Встроенные роли в Azure AD

• 03/13/2021
• Чтение занимает 87 мин
• • r
  • o

В Azure Active Directory (Azure AD), если другим администраторам или пользователям без прав администратора требуется управлять ресурсами Azure AD, назначьте им роль Azure AD, которая предоставляет необходимые разрешения. Например, можно назначить роли, чтобы разрешить добавление или изменение пользователей, сброс паролей пользователей, Управление лицензиями пользователей или управление доменными именами.

В этой статье перечислены встроенные роли Azure AD, которые можно назначить, чтобы разрешить управление ресурсами Azure AD. Сведения о назначении ролей см. в статье назначение ролей Azure AD пользователям.

Ограничение использования глобального администратора

Пользователи, которым назначена роль глобального администратора, могут читать и изменять все административные параметры в вашей организации Azure AD. По умолчанию, когда пользователь регистрируется в облачной службе Майкрософт, создается клиент Azure AD, а пользователь становится членом роли глобальных администраторов. При добавлении подписки к существующему клиенту роль глобального администратора не назначается. Только глобальные администраторы и администраторы привилегированных ролей могут делегировать роли администратора. Чтобы снизить риск для вашего бизнеса, мы рекомендуем назначить эту роль минимальному числу сотрудников вашей организации.

Желательно назначить ее не более чем пяти сотрудникам. Если роль глобального администратора в организации назначена более чем пяти администраторам, ниже приведены некоторые способы ограничить ее использование.

Все роли

Администратор приложений

пользователи с этой ролью могут создавать и контролировать все аспекты корпоративных приложений, регистрации приложений, а также параметры прокси приложения. Обратите внимание, что пользователи с этой ролью не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Эта роль также предоставляет возможность согласия на делегированные разрешения и разрешения приложений, за исключением разрешений приложения как для Microsoft Graph, так и для Azure AD Graph.

Разработчик приложения

пользователи с этой ролью могут создавать регистрации приложений, когда для параметра "Пользователи могут регистрировать приложения" задано значение "Нет". Кроме того, эта роль позволяет давать согласие от своего имени, когда для параметра "Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени" задано значение "Нет". Пользователи, которым назначена эта роль, добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Автор полезных данных атаки

Пользователи с этой ролью могут создавать полезные данные для атак, но не запускать их на самом деле или планировать. Полезные данные для атак становятся доступными для всех администраторов в клиенте, которые могут использовать их для создания симуляции.

Администратор имитации атак

Пользователи с этой ролью могут создавать и администрировать все аспекты создания имитации атаки, запускать или планировать моделирование, а также просматривать результаты имитации. Члены этой роли имеют доступ ко всем имитациям в клиенте.

Администратор проверки подлинности

Пользователи с этой ролью могут устанавливать или сбрасывать любой метод проверки подлинности (включая пароли) для пользователей, не являющихся администраторами, и некоторые роли. Администраторы проверки подлинности могут затребовать повторную регистрацию пользователей, не являющихся администраторами или имеющих некоторые роли, с использованием существующих учетных данных без использования пароля (например, MFA или FIDO), а также отзывать параметр, позволяющий запомнить данные MFA на устройстве, из-за чего при следующем входе в систему будет отображаться запрос на прохождение MFA. Список ролей, которые администратор проверки подлинности может читать или обновлять, см. в разделе разрешения на сброс пароля.

Роль администратора привилегированной проверки подлинности имеет разрешение на принудительную повторную регистрацию и многофакторную проверку подлинности для всех пользователей.

Роль администратора политики проверки подлинности имеет разрешения на установку политики метода проверки подлинности клиента, определяющей, какие методы могут регистрироваться и использоваться каждым пользователем.

Администратор политики проверки подлинности

Пользователи с этой ролью могут настраивать политики методов проверки подлинности, параметры MFA для всего клиента и политику защиты паролем. Эта роль предоставляет разрешение на управление параметрами защиты паролем: Конфигурация смарт-блокировки и обновление настраиваемого списка запрещенных паролей.

Администраторы аутентификации и роли администратора привилегированной проверки подлинности имеют разрешение на Управление зарегистрированными методами проверки подлинности для пользователей и могут принудительно выполнять повторную регистрацию и многофакторную проверку подлинности для всех пользователей.

