Встроенные роли в Azure AD

В Azure Active Directory (Azure AD), если другим администраторам или пользователям без прав администратора требуется управлять ресурсами Azure AD, назначьте им роль Azure AD, которая предоставляет необходимые разрешения. Например, можно назначить роли, чтобы разрешить добавление или изменение пользователей, сброс паролей пользователей, Управление лицензиями пользователей или управление доменными именами.

В этой статье перечислены встроенные роли Azure AD, которые можно назначить, чтобы разрешить управление ресурсами Azure AD. Сведения о назначении ролей см. в статье назначение ролей Azure AD пользователям.

Ограничение использования глобального администратора

Пользователи, которым назначена роль глобального администратора, могут читать и изменять все административные параметры в вашей организации Azure AD. По умолчанию, когда пользователь регистрируется в облачной службе Майкрософт, создается клиент Azure AD, а пользователь становится членом роли глобальных администраторов. При добавлении подписки к существующему клиенту роль глобального администратора не назначается. Только глобальные администраторы и администраторы привилегированных ролей могут делегировать роли администратора. Чтобы снизить риск для вашего бизнеса, мы рекомендуем назначить эту роль минимальному числу сотрудников вашей организации.

Желательно назначить ее не более чем пяти сотрудникам. Если роль глобального администратора в организации назначена более чем пяти администраторам, ниже приведены некоторые способы ограничить ее использование.

Все роли

Роль Описание Идентификатор шаблона
Администратор приложений Может создавать любые аспекты регистрации приложений и работы с корпоративными приложениями и управлять ими. 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Разработчик приложений Может создавать регистрации приложений независимо от значения параметра "Пользователи могут регистрировать приложения". cf1c38e5-3621-4004-a7cb-879624dced7c
Автор полезных данных атаки Может создавать полезные данные для атак, которые администратор может инициировать позже. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Администратор имитации атак Может создавать и администрировать все аспекты кампаний по моделированию атак. c430b396-e693-46cc-96f3-db01bf8bb62a
Администратор проверки подлинности Имеет доступ для просмотра, задания и сброса сведений о методах проверки подлинности для любого пользователя, не являющегося администратором. c4e39bd9-1100-46d3-8c65-fb160da0071f
Администратор политики проверки подлинности Может создавать все аспекты методов проверки подлинности и политики защиты паролем и управлять ими. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Локальный администратор присоединенного к Azure AD устройства Пользователи с этой ролью добавляются в группу локальных администраторов на устройствах, присоединенных к Azure AD. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Администратор Azure DevOps Может управлять политикой и параметрами организации Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Администратор Azure Information Protection Может контролировать все аспекты продукта Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Администратор набора ключей IEF B2C Может управлять секретами для Федерации и шифрования в инфраструктуре процедур идентификации (инфраструктура процедур идентификации). aaf43236-0c0d-4d5f-883a-6955382ac081
Администратор политики IEF B2C Может создавать политики доверенной инфраструктуры и управлять ими в инфраструктуре процедур идентификации (инфраструктура процедур идентификации). 3edaf663-341e-4475-9f94-5c398ef6c070
Администратор выставления счетов Может выполнять основные задачи по выставлению счетов, например изменять платежную информацию. b0f54661-2d74-4c50-afa3-1ec803f12efe
Администратор облачных приложений Может задавать и контролировать любые аспекты регистрации приложений и работы с корпоративными приложениями, за исключением прокси приложения. 158c047a-c907-4556-b7ef-446551a6b5f7
Администратор облачных устройств Ограниченный доступ к управлению устройствами в Azure AD. 7698a772-787b-4ac8-901f-60d6b08affd2
Администратор соответствия требованиям Может читать конфигурацию соответствия и отчеты в Azure AD и Microsoft 365 и управлять ими. 17315797-102d-40b4-93e0-432062caca18
Администратор данных соответствия Создает и контролирует содержимое для соответствия. e6d1a23a-da11-4be4-9570-befc86d067a7
Администратор условного доступа Может контролировать возможности условного доступа. b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Лицо, утверждающее доступ клиентов к LockBox Может утверждать запросы в службу поддержки Майкрософт для получения доступа к данным организации клиента. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Администратор аналитики классических приложений Может получать доступ к средствам и службам управления настольными системами и управлять ими. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Читатели каталогов Может считывать сведения базового каталога. Обычно используется для предоставления доступа к каталогу приложениям и гостям. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Учетные записи синхронизации службы каталогов Используется только в службе Azure AD Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Создатели каталогов Может считывать и записывать базовые сведения о каталоге. Предназначено для предоставления доступа приложениям, а не пользователям. 9360feb5-f418-4baa-8175-e2a00bac4301
Администратор доменных имен Может управлять доменными именами в облаке и в локальной среде. 8329153b-31d0-4727-b945-745eb3bc5f31
Администратор Dynamics 365 Может контролировать все аспекты продукта Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Администратор Exchange Может контролировать все аспекты продукта Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Внешний идентификатор пользователь администратор потока Может создавать все аспекты пользовательских потоков и управлять ими. 6e591065-9bad-43ed-90f3-e9424366d2f0
Внешний идентификатор пользователь администратор атрибутов потока Может создавать схему атрибута и управлять ею, доступной для всех потоков пользователей. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Администратор внешнего поставщика удостоверений Может настраивать поставщики удостоверений для использования в прямой Федерации. be2f45a1-457d-42af-a067-6ec1fa63bc45
глобальный администратор. Может контролировать все аспекты служб Azure AD и Майкрософт, использующих удостоверения Azure AD. 62e90394-69f5-4237-9190-012177145e10
Глобальный читатель Может читать все, что может быть глобальным администратором, но не обновлять ничего. f2ef992c-3afb-46b9-b7cf-a126ee74c451
Администратор групп Члены этой роли могут создавать группы и управлять ими, создавать и администрировать такие параметры групп, как политики именования и истечения срока действия, а также просматривать группы действий и отчеты об аудите. fdd7a751-b60b-444a-984c-02652fe8fa1c
Приглашающий гостей Может приглашать гостей независимо от значения параметра "Участники могут приглашать гостей". 95e79109-95c0-4d8e-aee3-d01accf2d47b
Администратор службы технической поддержки Может сбрасывать пароли пользователей, не являющихся администраторами, и пароли администраторов службы поддержки. 729827e3-9c14-49f7-bb1b-9608f156bbb8
Администратор гибридных удостоверений Может управлять AD для подготовки облака Azure AD, Azure AD Connect и параметров Федерации. 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Администратор Insights Имеет административный доступ в приложении Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Руководитель предприятия Insights Может просматривать панели мониторинга и аналитические сведения и предоставлять к ним доступ с помощью приложения M365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Администратор Intune Может контролировать все аспекты продукта Intune. 3a2c62db-5318-420d-8d74-23affee5d9d5
Администратор Kaizala Может управлять параметрами для Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Администратор базы знаний Может настраивать знания, изучать и другие интеллектуальные функции. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Администратор лицензий Может управлять лицензиями продуктов для пользователей и групп. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Читатель конфиденциальности данных Центра сообщений Может читать сообщения безопасности и обновления только в центре сообщений Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Читатель центра сообщений Может читать сообщения и обновления для своей организации только в Центре сообщений Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Пользователь современной коммерческой платформы Может управлять коммерческими покупками для компании, отдела или группы. d24aef57-1500-4070-84db-2666f29cf966
Администратор сети Может управлять сетевыми расположениями и просматривать аналитические данные о структуре корпоративной сети для приложений типа "ПО как услуга" Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Администратор приложений Office Может управлять облачными службами приложений Office, включая Управление политиками и параметрами, а также управлять возможностью выбора, отмены выбора и публикации содержимого компонентов "новые возможности" на устройствах конечных пользователей. 2b745bdf-0803-4d80-aa65-822c4493daac
Служба поддержка партнеров уровня 1 Не используйте (не предназначено для общего применения). 4ba39ca4-527c-499a-b93d-d9b492c50246
Служба поддержка партнеров уровня 2 Не используйте (не предназначено для общего применения). e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Администратор паролей Может сбрасывать пароли для администраторов, не являющихся администраторами, и администраторами паролей. 966707d0-3269-4727-9be2-8c3a10f19b9d
Администратор Power BI Может контролировать все аспекты продукта Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Администратор Power Platform Может создавать и контролировать любые компоненты Microsoft Dynamics 365, PowerApps и Microsoft Flow. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Администратор принтеров Может управлять всеми аспектами принтеров и их соединителей. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Технический специалист по принтерам Может регистрировать и отменять регистрацию принтеров и обновлять их состояние. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Привилегированный администратор проверки подлинности Имеет доступ к просмотру, заданию и сбросу сведений о методах проверки подлинности для любого пользователя (администратора или не администратора). 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Администратор привилегированных ролей Может управлять назначениями ролей в Azure AD и всеми аспектами управление привилегированными пользователями. e8611ab8-c189-46e8-94e1-60213ab1f814
Читатель отчетов Может просматривать отчеты о входах и аудите. 4a5d8f65-41da-4de4-8968-e035b65339cf
Администратор поиска Может создавать и контролировать все параметры поиска (Майкрософт). 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Редактор поиска Может создавать и изменять редакторское содержимое, например закладки, вопросы и ответы, расположения или план этажа. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
администратор безопасности; Может читать сведения о безопасности и отчеты, а также управлять конфигурацией в Azure AD и Office 365. 194ae4cb-b126-40b2-bd5b-6091b380977d
Оператор безопасности Создает и контролирует события безопасности. 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
читатель сведений о безопасности; Может просматривать отчеты и сведения о безопасности в Azure AD и Office 365. 5d6b6bb7-de71-4623-b4af-96380a352509
Администратор поддержки служб Может просматривать сведения о работоспособности служб и работать с запросами в службу поддержки. f023fd81-a637-4b56-95fd-791ac0226033
Администратор SharePoint Может контролировать все аспекты службы SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Администратор Skype для бизнеса Может контролировать все аспекты продукта "Skype для бизнеса". 75941009-915a-4869-abe7-691bff18279e
Администратор Teams Может управлять службой Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Администратор связи Teams Может управлять функциями вызовов и собраний в пределах службы Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Инженер службы поддержки связи Teams Может устранять неполадки со связью в пределах Teams с помощью расширенных средств. f70938a0-fc10-4177-9e90-2178f8765737
Специалист службы поддержки связи Teams Может устранять неполадки со связью в пределах Teams с помощью базовых средств. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Администраторы устройств Teams Может выполнять задачи, связанные с управлением, на сертифицированных для групп устройствах. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Средство чтения сводных отчетов об использовании В Microsoft 365 аналитике использования и оценке производительности можно просматривать только статистические данные уровня клиента. 75934031-6c7e-415a-99d7-48dbd49e875e
Администратор пользователей Может контролировать все аспекты работы пользователей и групп, в том числе сбрасывать пароли администраторов с ограниченными правами. fe930be7-5e62-47db-91af-98c3a49a38b1

Администратор приложений

пользователи с этой ролью могут создавать и контролировать все аспекты корпоративных приложений, регистрации приложений, а также параметры прокси приложения. Обратите внимание, что пользователи с этой ролью не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Эта роль также предоставляет возможность согласия на делегированные разрешения и разрешения приложений, за исключением разрешений приложения как для Microsoft Graph, так и для Azure AD Graph.

Важно!

Это исключение означает, что вы по-прежнему можете дать согласие на разрешения приложений для других приложений (например, приложений сторонних разработчиков или приложений, которые вы зарегистрировали). Вы по-прежнему можете запрашивать эти разрешения в рамках регистрации приложения, но при предоставлении (то есть при согласии) этих разрешений требуется более привилегированный администратор, например Глобальный администратор.

Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения предоставлен доступ к ресурсу, например возможность создавать или обновлять пользователей или другие объекты, пользователь, которому назначена эта роль, может выполнять эти действия при олицетворении приложения. Эта возможность олицетворять удостоверение приложения может быть повышенной привилегией на то, что может сделать пользователь с помощью назначений ролей. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.

Действия Описание
microsoft.directory/applications/create Создание приложений всех типов
microsoft.directory/applications/delete Удаление всех типов приложений
microsoft.directory/applications/applicationProxy/read Чтение свойств прокси-сервера приложения
microsoft.directory/applications/applicationProxy/update Обновить все свойства прокси приложения
Microsoft. Directory/Applications/Аппликатионпроксяусентикатион/Update Обновить свойства проверки подлинности прокси приложения
Microsoft. Directory/Applications/Аппликатионпроксисслцертификате/Update Обновление пользовательских доменов прокси приложения
Microsoft. Directory/Applications/Аппликатионпроксюрлсеттингс/Update Обновление внутренних и внешних URL-адресов прокси приложения
Microsoft. Directory/Applications/appRoles/Update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства аудитории для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление основных свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставленных разрешений и необходимых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
Microsoft. Directory/Applications, проверка/обновление Обновление свойства аппликатионсверификатион
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений из коллекции с применением шаблонов приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/connectors/create Создание соединителей прокси приложения
Microsoft. Directory/Connectors/Аллпропертиес/Read Чтение всех свойств соединителей прокси приложения
microsoft.directory/connectorGroups/create Создание групп соединителей прокси приложения
microsoft.directory/connectorGroups/delete Удаление групп соединителей прокси приложения
Microsoft. Directory/Коннекторграупс/Аллпропертиес/Read Чтение всех свойств групп соединителей прокси приложения
Microsoft. Directory/Коннекторграупс/Аллпропертиес/Update Обновление всех свойств групп соединителей прокси приложения
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление разрешений OAuth 2,0, а затем чтение и обновление всех свойств.
microsoft.directory/applicationPolicies/create Создание политик приложений
microsoft.directory/applicationPolicies/delete Удаление политик приложений
microsoft.directory/applicationPolicies/standard/read Чтение стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/read Чтение владельцев политик приложений
microsoft.directory/applicationPolicies/policyAppliedTo/read Чтение политик приложений, примененных к списку объектов
microsoft.directory/applicationPolicies/basic/update Обновление стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/update Обновление свойства Owner политик приложения
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Управление учетными данными единого входа с паролем на субъектах-службах
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление секретами и учетными данными подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий метка подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание заданий и схемы метка подготовки приложений и управление ими
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Чтение учетных данных единого входа с паролем для субъектов-служб
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфоралл. Микрософт-аппликатион-админ Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph и Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности в субъектах-службах
microsoft.directory/servicePrincipals/basic/update Обновление основных свойств субъектов-служб
microsoft.directory/servicePrincipals/credentials/update Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства Tag для субъектов-служб
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Разработчик приложения

пользователи с этой ролью могут создавать регистрации приложений, когда для параметра "Пользователи могут регистрировать приложения" задано значение "Нет". Кроме того, эта роль позволяет давать согласие от своего имени, когда для параметра "Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени" задано значение "Нет". Пользователи, которым назначена эта роль, добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Действия Описание
microsoft.directory/applications/createAsOwner Создайте приложения всех типов, и создатель добавляется в качестве первого владельца.
microsoft.directory/appRoleAssignments/createAsOwner Создание назначений ролей приложений с создателем в качестве первого владельца
microsoft.directory/oAuth2PermissionGrants/createAsOwner Создание разрешений OAuth 2,0 с создателем в качестве первого владельца
microsoft.directory/servicePrincipals/createAsOwner Создание субъектов-служб с создателем в качестве первого владельца

Автор полезных данных атаки

Пользователи с этой ролью могут создавать полезные данные для атак, но не запускать их на самом деле или планировать. Полезные данные для атак становятся доступными для всех администраторов в клиенте, которые могут использовать их для создания симуляции.

