Azure AD 內建角色 (部分機器翻譯)

在 Azure Active Directory (Azure AD) 中,如果另一個系統管理員或非系統管理員需要管理 Azure AD 資源,請將提供所需許可權的 Azure AD 角色指派給他們。 例如,您可以指派角色以允許新增或變更使用者、重設使用者密碼、管理使用者授權或管理功能變數名稱。

本文列出您可以指派以允許管理 Azure AD 資源的 Azure AD 內建角色。 如需有關如何指派角色的詳細資訊,請參閱將 Azure AD 角色指派給使用者

所有角色

角色 描述 範本識別碼
應用程式系統管理員 能夠建立及管理應用程式註冊與企業應用程式的所有層面。 9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
應用程式開發人員 可建立與 [使用者可註冊應用程式] 設定不相關的應用程式註冊。 cf1c38e5-3621-4004-a7cb-879624dced7c
攻擊承載作者 可以建立系統管理員可以在稍後起始的攻擊承載。 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
攻擊模擬系統管理員 可以建立和管理攻擊模擬活動的所有層面。 c430b396-e693-46cc-96f3-db01bf8bb62a
屬性指派管理員 將自訂安全性屬性索引鍵和值指派給支援的 Azure AD 物件。 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
屬性指派讀取器 讀取支援的 Azure AD 物件的自訂安全性屬性索引鍵和值。 ffd52fa5-98dc-465c-991d-fc073eb59f8f
屬性定義系統管理員 定義和管理自訂安全性屬性的定義。 8424c6f0-a189-499e-bbd0-26c1753c96d4
屬性定義讀取器 讀取自訂安全性屬性的定義。 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
驗證管理員 可以存取來查看、設定及重設任何非系統管理員使用者的驗證方法資訊。 c4e39bd9-1100-46d3-8c65-fb160da0071f
驗證原則系統管理員 可以建立和管理驗證方法原則、整個租使用者的 MFA 設定、密碼保護原則,以及可驗證的認證。 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure AD 加入的裝置本機系統管理員 獲指派此角色的使用者會新增至已加入 Azure AD 的裝置上的本機系統管理員群組。 9f06204d-73c1-4d4c-880a-6edb90606fd8
Azure DevOps 管理員 可以管理 Azure DevOps 原則和設定。 e3973bdf-4987-49ae-837a-ba8e231c7286
Azure 資訊保護管理員 可管理 Azure 資訊保護產品的所有層面。 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF 金鑰集管理員 可以在 Identity Experience Framework (IEF) 中管理同盟和加密的秘密。 aaf43236-0c0d-4d5f-883a-6955382ac081
B2C IEF 原則管理員 可以在 Identity Experience Framework (IEF) 中建立及管理信任架構原則。 3edaf663-341e-4475-9f94-5c398ef6c070
計費管理員 能夠執行一般計費相關工作,例如更新付款資訊。 b0f54661-2d74-4c50-afa3-1ec803f12efe
雲端 App 安全性系統管理員 可以管理雲端 App 安全性產品的所有層面。 892c5842-a9a6-463a-8041-72aa08ca3cf6
雲端應用程式系統管理員 能夠建立及管理應用程式註冊與企業應用程式的所有層面,但應用程式 Proxy 除外。 158c047a-c907-4556-b7ef-446551a6b5f7
雲端裝置管理員 在 Azure AD 中管理裝置的有限存取權。 7698a772-787b-4ac8-901f-60d6b08affd2
合規性管理員 可以讀取和管理 Azure AD 和 Microsoft 365 中的合規性設定和報告。 17315797-102d-40b4-93e0-432062caca18
合規性資料管理員 建立及管理合規性內容。 e6d1a23a-da11-4be4-9570-befc86d067a7
條件式存取管理員 可管理條件式存取功能。 b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
客戶 LockBox 存取核准者 可核准 Microsoft 支援要求,以存取客戶組織的資料。 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
電腦分析管理員 可以存取及管理桌面管理工具與服務。 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
目錄讀取者 可讀取基本目錄資訊。 通常用來授與目錄讀取存取權給應用程式和來賓。 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
目錄同步處理帳戶 僅供 Azure AD Connect 服務使用。 d29b2b05-8046-44ba-8758-1e26182fcf32
目錄寫入者 可以讀取和寫入基本目錄資訊。 用來授與應用程式的存取權,不適用於使用者。 9360feb5-f418-4baa-8175-e2a00bac4301
功能變數名稱管理員 可以管理雲端和內部部署中的功能變數名稱。 8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 系統管理員 可管理 Dynamics 365 產品的所有層面。 44367163-eba1-44c3-98af-f5787879f96a
Edge 系統管理員 管理 Microsoft Edge 的所有層面。 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange 管理員 可管理 Exchange 產品的所有層面。 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange 收件者系統管理員 可以建立或更新 Exchange Online 組織內 Exchange Online 的收件者。 31392ffb-586c-42d1-9346-e59415a2cc4e
外部識別碼使用者流程管理員 可以建立及管理使用者流程的所有層面。 6e591065-9bad-43ed-90f3-e9424366d2f0
外部識別碼使用者 Flow 屬性管理員 可以建立及管理所有使用者流程可用的屬性架構。 0f971eea-41eb-4569-a71e-57bb8a3eff1e
外部識別提供者管理員 可以設定身分識別提供者以用於直接同盟。 be2f45a1-457d-42af-a067-6ec1fa63bc45
全域管理員 可管理使用 Azure AD 身分識別的 Azure AD 與 Microsoft 服務的所有層面。 62e90394-69f5-4237-9190-012177145e10
全域讀取者 可以讀取全域系統管理員可以使用的所有專案,但無法更新任何專案。 f2ef992c-3afb-46b9-b7cf-a126ee74c451
群組管理員 此角色的成員可以建立/管理群組、建立/管理群組設定,例如命名和到期原則,以及查看群組活動和審核報表。 fdd7a751-b60b-444a-984c-02652fe8fa1c
來賓邀請者 能夠邀請不受 [成員能夠邀請來賓] 設定限制的來賓使用者。 95e79109-95c0-4d8e-aee3-d01accf2d47b
服務台管理員 能夠為非系統管理員與技術服務人員系統管理員重設密碼。 729827e3-9c14-49f7-bb1b-9608f156bbb8
混合式身分識別管理員 可管理 AD 以 Azure AD 雲端布建、Azure AD 連線和同盟設定。 8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
身分識別治理系統管理員 使用身分識別治理案例的 Azure AD 來管理存取權。 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Insights 管理員 具有 Microsoft 365 Insights 應用程式的系統管理存取權。 eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Insights 商務領導人 可以透過 Microsoft 365 Insights 應用程式,來查看和共用儀表板和深入解析。 31e939ad-9672-4796-9c2e-873181342d2d
Intune 管理員 可管理 Intune 產品的所有層面。 3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala 管理員 可以管理 Microsoft Kaizala 的設定。 74ef975b-6605-40af-a5d2-b9539d836353
知識管理員 可以設定知識、學習和其他智慧型功能。 b5a8dcf3-09d5-43a9-a639-8e29ef291470
知識管理員 可以組織、建立、管理及推廣主題和知識。 744ec460-397e-42ad-a462-8b3f9747a02c
授權管理員 可管理使用者和群組的產品授權。 4d6ac14f-3453-41d0-bef9-a3e0c569773a
訊息中心隱私權讀取者 只能在 Office 365 訊息中心中讀取安全性訊息和更新。 ac16e43d-7b2d-40e0-ac05-243ff356ab5b
訊息中心讀取者 只可在 Office 365 訊息中心讀取及更新其組織的訊息。 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
現代化商務使用者 可以管理公司、部門或團隊的商業採購。 d24aef57-1500-4070-84db-2666f29cf966
網路管理員 可管理網路位置,及預覽 Microsoft 365 軟體即服務應用程式的企業網路設計見解。 d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office 應用程式管理員 可以管理 Office apps 雲端服務,包括原則和設定管理,以及管理選取、取消選取及發佈「新功能」功能內容至使用者裝置的能力。 2b745bdf-0803-4d80-aa65-822c4493daac
合作夥伴第 1 層支援 請勿使用 - 不適用於一般用途。 4ba39ca4-527c-499a-b93d-d9b492c50246
合作夥伴第 2 層支援 請勿使用 - 不適用於一般用途。 e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
密碼管理員 可以重設非系統管理員和密碼管理員的密碼。 966707d0-3269-4727-9be2-8c3a10f19b9d
Power BI 管理員 可管理 Power BI 產品的所有層面。 a9ea8996-122f-4c74-9520-8edcd192826c
Power Platform 管理員 可以建立和管理 Microsoft Dynamics 365、Power Apps 和 Power Automate 的所有層面。 11648597-926c-4cf3-9c36-bcebb0ba8dcc
印表機管理員 可管理印表機和印表機連線程式的所有層面。 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
印表機技術人員 可註冊和取消註冊印表機,及更新印表機狀態。 e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
特殊權限驗證管理員 可以存取來查看、設定及重設任何使用者 (系統管理員或非系統管理員) 的驗證方法資訊。 7be44c8a-adaf-4e2a-84d6-ab2649e08a13
特殊權限角色管理員 可以管理 Azure AD 中的角色指派,以及 Privileged Identity Management 的所有層面。 e8611ab8-c189-46e8-94e1-60213ab1f814
報告讀取者 可讀取登入與稽核報告。 4a5d8f65-41da-4de4-8968-e035b65339cf
搜尋管理員 可以建立及管理 Microsoft 搜尋設定的所有層面。 0964bb5e-9bdb-4d7b-ac29-58e794862a40
搜尋編輯者 可以建立及管理編輯內容,例如書籤、問與答、位置、樓面規劃。 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
安全性系統管理員 可以讀取安全性資訊和報告,以及管理 Azure AD 和 Office 365 中的設定。 194ae4cb-b126-40b2-bd5b-6091b380977d
安全性操作員 建立及管理安全性事件。 5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
安全性讀取者 可讀取安全性資訊及 Azure AD 與 Office 365 中的報告。 5d6b6bb7-de71-4623-b4af-96380a352509
服務支援管理員 可讀取服務健康情況資訊及管理支援票證。 f023fd81-a637-4b56-95fd-791ac0226033
SharePoint 管理員 可管理 SharePoint 服務的所有層面。 f28a1f50-f6e7-4571-818b-6a12f2af6b6c
商務用 Skype 的管理員 可管理商務用 Skype 產品的所有層面。 75941009-915a-4869-abe7-691bff18279e
Microsoft Teams 管理員 能夠管理 Microsoft Teams 服務。 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams 通訊管理員 能夠管理 Microsoft Teams 服務內的呼叫和會議功能。 baf37b3a-610e-45da-9e62-d9d1e5e8914b
Teams 通訊支援工程師 能夠使用進階工具針對 Microsoft Teams 內的通訊問題進行疑難排解。 f70938a0-fc10-4177-9e90-2178f8765737
Teams 通訊支援專家 能夠使用基本工具針對 Microsoft Teams 內的通訊問題進行疑難排解。 fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Teams 裝置管理員 可以在 Teams 認證的裝置上執行管理相關工作。 3d762c5a-1b6c-493f-843e-55a3b42923d4
使用量摘要報表讀者 只能查看 Microsoft 365 使用量分析和生產力分數的租使用者層級匯總。 75934031-6c7e-415a-99d7-48dbd49e875e
使用者管理員 能夠管理使用者與群組的所有層面,包含為受限制的管理員重設密碼。 fe930be7-5e62-47db-91af-98c3a49a38b1
Windows 365 系統管理員 可以布建和管理雲端電腦的所有層面。 11451d60-acb2-45eb-a7d6-43d0f0125c13
Windows Update 部署系統管理員 透過商務用 Windows Update 部署服務來建立和管理 Windows Update 部署的所有層面。 32696413-001a-46ae-978c-ce0f6b3620d2