Локальный администратор присоединенного к Azure AD устройства

эту роль можно назначить только в качестве роли дополнительного локального администратора в параметрах устройства. Пользователи с этой ролью становятся администраторами локальных компьютеров на всех устройствах с Windows 10, присоединенных к Azure Active Directory. Они не могут управлять объектами устройств в Azure Active Directory.

Администратор Azure DevOps

Пользователи с этой ролью могут управлять политикой Azure DevOps, чтобы разрешить создавать организации Azure DevOps только заданным пользователям или группам. Пользователи этой роли могут управлять этой политикой с помощью любой организации Azure DevOps, которая поддерживается организацией Azure AD компании. Эта роль не предоставляет никаких других разрешений Azure DevOps (например, администраторов коллекции проектов) в любых организациях Azure DevOps, поддерживаемых Организацией Azure AD компании.

Все корпоративные политики Azure DevOps могут управляться пользователями этой роли.

Администратор Azure Information Protection

пользователи с этой ролью имеют все разрешения в службе Azure Information Protection. Эта роль позволяет настраивать метки для политики Azure Information Protection, управлять шаблонами защиты и активировать защиту. Эта роль не предоставляет никаких разрешений в центре защиты идентификации, управление привилегированными пользователями, мониторинга Microsoft 365 работоспособности служб или центре обеспечения безопасности & Office 365.

Администратор наборов ключей IEF B2C

Пользователь может создавать ключи политики и секреты для шифрования маркеров, подписи маркеров и шифрования и расшифровки утверждений, а также управлять этими ключами.  Добавляя новые ключи в существующие контейнеры ключей, этот администратор с ограниченными правами может при необходимости менять секреты без влияния на существующие приложения.  Этот пользователь может видеть полное содержимое секретов и даты окончания срока их действия даже после их создания.

Администратор политик IEF B2C

Пользователи с этой ролью могут создавать, читать, обновлять и удалять все настраиваемые политики в Azure AD B2C и, таким образом, имеют полный доступ к Identity Experience Framework в соответствующей организации Azure AD B2C. Изменяя политики, эти пользователи могут устанавливать прямую федерацию с внешними поставщиками удостоверений, изменять схемы каталогов, изменять все содержимое для пользователей (HTML, CSS, JavaScript), изменять требования к прохождению проверки подлинности, создавать пользователей, отправлять данные пользователей во внешние системы, включая полную миграцию, и изменять все сведения о пользователях, включая поля с такими конфиденциальными данными, как пароли и номера телефонов. Но в то же время пользователи с этой ролью не могут изменять ключи шифрования или секреты, используемые для федерации в организации.

администратора выставления счетов;

совершает покупки, управляет подписками, управляет запросами в службу поддержки и отслеживает работоспособность службы.

Администратор облачных приложений

пользователи с этой ролью имеют те же разрешения, что и для роли администратора приложений, за исключением возможности управления прокси приложения. Эта роль позволяет создавать и контролировать все аспекты корпоративных приложений и регистраций приложений. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Эта роль также предоставляет возможность согласия на делегированные разрешения и разрешения приложений, за исключением разрешений приложения как для Microsoft Graph, так и для Azure AD Graph.

Администратор облачного устройства

пользователи с этой ролью могут включать, отключать и удалять устройства в Azure AD и считывать ключи BitLocker в Windows 10 (при наличии) на портале Azure. Роль не предоставляет разрешения на управление любыми другими свойствами устройства.

Администратор соответствия требованиям

Пользователи с этой ролью имеют разрешения на управление возможностями, связанными с соответствием, в Центре соответствия требованиям Microsoft 365, Центре администрирования Microsoft 365, Azure и Центре безопасности и соответствия требованиям Office 365. Они также могут управлять всеми функциями в Центре администрирования Exchange и Центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Дополнительные сведения можно найти в статье о Microsoft 365 ролях администратора.

Администратор соответствия данных требованиям

Пользователи с этой ролью имеют разрешения на отслеживание данных в центре соответствия Microsoft 365, центре администрирования Microsoft 365 и Azure. Пользователи также могут отслеживать данные соответствия в центре администрирования Exchange, диспетчере соответствия требованиям и центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Эта документация содержит подробные сведения о различиях между администратором соответствия и администратором данных соответствия требованиям.

Администратор условного доступа

Пользователи с этой ролью могут управлять параметрами условного доступа в Azure Active Directory.