Действия Описание
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/полезная нагрузка/Аллпропертиес/Аллтаскс Создание полезных данных атак и управление ими в симуляторе атак
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/Reports/Аллпропертиес/Read Ознакомьтесь с отчетами о моделировании атак, ответах и связанных учебных курсах

Администратор имитации атак

Пользователи с этой ролью могут создавать и администрировать все аспекты создания имитации атаки, запускать или планировать моделирование, а также просматривать результаты имитации. Члены этой роли имеют доступ ко всем имитациям в клиенте.

Действия Описание
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/полезная нагрузка/Аллпропертиес/Аллтаскс Создание полезных данных атак и управление ими в симуляторе атак
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/Reports/Аллпропертиес/Read Ознакомьтесь с отчетами о моделировании атак, ответах и связанных учебных курсах
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/моделирование/Аллпропертиес/Аллтаскс Создание шаблонов моделирования атак и управление ими в симуляторе атак

Администратор проверки подлинности

Пользователи с этой ролью могут устанавливать или сбрасывать любой метод проверки подлинности (включая пароли) для пользователей, не являющихся администраторами, и некоторые роли. Администраторы проверки подлинности могут затребовать повторную регистрацию пользователей, не являющихся администраторами или имеющих некоторые роли, с использованием существующих учетных данных без использования пароля (например, MFA или FIDO), а также отзывать параметр, позволяющий запомнить данные MFA на устройстве, из-за чего при следующем входе в систему будет отображаться запрос на прохождение MFA. Список ролей, которые администратор проверки подлинности может читать или обновлять, см. в разделе разрешения на сброс пароля.

Роль администратора привилегированной проверки подлинности имеет разрешение на принудительную повторную регистрацию и многофакторную проверку подлинности для всех пользователей.

Роль администратора политики проверки подлинности имеет разрешения на установку политики метода проверки подлинности клиента, определяющей, какие методы могут регистрироваться и использоваться каждым пользователем.

Роль Управление методами проверки подлинности пользователя Управление MFA для каждого пользователя Управление параметрами MFA Управление политикой метода проверки подлинности Управление политикой защиты паролей
Администратор проверки подлинности Да для некоторых пользователей (см. выше) Да для некоторых пользователей (см. выше) Нет Нет Нет
Привилегированный администратор проверки подлинности Да для всех пользователей Да для всех пользователей Нет Нет Нет
Администратор политики проверки подлинности Нет Нет Да Да Да

Важно!

Пользователи с этой ролью могут изменять учетные данные для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам проверки подлинности. По этому пути администратор проверки подлинности может предположить идентификатор владельца приложения, а затем допустить удостоверение привилегированного приложения, обновив учетные данные для приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы группы безопасности и группы Microsoft 365, которые могут управлять членством в группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Важно!

В настоящее время эта роль не может управлять многопользовательским MFA на портале управления MFA прежних версий. Те же функции можно выполнить с помощью модуля Azure AD PowerShell Set-MsolUser командлет.

Действия Описание
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем недействительности маркеров обновления пользователя
microsoft.directory/users/strongAuthentication/update Обновление свойства строгой проверки подлинности для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор политики проверки подлинности

Пользователи с этой ролью могут настраивать политики методов проверки подлинности, параметры MFA для всего клиента и политику защиты паролем. Эта роль предоставляет разрешение на управление параметрами защиты паролем: Конфигурация смарт-блокировки и обновление настраиваемого списка запрещенных паролей.

Администраторы аутентификации и роли администратора привилегированной проверки подлинности имеют разрешение на Управление зарегистрированными методами проверки подлинности для пользователей и могут принудительно выполнять повторную регистрацию и многофакторную проверку подлинности для всех пользователей.

Роль Управление методами проверки подлинности пользователя Управление MFA для каждого пользователя Управление параметрами MFA Управление политикой метода проверки подлинности Управление политикой защиты паролей
Администратор проверки подлинности Да для некоторых пользователей (см. выше) Да для некоторых пользователей (см. выше) Нет Нет Нет
Привилегированный администратор проверки подлинности Да для всех пользователей Да для всех пользователей Нет Нет Нет
Администратор политики проверки подлинности Нет Нет Да Да Да

Важно!

В настоящее время эта роль не может управлять параметрами MFA на устаревшем портале управления MFA.

Действия Описание
Microsoft. Directory, организация, Стронгаусентикатион/обновление Обновление свойств строгой проверки подлинности в Организации
Microsoft. Directory/УсеркредентиалполиЦиес/создать Создание политик учетных данных для пользователей
Microsoft. Directory/УсеркредентиалполиЦиес/удаление Удаление политик учетных данных для пользователей
Microsoft. Directory/УсеркредентиалполиЦиес/Standard/Read Чтение стандартных свойств политик учетных данных для пользователей
Microsoft. Directory/УсеркредентиалполиЦиес/Owners/Read Чтение владельцев политик учетных данных для пользователей
Microsoft. Directory/УсеркредентиалполиЦиес/policyAppliedTo/Read Чтение ссылки на навигацию Policy. appliesTo
Microsoft. Directory/УсеркредентиалполиЦиес/Basic/Update Обновление основных политик для пользователей
Microsoft. Directory/УсеркредентиалполиЦиес/Owners/Update Обновление владельцев политик учетных данных для пользователей
Microsoft. Directory/УсеркредентиалполиЦиес/Тенантдефаулт/Update Обновление свойства Policy. isOrganizationDefault

Локальный администратор присоединенного к Azure AD устройства

эту роль можно назначить только в качестве роли дополнительного локального администратора в параметрах устройства. Пользователи с этой ролью становятся администраторами локальных компьютеров на всех устройствах с Windows 10, присоединенных к Azure Active Directory. Они не могут управлять объектами устройств в Azure Active Directory.

Действия Описание
Microsoft. Directory/Граупсеттингс/Standard/Read Чтение основных свойств параметров группы
Microsoft. Directory/Граупсеттингтемплатес/Standard/Read Чтение основных свойств шаблонов параметров группы

Администратор Azure DevOps

Пользователи с этой ролью могут управлять политикой Azure DevOps, чтобы разрешить создавать организации Azure DevOps только заданным пользователям или группам. Пользователи этой роли могут управлять этой политикой с помощью любой организации Azure DevOps, которая поддерживается организацией Azure AD компании. Эта роль не предоставляет никаких других разрешений Azure DevOps (например, администраторов коллекции проектов) в любых организациях Azure DevOps, поддерживаемых Организацией Azure AD компании.

Все корпоративные политики Azure DevOps могут управляться пользователями этой роли.

Действия Описание
microsoft.azure.devOps/allEntities/allTasks Чтение и настройка Azure DevOps

Администратор Azure Information Protection

пользователи с этой ролью имеют все разрешения в службе Azure Information Protection. Эта роль позволяет настраивать метки для политики Azure Information Protection, управлять шаблонами защиты и активировать защиту. Эта роль не предоставляет никаких разрешений в центре защиты идентификации, управление привилегированными пользователями, мониторинга Microsoft 365 работоспособности служб или центре обеспечения безопасности & Office 365.

Действия Описание
microsoft.azure.informationProtection/allEntities/allTasks Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор наборов ключей IEF B2C

Пользователь может создавать ключи политики и секреты для шифрования маркеров, подписи маркеров и шифрования и расшифровки утверждений, а также управлять этими ключами.  Добавляя новые ключи в существующие контейнеры ключей, этот администратор с ограниченными правами может при необходимости менять секреты без влияния на существующие приложения.  Этот пользователь может видеть полное содержимое секретов и даты окончания срока их действия даже после их создания.

Важно!

Это очень важная роль.  В подготовительной и рабочей средах роль администратора набора ключей должна проходить тщательную проверку и назначаться с особым вниманием.

Действия Описание
Microsoft. Directory/b2cTrustFrameworkKeySet/Аллпропертиес/Аллтаскс Чтение и обновление всех свойств политик авторизации

Администратор политик IEF B2C

Пользователи с этой ролью могут создавать, читать, обновлять и удалять все настраиваемые политики в Azure AD B2C и, таким образом, имеют полный доступ к Identity Experience Framework в соответствующей организации Azure AD B2C. Изменяя политики, эти пользователи могут устанавливать прямую федерацию с внешними поставщиками удостоверений, изменять схемы каталогов, изменять все содержимое для пользователей (HTML, CSS, JavaScript), изменять требования к прохождению проверки подлинности, создавать пользователей, отправлять данные пользователей во внешние системы, включая полную миграцию, и изменять все сведения о пользователях, включая поля с такими конфиденциальными данными, как пароли и номера телефонов. Но в то же время пользователи с этой ролью не могут изменять ключи шифрования или секреты, используемые для федерации в организации.

Важно!

Администратор политики IEF B2C — это очень важная роль, которую следует назначать в организациях в рабочей среде в весьма ограниченном количестве случаев.  Действия, выполняемые этими пользователями, необходимо тщательно проверять, особенно в организациях в рабочей среде.

Действия Описание
Microsoft. Directory/b2cTrustFrameworkPolicy/Аллпропертиес/Аллтаскс Чтение и Настройка наборов ключей в Azure Active Directory B2C

администратора выставления счетов;

совершает покупки, управляет подписками, управляет запросами в службу поддержки и отслеживает работоспособность службы.

Действия Описание
microsoft.directory/organization/basic/update Обновить основные свойства в Организации
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.commerce.billing/allEntities/allTasks Управление всеми аспектами выставления счетов Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор облачных приложений

пользователи с этой ролью имеют те же разрешения, что и для роли администратора приложений, за исключением возможности управления прокси приложения. Эта роль позволяет создавать и контролировать все аспекты корпоративных приложений и регистраций приложений. Пользователи, которым назначена эта роль, не добавляются в качестве владельцев при создании регистраций приложений или корпоративных приложений.

Эта роль также предоставляет возможность согласия на делегированные разрешения и разрешения приложений, за исключением разрешений приложения как для Microsoft Graph, так и для Azure AD Graph.

Важно!

Это исключение означает, что вы по-прежнему можете дать согласие на разрешения приложений для других приложений (например, приложений сторонних разработчиков или приложений, которые вы зарегистрировали). Вы по-прежнему можете запрашивать эти разрешения в рамках регистрации приложения, но при предоставлении (то есть при согласии) этих разрешений требуется более привилегированный администратор, например Глобальный администратор.

Эта роль предоставляет возможность управлять учетными данными приложения. Пользователи, которым назначена эта роль, могут добавить учетные данные в приложение и использовать их для олицетворения удостоверения приложения. Если удостоверению приложения предоставлен доступ к ресурсу, например возможность создавать или обновлять пользователей или другие объекты, пользователь, которому назначена эта роль, может выполнять эти действия при олицетворении приложения. Эта возможность олицетворять удостоверение приложения может быть повышенной привилегией на то, что может сделать пользователь с помощью назначений ролей. Важно понимать, что назначение пользователю роли администратора приложения дает ему возможность олицетворять удостоверение приложения.

Действия Описание
microsoft.directory/applications/create Создание приложений всех типов
microsoft.directory/applications/delete Удаление всех типов приложений
Microsoft. Directory/Applications/appRoles/Update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства аудитории для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление основных свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставленных разрешений и необходимых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
Microsoft. Directory/Applications, проверка/обновление Обновление свойства аппликатионсверификатион
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений из коллекции с применением шаблонов приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление разрешений OAuth 2,0, а затем чтение и обновление всех свойств.
microsoft.directory/applicationPolicies/create Создание политик приложений
microsoft.directory/applicationPolicies/delete Удаление политик приложений
microsoft.directory/applicationPolicies/standard/read Чтение стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/read Чтение владельцев политик приложений
microsoft.directory/applicationPolicies/policyAppliedTo/read Чтение политик приложений, примененных к списку объектов
microsoft.directory/applicationPolicies/basic/update Обновление стандартных свойств политик приложений
microsoft.directory/applicationPolicies/owners/update Обновление свойства Owner политик приложения
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Управление учетными данными единого входа с паролем на субъектах-службах
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление секретами и учетными данными подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий метка подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание заданий и схемы метка подготовки приложений и управление ими
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Чтение учетных данных единого входа с паролем для субъектов-служб
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфоралл. Микрософт-аппликатион-админ Предоставление согласия для разрешений приложения и делегированных разрешений от имени любого пользователя или всех пользователей, за исключением разрешений приложения для Microsoft Graph и Azure AD Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности в субъектах-службах
microsoft.directory/servicePrincipals/basic/update Обновление основных свойств субъектов-служб
microsoft.directory/servicePrincipals/credentials/update Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства Tag для субъектов-служб
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор облачного устройства

пользователи с этой ролью могут включать, отключать и удалять устройства в Azure AD и считывать ключи BitLocker в Windows 10 (при наличии) на портале Azure. Роль не предоставляет разрешения на управление любыми другими свойствами устройства.

Действия Описание
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
Microsoft. Directory/Битлоккеркэйс/ключ/чтение Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/devices/delete Удаление устройств из Azure AD
microsoft.directory/devices/disable Отключение устройств в Azure AD
microsoft.directory/devices/enable Включение устройств в Azure AD
Microsoft. Directory/Devices/атрибутов ExtensionAttribute/Update Обновить все значения для свойства Devices. атрибутов ExtensionAttribute
Microsoft. Directory/ДевицеманажементполиЦиес/Standard/Read Чтение стандартных свойств в политиках приложений управления устройствами
Microsoft. Directory/ДевицеманажементполиЦиес/Basic/Update Обновление основных свойств в политиках приложения "Управление устройствами"
Microsoft. Directory/Девицерегистратионполици/Standard/Read Чтение стандартных свойств в политиках регистрации устройств
Microsoft. Directory/Девицерегистратионполици/Basic/Update Обновление основных свойств в политиках регистрации устройств
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365

Администратор соответствия требованиям

Пользователи с этой ролью имеют разрешения на управление возможностями, связанными с соответствием, в Центре соответствия требованиям Microsoft 365, Центре администрирования Microsoft 365, Azure и Центре безопасности и соответствия требованиям Office 365. Они также могут управлять всеми функциями в Центре администрирования Exchange и Центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Дополнительные сведения можно найти в статье о Microsoft 365 ролях администратора.

В Может
Центр соответствия требованиям Microsoft 365 Защита данных организации и управление ими во всех службах Microsoft 365.
Управление оповещениями по соответствию.
Диспетчер соответствия Отслеживание, назначение и проверка деятельности организации на соответствие требованиям.
Центр безопасности и соответствия требованиям Office 365 Управление системой управления данными.
Выполнение юридического расследование и анализа данных.
Управление запросом субъекта данных.