應用程式系統管理員

此角色中的使用者可以建立和管理企業應用程式、應用程式註冊和應用程式 Proxy 設定的所有層面。 請注意,建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。

此角色也會授與同意委派許可權和應用程式許可權的能力,但 Microsoft Graph 和 Azure AD Graph 的應用程式許可權除外。

重要

此例外狀況表示您仍可同意 其他 應用程式的應用程式許可權 (例如,您已) 註冊的非 Microsoft 應用程式或應用程式。 您仍然可以在應用程式註冊過程中 要求 這些許可權,但授與 (也就 是同意) 這些許可權需要更具特殊許可權的系統管理員,例如全域管理員。

此角色授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式的身分識別已被授與資源的存取權,例如建立或更新使用者或其他物件的能力,則指派給這個角色的使用者可以在模擬應用程式時執行這些動作。 模擬應用程式身分識別的這項功能,可能是使用者透過其角色指派所能做的權限提高。 請務必了解,將應用程式系統管理員角色指派給使用者,會給予他們模擬應用程式身分識別的能力。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft.directory/applications/applicationProxy/read 讀取所有應用程式 proxy 屬性
microsoft.directory/applications/applicationProxy/update 更新所有應用程式 proxy 屬性
microsoft 目錄/應用程式/applicationProxyAuthentication/更新 更新所有類型之應用程式的驗證
microsoft 目錄/應用程式/applicationProxySslCertificate/更新 更新應用程式 proxy 的 SSL 憑證設定
microsoft 目錄/應用程式/applicationProxyUrlSettings/更新 更新應用程式 proxy 的 URL 設定
microsoft 目錄/應用程式/appRoles/更新 更新所有類型之應用程式的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型之應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
microsoft 目錄/應用程式/>extensionproperties/更新 更新應用程式上的延伸模組屬性
microsoft directory/applications/notes/更新 更新應用程式的附注
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft. 目錄/應用程式/標記/更新 更新應用程式的標記
microsoft 目錄/應用程式/驗證/更新 更新 applicationsverification 屬性
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft.directory/connectors/create 建立應用程式 proxy 連接器
microsoft 目錄/連接器/allProperties/read 讀取應用程式 proxy 連接器的所有屬性
microsoft.directory/connectorGroups/create 建立應用程式 proxy 連接器群組
microsoft.directory/connectorGroups/delete 刪除應用程式 proxy 連接器群組
microsoft. directory/connectorGroups/allProperties/read 讀取應用程式 proxy 連接器群組的所有屬性
microsoft directory/connectorGroups/allProperties/update 更新應用程式 proxy 連接器群組的所有屬性
microsoft 目錄/deletedItems. applications/delete 永久刪除無法再還原的應用程式
microsoft 目錄/deletedItems. applications/restore 將虛刪除的應用程式還原為原始狀態
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用至物件清單的應用程式原則
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建的密碼和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新開機及暫停應用程式布建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式布建同步處理作業和架構
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft directory/servicePrincipals/managePermissionGrantsForAll. microsoft-application-admin 代表任何使用者或所有使用者授與應用程式許可權和委派許可權的同意,但 Microsoft Graph 和 Azure AD 的應用程式許可權除外 Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
microsoft 目錄/servicePrincipals/notes/更新 更新服務主體的附注
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的 tag 屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

應用程式開發人員

將「使用者可以註冊應用程式」設定設為「否」時,此角色中的使用者可以建立應用程式註冊。 將「使用者可同意應用程式代表自己存取公司資料」設定設為「否」時,此角色也會授與代表某人同意的權限。 建立新的應用程式註冊時,會將指派給此角色的使用者新增為擁有者。

動作 描述
microsoft.directory/applications/createAsOwner 建立所有類型的應用程式,並將建立者新增為第一個擁有者
microsoft.directory/oAuth2PermissionGrants/createAsOwner 建立 OAuth 2.0 許可權授與,並以 creator 作為第一個擁有者
microsoft.directory/servicePrincipals/createAsOwner 建立服務主體,並以 creator 作為第一個擁有者

攻擊承載作者

此角色中的使用者可以建立攻擊承載,但不會實際啟動或排程它們。 然後,可以將攻擊承載提供給租使用者中的所有系統管理員使用,以建立模擬。

動作 描述
office365. Microsoft.office365.protectioncenter/attackSimulator/承載/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊承載
office365. Microsoft.office365.protectioncenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬回應和相關定型的報告

攻擊模擬系統管理員

此角色的使用者可以建立和管理攻擊模擬建立的所有層面、啟動/排程模擬,以及審核模擬結果。 此角色的成員具有租使用者中所有模擬的此存取權。

動作 描述
office365. Microsoft.office365.protectioncenter/attackSimulator/承載/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊承載
office365. Microsoft.office365.protectioncenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬回應和相關定型的報告
office365. Microsoft.office365.protectioncenter/attackSimulator/模擬/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊模擬範本

屬性指派管理員

具有此角色的使用者可以針對支援的 Azure AD 物件(例如使用者、服務主體和裝置),指派和移除自訂安全性屬性索引鍵和值。

依預設, 全域管理員 和其他系統管理員角色沒有讀取、定義或指派自訂安全性屬性的許可權。 若要使用自訂安全性屬性,您必須將其中一個自訂安全性屬性角色指派給您。

如需詳細資訊,請參閱在 Azure AD 中管理自訂安全性屬性的存取

動作 描述
microsoft. directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft. directory/customSecurityAttributeDefinitions/allProperties/read 讀取自訂安全性屬性定義的所有屬性
microsoft directory/devices/customSecurityAttributes/read 讀取裝置的自訂安全性屬性值
microsoft 目錄/裝置/customSecurityAttributes/更新 更新裝置的自訂安全性屬性值
microsoft. directory/servicePrincipals/customSecurityAttributes/read 讀取服務主體的自訂安全性屬性值
microsoft directory/servicePrincipals/customSecurityAttributes/update 更新服務主體的自訂安全性屬性值
microsoft 目錄/users/customSecurityAttributes/read 讀取使用者的自訂安全性屬性值
microsoft directory/users/customSecurityAttributes/update 更新使用者的自訂安全性屬性值

屬性指派讀取器

具有此角色的使用者可以讀取支援的 Azure AD 物件的自訂安全性屬性索引鍵和值。

依預設, 全域管理員 和其他系統管理員角色沒有讀取、定義或指派自訂安全性屬性的許可權。 若要使用自訂安全性屬性,您必須將其中一個自訂安全性屬性角色指派給您。

如需詳細資訊,請參閱在 Azure AD 中管理自訂安全性屬性的存取

動作 描述
microsoft. directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft. directory/customSecurityAttributeDefinitions/allProperties/read 讀取自訂安全性屬性定義的所有屬性
microsoft directory/devices/customSecurityAttributes/read 讀取裝置的自訂安全性屬性值
microsoft. directory/servicePrincipals/customSecurityAttributes/read 讀取服務主體的自訂安全性屬性值
microsoft 目錄/users/customSecurityAttributes/read 讀取使用者的自訂安全性屬性值

屬性定義系統管理員

具有此角色的使用者可以定義一組有效的自訂安全性屬性,這些屬性可以指派給支援的 Azure AD 物件。 此角色也可以啟用和停用自訂安全性屬性。

依預設, 全域管理員 和其他系統管理員角色沒有讀取、定義或指派自訂安全性屬性的許可權。 若要使用自訂安全性屬性,您必須將其中一個自訂安全性屬性角色指派給您。

如需詳細資訊,請參閱在 Azure AD 中管理自訂安全性屬性的存取

動作 描述
microsoft directory/attributeSets/allProperties/allTasks 管理屬性集的所有層面
microsoft directory/customSecurityAttributeDefinitions/allProperties/allTasks 管理自訂安全性屬性定義的所有層面

屬性定義讀取器

具有此角色的使用者可以讀取自訂安全性屬性的定義。

依預設, 全域管理員 和其他系統管理員角色沒有讀取、定義或指派自訂安全性屬性的許可權。 若要使用自訂安全性屬性,您必須將其中一個自訂安全性屬性角色指派給您。

如需詳細資訊,請參閱在 Azure AD 中管理自訂安全性屬性的存取

動作 描述
microsoft. directory/attributeSets/allProperties/read 讀取屬性集的所有屬性
microsoft. directory/customSecurityAttributeDefinitions/allProperties/read 讀取自訂安全性屬性定義的所有屬性