Лицо, утверждающее доступ клиентов к LockBox

Управляет запросами защищенного хранилища в вашей организации. Для запросов защищенного хранилища они получают уведомления по электронной почте и могут утверждать и отклонять запросы из Центра администрирования Microsoft 365. Они могут также выключать функции защищенного хранилища. Сбрасывать пароли пользователей, назначенных этой роли, могут только глобальные администраторы.

Администратор аналитики классических приложений

Пользователи с этой ролью могут управлять службами Аналитики компьютеров и настройки и политик Office. Для Аналитики компьютеров сюда входят возможности просмотра наличных ресурсов, создания планов развертывания, просмотра развертывания и состояния работоспособности. Для службы настройки и политик Office эта роль позволяет пользователям управлять политиками Office.

Читатели каталогов

Пользователи с этой ролью могут считывать основные сведения о каталогах. Эта роль должна использоваться в следующих целях:

• предоставление доступа на чтение лишь определенному набору гостевых пользователей, а не всем;
• предоставление доступа к порталу Azure определенному набору пользователей, не являющихся администраторами, когда для параметра "Предоставлять доступ к порталу Azure AD только администраторам" установлено значение "Да";
• предоставление субъектам-службам доступа к каталогам, для которых не установлен параметр Directory.Read.All.

Учетные записи синхронизации службы каталогов

Не используйте. Эта роль автоматически назначается службе Azure AD Connect, она не предназначена для любого другого использования.

Создатели каталогов

Пользователи с этой ролью могут читать и обновлять основные сведения о пользователях, группах и субъектах-службах. Назначить эту роль только для приложений, которые не поддерживают инфраструктуру согласия. Ее не следует назначать пользователям.

Администратор доменных имен

Пользователи с этой ролью могут управлять доменными именами (чтение, добавление, проверка, обновление и удаление). Они также могут считывать данные каталога о пользователях, группах и приложениях, так как эти объекты обладают зависимостями домена. Для локальных сред пользователи с этой ролью могут настроить доменные имена для Федерации, чтобы связанные пользователи всегда выполняли проверку подлинности в локальной среде. Затем эти пользователи могут войти в службы на основе Azure AD со своими локальными паролями через единый вход. Параметры Федерации необходимо синхронизировать через Azure AD Connect, поэтому у пользователей также есть разрешения на управление Azure AD Connect.

Администратор Dynamics 365

пользователи с этой ролью имеют глобальные разрешения в Microsoft Dynamics 365 Online (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Использование роли администратора службы для управления организацией Azure AD.

Администратор Exchange

пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online (если служба используется). Также имеет возможность создавать все группы Microsoft 365, управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения о Microsoft 365 ролях администратора.

Администратор потоков пользователей с внешним идентификатором

Пользователи с этой ролью могут создавать потоки пользователей и управлять ими (также называемыми встроенными политиками) в портал Azure. Эти пользователи могут настраивать содержимое HTML/CSS/JavaScript, изменять требования MFA, выбирать утверждения в маркере, управлять соединителями API и настраивать параметры сеанса для всех потоков пользователей в Организации Azure AD. С другой стороны, эта роль не включает в себя возможность просматривать данные пользователя или вносить изменения в атрибуты, включенные в схему организации. Изменения в политиках инфраструктуры процедур идентификации (также называемые пользовательскими политиками) также выходят за рамки этой роли.

Администратор атрибутов потоков пользователей с внешним идентификатором

Пользователи с этой ролью добавляют или удаляют настраиваемые атрибуты, доступные для всех потоков пользователей в организации Azure AD.  Таким образом, эти пользователи могут изменять или добавлять новые элементы в схему конечного пользователя, влиять на поведение всех потоков пользователей и косвенно приводить к изменениям данных, запрашиваемых у конечных пользователей и в результате отправляемых в виде утверждений в приложения.  Пользователи с этой ролью не могут изменять потоки пользователей.

