의 기본 속성 읽기 |
| microsoft.directory/groupSettingTemplates/standard/read | 그룹 설정 템플릿의 기본 속성 읽기 |
| microsoft.directory/oAuth2PermissionGrants/standard/read | OAuth 2.0 권한 부여의 기본 속성 읽기 |
| microsoft.directory/organization/standard/read | 조직의 기본 속성 읽기 |
| microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | 암호 없는 인증에 대한 신뢰할 수 있는 인증 기관 읽기 |
| microsoft.directory/applicationPolicies/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/roleAssignments/standard/read | 역할 할당의 기본 속성 읽기 |
| microsoft.directory/roleDefinitions/standard/read | 역할 정의의 기본 속성 읽기 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 서비스 주체 역할 할당 읽기 |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | 서비스 주체에 할당된 역할 할당 읽기 |
| microsoft.directory/servicePrincipals/standard/read | 서비스 주체의 기본 속성 읽기 |
| microsoft.directory/servicePrincipals/memberOf/read | 서비스 주체의 그룹 멤버 자격 읽기 |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 서비스 주체의 위임된 권한 부여 읽기 |
| microsoft.directory/servicePrincipals/owners/read | 서비스 주체의 소유자 읽기 |
| microsoft.directory/servicePrincipals/ownedObjects/read | 서비스 주체 소유의 개체 읽기 |
| microsoft.directory/servicePrincipals/policies/read | 서비스 주체의 정책 읽기 |
| microsoft.directory/subscribedSkus/standard/read | 구독의 기본 속성 읽기 |
| microsoft.directory/users/standard/read | 사용자의 기본 속성 읽기 |
| microsoft.directory/users/appRoleAssignments/read | 사용자의 애플리케이션 역할 할당 읽기 |
| microsoft.directory/users/deviceForResourceAccount/read | 사용자의 deviceForResourceAccount 읽기 |
| microsoft.directory/users/directReports/read | 사용자에 대한 직접 보고서 읽기 |
| microsoft.directory/users/licenseDetails/read | 사용자의 라이선스 세부 정보 읽기 |
| microsoft.directory/users/manager/read | 사용자의 관리자 읽기 |
| microsoft.directory/users/memberOf/read | 사용자의 그룹 멤버 자격 읽기 |
| microsoft.directory/users/oAuth2PermissionGrants/read | 사용자에게 위임된 권한 부여 읽기 |
| microsoft.directory/users/ownedDevices/read | 사용자 소유의 디바이스 읽기 |
| microsoft.directory/users/ownedObjects/read | 사용자 소유의 개체 읽기 |
| microsoft.directory/users/photo/read | 사용자 사진 읽기 |
| microsoft.directory/users/registeredDevices/read | 등록된 사용자 디바이스 읽기 |
| microsoft.directory/users/scopedRoleMemberOf/read | 관리 장치로 범위가 한정된 Microsoft Entra 역할의 사용자 멤버 자격 읽기 |
| microsoft.directory/users/sponsors/read | 사용자의 스폰서 읽기 |
디렉터리 동기화 계정
권한 있는 역할입니다. 사용하지 마십시오. 이 역할은 Microsoft Entra Connect 서비스에 자동으로 할당되고 다른 사용에 적합하거나 지원되지 않습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/applications/create | 모든 유형의 애플리케이션 만들기 |
| microsoft.directory/applications/delete | 모든 유형의 애플리케이션을 삭제합니다. |
| microsoft.directory/applications/appRoles/update | 모든 유형의 애플리케이션에서 appRoles 속성 업데이트 |
| microsoft.directory/applications/audience/update | 애플리케이션의 대상 그룹 속성 업데이트 |
| microsoft.directory/applications/authentication/update | 모든 유형의 애플리케이션에서 인증 업데이트 |
| microsoft.directory/applications/basic/update | 애플리케이션의 기본 속성 업데이트 |
| microsoft.directory/applications/credentials/update | 애플리케이션 자격 증명 업데이트 |
| microsoft.directory/applications/notes/update | 애플리케이션의 메모 업데이트 |
| microsoft.directory/applications/owners/update | 애플리케이션 소유자 업데이트 |
| microsoft.directory/applications/permissions/update | 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트 |
| microsoft.directory/applications/policies/update | 애플리케이션 정책 업데이트 |
| microsoft.directory/applications/tag/update | 애플리케이션의 태그 업데이트 |
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Microsoft Entra ID에서 하이브리드 인증 정책 관리 |
| microsoft.directory/organization/dirSync/update | 조직 디렉터리 동기화 속성 업데이트 |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Microsoft Entra ID에서 PHS(암호 해시 동기화)의 모든 측면 관리 |
| microsoft.directory/policies/create | Microsoft Entra ID에서 정책 만들기 |
| microsoft.directory/policies/delete | Microsoft Entra ID에서 정책 삭제 |
| microsoft.directory/policies/standard/read | 정책의 기본 속성 읽기 |
| microsoft.directory/policies/owners/read | 정책의 소유자 읽기 |
| microsoft.directory/policies/policyAppliedTo/read | policies.policyAppliedTo 속성 읽기 |
| microsoft.directory/policies/basic/update | 정책의 기본 속성 업데이트 |
| microsoft.directory/policies/owners/update | 정책의 소유자 업데이트 |
| microsoft.directory/policies/tenantDefault/update | 기본 조직 정책 업데이트 |
| microsoft.directory/servicePrincipals/create | 서비스 주체 만들기 |
| microsoft.directory/servicePrincipals/delete | 서비스 주체 삭제 |
| microsoft.directory/servicePrincipals/enable | 서비스 주체를 사용하도록 설정 |
| microsoft.directory/servicePrincipals/disable | 서비스 주체를 사용하지 않도록 설정 |
| microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials | 서비스 주체의 암호 Single Sign-On 자격 증명 관리 |
| microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials | 서비스 주체의 암호 Single Sign-On 자격 증명 읽기 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/read | 서비스 주체 역할 할당 읽기 |
| microsoft.directory/servicePrincipals/appRoleAssignments/read | 서비스 주체에 할당된 역할 할당 읽기 |
| microsoft.directory/servicePrincipals/standard/read | 서비스 주체의 기본 속성 읽기 |
| microsoft.directory/servicePrincipals/memberOf/read | 서비스 주체의 그룹 멤버 자격 읽기 |
| microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | 서비스 주체의 위임된 권한 부여 읽기 |
| microsoft.directory/servicePrincipals/owners/read | 서비스 주체의 소유자 읽기 |
| microsoft.directory/servicePrincipals/ownedObjects/read | 서비스 주체 소유의 개체 읽기 |
| microsoft.directory/servicePrincipals/policies/read | 서비스 주체의 정책 읽기 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/servicePrincipals/audience/update | 서비스 주체의 대상 그룹 속성 업데이트 |
| microsoft.directory/servicePrincipals/authentication/update | 서비스 주체의 인증 속성 업데이트 |
| microsoft.directory/servicePrincipals/basic/update | 서비스 주체의 기본 속성 업데이트 |
| microsoft.directory/servicePrincipals/credentials/update | 서비스 주체의 자격 증명 업데이트 |
| microsoft.directory/servicePrincipals/notes/update | 서비스 주체의 메모 업데이트 |
| microsoft.directory/servicePrincipals/owners/update | 서비스 주체의 소유자 업데이트 |
| microsoft.directory/servicePrincipals/permissions/update | 서비스 주체의 권한 업데이트 |
| microsoft.directory/servicePrincipals/policies/update | 서비스 주체의 정책 업데이트 |
| microsoft.directory/servicePrincipals/tag/update | 서비스 주체의 태그 속성 업데이트 |
디렉터리 작성자
권한 있는 역할입니다. 이 역할의 사용자는 사용자, 그룹 및 서비스 주체의 기본 정보를 읽고 업데이트할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/applications/extensionProperties/update | 애플리케이션의 확장 속성 업데이트 |
| microsoft.directory/contacts/create | 연락처 만들기 |
| microsoft.directory/groups/assignLicense | 그룹 기반 라이선스 그룹에 제품 라이선스 할당 |
| microsoft.directory/groups/create | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups/reprocessLicenseAssignment | 그룹 기반 라이선스의 라이선스 할당 다시 처리 |
| microsoft.directory/groups/basic/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups/classification/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 분류 속성 업데이트 |
| microsoft.directory/groups/dynamicMembershipRule/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 동적 멤버 관리 규칙 업데이트 |
| microsoft.directory/groups/groupType/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 그룹 유형에 영향을 주는 속성 업데이트 |
| microsoft.directory/groups/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups/onPremWriteBack/update | Microsoft Entra Connect를 사용하여 온-프레미스에 다시 기록되도록 Microsoft Entra 그룹 업데이트 |
| microsoft.directory/groups/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.directory/groups/settings/update | 그룹 설정 읽기 |
| microsoft.directory/groups/visibility/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 가시성 속성 업데이트 |
| microsoft.directory/groupSettings/create | 그룹 설정 만들기 |
| microsoft.directory/groupSettings/delete | 그룹 설정 삭제 |
| microsoft.directory/groupSettings/basic/update | 그룹 설정의 기본 속성 업데이트 |
| microsoft.directory/oAuth2PermissionGrants/create | OAuth 2.0 권한 부여 만들기 |
| microsoft.directory/oAuth2PermissionGrants/basic/update | OAuth 2.0 권한 부여 업데이트 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명 관리 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 애플리케이션 프로비전 동기화 작업 시작, 다시 시작, 일시 중지 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 애플리케이션 프로비전 동기화 작업과 스키마 만들기 및 관리 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 애플리케이션 프로비전 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 애플리케이션 프로비전 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/users/assignLicense | 사용자 라이선스 관리 |
| microsoft.directory/users/create | 사용자 추가 |
| microsoft.directory/users/disable | 사용자를 사용하지 않도록 설정 |
| microsoft.directory/users/enable | 사용자를 사용하도록 설정 |
| microsoft.directory/users/invalidateAllRefreshTokens | 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃 |
| microsoft.directory/users/inviteGuest | 게스트 사용자 초대 |
| microsoft.directory/users/reprocessLicenseAssignment | 사용자에 대한 라이선스 할당 다시 처리 |
| microsoft.directory/users/basic/update | 사용자의 기본 속성 업데이트 |
| microsoft.directory/users/manager/update | 사용자의 관리자 업데이트 |
| microsoft.directory/users/photo/update | 사용자 사진 업데이트 |
| microsoft.directory/users/sponsors/update | 사용자의 스폰서 업데이트 |
| microsoft.directory/users/userPrincipalName/update | 사용자의 사용자 계정 이름 업데이트 |
도메인 이름 관리자
권한 있는 역할입니다. 이 역할을 가진 사용자는 도메인 이름을 관리(읽기, 추가, 확인, 업데이트, 삭제)할 수 있습니다. 뿐만 아니라 사용자, 그룹 및 애플리케이션에 대한 디렉터리 정보를 읽을 수도 있습니다. 이러한 개체는 도메인 종속성을 갖고 있기 때문입니다. 온-프레미스 환경의 경우, 해당 역할을 가진 사용자는 연결된 사용자가 항상 온-프레미스에서 인증되도록 페더레이션을 위한 도메인 이름을 구성할 수 있습니다. 해당 사용자는 Single Sign-On을 통해 온-프레미스 암호를 사용하여 Microsoft Entra 기반 서비스에 로그인할 수 있습니다. 페더레이션 설정은 Microsoft Entra Connect를 통해 동기화해야 하므로 사용자는 Microsoft Entra Connect를 관리할 수 있는 권한도 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/domains/allProperties/allTasks | 도메인 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Dynamics 365 관리자
이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Dynamics 365 Online 내에서 글로벌 사용 권한을 가질 뿐만 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 서비스 관리자 역할을 사용하여 테넌트 관리를 참조하세요.
참고 항목
Microsoft Graph API 및 Azure AD PowerShell에서 이 역할의 이름은 Dynamics 365 서비스 관리자로 지정됩니다. Azure Portal에서 이름이 Dynamics 365 관리자로 지정됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.dynamics365/allEntities/allTasks | Dynamics 365의 모든 측면 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Dynamics 365 Business Central 관리istrator
다음 작업을 수행해야 하는 사용자에게 Dynamics 365 Business Central 관리istrator 역할을 할당합니다.
- Dynamics 365 Business Central 환경에 액세스
- 환경에서 모든 관리 작업 수행
- 고객 환경의 수명 주기 관리
- 환경에 설치된 확장을 감독합니다.
- 환경 업그레이드 제어
- 환경의 데이터 내보내기 수행
- Azure 및 Microsoft 365 서비스 상태 대시보드 읽기 및 구성
이 역할은 다른 Dynamics 365 제품에 대한 사용 권한을 제공하지 않습니다.
| actions | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.directory/subscribedSkus/allProperties/read | 제품 구독의 모든 속성 읽기 |
| microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Dynamics 365 Business Central의 모든 측면 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Edge 관리자
이 역할의 사용자는 Microsoft Edge에서 Internet Explorer 모드에 필요한 엔터프라이즈 사이트 목록을 만들고 관리할 수 있습니다. 이 역할은 사이트 목록을 만들고, 편집하고, 게시할 수 있는 권한을 부여하고, 추가적으로 지원 티켓을 관리할 수 있는 액세스 권한을 허용합니다. 자세한 정보
| 작업 | 설명 |
|---|---|
| microsoft.edge/allEntities/allProperties/allTasks | Microsoft Edge의 모든 측면 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Exchange 관리자
이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Exchange Online 내에서 글로벌 사용 권한을 갖습니다. 또한 모든 Microsoft 365 그룹을 만들고 관리하고, 지원 티켓을 관리하고, 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 Microsoft 365 관리 센터 관리자 역할 정보를 참조하세요.
참고 항목
Microsoft Graph API 및 Azure AD PowerShell에서 이 역할의 이름은 Exchange 서비스 관리자로 지정됩니다. Azure Portal에서 이름이 Exchange 관리자로 지정됩니다. Exchange 관리 센터에서 이름이 Exchange Online 관리자로 지정됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기 |
| microsoft.directory/groups.unified/create | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups.unified/delete | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups.unified/restore | 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원 |
| microsoft.directory/groups.unified/basic/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.unified/members/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups.unified/owners/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.exchange/allEntities/basic/allTasks | Exchange Online의 모든 측면 관리 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Exchange 수신자 관리자
이 역할을 가진 사용자는 받는 사람에 대한 읽기 권한과 Exchange Online에서 해당 받는 사람의 특성에 대한 쓰기 권한을 갖습니다. 자세한 내용은 Exchange Server의 받는 사람을 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.office365.exchange/recipients/allProperties/allTasks | Exchange Online에서 모든 받는 사람을 생성 및 삭제하고, 받는 사람의 모든 속성을 읽고 업데이트합니다. |
| microsoft.office365.exchange/migration/allProperties/allTasks | Exchange Online에서 받는 사람 마이그레이션과 관련한 모든 작업을 관리합니다. |
외부 ID 사용자 흐름 관리자
이 역할을 가진 사용자는 Azure Portal에서 사용자 흐름(“기본 제공” 정책이라고도 함)을 만들고 관리할 수 있습니다. 이러한 사용자는 HTML/CSS/JavaScript 콘텐츠를 사용자 지정하고, MFA 요구 사항을 변경하고, 토큰에서 클레임을 선택하고, API 커넥터 및 해당 자격 증명을 관리하고, Microsoft Entra 조직의 모든 사용자 흐름에 대한 세션 설정을 구성할 수 있습니다. 반면 이 역할은 사용자 데이터를 검토하거나 조직 스키마에 포함된 특성을 변경할 수 없습니다. Identity Experience Framework(사용자 지정 정책이라고도 함) 정책을 변경하는 것도 이 역할의 범위를 벗어납니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/b2cUserFlow/allProperties/allTasks | Azure Active Directory B2C에서 사용자 흐름 읽기 및 구성 |
외부 ID 사용자 흐름 특성 관리자
이 역할의 사용자는 Microsoft Entra 조직의 모든 사용자 흐름에서 사용할 수 있는 사용자 지정 특성을 추가 또는 삭제할 수 있습니다. 따라서 이 역할의 사용자는 새 요소를 변경하거나 최종 사용자 스키마에 추가하고 모든 사용자 흐름의 동작에 영향을 줄 수 있으며, 이로 인해 최종 사용자에게 요청하여 결국 애플리케이션에 대한 클레임으로 전송되는 데이터를 간접적으로 변경할 수 있습니다. 이 역할은 사용자 흐름을 편집할 수 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/b2cUserAttribute/allProperties/allTasks | Azure Active Directory B2C에서 사용자 특성 읽기 및 구성 |
외부 ID 공급자 관리자
권한 있는 역할입니다. 이 관리자는 Microsoft Entra 조직과 외부 ID 공급자 간의 페더레이션을 관리합니다. 이 역할의 사용자는 새 ID 공급자를 추가하고 사용 가능한 모든 설정(예: 인증 경로, 서비스 ID, 할당된 키 컨테이너)을 구성할 수 있습니다. 이 사용자는 Microsoft Entra 조직이 외부 ID 공급자의 인증을 신뢰할 수 있게 해줍니다. 최종 사용자 환경에 미치는 영향은 조직의 유형에 따라 달라집니다.
- 직원 및 파트너를 위한 Microsoft Entra 조직: 페더레이션을 추가하면(예: Gmail을 사용하여) 아직 사용되지 않은 모든 게스트 초대에 즉시 영향을 줍니다. Google을 B2B 게스트 사용자에 대한 ID 공급자로 추가를 참조하세요.
- Azure Active Directory B2C 조직: 페더레이션을 추가해도(예: Facebook 또는 다른 Microsoft Entra 조직을 사용하여) 사용자 흐름(기본 제공 정책이라고도 함)에서 ID 공급자를 옵션으로 추가하기 전에는 최종 사용자 흐름에 즉시 영향을 주지 않습니다. 관련 예제는 Microsoft 계정을 ID 공급자로 구성을 참조하세요. 사용자 흐름을 변경하려면 "B2C 사용자 흐름 관리자"의 제한된 역할이 필요합니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/domains/federation/update | 도메인의 페더레이션 속성 업데이트 |
| microsoft.directory/identityProviders/allProperties/allTasks | Azure Active Directory B2C에서 ID 공급자 읽기 및 구성 |
패브릭 관리자
이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Fabric 및 Power BI 내에서 글로벌 사용 권한을 가질 뿐만 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 패브릭 관리자 역할 이해를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.powerApps.powerBI/allEntities/allTasks | 패브릭 및 Power BI의 모든 측면 관리 |
전역 관리자
권한 있는 역할입니다. 이 역할의 사용자는 Microsoft Entra ID의 모든 관리 기능과 Microsoft 365 Defender, 포털, Microsoft Purview 규정 준수 포털, Exchange Online, SharePoint Online, 비즈니스용 Skype Online과 같은 Microsoft Entra ID를 사용하는 서비스에 액세스할 수 있습니다. 전역 관리자는 디렉터리 활동 로그를 볼 수 있습니다. 뿐만 아니라 전역 관리자는 모든 Azure 구독 및 관리 그룹을 관리하기 위해 액세스 권한을 승격할 수 있습니다. 이렇게 하면 전역 관리자가 각 Microsoft Entra 테넌트를 사용하여 모든 Azure 리소스에 대한 전체 액세스 권한을 얻을 수 있습니다. Microsoft Entra 조직에 가입하는 사람은 전역 관리자가 됩니다. 회사에 여러 전역 관리자가 있을 수 있습니다. 전역 관리자는 모든 사용자 및 모든 다른 관리자의 암호를 다시 설정할 수 있습니다. 전역 관리자는 자신의 전역 관리자 할당을 제거할 수 없습니다. 조직의 전역 관리자가 한 명도 없는 상황을 방지하기 위한 조치입니다.