驗證系統管理員

具有此角色的使用者可以設定或重設任何驗證方法 (包括非系統管理員和某些角色的密碼) 。 驗證系統管理員可以要求非系統管理員或指派給某些角色的使用者,重新註冊現有的非密碼認證 (例如,MFA 或 FIDO) ,也可以撤銷裝置上的 [ 記住 mfa],這會在下一次登入時提示 mfa。 如需驗證系統管理員可以讀取或更新驗證方法的角色清單,請參閱 密碼重設許可權

特殊許可權 驗證管理員 角色具有許可權,可為所有使用者強制重新註冊和多重要素驗證。

驗證原則系統管理員角色具有設定租使用者驗證方法原則的許可權,以決定每個使用者可註冊和使用的方法。

角色 管理使用者的驗證方法 管理每個使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則
驗證系統管理員 是,對於某些使用者 (請參閱上述) 是,對於某些使用者 (請參閱上述)
特殊權限驗證管理員 是適用于所有使用者 是適用于所有使用者
驗證原則系統管理員

重要

對於可存取機密或私人資訊或 Azure Active Directory 內外重要組態的人員,具備此角色的使用者可以變更認證。 變更使用者的認證表示可承擔該使用者身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Azure AD 中可能有特殊權限,而在其他地方未授與驗證系統管理員。 透過此路徑,驗證系統管理員可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步假設特殊許可權應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有機密或私人資訊或者 Azure 中重要組態的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這個群組可以存取機密或私人資訊或者 Azure AD 和其他位置中的重要組態。
  • Azure AD 以外的其他服務中的系統管理員(例如 Exchange Online、Office 365 安全性 & 合規性中心和人力資源系統)。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取機密或私人資訊。

重要

此角色無法管理舊版 MFA 管理入口網站或硬體 OATH 權杖中的 MFA 設定。 您可以使用set-msoluser的 commandlet Azure AD Powershell 模組來完成相同的功能。

動作 描述
microsoft directory/users/authenticationMethods/create 為使用者建立驗證方法
microsoft directory/users/authenticationMethods/delete 刪除使用者的驗證方法
microsoft directory/users/authenticationMethods/standard/restrictedRead 讀取不包含使用者個人識別資訊之驗證方法的標準屬性
microsoft directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
microsoft.directory/users/invalidateAllRefreshTokens 藉由讓使用者重新整理權杖失效來強制登出
microsoft.directory/users/password/update 重設所有使用者的密碼
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

驗證原則系統管理員

具有此角色的使用者可以設定驗證方法原則、整個租使用者的 MFA 設定和密碼保護原則。 此角色會授與管理密碼保護設定的許可權:智慧鎖定設定和更新自訂禁用密碼清單。

驗證管理員 」和「特殊 許可權驗證管理員 」角色有權管理使用者的已註冊驗證方法,而且可以針對所有使用者強制重新註冊和多重要素驗證。

角色 管理使用者的驗證方法 管理每個使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則
驗證系統管理員 是,對於某些使用者 (請參閱上述) 是,對於某些使用者 (請參閱上述)
特殊權限驗證管理員 是適用于所有使用者 是適用于所有使用者
驗證原則系統管理員

重要

此角色無法管理舊版 MFA 管理入口網站或硬體 OATH 權杖中的 MFA 設定。

動作 描述
microsoft 目錄/組織/Users.strongauthentication/allTasks 管理組織的強大驗證屬性的所有層面
microsoft directory/userCredentialPolicies/create 建立使用者的認證原則
microsoft 目錄/userCredentialPolicies/delete 刪除使用者的認證原則
microsoft. directory/userCredentialPolicies/standard/read 讀取使用者的認證原則標準屬性
microsoft 目錄/userCredentialPolicies/擁有者/讀取 讀取使用者的認證原則擁有者
microsoft. directory/userCredentialPolicies/policyAppliedTo/read 讀取原則。 appliesTo 導覽連結
microsoft directory/userCredentialPolicies/basic/update 更新使用者的基本原則
microsoft 目錄/userCredentialPolicies/擁有者/更新 更新使用者的認證原則擁有者
microsoft directory/userCredentialPolicies/Policies.tenantdefault/update 更新 policy. isOrganizationDefault 屬性
microsoft. directory/verifiableCredentials/configuration/合約/卡片/allProperties/read 讀取可驗證的認證卡片
microsoft 目錄/verifiableCredentials/configuration/合約/卡片/撤銷 撤銷可驗證的認證卡片
microsoft directory/verifiableCredentials/configuration/contract/create 建立可驗證的認證合約
microsoft. directory/verifiableCredentials/configuration/合約/allProperties/read 讀取可驗證的認證合約
microsoft directory/verifiableCredentials/configuration/contract/allProperties/update 更新可驗證的認證合約
microsoft. directory/verifiableCredentials/configuration/create 建立建立及管理可驗證認證所需的設定
microsoft. directory/verifiableCredentials/configuration/delete 刪除建立及管理可驗證認證所需的設定,並刪除其所有可驗證的認證
microsoft. directory/verifiableCredentials/configuration/allProperties/read 讀取建立及管理可驗證認證所需的設定
microsoft. directory/verifiableCredentials/configuration/allProperties/update 需要更新設定才能建立及管理可驗證的認證
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證

Azure AD 加入的裝置本機系統管理員

此角色是只能指派為裝置設定中的其他本機系統管理員。 具有此角色的使用者,會在已加入 Azure Active Directory 的所有 Windows 10 裝置上,成為本機電腦系統管理員。 它們並沒有在 Azure Active Directory 中管理裝置物件的能力。

動作 描述
microsoft. directory/groupSettings/standard/read 讀取群組設定的基本屬性
microsoft. directory/groupSettingTemplates/standard/read 讀取群組設定範本的基本屬性

Azure DevOps 管理員

具有此角色的使用者可以管理所有企業 Azure DevOps 原則,適用于 Azure AD 支援的所有 Azure DevOps 組織。 此角色的使用者可以藉由流覽至公司 Azure AD 所支援的任何 Azure DevOps 組織來管理這些原則。 此外,此角色中的使用者可以宣稱孤立 Azure DevOps 組織的擁有權。 此角色不會授與其他 Azure DevOps 特定的許可權 (例如,Project 集合系統管理員) 由公司 Azure DevOps 組織所支援的任何 Azure AD 組織內。

動作 描述
microsoft.azure.devOps/allEntities/allTasks 讀取及設定 Azure DevOps

Azure 資訊保護管理員

具有此角色的使用者在 Azure 資訊保護服務上擁有所有權限。 此角色允許設定「Azure 資訊保護」原則的標籤、管理保護範本,以及啟用保護。 此角色不會授與 Identity Protection 中心、Privileged Identity Management、監視 Microsoft 365 服務健康狀態,或 Office 365 安全性 & 合規性中心的任何許可權。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

B2C IEF 金鑰集管理員

使用者可以建立及管理用於權杖加密、權杖簽章和宣告加密/解密的原則金鑰和秘密。 藉由將新的金鑰新增至現有的金鑰容器,這個有限的系統管理員可以視需要變換秘密,而不會影響現有的應用程式。  即使在秘密建立之後,此使用者仍可查看這些秘密的完整內容及其到期日。

重要

這是敏感性角色。  在生產前和生產期間,應謹慎地稽核和指派金鑰集管理員角色。

動作 描述
microsoft directory/b2cTrustFrameworkKeySet/allProperties/allTasks 讀取及更新授權原則的所有屬性

B2C IEF 原則管理員

具備此角色的使用者能夠在 Azure AD B2C 中建立、讀取、更新及刪除所有自訂原則,因此能完全掌控相關 Azure AD B2C 組織中的 Identity Experience Framework。 該使用者可藉由編輯原則來與外部識別提供者建立直接同盟、變更目錄結構描述、變更所有使用者面對的內容 (HTML、CSS、JavaScript)、變更完成驗證的需求、建立新使用者、將使用者資料傳送至外部系統 (包括完整移轉),以及編輯所有使用者資訊 (包括敏感性欄位,像是密碼和電話號碼)。 相反地,此角色無法變更加密金鑰,或編輯組織中用於同盟的秘密。

重要

B2 IEF 原則管理員是高度敏感的角色,應針對生產中的組織非常有限地進行指派。  這些使用者的活動應予以嚴密稽核,尤其是針對生產中的組織。

動作 描述
microsoft directory/b2cTrustFrameworkPolicy/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定金鑰集

計費管理員

進行採購、管理訂用帳戶、管理支援票證,以及監控服務健全狀況。

動作 描述
microsoft.directory/organization/basic/update 更新組織的基本屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.commerce.billing/allEntities/allTasks 管理 Office 365 計費的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

雲端 App 安全性系統管理員

具有此角色的使用者在雲端 App 安全性中具有完整許可權。 他們可以新增系統管理員、新增 Microsoft Cloud App Security (MCAS) 原則和設定、上傳記錄,以及執行治理動作。

動作 描述
microsoft directory/>portal.cloudappsecurity.com/allProperties/allTasks 在 Microsoft Cloud App Security 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

雲端應用程式系統管理員

此角色中的使用者具有與應用程式系統管理員角色相同的權限,但不包括管理應用程式 Proxy 的能力。 此角色會授與能力來建立和管理企業應用程式和應用程式註冊的所有層面。 建立新的應用程式註冊或企業應用程式時,獲指派此角色的使用者不會新增為擁有者。

此角色也會授與同意委派許可權和應用程式許可權的能力,但 Microsoft Graph 和 Azure AD Graph 的應用程式許可權除外。

重要

此例外狀況表示您仍可同意 其他 應用程式的應用程式許可權 (例如,您已) 註冊的非 Microsoft 應用程式或應用程式。 您仍然可以在應用程式註冊過程中 要求 這些許可權,但授與 (也就 是同意) 這些許可權需要更具特殊許可權的系統管理員,例如全域管理員。