Администратор внешних поставщиков удостоверений

Этот администратор управляет федерацией между организациями Azure AD и внешними поставщиками удостоверений.  Пользователи с этой ролью могут добавлять новые поставщики удостоверений и настраивать все доступные параметры (например, путь для проверки подлинности, идентификатор службы, назначенные контейнеры ключей).  Эти пользователи могут включать для организации Azure AD доверие к проверкам подлинности из внешних поставщиков удостоверений.  Итоговое влияние на работу конечного пользователя зависит от типа организации:

• Организации Azure AD для сотрудников и партнеров. Добавление Федерации (например, Gmail) немедленно повлияет на все приглашения гостей, которые еще не были активированы. см. статью Добавление Google в качестве поставщика удостоверений для гостевых пользователей B2B;
• организации Azure Active Directory B2C — добавление федерации (например, с Facebook или другой организацией Azure AD) затронет потоки конечных пользователей только после добавления поставщика удостоверений в поток пользователей (также называемый встроенной политикой). Пример см. в статье Настройка учетной записи Microsoft в качестве поставщика удостоверений.  Для изменения потоков пользователей требуется роль администратора потоков пользователей B2C с ограниченными правами.

глобальный администратор

пользователи с этой ролью имеют доступ ко всем административным функциям в Azure Active Directory, а также к службам, использующим идентификаторы Azure Active Directory, например Центр безопасности Microsoft 365, Центр соответствия требованиям Microsoft 365, Exchange Online, SharePoint Online и Skype для бизнеса Online. Кроме того, глобальные администраторы могут повысить уровень доступа , чтобы управлять всеми подписками и группами управления Azure. Это позволяет глобальным администраторам получить полный доступ ко всем ресурсам Azure с помощью соответствующего клиента Azure AD. Пользователь, который подписывается на организацию Azure AD, станет глобальным администратором. В Организации может быть только один глобальный администратор. Глобальные администраторы могут сбросить пароль для любого пользователя и всех других администраторов.

Глобальный читатель

Пользователи с этой ролью могут просматривать параметры и административные сведения в службах Microsoft 365, но не могут выполнять действия по управлению. Глобальный читатель является аналогом глобального администратора, предназначенным только для чтения. Назначьте глобальному считывателю, а не глобальному администратору планирование, аудит или расследование. Используйте роль "Глобальный читатель" в сочетании с другими ограниченными ролями администраторов, такими как администратор Exchange, для выполнения необходимых действий без использования роли "Глобальный администратор". Роль "Глобальный читатель" поддерживается в Центре администрирования Microsoft 365, Центре администрирования Exchange, Центре администрирования SharePoint, Центре администрирования Teams, Центре безопасности, Центре соответствия требованиям, Центре администрирования Azure AD и в Центре администрирования для управления устройствами.

Администратор групп

Пользователи с этой ролью могут создавать группы и управлять ими, а также создавать параметры групп, такие как политики именования и срока действия, и управлять ими. Важно понимать, что при назначении пользователю этой роли он получит возможность управлять всеми группами в организации для различных рабочих нагрузок, таких как Teams, SharePoint и Yammer, в дополнение к Outlook. Пользователь также сможет управлять различными параметрами групп на различных порталах администрирования, таких как Центр администрирования Майкрософт и портал Azure, а также в центрах администрирования для определенных рабочих нагрузок, таких как центры администрирования Teams и SharePoint.

Приглашающий гостей

пользователи с этой ролью могут управлять приглашениями пользователей-гостей Azure Active Directory B2B, если для параметра Участники могут приглашать задано значение "Нет". Дополнительные сведения о службе совместной работы Azure AD B2B см. в этой статье. В нее не входят какие-либо другие разрешения.

Администратор службы технической поддержки

пользователи с этой ролью могут изменять пароли, управлять запросами службы и отслеживать работоспособность службы. После аннулирования маркера обновления пользователь должен выполнить вход еще раз. Может ли администратор службы поддержки сбросить пароль пользователя и сделать маркеры обновления недействительными, зависит от роли, которой назначен пользователь. Список ролей, которые администратор службы технической поддержки может сбросить и сделать недействительными маркеры обновления, см. в разделе разрешения на сброс пароля.

Делегирование административных разрешений на подмножества пользователей и применение политик к подмножеству пользователей возможно благодаря административным единицам.

Эта роль ранее называлась "Администратор паролей" на портале Azure. Название роли "Администратор службы технической поддержки" в Azure AD теперь соответствует названию аналогичной роли в Azure AD PowerShell и API Microsoft Graph.

Администратор гибридных удостоверений

Пользователи с этой ролью могут создавать, администрировать и развертывать настройку конфигурации подготовки из AD в Azure AD с помощью подготовки облака, а также управлять параметрами Azure AD Connect и Федерации. Пользователи могут также устранять неполадки и отслеживать журналы с помощью этой роли.