참고 항목
가장 좋은 방법은 조직에서 5명 미만의 사용자에게 전역 관리자 역할을 할당하는 것입니다. 자세한 내용은 Microsoft Entra 역할을 위한 모범 사례를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.directory/accessReviews/allProperties/allTasks | (사용되지 않음) Microsoft Entra ID에서 액세스 검토 작성 및 삭제, 액세스 검토의 모든 속성 업데이트 및 그룹의 액세스 검토 관리 |
| microsoft.directory/accessReviews/definitions/allProperties/allTasks | Microsoft Entra ID에서 검토 가능한 모든 리소스에 대한 액세스 검토 관리 |
| microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks | Microsoft Entra ID에서 관리자 동의 요청 정책 관리 |
| microsoft.directory/administrativeUnits/allProperties/allTasks | 관리 단위(구성원 포함)를 만들고 관리합니다. |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Microsoft Entra ID에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기 |
| microsoft.directory/applications/allProperties/allTasks | 애플리케이션 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/applications/synchronization/standard/read | 애플리케이션 개체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/applicationTemplates/instantiate | 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/users/authenticationMethods/create | 사용자에 대한 인증 방법 업데이트 |
| microsoft.directory/users/authenticationMethods/delete | 사용자에 대한 인증 방법 삭제 |
| microsoft.directory/users/authenticationMethods/standard/read | 사용자에 대한 인증 방법의 표준 속성 읽기 |
| microsoft.directory/users/authenticationMethods/basic/update | 사용자에 대한 인증 방법의 기본 속성 업데이트 |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | 권한 부여 정책의 모든 측면 관리 |
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.directory/connectors/create | 프라이빗 네트워크 커넥터 만들기 |
| microsoft.directory/connectors/allProperties/read | 프라이빗 네트워크 커넥터의 모든 속성 읽기 |
| microsoft.directory/connectorGroups/create | 프라이빗 네트워크 커넥터 그룹 만들기 |
| microsoft.directory/connectorGroups/delete | 프라이빗 네트워크 커넥터 그룹 삭제 |
| microsoft.directory/connectorGroups/allProperties/read | 프라이빗 네트워크 커넥터 그룹의 모든 속성 읽기 |
| microsoft.directory/connectorGroups/allProperties/update | 프라이빗 네트워크 커넥터 그룹의 모든 속성 업데이트 |
| microsoft.directory/contacts/allProperties/allTasks | 연락처 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/contracts/allProperties/allTasks | 파트너 계약 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | 사용자 지정 인증 확장을 만들고 관리합니다. |
| microsoft.directory/deletedItems/delete | 더 이상 복원할 수 없는 개체 영구 삭제 |
| microsoft.directory/deletedItems/restore | 일시 삭제된 개체를 원래 상태로 복원 |
| microsoft.directory/devices/allProperties/allTasks | 디바이스 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groupsAssignableToRoles/assignLicense | 역할 할당 가능 그룹에 라이선스 할당 |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | 역할 할당 가능 그룹에 라이선스 할당 다시 처리 |
| microsoft.directory/multiTenantOrganization/basic/update | 다중 테넌트 조직의 기본 속성 업데이트 |
| microsoft.directory/multiTenantOrganization/create | 다중 테넌트 조직 만들기 |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | 다중 테넌트 조직에 조인 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 다중 테넌트 조직 조인 요청의 속성 읽기 |
| microsoft.directory/multiTenantOrganization/standard/read | 다중 테넌트 조직의 기본 속성 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | 다중 테넌트 조직에 참여하는 테넌트 기본 속성 업데이트 |
| microsoft.directory/multiTenantOrganization/tenants/create | 다중 테넌트 조직에서 테넌트 만들기 |
| microsoft.directory/multiTenantOrganization/tenants/delete | 다중 테넌트 조직에 참여하는 테넌트 삭제 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 다중 테넌트 조직에 참여하는 테넌트의 조직 세부 정보 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 다중 테넌트 조직에 참여하는 테넌트의 기본 속성 읽기 |
| microsoft.directory/namedLocations/create | 네트워크 위치를 정의하는 사용자 지정 규칙 만들기 |
| microsoft.directory/namedLocations/delete | 네트워크 위치를 정의하는 사용자 지정 규칙 삭제 |
| microsoft.directory/namedLocations/standard/read | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기 |
| microsoft.directory/namedLocations/basic/update | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 업데이트 |
| microsoft.directory/deviceLocalCredentials/password/read | 암호를 포함하여 Microsoft Entra ID에 조인된 디바이스에 대해 백업된 로컬 관리자 계정 자격 증명의 모든 속성 읽기 |
| microsoft.directory/deviceManagementPolicies/standard/read | 모바일 디바이스 관리 및 모바일 앱 관리 정책에서 표준 속성 읽기 |
| microsoft.directory/deviceManagementPolicies/basic/update | 모바일 디바이스 관리 및 모바일 앱 관리 정책의 기본 속성 업데이트 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 디바이스 등록 정책의 표준 속성 읽기 |
| microsoft.directory/deviceRegistrationPolicy/basic/update | 디바이스 등록 정책의 기본 속성 업데이트 |
| microsoft.directory/directoryRoles/allProperties/allTasks | 디렉터리 역할 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/directoryRoleTemplates/allProperties/allTasks | Microsoft Entra 역할 템플릿 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/domains/allProperties/allTasks | 도메인 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/domains/federationConfiguration/standard/read | 도메인에 대한 페더레이션 구성의 표준 속성 읽기 |
| microsoft.directory/domains/federationConfiguration/basic/update | 도메인에 대한 기본 페더레이션 구성 업데이트 |
| microsoft.directory/domains/federationConfiguration/create | 도메인에 대한 페더레이션 구성 만들기 |
| microsoft.directory/domains/federationConfiguration/delete | 도메인에 대한 페더레이션 구성 삭제 |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Microsoft Entra 권한 관리에서 리소스 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groups/allProperties/allTasks | 그룹 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groupsAssignableToRoles/create | 역할 할당 가능 그룹 만들기 |
| microsoft.directory/groupsAssignableToRoles/delete | 역할 할당 가능 그룹 삭제 |
| microsoft.directory/groupsAssignableToRoles/restore | 역할 할당 가능 그룹 복원 |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | 역할 할당 가능 그룹 업데이트 |
| microsoft.directory/groupSettings/allProperties/allTasks | 그룹 설정 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groupSettingTemplates/allProperties/allTasks | 그룹 설정 템플릿 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Microsoft Entra ID에서 하이브리드 인증 정책 관리 |
| microsoft.directory/identityProtection/allProperties/allTasks | Microsoft Entra ID 보호에서 모든 리소스를 만들고 삭제하고, 표준 속성을 읽고 업데이트합니다. |
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | loginTenantBranding 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/organization/allProperties/allTasks | 조직의 모든 속성 읽기 및 업데이트 |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Microsoft Entra ID에서 PHS(암호 해시 동기화)의 모든 측면 관리 |
| microsoft.directory/policies/allProperties/allTasks | 정책 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/conditionalAccessPolicies/allProperties/allTasks | 조건부 액세스 정책의 모든 속성 관리 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 테넌트 간 액세스 정책의 허용된 클라우드 엔드포인트 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/basic/update | 테넌트 간 액세스 정책의 기본 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 기본 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 기본 테넌트 간 액세스 정책의 Microsoft Entra B2B 협업 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 기본 테넌트 간 액세스 정책의 Microsoft Entra B2B 직접 연결 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 기본 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 기본 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 파트너에 대한 테넌트 간 액세스 정책 만들기 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 파트너에 대한 테넌트 간 액세스 정책 삭제 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | 다중 테넌트 조직을 위한 테넌트 간 동기화 정책 템플릿 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | 다중 테넌트 조직의 교차 테넌트 동기화 정책 템플릿을 기본 설정으로 다시 설정 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 다중 테넌트 조직을 위한 테넌트 간 동기화 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | 다중 테넌트 조직에 대한 테넌트 간 액세스 정책 템플릿 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | 다중 테넌트 조직에 대한 테넌트 간 액세스 정책 템플릿을 기본 설정으로 초기화 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 다중 테넌트 조직을 위한 테넌트 간 액세스 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 파트너에 대한 테넌트 간 액세스 정책의 Microsoft Entra B2B 협업 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | 파트너에 대한 테넌트 간 액세스 정책의 Microsoft Entra B2B 직접 연결 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 파트너에 대한 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 파트너에 대한 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | 파트너에 대한 테넌트 간 동기화 정책 만들기 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | 테넌트 간 동기화 정책의 기본 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | 테넌트 간 동기화 정책의 기본 속성 읽기 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management에서 모든 리소스 읽기 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | MICROSOFT 365 RBAC(역할 기반 액세스 제어) 리소스 작업의 조건부 액세스 인증 컨텍스트 업데이트 |
| microsoft.directory/roleAssignments/allProperties/allTasks | 역할 할당 만들기 및 삭제, 모든 역할 할당 속성 읽기 및 업데이트 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | 역할 정의 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | scopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/serviceAction/activateService | 서비스에 대해 "서비스 활성화" 작업 수행 가능 |
| microsoft.directory/serviceAction/disableDirectoryFeature | "디렉터리 기능 사용 안 함" 서비스 작업 수행 가능 |
| microsoft.directory/serviceAction/enableDirectoryFeature | "디렉터리 기능 사용" 서비스 작업 수행 가능 |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Getavailableextentionproperties 서비스 작업 수행 가능 |
| microsoft.directory/servicePrincipals/allProperties/allTasks | 서비스 주체 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | 애플리케이션에 대한 권한 부여 동의 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 애플리케이션 프로비전 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 애플리케이션 프로비전 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.directory/subscribedSkus/allProperties/allTasks | 구독 구입, 관리 및 삭제 |
| microsoft.directory/users/allProperties/allTasks | 사용자 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/users/convertExternalToInternalMemberUser | 외부 사용자를 내부 사용자로 전환 |
| microsoft.directory/permissionGrantPolicies/create | 권한 부여 정책 만들기 |
| microsoft.directory/permissionGrantPolicies/delete | 권한 부여 정책 삭제 |
| microsoft.directory/permissionGrantPolicies/standard/read | 권한 부여 정책의 표준 속성 읽기 |
| microsoft.directory/permissionGrantPolicies/basic/update | 권한 부여 정책의 기본 속성 업데이트 |
| microsoft.directory/servicePrincipalCreationPolicies/create | 서비스 주체 만들기 정책 만들기 |
| microsoft.directory/servicePrincipalCreationPolicies/delete | 서비스 주체 만들기 정책 삭제 |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | 서비스 주체 만들기 정책의 표준 속성 읽기 |
| microsoft.directory/servicePrincipalCreationPolicies/basic/update | 서비스 주체 만들기 정책의 기본 속성 업데이트 |
| microsoft.directory/tenantManagement/tenants/create | Microsoft Entra ID에서 새 테넌트 만들기 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 확인 가능한 자격 증명 카드를 읽습니다. |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | 확인 가능한 자격 증명 카드 해지 |
| microsoft.directory/verifiableCredentials/configuration/contracts/create | 확인 가능한 자격 증명 계약을 만듭니다. |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 확인 가능한 자격 증명 계약을 읽습니다. |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | 확인 가능한 자격 증명 계약을 업데이트합니다. |
| microsoft.directory/verifiableCredentials/configuration/create | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 만들기 |
| microsoft.directory/verifiableCredentials/configuration/delete | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성을 삭제하고 확인 가능한 자격 증명을 모두 삭제 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 읽기 |
| microsoft.directory/verifiableCredentials/configuration/allProperties/update | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 업데이트 |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Microsoft Entra ID에서 수명 주기 워크플로 및 작업의 모든 측면 관리 |
| microsoft.directory/pendingExternalUserProfiles/create | Teams용 확장 디렉터리에 외부 사용자 프로필 만들기 |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Teams용 확장 디렉터리에서 외부 사용자 프로필의 표준 속성 읽기 |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Teams용 확장 디렉터리에서 외부 사용자 프로필의기본 속성 업데이트 |
| microsoft.directory/pendingExternalUserProfiles/delete | Teams용 확장 디렉터리에 외부 사용자 프로필 삭제 |
| microsoft.directory/externalUserProfiles/standard/read | Teams용 확장 디렉터리에서 외부 사용자 프로필의 표준 속성 읽기 |
| microsoft.directory/externalUserProfiles/basic/update | Teams용 확장 디렉터리에서 외부 사용자 프로필의기본 속성 업데이트 |
| microsoft.directory/externalUserProfiles/delete | Teams용 확장 디렉터리에 외부 사용자 프로필 삭제 |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Azure Advanced Threat Protection의 모든 측면 관리 |
| microsoft.azure.informationProtection/allEntities/allTasks | Azure Information Protection의 모든 측면 관리 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Windows 365의 모든 측면 관리 |
| microsoft.commerce.billing/allEntities/allProperties/allTasks | Office 365 청구의 모든 측면 관리 |
| microsoft.commerce.billing/purchases/standard/read | M365 관리 센터에서 구매 서비스 읽기 |
| microsoft.dynamics365/allEntities/allTasks | Dynamics 365의 모든 측면 관리 |
| microsoft.edge/allEntities/allProperties/allTasks | Microsoft Edge의 모든 측면 관리 |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Microsoft Entra 네트워크 액세스의 모든 측면 관리 |
| microsoft.flow/allEntities/allTasks | Microsoft Power Automate의 모든 측면 관리 |
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | 다른 사용자가 만든 배송 주소를 포함하여 Microsoft 하드웨어 보증 클레임에 대한 배송 주소를 만들고, 읽고, 업데이트하고, 삭제합니다. |
| microsoft.hardware.support/shippingStatus/allProperties/read | 미해결 Microsoft 하드웨어 보증 클레임에 대한 배송 상태를 읽습니다. |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Microsoft 하드웨어 보증 클레임의 모든 측면 만들고 관리합니다. |
| microsoft.insights/allEntities/allProperties/allTasks | Insights 앱의 모든 측면 관리 |
| microsoft.intune/allEntities/allTasks | Microsoft Intune의 모든 측면 관리 |
| microsoft.office365.complianceManager/allEntities/allTasks | Office 365 준수 관리자의 모든 측면을 관리합니다. |
| microsoft.office365.desktopAnalytics/allEntities/allTasks | 데스크톱 분석의 모든 측면 관리 |
| microsoft.office365.exchange/allEntities/basic/allTasks | Exchange Online의 모든 측면 관리 |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks | SharePoint Embedded 컨테이너의 모든 측면 관리 |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Microsoft 365 관리 센터에서 콘텐츠 이해의 모든 속성 읽기 및 업데이트 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Microsoft 365 관리 센터에서 콘텐츠 이해에 대한 분석 보고서 읽기 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Microsoft 365 관리 센터에서 지식 네트워크의 모든 속성 읽기 및 업데이트 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Microsoft 365 관리 센터에서 지식 네트워크의 항목 표시 유형 관리 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | 학습 앱에서 학습 원본 및 모든 속성을 관리합니다. |
| microsoft.office365.lockbox/allEntities/allTasks | 고객 Lockbox의 모든 측면 관리 |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.messageCenter/securityMessages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지 읽기 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Microsoft 365 마이그레이션의 모든 측면 관리 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Microsoft 365 조직 메시지의 모든 작성 측면 관리 |
| microsoft.office365.protectionCenter/allEntities/allProperties/allTasks | 보안 및 규정 준수 센터의 모든 측면 관리 |
| microsoft.office365.search/content/manage | Microsoft Search에서 콘텐츠 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Office 365 보안 및 규정 준수 센터에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 비즈니스용 Skype Online의 모든 측면 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.userCommunication/allEntities/allTasks | 새로운 기능 메시지를 읽고 표시 여부 업데이트 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Yammer의 모든 측면 관리 |
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Microsoft Entra 사용 권한 관리의 모든 측면 관리 |
| microsoft.powerApps/allEntities/allTasks | Power Apps의 모든 측면 관리 |
| microsoft.powerApps.powerBI/allEntities/allTasks | 패브릭 및 Power BI의 모든 측면 관리 |
| microsoft.teams/allEntities/allProperties/allTasks | Teams에서 모든 리소스 관리 |
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 관리 센터 또는 Virtual Visits 앱에서 Virtual Visits 정보 및 메트릭 관리 및 공유 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Microsoft Viva Goals의 모든 측면 관리 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Microsoft Viva Pulse의 모든 측면 관리 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | 엔드포인트용 Microsoft Defender의 모든 측면 관리 |
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Windows Update 서비스의 모든 측면 읽기 및 구성 |
전역 판독기
권한 있는 역할입니다. 이 역할의 사용자는 모든 Microsoft 365 서비스의 설정 및 관리 정보를 읽을 수 있지만 관리 작업을 수행할 수는 없습니다. 전역 읽기 권한자는 전역 관리자에 대응되는 읽기 전용입니다. 계획, 감사 또는 조사에는 전역 관리자 대신 전역 읽기 권한자를 할당합니다. 전역 관리자 역할을 할당하지 않고 Exchange 관리자처럼 제한된 다른 관리자 역할과 함께 전역 읽기 권한자를 사용하면 작업을 쉽게 수행할 수 있습니다. 전역 읽기 권한자는 Microsoft 365 관리 센터, Exchange 관리 센터, SharePoint 관리 센터, Teams 관리 센터, Microsoft 365 Defender 포털, Microsoft Purview 준수 포털, Azure Portal, 디바이스 관리 센터에서 작동합니다.
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- Microsoft 365 관리 센터에서 구매 서비스 영역에 액세스할 수 없습니다.
참고 항목
전역 읽기 권한자 역할에는 다음과 같은 제한 사항이 있습니다.
- OneDrive 관리 센터 - OneDrive 관리 센터는 전역 읽기 권한자 역할을 지원하지 않습니다.
- Microsoft 365 관리 센터 - 전역 읽기 권한자는 통합 앱을 읽을 수 없습니다. Microsoft 365 관리 센터의 왼쪽 창에 있는 설정 아래에 통합 앱 탭이 없습니다.
- Microsoft 365 Defender 포털 - 전역 읽기 권한자는 SCC 감사 로그를 읽거나 콘텐츠를 검색하거나 보안 점수를 볼 수 없습니다.