Эта роль имеет те же разрешения, что и роль администратора соответствия требованиям в системе управления доступом на основе ролей в Центре безопасности и соответствия требованиям Office 365.
Intune Просмотр всех данных проверки Intune.
Cloud App Security Обладает разрешением только для чтения и может управлять оповещениями.
Может создавать и изменять файловые политики и давать разрешение на управление файлом.
Позволяет просматривать все встроенные отчеты в разделе "Управление данными".
Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
Microsoft. Directory/Ентитлементманажемент/Аллпропертиес/Read Чтение всех свойств в управлении назначениями Azure AD
microsoft.office365.complianceManager/allEntities/allTasks Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор соответствия данных требованиям

Пользователи с этой ролью имеют разрешения на отслеживание данных в центре соответствия Microsoft 365, центре администрирования Microsoft 365 и Azure. Пользователи также могут отслеживать данные соответствия в центре администрирования Exchange, диспетчере соответствия требованиям и центре администрирования Teams и Skype для бизнеса и создавать запросы в службу поддержки для Azure и Microsoft 365. Эта документация содержит подробные сведения о различиях между администратором соответствия и администратором данных соответствия требованиям.

В Может
Центр соответствия требованиям Microsoft 365 Отслеживает политики, связанные с соответствием требованиями, во всех службах Microsoft 365.
Управление оповещениями по соответствию.
Диспетчер соответствия Отслеживание, назначение и проверка деятельности организации на соответствие требованиям.
Центр безопасности и соответствия требованиям Office 365 Управление системой управления данными.
Выполнение юридического расследование и анализа данных.
Управление запросом субъекта данных.

Эта роль имеет те же разрешения, что и роль администратора данных соответствия в системе управления доступом на основе ролей в Центре безопасности и соответствия требованиям Office 365.
Intune Просмотр всех данных проверки Intune.
Cloud App Security Обладает разрешением только для чтения и может управлять оповещениями.
Может создавать и изменять файловые политики и давать разрешение на управление файлом.
Позволяет просматривать все встроенные отчеты в разделе "Управление данными".
Действия Описание
Microsoft. Directory/Клаудаппсекурити/Аллпропертиес/Аллтаскс Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в Microsoft Cloud App Security
microsoft.azure.informationProtection/allEntities/allTasks Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.complianceManager/allEntities/allTasks Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор условного доступа

Пользователи с этой ролью могут управлять параметрами условного доступа в Azure Active Directory.

Действия Описание
Microsoft. Directory/КондитионалакцессполиЦиес/создать Создание политик условного доступа
Microsoft. Directory/КондитионалакцессполиЦиес/удаление Удаление политик условного доступа
Microsoft. Directory/КондитионалакцессполиЦиес/Standard/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Owners/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/policyAppliedTo/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Basic/Update Обновление основных свойств политик условного доступа
Microsoft. Directory/КондитионалакцессполиЦиес/Owners/Update Обновление свойств Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Тенантдефаулт/Update Обновление свойств Policies. Кондитионалакцесс
Microsoft. Directory/КросстенантакцессполиЦиес/создать Создание политик доступа между клиентами
Microsoft. Directory/КросстенантакцессполиЦиес/удаление Удаление политик доступа между клиентами
Microsoft. Directory/КросстенантакцессполиЦиес/Standard/Read Чтение основных свойств политик доступа между клиентами
Microsoft. Directory/КросстенантакцессполиЦиес/Owners/Read Чтение владельцев политик доступа между клиентами
Microsoft. Directory/КросстенантакцессполиЦиес/policyAppliedTo/Read Чтение свойства policyAppliedTo политик доступа между клиентами
Microsoft. Directory/КросстенантакцессполиЦиес/Basic/Update Обновление основных свойств политик доступа между клиентами
Microsoft. Directory/КросстенантакцессполиЦиес/Owners/Update Обновление владельцев политик доступа между клиентами
Microsoft. Directory/КросстенантакцессполиЦиес/Тенантдефаулт/Update Обновление клиента по умолчанию для политик доступа между клиентами

Лицо, утверждающее доступ клиентов к LockBox

Управляет запросами защищенного хранилища в вашей организации. Для запросов защищенного хранилища они получают уведомления по электронной почте и могут утверждать и отклонять запросы из Центра администрирования Microsoft 365. Они могут также выключать функции защищенного хранилища. Сбрасывать пароли пользователей, назначенных этой роли, могут только глобальные администраторы.

Действия Описание
microsoft.office365.lockbox/allEntities/allTasks Управление всеми аспектами защищенное хранилище
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор аналитики классических приложений

Пользователи с этой ролью могут управлять службами Аналитики компьютеров и настройки и политик Office. Для Аналитики компьютеров сюда входят возможности просмотра наличных ресурсов, создания планов развертывания, просмотра развертывания и состояния работоспособности. Для службы настройки и политик Office эта роль позволяет пользователям управлять политиками Office.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.desktopAnalytics/allEntities/allTasks Управление всеми аспектами аналитики настольных систем
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Читатели каталогов

Пользователи с этой ролью могут считывать основные сведения о каталогах. Эта роль должна использоваться в следующих целях:

  • предоставление доступа на чтение лишь определенному набору гостевых пользователей, а не всем;
  • предоставление доступа к порталу Azure определенному набору пользователей, не являющихся администраторами, когда для параметра "Предоставлять доступ к порталу Azure AD только администраторам" установлено значение "Да";
  • предоставление субъектам-службам доступа к каталогам, для которых не установлен параметр Directory.Read.All.
Действия Описание
Microsoft. Directory/administrativeUnits/Standard/Read Чтение основных свойств в административных единицах
microsoft.directory/administrativeUnits/members/read Чтение элементов административных единиц
Microsoft. Directory/Applications/Standard/Read Чтение стандартных свойств приложений
microsoft.directory/applications/owners/read Чтение владельцев приложений
microsoft.directory/applications/policies/read Чтение политик приложений
Microsoft. Directory/Contacts/Standard/Read Чтение основных свойств контактов в Azure AD
microsoft.directory/contacts/memberOf/read Чтение членства в группах для всех контактов в Azure AD
Microsoft. Directory/Contracts/Standard/Read Чтение основных свойств контрактов партнеров
Microsoft. Directory/Devices/Standard/Read Чтение основных свойств на устройствах
microsoft.directory/devices/memberOf/read Чтение членства устройств
microsoft.directory/devices/registeredOwners/read Чтение зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/read Чтение зарегистрированных пользователей устройств
Microsoft. Directory/directoryRoles/Standard/Read Обновление основных свойств в ролях Azure AD
microsoft.directory/directoryRoles/eligibleMembers/read Чтение подходящих членов ролей Azure AD
microsoft.directory/directoryRoles/members/read Чтение всех членов ролей Azure AD
Microsoft. Directory/Domains/Standard/Read Чтение основных свойств в доменах
Microsoft. Directory/Groups/Standard/Read Чтение основных свойств групп
microsoft.directory/groups/appRoleAssignments/read Чтение назначений ролей приложений для групп
microsoft.directory/groups/memberOf/read Чтение групп, членом которых является группа в Azure AD
microsoft.directory/groups/members/read Чтение членов групп
microsoft.directory/groups/owners/read Чтение владельцев групп
microsoft.directory/groups/settings/read Чтение параметров групп
Microsoft. Directory/Граупсеттингс/Standard/Read Чтение основных свойств параметров группы
Microsoft. Directory/Граупсеттингтемплатес/Standard/Read Чтение основных свойств шаблонов параметров группы
Microsoft. Directory/oAuth2PermissionGrants/Standard/Read Чтение основных свойств для предоставления разрешений OAuth 2,0
Microsoft. Directory/организация/Стандартный/чтение Чтение основных свойств в Организации
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Чтение доверенных центров сертификации для проверки подлинности с паролем
microsoft.directory/applicationPolicies/standard/read Чтение стандартных свойств политик приложений
Microsoft. Directory/roleAssignments/Standard/Read Чтение основных свойств назначений ролей
Microsoft. Directory/roleDefinitions/Standard/Read Чтение основных свойств в определениях ролей
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Чтение назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/appRoleAssignments/read Чтение назначений ролей, назначенных субъектам-службам
microsoft.directory/servicePrincipals/standard/read Чтение основных свойств субъектов-служб
microsoft.directory/servicePrincipals/memberOf/read Чтение членства в группах для субъектов-служб
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Чтение делегированных разрешений, предоставленных субъектам-службам
microsoft.directory/servicePrincipals/owners/read Чтение владельцев субъектов-служб
microsoft.directory/servicePrincipals/ownedObjects/read Чтение собственных объектов субъектов-служб
microsoft.directory/servicePrincipals/policies/read Чтение политик субъектов-служб
Microsoft. Directory/Субскрибедскус/Standard/Read Чтение основных свойств подписок
Microsoft. Directory/Users/Standard/Read Чтение основных свойств пользователей
microsoft.directory/users/appRoleAssignments/read Чтение назначений ролей приложений для пользователей
microsoft.directory/users/directReports/read Чтение непосредственных подчиненных для пользователей
microsoft.directory/users/manager/read Диспетчер чтения пользователей
microsoft.directory/users/memberOf/read Чтение членства в группах пользователей
Microsoft. Directory/Users/oAuth2PermissionGrants/Read Чтение делегированных разрешений, предоставленных пользователям
microsoft.directory/users/ownedDevices/read Чтение собственных устройств пользователей
microsoft.directory/users/ownedObjects/read Чтение собственных объектов пользователей
microsoft.directory/users/registeredDevices/read Чтение зарегистрированных устройств пользователей

Учетные записи синхронизации службы каталогов

Не используйте. Эта роль автоматически назначается службе Azure AD Connect, она не предназначена для любого другого использования.

Действия Описание
microsoft.directory/applications/create Создание приложений всех типов
microsoft.directory/applications/delete Удаление всех типов приложений
Microsoft. Directory/Applications/appRoles/Update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства аудитории для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление основных свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставленных разрешений и необходимых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/organization/dirSync/update Обновление свойства синхронизации каталога Организации
microsoft.directory/policies/create Создание политик в Azure AD
microsoft.directory/policies/delete Удаление политик в Azure AD
microsoft.directory/policies/standard/read Чтение основных свойств политик
microsoft.directory/policies/owners/read Чтение владельцев политик
Microsoft. Directory/Policies/policyAppliedTo/чтение Чтение свойства Policies. policyAppliedTo
microsoft.directory/policies/basic/update Обновление основных свойств политик
microsoft.directory/policies/owners/update Обновление владельцев политик
microsoft.directory/policies/tenantDefault/update Обновление политик организации по умолчанию
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Управление учетными данными единого входа с паролем на субъектах-службах
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Чтение учетных данных единого входа с паролем для субъектов-служб
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Чтение назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/appRoleAssignments/read Чтение назначений ролей, назначенных субъектам-службам
microsoft.directory/servicePrincipals/standard/read Чтение основных свойств субъектов-служб
microsoft.directory/servicePrincipals/memberOf/read Чтение членства в группах для субъектов-служб
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Чтение делегированных разрешений, предоставленных субъектам-службам
microsoft.directory/servicePrincipals/owners/read Чтение владельцев субъектов-служб
microsoft.directory/servicePrincipals/ownedObjects/read Чтение собственных объектов субъектов-служб
microsoft.directory/servicePrincipals/policies/read Чтение политик субъектов-служб
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности в субъектах-службах
microsoft.directory/servicePrincipals/basic/update Обновление основных свойств субъектов-служб
microsoft.directory/servicePrincipals/credentials/update Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства Tag для субъектов-служб

Создатели каталогов

Пользователи с этой ролью могут читать и обновлять основные сведения о пользователях, группах и субъектах-службах. Назначить эту роль только для приложений, которые не поддерживают инфраструктуру согласия. Ее не следует назначать пользователям.

Действия Описание
Microsoft. Directory/Groups/Ассигнлиценсе Назначение лицензий на группы для группового лицензирования
microsoft.directory/groups/create Создание групп, за исключением назначаемых ролью групп
Microsoft. Directory/Groups/Репроцесслиценсеассигнмент Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/basic/update Обновление основных свойств групп, за исключением назначаемых ролью групп
Microsoft. Directory, группы, классификация или обновление Обновление свойства классификации групп, за исключением назначаемых ролью групп
Microsoft. Directory/Groups/dynamicMembershipRule/обновление Обновление правила динамического членства в группах за исключением назначаемых ролью групп
Microsoft. Directory/Groups/groupType/обновление Обновление свойства groupType для группы
microsoft.directory/groups/members/update Обновление членов групп, за исключением назначаемых ролью групп
Microsoft. Directory/Groups/Онпремвритебакк/обновление Обновление групп Azure AD для обратной передачи в локальную среду
microsoft.directory/groups/owners/update Обновление владельцев групп, за исключением назначаемых ролью групп
microsoft.directory/groups/settings/update Обновить параметры групп
Microsoft. Directory, группы, видимость и обновление Обновление свойства видимости групп
microsoft.directory/groupSettings/create Create group settings (Создание параметров группы)
microsoft.directory/groupSettings/delete Delete group settings (Удаление параметров группы)
microsoft.directory/groupSettings/basic/update Обновить основные свойства в параметрах группы
Microsoft. Directory/oAuth2PermissionGrants/создать Создание предоставленных разрешений OAuth 2,0
Microsoft. Directory/oAuth2PermissionGrants/Basic/Update Обновление предоставленных разрешений OAuth 2,0
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление секретами и учетными данными подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий метка подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание заданий и схемы метка подготовки приложений и управление ими
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфорграуп. Микрософт-Алл-аппликатион-пермиссионс Предоставление службе используемой прямой доступ к данным группы
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
Microsoft. Directory/пользователи/отключить Отключить пользователей
Microsoft. Directory/пользователи/включить Разрешить пользователям
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем недействительности маркеров обновления пользователя
Microsoft. Directory/Users/Репроцесслиценсеассигнмент Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/basic/update Обновление основных свойств пользователей
microsoft.directory/users/manager/update Диспетчер обновлений для пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей

Администратор доменных имен

Пользователи с этой ролью могут управлять доменными именами (чтение, добавление, проверка, обновление и удаление). Они также могут считывать данные каталога о пользователях, группах и приложениях, так как эти объекты обладают зависимостями домена. Для локальных сред пользователи с этой ролью могут настроить доменные имена для Федерации, чтобы связанные пользователи всегда выполняли проверку подлинности в локальной среде. Затем эти пользователи могут войти в службы на основе Azure AD со своими локальными паролями через единый вход. Параметры Федерации необходимо синхронизировать через Azure AD Connect, поэтому у пользователей также есть разрешения на управление Azure AD Connect.

Действия Описание
microsoft.directory/domains/allProperties/allTasks Создание и удаление доменов, чтение и изменение всех свойств
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими

Администратор Dynamics 365

пользователи с этой ролью имеют глобальные разрешения в Microsoft Dynamics 365 Online (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Использование роли администратора службы для управления организацией Azure AD.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Dynamics 365". На портале Azure она называется "Администратор Dynamics 365".

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.dynamics365/allEntities/allTasks Управление всеми аспектами Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор Exchange

пользователи с этой ролью имеют глобальные разрешения в Microsoft Exchange Online (если служба используется). Также имеет возможность создавать все группы Microsoft 365, управлять запросами в службу поддержки и отслеживать работоспособность служб. Дополнительные сведения о Microsoft 365 ролях администратора.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Exchange". На портале Azure она называется "Администратор Exchange". Это "Администратор Exchange Online" в Центре администрирования Exchange.