此角色授與管理應用程式認證的能力。 獲指派此角色的使用者可以將認證新增至應用程式,並使用這些認證來模擬應用程式的身分識別。 如果應用程式的身分識別已被授與資源的存取權,例如建立或更新使用者或其他物件的能力,則指派給這個角色的使用者可以在模擬應用程式時執行這些動作。 模擬應用程式身分識別的這項功能,可能是使用者透過其角色指派所能做的權限提高。 請務必了解,將應用程式系統管理員角色指派給使用者,會給予他們模擬應用程式身分識別的能力。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft 目錄/應用程式/appRoles/更新 更新所有類型之應用程式的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型之應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
microsoft 目錄/應用程式/>extensionproperties/更新 更新應用程式上的延伸模組屬性
microsoft directory/applications/notes/更新 更新應用程式的附注
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft. 目錄/應用程式/標記/更新 更新應用程式的標記
microsoft 目錄/應用程式/驗證/更新 更新 applicationsverification 屬性
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft 目錄/deletedItems. applications/delete 永久刪除無法再還原的應用程式
microsoft 目錄/deletedItems. applications/restore 將虛刪除的應用程式還原為原始狀態
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
microsoft.directory/applicationPolicies/create 建立應用程式原則
microsoft.directory/applicationPolicies/delete 刪除應用程式原則
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/read 讀取應用程式原則的擁有者
microsoft.directory/applicationPolicies/policyAppliedTo/read 讀取套用至物件清單的應用程式原則
microsoft.directory/applicationPolicies/basic/update 更新應用程式原則的標準屬性
microsoft.directory/applicationPolicies/owners/update 更新應用程式原則的擁有者屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建的密碼和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新開機及暫停應用程式布建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式布建同步處理作業和架構
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft directory/servicePrincipals/managePermissionGrantsForAll. microsoft-application-admin 代表任何使用者或所有使用者授與應用程式許可權和委派許可權的同意,但 Microsoft Graph 和 Azure AD 的應用程式許可權除外 Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
microsoft 目錄/servicePrincipals/notes/更新 更新服務主體的附注
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的 tag 屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

雲端裝置管理員

此角色的使用者可以啟用、停用和刪除 Azure AD 中的裝置,並在 Azure 入口網站中讀取 Windows 10 BitLocker 金鑰 (如果有的話)。 此角色不會授與可供管理裝置上任何其他屬性的權限。

動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft. directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 中繼資料和金鑰
microsoft.directory/devices/delete 從 Azure AD 刪除裝置
microsoft.directory/devices/disable 在 Azure AD 中停用裝置
microsoft.directory/devices/enable 在 Azure AD 中啟用裝置
microsoft. directory/deviceManagementPolicies/standard/read 讀取裝置管理應用程式原則的標準屬性
microsoft directory/deviceManagementPolicies/basic/update 更新裝置管理應用程式原則的基本屬性
microsoft. directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則的標準屬性
microsoft directory/deviceRegistrationPolicy/basic/update 更新裝置註冊原則的基本屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態

合規性管理員

具備此角色的使用者有權限管理 Microsoft 365 合規性中心、Microsoft 365 系統管理中心、Azure 和 Office 365 安全性與合規性中心中的合規性相關功能。 受託人也可以管理 Exchange 系統管理中心、Teams 和商務用 Skype 系統管理中心內的所有功能,並建立適用於 Azure 和 Microsoft 365 的支援票證。 如需詳細資訊,請參閱 Microsoft 365 管理員角色

可以執行
Microsoft 365 合規性中心 保護和管理您組織在所有 Microsoft 365 服務中的資料
管理合規性警示
合規性管理員 追蹤、指派和確認您組織的法規合規性活動
Office 365 安全性與合規性中心 管理資料治理
執行法律和資料的調查
管理資料主體要求

此角色具有與 Office 365 安全性與合規性中心角色型存取控制中的合規性管理員角色群組相同的權限。
Intune 檢視所有的 Intune 稽核資料
Cloud App Security 具有唯讀權限,並可管理警示
可建立和修改檔案原則,並允許檔案治理動作
可檢視 [資料管理] 下的所有內建報告
動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft. directory/entitlementManagement/allProperties/read 讀取 Azure AD 權利管理中的所有屬性
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

相容性資料管理員

具備此角色的使用者有權限追蹤 Microsoft 365 合規性中心、Microsoft 365 系統管理中心和 Azure 中的資料。 使用者也可以追蹤 Exchange 系統管理中心、合規性管理員、Teams 和商務用 Skype 系統管理中心內的合規性資料,並建立適用於 Azure 和 Microsoft 365 的支援票證。 本檔 包含合規性管理員和合規性資料管理員之間差異的詳細資料。

可以執行
Microsoft 365 合規性中心 監視所有 Microsoft 365 服務的合規性相關原則
管理合規性警示
合規性管理員 追蹤、指派和確認您組織的法規合規性活動
Office 365 安全性與合規性中心 管理資料治理
執行法律和資料的調查
管理資料主體要求

此角色具有與 Office 365 安全性與合規性中心角色型存取控制中的合規性資料管理員角色群組相同的權限。
Intune 檢視所有的 Intune 稽核資料
Cloud App Security 具有唯讀權限,並可管理警示
可建立和修改檔案原則,並允許檔案治理動作
可檢視 [資料管理] 下的所有內建報告
動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft directory/>portal.cloudappsecurity.com/allProperties/allTasks 在 Microsoft Cloud App Security 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

條件式存取管理員

具備此角色的使用者能夠管理 Azure Active Directory 條件式存取設定。

動作 描述
microsoft directory/conditionalAccessPolicies/create 建立條件式存取原則
microsoft 目錄/conditionalAccessPolicies/delete 刪除條件式存取原則
microsoft. directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft 目錄/conditionalAccessPolicies/擁有者/讀取 讀取條件式存取原則的擁有者
microsoft. directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的 [套用至] 屬性
microsoft directory/conditionalAccessPolicies/basic/update 更新條件式存取原則的基本屬性
microsoft 目錄/conditionalAccessPolicies/擁有者/更新 更新條件式存取原則的擁有者
microsoft directory/conditionalAccessPolicies/Policies.tenantdefault/update 更新條件式存取原則的預設租使用者
microsoft directory/crossTenantAccessPolicies/create 建立跨租使用者存取原則
microsoft 目錄/crossTenantAccessPolicies/delete 刪除跨租使用者存取原則
microsoft. directory/crossTenantAccessPolicies/standard/read 讀取跨租使用者存取原則的基本屬性
microsoft 目錄/crossTenantAccessPolicies/擁有者/讀取 讀取跨租使用者存取原則的擁有者
microsoft. directory/crossTenantAccessPolicies/policyAppliedTo/read 讀取跨租使用者存取原則的 policyAppliedTo 屬性
microsoft directory/crossTenantAccessPolicies/basic/update 更新跨租使用者存取原則的基本屬性
microsoft 目錄/crossTenantAccessPolicies/擁有者/更新 更新跨租使用者存取原則的擁有者
microsoft directory/crossTenantAccessPolicies/Policies.tenantdefault/update 更新跨租使用者存取原則的預設租使用者

客戶 LockBox 存取核准者

管理您組織中的客戶加密箱要求。 他們會收到「客戶加密箱」要求的電子郵件通知,並且可以核准和拒絕來自 Microsoft 365 系統管理中心的要求。 他們也可以開啟或關閉「客戶加密箱」功能。 只有全域管理員可以重設指派給此角色之人員的密碼。

動作 描述
microsoft.office365.lockbox/allEntities/allTasks 管理客戶加密箱的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

電腦分析系統管理員

此角色中的使用者可以管理電腦分析服務。 這包括可以查看資產清查、建立部署計畫,以及查看部署和健康狀態。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理電腦分析的所有層面

目錄讀取器

具備此角色的使用者可讀取基本目錄資訊。 此角色應用於:

  • 將讀取權限授予一組特定的來賓使用者,而不是將其授予所有來賓使用者。
  • 當 [僅限系統管理員存取 Azure AD 入口網站] 設為 [是] 時,將 Azure 入口網站的存取權授予一組特定的非系統管理員使用者。
  • 如果 Directory.Read.All 不是選項,將目錄的存取權授予服務主體。
動作 描述
microsoft. directory/administrativeUnits/standard/read 讀取管理單位的基本屬性
microsoft.directory/administrativeUnits/members/read 讀取管理單位的成員
microsoft. 目錄/應用程式/標準/讀取 讀取應用程式的標準屬性
microsoft.directory/applications/owners/read 讀取應用程式的擁有者
microsoft.directory/applications/policies/read 讀取應用程式的原則
microsoft. directory/contacts/standard/read 讀取 Azure AD 中連絡人的基本屬性
microsoft.directory/contacts/memberOf/read 讀取 Azure AD 中所有連絡人的群組成員資格
microsoft 目錄/合約/標準/讀取 讀取夥伴合約的基本屬性
microsoft 目錄/裝置/標準/讀取 讀取裝置上的基本屬性
microsoft.directory/devices/memberOf/read 讀取裝置成員資格
microsoft.directory/devices/registeredOwners/read 讀取裝置的已註冊擁有者
microsoft.directory/devices/registeredUsers/read 讀取裝置的註冊使用者
microsoft. directory/directoryRoles/standard/read 讀取 Azure AD 角色中的基本屬性
microsoft.directory/directoryRoles/eligibleMembers/read 閱讀 Azure AD 角色的合格成員
microsoft.directory/directoryRoles/members/read 讀取 Azure AD 角色的所有成員
microsoft 目錄/網域/標準/讀取 讀取網域的基本屬性
microsoft. 目錄/群組/標準/讀取 讀取安全性群組和 Microsoft 365 群組的標準屬性,包括角色可指派的群組
microsoft.directory/groups/appRoleAssignments/read 讀取群組的應用程式角色指派
microsoft.directory/groups/memberOf/read 讀取安全性群組和 Microsoft 365 群組的 memberOf 屬性,包括角色可指派的群組
microsoft.directory/groups/members/read 讀取安全性群組和 Microsoft 365 群組的成員,包括可指派角色的群組
microsoft.directory/groups/owners/read 讀取安全性群組和 Microsoft 365 群組的擁有者,包括可指派角色的群組
microsoft.directory/groups/settings/read 讀取群組的設定
microsoft. directory/groupSettings/standard/read 讀取群組設定的基本屬性
microsoft. directory/groupSettingTemplates/standard/read 讀取群組設定範本的基本屬性
microsoft. directory/oAuth2PermissionGrants/standard/read 讀取 OAuth 2.0 許可權授與的基本屬性
microsoft 目錄/組織/標準/讀取 讀取組織的基本屬性
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read 讀取無密碼 authentication 的受信任憑證授權單位單位
microsoft.directory/applicationPolicies/standard/read 讀取應用程式原則的標準屬性
microsoft. directory/roleAssignments/standard/read 讀取角色指派的基本屬性
microsoft. directory/roleDefinitions/standard/read 讀取角色定義的基本屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/memberOf/read 讀取服務主體的群組成員資格
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取服務主體的委派許可權授與
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/ownedObjects/read 讀取服務主體的擁有物件
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft. directory/subscribedSkus/standard/read 讀取訂用帳戶的基本屬性
microsoft 目錄/使用者/標準/讀取 讀取使用者的基本屬性
microsoft.directory/users/appRoleAssignments/read 讀取使用者的應用程式角色指派
microsoft 目錄/users/deviceForResourceAccount/read 讀取使用者的 deviceForResourceAccount
microsoft.directory/users/directReports/read 讀取使用者的直接報告
microsoft 目錄/users/>licensedetails/read 讀取使用者的授權詳細資料
microsoft.directory/users/manager/read 讀取使用者的管理員
microsoft.directory/users/memberOf/read 讀取使用者的群組成員資格
microsoft 目錄/users/oAuth2PermissionGrants/read 讀取使用者的委派許可權授與
microsoft.directory/users/ownedDevices/read 讀取使用者的擁有裝置
microsoft.directory/users/ownedObjects/read 讀取使用者的擁有物件
microsoft 目錄/使用者/相片/讀取 讀取使用者的相片
microsoft.directory/users/registeredDevices/read 讀取使用者的已註冊裝置
microsoft 目錄/users/scopedRoleMemberOf/read 讀取使用者的 Azure AD 角色成員資格,範圍設定為管理單位