- Teams 관리 센터 - 전역 리더는 Teams 수명 주기, 분석 및 보고서, IP 전화 디바이스 관리 및 앱 카탈로그를 읽을 수 없습니다. 자세한 내용은 Microsoft Teams 관리자 역할을 사용하여 Teams 관리를 참조하세요.
- Privileged Access Management는 전역 읽기 권한자 역할을 지원하지 않습니다.
- Azure Information Protection - 전역 읽기 권한자는 중앙 보고에만 지원되며 Microsoft Entra 조직이 통합 레이블 플랫폼에 없는 경우에만 지원됩니다.
- SharePoint - 현재 전역 읽기 권한자는 PowerShell을 사용하여 SharePoint에 액세스할 수 없습니다.
- Power Platform 관리 센터 - 전역 읽기 권한자는 Power Platform 관리 센터에서 아직 지원되지 않습니다.
- Microsoft Purview는 전역 읽기 권한자 역할을 지원하지 않습니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.directory/accessReviews/allProperties/read | (사용되지 않음) 액세스 검토의 모든 속성 읽기 |
| microsoft.directory/accessReviews/definitions/allProperties/read | Microsoft Entra ID에서 검토 가능한 모든 리소스에 대한 액세스 검토의 모든 속성 읽기 |
| microsoft.directory/adminConsentRequestPolicy/allProperties/read | Microsoft Entra ID에서 관리자 동의 요청 정책의 모든 속성 읽기 |
| microsoft.directory/administrativeUnits/allProperties/read | 멤버를 포함하여 관리 단위의 모든 속성 읽기 |
| microsoft.directory/appConsent/appConsentRequests/allProperties/read | Microsoft Entra ID에 등록된 애플리케이션에 대한 동의 요청의 모든 속성 읽기 |
| microsoft.directory/applications/allProperties/read | 모든 유형의 애플리케이션에서 권한 있는 속성을 포함한 모든 속성 읽기 |
| microsoft.directory/applications/synchronization/standard/read | 애플리케이션 개체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/users/authenticationMethods/standard/restrictedRead | 사용자에 대한 개인 식별 정보를 포함하지 않는 인증 방법의 표준 속성 읽기 |
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/cloudAppSecurity/allProperties/read | 클라우드용 Defender 앱에 대한 모든 속성 읽기 |
| microsoft.directory/connectors/allProperties/read | 프라이빗 네트워크 커넥터의 모든 속성 읽기 |
| microsoft.directory/connectorGroups/allProperties/read | 프라이빗 네트워크 커넥터 그룹의 모든 속성 읽기 |
| microsoft.directory/contacts/allProperties/read | 연락처에 대한 모든 속성 읽기 |
| microsoft.directory/customAuthenticationExtensions/allProperties/read | 사용자 지정 인증 확장 읽기 |
| microsoft.directory/deviceLocalCredentials/standard/read | 암호를 제외하고 Microsoft Entra ID에 조인된 디바이스에 대해 백업된 로컬 관리자 계정 자격 증명의 모든 속성 읽기 |
| microsoft.directory/devices/allProperties/read | 모든 디바이스 속성 읽기 |
| microsoft.directory/directoryRoles/allProperties/read | 디렉터리 역할의 모든 속성 읽기 |
| microsoft.directory/directoryRoleTemplates/allProperties/read | 디렉터리 역할 템플릿의 모든 속성 읽기 |
| microsoft.directory/domains/allProperties/read | 도메인의 모든 속성 읽기 |
| microsoft.directory/domains/federationConfiguration/standard/read | 도메인에 대한 페더레이션 구성의 표준 속성 읽기 |
| microsoft.directory/entitlementManagement/allProperties/read | Microsoft Entra 권한 관리에서 모든 속성 읽기 |
| microsoft.directory/externalUserProfiles/standard/read | Teams용 확장 디렉터리에서 외부 사용자 프로필의 표준 속성 읽기 |
| microsoft.directory/groups/allProperties/read | 역할 할당 가능한 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 모든 속성(권한 있는 속성 포함) 읽기 |
| microsoft.directory/groupSettings/allProperties/read | 그룹 설정의 모든 속성 읽기 |
| microsoft.directory/groupSettingTemplates/allProperties/read | 그룹 설정 템플릿의 모든 속성 읽기 |
| microsoft.directory/identityProtection/allProperties/read | Microsoft Entra ID 보호에서 모든 리소스 읽기 |
| microsoft.directory/loginOrganizationBranding/allProperties/read | 조직의 브랜드 로그인 페이지에 대한 모든 속성 읽기 |
| microsoft.directory/namedLocations/standard/read | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/read | OAuth 2.0 권한 부여의 모든 속성 읽기 |
| microsoft.directory/organization/allProperties/read | 조직에 대한 모든 속성 읽기 |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Teams용 확장 디렉터리에서 외부 사용자 프로필의 표준 속성 읽기 |
| microsoft.directory/permissionGrantPolicies/standard/read | 권한 부여 정책의 표준 속성 읽기 |
| microsoft.directory/policies/allProperties/read | 모든 정책 속성 읽기 |
| microsoft.directory/conditionalAccessPolicies/allProperties/read | 조건부 액세스 정책의 모든 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 기본 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 다중 테넌트 조직을 위한 테넌트 간 동기화 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 다중 테넌트 조직을 위한 테넌트 간 액세스 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | 테넌트 간 동기화 정책의 기본 속성 읽기 |
| microsoft.directory/deviceManagementPolicies/standard/read | 모바일 디바이스 관리 및 모바일 앱 관리 정책에서 표준 속성 읽기 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 디바이스 등록 정책의 표준 속성 읽기 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 다중 테넌트 조직 조인 요청의 속성 읽기 |
| microsoft.directory/multiTenantOrganization/standard/read | 다중 테넌트 조직의 기본 속성 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 다중 테넌트 조직에 참여하는 테넌트의 조직 세부 정보 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 다중 테넌트 조직에 참여하는 테넌트의 기본 속성 읽기 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management에서 모든 리소스 읽기 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/roleAssignments/allProperties/read | 역할 할당의 모든 속성 읽기 |
| microsoft.directory/roleDefinitions/allProperties/read | 역할 정의의 모든 속성 읽기 |
| microsoft.directory/scopedRoleMemberships/allProperties/read | 관리 단위의 멤버 보기 |
| microsoft.directory/serviceAction/getAvailableExtentionProperties | Getavailableextentionproperties 서비스 작업 수행 가능 |
| microsoft.directory/servicePrincipals/allProperties/read | servicePrincipals에서 권한 있는 속성을 포함한 모든 속성 읽기 |
| microsoft.directory/servicePrincipalCreationPolicies/standard/read | 서비스 주체 만들기 정책의 표준 속성 읽기 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.directory/subscribedSkus/allProperties/read | 제품 구독의 모든 속성 읽기 |
| microsoft.directory/users/allProperties/read | 모든 사용자 속성 읽기 |
| microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | 확인 가능한 자격 증명 카드를 읽습니다. |
| microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | 확인 가능한 자격 증명 계약을 읽습니다. |
| microsoft.directory/verifiableCredentials/configuration/allProperties/read | 확인 가능한 자격 증명을 만들고 관리하는 데 필요한 구성 읽기 |
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/read | Microsoft Entra ID에서 수명 주기 워크플로 및 작업의 모든 속성 읽기 |
| microsoft.cloudPC/allEntities/allProperties/read | Windows 365의 모든 측면 읽기 |
| microsoft.commerce.billing/allEntities/allProperties/read | Office 365 청구의 모든 리소스 읽기 |
| microsoft.commerce.billing/purchases/standard/read | M365 관리 센터에서 구매 서비스 읽기 |
| microsoft.edge/allEntities/allProperties/read | Microsoft Edge의 모든 측면 읽기 |
| microsoft.networkAccess/allEntities/allProperties/read | Microsoft Entra 네트워크 액세스의 모든 측면 읽기 |
| microsoft.hardware.support/shippingAddress/allProperties/read | 다른 사용자가 만든 기존 배송 주소를 포함하여 Microsoft 하드웨어 보증 클레임에 대한 배송 주소를 읽습니다. |
| microsoft.hardware.support/shippingStatus/allProperties/read | 미해결 Microsoft 하드웨어 보증 클레임에 대한 배송 상태를 읽습니다. |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft 하드웨어 보증 클레임을 읽습니다. |
| microsoft.insights/allEntities/allProperties/read | Viva Insights의 모든 측면 읽기 |
| microsoft.office365.fileStorageContainers/allEntities/allProperties/read | SharePoint Embedded 컨테이너의 엔터티 및 사용 권한 읽기 |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.messageCenter/securityMessages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지 읽기 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Microsoft 365 조직 메시지의 모든 측면 읽기 |
| microsoft.office365.protectionCenter/allEntities/allProperties/read | 보안 및 규정 준수 센터에서 모든 속성 읽기 |
| microsoft.office365.securityComplianceCenter/allEntities/read | Microsoft 365 보안 및 규정 준수 센터에서 표준 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.office365.yammer/allEntities/allProperties/read | Yammer의 모든 측면 읽기 |
| microsoft.permissionsManagement/allEntities/allProperties/read | Microsoft Entra 사용 권한 관리의 모든 측면 읽기 |
| microsoft.teams/allEntities/allProperties/read | Microsoft Teams 모든 속성 읽기 |
| microsoft.virtualVisits/allEntities/allProperties/read | Virtual Visits의 모든 측면 읽기 |
| microsoft.viva.goals/allEntities/allProperties/read | Microsoft Viva Goals의 모든 측면 읽기 |
| microsoft.viva.pulse/allEntities/allProperties/read | Microsoft Viva Pulse의 모든 측면 읽기 |
| microsoft.windows.updatesDeployments/allEntities/allProperties/read | Windows Update 서비스의 모든 측면 읽기 |
전역 보안 액세스 관리자
다음 작업을 수행해야 하는 사용자에게 전역 보안 액세스 관리자 역할을 할당합니다.
- Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스 모든 측면 만들기 및 관리
- 퍼블릭 및 프라이빗 엔드포인트에 대한 액세스 관리
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- 엔터프라이즈 애플리케이션, 애플리케이션 등록, 조건부 액세스 또는 애플리케이션 프록시 설정을 관리할 수 없음
| 작업 | 설명 |
|---|---|
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.directory/applicationPolicies/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/applications/applicationProxy/read | 모든 애플리케이션 프록시 속성을 읽습니다. |
| microsoft.directory/applications/owners/read | 애플리케이션 소유자 읽기 |
| microsoft.directory/applications/policies/read | 애플리케이션 정책 읽기 |
| microsoft.directory/applications/standard/read | 애플리케이션의 표준 속성 읽기 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 정책에 대한 조건부 액세스 읽기 |
| microsoft.directory/connectorGroups/allProperties/read | 프라이빗 네트워크 커넥터 그룹의 모든 속성 읽기 |
| microsoft.directory/connectors/allProperties/read | 프라이빗 네트워크 커넥터의 모든 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 기본 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/namedLocations/standard/read | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Microsoft Entra 네트워크 액세스의 모든 측면 관리 |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
그룹 관리자
이 역할의 사용자는 그룹과 해당 설정(이름, 만료 정책 등)을 만들고 관리할 수 있습니다. 사용자를 이 역할에 할당하면 Outlook뿐 아니라 Teams, SharePoint, Yammer 등의 다양한 워크로드에서 조직의 모든 그룹을 관리하는 기능이 부여됩니다. 또한 사용자는 Microsoft 관리 센터, Azure Portal과 같은 다양한 관리 포털에서 다양한 그룹 설정뿐만 아니라 Teams 및 SharePoint 관리 센터와 같은 워크로드 관련 그룹 설정을 관리할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/deletedItems.groups/delete | 더 이상 복원할 수 없는 그룹을 영구적으로 삭제 |
| microsoft.directory/deletedItems.groups/restore | 일시 삭제된 그룹을 원래 상태로 복원 |
| microsoft.directory/groups/assignLicense | 그룹 기반 라이선스 그룹에 제품 라이선스 할당 |
| microsoft.directory/groups/create | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups/delete | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups/hiddenMembers/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기 |
| microsoft.directory/groups/reprocessLicenseAssignment | 그룹 기반 라이선스의 라이선스 할당 다시 처리 |
| microsoft.directory/groups/restore | 일시 삭제된 컨테이너에서 그룹 복원 |
| microsoft.directory/groups/basic/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups/classification/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 분류 속성 업데이트 |
| microsoft.directory/groups/dynamicMembershipRule/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 동적 멤버 관리 규칙 업데이트 |
| microsoft.directory/groups/groupType/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 그룹 유형에 영향을 주는 속성 업데이트 |
| microsoft.directory/groups/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups/onPremWriteBack/update | Microsoft Entra Connect를 사용하여 온-프레미스에 다시 기록되도록 Microsoft Entra 그룹 업데이트 |
| microsoft.directory/groups/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.directory/groups/settings/update | 그룹 설정 읽기 |
| microsoft.directory/groups/visibility/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 가시성 속성 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
게스트 초대자
이 역할의 사용자는 멤버가 초대할 수 있음 사용자 설정을 아니요로 설정하는 경우 Microsoft Entra B2B 게스트 사용자 초대를 관리할 수 있습니다. B2B 협업에 대한 자세한 내용은 Microsoft Entra B2B 협업 정보를 참조하세요. 다른 권한은 포함되지 않습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/users/inviteGuest | 게스트 사용자 초대 |
| microsoft.directory/users/standard/read | 사용자의 기본 속성 읽기 |
| microsoft.directory/users/appRoleAssignments/read | 사용자의 애플리케이션 역할 할당 읽기 |
| microsoft.directory/users/deviceForResourceAccount/read | 사용자의 deviceForResourceAccount 읽기 |
| microsoft.directory/users/directReports/read | 사용자에 대한 직접 보고서 읽기 |
| microsoft.directory/users/licenseDetails/read | 사용자의 라이선스 세부 정보 읽기 |
| microsoft.directory/users/manager/read | 사용자의 관리자 읽기 |
| microsoft.directory/users/memberOf/read | 사용자의 그룹 멤버 자격 읽기 |
| microsoft.directory/users/oAuth2PermissionGrants/read | 사용자에게 위임된 권한 부여 읽기 |
| microsoft.directory/users/ownedDevices/read | 사용자 소유의 디바이스 읽기 |
| microsoft.directory/users/ownedObjects/read | 사용자 소유의 개체 읽기 |
| microsoft.directory/users/photo/read | 사용자 사진 읽기 |
| microsoft.directory/users/registeredDevices/read | 등록된 사용자 디바이스 읽기 |
| microsoft.directory/users/scopedRoleMemberOf/read | 관리 장치로 범위가 한정된 Microsoft Entra 역할의 사용자 멤버 자격 읽기 |
| microsoft.directory/users/sponsors/read | 사용자의 스폰서 읽기 |
기술 지원팀 관리자
권한 있는 역할입니다. 이 역할이 있는 사용자는 암호를 변경하고, 새로 고침 토큰을 무효화하고, Azure 및 Microsoft 365 서비스에 대한 Microsoft의 지원 요청을 만들기 및 관리하고, 서비스 상태를 모니터링할 수 있습니다. 새로 고침 토큰을 무효화하면 사용자가 다시 로그인해야 합니다. 기술 지원팀 관리자가 사용자의 암호를 다시 설정하고 새로 고침 토큰을 무효화할 수 있는지 여부는 사용자에게 할당된 역할에 따라 달라집니다. 기술 지원팀 관리자가 암호를 다시 설정하고 새로 고침 토큰을 무효화할 수 있는 역할 목록은 암호를 다시 설정할 수 있는 사용자를 참조하세요.
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- 역할 할당 가능 그룹의 멤버 및 소유자에 대해 자격 증명을 변경하거나 MFA를 다시 설정할 수 없습니다.
Important
이 역할을 가진 사용자는 Microsoft Entra ID 내부 및 외부의 중요한 정보나 프라이빗 정보 또는 중요한 구성에 액세스할 수 있는 사용자의 암호를 변경할 수 있습니다. 사용자의 암호를 변경한다는 것은 사용자의 ID 및 권한을 가정할 수 있다는 것을 의미합니다. 예시:
- 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Microsoft Entra ID에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 기술지원팀 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 기술 지원 팀 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
- Azure 구독 소유자: Azure의 중요한 정보나 개인 정보 또는 중요한 구성에 액세스할 수 있습니다.
- 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Microsoft Entra ID 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
- Exchange Online, Microsoft 365 Defender 포털, Microsoft Purview 준수 포털, 인적 자원 시스템과 같은 Microsoft Entra ID 외부의 다른 서비스 관리자
- 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
관리 단위를 사용하여 일부 사용자에게 관리 권한을 위임하고 일부 사용자에게 정책을 적용할 수 있습니다.