Действия Описание
microsoft.directory/groups/hiddenMembers/read Чтение скрытых членов группы
Microsoft. каталог/группы. Unified/CREATE Создание групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. унифицированная или удаленная Удаление групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Restore Восстановление групп Microsoft 365
Microsoft. каталог/группы. Unified/Basic/Update Обновление основных свойств групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Members/Update Обновление членов групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Owners/Update Обновление владельцев групп Microsoft 365 с исключением групп, назначаемых ролью
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
Microsoft. Office 365. Exchange/Аллентитиес/Basic/Аллтаскс Управление всеми аспектами Exchange Online
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор потоков пользователей с внешним идентификатором

Пользователи с этой ролью могут создавать потоки пользователей и управлять ими (также называемыми встроенными политиками) в портал Azure. Эти пользователи могут настраивать содержимое HTML/CSS/JavaScript, изменять требования MFA, выбирать утверждения в маркере, управлять соединителями API и настраивать параметры сеанса для всех потоков пользователей в Организации Azure AD. С другой стороны, эта роль не включает в себя возможность просматривать данные пользователя или вносить изменения в атрибуты, включенные в схему организации. Изменения в политиках инфраструктуры процедур идентификации (также называемые пользовательскими политиками) также выходят за рамки этой роли.

Действия Описание
Microsoft. Directory/b2cUserFlow/Аллпропертиес/Аллтаскс Чтение и Настройка атрибутов пользователя в Azure Active Directory B2C

Администратор атрибутов потоков пользователей с внешним идентификатором

Пользователи с этой ролью добавляют или удаляют настраиваемые атрибуты, доступные для всех потоков пользователей в организации Azure AD.  Таким образом, эти пользователи могут изменять или добавлять новые элементы в схему конечного пользователя, влиять на поведение всех потоков пользователей и косвенно приводить к изменениям данных, запрашиваемых у конечных пользователей и в результате отправляемых в виде утверждений в приложения.  Пользователи с этой ролью не могут изменять потоки пользователей.

Действия Описание
Microsoft. Directory/b2cUserAttribute/Аллпропертиес/Аллтаскс Чтение и настройка пользовательских политик в Azure Active Directory B2C

Администратор внешних поставщиков удостоверений

Этот администратор управляет федерацией между организациями Azure AD и внешними поставщиками удостоверений.  Пользователи с этой ролью могут добавлять новые поставщики удостоверений и настраивать все доступные параметры (например, путь для проверки подлинности, идентификатор службы, назначенные контейнеры ключей).  Эти пользователи могут включать для организации Azure AD доверие к проверкам подлинности из внешних поставщиков удостоверений.  Итоговое влияние на работу конечного пользователя зависит от типа организации:

Действия Описание
Microsoft. Directory/Идентитипровидерс/Аллпропертиес/Аллтаскс Чтение и настройка поставщиков удостоверений в Azure Active Directory B2C

глобальный администратор

пользователи с этой ролью имеют доступ ко всем административным функциям в Azure Active Directory, а также к службам, использующим идентификаторы Azure Active Directory, например Центр безопасности Microsoft 365, Центр соответствия требованиям Microsoft 365, Exchange Online, SharePoint Online и Skype для бизнеса Online. Кроме того, глобальные администраторы могут повысить уровень доступа , чтобы управлять всеми подписками и группами управления Azure. Это позволяет глобальным администраторам получить полный доступ ко всем ресурсам Azure с помощью соответствующего клиента Azure AD. Пользователь, который подписывается на организацию Azure AD, станет глобальным администратором. В Организации может быть только один глобальный администратор. Глобальные администраторы могут сбросить пароль для любого пользователя и всех других администраторов.

Действия Описание
Microsoft. Directory/Акцессревиевс/Аллпропертиес/Аллтаскс Создание и удаление проверок доступа и чтение и изменение всех свойств проверок доступа в Azure AD
microsoft.directory/administrativeUnits/allProperties/allTasks Создание административных единиц и управление ими (включая члены)
microsoft.directory/applications/allProperties/allTasks Создание и удаление приложений, чтение и изменение всех свойств
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений из коллекции с применением шаблонов приложений
microsoft.directory/appRoleAssignments/allProperties/allTasks Создание и удаление appRoleAssignments и чтение и изменение всех свойств
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
Microsoft. Directory/authorizationPolicy/Аллпропертиес/Аллтаскс Управление всеми аспектами политик авторизации
Microsoft. Directory/Битлоккеркэйс/ключ/чтение Чтение метаданных и ключа BitLocker на устройствах
Microsoft. Directory/Клаудаппсекурити/Аллпропертиес/Аллтаскс Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в Microsoft Cloud App Security
microsoft.directory/connectors/create Создание соединителей прокси приложения
Microsoft. Directory/Connectors/Аллпропертиес/Read Чтение всех свойств соединителей прокси приложения
microsoft.directory/connectorGroups/create Создание групп соединителей прокси приложения
microsoft.directory/connectorGroups/delete Удаление групп соединителей прокси приложения
Microsoft. Directory/Коннекторграупс/Аллпропертиес/Read Чтение всех свойств групп соединителей прокси приложения
Microsoft. Directory/Коннекторграупс/Аллпропертиес/Update Обновление всех свойств групп соединителей прокси приложения
microsoft.directory/contacts/allProperties/allTasks Создание и удаление контактов, чтение и изменение всех свойств
microsoft.directory/contracts/allProperties/allTasks Создание и удаление партнерских контрактов, чтение и изменение всех свойств
microsoft.directory/devices/allProperties/allTasks Создание и удаление устройств, чтение и изменение всех свойств
Microsoft. Directory/ДевицеманажементполиЦиес/Standard/Read Чтение стандартных свойств в политиках приложений управления устройствами
Microsoft. Directory/ДевицеманажементполиЦиес/Basic/Update Обновление основных свойств в политиках приложения "Управление устройствами"
Microsoft. Directory/Девицерегистратионполици/Standard/Read Чтение стандартных свойств в политиках регистрации устройств
Microsoft. Directory/Девицерегистратионполици/Basic/Update Обновление основных свойств в политиках регистрации устройств
microsoft.directory/directoryRoles/allProperties/allTasks Создание и удаление ролей каталога, чтение и изменение всех свойств
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Создание и удаление шаблонов ролей Azure AD, а затем чтение и изменение всех свойств
microsoft.directory/domains/allProperties/allTasks Создание и удаление доменов, чтение и изменение всех свойств
Microsoft. Directory/Ентитлементманажемент/Аллпропертиес/Аллтаскс Создание и удаление ресурсов, чтение и обновление всех свойств в управлении назначениями Azure AD
microsoft.directory/groups/allProperties/allTasks Создание и удаление групп, чтение и изменение всех свойств
Microsoft. Directory/Граупсассигнаблеторолес/создать Создание групп с назначением ролей
Microsoft. Directory/Граупсассигнаблеторолес/удаление Удаление назначаемых в роли групп
Microsoft. Directory/Граупсассигнаблеторолес/Restore Восстановление назначаемых групп ролей
Microsoft. Directory/Граупсассигнаблеторолес/Аллпропертиес/Update Обновление назначаемых групп ролей
microsoft.directory/groupSettings/allProperties/allTasks Создание и удаление параметров групп, чтение и изменение всех свойств
microsoft.directory/groupSettingTemplates/allProperties/allTasks Создание и удаление шаблонов параметров групп, чтение и обновление всех свойств
Microsoft. Directory/Идентитипротектион/Аллпропертиес/Аллтаскс Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в защита идентификации Azure AD
Microsoft. Directory/Логинорганизатионбрандинг/Аллпропертиес/Аллтаскс Создание и удаление Логинтенантбрандинг и чтение и изменение всех свойств
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление разрешений OAuth 2,0, а затем чтение и обновление всех свойств.
microsoft.directory/organization/allProperties/allTasks Создание и удаление организаций, чтение и изменение всех свойств
microsoft.directory/policies/allProperties/allTasks Создание и удаление политик, чтение и изменение всех свойств
Microsoft. Directory/КондитионалакцессполиЦиес/Аллпропертиес/Аллтаскс Управление всеми свойствами политик условного доступа
Microsoft. Directory/Привилежедидентитиманажемент/Аллпропертиес/Read Чтение всех ресурсов в управление привилегированными пользователями
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/roleAssignments/allProperties/allTasks Создание и удаление назначений ролей, а затем чтение и обновление всех свойств назначения ролей
microsoft.directory/roleDefinitions/allProperties/allTasks Создание и удаление определений ролей, а затем чтение и изменение всех свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Создание и удаление Скопедролемембершипс и чтение и изменение всех свойств
microsoft.directory/serviceAction/activateService Может выполнять действие "активировать службу" для службы
microsoft.directory/serviceAction/disableDirectoryFeature Может выполнить действие службы "отключить функцию каталога"
microsoft.directory/serviceAction/enableDirectoryFeature Может выполнить действие службы "включить функцию каталога"
microsoft.directory/serviceAction/getAvailableExtentionProperties Может выполнить действие службы Жетаваилабликстентионпропертиес
microsoft.directory/servicePrincipals/allProperties/allTasks Создание и удаление субъектов-служб, а затем чтение и изменение всех свойств
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфоралл. Микрософт-компани-админ Предоставление согласия для любого разрешения на любое приложение
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфорграуп. Микрософт-Алл-аппликатион-пермиссионс Предоставление службе используемой прямой доступ к данным группы
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.directory/subscribedSkus/allProperties/allTasks Приобретение подписок и управление ими и удаление подписок
microsoft.directory/users/allProperties/allTasks Создание и удаление пользователей, чтение и изменение всех свойств
microsoft.directory/permissionGrantPolicies/create Создание политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/delete Удалить политики предоставления разрешений
microsoft.directory/permissionGrantPolicies/standard/read Чтение стандартных свойств политик предоставления разрешений
microsoft.directory/permissionGrantPolicies/basic/update Обновление основных свойств политик предоставления разрешений
Microsoft. Directory/СервицепринЦипалкреатионполиЦиес/создать Создание политик создания субъекта-службы
Microsoft. Directory/СервицепринЦипалкреатионполиЦиес/удаление Удаление политик создания субъекта-службы
Microsoft. Directory/СервицепринЦипалкреатионполиЦиес/Standard/Read Чтение стандартных свойств политик создания субъекта-службы
Microsoft. Directory/СервицепринЦипалкреатионполиЦиес/Basic/Update Обновление основных свойств политик создания субъекта-службы
Microsoft. Azure. Адванцедсреатпротектион/Аллентитиес/Аллтаскс Управление всеми аспектами Azure Advanced Threat protection
microsoft.azure.informationProtection/allEntities/allTasks Управление всеми аспектами Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.commerce.billing/allEntities/allTasks Управление всеми аспектами выставления счетов Office 365
microsoft.dynamics365/allEntities/allTasks Управление всеми аспектами Dynamics 365
microsoft.flow/allEntities/allTasks Управление всеми аспектами Microsoft Power автоматизиру
microsoft.intune/allEntities/allTasks Управление всеми аспектами Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Управление всеми аспектами Office 365 Compliance Manager.
microsoft.office365.desktopAnalytics/allEntities/allTasks Управление всеми аспектами аналитики настольных систем
Microsoft. Office 365. Exchange/Аллентитиес/Basic/Аллтаскс Управление всеми аспектами Exchange Online
microsoft.office365.lockbox/allEntities/allTasks Управление всеми аспектами защищенное хранилище
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
microsoft.office365.messageCenter/securityMessages/read Чтение сообщений безопасности в центре сообщений в центре администрирования Microsoft 365
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
Microsoft. Office 365. Протектионцентер/Аллентитиес/Аллпропертиес/Аллтаскс Управление всеми аспектами центров обеспечения безопасности и соответствия требованиям
Microsoft. Office 365. Поиск/содержимое/управление Создание и удаление содержимого и чтение и изменение всех свойств в Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Microsoft 365 центре безопасности и соответствия требованиям.
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
Microsoft. Office 365. sharePoint/Аллентитиес/Аллтаскс Создание и удаление всех ресурсов, а затем чтение и обновление стандартных свойств в SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.userCommunication/allEntities/allTasks Чтение и обновление видимости сообщений о новых возможностях
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
microsoft.powerApps/allEntities/allTasks Управление всеми аспектами Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Управление всеми аспектами Power BI
Microsoft. Windows. Дефендерадванцедсреатпротектион/Аллентитиес/Аллтаскс Управление всеми аспектами защитника Майкрософт для конечной точки

Глобальный читатель

Пользователи с этой ролью могут просматривать параметры и административные сведения в службах Microsoft 365, но не могут выполнять действия по управлению. Глобальный читатель является аналогом глобального администратора, предназначенным только для чтения. Назначьте глобальному считывателю, а не глобальному администратору планирование, аудит или расследование. Используйте роль "Глобальный читатель" в сочетании с другими ограниченными ролями администраторов, такими как администратор Exchange, для выполнения необходимых действий без использования роли "Глобальный администратор". Роль "Глобальный читатель" поддерживается в Центре администрирования Microsoft 365, Центре администрирования Exchange, Центре администрирования SharePoint, Центре администрирования Teams, Центре безопасности, Центре соответствия требованиям, Центре администрирования Azure AD и в Центре администрирования для управления устройствами.

Примечание

У роли глобального читателя в настоящее время есть несколько ограничений.

В настоящее время эти возможности находятся в процессе разработки.

Действия Описание
microsoft.directory/applications/applicationProxy/read Чтение свойств прокси-сервера приложения
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
Microsoft. Directory/Битлоккеркэйс/ключ/чтение Чтение метаданных и ключа BitLocker на устройствах
Microsoft. Directory/Connectors/Аллпропертиес/Read Чтение всех свойств соединителей прокси приложения
Microsoft. Directory/Коннекторграупс/Аллпропертиес/Read Чтение всех свойств групп соединителей прокси приложения
Microsoft. Directory/Ентитлементманажемент/Аллпропертиес/Read Чтение всех свойств в управлении назначениями Azure AD
Microsoft. Directory/ДевицеманажементполиЦиес/Standard/Read Чтение стандартных свойств в политиках приложений управления устройствами
Microsoft. Directory/Девицерегистратионполици/Standard/Read Чтение стандартных свойств в политиках регистрации устройств
microsoft.directory/groups/hiddenMembers/read Чтение скрытых членов группы
microsoft.directory/policies/standard/read Чтение основных свойств политик
microsoft.directory/policies/owners/read Чтение владельцев политик
Microsoft. Directory/Policies/policyAppliedTo/чтение Чтение свойства Policies. policyAppliedTo
Microsoft. Directory/КондитионалакцессполиЦиес/Standard/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Owners/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/policyAppliedTo/Read Чтение свойства Policies. Кондитионалакцесс
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/authentication/read Чтение свойств проверки подлинности в субъектах-службах
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.directory/users/strongAuthentication/read Чтение свойства строгой проверки подлинности для пользователей
microsoft.commerce.billing/allEntities/read Чтение всех ресурсов для выставления счетов на Office 365
Microsoft. Office 365. Exchange/Аллентитиес/Standard/Read Чтение всех ресурсов Exchange Online
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
microsoft.office365.messageCenter/securityMessages/read Чтение сообщений безопасности в центре сообщений в центре администрирования Microsoft 365
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
Microsoft. Office 365. Протектионцентер/Аллентитиес/Аллпропертиес/Read Чтение всех свойств в центрах безопасности и соответствия требованиям
microsoft.office365.securityComplianceCenter/allEntities/read Чтение стандартных свойств в центре безопасности и соответствия требованиям Microsoft 365
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор групп

Пользователи с этой ролью могут создавать группы и управлять ими, а также создавать параметры групп, такие как политики именования и срока действия, и управлять ими. Важно понимать, что при назначении пользователю этой роли он получит возможность управлять всеми группами в организации для различных рабочих нагрузок, таких как Teams, SharePoint и Yammer, в дополнение к Outlook. Пользователь также сможет управлять различными параметрами групп на различных порталах администрирования, таких как Центр администрирования Майкрософт и портал Azure, а также в центрах администрирования для определенных рабочих нагрузок, таких как центры администрирования Teams и SharePoint.