目錄同步處理帳戶

請勿使用。 此角色會自動指派給 Azure AD Connect 服務,不適用於也不支援任何其他用途。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft 目錄/應用程式/appRoles/更新 更新所有類型之應用程式的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型之應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
microsoft directory/applications/notes/更新 更新應用程式的附注
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft. 目錄/應用程式/標記/更新 更新應用程式的標記
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.directory/organization/dirSync/update 更新組織目錄同步屬性
microsoft.directory/policies/create 在 Azure AD 中建立原則
microsoft.directory/policies/delete 刪除 Azure AD 中的原則
microsoft.directory/policies/standard/read 讀取原則的基本屬性
microsoft.directory/policies/owners/read 讀取原則的擁有者
microsoft 目錄/原則/policyAppliedTo/read 讀取 policyAppliedTo 屬性
microsoft.directory/policies/basic/update 更新原則的基本屬性
microsoft.directory/policies/owners/update 更新原則的擁有者
microsoft.directory/policies/tenantDefault/update 更新預設的組織原則
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials 管理服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials 讀取服務主體的密碼單一登入認證
microsoft.directory/servicePrincipals/appRoleAssignedTo/read 讀取服務主體角色指派
microsoft.directory/servicePrincipals/appRoleAssignments/read 讀取指派給服務主體的角色指派
microsoft.directory/servicePrincipals/standard/read 讀取服務主體的基本屬性
microsoft.directory/servicePrincipals/memberOf/read 讀取服務主體的群組成員資格
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read 讀取服務主體的委派許可權授與
microsoft.directory/servicePrincipals/owners/read 讀取服務主體的擁有者
microsoft.directory/servicePrincipals/ownedObjects/read 讀取服務主體的擁有物件
microsoft.directory/servicePrincipals/policies/read 讀取服務主體的原則
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/audience/update 更新服務主體的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft.directory/servicePrincipals/credentials/update 更新服務主體的認證
microsoft 目錄/servicePrincipals/notes/更新 更新服務主體的附注
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的 tag 屬性

目錄撰寫者

此角色的使用者可以讀取及更新使用者、群組和服務主體的基本資訊。 僅將此角色指派給不支援 同意架構的應用程式。 不應將它指派給任何使用者。

動作 描述
microsoft 目錄/應用程式/>extensionproperties/更新 更新應用程式上的延伸模組屬性
microsoft directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/groups/basic/update 更新安全性群組和 Microsoft 365 群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組/分類/更新 更新安全性群組和 Microsoft 365 群組上的分類屬性,但不包括角色可指派的群組
microsoft 目錄/群組/Groups.dynamicmembershiprule/更新 更新安全性群組和 Microsoft 365 群組的動態成員資格規則,但不包括角色可指派的群組
microsoft 目錄/群組/groupType/更新 更新可能會影響安全性群組和 Microsoft 365 群組群組類型的內容,但不包括角色可指派的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組/onPremWriteBack/更新 更新 Azure Active Directory 的群組,以 Azure AD 連線寫回內部部署
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft 目錄/群組/可見度/更新 更新安全性群組和 Microsoft 365 群組的可見度屬性,不包括角色可指派的群組
microsoft.directory/groupSettings/create 建立群組設定
microsoft.directory/groupSettings/delete 刪除群組設定
microsoft.directory/groupSettings/basic/update 更新群組設定上的基本屬性
microsoft directory/oAuth2PermissionGrants/create 建立 OAuth 2.0 許可權授與
microsoft directory/oAuth2PermissionGrants/basic/update 更新 OAuth 2.0 許可權授與
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建的密碼和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新開機及暫停應用程式布建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式布建同步處理作業和架構
microsoft directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 將群組資料的直接存取權授與服務主體
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
microsoft 目錄/使用者/停用 停用使用者
microsoft 目錄/使用者/啟用 啟用使用者
microsoft.directory/users/invalidateAllRefreshTokens 藉由讓使用者重新整理權杖失效來強制登出
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 適用于使用者的更新管理員
microsoft 目錄/使用者/相片/更新 更新使用者的相片
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱

功能變數名稱管理員

具有此角色的使用者可以管理 (讀取、新增、驗證、更新和刪除) 的功能變數名稱。 它們也可以讀取有關使用者、群組和應用程式的目錄資訊,因為這些物件具有網域相依性。 針對內部部署環境,具有此角色的使用者可以設定同盟的功能變數名稱,讓相關聯的使用者一律在內部部署中進行驗證。 然後,這些使用者就可以透過單一登入,以其內部部署密碼登入 Azure AD 型服務。 同盟設定必須透過 Azure AD 連線同步處理,因此使用者也有權管理 Azure AD 連線。

動作 描述
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Dynamics 365 系統管理員

此角色的使用者具有 Microsoft Dynamics 365 Online (如其存在) 的全域權限,並能管理支援票證及監視服務的健康情況。 如需詳細資訊,請參閱使用服務管理員角色管理您的 Azure AD 組織

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,會將此角色識別為「Dynamics 365 服務管理員」。 在 Azure 入口網站中則是「Dynamics 365 管理員」。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Edge 系統管理員

此角色中的使用者可以建立和管理 Microsoft Edge 上 Internet Explorer 模式所需的企業網站清單。 此角色會授與建立、編輯和發佈網站清單的許可權,並允許存取管理支援票證。 深入了解

動作 描述
microsoft edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Exchange 系統管理員

此角色的使用者具有 Microsoft Exchange Online (如其存在) 的全域權限。 也可以建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況。 有關 Microsoft 365 系統管理員角色的詳細資訊。

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,會將此角色識別為「Exchange 服務管理員」。 在 Azure 入口網站中則是「Exchange 管理員」。 在 Exchange 系統管理中心中則是「Exchange Online 管理員」。

動作 描述
microsoft. directory/deletedItems. groups/delete 永久刪除無法再還原的群組
microsoft. directory/deletedItems. groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/groups/hiddenMembers/read 讀取安全性群組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft 目錄/群組。統一/建立 建立 Microsoft 365 群組,不包括角色可指派的群組
microsoft. 目錄/群組。統一/刪除 刪除 Microsoft 365 群組,但不包括角色可指派的群組
microsoft 目錄/群組。統一/還原 還原 Microsoft 365 群組
microsoft. 目錄/群組. 統一/基本/更新 更新 Microsoft 365 群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組。統一/成員/更新 更新 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組。統一/擁有者/更新 更新 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
office365. exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Exchange 收件者系統管理員

具有此角色的使用者在 Exchange Online 中具有收件者的讀取權限,以及這些收件者屬性的寫入存取權。 Exchange收件者的詳細資訊。

動作 描述
office365. exchange/allRecipients/allProperties/allTasks 建立和刪除所有收件者,以及在 Exchange Online 中讀取和更新所有收件者的屬性
office365. exchange/messageTracking/allProperties/allTasks 在 Exchange Online 中管理訊息追蹤中的所有工作
office365. exchange/遷移/allProperties/allTasks 在 Exchange Online 中管理與收件者遷移相關的所有工作

外部識別碼使用者流程管理員

具有此角色的使用者可以建立和管理使用者流程 (也稱為 Azure 入口網站中) 的「內建」原則。 這些使用者可以自訂 HTML/CSS/JavaScript 內容、變更 MFA 需求、選取權杖中的宣告、管理 API 連接器,以及設定 Azure AD 組織中所有使用者流程的會話設定。 另一方面,此角色不包含檢查使用者資料的能力,或對組織架構中包含的屬性進行變更。 Identity Experience Framework 原則的變更 (也稱為自訂原則) 也在此角色的範圍之外。

動作 描述
microsoft directory/b2cUserFlow/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定使用者屬性

外部識別碼使用者流程屬性管理員

具備此角色的使用者可新增或刪除 Azure AD 組織中所有使用者流程可用的自訂屬性。  因此,具備此角色的使用者可以變更項目,或將其新增至終端使用者結構描述,而影響所有使用者流程的行為,進而間接變更可能要求的終端使用者資料,最後以宣告的形式傳送給應用程式。此角色無法編輯使用者流程。  此角色無法編輯使用者流程。

動作 描述
microsoft directory/b2cUserAttribute/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定自訂原則

外部識別提供者管理員

此管理員可管理 Azure AD 組織與外部識別提供者之間的同盟。  具備此角色,使用者可以新增識別提供者及設定所有可用的設定 (例如,驗證路徑、服務識別碼、指派的金鑰容器)。  此使用者可讓 Azure AD 組織信任來自外部識別提供者的驗證。  對終端使用者體驗所產生的影響取決於組織類型:

  • 適用于員工和合作夥伴的 Azure AD 組織:新增同盟 (例如使用 Gmail) 會立即影響尚未兌換的所有來賓邀請。 請參閱將 Google 新增為 B2B 來賓使用者的識別提供者
  • Azure Active Directory B2C 組織:在識別提供者新增為使用者流程 (也稱為內建原則) 中的選項之前,新增同盟 (例如與 Facebook,或與另一個 Azure AD 組織) 並不會立即影響終端使用者流程。 如需範例,請參閱將 Microsoft 帳戶設為識別提供者。  若要變更使用者流程,需要有「B2C 使用者流程管理員」的受限角色。
動作 描述
microsoft directory/identityProviders/allProperties/allTasks 在 Azure Active Directory B2C 中讀取及設定識別提供者

全域管理員

具有此角色的使用者可以存取 Azure Active Directory 中的所有管理功能,以及使用 Azure Active Directory 身分識別的服務,例如 Microsoft 365 Defender 入口網站、Microsoft 365 合規性中心、Exchange Online、SharePoint online 和商務用 Skype online。 此外,全域管理員可以提高 其存取權 ,以管理所有 Azure 訂用帳戶和管理群組。 這可讓全域系統管理員使用各自的 Azure AD 租使用者,取得所有 Azure 資源的完整存取權。 註冊 Azure AD 組織的人員將成為全域管理員。 您的公司可能有一個以上的全域管理員。 全域系統管理員可以為任何使用者和所有其他系統管理員重設密碼。

注意

Microsoft 建議的最佳作法是將全域管理員角色指派給您組織中的五人以上。 如需詳細資訊,請參閱Azure AD 角色的最佳作法

動作 描述
microsoft directory/accessReviews/allProperties/allTasks 建立和刪除存取權評論、讀取和更新存取權評論的所有屬性,以及管理 Azure AD 中群組的存取權審核
microsoft.directory/administrativeUnits/allProperties/allTasks 建立及管理系統管理單位 (包括成員)
microsoft.directory/applications/allProperties/allTasks 建立和刪除應用程式,以及讀取和更新所有屬性
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft directory/users/authenticationMethods/create 為使用者建立驗證方法
microsoft directory/users/authenticationMethods/delete 刪除使用者的驗證方法
microsoft. directory/users/authenticationMethods/standard/read 讀取使用者的驗證方法標準屬性
microsoft directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
microsoft directory/authorizationPolicy/allProperties/allTasks 管理授權原則的所有層面
microsoft. directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 中繼資料和金鑰
microsoft directory/>portal.cloudappsecurity.com/allProperties/allTasks 在 Microsoft Cloud App Security 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.directory/connectors/create 建立應用程式 proxy 連接器
microsoft 目錄/連接器/allProperties/read 讀取應用程式 proxy 連接器的所有屬性
microsoft.directory/connectorGroups/create 建立應用程式 proxy 連接器群組
microsoft.directory/connectorGroups/delete 刪除應用程式 proxy 連接器群組
microsoft. directory/connectorGroups/allProperties/read 讀取應用程式 proxy 連接器群組的所有屬性
microsoft directory/connectorGroups/allProperties/update 更新應用程式 proxy 連接器群組的所有屬性
microsoft.directory/contacts/allProperties/allTasks 建立和刪除連絡人,以及讀取和更新所有屬性
microsoft.directory/contracts/allProperties/allTasks 建立和刪除夥伴合約,以及讀取和更新所有屬性
microsoft 目錄/deletedItems/delete 永久刪除無法再還原的物件
microsoft 目錄/deletedItems/restore 將虛刪除的物件還原為原始狀態
microsoft.directory/devices/allProperties/allTasks 建立和刪除裝置,以及讀取和更新所有屬性
microsoft. directory/deviceManagementPolicies/standard/read 讀取裝置管理應用程式原則的標準屬性
microsoft directory/deviceManagementPolicies/basic/update 更新裝置管理應用程式原則的基本屬性
microsoft. directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則的標準屬性
microsoft directory/deviceRegistrationPolicy/basic/update 更新裝置註冊原則的基本屬性
microsoft.directory/directoryRoles/allProperties/allTasks 建立和刪除目錄角色,以及讀取和更新所有屬性
microsoft.directory/directoryRoleTemplates/allProperties/allTasks 建立和刪除 Azure AD 角色範本,以及讀取和更新所有屬性
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
microsoft directory/entitlementManagement/allProperties/allTasks 在 Azure AD 權利管理中建立和刪除資源,以及讀取和更新所有屬性
microsoft.directory/groups/allProperties/allTasks 建立和刪除群組,以及讀取和更新所有屬性
microsoft directory/groupsAssignableToRoles/create 建立可指派角色的群組
microsoft 目錄/groupsAssignableToRoles/delete 刪除可指派角色的群組
microsoft 目錄/groupsAssignableToRoles/restore 還原角色可指派的群組
microsoft directory/groupsAssignableToRoles/allProperties/update 更新角色可指派的群組
microsoft.directory/groupSettings/allProperties/allTasks 建立和刪除群組設定,以及讀取和更新所有屬性
microsoft.directory/groupSettingTemplates/allProperties/allTasks 建立和刪除群組設定範本,以及讀取和更新所有屬性
microsoft directory/Microsoft.aad.identityprotection/allProperties/allTasks 建立和刪除所有資源,以及讀取和更新 Azure AD Identity Protection 中的標準屬性
microsoft directory/loginOrganizationBranding/allProperties/allTasks 建立和刪除 loginTenantBranding,以及讀取和更新所有屬性
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
microsoft.directory/organization/allProperties/allTasks 讀取及更新組織的所有屬性
microsoft.directory/policies/allProperties/allTasks 建立和刪除原則,以及讀取和更新所有屬性
microsoft directory/conditionalAccessPolicies/allProperties/allTasks 管理條件式存取原則的所有屬性
microsoft directory/crossTenantAccessPolicies/allProperties/allTasks 管理跨租使用者存取原則
microsoft. directory/Microsoft.aad.privilegedidentitymanagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色定義,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/serviceAction/activateService 可以執行服務的 [啟動服務] 動作
microsoft.directory/serviceAction/disableDirectoryFeature 可以執行「停用目錄功能」服務動作
microsoft.directory/serviceAction/enableDirectoryFeature 可以執行「啟用目錄功能」服務動作
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以執行 getAvailableExtentionProperties 服務動作
microsoft.directory/servicePrincipals/allProperties/allTasks 建立和刪除服務主體,以及讀取和更新所有屬性
microsoft directory/servicePrincipals/managePermissionGrantsForAll. microsoft-company-admin 將任何許可權的同意授與任何應用程式
microsoft directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 將群組資料的直接存取權授與服務主體
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.directory/subscribedSkus/allProperties/allTasks 購買和管理訂用帳戶並刪除訂閱
microsoft.directory/users/allProperties/allTasks 建立和刪除使用者,以及讀取和更新所有屬性
microsoft.directory/permissionGrantPolicies/create 建立許可權授與原則
microsoft.directory/permissionGrantPolicies/delete 刪除許可權授與原則
microsoft.directory/permissionGrantPolicies/standard/read 讀取權限授與原則的標準屬性
microsoft.directory/permissionGrantPolicies/basic/update 更新許可權授與原則的基本屬性
microsoft directory/servicePrincipalCreationPolicies/create 建立服務主體建立原則
microsoft 目錄/servicePrincipalCreationPolicies/delete 刪除服務主體建立原則
microsoft. directory/servicePrincipalCreationPolicies/standard/read 讀取服務主體建立原則的標準屬性
microsoft directory/servicePrincipalCreationPolicies/basic/update 更新服務主體建立原則的基本屬性
microsoft. directory/verifiableCredentials/configuration/合約/卡片/allProperties/read 讀取可驗證的認證卡片
microsoft 目錄/verifiableCredentials/configuration/合約/卡片/撤銷 撤銷可驗證的認證卡片
microsoft directory/verifiableCredentials/configuration/contract/create 建立可驗證的認證合約
microsoft. directory/verifiableCredentials/configuration/合約/allProperties/read 讀取可驗證的認證合約
microsoft directory/verifiableCredentials/configuration/contract/allProperties/update 更新可驗證的認證合約
microsoft. directory/verifiableCredentials/configuration/create 建立建立及管理可驗證認證所需的設定
microsoft. directory/verifiableCredentials/configuration/delete 刪除建立及管理可驗證認證所需的設定,並刪除其所有可驗證的認證
microsoft. directory/verifiableCredentials/configuration/allProperties/read 讀取建立及管理可驗證認證所需的設定
microsoft. directory/verifiableCredentials/configuration/allProperties/update 需要更新設定才能建立及管理可驗證的認證
advancedThreatProtection/allEntities/allTasks 管理 Azure 進階威脅防護的所有層面
microsoft.azure.informationProtection/allEntities/allTasks 管理 Azure 資訊保護的所有層面
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.commerce.billing/allEntities/allTasks 管理 Office 365 計費的所有層面
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft edge/allEntities/allProperties/allTasks 管理 Microsoft Edge 的所有層面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的所有層面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的所有層面
microsoft.office365.complianceManager/allEntities/allTasks 管理 Office 365 合規性管理員的所有層面
microsoft.office365.desktopAnalytics/allEntities/allTasks 管理電腦分析的所有層面
office365. exchange/allEntities/basic/allTasks 管理 Exchange Online 的所有層面
office365. 知識/contentUnderstanding/allProperties/allTasks 在 Microsoft 365 系統管理中心中讀取和更新內容理解的所有屬性
office365. 知識/contentUnderstanding/analytics/allProperties/read 閱讀 Microsoft 365 系統管理中心中內容理解的分析報告
office365. 知識/knowledgeNetwork/allProperties/allTasks 在 Microsoft 365 系統管理中心中讀取和更新知識網路的所有屬性
office365. 知識/knowledgeNetwork/topicVisibility/allProperties/allTasks 在 Microsoft 365 系統管理中心中管理知識網路的主題可見度
office365. 知識/learningSources/allProperties/allTasks 管理 learning 來源及其在 Learning 應用程式中的所有屬性。
microsoft.office365.lockbox/allEntities/allTasks 管理客戶加密箱的所有層面
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 系統管理中心中閱讀訊息中心的安全性訊息
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
office365. Microsoft.office365.protectioncenter/allEntities/allProperties/allTasks 管理安全性 & 合規性中心的所有層面
office365 搜尋/內容/管理 建立和刪除內容,以及在 Microsoft 搜尋中讀取和更新所有屬性
microsoft.office365.securityComplianceCenter/allEntities/allTasks 建立和刪除所有資源,以及讀取和更新 Office 365 安全性 & 合規性中心內的標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
office365. sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.userCommunication/allEntities/allTasks 讀取和更新新消息的可見度
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 的所有層面
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Power BI 的所有層面
microsoft. 團隊/allEntities/allProperties/allTasks 管理 Teams 中的所有資源
Microsoft.windows.defenderadvancedthreatprotection/allEntities/allTasks 管理 Microsoft Defender for Endpoint 的所有層面
updatesDeployments/allEntities/allProperties/allTasks 讀取及設定 Windows Update 服務的所有層面