이 역할의 이름을 이전에는 Azure Portal에서 암호 관리자라고 했습니다. Microsoft Graph API 및 Azure AD PowerShell의 기존 이름과 일치하도록 이름을 기술 지원팀 관리자로 변경했습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/deviceLocalCredentials/standard/read | 암호를 제외하고 Microsoft Entra ID에 조인된 디바이스에 대해 백업된 로컬 관리자 계정 자격 증명의 모든 속성 읽기 |
| microsoft.directory/users/invalidateAllRefreshTokens | 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃 |
| microsoft.directory/users/password/update | 모든 사용자 암호 재설정 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
하이브리드 ID 관리자
권한 있는 역할입니다. 이 역할의 사용자는 Microsoft Entra Connect, PTA(통과 인증), PHS(암호 해시 동기화), Seamless SSO(Seamless Single Sign-On) 및 페더레이션 설정을 관리할 수 있을 뿐 아니라 클라우드 프로비전을 사용하여 Active Directory에서 Microsoft Entra ID로의 프로비전 구성 설정을 만들고 관리하고 배포할 수 있습니다. Microsoft Entra 커넥트 Health를 관리할 수 있는 액세스 권한이 없습니다. 또한 사용자는 이 역할을 사용하여 로그 문제를 해결하고 모니터링할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/applications/create | 모든 유형의 애플리케이션 만들기 |
| microsoft.directory/applications/delete | 모든 유형의 애플리케이션을 삭제합니다. |
| microsoft.directory/applications/appRoles/update | 모든 유형의 애플리케이션에서 appRoles 속성 업데이트 |
| microsoft.directory/applications/audience/update | 애플리케이션의 대상 그룹 속성 업데이트 |
| microsoft.directory/applications/authentication/update | 모든 유형의 애플리케이션에서 인증 업데이트 |
| microsoft.directory/applications/basic/update | 애플리케이션의 기본 속성 업데이트 |
| microsoft.directory/applications/notes/update | 애플리케이션의 메모 업데이트 |
| microsoft.directory/applications/owners/update | 애플리케이션 소유자 업데이트 |
| microsoft.directory/applications/permissions/update | 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트 |
| microsoft.directory/applications/policies/update | 애플리케이션 정책 업데이트 |
| microsoft.directory/applications/tag/update | 애플리케이션의 태그 업데이트 |
| microsoft.directory/applications/synchronization/standard/read | 애플리케이션 개체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/applicationTemplates/instantiate | 애플리케이션 템플릿에서 갤러리 애플리케이션 인스턴스화 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/cloudProvisioning/allProperties/allTasks | Microsoft Entra 클라우드 프로비전 서비스의 모든 속성을 읽고 구성합니다. |
| microsoft.directory/deletedItems.applications/delete | 더 이상 복원할 수 없는 애플리케이션 영구 삭제 |
| microsoft.directory/deletedItems.applications/restore | 일시 삭제된 애플리케이션을 원래 상태로 복원 |
| microsoft.directory/domains/allProperties/read | 도메인의 모든 속성 읽기 |
| microsoft.directory/domains/federation/update | 도메인의 페더레이션 속성 업데이트 |
| microsoft.directory/domains/federationConfiguration/standard/read | 도메인에 대한 페더레이션 구성의 표준 속성 읽기 |
| microsoft.directory/domains/federationConfiguration/basic/update | 도메인에 대한 기본 페더레이션 구성 업데이트 |
| microsoft.directory/domains/federationConfiguration/create | 도메인에 대한 페더레이션 구성 만들기 |
| microsoft.directory/domains/federationConfiguration/delete | 도메인에 대한 페더레이션 구성 삭제 |
| microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks | Microsoft Entra ID에서 하이브리드 인증 정책 관리 |
| microsoft.directory/organization/dirSync/update | 조직 디렉터리 동기화 속성 업데이트 |
| microsoft.directory/passwordHashSync/allProperties/allTasks | Microsoft Entra ID에서 PHS(암호 해시 동기화)의 모든 측면 관리 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/servicePrincipals/create | 서비스 주체 만들기 |
| microsoft.directory/servicePrincipals/delete | 서비스 주체 삭제 |
| microsoft.directory/servicePrincipals/disable | 서비스 주체를 사용하지 않도록 설정 |
| microsoft.directory/servicePrincipals/enable | 서비스 주체를 사용하도록 설정 |
| microsoft.directory/servicePrincipals/synchronizationCredentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명 관리 |
| microsoft.directory/servicePrincipals/synchronizationJobs/manage | 애플리케이션 프로비전 동기화 작업 시작, 다시 시작, 일시 중지 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 애플리케이션 프로비전 동기화 작업과 스키마 만들기 및 관리 |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage | 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage | 애플리케이션 프로비전 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage | 애플리케이션 프로비전 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 비밀 및 자격 증명을 관리합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 동기화 작업을 시작, 다시 시작 및 일시 중지합니다. |
| microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage | 클라우드 테넌트에서 클라우드 테넌트 애플리케이션 프로비저닝 동기화 작업 및 스키마를 만들고 관리합니다. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/servicePrincipals/audience/update | 서비스 주체의 대상 그룹 속성 업데이트 |
| microsoft.directory/servicePrincipals/authentication/update | 서비스 주체의 인증 속성 업데이트 |
| microsoft.directory/servicePrincipals/basic/update | 서비스 주체의 기본 속성 업데이트 |
| microsoft.directory/servicePrincipals/notes/update | 서비스 주체의 메모 업데이트 |
| microsoft.directory/servicePrincipals/owners/update | 서비스 주체의 소유자 업데이트 |
| microsoft.directory/servicePrincipals/permissions/update | 서비스 주체의 권한 업데이트 |
| microsoft.directory/servicePrincipals/policies/update | 서비스 주체의 정책 업데이트 |
| microsoft.directory/servicePrincipals/tag/update | 서비스 주체의 태그 속성 업데이트 |
| microsoft.directory/servicePrincipals/synchronization/standard/read | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.directory/users/authorizationInfo/update | 사용자의 다중값 인증서 사용자 ID 속성 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Identity Governance 관리자
이 역할을 가진 사용자는 액세스 패키지, 액세스 검토, 카탈로그 및 정책을 비롯한 Microsoft Entra ID 거버넌스 구성을 관리할 수 있으며, 액세스를 승인하고 검토하며 더 이상 액세스가 필요하지 않은 게스트 사용자를 제거할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Microsoft Entra ID에서 애플리케이션 역할 할당의 액세스 검토 관리 |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | 자격 관리에서 액세스 패키지 할당에 대한 액세스 검토 관리 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | 역할을 할당할 수 있는 그룹을 포함하여 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | 역할을 할당할 수 있는 그룹을 제외하고 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다. |
| microsoft.directory/accessReviews/definitions.groups/create | 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 만듭니다. |
| microsoft.directory/accessReviews/definitions.groups/delete | 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 삭제합니다. |
| microsoft.directory/accessReviews/allProperties/allTasks | (사용되지 않음) Microsoft Entra ID에서 액세스 검토 작성 및 삭제, 액세스 검토의 모든 속성 업데이트 및 그룹의 액세스 검토 관리 |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Microsoft Entra 권한 관리에서 리소스 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groups/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
Insights 관리자
이 역할의 사용자는 Microsoft Viva Insights 앱의 모든 관리 기능 세트에 액세스할 수 있습니다. 이 역할은 디렉터리 정보를 읽고 서비스 상태를 모니터링하고 지원 티켓을 제출하고 Insights 관리자 설정에 액세스할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.insights/allEntities/allProperties/allTasks | Insights 앱의 모든 측면 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Insights 분석가
다음 작업을 수행해야 하는 사용자에게 Insights 분석가 역할을 할당합니다.
- Microsoft Viva Insights 앱에서 데이터 분석(구성 설정은 관리할 수 없음)
- 쿼리 만들기, 관리 및 실행
- Microsoft 365 관리 센터에서 기본 설정 및 보고서 보기
- Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리
| 작업 | 설명 |
|---|---|
| microsoft.insights/queries/allProperties/allTasks | Viva Insights에서 쿼리 실행 및 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Insights 비즈니스 리더
이 역할의 사용자는 Microsoft Viva Insights 앱을 통해 대시보드 및 정보 세트에 액세스할 수 있습니다. 여기에는 모든 대시보드에 대한 전체 액세스 권한과 제공되는 인사이트 및 데이터 탐색 기능이 포함됩니다. 이 역할의 사용자는 제품 구성 설정에 액세스할 수 없습니다. 제품 구성 설정은 Insights 관리자 역할의 책임입니다.
| 작업 | 설명 |
|---|---|
| microsoft.insights/reports/allProperties/read | Insights 앱에서 보고서 및 대시보드 보기 |
| microsoft.insights/programs/allProperties/update | Insights 앱에서 프로그램 배포 및 관리 |
Intune 관리자
권한 있는 역할입니다. 이 역할을 가진 사용자는 해당 서비스가 있는 경우 Microsoft Intune Online 내에서 전역 사용 권한을 갖습니다 또한 이 역할은 정책을 연결하고 그룹을 만들고 관리하기 위해 사용자와 디바이스를 관리하는 기능을 포함합니다. 자세한 내용은 Microsoft Intune에서 RBAC(역할 기반 관리 제어)를 참조하세요.
이 역할은 모든 보안 그룹을 만들고 관리할 수 있습니다. 그러나 Intune 관리자에게는 Office 그룹에 대한 관리자 권한이 없습니다. 즉, 관리자는 조직 내 모든 Office 그룹의 소유자 또는 멤버를 업데이트할 수 없습니다. 그러나 관리자는 자신이 만드는 Office 그룹을 관리할 수 있으며, 이 권한은 최종 사용자 권한의 일부로 제공됩니다. 따라서 관리자가 만드는 모든 Office 그룹(보안 그룹 아님)은 관리자의 250 할당량을 기준으로 계산되어야 합니다.
참고 항목
Microsoft Graph API 및 Azure AD PowerShell에서 이 역할의 이름은 Intune 서비스 관리자로 지정됩니다. Azure Portal에서 이름이 Intune 관리자로 지정됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/contacts/create | 연락처 만들기 |
| microsoft.directory/contacts/delete | 연락처 삭제 |
| microsoft.directory/contacts/basic/update | 연락처의 기본 속성 업데이트 |
| microsoft.directory/deletedItems.devices/delete | 더 이상 복원할 수 없는 디바이스 영구 삭제 |
| microsoft.directory/deletedItems.devices/restore | 일시 삭제된 디바이스를 원래 상태로 복원 |
| microsoft.directory/devices/create | 디바이스 만들기(Microsoft Entra ID에 등록) |
| microsoft.directory/devices/delete | Microsoft Entra ID에서 디바이스 삭제 |
| microsoft.directory/devices/disable | Microsoft Entra ID에서 디바이스 사용 안 함 |
| microsoft.directory/devices/enable | Microsoft Entra ID에서 디바이스 사용 |
| microsoft.directory/devices/basic/update | 디바이스의 기본 속성 업데이트 |
| microsoft.directory/devices/extensionAttributeSet1/update | 디바이스에서 extensionAttribute1을 extensionAttribute5 속성으로 업데이트 |
| microsoft.directory/devices/extensionAttributeSet2/update | 디바이스에서 extensionAttribute6을 extensionAttribute10 속성으로 업데이트 |
| microsoft.directory/devices/extensionAttributeSet3/update | 디바이스에서 extensionAttribute11을 extensionAttribute15 속성으로 업데이트 |
| microsoft.directory/devices/registeredOwners/update | 등록된 디바이스 소유자 업데이트 |
| microsoft.directory/devices/registeredUsers/update | 등록된 디바이스 사용자 업데이트 |
| microsoft.directory/deviceLocalCredentials/password/read | 암호를 포함하여 Microsoft Entra ID에 조인된 디바이스에 대해 백업된 로컬 관리자 계정 자격 증명의 모든 속성 읽기 |
| microsoft.directory/deviceManagementPolicies/standard/read | 모바일 디바이스 관리 및 모바일 앱 관리 정책에서 표준 속성 읽기 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 디바이스 등록 정책의 표준 속성 읽기 |
| microsoft.directory/groups/hiddenMembers/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기 |
| microsoft.directory/groups.security/create | 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 |
| microsoft.directory/groups.security/delete | 역할 할당 가능 그룹을 제외한 보안 그룹 삭제 |
| microsoft.directory/groups.security/basic/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.security/classification/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 분류 속성 업데이트 |
| microsoft.directory/groups.security/dynamicMembershipRule/update | 역할 할당 가능한 그룹을 제외한 보안 그룹에 대한 동적 멤버십 규칙 업데이트 |
| microsoft.directory/groups.security/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트 |
| microsoft.directory/groups.security/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트 |
| microsoft.directory/groups.security/visibility/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 가시성 속성 업데이트 |
| microsoft.directory/users/basic/update | 사용자의 기본 속성 업데이트 |
| microsoft.directory/users/manager/update | 사용자의 관리자 업데이트 |
| microsoft.directory/users/photo/update | 사용자 사진 업데이트 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Windows 365의 모든 측면 관리 |
| microsoft.intune/allEntities/allTasks | Microsoft Intune의 모든 측면 관리 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Microsoft 365 조직 메시지의 모든 측면 읽기 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Kaizala 관리자
Microsoft Kaizala 서비스가 있는 경우 이 역할의 사용자에게는 서비스 내에서 설정을 관리할 수 있을 뿐 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있는 글로벌 권한이 부여됩니다. 또한 사용자는 조직 구성원의 Kaizala 도입 및 사용과 관련된 정보, 그리고 Kaizala 작업을 사용하여 생성된 비즈니스 보고서에 액세스할 수 있습니다.
| actions | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
지식 관리자
이 역할의 사용자는 Microsoft 365 관리 센터에서 모든 지식, 학습 및 인텔리전트 기능 설정에 액세스할 수 있습니다. 제품군과 라이선스 정보에 대한 일반적인 지식을 갖고 있으며 액세스를 제어할 책임이 있습니다. 지식 관리자는 토픽, 머리글자어 및 학습 리소스와 같은 콘텐츠를 만들고 관리할 수 있습니다. 또한 콘텐츠 센터를 만들고, 서비스 상태를 모니터링하고, 서비스 요청을 만들 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/groups.security/create | 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 |
| microsoft.directory/groups.security/createAsOwner | 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 작성자가 첫 번째 소유자로 추가됩니다. |
| microsoft.directory/groups.security/delete | 역할 할당 가능 그룹을 제외한 보안 그룹 삭제 |
| microsoft.directory/groups.security/basic/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.security/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트 |
| microsoft.directory/groups.security/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트 |
| microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Microsoft 365 관리 센터에서 콘텐츠 이해의 모든 속성 읽기 및 업데이트 |
| microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Microsoft 365 관리 센터에서 지식 네트워크의 모든 속성 읽기 및 업데이트 |
| microsoft.office365.knowledge/learningSources/allProperties/allTasks | 학습 앱에서 학습 원본 및 모든 속성을 관리합니다. |
| microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | 보안 및 규정 준수 센터에서 민감도 레이블의 모든 속성 읽기 |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
지식 매니저
이 역할의 사용자는 항목, 약자 및 학습 콘텐츠와 같은 콘텐츠를 만들고 관리할 수 있습니다. 이러한 사용자는 주로 정보의 품질 및 구조를 담당합니다. 이 사용자는 항목을 확인하거나, 편집 내용을 승인하거나, 항목을 삭제할 수 있는 항목 관리 작업에 대한 모든 권한을 가집니다. 이 역할은 용어 저장소 관리 도구의 일부로 분류를 관리하고 콘텐츠 센터를 만들 수도 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/groups.security/create | 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 |
| microsoft.directory/groups.security/createAsOwner | 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 작성자가 첫 번째 소유자로 추가됩니다. |
| microsoft.directory/groups.security/delete | 역할 할당 가능 그룹을 제외한 보안 그룹 삭제 |
| microsoft.directory/groups.security/basic/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.security/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트 |
| microsoft.directory/groups.security/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트 |
| microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Microsoft 365 관리 센터에서 콘텐츠 이해에 대한 분석 보고서 읽기 |
| microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Microsoft 365 관리 센터에서 지식 네트워크의 항목 표시 유형 관리 |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
라이선스 관리자
이 역할의 사용자는 사용자 및 그룹의(그룹 기반 라이선스 사용) 라이선스 할당을 읽고, 추가, 제거, 업데이트하고, 사용자의 사용 위치를 관리합니다. 이 역할은 사용 위치를 벗어나서 구독을 구매 또는 관리하고, 그룹을 만들거나 관리하고, 사용자를 만들거나 관리하는 기능을 부여하지 않습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/groups/assignLicense | 그룹 기반 라이선스 그룹에 제품 라이선스 할당 |
| microsoft.directory/groups/reprocessLicenseAssignment | 그룹 기반 라이선스의 라이선스 할당 다시 처리 |
| microsoft.directory/users/assignLicense | 사용자 라이선스 관리 |
| microsoft.directory/users/reprocessLicenseAssignment | 사용자에 대한 라이선스 할당 다시 처리 |
| microsoft.directory/users/usageLocation/update | 사용자의 사용 위치 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
수명 주기 워크플로 관리자
다음 작업을 수행해야 하는 사용자에게 수명 주기 워크플로 관리자 역할을 할당합니다.
- Microsoft Entra ID에서 수명 주기 워크플로와 연결된 워크플로 및 작업의 모든 측면 만들기 및 관리
- 예약된 워크플로 실행 확인
- 주문형 워크플로 실행 시작
- 워크플로 실행 로그 검사
| 작업 | 설명 |
|---|---|
| microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Microsoft Entra ID에서 수명 주기 워크플로 및 작업의 모든 측면 관리 |
| microsoft.directory/organization/strongAuthentication/read | 조직의 강력한 인증 속성 읽기 |
메시지 센터 개인 정보 읽기 권한자
이 역할의 사용자는 데이터 개인 정보 메시지를 포함하여 메시지 센터의 모든 알림을 모니터링할 수 있습니다. 메시지 센터 개인 정보 읽기 권한자는 데이터 개인 정보와 관련된 알림을 비롯한 이메일 알림을 수신하며, 메시지 센터 기본 설정을 사용하여 구독을 취소할 수 있습니다. 전역 관리자와 메시지 센터 개인 정보 읽기 권한자만 데이터 개인 정보 메시지를 읽을 수 있습니다. 또한 이 역할은 그룹, 도메인 및 구독을 볼 수 있습니다. 이 역할에는 서비스 요청을 보고, 만들고, 관리할 수 있는 권한이 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.messageCenter/securityMessages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
메시지 센터 읽기 권한자
이 역할의 사용자는 Exchange, Intune 및 Microsoft Teams와 같은 구성된 서비스에서 조직에 대한 메시지 센터의 알림 및 자문 상태 업데이트를 모니터링할 수 있습니다. 메시지 센터 읽기 권한자는 게시물 및 업데이트 이메일 다이제스트를 매주 수신하며, 메시지 센터 게시물을 Microsoft 365에 공유할 수 있습니다. Microsoft Entra ID에서 이 역할에 할당된 사용자는 사용자 및 그룹과 같은 Microsoft Entra 서비스에 대해 읽기 전용 액세스 권한만 갖습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Microsoft 365 마이그레이션 관리istrator
다음 작업을 수행해야 하는 사용자에게 Microsoft 365 Migration 관리istrator 역할을 할당합니다.
- Microsoft 365 관리 센터 마이그레이션 관리자를 사용하여 Google Drive, Dropbox, Box 및 Egnyte에서 Teams, 비즈니스용 OneDrive 및 SharePoint 사이트를 포함한 Microsoft 365로의 콘텐츠 마이그레이션을 관리합니다.
- 마이그레이션 원본 선택, 마이그레이션 인벤토리 만들기(예: Google 드라이브 사용자 목록), 마이그레이션 예약 및 실행, 보고서 다운로드
- 대상 사이트가 아직 없는 경우 새 SharePoint 사이트를 만들고, SharePoint 관리 사이트 아래에 SharePoint 목록을 만들고, SharePoint 목록에서 항목을 만들고 업데이트합니다.
- 작업에 대한 마이그레이션 프로젝트 설정 및 마이그레이션 수명 주기 관리
- 원본에서 대상으로 권한 매핑 관리
참고 항목
이 역할은 SharePoint 관리 센터를 사용하여 파일 공유 원본에서 마이그레이션할 수 없습니다. SharePoint 관리istrator 역할을 사용하여 파일 공유 원본에서 마이그레이션할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Microsoft 365 마이그레이션의 모든 측면 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
Microsoft Entra Joined Device Local 관리istrator
이 역할은 디바이스 설정의 추가 로컬 관리자로서 할당을 위해서만 사용할 수 있습니다. 이 역할을 가진 사용자가 Microsoft Entra ID에 가입된 모든 Windows 10 디바이스에서 로컬 컴퓨터 관리자가 됩니다. Microsoft Entra ID의 디바이스 개체를 관리하는 기능이 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/groupSettings/standard/read | 그룹 설정의 기본 속성 읽기 |
| microsoft.directory/groupSettingTemplates/standard/read | 그룹 설정 템플릿의 기본 속성 읽기 |
Microsoft 하드웨어 보증 관리자
다음 작업을 수행해야 하는 사용자에게 Microsoft 하드웨어 보증 관리자 역할을 할당합니다.