Администратор Insights

Пользователи с этой ролью могут получить доступ к полному набору административных возможностей в приложении M365 Insights. Эта роль имеет возможность чтения данных каталога, мониторинга работоспособности служб, запросов поддержки файлов и доступа к параметрам администратора Insights.

Руководитель предприятия Insights

Пользователи с этой ролью могут получать доступ к набору панелей мониторинга и аналитических данных с помощью приложения M365 Insights. Сюда входит полный доступ ко всем панелям мониторинга, а также предоставлены аналитические сведения и функции просмотра данных. Пользователи с этой ролью не имеют доступа к параметрам конфигурации продукта, которым отвечает роль администратора Insights.

Администратор Intune

пользователи с этой ролью имеют глобальные разрешения в Microsoft Intune Online (если служба используется). Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими. Дополнительные сведения см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Эта роль позволяет создавать все группы безопасности и управлять ими. Однако у администратора Intune нет прав администратора для групп Office. Это значит, что администратор не может изменять владельцев или членство групп Office в организации. Однако он может управлять созданной им группой Office, которая входит в состав его прав конечного пользователя. Таким образом, любая созданная им группа Office (не группа безопасности) должна включаться в квоту, размер которой составляет 250 групп.

Администратор Kaizala

Пользователи с этой ролью имеют глобальные разрешения на управление параметрами в Microsoft Kaizala при наличии этой службы, а также возможность управления запросами в службу поддержки и мониторинга работоспособности службы. Кроме того, пользователю доступны отчеты об установке и использовании Kaizala членами организации, а также бизнес-отчеты, создаваемые по действиям Kaizala.

Администратор базы знаний

Пользователи с этой ролью имеют полный доступ ко всем настройкам знаний, Learning и Intelligent Features в центре администрирования Microsoft 365. Они имеют общее представление о наборе продуктов, сведения о лицензировании и отвечают за управление доступом. Администратор базы знаний может создавать и администрировать содержимое, например разделы, акронимы и учебные материалы. Кроме того, эти пользователи могут создавать центры содержимого, отслеживать работоспособность служб и создавать запросы на обслуживание.

Администратор лицензий

пользователи с этой ролью могут добавлять, удалять и изменять назначенные лицензии для пользователей и групп (с использованием группового лицензирования), а также управлять расположением использования для пользователей. Роль не предоставляет возможности управления подписками или их приобретения, создания групп или управления ими, или создания и управления пользователями за пределами расположения использования. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Читатель конфиденциальности данных Центра сообщений

Пользователи с этой ролью могут отслеживать все уведомления в Центре сообщений, включая сообщения о конфиденциальности данных. Читатели конфиденциальных данных Центра сообщений получают уведомления по электронной почте, в том числе относящиеся к конфиденциальности данных, и могут отменить подписку в его настройках. Чтение сообщений о конфиденциальности доступно только глобальным администраторам и читателям конфиденциальности данных Центра сообщений. Кроме того, эта роль включает возможность просмотра групп, доменов и подписок. Она не дает разрешения на просмотр, создание и обработку запросов на обслуживание.

Читатель Центра сообщений

Пользователи с этой ролью могут отслеживать уведомления и обновления работоспособности рекомендаций в центре сообщений для своей организации по настроенным службам, таким как Exchange, Intune и Microsoft Teams. Читатели центра сообщений получают еженедельные дайджесты сообщений электронной почты, обновления и могут обмениваться сообщениями центра сообщений в Microsoft 365. В Azure AD у пользователей с этой ролью будет только доступ на чтение данных в службах Azure AD, например данных пользователей и групп. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Пользователь современной коммерческой платформы

Не используйте. Эта роль автоматически назначается коммерческой платформой и не предназначена для любого другого использования. Этот процесс описан ниже.

Роль пользователя современного Commerce предоставляет определенным пользователям разрешение на доступ к Microsoft 365 центру администрирования, а также сведения о домашних, выставлении счетов и поддержке в левой области навигации. Содержимое, доступное в этих областях, контролируется ролями коммерческой платформы, назначенными пользователям для управления продуктами, которые они приобрели для себя или для организации. Это могут быть такие задачи, как оплата счетов или доступ к учетным записям и профилям выставления счетов.

Пользователи с ролью современного пользователя Live Commerce обычно имеют административные разрешения в других системах покупки Майкрософт, но не имеют ролей глобального администратора или администратора выставления счетов, используемых для доступа к центру администрирования.