全域讀者

擔任此角色的使用者可以讀取各種 Microsoft 365 服務的設定和系統管理資訊,但無法執行管理動作。 全域讀取器是全域管理員的唯讀對應。 指派全域讀取器,而非全域管理員,以進行規劃、審核或調查。 將全域讀取者與其他受限的管理員角色(例如 Exchange 管理員)搭配使用,可讓您更輕鬆地完成工作,而不需指派全域管理員角色。 全球讀者適用于 Microsoft 365 系統管理中心、Exchange 系統管理中心、SharePoint 系統管理中心、Teams 系統管理中心、安全性中心、合規性中心、Azure AD 系統管理中心,以及裝置管理系統管理中心。

注意

全域讀者角色現在有一些限制-

這些功能目前正在開發中。

動作 描述
microsoft. directory/accessReviews/allProperties/read 讀取存取權評論的所有屬性
microsoft. directory/administrativeUnits/allProperties/read 讀取管理單位的所有屬性
microsoft. directory/applications/allProperties/read 讀取所有屬性 (包括所有應用程式類型上) 的特殊許可權屬性
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式物件相關聯的佈建設定
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft directory/users/authenticationMethods/standard/restrictedRead 讀取不包含使用者個人識別資訊之驗證方法的標準屬性
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft. directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 中繼資料和金鑰
microsoft. directory/>portal.cloudappsecurity.com/allProperties/read 讀取 Cloud app security 的所有屬性
microsoft 目錄/連接器/allProperties/read 讀取應用程式 proxy 連接器的所有屬性
microsoft. directory/connectorGroups/allProperties/read 讀取應用程式 proxy 連接器群組的所有屬性
microsoft. directory/contacts/allProperties/read 讀取連絡人的所有屬性
microsoft directory/devices/allProperties/read 讀取裝置上的所有屬性
microsoft. directory/directoryRoles/allProperties/read 讀取 Azure AD 角色的所有屬性
microsoft. directory/directoryRoleTemplates/allProperties/read 讀取角色範本的所有屬性
microsoft 目錄/網域/allProperties/讀取 讀取網域的所有屬性
microsoft. directory/entitlementManagement/allProperties/read 讀取 Azure AD 權利管理中的所有屬性
microsoft. directory/groups/allProperties/read 讀取所有屬性 (包括安全性群組和 Microsoft 365 群組) 具特殊許可權的屬性,包括角色可指派的群組
microsoft. directory/groupSettings/allProperties/read 讀取群組設定的所有屬性
microsoft. directory/groupSettingTemplates/allProperties/read 讀取群組設定範本的所有屬性
microsoft. directory/Microsoft.aad.identityprotection/allProperties/read 讀取 Azure AD Identity Protection 中的所有資源
microsoft. directory/loginOrganizationBranding/allProperties/read 讀取貴組織品牌化登入頁面的所有屬性
microsoft. directory/oAuth2PermissionGrants/allProperties/read 讀取 OAuth 2.0 許可權授與的所有屬性
microsoft 目錄/組織/allProperties/read 讀取組織的所有屬性
microsoft.directory/permissionGrantPolicies/standard/read 讀取權限授與原則的標準屬性
microsoft 目錄/原則/allProperties/read 讀取原則的所有屬性
microsoft. directory/conditionalAccessPolicies/allProperties/read 讀取條件式存取原則的所有屬性
microsoft. directory/crossTenantAccessPolicies/allProperties/read 讀取跨租使用者原則的所有屬性
microsoft. directory/deviceManagementPolicies/standard/read 讀取裝置管理應用程式原則的標準屬性
microsoft. directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則的標準屬性
microsoft. directory/Microsoft.aad.privilegedidentitymanagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft. directory/roleAssignments/allProperties/read 讀取角色指派的所有屬性
microsoft. directory/roleDefinitions/allProperties/read 讀取角色定義的所有屬性
microsoft. directory/scopedRoleMemberships/allProperties/read 以管理單位查看成員
microsoft.directory/serviceAction/getAvailableExtentionProperties 可以執行 getAvailableExtentionProperties 服務動作
microsoft.directory/servicePrincipals/allProperties/read 讀取所有屬性 (包括 servicePrincipals 上) 的特殊許可權屬性
microsoft. directory/servicePrincipalCreationPolicies/standard/read 讀取服務主體建立原則的標準屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft. directory/subscribedSkus/allProperties/read 讀取產品訂閱的所有屬性
microsoft 目錄/users/allProperties/read 讀取使用者的所有屬性
microsoft. directory/verifiableCredentials/configuration/合約/卡片/allProperties/read 讀取可驗證的認證卡片
microsoft. directory/verifiableCredentials/configuration/合約/allProperties/read 讀取可驗證的認證合約
microsoft. directory/verifiableCredentials/configuration/allProperties/read 讀取建立及管理可驗證認證所需的設定
cloudPC/allEntities/allProperties/read 閱讀 Windows 365 的所有層面
microsoft.commerce.billing/allEntities/read 讀取 Office 365 計費的所有資源
microsoft edge/allEntities/allProperties/read 閱讀 Microsoft Edge 的所有層面
office365. exchange/allEntities/standard/read 讀取 Exchange Online 的所有資源
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 系統管理中心中閱讀訊息中心的安全性訊息
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
office365. Microsoft.office365.protectioncenter/allEntities/allProperties/read 讀取安全性與合規性中心的所有屬性
microsoft.office365.securityComplianceCenter/allEntities/read 讀取 Microsoft 365 安全性與合規性中心的標準屬性
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft. 小組/allEntities/allProperties/read 閱讀 Microsoft Teams 的所有層面
updatesDeployments/allEntities/allProperties/read 閱讀 Windows Update 服務的所有層面

群組管理員

具備此角色的使用者可以建立/管理群組及其設定 (例如命名和到期原則)。 請務必瞭解,將使用者指派給這個角色,他就能夠在除了 Outlook 以外的各種工作負載 (例如 Teams、SharePoint、Yammer) 上管理組織中的所有群組。 此外,使用者也可以管理各種系統管理員入口網站的各種群組設定,例如 Microsoft 系統管理中心、Azure 入口網站,以及 Teams 和 SharePoint 系統管理中心等工作負載特有的設定。

動作 描述
microsoft. directory/deletedItems. groups/delete 永久刪除無法再還原的群組
microsoft. directory/deletedItems. groups/restore 將虛刪除的群組還原為原始狀態
microsoft directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/hiddenMembers/read 讀取安全性群組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/groups/restore 還原已刪除的群組
microsoft.directory/groups/basic/update 更新安全性群組和 Microsoft 365 群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組/分類/更新 更新安全性群組和 Microsoft 365 群組上的分類屬性,但不包括角色可指派的群組
microsoft 目錄/群組/Groups.dynamicmembershiprule/更新 更新安全性群組和 Microsoft 365 群組的動態成員資格規則,但不包括角色可指派的群組
microsoft 目錄/群組/groupType/更新 更新可能會影響安全性群組和 Microsoft 365 群組群組類型的內容,但不包括角色可指派的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組/onPremWriteBack/更新 更新 Azure Active Directory 的群組,以 Azure AD 連線寫回內部部署
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft 目錄/群組/可見度/更新 更新安全性群組和 Microsoft 365 群組的可見度屬性,不包括角色可指派的群組
microsoft directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 將群組資料的直接存取權授與服務主體
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

來賓邀請者

當 [成員可邀請] 使用者設定為 [否] 時,此角色中的使用者可以管理 Azure Active Directory B2B 來賓使用者的邀請 在關於 Azure AD B2B 共同作業中查看 B2B 共同作業的詳細資訊。 這不包含任何其他權限。

動作 描述
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft 目錄/使用者/標準/讀取 讀取使用者的基本屬性
microsoft.directory/users/appRoleAssignments/read 讀取使用者的應用程式角色指派
microsoft 目錄/users/deviceForResourceAccount/read 讀取使用者的 deviceForResourceAccount
microsoft.directory/users/directReports/read 讀取使用者的直接報告
microsoft 目錄/users/>licensedetails/read 讀取使用者的授權詳細資料
microsoft.directory/users/manager/read 讀取使用者的管理員
microsoft.directory/users/memberOf/read 讀取使用者的群組成員資格
microsoft 目錄/users/oAuth2PermissionGrants/read 讀取使用者的委派許可權授與
microsoft.directory/users/ownedDevices/read 讀取使用者的擁有裝置
microsoft.directory/users/ownedObjects/read 讀取使用者的擁有物件
microsoft 目錄/使用者/相片/讀取 讀取使用者的相片
microsoft.directory/users/registeredDevices/read 讀取使用者的已註冊裝置
microsoft 目錄/users/scopedRoleMemberOf/read 讀取使用者的 Azure AD 角色成員資格,範圍設定為管理單位

服務台系統管理員

具備此角色的使用者可以變更密碼、讓重新整理權杖失效、管理服務要求,以及監視服務健康情況。 讓重新整理權杖失效會強制使用者重新登入。 技術服務人員系統管理員是否可以重設使用者的密碼,以及使重新整理權杖失效,取決於使用者所指派的角色。 如需技術支援中心系統管理員可以重設密碼並使重新整理權杖不正確角色清單,請參閱 密碼重設許可權