- Surface, HoloLens 등 Microsoft 제조 하드웨어에 대한 새 보증 청구 만들기
- 미해결되거나 종결된 보증 청구 검색 및 읽기
- 일련 번호로 보증 청구 검색 및 읽기
- 배송 주소 만들기, 읽기, 업데이트, 삭제
- 미해결 보증 청구에 대한 배송 상태 읽기
- Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리
- Microsoft 365 관리 센터에서 메시지 센터 공지 읽기
보증 청구는 보증 조건에 따라 하드웨어를 수리하거나 교체하는 요청입니다. 자세한 내용은 Surface 보증 및 서비스 요청 셀프 서비스를 참조 하세요.
| actions | 설명 |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/allTasks | 다른 사용자가 만든 배송 주소를 포함하여 Microsoft 하드웨어 보증 클레임에 대한 배송 주소를 만들고, 읽고, 업데이트하고, 삭제합니다. |
| microsoft.hardware.support/shippingStatus/allProperties/read | 미해결 Microsoft 하드웨어 보증 클레임에 대한 배송 상태를 읽습니다. |
| microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Microsoft 하드웨어 보증 클레임의 모든 측면 만들고 관리합니다. |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Microsoft 하드웨어 보증 전문가
다음 작업을 수행해야 하는 사용자에게 Microsoft 하드웨어 보증 전문가 역할을 할당합니다.
- Surface, HoloLens 등 Microsoft 제조 하드웨어에 대한 새 보증 청구 만들기
- 사용자가 만든 보증 청구 읽기
- 기존 배송 주소 읽기 및 업데이트
- 사용자가 만든 미해결 보증 청구에 대한 배송 상태 읽기
- Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리
보증 청구는 보증 조건에 따라 하드웨어를 수리하거나 교체하는 요청입니다. 자세한 내용은 Surface 보증 및 서비스 요청 셀프 서비스를 참조 하세요.
| actions | 설명 |
|---|---|
| microsoft.hardware.support/shippingAddress/allProperties/read | 다른 사용자가 만든 기존 배송 주소를 포함하여 Microsoft 하드웨어 보증 클레임에 대한 배송 주소를 읽습니다. |
| microsoft.hardware.support/warrantyClaims/createAsOwner | 작성자가 소유자인 Microsoft 하드웨어 보증 클레임을 만듭니다. |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.hardware.support/shippingStatus/allProperties/read | 미해결 Microsoft 하드웨어 보증 클레임에 대한 배송 상태를 읽습니다. |
| microsoft.hardware.support/warrantyClaims/allProperties/read | Microsoft 하드웨어 보증 클레임을 읽습니다. |
최신 상거래 관리자
사용하지 마십시오. 이 역할은 상거래에서 자동으로 할당되며 다른 용도로 사용하기에 적합하거나 지원되지 않습니다. 아래에서 자세한 내용을 참조하세요.
최신 상거래 관리이스트레이터 역할은 특정 사용자에게 Microsoft 365 관리 센터 액세스하고 홈, 청구 및 지원에 대한 왼쪽 탐색 항목을 볼 수 있는 권한을 부여합니다. 이러한 영역에 제공되는 콘텐츠는 사용자가 직접 구매했거나 조직을 대신해서 구매한 제품을 관리하기 위해 사용자에게 할당하는 상거래 관련 역할을 통해 제어됩니다. 여기에는 요금 결제 또는 청구 계정 및 청구 프로필 액세스와 같은 작업이 포함될 수 있습니다.
최신 상거래 관리 주체 역할이 있는 사용자는 일반적으로 다른 Microsoft 구매 시스템에서 관리 권한을 가지지만 관리 센터에 액세스하는 데 사용되는 전역 관리istrator 또는 청구 관리 주체 역할이 없습니다.
최신 상거래 관리 주관자 역할은 언제 할당되나요?
- Microsoft 365 관리 센터에서 셀프 서비스 구매 – 사용자는 셀프 서비스 구매를 통해 제품을 직접 구매하거나 가입하여 신제품을 사용해 볼 수 있습니다. 이러한 제품은 관리 센터에서 관리됩니다. 셀프 서비스 구매를 하는 사용자는 관리 센터에서 구매를 관리할 수 있도록 상거래 시스템 및 최신 상거래 관리이스트레이터 역할에 할당됩니다. 관리자는 PowerShell을 통해(Fabric, Power BI, Power Apps 및 Power Automate에 대한) 셀프 서비스 구매를 차단할 수 있습니다. 자세한 내용은 셀프 서비스 구매 질문과 대답을 참조하세요.
- Microsoft 상업용 Marketplace에서 구매 – 셀프 서비스 구매와 유사하게, 사용자가 Microsoft AppSource 또는 Azure Marketplace에서 제품 또는 서비스를 구매할 때 Global 관리istrator 또는 청구 관리주체 역할이 없는 경우 최신 상거래 관리주체 역할이 할당됩니다. 경우에 따라 사용자가 제품을 구매하지 못하게 차단될 수도 있습니다. 자세한 내용은 Microsoft 상업용 마켓플레이스를 참조하세요.
- Microsoft의 제안 – 제안은 조직에 Microsoft 제품 및 서비스를 구매할 것을 권유하는 Microsoft의 공식 제안입니다. 제안을 수락하는 사용자에게 Microsoft Entra ID의 전역 관리주체 또는 청구 관리 주체 역할이 없는 경우 제안을 완료하기 위한 상거래별 역할과 관리 센터에 액세스하기 위한 최신 상거래 관리 주체 역할이 모두 할당됩니다. 이 사람은 관리 센터에 액세스할 때 자신의 상거래 관련 역할에 의해 권한이 부여된 기능만 사용할 수 있습니다.
- 상거래 관련 역할 - 일부 사용자에게 상거래 관련 역할이 할당됩니다. 사용자가 Global 관리istrator 또는 Billing 관리istrator가 아닌 경우 관리 센터에 액세스할 수 있도록 Modern Commerce 관리istrator 역할을 받습니다.
사용자가 최신 상거래 관리자 역할의 할당을 해제하면 Microsoft 365 관리 센터에 액세스할 수 없게 됩니다. 직접 또는 조직을 대신해서 제품을 관리하는 사용자는 제품을 관리할 수 없게 됩니다. 여기에는 라이선스 할당, 결제 방법 변경, 청구서 결제 또는 구독 관리에 대한 기타 작업이 포함될 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.commerce.billing/partners/read | |
| microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | 볼륨 라이선스 서비스 센터의 모든 측면 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/basic/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
네트워크 관리자
이 역할의 사용자는 사용자 위치의 네트워크 원격 분석 데이터를 기반으로 작성되는 Microsoft의 네트워크 경계 아키텍처 권장 사항을 검토할 수 있습니다. Microsoft 365의 네트워크 성능은 일반적으로 사용자 위치와 관련이 있는 신중한 엔터프라이즈 고객 네트워크 경계 아키텍처에 좌우됩니다. 이 역할이 있으면 검색된 사용자 위치와 해당 위치의 네트워크 매개 변수 구성을 편집하여 원격 분석 측정 및 디자인 권장 사항을 쉽게 개선할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.network/locations/allProperties/allTasks | 네트워크 위치의 모든 측면 관리 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Office 앱 관리자
이 역할의 사용자는 Microsoft 365 앱의 클라우드 설정을 관리할 수 있습니다. 여기에는 클라우드 정책 관리, 셀프 서비스 다운로드 관리, Office 앱 관련 보고서를 살펴보는 기능이 포함됩니다. 이 역할은 주 관리 센터 내에서 지원 티켓을 관리하고 서비스 상태를 모니터링하는 기능도 부여합니다. 이 역할이 할당된 사용자는 Office 앱 최신 기능의 통신도 관리할 수도 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.userCommunication/allEntities/allTasks | 새로운 기능 메시지를 읽고 표시 여부 업데이트 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
조직 브랜딩 관리istrator
다음 작업을 수행해야 하는 사용자에게 조직 브랜딩 관리 주체 역할을 할당합니다.
- 테넌트에서 조직 브랜딩의 모든 측면 관리
- 브랜딩 테마 읽기, 만들기, 업데이트 및 삭제
- 기본 브랜딩 테마 및 모든 브랜딩 지역화 테마 관리
| actions | 설명 |
|---|---|
| microsoft.directory/loginOrganizationBranding/allProperties/allTasks | loginTenantBranding 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
조직 메시지 승인자
다음 작업을 수행해야 하는 사용자에게 조직 메시지 승인자 역할을 할당합니다.
- Microsoft 365 조직 메시지 플랫폼을 사용하여 사용자에게 전송되기 전에 Microsoft 365 관리 센터 배달을 위한 새 조직 메시지 검토, 승인 또는 거부
- 조직 메시지의 모든 측면 읽기
- Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
| actions | 설명 |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/read | Microsoft 365 조직 메시지의 모든 측면 읽기 |
| microsoft.office365.organizationalMessages/allEntities/allProperties/update | Microsoft 365 관리 센터 배달을 위한 새 조직 메시지 승인 또는 거부 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
조직 메시지 작성자
다음 작업을 수행해야 하는 사용자에게 조직 메시지 작성자 역할을 할당합니다.
- Microsoft 365 관리 센터 또는 Microsoft Intune을 사용하여 조직 메시지 작성, 게시, 삭제
- Microsoft 365 관리 센터 또는 Microsoft Intune을 사용하여 조직 메시지 배달 옵션 관리
- Microsoft 365 관리 센터 또는 Microsoft Intune을 사용하여 조직 메시지 배달 결과 읽기
- Microsoft 365 관리 센터에서 사용 현황 보고서 및 대부분의 설정을 보지만 변경할 수는 없음
| 작업 | 설명 |
|---|---|
| microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Microsoft 365 조직 메시지의 모든 작성 측면 관리 |
| microsoft.office365.usageReports/allEntities/standard/read | 테넌트 수준에서 집계된 Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
파트너 계층1 지원
권한 있는 역할입니다. 사용하지 마십시오. 이 역할은 사용되지 않으며 향후 Microsoft Entra ID에서 제거됩니다. 이 역할은 적은 수의 Microsoft 전매 파트너에서 사용하기 위한 것으로 일반적인 용도로는 적합하지 않습니다.
Important
이 역할은 관리자가 아닌 사용자의 암호를 다시 설정하고 새로 고침 토큰을 무효화할 수 있습니다. 이 역할은 사용되지 않으므로 사용하면 안 됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/applications/appRoles/update | 모든 유형의 애플리케이션에서 appRoles 속성 업데이트 |
| microsoft.directory/applications/audience/update | 애플리케이션의 대상 그룹 속성 업데이트 |
| microsoft.directory/applications/authentication/update | 모든 유형의 애플리케이션에서 인증 업데이트 |
| microsoft.directory/applications/basic/update | 애플리케이션의 기본 속성 업데이트 |
| microsoft.directory/applications/credentials/update | 애플리케이션 자격 증명 업데이트 |
| microsoft.directory/applications/notes/update | 애플리케이션의 메모 업데이트 |
| microsoft.directory/applications/owners/update | 애플리케이션 소유자 업데이트 |
| microsoft.directory/applications/permissions/update | 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트 |
| microsoft.directory/applications/policies/update | 애플리케이션 정책 업데이트 |
| microsoft.directory/applications/tag/update | 애플리케이션의 태그 업데이트 |
| microsoft.directory/contacts/create | 연락처 만들기 |
| microsoft.directory/contacts/delete | 연락처 삭제 |
| microsoft.directory/contacts/basic/update | 연락처의 기본 속성 업데이트 |
| microsoft.directory/deletedItems.groups/restore | 일시 삭제된 그룹을 원래 상태로 복원 |
| microsoft.directory/deletedItems.users/restore | 일시 삭제된 사용자를 원래 상태로 복원 |
| microsoft.directory/groups/create | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups/delete | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups/restore | 일시 삭제된 컨테이너에서 그룹 복원 |
| microsoft.directory/groups/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/users/assignLicense | 사용자 라이선스 관리 |
| microsoft.directory/users/create | 사용자 추가 |
| microsoft.directory/users/delete | 사용자 삭제 |
| microsoft.directory/users/disable | 사용자를 사용하지 않도록 설정 |
| microsoft.directory/users/enable | 사용자를 사용하도록 설정 |
| microsoft.directory/users/invalidateAllRefreshTokens | 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃 |
| microsoft.directory/users/restore | 삭제된 사용자 복원 |
| microsoft.directory/users/basic/update | 사용자의 기본 속성 업데이트 |
| microsoft.directory/users/manager/update | 사용자의 관리자 업데이트 |
| microsoft.directory/users/password/update | 모든 사용자 암호 재설정 |
| microsoft.directory/users/photo/update | 사용자 사진 업데이트 |
| microsoft.directory/users/userPrincipalName/update | 사용자의 사용자 계정 이름 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
파트너 계층2 지원
권한 있는 역할입니다. 사용하지 마십시오. 이 역할은 사용되지 않으며 향후 Microsoft Entra ID에서 제거됩니다. 이 역할은 적은 수의 Microsoft 전매 파트너에서 사용하기 위한 것으로 일반적인 용도로는 적합하지 않습니다.
Important
이 역할은 암호를 다시 설정할 수 있으며 관리자가 아닌 모든 사용자와 관리자(전역 관리자 포함)의 새로 고침 토큰을 무효화할 수 있습니다. 이 역할은 사용되지 않으므로 사용하면 안 됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/applications/appRoles/update | 모든 유형의 애플리케이션에서 appRoles 속성 업데이트 |
| microsoft.directory/applications/audience/update | 애플리케이션의 대상 그룹 속성 업데이트 |
| microsoft.directory/applications/authentication/update | 모든 유형의 애플리케이션에서 인증 업데이트 |
| microsoft.directory/applications/basic/update | 애플리케이션의 기본 속성 업데이트 |
| microsoft.directory/applications/credentials/update | 애플리케이션 자격 증명 업데이트 |
| microsoft.directory/applications/notes/update | 애플리케이션의 메모 업데이트 |
| microsoft.directory/applications/owners/update | 애플리케이션 소유자 업데이트 |
| microsoft.directory/applications/permissions/update | 모든 유형의 애플리케이션에서 공개된 권한 및 필요한 권한 업데이트 |
| microsoft.directory/applications/policies/update | 애플리케이션 정책 업데이트 |
| microsoft.directory/applications/tag/update | 애플리케이션의 태그 업데이트 |
| microsoft.directory/contacts/create | 연락처 만들기 |
| microsoft.directory/contacts/delete | 연락처 삭제 |
| microsoft.directory/contacts/basic/update | 연락처의 기본 속성 업데이트 |
| microsoft.directory/deletedItems.groups/restore | 일시 삭제된 그룹을 원래 상태로 복원 |
| microsoft.directory/deletedItems.users/restore | 일시 삭제된 사용자를 원래 상태로 복원 |
| microsoft.directory/domains/allProperties/allTasks | 도메인 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groups/create | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups/delete | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups/restore | 일시 삭제된 컨테이너에서 그룹 복원 |
| microsoft.directory/groups/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/organization/basic/update | 조직의 기본 속성 업데이트 |
| microsoft.directory/roleAssignments/allProperties/allTasks | 역할 할당 만들기 및 삭제, 모든 역할 할당 속성 읽기 및 업데이트 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | 역할 정의 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | scopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/subscribedSkus/standard/read | 구독의 기본 속성 읽기 |
| microsoft.directory/users/assignLicense | 사용자 라이선스 관리 |
| microsoft.directory/users/create | 사용자 추가 |
| microsoft.directory/users/delete | 사용자 삭제 |
| microsoft.directory/users/disable | 사용자를 사용하지 않도록 설정 |
| microsoft.directory/users/enable | 사용자를 사용하도록 설정 |
| microsoft.directory/users/invalidateAllRefreshTokens | 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃 |
| microsoft.directory/users/restore | 삭제된 사용자 복원 |
| microsoft.directory/users/basic/update | 사용자의 기본 속성 업데이트 |
| microsoft.directory/users/manager/update | 사용자의 관리자 업데이트 |
| microsoft.directory/users/password/update | 모든 사용자 암호 재설정 |
| microsoft.directory/users/photo/update | 사용자 사진 업데이트 |
| microsoft.directory/users/userPrincipalName/update | 사용자의 사용자 계정 이름 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
암호 관리자
권한 있는 역할입니다. 이 역할의 사용자는 제한적으로 암호를 관리할 수 있습니다. 이 역할은 서비스 요청을 관리하거나 서비스 상태를 모니터링하는 기능을 부여하지 않습니다. 암호 관리자가 사용자의 암호를 다시 설정할 수 있는지 여부는 사용자에게 할당된 역할에 따라 달라집니다. 암호 관리자가 암호를 다시 설정할 수 있는 역할 목록은 암호를 다시 설정할 수 있는 사용자를 참조하세요.
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- 역할 할당 가능 그룹의 멤버 및 소유자에 대해 자격 증명을 변경하거나 MFA를 다시 설정할 수 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/users/password/update | 모든 사용자 암호 재설정 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
권한 관리 관리자
다음 작업을 수행해야 하는 사용자에게 권한 관리 관리자 역할을 할당합니다.
- 서비스가 있는 경우 Microsoft Entra 사용 권한 관리의 모든 측면 관리
역할/정책에 대한 정보 보기에서 권한 관리 역할 및 정책에 대해 자세히 알아봅니다.
| 작업 | 설명 |
|---|---|
| microsoft.permissionsManagement/allEntities/allProperties/allTasks | Microsoft Entra 사용 권한 관리의 모든 측면 관리 |
Power Platform 관리자
이 역할의 사용자는 환경, Power Apps, 흐름, 데이터 손실 방지 정책의 모든 측면을 만들고 관리할 수 있습니다. 또한 이 역할이 할당된 사용자는 지원 티켓을 관리하고 서비스 상태를 모니터링할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.dynamics365/allEntities/allTasks | Dynamics 365의 모든 측면 관리 |
| microsoft.flow/allEntities/allTasks | Microsoft Power Automate의 모든 측면 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.powerApps/allEntities/allTasks | Power Apps의 모든 측면 관리 |
프린터 관리자
이 역할의 사용자는 Microsoft 유니버설 인쇄 솔루션에서 프린터를 등록하고 유니버설 인쇄 커넥터 설정을 비롯한 모든 프린터 구성을 관리할 수 있습니다. 모든 위임된 인쇄 권한 요청에 동의할 수 있습니다. 또한 프린터 관리자는 보고서를 인쇄할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.print/allEntities/allProperties/allTasks | Microsoft 인쇄에서 프린터 및 커넥터 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
프린터 기술자
이 역할의 사용자는 Microsoft 유니버설 인쇄 솔루션에서 프린터를 등록하고 프린터 상태를 관리할 수 있습니다. 또한 모든 커넥터 정보를 읽을 수 있습니다. 프린터 기술자가 할 수 없는 주요 작업은 프린터 및 공유 프린터에 대한 사용자 권한을 설정하는 것입니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.print/connectors/allProperties/read | Microsoft 인쇄에서 모든 커넥터 속성 읽기 |
| microsoft.azure.print/printers/allProperties/read | Microsoft 인쇄에서 프린터의 모든 속성 읽기 |
| microsoft.azure.print/printers/register | Microsoft 인쇄에서 프린터 등록 |
| microsoft.azure.print/printers/unregister | Microsoft 인쇄에서 프린터 등록 취소 |
| microsoft.azure.print/printers/basic/update | Microsoft 인쇄에서 프린터의 기본 속성 업데이트 |
권한 있는 인증 관리자
권한 있는 역할입니다. 다음 작업을 수행해야 하는 사용자에게 권한 있는 인증 관리자 역할을 할당합니다.