Действия Описание
Microsoft. Directory/Groups/Ассигнлиценсе Назначение лицензий на группы для группового лицензирования
microsoft.directory/groups/create Создание групп, за исключением назначаемых ролью групп
microsoft.directory/groups/delete Удаление групп, за исключением назначаемой ролью группы
microsoft.directory/groups/hiddenMembers/read Чтение скрытых членов группы
Microsoft. Directory/Groups/Репроцесслиценсеассигнмент Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/restore Восстановление удаленных групп
microsoft.directory/groups/basic/update Обновление основных свойств групп, за исключением назначаемых ролью групп
Microsoft. Directory, группы, классификация или обновление Обновление свойства классификации групп, за исключением назначаемых ролью групп
Microsoft. Directory/Groups/dynamicMembershipRule/обновление Обновление правила динамического членства в группах за исключением назначаемых ролью групп
Microsoft. Directory/Groups/groupType/обновление Обновление свойства groupType для группы
microsoft.directory/groups/members/update Обновление членов групп, за исключением назначаемых ролью групп
Microsoft. Directory/Groups/Онпремвритебакк/обновление Обновление групп Azure AD для обратной передачи в локальную среду
microsoft.directory/groups/owners/update Обновление владельцев групп, за исключением назначаемых ролью групп
microsoft.directory/groups/settings/update Обновить параметры групп
Microsoft. Directory, группы, видимость и обновление Обновление свойства видимости групп
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфорграуп. Микрософт-Алл-аппликатион-пермиссионс Предоставление службе используемой прямой доступ к данным группы
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Приглашающий гостей

пользователи с этой ролью могут управлять приглашениями пользователей-гостей Azure Active Directory B2B, если для параметра Участники могут приглашать задано значение "Нет". Дополнительные сведения о службе совместной работы Azure AD B2B см. в этой статье. В нее не входят какие-либо другие разрешения.

Действия Описание
microsoft.directory/users/inviteGuest Приглашение гостевых пользователей
Microsoft. Directory/Users/Standard/Read Чтение основных свойств пользователей
microsoft.directory/users/appRoleAssignments/read Чтение назначений ролей приложений для пользователей
microsoft.directory/users/directReports/read Чтение непосредственных подчиненных для пользователей
microsoft.directory/users/manager/read Диспетчер чтения пользователей
microsoft.directory/users/memberOf/read Чтение членства в группах пользователей
Microsoft. Directory/Users/oAuth2PermissionGrants/Read Чтение делегированных разрешений, предоставленных пользователям
microsoft.directory/users/ownedDevices/read Чтение собственных устройств пользователей
microsoft.directory/users/ownedObjects/read Чтение собственных объектов пользователей
microsoft.directory/users/registeredDevices/read Чтение зарегистрированных устройств пользователей

Администратор службы технической поддержки

пользователи с этой ролью могут изменять пароли, управлять запросами службы и отслеживать работоспособность службы. После аннулирования маркера обновления пользователь должен выполнить вход еще раз. Может ли администратор службы поддержки сбросить пароль пользователя и сделать маркеры обновления недействительными, зависит от роли, которой назначен пользователь. Список ролей, которые администратор службы технической поддержки может сбросить и сделать недействительными маркеры обновления, см. в разделе разрешения на сброс пароля.

Важно!

Пользователи с этой ролью могут изменять пароли для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам службы технической поддержки. По этому пути администратор службы технической поддержки сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы группы безопасности и группы Microsoft 365, которые могут управлять членством в группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Делегирование административных разрешений на подмножества пользователей и применение политик к подмножеству пользователей возможно благодаря административным единицам.

Эта роль ранее называлась "Администратор паролей" на портале Azure. Название роли "Администратор службы технической поддержки" в Azure AD теперь соответствует названию аналогичной роли в Azure AD PowerShell и API Microsoft Graph.

Действия Описание
Microsoft. Directory/Битлоккеркэйс/ключ/чтение Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем недействительности маркеров обновления пользователя
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор гибридных удостоверений

Пользователи с этой ролью могут создавать, администрировать и развертывать настройку конфигурации подготовки из AD в Azure AD с помощью подготовки облака, а также управлять параметрами Azure AD Connect и Федерации. Пользователи могут также устранять неполадки и отслеживать журналы с помощью этой роли.

Действия Описание
microsoft.directory/applications/create Создание приложений всех типов
microsoft.directory/applications/delete Удаление всех типов приложений
Microsoft. Directory/Applications/appRoles/Update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства аудитории для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление основных свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставленных разрешений и необходимых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/applications/synchronization/standard/read Чтение параметров подготовки к работе, связанных с объектом приложения
microsoft.directory/applicationTemplates/instantiate Создание экземпляров приложений из коллекции с применением шаблонов приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/cloudProvisioning/allProperties/allTasks Чтение и настройка всех свойств службы подготовки облачных решений Azure AD.
Microsoft. Directory/Domains/Аллпропертиес/Read Чтение всех свойств доменов
Microsoft. Directory/Domains/Federation/Update Обновление свойства Федерации доменов
microsoft.directory/organization/dirSync/update Обновление свойства синхронизации каталога Организации
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/create Создание субъектов-служб
microsoft.directory/servicePrincipals/delete Удаление субъектов-служб
microsoft.directory/servicePrincipals/disable Отключение субъектов-служб
microsoft.directory/servicePrincipals/enable Включение субъектов-служб
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Управление секретами и учетными данными подготовки приложений
microsoft.directory/servicePrincipals/synchronizationJobs/manage Запуск, перезапуск и приостановка заданий метка подготовки приложений
microsoft.directory/servicePrincipals/synchronizationSchema/manage Создание заданий и схемы метка подготовки приложений и управление ими
microsoft.directory/servicePrincipals/audience/update Обновление свойств аудитории для субъектов-служб
microsoft.directory/servicePrincipals/authentication/update Обновление свойств проверки подлинности в субъектах-службах
microsoft.directory/servicePrincipals/basic/update Обновление основных свойств субъектов-служб
microsoft.directory/servicePrincipals/credentials/update Обновление учетных данных субъектов-служб
microsoft.directory/servicePrincipals/owners/update Обновление владельцев субъектов-служб
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
microsoft.directory/servicePrincipals/policies/update Обновление политик субъектов-служб
microsoft.directory/servicePrincipals/tag/update Обновление свойства Tag для субъектов-служб
microsoft.directory/servicePrincipals/synchronization/standard/read Чтение параметров подготовки к работе, связанных с субъектом-службой
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор Insights

Пользователи с этой ролью могут получить доступ к полному набору административных возможностей в приложении M365 Insights. Эта роль имеет возможность чтения данных каталога, мониторинга работоспособности служб, запросов поддержки файлов и доступа к параметрам администратора Insights.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
Microsoft. Insights/Аллентитиес/Аллтаскс Управление всеми аспектами приложения Insights
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Руководитель предприятия Insights

Пользователи с этой ролью могут получать доступ к набору панелей мониторинга и аналитических данных с помощью приложения M365 Insights. Сюда входит полный доступ ко всем панелям мониторинга, а также предоставлены аналитические сведения и функции просмотра данных. Пользователи с этой ролью не имеют доступа к параметрам конфигурации продукта, которым отвечает роль администратора Insights.

Действия Описание
Microsoft. Insights/отчеты/чтение Просмотр отчетов и панели мониторинга в приложении Insights
Microsoft. Insights/Programs/Update Развертывание программ и управление ими в приложении Insights

Администратор Intune

пользователи с этой ролью имеют глобальные разрешения в Microsoft Intune Online (если служба используется). Кроме того, администраторы этой роли могут управлять пользователями и устройствами, чтобы связать политику, а также создавать группы и управлять ими. Дополнительные сведения см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Эта роль позволяет создавать все группы безопасности и управлять ими. Однако у администратора Intune нет прав администратора для групп Office. Это значит, что администратор не может изменять владельцев или членство групп Office в организации. Однако он может управлять созданной им группой Office, которая входит в состав его прав конечного пользователя. Таким образом, любая созданная им группа Office (не группа безопасности) должна включаться в квоту, размер которой составляет 250 групп.

Примечание

В Microsoft Graph API и Azure AD PowerShell эта роль определяется как "Администратор службы Intune". На портале Azure она называется "Администратор Intune".

Действия Описание
Microsoft. Directory/Битлоккеркэйс/ключ/чтение Чтение метаданных и ключа BitLocker на устройствах
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удалить контакты
microsoft.directory/contacts/basic/update Обновление основных свойств контактов
microsoft.directory/devices/create Создание устройств (регистрация в Azure AD)
microsoft.directory/devices/delete Удаление устройств из Azure AD
microsoft.directory/devices/disable Отключение устройств в Azure AD
microsoft.directory/devices/enable Включение устройств в Azure AD
microsoft.directory/devices/basic/update Обновление основных свойств на устройствах
Microsoft. Directory/Devices/атрибутов ExtensionAttribute/Update Обновить все значения для свойства Devices. атрибутов ExtensionAttribute
microsoft.directory/devices/registeredOwners/update Обновление зарегистрированных владельцев устройств
microsoft.directory/devices/registeredUsers/update Обновление зарегистрированных пользователей устройств
Microsoft. Directory/ДевицеманажементполиЦиес/Standard/Read Чтение стандартных свойств в политиках приложений управления устройствами
Microsoft. Directory/Девицерегистратионполици/Standard/Read Чтение стандартных свойств в политиках регистрации устройств
microsoft.directory/groups/hiddenMembers/read Чтение скрытых членов группы
Microsoft. Directory/Groups. Безопасность/создать Создание групп безопасности с исключением назначаемых ролями групп
Microsoft. каталог/группы. Безопасность/удаление Удаление групп безопасности с исключением назначаемых ролью групп
Microsoft. каталог/группы. Безопасность/базовый/обновление Обновление основных свойств групп безопасности с исключением групп, назначаемых ролью
Microsoft. Directory/Groups. Безопасность/классификация/обновление Обновление свойства классификации групп безопасности с исключением групп, назначаемых ролью
Microsoft. Directory/Groups. Security/dynamicMembershipRule/Update Обновление свойства dynamicMembershipRule групп безопасности с исключением групп, назначаемых ролью
Microsoft. Directory/Groups. безопасность, участники и обновление Обновление членов групп безопасности с исключением групп, назначаемых ролью
Microsoft. Directory/Groups. Security/Owners/Update Обновление владельцев групп безопасности с исключением групп, назначаемых ролью
Microsoft. Directory/Groups. безопасность, видимость и обновление Обновление свойства видимости групп безопасности с исключением групп, назначаемых ролью
microsoft.directory/users/basic/update Обновление основных свойств пользователей
microsoft.directory/users/manager/update Диспетчер обновлений для пользователей
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.intune/allEntities/allTasks Управление всеми аспектами Microsoft Intune
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор Kaizala

Пользователи с этой ролью имеют глобальные разрешения на управление параметрами в Microsoft Kaizala при наличии этой службы, а также возможность управления запросами в службу поддержки и мониторинга работоспособности службы. Кроме того, пользователю доступны отчеты об установке и использовании Kaizala членами организации, а также бизнес-отчеты, создаваемые по действиям Kaizala.

Действия Описание
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор базы знаний

Пользователи с этой ролью имеют полный доступ ко всем настройкам знаний, Learning и Intelligent Features в центре администрирования Microsoft 365. Они имеют общее представление о наборе продуктов, сведения о лицензировании и отвечают за управление доступом. Администратор базы знаний может создавать и администрировать содержимое, например разделы, акронимы и учебные материалы. Кроме того, эти пользователи могут создавать центры содержимого, отслеживать работоспособность служб и создавать запросы на обслуживание.

Действия Описание
Microsoft. Directory/Groups. Безопасность/создать Создание групп безопасности с исключением назначаемых ролями групп
Microsoft. Directory/Groups. Security/Креатеасовнер Создание групп безопасности с исключением назначаемых ролями групп и создателей, добавленных в качестве первого владельца
Microsoft. каталог/группы. Безопасность/удаление Удаление групп безопасности с исключением назначаемых ролью групп
Microsoft. каталог/группы. Безопасность/базовый/обновление Обновление основных свойств групп безопасности с исключением групп, назначаемых ролью
Microsoft. Directory/Groups. безопасность, участники и обновление Обновление членов групп безопасности с исключением групп, назначаемых ролью
Microsoft. Directory/Groups. Security/Owners/Update Обновление владельцев групп безопасности с исключением групп, назначаемых ролью
Microsoft. Office 365. Knowledge/Контентундерстандинг/Аллпропертиес/Аллтаскс Чтение и обновление всех свойств содержимого в центре администрирования Microsoft 365
Microsoft. Office 365. Knowledge/Кновледженетворк/Аллпропертиес/Аллтаскс Чтение и обновление всех свойств сети знаний в Microsoft 365 центре администрирования
Microsoft. Office 365. Протектионцентер/Сенситивитилабелс/Аллпропертиес/Read Прочтите метки чувствительности в центрах безопасности и соответствия требованиям
Microsoft. Office 365. sharePoint/Аллентитиес/Аллтаскс Создание и удаление всех ресурсов, а затем чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор лицензий

пользователи с этой ролью могут добавлять, удалять и изменять назначенные лицензии для пользователей и групп (с использованием группового лицензирования), а также управлять расположением использования для пользователей. Роль не предоставляет возможности управления подписками или их приобретения, создания групп или управления ими, или создания и управления пользователями за пределами расположения использования. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
Microsoft. Directory/Groups/Ассигнлиценсе Назначение лицензий на группы для группового лицензирования
Microsoft. Directory/Groups/Репроцесслиценсеассигнмент Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/users/assignLicense Управление лицензиями пользователей
Microsoft. Directory/Users/Репроцесслиценсеассигнмент Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/usageLocation/update Обновить место использования пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Читатель конфиденциальности данных Центра сообщений

Пользователи с этой ролью могут отслеживать все уведомления в Центре сообщений, включая сообщения о конфиденциальности данных. Читатели конфиденциальных данных Центра сообщений получают уведомления по электронной почте, в том числе относящиеся к конфиденциальности данных, и могут отменить подписку в его настройках. Чтение сообщений о конфиденциальности доступно только глобальным администраторам и читателям конфиденциальности данных Центра сообщений. Кроме того, эта роль включает возможность просмотра групп, доменов и подписок. Она не дает разрешения на просмотр, создание и обработку запросов на обслуживание.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
microsoft.office365.messageCenter/securityMessages/read Чтение сообщений безопасности в центре сообщений в центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Читатель Центра сообщений

Пользователи с этой ролью могут отслеживать уведомления и обновления работоспособности рекомендаций в центре сообщений для своей организации по настроенным службам, таким как Exchange, Intune и Microsoft Teams. Читатели центра сообщений получают еженедельные дайджесты сообщений электронной почты, обновления и могут обмениваться сообщениями центра сообщений в Microsoft 365. В Azure AD у пользователей с этой ролью будет только доступ на чтение данных в службах Azure AD, например данных пользователей и групп. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Пользователь современной коммерческой платформы

Не используйте. Эта роль автоматически назначается коммерческой платформой и не предназначена для любого другого использования. Этот процесс описан ниже.