Когда назначена современная роль пользователя "коммерческий Commerce"?

• Самостоятельная покупка в Центре администрирования Microsoft 365 — самостоятельная покупка дает пользователям возможность опробовать новые продукты, самостоятельно купив их или зарегистрировавшись в них. Управление этими продуктами осуществляется в центре администрирования. Пользователям, которые выполняют самостоятельную покупку, назначается роль в системе торговли, а также современная роль пользователя Commerce для управления покупками в центре администрирования. Администраторы могут блокировать самостоятельную покупку (для Power BI, Power Apps, Power Automate) с помощью PowerShell. Дополнительные сведения см. на странице Вопросы и ответы по самостоятельной покупке.
• Покупки в коммерческом магазине Майкрософт — как при самостоятельном приобретении, когда пользователь покупает продукт или услугу Microsoft AppSource или Azure Marketplace, роль пользователя современной Commerce назначается, если у них нет роли глобального администратора или администратора выставления счетов. В некоторых случаях пользователям может запрещаться совершать эти покупки. Дополнительные сведения см. в статье Коммерческая платформа Майкрософт.
• Предложения от корпорации Майкрософт — это официальное предложение от корпорации Майкрософт для приобретения продуктов и служб Майкрософт. Когда лицо, принимающее предложение, не имеет роли глобального администратора или администратора выставления счетов в Azure AD, им назначаются как роль для коммерческого выполнения предложения, так и роль пользователя современного Commerce для доступа к центру администрирования. При доступе к центру администрирования он может использовать только те функции, которые разрешены его коммерческой ролью.
• Коммерческие роли — некоторым пользователям назначаются коммерческие роли. Если пользователь не является администратором глобальной группы или администратора выставления счетов, он получает роль пользователя современной коммерческой коммерции, чтобы они могли получить доступ к центру администрирования.

Если роль пользователя современной коммерческой коммерции не назначена пользователю, она теряет доступ к Microsoft 365 центре администрирования. Если он управлял любыми продуктами для самостоятельного использования или для организации, то больше не сможет управлять ими. Это относится в том числе к назначению лицензий, изменению методов оплаты, оплате счетов и другим задачам управления подписками.

Администратор сети

Пользователи с этой ролью могут просматривать рекомендации по архитектуре периметра сети от Майкрософт, основанные на телеметрии сети, получаемой из расположений пользователей. Производительность сети для Microsoft 365 зависит от тщательной архитектуры периметра сети клиентов предприятия, которая обычно зависит от местонахождения пользователя. Эта роль позволяет изменять обнаруженные расположения пользователей и настраивать сетевые параметры для этих расположений, чтобы упростить измерения телеметрии и рекомендации по проектированию.

Администратор приложений Office

Пользователи с этой ролью могут управлять облачными параметрами Microsoft 365 приложений. Сюда входит управление облачными политиками, самостоятельное управление скачиванием и возможность просмотра отчета по приложениям Office. Эта роль также позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб в главном центре администрирования. Пользователи, которым назначена эта роль, могут также управлять взаимодействием новых функций в приложениях Office.

Служба поддержка партнеров уровня 1

Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

Служба поддержка партнеров уровня 2

Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

администратора паролей.

Пользователи с этой ролью имеют ограниченные возможности управления паролями. Эта роль не позволяет управлять запросами на обслуживание или отслеживать работоспособность служб. Может ли администратор паролей сбрасывать пароль пользователя, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор паролей может сбрасывать пароли, см. в разделе разрешения на сброс пароля.

Администратор Power BI

пользователи с этой ролью имеют глобальные разрешения в Microsoft Power BI (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Основные сведения о роли администратора Power BI.

Администратор Power Platform

Пользователи с этой ролью могут создавать все аспекты сред, PowerApps, потоков и политик предотвращения потери данных и управлять ими. Кроме того, пользователи с этой ролью могут управлять запросами в службу поддержки и отслеживать работоспособность службы.

Администратор принтеров

Пользователи с этой ролью могут регистрировать принтеры и управлять всеми аспектами конфигурации всех принтеров в решении универсальной печати Майкрософт, в том числе параметрами соединителя универсальной печати. Они могут предоставлять согласие на все запросы делегирования разрешений на печать. Администраторы принтеров также имеют доступ к отчетам о печати.