- 전역 관리자를 포함하여 모든 사용자의 인증 방법(암호 포함)을 설정하거나 다시 설정합니다.
- 전역 관리자를 포함하여 모든 사용자를 삭제하거나 복원합니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
- 사용자가 기존 비암호 자격 증명(예: MFA 또는 FIDO)을 다시 등록하고 디바이스에 MFA 저장을 철회하도록 강제 적용하여 모든 사용자가 다음에 로그인할 때 MFA 요청 메시지를 표시합니다.
- 모든 사용자에 대한 중요한 속성을 업데이트합니다. 자세한 내용은 중요한 작업을 수행할 수 있는 사용자를 참조하세요.
- Azure 및 Microsoft 365 관리 센터에서 지원 티켓을 만들고 관리합니다.
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- 레거시 MFA 관리 포털에서 사용자별 MFA를 관리할 수 없습니다.
다음 표에서는 인증 관련 역할의 기능을 비교합니다.
| 역할 | 사용자 인증 방법 관리 | 사용자별 MFA 관리 | MFA 설정 관리 | 인증 방법 정책 관리 | 암호 보호 정책 관리 | 중요한 속성 업데이트 | 사용자 삭제 및 복원 |
|---|---|---|---|---|---|---|---|
| 인증 관리자 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 | 예 | 없음 | 예 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 |
| 권한 있는 인증 관리자 | 모든 사용자에 대해 예 | 모든 사용자에 대해 예 | 아니요 | 없음 | 아니요 | 모든 사용자에 대해 예 | 모든 사용자에 대해 예 |
| 인증 정책 관리자 | 아니요 | 없음 | 예 | 네 | 네 | 없음 | 아니요 |
| 사용자 관리자 | 아니요 | 없음 | 없음 | 없음 | 예 | 일부 사용자의 경우 예 | 일부 사용자의 경우 예 |
Important
이 역할의 사용자는 Microsoft Entra ID 내부 및 외부에 있는 중요한 프라이빗 정보 또는 중요한 구성에 대한 액세스 권한이 있을 수 있는 사용자의 자격 증명을 변경할 수 있습니다. 사용자의 자격 증명을 변경한다는 것은 사용자의 ID 및 사용 권한을 가정할 수 있음을 의미할 수 있습니다. 예시:
- 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Microsoft Entra ID에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 인증 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 인증 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
- Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
- 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Microsoft Entra ID 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
- Exchange Online, Microsoft 365 Defender 포털, Microsoft Purview 준수 포털, 인적 자원 시스템과 같은 Microsoft Entra ID 외부의 다른 서비스 관리자
- 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
| 작업 | 설명 |
|---|---|
| microsoft.directory/users/authenticationMethods/create | 사용자에 대한 인증 방법 업데이트 |
| microsoft.directory/users/authenticationMethods/delete | 사용자에 대한 인증 방법 삭제 |
| microsoft.directory/users/authenticationMethods/standard/read | 사용자에 대한 인증 방법의 표준 속성 읽기 |
| microsoft.directory/users/authenticationMethods/basic/update | 사용자에 대한 인증 방법의 기본 속성 업데이트 |
| microsoft.directory/deletedItems.users/restore | 일시 삭제된 사용자를 원래 상태로 복원 |
| microsoft.directory/users/delete | 사용자 삭제 |
| microsoft.directory/users/disable | 사용자를 사용하지 않도록 설정 |
| microsoft.directory/users/enable | 사용자를 사용하도록 설정 |
| microsoft.directory/users/invalidateAllRefreshTokens | 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃 |
| microsoft.directory/users/restore | 삭제된 사용자 복원 |
| microsoft.directory/users/basic/update | 사용자의 기본 속성 업데이트 |
| microsoft.directory/users/authorizationInfo/update | 사용자의 다중값 인증서 사용자 ID 속성 업데이트 |
| microsoft.directory/users/manager/update | 사용자의 관리자 업데이트 |
| microsoft.directory/users/password/update | 모든 사용자 암호 재설정 |
| microsoft.directory/users/userPrincipalName/update | 사용자의 사용자 계정 이름 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
권한 있는 역할 관리자
권한 있는 역할입니다. 이 역할이 있는 사용자는 Microsoft Entra Privileged Identity Management 내에서뿐만 아니라 Microsoft Entra ID에서 역할 할당을 관리할 수 있습니다. Microsoft Entra 역할에 할당 가능한 그룹을 만들고 관리할 수 있습니다. 또한 이 역할을 통해 Privileged Identity Management 및 관리 단위의 모든 것을 관리할 수 있습니다.
Important
이 역할은 전역 관리자 역할을 포함하여 모든 Microsoft Entra 역할의 할당을 관리할 수 있습니다. 이 역할은 사용자 생성 또는 업데이트와 같은 Microsoft Entra ID의 다른 모든 권한 있는 기능을 포함하지는 않습니다. 그러나 이 역할에 할당된 사용자는 추가 역할을 할당하여 본인 또는 다른 사용자에게 추가 권한을 부여할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/read | Microsoft Entra ID에서 애플리케이션 역할 할당에 대한 액세스 검토의 모든 속성 읽기 |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks | Microsoft Entra 역할 할당에 대한 액세스 검토 관리 |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update | Microsoft Entra 역할에 할당할 수 있는 그룹의 멤버 자격에 대한 액세스 검토의 모든 속성 업데이트 |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create | Microsoft Entra 역할에 할당할 수 있는 그룹의 멤버십에 대한 액세스 검토 만들기 |
| microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete | Microsoft Entra 역할에 할당할 수 있는 그룹의 멤버십에 대한 액세스 검토 삭제 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | 역할을 할당할 수 있는 그룹을 포함하여 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다. |
| microsoft.directory/administrativeUnits/allProperties/allTasks | 관리 단위(구성원 포함)를 만들고 관리합니다. |
| microsoft.directory/authorizationPolicy/allProperties/allTasks | 권한 부여 정책의 모든 측면 관리 |
| microsoft.directory/directoryRoles/allProperties/allTasks | 디렉터리 역할 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groupsAssignableToRoles/create | 역할 할당 가능 그룹 만들기 |
| microsoft.directory/groupsAssignableToRoles/delete | 역할 할당 가능 그룹 삭제 |
| microsoft.directory/groupsAssignableToRoles/restore | 역할 할당 가능 그룹 복원 |
| microsoft.directory/groupsAssignableToRoles/allProperties/update | 역할 할당 가능 그룹 업데이트 |
| microsoft.directory/groupsAssignableToRoles/assignLicense | 역할 할당 가능 그룹에 라이선스 할당 |
| microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment | 역할 할당 가능 그룹에 라이선스 할당 다시 처리 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/privilegedIdentityManagement/allProperties/allTasks | Privileged Identity Management에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.directory/roleAssignments/allProperties/allTasks | 역할 할당 만들기 및 삭제, 모든 역할 할당 속성 읽기 및 업데이트 |
| microsoft.directory/roleDefinitions/allProperties/allTasks | 역할 정의 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/scopedRoleMemberships/allProperties/allTasks | scopedRoleMemberships 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/servicePrincipals/permissions/update | 서비스 주체의 권한 업데이트 |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin | 애플리케이션에 대한 권한 부여 동의 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.directory/permissionGrantPolicies/create | 권한 부여 정책 만들기 |
| microsoft.directory/permissionGrantPolicies/delete | 권한 부여 정책 삭제 |
| microsoft.directory/permissionGrantPolicies/allProperties/read | 권한 부여 정책의 모든 속성을 읽습니다. |
| microsoft.directory/permissionGrantPolicies/allProperties/update | 권한 부여 정책의 모든 속성을 업데이트합니다. |
보고서 읽기 권한자
이 역할의 사용자는 Microsoft 365 관리 센터의 사용 현황 보고 데이터 및 보고서 대시보드와 Fabric 및 Power BI의 채택 컨텍스트 팩을 볼 수 있습니다. 또한 이 역할은 Microsoft Entra ID의 모든 로그인 로그, 감사 로그, 작업 보고서 및 Microsoft Graph Reporting API에서 반환되는 데이터에 대한 액세스를 제공합니다. 보고서 구독자 역할에 할당된 사용자는 관련된 사용량 및 채택 메트릭에만 액세스할 수 있습니다. 설정을 구성하거나 Exchange와 같은 제품 특정 관리 센터에 액세스할 수 있는 관리자 권한은 없습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Search 관리자
이 역할의 사용자는 Microsoft 365 관리 센터의 모든 Microsoft Search 관리 기능에 액세스할 수 있습니다. 또한 이 역할의 사용자는 메시지 센터를 살펴보고, 서비스 상태를 모니터링하고, 서비스 요청을 만들 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.search/content/manage | Microsoft Search에서 콘텐츠 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Search 편집자
이 역할의 사용자는 책갈피, Q&A 및 위치를 포함하여 Microsoft 365 관리 센터 Microsoft Search에 대한 콘텐츠를 만들고, 관리하고, 삭제할 수 있습니다.
| actions | 설명 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.search/content/manage | Microsoft Search에서 콘텐츠 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
보안 관리자
권한 있는 역할입니다. 이 역할의 사용자는 Microsoft 365 Defender 포털, Microsoft Entra ID 보호, Microsoft Entra 인증, Azure Information Protection 및 Microsoft Purview 준수 포털의 보안 관련 기능을 관리할 수 있는 권한을 갖습니다. Office 365 사용 권한에 대한 자세한 내용은 Office 365용 Microsoft Defender 및 Microsoft Purview 준수에서 역할 및 역할 그룹을 참조하세요.
| In | 할 수 있음 |
|---|---|
| Microsoft 365 Defender 포털 | Microsoft 365 서비스 전반의 보안 관련 정책 모니터링 보안 위협과 경고 관리 보고서 보기 |
| ID 보호 | 보안 읽기 권한자 역할의 모든 권한 암호 재설정을 제외한 모든 ID 보호 작업 수행 |
| Privileged Identity Management | 보안 읽기 권한자 역할의 모든 권한 Microsoft Entra 역할 할당 또는 설정을 관리할 수 없음 |
| Microsoft Purview 규정 준수 포털 | 보안 정책 관리 보안 위협 확인/조사/대응 보고서 보기 |
| Azure Advanced Threat Protection | 의심스러운 보안 활동 모니터링/대응 |
| 엔드포인트용 Microsoft Defender | 역할 할당 머신 그룹 관리 엔드포인트 위협 검색 및 자동 수정 구성 경고 확인/조사/대응 컴퓨터/디바이스 인벤토리 보기 |
| Intune | 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보 확인 Intune을 변경할 수는 없음 |
| Microsoft Defender for Cloud 앱 | 관리자/정책/설정 추가, 로그 업로드, 거버넌스 작업 수행 |
| Microsoft 365 서비스 상태 | Office 365 서비스의 상태 보기 |
| 스마트 잠금 | 실패한 로그인 이벤트가 발생할 때 잠금의 임계값 및 기간을 정의합니다. |
| 암호 보호 | 사용자 지정 금지 암호 목록 또는 온-프레미스 암호 보호를 구성합니다. |
| 테넌트 간 동기화 | 다른 테넌트에서 사용자에 대한 테넌트 간 액세스 설정을 구성합니다. 보안 관리자는 사용자를 직접 만들고 삭제할 수는 없지만, 두 테넌트가 모두 권한 있는 권한인 테넌트 간 동기화를 위해 구성된 경우 다른 테넌트에서 동기화된 사용자를 간접적으로 만들고 삭제할 수 있습니다. |
| 작업 | 설명 |
|---|---|
| microsoft.directory/applications/policies/update | 애플리케이션 정책 업데이트 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 테넌트 간 액세스 정책의 허용된 클라우드 엔드포인트 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/basic/update | 테넌트 간 액세스 정책의 기본 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 기본 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update | 기본 테넌트 간 액세스 정책의 Microsoft Entra B2B 협업 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update | 기본 테넌트 간 액세스 정책의 Microsoft Entra B2B 직접 연결 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 기본 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update | 기본 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 파트너에 대한 테넌트 간 액세스 정책 만들기 |
| microsoft.directory/crossTenantAccessPolicy/partners/delete | 파트너에 대한 테넌트 간 액세스 정책 삭제 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update | 다중 테넌트 조직을 위한 테넌트 간 동기화 정책 템플릿 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings | 다중 테넌트 조직의 교차 테넌트 동기화 정책 템플릿을 기본 설정으로 다시 설정 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 다중 테넌트 조직을 위한 테넌트 간 동기화 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update | 다중 테넌트 조직에 대한 테넌트 간 액세스 정책 템플릿 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings | 다중 테넌트 조직에 대한 테넌트 간 액세스 정책 템플릿을 기본 설정으로 초기화 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 다중 테넌트 조직을 위한 테넌트 간 액세스 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update | 파트너에 대한 테넌트 간 액세스 정책의 Microsoft Entra B2B 협업 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update | 파트너에 대한 테넌트 간 액세스 정책의 Microsoft Entra B2B 직접 연결 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 파트너에 대한 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update | 파트너에 대한 테넌트 간 액세스 정책의 테넌트 제한 사항 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create | 파트너에 대한 테넌트 간 동기화 정책 만들기 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update | 테넌트 간 동기화 정책의 기본 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read | 테넌트 간 동기화 정책의 기본 속성 읽기 |
| microsoft.directory/deviceLocalCredentials/standard/read | 암호를 제외하고 Microsoft Entra ID에 조인된 디바이스에 대해 백업된 로컬 관리자 계정 자격 증명의 모든 속성 읽기 |
| microsoft.directory/domains/federation/update | 도메인의 페더레이션 속성 업데이트 |
| microsoft.directory/domains/federationConfiguration/standard/read | 도메인에 대한 페더레이션 구성의 표준 속성 읽기 |
| microsoft.directory/domains/federationConfiguration/basic/update | 도메인에 대한 기본 페더레이션 구성 업데이트 |
| microsoft.directory/domains/federationConfiguration/create | 도메인에 대한 페더레이션 구성 만들기 |
| microsoft.directory/domains/federationConfiguration/delete | 도메인에 대한 페더레이션 구성 삭제 |
| microsoft.directory/entitlementManagement/allProperties/read | Microsoft Entra 권한 관리에서 모든 속성 읽기 |
| microsoft.directory/identityProtection/allProperties/read | Microsoft Entra ID 보호에서 모든 리소스 읽기 |
| microsoft.directory/identityProtection/allProperties/update | Microsoft Entra ID 보호에서 모든 리소스 업데이트 |
| microsoft.directory/multiTenantOrganization/basic/update | 다중 테넌트 조직의 기본 속성 업데이트 |
| microsoft.directory/multiTenantOrganization/create | 다중 테넌트 조직 만들기 |
| microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update | 다중 테넌트 조직에 조인 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 다중 테넌트 조직 조인 요청의 속성 읽기 |
| microsoft.directory/multiTenantOrganization/standard/read | 다중 테넌트 조직의 기본 속성 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update | 다중 테넌트 조직에 참여하는 테넌트 기본 속성 업데이트 |
| microsoft.directory/multiTenantOrganization/tenants/create | 다중 테넌트 조직에서 테넌트 만들기 |
| microsoft.directory/multiTenantOrganization/tenants/delete | 다중 테넌트 조직에 참여하는 테넌트 삭제 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 다중 테넌트 조직에 참여하는 테넌트의 조직 세부 정보 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 다중 테넌트 조직에 참여하는 테넌트의 기본 속성 읽기 |
| microsoft.directory/namedLocations/create | 네트워크 위치를 정의하는 사용자 지정 규칙 만들기 |
| microsoft.directory/namedLocations/delete | 네트워크 위치를 정의하는 사용자 지정 규칙 삭제 |
| microsoft.directory/namedLocations/standard/read | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기 |
| microsoft.directory/namedLocations/basic/update | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 업데이트 |
| microsoft.directory/policies/create | Microsoft Entra ID에서 정책 만들기 |
| microsoft.directory/policies/delete | Microsoft Entra ID에서 정책 삭제 |
| microsoft.directory/policies/basic/update | 정책의 기본 속성 업데이트 |
| microsoft.directory/policies/owners/update | 정책의 소유자 업데이트 |
| microsoft.directory/policies/tenantDefault/update | 기본 조직 정책 업데이트 |
| microsoft.directory/conditionalAccessPolicies/create | 조건부 액세스 정책 만들기 |
| microsoft.directory/conditionalAccessPolicies/delete | 조건부 액세스 정책 삭제 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 정책에 대한 조건부 액세스 읽기 |
| microsoft.directory/conditionalAccessPolicies/owners/read | 조건부 액세스 정책 소유자 읽기 |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 조건부 액세스 정책에 대한 "적용 대상" 속성을 읽습니다. |
| microsoft.directory/conditionalAccessPolicies/basic/update | 조건부 액세스 정책의 기본 속성 업데이트 |
| microsoft.directory/conditionalAccessPolicies/owners/update | 조건부 액세스 정책에 대한 소유자 업데이트 |
| microsoft.directory/conditionalAccessPolicies/tenantDefault/update | 조건부 액세스 정책에 대한 기본 테넌트 업데이트 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management에서 모든 리소스 읽기 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update | MICROSOFT 365 RBAC(역할 기반 액세스 제어) 리소스 작업의 조건부 액세스 인증 컨텍스트 업데이트 |
| microsoft.directory/servicePrincipals/policies/update | 서비스 주체의 정책 업데이트 |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.networkAccess/allEntities/allProperties/allTasks | Microsoft Entra 네트워크 액세스의 모든 측면 관리 |
| microsoft.office365.protectionCenter/allEntities/standard/read | 보안 및 규정 준수 센터에서 모든 리소스의 표준 속성 읽기 |
| microsoft.office365.protectionCenter/allEntities/basic/update | 보안 및 규정 준수 센터에서 모든 리소스의 기본 속성 업데이트 |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | 공격 시뮬레이터에서 공격 페이로드 만들기 및 관리 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기 |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | 공격 시뮬레이터에서 공격 시뮬레이션 템플릿 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
보안 운영자
권한 있는 역할입니다. 이 역할의 사용자는 경고를 관리할 수 있으며 Microsoft 365 Defender 포털, Microsoft Entra ID 보호, Privileged Identity Management 및 Microsoft Purview 준수 포털의 모든 정보를 포함하여 보안 관련 기능에 대한 글로벌 읽기 전용 액세스 권한이 있습니다. Office 365 사용 권한에 대한 자세한 내용은 Office 365용 Microsoft Defender 및 Microsoft Purview 준수에서 역할 및 역할 그룹을 참조하세요.