Роль пользователя современного Commerce предоставляет определенным пользователям разрешение на доступ к Microsoft 365 центру администрирования, а также сведения о домашних, выставлении счетов и поддержке в левой области навигации. Содержимое, доступное в этих областях, контролируется ролями коммерческой платформы, назначенными пользователям для управления продуктами, которые они приобрели для себя или для организации. Это могут быть такие задачи, как оплата счетов или доступ к учетным записям и профилям выставления счетов.

Пользователи с ролью современного пользователя Live Commerce обычно имеют административные разрешения в других системах покупки Майкрософт, но не имеют ролей глобального администратора или администратора выставления счетов, используемых для доступа к центру администрирования.

Когда назначена современная роль пользователя "коммерческий Commerce"?

  • Самостоятельная покупка в Центре администрирования Microsoft 365 — самостоятельная покупка дает пользователям возможность опробовать новые продукты, самостоятельно купив их или зарегистрировавшись в них. Управление этими продуктами осуществляется в центре администрирования. Пользователям, которые выполняют самостоятельную покупку, назначается роль в системе торговли, а также современная роль пользователя Commerce для управления покупками в центре администрирования. Администраторы могут блокировать самостоятельную покупку (для Power BI, Power Apps, Power Automate) с помощью PowerShell. Дополнительные сведения см. на странице Вопросы и ответы по самостоятельной покупке.
  • Покупки в коммерческом магазине Майкрософт — как при самостоятельном приобретении, когда пользователь покупает продукт или услугу Microsoft AppSource или Azure Marketplace, роль пользователя современной Commerce назначается, если у них нет роли глобального администратора или администратора выставления счетов. В некоторых случаях пользователям может запрещаться совершать эти покупки. Дополнительные сведения см. в статье Коммерческая платформа Майкрософт.
  • Предложения от корпорации Майкрософт — это официальное предложение от корпорации Майкрософт для приобретения продуктов и служб Майкрософт. Когда лицо, принимающее предложение, не имеет роли глобального администратора или администратора выставления счетов в Azure AD, им назначаются как роль для коммерческого выполнения предложения, так и роль пользователя современного Commerce для доступа к центру администрирования. При доступе к центру администрирования он может использовать только те функции, которые разрешены его коммерческой ролью.
  • Коммерческие роли — некоторым пользователям назначаются коммерческие роли. Если пользователь не является администратором глобальной группы или администратора выставления счетов, он получает роль пользователя современной коммерческой коммерции, чтобы они могли получить доступ к центру администрирования.

Если роль пользователя современной коммерческой коммерции не назначена пользователю, она теряет доступ к Microsoft 365 центре администрирования. Если он управлял любыми продуктами для самостоятельного использования или для организации, то больше не сможет управлять ими. Это относится в том числе к назначению лицензий, изменению методов оплаты, оплате счетов и другим задачам управления подписками.

Действия Описание
microsoft.commerce.billing/partners/read Чтение свойства партнера по Microsoft 365 выставлению счетов
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Управление всеми аспектами центра поддержки корпоративных лицензий
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/basic/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор сети

Пользователи с этой ролью могут просматривать рекомендации по архитектуре периметра сети от Майкрософт, основанные на телеметрии сети, получаемой из расположений пользователей. Производительность сети для Microsoft 365 зависит от тщательной архитектуры периметра сети клиентов предприятия, которая обычно зависит от местонахождения пользователя. Эта роль позволяет изменять обнаруженные расположения пользователей и настраивать сетевые параметры для этих расположений, чтобы упростить измерения телеметрии и рекомендации по проектированию.

Действия Описание
microsoft.office365.network/locations/allProperties/allTasks Управление всеми аспектами сетевых расположений
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор приложений Office

Пользователи с этой ролью могут управлять облачными параметрами Microsoft 365 приложений. Сюда входит управление облачными политиками, самостоятельное управление скачиванием и возможность просмотра отчета по приложениям Office. Эта роль также позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб в главном центре администрирования. Пользователи, которым назначена эта роль, могут также управлять взаимодействием новых функций в приложениях Office.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.userCommunication/allEntities/allTasks Чтение и обновление видимости сообщений о новых возможностях
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Служба поддержка партнеров уровня 1

Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

Важно!

Эта роль может сбрасывать пароли и проверять маркеры обновления только для пользователей, не являющихся администраторами. Эту роль не следует использовать, так как она устарела и больше не будет возвращаться в API.

Действия Описание
Microsoft. Directory/Applications/appRoles/Update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства аудитории для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление основных свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставленных разрешений и необходимых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удалить контакты
microsoft.directory/contacts/basic/update Обновление основных свойств контактов
microsoft.directory/groups/create Создание групп, за исключением назначаемых ролью групп
microsoft.directory/groups/delete Удаление групп, за исключением назначаемой ролью группы
microsoft.directory/groups/restore Восстановление удаленных групп
microsoft.directory/groups/members/update Обновление членов групп, за исключением назначаемых ролью групп
microsoft.directory/groups/owners/update Обновление владельцев групп, за исключением назначаемых ролью групп
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление разрешений OAuth 2,0, а затем чтение и обновление всех свойств.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
microsoft.directory/users/delete Удаление пользователей
Microsoft. Directory/пользователи/отключить Отключить пользователей
Microsoft. Directory/пользователи/включить Разрешить пользователям
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем недействительности маркеров обновления пользователя
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление основных свойств пользователей
microsoft.directory/users/manager/update Диспетчер обновлений для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Служба поддержка партнеров уровня 2

Не используйте. Она больше не поддерживается и будет удалена из Azure AD в будущем. Эта роль использовалась небольшим числом торговых представителей корпорации Майкрософт и не предназначена для общего использования.

Важно!

Эта роль может сбрасывать пароли и делать токены обновления недействительными для всех пользователей, не являющихся администраторами и администраторами (включая глобальных администраторов). Эту роль не следует использовать, так как она устарела и больше не будет возвращаться в API.

Действия Описание
Microsoft. Directory/Applications/appRoles/Update Обновление свойства appRoles для всех типов приложений
microsoft.directory/applications/audience/update Обновление свойства аудитории для приложений
microsoft.directory/applications/authentication/update Обновление проверки подлинности для всех типов приложений
microsoft.directory/applications/basic/update Обновление основных свойств приложений
microsoft.directory/applications/credentials/update Обновление учетных данных приложения
microsoft.directory/applications/owners/update Обновление владельцев приложений
microsoft.directory/applications/permissions/update Обновление предоставленных разрешений и необходимых разрешений для всех типов приложений
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удалить контакты
microsoft.directory/contacts/basic/update Обновление основных свойств контактов
Microsoft. Directory/Domains/Basic/Аллтаскс Создание и удаление доменов, чтение и обновление стандартных свойств
microsoft.directory/groups/create Создание групп, за исключением назначаемых ролью групп
microsoft.directory/groups/delete Удаление групп, за исключением назначаемой ролью группы
microsoft.directory/groups/restore Восстановление удаленных групп
microsoft.directory/groups/members/update Обновление членов групп, за исключением назначаемых ролью групп
microsoft.directory/groups/owners/update Обновление владельцев групп, за исключением назначаемых ролью групп
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление разрешений OAuth 2,0, а затем чтение и обновление всех свойств.
microsoft.directory/organization/basic/update Обновить основные свойства в Организации
microsoft.directory/roleAssignments/allProperties/allTasks Создание и удаление назначений ролей, а затем чтение и обновление всех свойств назначения ролей
microsoft.directory/roleDefinitions/allProperties/allTasks Создание и удаление определений ролей, а затем чтение и изменение всех свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Создание и удаление Скопедролемембершипс и чтение и изменение всех свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
Microsoft. Directory/Субскрибедскус/Standard/Read Чтение основных свойств подписок
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
microsoft.directory/users/delete Удаление пользователей
Microsoft. Directory/пользователи/отключить Отключить пользователей
Microsoft. Directory/пользователи/включить Разрешить пользователям
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем недействительности маркеров обновления пользователя
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление основных свойств пользователей
microsoft.directory/users/manager/update Диспетчер обновлений для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

администратора паролей.

Пользователи с этой ролью имеют ограниченные возможности управления паролями. Эта роль не позволяет управлять запросами на обслуживание или отслеживать работоспособность служб. Может ли администратор паролей сбрасывать пароль пользователя, зависит от роли, которой назначен пользователь. Список ролей, для которых администратор паролей может сбрасывать пароли, см. в разделе разрешения на сброс пароля.

Действия Описание
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор Power BI

пользователи с этой ролью имеют глобальные разрешения в Microsoft Power BI (если служба используется), а также возможность управлять запросами в службу поддержки и отслеживать работоспособность службы. Дополнительные сведения см. в статье Основные сведения о роли администратора Power BI.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Power BI". На портале Azure она называется "Администратор Power BI".

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Управление всеми аспектами Power BI

Администратор Power Platform

Пользователи с этой ролью могут создавать все аспекты сред, PowerApps, потоков и политик предотвращения потери данных и управлять ими. Кроме того, пользователи с этой ролью могут управлять запросами в службу поддержки и отслеживать работоспособность службы.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.dynamics365/allEntities/allTasks Управление всеми аспектами Dynamics 365
microsoft.flow/allEntities/allTasks Управление всеми аспектами Microsoft Power автоматизиру
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
microsoft.powerApps/allEntities/allTasks Управление всеми аспектами Power Apps

Администратор принтеров

Пользователи с этой ролью могут регистрировать принтеры и управлять всеми аспектами конфигурации всех принтеров в решении универсальной печати Майкрософт, в том числе параметрами соединителя универсальной печати. Они могут предоставлять согласие на все запросы делегирования разрешений на печать. Администраторы принтеров также имеют доступ к отчетам о печати.

Действия Описание
microsoft.azure.print/allEntities/allProperties/allTasks Создание и удаление принтеров и соединителей, а затем чтение и обновление всех свойств в Microsoft Print

Технический специалист по принтерам

Пользователи с этой ролью могут регистрировать принтеры и управлять состоянием принтера в решении универсальной печати Майкрософт. Им также доступно чтение всей информации о соединителях. Техническому специалисту по принтерам недоступны такие задачи, как предоставление пользователям разрешений и общего доступа к принтерам.

Действия Описание
microsoft.azure.print/connectors/allProperties/read Чтение всех свойств соединителей в Microsoft Print
microsoft.azure.print/printers/allProperties/read Чтение всех свойств принтеров в Microsoft Print
microsoft.azure.print/printers/register Регистрация принтеров в Microsoft Print
microsoft.azure.print/printers/unregister Отмена регистрации принтеров в Microsoft Print
microsoft.azure.print/printers/basic/update Обновление основных свойств принтеров в Microsoft Print

Привилегированный администратор проверки подлинности

Пользователи с этой ролью могут устанавливать или сбрасывать любой способ проверки подлинности (включая пароли) для любого пользователя, включая глобальных администраторов. Привилегированные администраторы проверки подлинности могут включать принудительную повторную регистрацию пользователей с использованием существующих учетных данных без использования пароля (например, MFA или FIDO) и отзывать параметр, позволяющий запомнить данные MFA на устройстве, из-за чего при следующем входе в систему будет отображаться запрос на прохождение MFA для всех пользователей.

Роль администратора проверки подлинности имеет разрешение на принудительную повторную регистрацию и многофакторную проверку подлинности для обычных пользователей и пользователей с некоторыми ролями администратора.

Роль администратора политики проверки подлинности имеет разрешения на установку политики метода проверки подлинности клиента, определяющей, какие методы могут регистрироваться и использоваться каждым пользователем.

Роль Управление методами проверки подлинности пользователя Управление MFA для каждого пользователя Управление параметрами MFA Управление политикой метода проверки подлинности Управление политикой защиты паролей
Администратор проверки подлинности Да для некоторых пользователей (см. выше) Да для некоторых пользователей (см. выше) Нет Нет Нет
Привилегированный администратор проверки подлинности Да для всех пользователей Да для всех пользователей Нет Нет Нет
Администратор политики проверки подлинности Нет Нет Да Да Да

Важно!

Пользователи с этой ролью могут изменять учетные данные для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение учетных данных пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам проверки подлинности. По этому пути администратор проверки подлинности может предположить идентификатор владельца приложения, а затем допустить удостоверение привилегированного приложения, обновив учетные данные для приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы группы безопасности и группы Microsoft 365, которые могут управлять членством в группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.

Важно!

В настоящее время эта роль не может управлять многопользовательским MFA на портале управления MFA прежних версий. Те же функции можно выполнить с помощью модуля Azure AD PowerShell Set-MsolUser командлет.

Действия Описание
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем недействительности маркеров обновления пользователя
microsoft.directory/users/strongAuthentication/update Обновление свойства строгой проверки подлинности для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор привилегированных ролей

пользователи с этой ролью могут управлять назначениями ролей в Azure Active Directory и Azure AD Privileged Identity Management. Они могут создавать группы, которые можно назначать ролям Azure AD, и управлять ими. Кроме того, эта роль позволяет управлять всеми аспектами управления привилегированными удостоверениями и административными единицами.

Важно!

Эта роль предоставляет возможность управлять членством во всех ролях Azure AD, включая роль глобального администратора. Эта роль не включает в себя какие-либо другие привилегированные возможности Azure AD, например создание или обновление пользователей. Тем не менее пользователи, которым назначена эта роль, могут предоставить себе или другим пользователям дополнительные привилегии, назначив дополнительные роли.