Технический специалист по принтерам

Пользователи с этой ролью могут регистрировать принтеры и управлять состоянием принтера в решении универсальной печати Майкрософт. Им также доступно чтение всей информации о соединителях. Техническому специалисту по принтерам недоступны такие задачи, как предоставление пользователям разрешений и общего доступа к принтерам.

Привилегированный администратор проверки подлинности

Пользователи с этой ролью могут устанавливать или сбрасывать любой способ проверки подлинности (включая пароли) для любого пользователя, включая глобальных администраторов. Привилегированные администраторы проверки подлинности могут включать принудительную повторную регистрацию пользователей с использованием существующих учетных данных без использования пароля (например, MFA или FIDO) и отзывать параметр, позволяющий запомнить данные MFA на устройстве, из-за чего при следующем входе в систему будет отображаться запрос на прохождение MFA для всех пользователей.

Роль администратора проверки подлинности имеет разрешение на принудительную повторную регистрацию и многофакторную проверку подлинности для обычных пользователей и пользователей с некоторыми ролями администратора.

Роль администратора политики проверки подлинности имеет разрешения на установку политики метода проверки подлинности клиента, определяющей, какие методы могут регистрироваться и использоваться каждым пользователем.

Администратор привилегированных ролей

пользователи с этой ролью могут управлять назначениями ролей в Azure Active Directory и Azure AD Privileged Identity Management. Они могут создавать группы, которые можно назначать ролям Azure AD, и управлять ими. Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными удостоверениями и административными единицами.

Читатель отчетов

Пользователи с этой ролью могут просматривать данные отчетов об использовании и панель мониторинга отчетов в центре администрирования Microsoft 365, а также пакет контекста внедрения в Power BI. Кроме того, эта роль предоставляет доступ к отчетам о входе, сведениям о действиях в Azure AD и данным от API отчетов Microsoft Graph. Пользователь с ролью "Читатель отчетов" имеет доступ только к релевантным метрикам использования и внедрения. Он не приобретает полномочия администратора по настройке или использованию центров администрирования отдельных продуктов (например, Excahange). Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Администратор поиска

Пользователи с этой ролью имеют полный доступ ко всем функциям управления поиска (Майкрософт) в Центре администрирования Microsoft 365. Кроме того, эти пользователи могут просматривать Центр сообщений, отслеживать работоспособность служб и создавать запросы на обслуживание.

Редактор поиска

Пользователи с этой ролью могут создавать, изменять и удалять содержимое поиска (Майкрософт) в Центре администрирования Microsoft 365, включая закладки, расположения или вопросы и ответы.

Администратор безопасности

Пользователи с этой ролью обладают разрешениями на управление функциями, связанными с безопасностью, в Центре безопасности Microsoft 365, службе "Защита идентификации Azure Active Directory", службе проверки подлинности Azure Active Directory, Azure Information Protection и Центре безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях Office 365 можно найти в статье разрешения в центре безопасности & соответствия требованиям.

Оператор безопасности

Пользователи с этой ролью могут управлять оповещениями и имеют глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию в Центре безопасности Microsoft 365, Azure Active Directory, службе "Защита идентификации", Privileged Identity Management и Центре безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях Office 365 можно найти в статье разрешения в центре безопасности & соответствия требованиям.

Читатель сведений о безопасности

Пользователи с этой ролью имеют глобальный доступ только для чтения для функций, связанных с безопасностью, включая все данные в Центре безопасности Microsoft 365, Azure Active Directory, Защите идентификации и Privileged Identity Management, а также могут просматривать отчеты и журналы аудита входа в Azure Active Directory и Центр безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях Office 365 можно найти в статье разрешения в центре безопасности & соответствия требованиям.

Администратор службы поддержки

Пользователи с этой ролью могут открывать запросы в службу поддержки Майкрософт для Azure и Microsoft 365 Services, а также просматривать панель мониторинга службы и центр сообщений в центре администрирования портал Azure и Microsoft 365. Дополнительные сведения см. в статье Роли администраторов.

Администратор SharePoint

Пользователи с этой ролью имеют глобальные разрешения в Microsoft SharePoint Online, при наличии службы, а также возможность создания всех групп Microsoft 365 и управления ими, управления запросами в службу поддержки и мониторинга работоспособности служб. Дополнительные сведения см. в статье Роли администраторов.