| In | 할 수 있음 |
|---|---|
| Microsoft 365 Defender 포털 | 보안 읽기 권한자 역할의 모든 권한 보안 위협 경고 확인/조사/대응 Microsoft 365 Defender 포털에서 보안 설정 관리 |
| ID 보호 | 보안 읽기 권한자 역할의 모든 권한 위험 기반 정책 구성 또는 변경, 암호 재설정, 경고 메일 구성을 제외한 모든 ID 보호 작업을 수행합니다. |
| Privileged Identity Management | 보안 읽기 권한자 역할의 모든 권한 |
| Microsoft Purview 규정 준수 포털 | 보안 읽기 권한자 역할의 모든 권한 보안 경고 확인/조사/대응 |
| 엔드포인트용 Microsoft Defender | 보안 읽기 권한자 역할의 모든 권한 보안 경고 확인/조사/대응 엔드포인트용 Microsoft Defender에서 역할 기반 액세스 제어를 켜면 보안 읽기 권한자 역할과 같은 읽기 전용 권한이 있는 사용자는 엔드포인트용 Microsoft Defender 역할이 할당될 때까지 액세스 권한을 잃게 됩니다. |
| Intune | 보안 읽기 권한자 역할의 모든 권한 |
| Microsoft Defender for Cloud 앱 | 보안 읽기 권한자 역할의 모든 권한 보안 경고 확인/조사/대응 |
| Microsoft 365 서비스 상태 | Office 365 서비스의 상태 보기 |
| 작업 | 설명 |
|---|---|
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/cloudAppSecurity/allProperties/allTasks | 클라우드용 Microsoft Defender 앱에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.directory/identityProtection/allProperties/allTasks | Microsoft Entra ID 보호에서 모든 리소스를 만들고 삭제하고, 표준 속성을 읽고 업데이트합니다. |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management에서 모든 리소스 읽기 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.azure.advancedThreatProtection/allEntities/allTasks | Azure Advanced Threat Protection의 모든 측면 관리 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.intune/allEntities/read | Microsoft Intune에서 모든 리소스 읽기 |
| microsoft.office365.securityComplianceCenter/allEntities/allTasks | Office 365 보안 및 규정 준수 센터에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks | 엔드포인트용 Microsoft Defender의 모든 측면 관리 |
보안 읽기 권한자
권한 있는 역할입니다. 이 역할의 사용자에게는 Microsoft 365 Defender 포털, Microsoft Entra ID 보호, Privileged Identity Management의 모든 정보를 비롯한 보안 관련 기능에 대한 전역 읽기 전용 액세스 권한이 있습니다. 또한 Microsoft Entra 로그인 보고서와 감사 로그 읽기 권한 및 Microsoft Purview 준수 포털의 읽기 권한도 있습니다. Office 365 사용 권한에 대한 자세한 내용은 Office 365용 Microsoft Defender 및 Microsoft Purview 준수에서 역할 및 역할 그룹을 참조하세요.
| In | 할 수 있음 |
|---|---|
| Microsoft 365 Defender 포털 | Microsoft 365 서비스 전반에서 보안 관련 정책 확인 보안 위협 및 경고 확인 보고서 보기 |
| ID 보호 | 모든 ID 보호 보고서 및 개요 보기 |
| Privileged Identity Management | Microsoft Entra Privileged Identity Management에 표시되는 다음과 같은 모든 정보에 대한 읽기 전용 액세스 권한이 있습니다. Microsoft Entra 역할 할당 및 보안 검토에 대한 정책 및 보고서. Microsoft Entra Privileged Identity Management에 가입하거나 변경할 수 없습니다. 이 역할에 속한 사람은 Privileged Identity Management 포털 또는 PowerShell에서 적격 사용자를 대상으로 전역 관리자, 권한 있는 역할 관리자 등의 추가 역할을 활성화할 수 있습니다. |
| Microsoft Purview 규정 준수 포털 | 보안 정책 보기 보안 위협 확인/조사 보고서 보기 |
| 엔드포인트용 Microsoft Defender | 경고 확인/조사 엔드포인트용 Microsoft Defender에서 역할 기반 액세스 제어를 켜면 보안 읽기 권한자 역할과 같은 읽기 전용 권한이 있는 사용자는 엔드포인트용 Microsoft Defender 역할이 할당될 때까지 액세스 권한을 잃게 됩니다. |
| Intune | 사용자, 디바이스, 등록, 구성 및 애플리케이션 정보 확인. Intune을 변경할 수는 없음 |
| Microsoft Defender for Cloud 앱 | 읽기 권한이 있음. |
| Microsoft 365 서비스 상태 | Office 365 서비스의 상태 보기 |
| 작업 | 설명 |
|---|---|
| microsoft.directory/accessReviews/definitions/allProperties/read | Microsoft Entra ID에서 검토 가능한 모든 리소스에 대한 액세스 검토의 모든 속성 읽기 |
| microsoft.directory/auditLogs/allProperties/read | 사용자 지정 보안 특성 감사 로그를 제외한 감사 로그의 모든 속성 읽기 |
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/bitlockerKeys/key/read | 디바이스의 bitlocker 메타데이터 및 키 읽기 |
| microsoft.directory/deviceLocalCredentials/standard/read | 암호를 제외하고 Microsoft Entra ID에 조인된 디바이스에 대해 백업된 로컬 관리자 계정 자격 증명의 모든 속성 읽기 |
| microsoft.directory/domains/federationConfiguration/standard/read | 도메인에 대한 페더레이션 구성의 표준 속성 읽기 |
| microsoft.directory/entitlementManagement/allProperties/read | Microsoft Entra 권한 관리에서 모든 속성 읽기 |
| microsoft.directory/identityProtection/allProperties/read | Microsoft Entra ID 보호에서 모든 리소스 읽기 |
| microsoft.directory/namedLocations/standard/read | 네트워크 위치를 정의하는 사용자 지정 규칙의 기본 속성 읽기 |
| microsoft.directory/policies/standard/read | 정책의 기본 속성 읽기 |
| microsoft.directory/policies/owners/read | 정책의 소유자 읽기 |
| microsoft.directory/policies/policyAppliedTo/read | policies.policyAppliedTo 속성 읽기 |
| microsoft.directory/conditionalAccessPolicies/standard/read | 정책에 대한 조건부 액세스 읽기 |
| microsoft.directory/conditionalAccessPolicies/owners/read | 조건부 액세스 정책 소유자 읽기 |
| microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read | 조건부 액세스 정책에 대한 "적용 대상" 속성을 읽습니다. |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read | 다중 테넌트 조직을 위한 테넌트 간 동기화 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read | 다중 테넌트 조직을 위한 테넌트 간 액세스 정책 템플릿의 기본 속성 읽기 |
| microsoft.directory/multiTenantOrganization/joinRequest/standard/read | 다중 테넌트 조직 조인 요청의 속성 읽기 |
| microsoft.directory/multiTenantOrganization/standard/read | 다중 테넌트 조직의 기본 속성 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read | 다중 테넌트 조직에 참여하는 테넌트의 조직 세부 정보 읽기 |
| microsoft.directory/multiTenantOrganization/tenants/standard/read | 다중 테넌트 조직에 참여하는 테넌트의 기본 속성 읽기 |
| microsoft.directory/privilegedIdentityManagement/allProperties/read | Privileged Identity Management에서 모든 리소스 읽기 |
| microsoft.directory/provisioningLogs/allProperties/read | 프로비저닝 로그의 모든 속성을 읽습니다. |
| microsoft.directory/signInReports/allProperties/read | 권한 있는 속성을 포함하여 로그인 보고서의 모든 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.networkAccess/allEntities/allProperties/read | Microsoft Entra 네트워크 액세스의 모든 측면 읽기 |
| microsoft.office365.protectionCenter/allEntities/standard/read | 보안 및 규정 준수 센터에서 모든 리소스의 표준 속성 읽기 |
| microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read | 공격 시뮬레이터에서 공격 페이로드의 모든 속성 읽기 |
| microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | 공격 시뮬레이션, 응답 및 관련 학습에 대한 보고서 읽기 |
| microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read | 공격 시뮬레이터에서 공격 시뮬레이션 템플릿의 모든 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
서비스 지원 관리자
이 역할이 있는 사용자는 Azure 및 Microsoft 365 서비스에 대한 Microsoft 지원 요청을 만들고 관리할 수 있으며 Azure Portal 및 Microsoft 365 관리 센터에서 서비스 대시보드 및 메시지 센터를 볼 수 있습니다. 자세한 내용은 Microsoft 365 관리 센터 관리자 역할 정보를 참조하세요.
참고 항목
이 역할의 이름을 이전에는 Azure Portal 및 Microsoft 365 관리 센터에서 서비스 관리자라고 했습니다. Microsoft Graph API 및 Azure AD PowerShell의 기존 이름과 일치하도록 이름을 서비스 지원 관리자로 변경했습니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
SharePoint 관리자
이 역할의 사용자는 해당 서비스가 있는 경우 Microsoft SharePoint Online 내에서 글로벌 사용 권한을 가질 뿐만 아니라 모든 Microsoft 365 그룹을 생성 및 관리하고, 지원 티켓을 관리하고, 서비스 상태를 모니터링할 수 있습니다. 자세한 내용은 Microsoft 365 관리 센터 관리자 역할 정보를 참조하세요.
참고 항목
Microsoft Graph API 및 Azure AD PowerShell에서 이 역할의 이름은 SharePoint 서비스 관리자로 지정됩니다. Azure Portal에서 이 역할의 이름은 SharePoint 관리자로 지정됩니다.
참고 항목
또한 이 역할은 Microsoft Graph API for Microsoft Intune에 범위가 지정된 권한을 부여하여 SharePoint 및 OneDrive 리소스와 관련된 정책을 관리하고 구성할 수 있게 합니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기 |
| microsoft.directory/groups.unified/create | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups.unified/delete | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups.unified/restore | 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원 |
| microsoft.directory/groups.unified/basic/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.unified/members/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups.unified/owners/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.migrations/allEntities/allProperties/allTasks | Microsoft 365 마이그레이션의 모든 측면 관리 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.sharePoint/allEntities/allTasks | SharePoint에서 모든 리소스 만들기 및 삭제, 표준 속성 읽기 및 업데이트 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
비즈니스용 Skype 관리자
이 역할의 사용자는 해당 서비스가 있는 경우 Microsoft 비즈니스용 Skype 내에서 글로벌 사용 권한을 가질 뿐만 아니라 Microsoft Entra ID에서 Skype 관련 사용자 특성을 관리할 수 있습니다. 또한 이 역할은 지원 티켓을 관리하고 서비스 상태를 모니터링하고 Teams 및 Business용 Skype 관리 센터에 액세스하는 기능을 부여합니다. 계정에는 Teams에 대한 라이선스가 있어야 합니다. 그렇지 않으면 Teams PowerShell cmdlet을 실행할 수 없습니다. 자세한 내용은 비즈니스용 Skype 추가 기능 라이선스에서 비즈니스용 Skype Online 관리 및 Teams 라이선스 정보를 참조하세요.
참고 항목
Microsoft Graph API 및 Azure AD PowerShell에서 이 역할의 이름은 Lync 서비스 관리자로 지정됩니다. Azure Portal에서 이 역할의 이름은 비즈니스용 Skype 관리자로 지정됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 비즈니스용 Skype Online의 모든 측면 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Teams 관리자
이 역할의 사용자는 Microsoft Teams &비즈니스용 Skype 관리 센터 및 각 PowerShell 모듈을 통해 Microsoft Teams 워크로드의 모든 측면을 관리할 수 있습니다. 여기에는 다른 영역 중 전화 통신, 메시징, 회의 및 팀 자체와 관련된 모든 관리 도구가 포함됩니다. 이 역할은 추가적으로 모든 Microsoft 365 그룹 만들기 및 관리 기능뿐 아니라 지원 티켓을 관리하고 서비스 상태를 모니터링하는 기능도 부여합니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.directory/groups/hiddenMembers/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기 |
| microsoft.directory/groups.unified/create | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups.unified/delete | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups.unified/restore | 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원 |
| microsoft.directory/groups.unified/basic/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.unified/members/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups.unified/owners/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 비즈니스용 Skype Online의 모든 측면 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.teams/allEntities/allProperties/allTasks | Teams에서 모든 리소스 관리 |
| microsoft.directory/crossTenantAccessPolicy/standard/read | 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | 테넌트 간 액세스 정책의 허용된 클라우드 엔드포인트 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read | 기본 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | 기본 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트 |
| microsoft.directory/crossTenantAccessPolicy/partners/create | 파트너에 대한 테넌트 간 액세스 정책 만들기 |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read | 파트너에 대한 테넌트 간 액세스 정책의 기본 속성 읽기 |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | 파트너에 대한 테넌트 간 액세스 정책의 클라우드 간 Teams 모임 설정 업데이트 |
| microsoft.directory/pendingExternalUserProfiles/create | Teams용 확장 디렉터리에 외부 사용자 프로필 만들기 |
| microsoft.directory/pendingExternalUserProfiles/standard/read | Teams용 확장 디렉터리에서 외부 사용자 프로필의 표준 속성 읽기 |
| microsoft.directory/pendingExternalUserProfiles/basic/update | Teams용 확장 디렉터리에서 외부 사용자 프로필의기본 속성 업데이트 |
| microsoft.directory/pendingExternalUserProfiles/delete | Teams용 확장 디렉터리에 외부 사용자 프로필 삭제 |
| microsoft.directory/externalUserProfiles/standard/read | Teams용 확장 디렉터리에서 외부 사용자 프로필의 표준 속성 읽기 |
| microsoft.directory/externalUserProfiles/basic/update | Teams용 확장 디렉터리에서 외부 사용자 프로필의기본 속성 업데이트 |
| microsoft.directory/externalUserProfiles/delete | Teams용 확장 디렉터리에 외부 사용자 프로필 삭제 |
| microsoft.directory/permissionGrantPolicies/standard/read | 권한 부여 정책의 표준 속성 읽기 |
Teams 통신 관리자
이 역할의 사용자는 음성 및 전화 통신과 관련된 Microsoft Teams 워크로드의 측면을 관리할 수 있습니다. 여기에는 전화 번호 할당, 음성 및 회의 정책 및 호출 분석 도구 집합에 대한 전체 액세스를 위한 관리 도구가 포함됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 비즈니스용 Skype Online의 모든 측면 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.teams/callQuality/allProperties/read | CQD(통화 품질 대시보드)에서 모든 데이터 읽기 |
| microsoft.teams/meetings/allProperties/allTasks | 모임 정책, 구성 및 회의 브리지를 포함한 모임 관리 |
| microsoft.teams/voice/allProperties/allTasks | 통화 정책을 비롯한 음성, 전화번호 인벤토리 및 할당 관리 |
Teams 통신 지원 엔지니어
이 역할의 사용자는 Microsoft Teams &비즈니스용 Skype 관리 센터의 사용자 통화 문제 해결 도구를 사용하여 Microsoft Teams 및 비즈니스용 Skype 내의 통신 문제를 해결할 수 있습니다. 이 역할의 사용자는 관련된 모든 참가자에 대한 전체 호출 레코드 정보를 볼 수 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 비즈니스용 Skype Online의 모든 측면 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.teams/callQuality/allProperties/read | CQD(통화 품질 대시보드)에서 모든 데이터 읽기 |
Teams 통신 지원 전문가
이 역할의 사용자는 Microsoft Teams &비즈니스용 Skype 관리 센터의 사용자 통화 문제 해결 도구를 사용하여 Microsoft Teams 및 비즈니스용 Skype 내의 통신 문제를 해결할 수 있습니다. 이 역할의 사용자는 조회하는 특정 사용자에 대한 호출에서 사용자 세부 정보를 보기만 할 수 있습니다. 이 역할에는 지원 티켓 보기, 생성 또는 관리 권한은 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/authorizationPolicy/standard/read | 애플리케이션 정책의 표준 속성 읽기 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.skypeForBusiness/allEntities/allTasks | 비즈니스용 Skype Online의 모든 측면 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.teams/callQuality/standard/read | CQD(통화 품질 대시보드)에서 기본 데이터 읽기 |
Teams 디바이스 관리자
이 역할이 할당된 사용자는 Teams 관리 센터에서 Teams 인증 디바이스를 관리할 수 있습니다. 이 역할을 통해 디바이스를 한 눈에 보고 디바이스를 검색 및 필터링할 수 있습니다. 사용자는 로그인된 계정, 디바이스 제조업체 및 모델을 포함하여 각 디바이스의 세부 정보를 확인할 수 있습니다. 사용자는 디바이스에서 설정을 변경하고 소프트웨어 버전을 업데이트할 수 있습니다. 이 역할은 Teams 활동 및 디바이스의 통화 품질을 확인할 수 있는 권한을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.teams/devices/standard/read | 구성 정책을 비롯한 Teams 인증 디바이스의 모든 측면 관리 |
테넌트 작성자
다음 작업을 수행해야 하는 사용자에게 테넌트 작성자 역할을 할당합니다.
- 사용자 설정에서 테넌트 만들기 토글이 꺼져 있더라도 Microsoft Entra 및 Azure Active Directory B2C 테넌트 모두 만들기
참고 항목
테넌트 작성자는 만든 새 테넌트에서 전역 관리자 역할이 할당됩니다.
| 작업 | 설명 |
|---|---|
| microsoft.directory/tenantManagement/tenants/create | Microsoft Entra ID에서 새 테넌트 만들기 |
사용 요약 보고서 읽기 권한자
Microsoft 365 관리 센터에서 다음 작업을 수행해야 하는 사용자에게 사용 요약 보고서 읽기 권한자 역할을 할당합니다.
- 사용 현황 보고서 및 채택 점수 보기
- 조직의 인사이트를 읽지만 사용자의 PII(개인 식별 정보)는 읽지 않습니다.
이 역할은 사용자가 다음 예외를 제외하고 조직 수준 데이터만 볼 수 있도록 허용합니다.
- 멤버 사용자는 사용자 관리 데이터 및 설정을 볼 수 있습니다.