Действия Описание
microsoft.directory/administrativeUnits/allProperties/allTasks Создание административных единиц и управление ими (включая члены)
microsoft.directory/appRoleAssignments/allProperties/allTasks Создание и удаление appRoleAssignments и чтение и изменение всех свойств
Microsoft. Directory/authorizationPolicy/Аллпропертиес/Аллтаскс Управление всеми аспектами политик авторизации
microsoft.directory/directoryRoles/allProperties/allTasks Создание и удаление ролей каталога, чтение и изменение всех свойств
Microsoft. Directory/Граупсассигнаблеторолес/создать Создание групп с назначением ролей
Microsoft. Directory/Граупсассигнаблеторолес/удаление Удаление назначаемых в роли групп
Microsoft. Directory/Граупсассигнаблеторолес/Restore Восстановление назначаемых групп ролей
Microsoft. Directory/Граупсассигнаблеторолес/Аллпропертиес/Update Обновление назначаемых групп ролей
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление разрешений OAuth 2,0, а затем чтение и обновление всех свойств.
Microsoft. Directory/Привилежедидентитиманажемент/Аллпропертиес/Аллтаскс Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в управление привилегированными пользователями
microsoft.directory/roleAssignments/allProperties/allTasks Создание и удаление назначений ролей, а затем чтение и обновление всех свойств назначения ролей
microsoft.directory/roleDefinitions/allProperties/allTasks Создание и удаление определений ролей, а затем чтение и изменение всех свойств
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Создание и удаление Скопедролемембершипс и чтение и изменение всех свойств
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
microsoft.directory/servicePrincipals/permissions/update Обновление разрешений субъектов-служб
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфоралл. Микрософт-компани-админ Предоставление согласия для любого разрешения на любое приложение
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Читатель отчетов

Пользователи с этой ролью могут просматривать данные отчетов об использовании и панель мониторинга отчетов в центре администрирования Microsoft 365, а также пакет контекста внедрения в Power BI. Кроме того, эта роль предоставляет доступ к отчетам о входе, сведениям о действиях в Azure AD и данным от API отчетов Microsoft Graph. Пользователь с ролью "Читатель отчетов" имеет доступ только к релевантным метрикам использования и внедрения. Он не приобретает полномочия администратора по настройке или использованию центров администрирования отдельных продуктов (например, Excahange). Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор поиска

Пользователи с этой ролью имеют полный доступ ко всем функциям управления поиска (Майкрософт) в Центре администрирования Microsoft 365. Кроме того, эти пользователи могут просматривать Центр сообщений, отслеживать работоспособность служб и создавать запросы на обслуживание.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
Microsoft. Office 365. Поиск/содержимое/управление Создание и удаление содержимого и чтение и изменение всех свойств в Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Редактор поиска

Пользователи с этой ролью могут создавать, изменять и удалять содержимое поиска (Майкрософт) в Центре администрирования Microsoft 365, включая закладки, расположения или вопросы и ответы.

Действия Описание
microsoft.office365.messageCenter/messages/read Чтение сообщений в центре сообщений в центре администрирования Microsoft 365, за исключением сообщений безопасности
Microsoft. Office 365. Поиск/содержимое/управление Создание и удаление содержимого и чтение и изменение всех свойств в Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор безопасности

Пользователи с этой ролью обладают разрешениями на управление функциями, связанными с безопасностью, в Центре безопасности Microsoft 365, службе "Защита идентификации Azure Active Directory", службе проверки подлинности Azure Active Directory, Azure Information Protection и Центре безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях Office 365 можно найти в статье разрешения в центре безопасности & соответствия требованиям.

В Может
Центр безопасности Microsoft 365 Отслеживает политики, связанные с безопасностью во всех службах Microsoft 365.
Управляет угрозами безопасности и оповещениями.
Просмотр отчетов
Центр защиты идентификации Все разрешения роли читателя сведений о безопасности.
А также возможность выполнять все операции центра защиты идентификации, кроме сброса паролей.
Управление привилегированными пользователями Все разрешения роли читателя сведений о безопасности.
Не может управлять членством в роли или параметрами ролей Azure AD.
Центр безопасности и соответствия требованиям Office 365 Управление политиками безопасности.
Просмотр, исследование и реагирование на угрозы безопасности.
Просмотр отчетов
Расширенная защита от угроз Azure Мониторинг и реагирование на подозрительные безопасные действия.
EDR и ATP в Защитнике Windows Назначение ролей
Управление группами компьютеров
Настройка выявления угроз в конечной точке и автоматизированном исправлении.
Просмотр, исследование и реагирование на оповещения.
Intune Просмотр пользователя, устройства, соглашения о регистрации, конфигурации и сведений о приложении.
Не может вносить изменения в Intune.
Cloud App Security Добавление администраторов, политики и параметров, загрузка журналов и выполнение действия системы управления.
Центр безопасности Azure Может просматривать политики и состояния безопасности, изменять политики безопасности, просматривать оповещения и рекомендации, а также закрывать предупреждения и рекомендации.
Работоспособность службы Microsoft 365 Просмотр работоспособности служб Microsoft 365
Смарт-блокировка Укажите пороговое значение и длительность блокировки при событиях неудачного входа.
Защита паролем Настройте пользовательский список запрещенных паролей или локальную защиту паролем.
Действия Описание
microsoft.directory/applications/policies/update Обновление политик приложений
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
Microsoft. Directory/Битлоккеркэйс/ключ/чтение Чтение метаданных и ключа BitLocker на устройствах
Microsoft. Directory/Ентитлементманажемент/Аллпропертиес/Read Чтение всех свойств в управлении назначениями Azure AD
Microsoft. Directory/Идентитипротектион/Аллпропертиес/Read Чтение всех ресурсов в защита идентификации Azure AD
Microsoft. Directory/Идентитипротектион/Аллпропертиес/Update Обновить все ресурсы в защита идентификации Azure AD
microsoft.directory/policies/create Создание политик в Azure AD
microsoft.directory/policies/delete Удаление политик в Azure AD
microsoft.directory/policies/basic/update Обновление основных свойств политик
microsoft.directory/policies/owners/update Обновление владельцев политик
microsoft.directory/policies/tenantDefault/update Обновление политик организации по умолчанию
Microsoft. Directory/КондитионалакцессполиЦиес/создать Создание политик условного доступа
Microsoft. Directory/КондитионалакцессполиЦиес/удаление Удаление политик условного доступа
Microsoft. Directory/КондитионалакцессполиЦиес/Standard/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Owners/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/policyAppliedTo/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Basic/Update Обновление основных свойств политик условного доступа
Microsoft. Directory/КондитионалакцессполиЦиес/Owners/Update Обновление свойств Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Тенантдефаулт/Update Обновление свойств Policies. Кондитионалакцесс
Microsoft. Directory/Привилежедидентитиманажемент/Аллпропертиес/Read Чтение всех ресурсов в управление привилегированными пользователями
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/servicePrincipals/policies/update Обновление политик субъектов-служб
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
Microsoft. Office 365. Протектионцентер/Аллентитиес/Standard/Read Чтение стандартных свойств всех ресурсов в центрах безопасности и соответствия требованиям
Microsoft. Office 365. Протектионцентер/Аллентитиес/Basic/Update Обновление основных свойств всех ресурсов в центрах безопасности и соответствия требованиям
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/полезная нагрузка/Аллпропертиес/Аллтаскс Создание полезных данных атак и управление ими в симуляторе атак
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/Reports/Аллпропертиес/Read Ознакомьтесь с отчетами о моделировании атак, ответах и связанных учебных курсах
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/моделирование/Аллпропертиес/Аллтаскс Создание шаблонов моделирования атак и управление ими в симуляторе атак
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Оператор безопасности

Пользователи с этой ролью могут управлять оповещениями и имеют глобальный доступ только для чтения к функциям, связанным с безопасностью, включая всю информацию в Центре безопасности Microsoft 365, Azure Active Directory, службе "Защита идентификации", Privileged Identity Management и Центре безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях Office 365 можно найти в статье разрешения в центре безопасности & соответствия требованиям.

В Может
Центр безопасности Microsoft 365 Все разрешения роли читателя сведений о безопасности.
Просмотр, исследование и реагирование на оповещения об угрозах безопасности.
Защита идентификации Azure AD Все разрешения роли читателя сведений о безопасности.
Кроме того, возможность выполнять все операции центра защиты идентификации, за исключением сброса паролей и настройки оповещений.
Управление привилегированными пользователями Все разрешения роли читателя сведений о безопасности.
Центр безопасности и соответствия требованиям Office 365 Все разрешения роли читателя сведений о безопасности.
Просмотр, исследование и реагирование на оповещения системы безопасности.
EDR и ATP в Защитнике Windows Все разрешения роли читателя сведений о безопасности.
Просмотр, исследование и реагирование на оповещения системы безопасности.
Intune Все разрешения роли читателя сведений о безопасности.
Cloud App Security Все разрешения роли читателя сведений о безопасности.
Работоспособность службы Microsoft 365 Просмотр работоспособности служб Microsoft 365
Действия Описание
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
Microsoft. Directory/Клаудаппсекурити/Аллпропертиес/Аллтаскс Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в Microsoft Cloud App Security
Microsoft. Directory/Идентитипротектион/Аллпропертиес/Аллтаскс Создание и удаление всех ресурсов и чтение и обновление стандартных свойств в защита идентификации Azure AD
Microsoft. Directory/Привилежедидентитиманажемент/Аллпропертиес/Read Чтение всех ресурсов в управление привилегированными пользователями
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
Microsoft. Azure. Адванцедсреатпротектион/Аллентитиес/Аллтаскс Управление всеми аспектами Azure Advanced Threat protection
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
Microsoft. Intune/Аллентитиес/чтение Чтение всех ресурсов в Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Создание и удаление всех ресурсов, а также чтение и обновление стандартных свойств в Microsoft 365 центре безопасности и соответствия требованиям.
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
Microsoft. Windows. Дефендерадванцедсреатпротектион/Аллентитиес/Аллтаскс Управление всеми аспектами защитника Майкрософт для конечной точки

Читатель сведений о безопасности

Пользователи с этой ролью имеют глобальный доступ только для чтения для функций, связанных с безопасностью, включая все данные в Центре безопасности Microsoft 365, Azure Active Directory, Защите идентификации и Privileged Identity Management, а также могут просматривать отчеты и журналы аудита входа в Azure Active Directory и Центр безопасности и соответствия требованиям Office 365. Дополнительные сведения о разрешениях Office 365 можно найти в статье разрешения в центре безопасности & соответствия требованиям.

В Может
Центр безопасности Microsoft 365 Просмотр политик связанных с безопасностью во всех службах Microsoft 365.
Просмотр угроз безопасности и оповещений.
Просмотр отчетов
Центр защиты идентификации Чтение всех отчетов о безопасности и сведений о параметрах функций безопасности
  • Защита от нежелательной почты
  • Шифрование
  • Защита от потери данных
  • Защита от вредоносных программ
  • Дополнительная защита от угроз
  • Защита от фишинга
  • Правила потока почты
Управление привилегированными пользователями Имеет доступ только для чтения ко всем сведениям, отображаемым в Azure AD Privileged Identity Management: политикам и отчетам по назначению ролей Azure AD и проверке безопасности.
Не может регистрироваться в службе Azure AD Privileged Identity Management или вносить в нее какие-либо изменения. На портале управление привилегированными пользователями или с помощью PowerShell кто-то из этой роли может активировать дополнительные роли (например, администратора глобального администратора или привилегированной роли), если он подходит для них.
Центр безопасности и соответствия требованиям Office 365 Просмотр политик безопасности
Просмотр и анализ угроз безопасности.
Просмотр отчетов
EDR и ATP в Защитнике Windows Просмотр и анализ оповещений. При включении управления доступом на основе ролей в ATP в Защитнике Windows пользователи с разрешениями только для чтения, такими как роль читателя сведений о безопасности Azure AD, теряют доступ до тех пор, пока им не будет назначена роль ATP в Защитнике Windows.
Intune Просмотр пользователя, устройства, соглашения о регистрации, настроек и сведений о приложении. Не может вносить изменения в Intune.
Cloud App Security Обладает разрешением только для чтения и может управлять оповещениями.
Центр безопасности Azure Может просматривать оповещения и рекомендации, просматривать политики и состояния безопасности, но не может вносить изменения.
Работоспособность службы Microsoft 365 Просмотр работоспособности служб Microsoft 365
Действия Описание
microsoft.directory/auditLogs/allProperties/read Чтение всех свойств журналов аудита, включая привилегированные свойства
Microsoft. Directory/Битлоккеркэйс/ключ/чтение Чтение метаданных и ключа BitLocker на устройствах
Microsoft. Directory/Ентитлементманажемент/Аллпропертиес/Read Чтение всех свойств в управлении назначениями Azure AD
Microsoft. Directory/Идентитипротектион/Аллпропертиес/Read Чтение всех ресурсов в защита идентификации Azure AD
microsoft.directory/policies/standard/read Чтение основных свойств политик
microsoft.directory/policies/owners/read Чтение владельцев политик
Microsoft. Directory/Policies/policyAppliedTo/чтение Чтение свойства Policies. policyAppliedTo
Microsoft. Directory/КондитионалакцессполиЦиес/Standard/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/Owners/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/КондитионалакцессполиЦиес/policyAppliedTo/Read Чтение свойства Policies. Кондитионалакцесс
Microsoft. Directory/Привилежедидентитиманажемент/Аллпропертиес/Read Чтение всех ресурсов в управление привилегированными пользователями
microsoft.directory/provisioningLogs/allProperties/read Чтение всех свойств журналов подготовки к работе.
microsoft.directory/signInReports/allProperties/read Чтение всех свойств отчетов о входе, включая привилегированные свойства
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
Microsoft. Office 365. Протектионцентер/Аллентитиес/Standard/Read Чтение стандартных свойств всех ресурсов в центрах безопасности и соответствия требованиям
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/полезная нагрузка/Аллпропертиес/чтение Чтение всех свойств полезных данных для атак в симуляторе атак
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/Reports/Аллпропертиес/Read Ознакомьтесь с отчетами о моделировании атак, ответах и связанных учебных курсах
Microsoft. Office 365. Протектионцентер/Аттакксимулатор/моделирование/Аллпропертиес/чтение Чтение всех свойств шаблонов имитации атак в симуляторе атак
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор службы поддержки

Пользователи с этой ролью могут открывать запросы в службу поддержки Майкрософт для Azure и Microsoft 365 Services, а также просматривать панель мониторинга службы и центр сообщений в центре администрирования портал Azure и Microsoft 365. Дополнительные сведения см. в статье Роли администраторов.

Примечание

Ранее эта роль называлась "Администратор служб" на портале Azure и в Центре администрирования Microsoft 365. Она была переименована в "Администратор поддержки служб" в соответствии с существующим названием в API Microsoft Graph, API Graph для Azure AD и Azure AD PowerShell.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор SharePoint

Пользователи с этой ролью имеют глобальные разрешения в Microsoft SharePoint Online, при наличии службы, а также возможность создания всех групп Microsoft 365 и управления ими, управления запросами в службу поддержки и мониторинга работоспособности служб. Дополнительные сведения см. в статье Роли администраторов.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы SharePoint". На портале Azure она называется "Администратор SharePoint".

Примечание

Эта роль также предоставляет доступ к Microsoft Graph API для Microsoft Intune, что позволяет управлять политиками, связанными с ресурсами SharePoint и OneDrive, и настраивать их.