Администратор Skype для бизнеса

у пользователей с этой ролью есть глобальные разрешения в Microsoft Skype для бизнеса при наличии этой службы, а также возможность управлять определенными атрибутами пользователя Skype в Azure Active Directory. Кроме того, эта роль позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб, а также предоставляет доступ к центру администрирования Teams и Skype для бизнеса. Учетная запись также должна иметь лицензию Teams, иначе она не сможет запускать командлеты PowerShell Teams. Дополнительные сведения см. в руководствах по использованию роли администратора Skype для бизнеса и лицензировании дополнительных компонентов Skype для бизнеса и Microsoft Teams.

Администратор Teams

пользователи с этой ролью могут управлять всеми функциями рабочей нагрузки Microsoft Teams с помощью центра администрирования Microsoft Teams и Skype для бизнеса и соответствующих модулей PowerShell. Сюда входят, помимо прочего, все средства управления, связанные с телефонией, обменом сообщениями, собраниями и самими командами Teams. Эта роль дополнительно предоставляет возможность создания всех Microsoft 365 групп и управления ими, управления запросами в службу поддержки и наблюдения за работоспособностью служб.

Администратор связи Teams

пользователи с этой ролью могут управлять функциями рабочей нагрузки Microsoft Teams, связанными с голосовой связью и телефонией. Сюда входят средства управления для назначения номера телефона, политики голосовой связи и собраний, а также полный доступ к набору инструментов анализа вызовов.

Инженер службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать полные сведения о записях вызовов для всех задействованных участников. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Специалист службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать сведения об определенном пользователе только при его вызове. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Администраторы устройств Teams

Пользователи с этой ролью могут управлять устройствами, сертифицированными группами , из центра администрирования команд. Эта роль позволяет просматривать все устройства на одном взгляде с возможностью поиска и фильтрации устройств. Пользователь может проверить сведения о каждом устройстве, включая учетную запись входа, Марка и модель устройства. Пользователь может изменить параметры на устройстве и обновить версии программного обеспечения. Эта роль не предоставляет разрешения на проверку активности команд и качество вызова для устройства.

Средство чтения сводных отчетов об использовании

Пользователи с этой ролью могут получать доступ к агрегированным данным уровня клиента и связанным аналитикам в Microsoft 365 центре администрирования для оценки использования и производительности, но не могут получать доступ к сведениям о уровне пользователя и аналитике. В Microsoft 365 центре администрирования для двух отчетов мы будем отличать Объединенные данные уровня клиента и сведения о уровне пользователя. Эта роль обеспечивает дополнительный уровень защиты для отдельных определяемых пользователем данных, которые были запрошены как клиентами, так и юридическими командами.

администратора пользователей;

Пользователи с этой ролью могут создавать пользователей, а также управлять всеми аспектами пользователей с некоторыми ограничениями (см. таблицу) и обновлять политики истечения срока действия паролей. Кроме того, пользователи с этой ролью могут создавать группы и управлять ими. Кроме того, эта роль включает в себя возможность создавать представления пользователей и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. У администраторов пользователей нет разрешения на управление некоторыми свойствами пользователей с большинством ролей администратора. У пользователя с этой ролью нет разрешений на управление MFA. Роли, которые являются исключением из этого ограничения, перечислены в таблице ниже.

Устаревшие роли

Не рекомендуется использовать следующие роли. Они больше не поддерживаются и будут удалены из Azure AD в будущем.

• Администратор отдельных лицензий
• Device Join (Присоединение устройства)
• Диспетчеры устройств
• Device Users (Пользователи устройства)
• Создатель проверенного пользователя электронной почты
• администратор почтовых ящиков;
• Присоединение устройства к рабочей области

Роли, не отображаемые на портале

Не все роли, возвращаемые PowerShell или API MS Graph, отображаются на портале Azure. В следующей таблице представлены различия.

Разрешения на сброс пароля

Заголовки столбцов представляют роли, которые могут сбрасывать пароли. Строки таблицы содержат роли, для которых можно сбросить пароль.

* Глобальный администратор не может удалить собственное назначение глобального администратора. Это позволяет избежать ситуации, когда у Организации есть 0 глобальных администраторов.

Дальнейшие действия

• Назначение ролей Azure AD группам
• Общие сведения о различных ролях
• Назначение пользователя администратором подписки Azure