- 이 역할이 할당된 게스트 사용자는 사용자 관리 데이터 및 설정을 볼 수 없습니다.
| 작업 | 설명 |
|---|---|
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.usageReports/allEntities/standard/read | 테넌트 수준에서 집계된 Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
사용자 관리자
권한 있는 역할입니다. 다음 작업을 수행해야 하는 사용자에게 사용자 관리자 역할을 할당합니다.
| Permission | 자세한 정보 |
|---|---|
| 사용자 만들기 | |
| 모든 관리자를 포함하여 모든 사용자에 대한 대부분의 사용자 속성 업데이트 | 중요한 작업을 수행할 수 있는 사용자 |
| 일부 사용자의 중요한 속성(사용자 계정 이름 포함) 업데이트 | 중요한 작업을 수행할 수 있는 사용자 |
| 일부 사용자를 사용하지 않거나 사용하도록 설정 | 중요한 작업을 수행할 수 있는 사용자 |
| 일부 사용자 삭제 또는 복원 | 중요한 작업을 수행할 수 있는 사용자 |
| 사용자 보기 만들기 및 관리 | |
| 모든 그룹 만들기 및 관리 | |
| 모든 관리자를 포함하여 모든 사용자에 대한 라이선스 할당 및 읽기 | |
| 암호 재설정 | 암호를 재설정할 수 있는 사용자 |
| 새로 고침 토큰 무효화 | 암호를 재설정할 수 있는 사용자 |
| (FIDO) 디바이스 키 업데이트 | |
| 암호 만료 정책 업데이트 | |
| Azure 및 Microsoft 365 관리 센터에서 지원 티켓 만들기 및 관리 | |
| 서비스 상태 모니터링 |
이 역할이 있는 사용자는 다음 작업을 수행할 수 없습니다.
- MFA를 관리할 수 없습니다.
- 역할 할당 가능 그룹의 멤버 및 소유자에 대해 자격 증명을 변경하거나 MFA를 다시 설정할 수 없습니다.
- 공유 사서함을 관리할 수 없습니다.
Important
이 역할을 가진 사용자는 Microsoft Entra ID 내부 및 외부의 중요한 정보나 프라이빗 정보 또는 중요한 구성에 액세스할 수 있는 사용자의 암호를 변경할 수 있습니다. 사용자의 암호를 변경한다는 것은 사용자의 ID 및 권한을 가정할 수 있다는 것을 의미합니다. 예시:
- 애플리케이션 등록 및 엔터프라이즈 애플리케이션 소유자: 소유한 앱의 자격 증명을 관리할 수 있습니다. 이러한 앱은 Microsoft Entra ID에서 사용 권한이 부여되었을 수 있으며, 다른 위치에서는 사용자 관리자에 권한이 부여되지 않습니다. 이 경로를 통해 사용자 관리자는 애플리케이션 소유자의 ID를 가정하고, 애플리케이션의 자격 증명을 업데이트하여 권한 있는 애플리케이션의 ID를 추가로 가정할 수 있습니다.
- Azure 구독 소유자: Azure에서 중요한 프라이빗 정보 또는 중요한 구성에 액세스할 수 있습니다.
- 보안 그룹 및 Microsoft 365 그룹 소유자: 그룹 멤버 자격을 관리할 수 있습니다. 해당 그룹은 중요한 프라이빗 정보 또는 Microsoft Entra ID 및 다른 위치의 중요한 구성에 대한 액세스 권한을 부여할 수 있습니다.
- Exchange Online, Microsoft 365 Defender 포털, Microsoft Purview 준수 포털, 인적 자원 시스템과 같은 Microsoft Entra ID 외부의 다른 서비스 관리자
- 중요한 프라이빗 정보에 액세스할 수 있는 임원, 법률 고문 및 인사 관리 직원과 같은 비관리자.
| 작업 | 설명 |
|---|---|
| microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Microsoft Entra ID에서 애플리케이션 역할 할당의 액세스 검토 관리 |
| microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read | Microsoft Entra 역할 할당에 대한 액세스 검토의 모든 속성 읽기 |
| microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | 자격 관리에서 액세스 패키지 할당에 대한 액세스 검토 관리 |
| microsoft.directory/accessReviews/definitions.groups/allProperties/update | 역할을 할당할 수 있는 그룹을 제외하고 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다. |
| microsoft.directory/accessReviews/definitions.groups/create | 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 만듭니다. |
| microsoft.directory/accessReviews/definitions.groups/delete | 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토를 삭제합니다. |
| microsoft.directory/accessReviews/definitions.groups/allProperties/read | 역할을 할당할 수 있는 그룹을 포함하여 보안 및 Microsoft 365 그룹의 멤버십에 대한 액세스 검토의 모든 속성을 업데이트합니다. |
| microsoft.directory/contacts/create | 연락처 만들기 |
| microsoft.directory/contacts/delete | 연락처 삭제 |
| microsoft.directory/contacts/basic/update | 연락처의 기본 속성 업데이트 |
| microsoft.directory/deletedItems.groups/restore | 일시 삭제된 그룹을 원래 상태로 복원 |
| microsoft.directory/deletedItems.users/restore | 일시 삭제된 사용자를 원래 상태로 복원 |
| microsoft.directory/entitlementManagement/allProperties/allTasks | Microsoft Entra 권한 관리에서 리소스 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/groups/assignLicense | 그룹 기반 라이선스 그룹에 제품 라이선스 할당 |
| microsoft.directory/groups/create | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups/delete | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups/hiddenMembers/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기 |
| microsoft.directory/groups/reprocessLicenseAssignment | 그룹 기반 라이선스의 라이선스 할당 다시 처리 |
| microsoft.directory/groups/restore | 일시 삭제된 컨테이너에서 그룹 복원 |
| microsoft.directory/groups/basic/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups/classification/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 분류 속성 업데이트 |
| microsoft.directory/groups/dynamicMembershipRule/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 동적 멤버 관리 규칙 업데이트 |
| microsoft.directory/groups/groupType/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 그룹 유형에 영향을 주는 속성 업데이트 |
| microsoft.directory/groups/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups/onPremWriteBack/update | Microsoft Entra Connect를 사용하여 온-프레미스에 다시 기록되도록 Microsoft Entra 그룹 업데이트 |
| microsoft.directory/groups/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.directory/groups/settings/update | 그룹 설정 읽기 |
| microsoft.directory/groups/visibility/update | 역할 할당 가능 그룹을 제외한 보안 그룹과 Microsoft 365 그룹의 가시성 속성 업데이트 |
| microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks | OAuth 2.0 권한 부여 만들기 및 삭제, 모든 속성 읽기 및 업데이트 |
| microsoft.directory/policies/standard/read | 정책의 기본 속성 읽기 |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | 서비스 주체 역할 할당 업데이트 |
| microsoft.directory/users/assignLicense | 사용자 라이선스 관리 |
| microsoft.directory/users/create | 사용자 추가 |
| microsoft.directory/users/convertExternalToInternalMemberUser | 외부 사용자를 내부 사용자로 전환 |
| microsoft.directory/users/delete | 사용자 삭제 |
| microsoft.directory/users/disable | 사용자를 사용하지 않도록 설정 |
| microsoft.directory/users/enable | 사용자를 사용하도록 설정 |
| microsoft.directory/users/inviteGuest | 게스트 사용자 초대 |
| microsoft.directory/users/invalidateAllRefreshTokens | 사용자 새로 고침 토큰을 무효화하여 강제로 로그아웃 |
| microsoft.directory/users/reprocessLicenseAssignment | 사용자에 대한 라이선스 할당 다시 처리 |
| microsoft.directory/users/restore | 삭제된 사용자 복원 |
| microsoft.directory/users/basic/update | 사용자의 기본 속성 업데이트 |
| microsoft.directory/users/manager/update | 사용자의 관리자 업데이트 |
| microsoft.directory/users/password/update | 모든 사용자 암호 재설정 |
| microsoft.directory/users/photo/update | 사용자 사진 업데이트 |
| microsoft.directory/users/sponsors/update | 사용자의 스폰서 업데이트 |
| microsoft.directory/users/usageLocation/update | 사용자의 사용 위치 업데이트 |
| microsoft.directory/users/userPrincipalName/update | 사용자의 사용자 계정 이름 업데이트 |
| microsoft.azure.serviceHealth/allEntities/allTasks | Azure Service Health 읽기 및 구성 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Virtual Visits 관리자
이 역할이 있는 사용자는 다음 작업을 수행할 수 있습니다.
- Microsoft 365 관리 센터의 예약 및 Teams EHR 커넥터에서 모든 Virtual Visits의 특성 관리 및 구성
- eams 관리 센터, Microsoft 365 관리 센터, Fabric 및 PowerBI에서 Virtual Visits에 대한 사용 현황 보고서 보기
- Microsoft 365 관리 센터에서 기능 및 설정 보기(설정 편집 불가)
Virtual Visits를 사용하면 직원 및 참석자의 온라인 및 동영상 약속을 쉽게 예약하고 관리할 수 있습니다. 예를 들어 약속에 나타나지 않는 사용자 수를 줄이기 위해 약속 전 SMS 텍스트 메시지를 전송하는 방법을 사용 보고에 표시할 수 있습니다.
| 작업 | 설명 |
|---|---|
| microsoft.virtualVisits/allEntities/allProperties/allTasks | 관리 센터 또는 Virtual Visits 앱에서 Virtual Visits 정보 및 메트릭 관리 및 공유 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Viva Goals 관리자
다음 작업을 수행해야 하는 사용자에게 Viva Goals 관리자 역할을 할당합니다.
- Microsoft Viva Goals 애플리케이션의 모든 측면 관리 및 구성
- Microsoft Viva Goals 관리자 설정 구성
- Microsoft Entra 테넌트 정보 읽기
- Microsoft 365 서비스 상태 모니터링
- Microsoft 365 서비스 요청 만들기 및 관리
자세한 내용은 Viva Goals에서 역할 및 권한 및 Microsoft Viva Goals 소개를 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.viva.goals/allEntities/allProperties/allTasks | Microsoft Viva Goals의 모든 측면 관리 |
Viva Pulse 관리자
다음 작업을 수행해야 하는 사용자에게 Viva Pulse 관리자 역할을 할당합니다.
- Viva Pulse의 모든 설정 읽기 및 구성
- Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기
- Azure Service Health 읽기 및 구성
- Azure 지원 티켓 만들기 및 관리
- Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기
- Microsoft 365 관리 센터에서 사용 현황 보고서 읽기
자세한 내용은 Microsoft 365 관리 센터 Viva Pulse 관리자 할당을 참조하세요.
| 작업 | 설명 |
|---|---|
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.viva.pulse/allEntities/allProperties/allTasks | Microsoft Viva Pulse의 모든 측면 관리 |
Windows 365 관리자
서비스가 있는 경우 이 역할의 사용자에게는 Windows 365 리소스에 대한 전역 권한이 있습니다. 또한 이 역할은 정책을 연결하고 그룹을 만들고 관리하기 위해 사용자와 디바이스를 관리하는 기능을 포함합니다.
이 역할은 보안 그룹을 만들고 관리할 수 있지만, Microsoft 365 그룹에 대한 관리자 권한이 없습니다. 즉, 관리자는 조직에서 Microsoft 365 그룹의 소유자 또는 멤버 자격을 업데이트할 수 없습니다. 그러나 관리자는 자신이 만드는 Microsoft 365 그룹을 관리할 수 있습니다. 이는 최종 사용자 권한의 일부입니다. 따라서 관리자가 만드는 Microsoft 365 그룹(보안 그룹이 아님)은 250개의 할당량에 대해 계산됩니다.
다음 작업을 수행해야 하는 사용자에게 Windows 365 관리자 역할을 할당합니다.
- Microsoft Intune에서 Windows 365 클라우드 PC 관리
- 사용자 및 정책 할당을 포함하여 Microsoft Entra ID에서 디바이스 등록 및 관리
- 역할을 할당할 수 있는 그룹이 아닌 보안 그룹 만들기 및 관리
- Microsoft 365 관리 센터에서 기본 속성 보기
- Microsoft 365 관리 센터에서 사용 현황 보고서 읽기
- Azure 및 Microsoft 365 관리 센터에서 지원 티켓 만들기 및 관리
| 작업 | 설명 |
|---|---|
| microsoft.directory/deletedItems.devices/delete | 더 이상 복원할 수 없는 디바이스 영구 삭제 |
| microsoft.directory/deletedItems.devices/restore | 일시 삭제된 디바이스를 원래 상태로 복원 |
| microsoft.directory/devices/create | 디바이스 만들기(Microsoft Entra ID에 등록) |
| microsoft.directory/devices/delete | Microsoft Entra ID에서 디바이스 삭제 |
| microsoft.directory/devices/disable | Microsoft Entra ID에서 디바이스 사용 안 함 |
| microsoft.directory/devices/enable | Microsoft Entra ID에서 디바이스 사용 |
| microsoft.directory/devices/basic/update | 디바이스의 기본 속성 업데이트 |
| microsoft.directory/devices/extensionAttributeSet1/update | 디바이스에서 extensionAttribute1을 extensionAttribute5 속성으로 업데이트 |
| microsoft.directory/devices/extensionAttributeSet2/update | 디바이스에서 extensionAttribute6을 extensionAttribute10 속성으로 업데이트 |
| microsoft.directory/devices/extensionAttributeSet3/update | 디바이스에서 extensionAttribute11을 extensionAttribute15 속성으로 업데이트 |
| microsoft.directory/devices/registeredOwners/update | 등록된 디바이스 소유자 업데이트 |
| microsoft.directory/devices/registeredUsers/update | 등록된 디바이스 사용자 업데이트 |
| microsoft.directory/groups.security/create | 역할 할당 가능 그룹을 제외한 보안 그룹 만들기 |
| microsoft.directory/groups.security/delete | 역할 할당 가능 그룹을 제외한 보안 그룹 삭제 |
| microsoft.directory/groups.security/basic/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.security/classification/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 분류 속성 업데이트 |
| microsoft.directory/groups.security/dynamicMembershipRule/update | 역할 할당 가능한 그룹을 제외한 보안 그룹에 대한 동적 멤버십 규칙 업데이트 |
| microsoft.directory/groups.security/members/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 구성원 업데이트 |
| microsoft.directory/groups.security/owners/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 소유자 업데이트 |
| microsoft.directory/groups.security/visibility/update | 역할 할당 가능 그룹을 제외한 보안 그룹의 가시성 속성 업데이트 |
| microsoft.directory/deviceManagementPolicies/standard/read | 모바일 디바이스 관리 및 모바일 앱 관리 정책에서 표준 속성 읽기 |
| microsoft.directory/deviceRegistrationPolicy/standard/read | 디바이스 등록 정책의 표준 속성 읽기 |
| microsoft.azure.supportTickets/allEntities/allTasks | Azure 지원 티켓 만들기 및 관리 |
| microsoft.cloudPC/allEntities/allProperties/allTasks | Windows 365의 모든 측면 관리 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
Windows 업데이트 배포 관리자
이 역할의 사용자는 비즈니스용 Windows 업데이트 배포 서비스를 통해 Windows 업데이트 배포의 모든 측면을 만들고 관리할 수 있습니다. 배포 서비스를 사용하면 사용자가 업데이트 배포 시기와 방법에 대한 설정을 정의하고, 테넌트에서 디바이스 그룹에 제공되는 업데이트를 지정할 수 있습니다. 사용자가 업데이트 진행 상황도 모니터링할 수 있도록 합니다.
| 작업 | 설명 |
|---|---|
| microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Windows Update 서비스의 모든 측면 읽기 및 구성 |
Yammer 관리자
다음 작업을 수행해야 하는 사용자에게 Yammer 관리자 역할을 할당합니다.
- Yammer의 모든 측면 관리
- Microsoft 365 그룹 만들기, 관리 및 복원(역할 할당 가능 그룹 제외)
- 역할 할당 가능 그룹을 포함하여 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 보기
- Microsoft 365 관리 센터에서 사용 현황 보고서 읽기
- Microsoft 365 관리 센터에서 서비스 요청 만들기 및 관리
- 메시지 센터에서 공지 사항을 볼 수 있지만 보안 공지 사항은 볼 수 없습니다.
- 서비스 상태 보기
| 작업 | 설명 |
|---|---|
| microsoft.directory/groups/hiddenMembers/read | 역할 할당 가능 그룹을 포함한 보안 그룹과 Microsoft 365 그룹의 숨겨진 구성원 읽기 |
| microsoft.directory/groups.unified/create | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 만들기 |
| microsoft.directory/groups.unified/delete | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹 삭제 |
| microsoft.directory/groups.unified/restore | 역할 할당 가능 그룹을 제외하고 일시 삭제된 컨테이너에서 Microsoft 365 그룹 복원 |
| microsoft.directory/groups.unified/basic/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 기본 속성 업데이트 |
| microsoft.directory/groups.unified/members/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 구성원 업데이트 |
| microsoft.directory/groups.unified/owners/update | 역할 할당 가능 그룹을 제외한 Microsoft 365 그룹의 소유자 업데이트 |
| microsoft.office365.messageCenter/messages/read | Microsoft 365 관리 센터의 메시지 센터에서 보안 메시지를 제외한 메시지 읽기 |
| microsoft.office365.network/performance/allProperties/read | Microsoft 365 관리 센터에서 모든 네트워크 성능 속성 읽기 |
| microsoft.office365.serviceHealth/allEntities/allTasks | Microsoft 365 관리 센터에서 Service Health 읽기 및 구성 |
| microsoft.office365.supportTickets/allEntities/allTasks | Microsoft 365 서비스 요청 만들기 및 관리 |
| microsoft.office365.usageReports/allEntities/allProperties/read | Office 365 사용량 보고서 읽기 |
| microsoft.office365.webPortal/allEntities/standard/read | Microsoft 365 관리 센터에서 모든 리소스의 기본 속성 읽기 |
| microsoft.office365.yammer/allEntities/allProperties/allTasks | Yammer의 모든 측면 관리 |
사용되지 않는 역할
다음 역할은 사용할 수 없습니다. 이 역할은 사용되지 않으며 향후 Microsoft Entra ID에서 제거됩니다.
- 임시 라이선스 관리자
- 디바이스 연결
- 디바이스 관리
- 디바이스 사용자
- 전자 메일 확인 사용자 생성자
- 사서함 관리자
- 작업 공간 디바이스 연결
포털에 표시되지 않는 역할
PowerShell 또는 MS Graph API에서 반환된 모든 역할이 Azure Portal에 표시되는 것은 아닙니다. 다음 표에는 이러한 차이점이 정리되어 있습니다.
| API 이름 | Azure Portal 이름 | 주의 |
|---|---|---|
| 디바이스 연결 | 더 이상 사용되지 않음 | 사용되지 않는 역할 설명서 |
| 디바이스 관리 | 더 이상 사용되지 않음 | 사용되지 않는 역할 설명서 |
| 디바이스 사용자 | 더 이상 사용되지 않음 | 사용되지 않는 역할 설명서 |
| 디렉터리 동기화 계정 | 사용하면 안되므로 표시되지 않습니다. | 디렉터리 동기화 계정 설명서 |
| 게스트 사용자 | 사용하면 안되므로 표시되지 않습니다. | 해당 없음 |
| 파트너 계층 1 지원 | 사용하면 안되므로 표시되지 않습니다. | 파트너 계층1 지원 설명서 |
| 파트너 계층 2 지원 | 사용하면 안되므로 표시되지 않습니다. | 파트너 계층2 지원 설명서 |
| 제한된 게스트 사용자 | 사용하면 안되므로 표시되지 않습니다. | 해당 없음 |
| 사용자 | 사용하면 안되므로 표시되지 않습니다. | 해당 없음 |
| 작업 공간 디바이스 연결 | 더 이상 사용되지 않음 | 사용되지 않는 역할 설명서 |