Действия Описание
Microsoft. каталог/группы. Unified/CREATE Создание групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. унифицированная или удаленная Удаление групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Restore Восстановление групп Microsoft 365
Microsoft. каталог/группы. Unified/Basic/Update Обновление основных свойств групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Members/Update Обновление членов групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Owners/Update Обновление владельцев групп Microsoft 365 с исключением групп, назначаемых ролью
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
Microsoft. Office 365. sharePoint/Аллентитиес/Аллтаскс Создание и удаление всех ресурсов, а затем чтение и обновление стандартных свойств в SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор Skype для бизнеса

у пользователей с этой ролью есть глобальные разрешения в Microsoft Skype для бизнеса при наличии этой службы, а также возможность управлять определенными атрибутами пользователя Skype в Azure Active Directory. Кроме того, эта роль позволяет управлять запросами в службу поддержки и отслеживать работоспособность служб, а также предоставляет доступ к центру администрирования Teams и Skype для бизнеса. Учетная запись также должна иметь лицензию Teams, иначе она не сможет запускать командлеты PowerShell Teams. Дополнительные сведения см. в руководствах по использованию роли администратора Skype для бизнеса и лицензировании дополнительных компонентов Skype для бизнеса и Microsoft Teams.

Примечание

В API Microsoft Graph и Azure AD PowerShell эта роль определяется как "Администратор службы Lync". На портале Azure она называется "Администратор Skype для бизнеса".

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Администратор Teams

пользователи с этой ролью могут управлять всеми функциями рабочей нагрузки Microsoft Teams с помощью центра администрирования Microsoft Teams и Skype для бизнеса и соответствующих модулей PowerShell. Сюда входят, помимо прочего, все средства управления, связанные с телефонией, обменом сообщениями, собраниями и самими командами Teams. Эта роль дополнительно предоставляет возможность создания всех Microsoft 365 групп и управления ими, управления запросами в службу поддержки и наблюдения за работоспособностью служб.

Действия Описание
microsoft.directory/groups/hiddenMembers/read Чтение скрытых членов группы
Microsoft. каталог/группы. Unified/CREATE Создание групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. унифицированная или удаленная Удаление групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Restore Восстановление групп Microsoft 365
Microsoft. каталог/группы. Unified/Basic/Update Обновление основных свойств групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Members/Update Обновление членов групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. каталог/группы. Unified/Owners/Update Обновление владельцев групп Microsoft 365 с исключением групп, назначаемых ролью
Microsoft. Directory/свойства serviceprincipals/Манажепермиссионгрантсфорграуп. Микрософт-Алл-аппликатион-пермиссионс Предоставление службе используемой прямой доступ к данным группы
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
Microsoft. Teams/Аллентитиес/Аллпропертиес/Аллтаскс Управление всеми ресурсами в командах

Администратор связи Teams

пользователи с этой ролью могут управлять функциями рабочей нагрузки Microsoft Teams, связанными с голосовой связью и телефонией. Сюда входят средства управления для назначения номера телефона, политики голосовой связи и собраний, а также полный доступ к набору инструментов анализа вызовов.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
Microsoft. Office 365. Усажерепортс/Аллентитиес/Аллпропертиес/Read Чтение отчетов об использовании Office 365
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
Microsoft. Teams/Каллкуалити/Аллпропертиес/Read Чтение всех данных на панели мониторинга "качество вызовов" (ККД)
Microsoft. Teams/meetings/Аллпропертиес/Аллтаскс Управление собраниями, включая политики собрания, конфигурации и мосты
Microsoft. Teams/Voice/Аллпропертиес/Аллтаскс Управление голосовыми параметрами, включая вызов политик и инвентаризацию и назначение номеров телефона

Инженер службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать полные сведения о записях вызовов для всех задействованных участников. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
Microsoft. Teams/Каллкуалити/Аллпропертиес/Read Чтение всех данных на панели мониторинга "качество вызовов" (ККД)

Специалист службы поддержки связи Teams

пользователи с этой ролью могут устранять неполадки со связью в Microsoft Teams и Skype для бизнеса с помощью соответствующих средств для пользовательских вызовов в центре администрирования Microsoft Teams и Skype для бизнеса. Пользователи с этой ролью могут просматривать сведения об определенном пользователе только при его вызове. Данная роль не обладает доступом для просмотра, создания или управления запросами в службу поддержки.

Действия Описание
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Управление всеми аспектами Skype для бизнеса Online
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
Microsoft. Teams/Каллкуалити/Standard/Read Чтение основных данных на панели мониторинга "качество вызовов" (ККД)

Администраторы устройств Teams

Пользователи с этой ролью могут управлять устройствами, сертифицированными группами , из центра администрирования команд. Эта роль позволяет просматривать все устройства на одном взгляде с возможностью поиска и фильтрации устройств. Пользователь может проверить сведения о каждом устройстве, включая учетную запись входа, Марка и модель устройства. Пользователь может изменить параметры на устройстве и обновить версии программного обеспечения. Эта роль не предоставляет разрешения на проверку активности команд и качество вызова для устройства.

Действия Описание
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365
Microsoft. Teams/Devices/Standard/Read Управление всеми аспектами сертифицированных в группах устройств, включая политики конфигурации

Средство чтения сводных отчетов об использовании

Пользователи с этой ролью могут получать доступ к агрегированным данным уровня клиента и связанным аналитикам в Microsoft 365 центре администрирования для оценки использования и производительности, но не могут получать доступ к сведениям о уровне пользователя и аналитике. В Microsoft 365 центре администрирования для двух отчетов мы будем отличать Объединенные данные уровня клиента и сведения о уровне пользователя. Эта роль обеспечивает дополнительный уровень защиты для отдельных определяемых пользователем данных, которые были запрошены как клиентами, так и юридическими командами.

Действия Описание
microsoft.office365.network/performance/allProperties/read Чтение всех свойств производительности сети в центре администрирования Microsoft 365
Microsoft. Office 365. Усажерепортс/Аллентитиес/Standard/Read Чтение сводных отчетов об использовании Office 365 на уровне клиента
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

администратора пользователей;

Пользователи с этой ролью могут создавать пользователей, а также управлять всеми аспектами пользователей с некоторыми ограничениями (см. таблицу) и обновлять политики истечения срока действия паролей. Кроме того, пользователи с этой ролью могут создавать группы и управлять ими. Кроме того, эта роль включает в себя возможность создавать представления пользователей и управлять ими, а также управлять запросами в службу поддержки и отслеживать работоспособность служб. У администраторов пользователей нет разрешения на управление некоторыми свойствами пользователей с большинством ролей администратора. У пользователя с этой ролью нет разрешений на управление MFA. Роли, которые являются исключением из этого ограничения, перечислены в таблице ниже.

Разрешение администратора пользователя Примечания
Создание пользователей и групп
Создание представлений пользователя и управление ими
Управление запросами в службу поддержки Office
Изменение политик срока действия паролей
Управление лицензиями
Управление всеми свойствами пользователя, за исключением имени участника-пользователя
Применяется ко всем пользователям, включая всех администраторов
Удаление и восстановление
Отключение и включение
Управление всеми свойствами пользователя, включая имя участника-пользователя
Обновление ключей устройства (FIDO)
Применяется к пользователям, не являющимся администраторами, или к любой из следующих ролей:
  • Администратор службы технической поддержки
  • Пользователь без роли
  • администратора пользователей;
Отмена маркеров обновления
Сброс пароля
Список ролей, которые администратор пользователей может сбрасывать для и проверки маркеров обновления, см. в разделе разрешения на сброс пароля.

Важно!

Пользователи с этой ролью могут изменять пароли для пользователей, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в службе Azure Active Directory и за ее пределами. Изменение пароля пользователя подразумевает возможность предполагать идентификатор и разрешения пользователя. Пример:

  • Владельцы при регистрации приложения и владельцы корпоративных приложений, которые могут управлять учетными данными принадлежащих им приложений. У этих приложений в Azure AD и в других местах могут быть привилегированные разрешения, которые не предоставлены администраторам пользователей. По этому пути администратор пользователей сможет предположить идентификатор владельца приложения, а затем идентификатор привилегированного приложения, обновив учетные данные приложения.
  • Владельцы подписок Azure, у которых может быть доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure.
  • Владельцы группы безопасности и группы Microsoft 365, которые могут управлять членством в группе. Эти группы могут предоставлять доступ к конфиденциальной, частной информации или критически важной конфигурации в Azure AD и другом месте.
  • Администраторы в других службах за пределами Azure AD, таких как Exchange Online, Центр безопасности и соответствия требованиям Office и системы управления персоналом.
  • Пользователи без прав администратора, например руководители, юристы и сотрудники отдела кадров, у которых может быть доступ к конфиденциальным или частным сведениям.
Действия Описание
microsoft.directory/appRoleAssignments/create Создание назначений ролей приложений
microsoft.directory/appRoleAssignments/delete Удаление назначений ролей приложений
Microsoft. Directory/appRoleAssignments/Basic/Update Обновление основных свойств назначений ролей приложения
microsoft.directory/contacts/create Создание контактов
microsoft.directory/contacts/delete Удалить контакты
microsoft.directory/contacts/basic/update Обновление основных свойств контактов
Microsoft. Directory/Ентитлементманажемент/Аллпропертиес/Аллтаскс Создание и удаление ресурсов, чтение и обновление всех свойств в управлении назначениями Azure AD
Microsoft. Directory/Groups/Ассигнлиценсе Назначение лицензий на группы для группового лицензирования
microsoft.directory/groups/create Создание групп, за исключением назначаемых ролью групп
microsoft.directory/groups/delete Удаление групп, за исключением назначаемой ролью группы
microsoft.directory/groups/hiddenMembers/read Чтение скрытых членов группы
Microsoft. Directory/Groups/Репроцесслиценсеассигнмент Повторная обработка назначений лицензий для группового лицензирования
microsoft.directory/groups/restore Восстановление удаленных групп
microsoft.directory/groups/basic/update Обновление основных свойств групп, за исключением назначаемых ролью групп
Microsoft. Directory, группы, классификация или обновление Обновление свойства классификации групп, за исключением назначаемых ролью групп
Microsoft. Directory/Groups/dynamicMembershipRule/обновление Обновление правила динамического членства в группах за исключением назначаемых ролью групп
Microsoft. Directory/Groups/groupType/обновление Обновление свойства groupType для группы
microsoft.directory/groups/members/update Обновление членов групп, за исключением назначаемых ролью групп
Microsoft. Directory/Groups/Онпремвритебакк/обновление Обновление групп Azure AD для обратной передачи в локальную среду
microsoft.directory/groups/owners/update Обновление владельцев групп, за исключением назначаемых ролью групп
microsoft.directory/groups/settings/update Обновить параметры групп
Microsoft. Directory, группы, видимость и обновление Обновление свойства видимости групп
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Создание и удаление разрешений OAuth 2,0, а затем чтение и обновление всех свойств.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Обновление назначений ролей субъекта-службы
microsoft.directory/users/assignLicense Управление лицензиями пользователей
microsoft.directory/users/create Добавление пользователей
microsoft.directory/users/delete Удаление пользователей
Microsoft. Directory/пользователи/отключить Отключить пользователей
Microsoft. Directory/пользователи/включить Разрешить пользователям
microsoft.directory/users/inviteGuest Приглашение гостевых пользователей
microsoft.directory/users/invalidateAllRefreshTokens Принудительный выход путем недействительности маркеров обновления пользователя
Microsoft. Directory/Users/Репроцесслиценсеассигнмент Повторная обработка назначений лицензий для пользователей
microsoft.directory/users/restore Восстановление удаленных пользователей
microsoft.directory/users/basic/update Обновление основных свойств пользователей
microsoft.directory/users/manager/update Диспетчер обновлений для пользователей
microsoft.directory/users/password/update Сброс паролей для всех пользователей
microsoft.directory/users/userPrincipalName/update Обновление имени субъекта-пользователя для пользователей
microsoft.azure.serviceHealth/allEntities/allTasks Чтение и Настройка службы работоспособности служб Azure
microsoft.azure.supportTickets/allEntities/allTasks Создание билетов службы поддержки Azure и управление ими
microsoft.office365.serviceHealth/allEntities/allTasks Чтение и Настройка работоспособности службы в центре администрирования Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Создание запросов на обслуживание Microsoft 365 и управление ими
microsoft.office365.webPortal/allEntities/standard/read Чтение основных свойств всех ресурсов в центре администрирования Microsoft 365

Устаревшие роли

Не рекомендуется использовать следующие роли. Они больше не поддерживаются и будут удалены из Azure AD в будущем.

  • Администратор отдельных лицензий
  • Device Join (Присоединение устройства)
  • Диспетчеры устройств
  • Device Users (Пользователи устройства)
  • Создатель проверенного пользователя электронной почты
  • администратор почтовых ящиков;
  • Присоединение устройства к рабочей области

Роли, не отображаемые на портале

Не все роли, возвращаемые PowerShell или API MS Graph, отображаются на портале Azure. В следующей таблице представлены различия.

Имя API Название на портале Azure Примечания
Device Join (Присоединение устройства) Не рекомендуется Документация по устаревшим ролям
Диспетчеры устройств Не рекомендуется Документация по устаревшим ролям
Device Users (Пользователи устройства) Не рекомендуется Документация по устаревшим ролям
Учетные записи синхронизации службы каталогов Не отображается, так как не должно использоваться. Документация по учетным записям для синхронизации службы каталогов
Гостевой пользователь Не отображается, так как не может использоваться. Н/Д
"Partner Tier 1 Support" (Поддержка для партнеров уровня 1); Не отображается, так как не должно использоваться. Документация по поддержке партнеров уровня 1
"Partner Tier 2 Support" (Поддержка для партнеров уровня 2); Не отображается, так как не должно использоваться. Документация по поддержке партнеров уровня 2
Гостевой пользователь с ограниченными правами Не отображается, так как не может использоваться. Н/Д
Пользователь Не отображается, так как не может использоваться. Н/Д
Присоединение устройства к рабочей области Не рекомендуется Документация по устаревшим ролям

Разрешения на сброс пароля

Заголовки столбцов представляют роли, которые могут сбрасывать пароли. Строки таблицы содержат роли, для которых можно сбросить пароль.

Пароль можно сбросить Администратор паролей Администратор службы технической поддержки Администратор проверки подлинности Администратор пользователей Администратор привилегированной проверки подлинности глобальный администратор.
Администратор проверки подлинности     ✔️   ✔️ ✔️
Читатели каталогов ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
глобальный администратор.         ✔️ ✔️*
Администратор групп       ✔️ ✔️ ✔️
Приглашающий гостей ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Администратор службы технической поддержки   ✔️   ✔️ ✔️ ✔️
Читатель Центра сообщений   ✔️ ✔️ ✔️ ✔️ ✔️
Администратор паролей ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Администратор привилегированной проверки подлинности         ✔️ ✔️
Администратор привилегированных ролей         ✔️ ✔️
Читатель отчетов   ✔️ ✔️ ✔️ ✔️ ✔️
Пользователь (нет роли администратора) ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
Администратор пользователей       ✔️ ✔️ ✔️
Средство чтения сводных отчетов об использовании   ✔️ ✔️ ✔️ ✔️ ✔️

* Глобальный администратор не может удалить собственное назначение глобального администратора. Это позволяет избежать ситуации, когда у Организации есть 0 глобальных администраторов.

Дальнейшие действия