重要

具備此角色的使用者可以變更可存取機密或私人資訊或 Azure Active Directory 內外重要組態的人員密碼。 變更使用者的密碼表示可承擔該使用者身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Azure AD 中可能有特殊權限,而在其他地方未授與技術支援中心系統管理員。 技術支援中心系統管理員可以透過此路徑承擔應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有機密或私人資訊或者 Azure 中重要組態的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這個群組可以存取機密或私人資訊或者 Azure AD 和其他位置中的重要組態。
  • Azure AD 外部其他服務 (例如,Exchange Online、Office 安全性與合規性中心和人力資源系統) 中的系統管理員。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取機密或私人資訊。

將系統管理許可權委派給使用者的子集,並將原則套用到使用者子集,可能會有系統 管理單位

此角色先前在 Azure 入口網站中稱為「密碼管理員」。 Azure AD 中的「服務台管理員」名稱現在符合其在 Azure AD PowerShell 和 Microsoft Graph API 中的名稱。

動作 描述
microsoft. directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 中繼資料和金鑰
microsoft.directory/users/invalidateAllRefreshTokens 藉由讓使用者重新整理權杖失效來強制登出
microsoft.directory/users/password/update 重設所有使用者的密碼
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

混合式身分識別管理員

此角色的使用者可以建立、管理布建設定,並將其從 AD 部署到 Azure AD 使用雲端布建,以及管理 Azure AD 連線和同盟設定。 使用者也可以使用此角色針對記錄進行疑難排解和監視。

動作 描述
microsoft.directory/applications/create 建立所有類型的應用程式
microsoft.directory/applications/delete 刪除所有類型的應用程式
microsoft 目錄/應用程式/appRoles/更新 更新所有類型之應用程式的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型之應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft directory/applications/notes/更新 更新應用程式的附注
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft. 目錄/應用程式/標記/更新 更新應用程式的標記
microsoft.directory/applications/synchronization/standard/read 讀取與應用程式物件相關聯的佈建設定
microsoft.directory/applicationTemplates/instantiate 從應用程式範本具現化資源庫應用程式
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft.directory/cloudProvisioning/allProperties/allTasks 讀取及設定 Azure AD 雲端佈建服務的所有屬性。
microsoft 目錄/deletedItems. applications/delete 永久刪除無法再還原的應用程式
microsoft 目錄/deletedItems. applications/restore 將虛刪除的應用程式還原為原始狀態
microsoft 目錄/網域/allProperties/讀取 讀取網域的所有屬性
microsoft 目錄/網域/同盟/更新 更新網域的同盟屬性
microsoft.directory/organization/dirSync/update 更新組織目錄同步屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/servicePrincipals/create 建立服務主體
microsoft.directory/servicePrincipals/delete 刪除服務主體
microsoft.directory/servicePrincipals/disable 停用服務主體
microsoft.directory/servicePrincipals/enable 啟用服務主體
microsoft.directory/servicePrincipals/synchronizationCredentials/manage 管理應用程式布建的密碼和認證
microsoft.directory/servicePrincipals/synchronizationJobs/manage 啟動、重新開機及暫停應用程式布建同步作業
microsoft.directory/servicePrincipals/synchronizationSchema/manage 建立及管理應用程式布建同步處理作業和架構
microsoft.directory/servicePrincipals/audience/update 更新服務主體的物件屬性
microsoft.directory/servicePrincipals/authentication/update 更新服務主體的驗證屬性
microsoft.directory/servicePrincipals/basic/update 更新服務主體的基本屬性
microsoft 目錄/servicePrincipals/notes/更新 更新服務主體的附注
microsoft.directory/servicePrincipals/owners/update 更新服務主體的擁有者
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/servicePrincipals/tag/update 更新服務主體的 tag 屬性
microsoft.directory/servicePrincipals/synchronization/standard/read 讀取與服務主體相關聯的佈建設定
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

身分識別治理系統管理員

具有此角色的使用者可以管理 Azure AD 身分識別治理設定,包括存取套件、存取權、目錄和原則,確保存取權經過核准和審核,而且不再需要存取的來賓使用者也會被移除。

動作 描述
microsoft directory/accessReviews/allProperties/allTasks 建立和刪除存取權評論、讀取和更新存取權評論的所有屬性,以及管理 Azure AD 中群組的存取權審核
microsoft directory/entitlementManagement/allProperties/allTasks 在 Azure AD 權利管理中建立和刪除資源,以及讀取和更新所有屬性
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派

Insights 管理員

此角色中的使用者可以存取Microsoft 365 Insights 應用程式中的一組完整系統管理功能。 此角色具有讀取目錄資訊、監視服務健康狀態、檔案支援票證,以及存取 Insights 系統管理員設定方面的能力。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft insights/allEntities/allTasks 管理 Insights 應用程式的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Insights 商務領導人

此角色的使用者可透過Microsoft 365 Insights 應用程式存取一組儀表板和深入解析。 這包括所有儀表板的完整存取權,以及提供的深入解析和資料探索功能。 此角色中的使用者無法存取產品設定,這是 Insights 系統管理員角色的責任。

動作 描述
microsoft insights/reports/read 在 Insights 應用程式中查看報表和儀表板
microsoft insights/程式/更新 在 Insights 應用程式中部署和管理程式

Intune 管理員

此角色的使用者具有 Microsoft Intune Online (如其存在) 的全域權限。 此外,此角色包含管理使用者和裝置的能力,可相關聯原則以及建立和管理群組。 如需詳細資訊,請參閱將角色型系統管理控制用於 Microsoft Intune

此角色可以建立和管理所有安全性群組。 不過,Intune 系統管理員沒有 Office 群組的系統管理員許可權。 這表示此管理員無法更新組織中所有 Office 群組的擁有者或成員資格。 不過,他/她可以管理其所建立的 Office 群組,這屬於其終端使用者權限的一部分。 因此,他/她所建立的任何 Office 群組 (而不是安全性群組),都應該根據其配額 250 個來計算。

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,會將此角色識別為「Intune 服務管理員」。 在 Azure 入口網站中則是「Intune 管理員」。

動作 描述
microsoft. directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 中繼資料和金鑰
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft.directory/devices/create 在 Azure AD) 中建立 (註冊的裝置
microsoft.directory/devices/delete 從 Azure AD 刪除裝置
microsoft.directory/devices/disable 在 Azure AD 中停用裝置
microsoft.directory/devices/enable 在 Azure AD 中啟用裝置
microsoft.directory/devices/basic/update 更新裝置上的基本屬性
microsoft 目錄/裝置/extensionAttributeSet1/更新 更新 extensionAttribute1 以 extensionAttribute5 裝置上的屬性
microsoft 目錄/裝置/extensionAttributeSet2/更新 更新 extensionAttribute6 以 extensionAttribute10 裝置上的屬性
microsoft 目錄/裝置/extensionAttributeSet3/更新 更新 extensionAttribute11 以 extensionAttribute15 裝置上的屬性
microsoft.directory/devices/registeredOwners/update 更新裝置的已註冊擁有者
microsoft.directory/devices/registeredUsers/update 更新裝置的註冊使用者
microsoft. directory/deviceManagementPolicies/standard/read 讀取裝置管理應用程式原則的標準屬性
microsoft. directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則的標準屬性
microsoft.directory/groups/hiddenMembers/read 讀取安全性群組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft. 目錄/群組. 安全性/建立 建立安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組。安全性/刪除 刪除安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/基本/更新 更新安全性群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組。安全性/分類/更新 更新安全性群組上的分類屬性,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/Groups.dynamicmembershiprule/更新 更新安全性群組的動態成員資格規則,不包括角色可指派的群組
microsoft 目錄/群組。安全性/成員/更新 更新安全性群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組。安全性/擁有者/更新 更新安全性群組的擁有者,但不包含可指派角色的群組
microsoft 目錄/群組。安全性/可見度/更新 更新安全性群組上的可見度屬性,不包括角色可指派的群組
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 適用于使用者的更新管理員
microsoft 目錄/使用者/相片/更新 更新使用者的相片
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.intune/allEntities/allTasks 管理 Microsoft Intune 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Kaizala 管理員

具備此角色的使用者有全域權限可管理 Microsoft Kaizala (如其存在) 內的設定,還能夠管理支援票證及監視服務健康情況。 此外,該使用者也可存取與組織成員採用和使用 Kaizala 相關的報告,以及使用 Kaizala 動作所產生的商務報告。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

知識管理員

此角色的使用者可以完整存取 Microsoft 365 系統管理中心中的所有知識、學習和智慧型功能設定。 他們對產品套件、授權詳細資料有大致的瞭解,並負責控制存取權。 知識管理員可以建立和管理內容,例如主題、縮寫和學習資源。 此外,這些使用者可以建立內容中心、監視服務健康狀態,以及建立服務要求。

動作 描述
microsoft. 目錄/群組. 安全性/建立 建立安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/createAsOwner 建立安全性群組,但不包含可指派角色的群組。 建立者會新增為第一個擁有者。
microsoft. 目錄/群組。安全性/刪除 刪除安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/基本/更新 更新安全性群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組。安全性/成員/更新 更新安全性群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組。安全性/擁有者/更新 更新安全性群組的擁有者,但不包含可指派角色的群組
office365. 知識/contentUnderstanding/allProperties/allTasks 在 Microsoft 365 系統管理中心中讀取和更新內容理解的所有屬性
office365. 知識/knowledgeNetwork/allProperties/allTasks 在 Microsoft 365 系統管理中心中讀取和更新知識網路的所有屬性
office365. 知識/learningSources/allProperties/allTasks 管理 learning 來源及其在 Learning 應用程式中的所有屬性。
office365. Microsoft.office365.protectioncenter/sensitivityLabels/allProperties/read 讀取安全性與合規性中心的所有敏感度標籤屬性
office365. sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

知識管理員

此角色的使用者可以建立和管理內容,例如主題、縮寫和學習內容。 這些使用者主要負責瞭解品質和知識結構。 此使用者具有可確認主題、核准編輯或刪除主題的主題管理動作的完整許可權。 此角色也可以管理詞彙存放區管理工具中的分類,並建立內容中心。

動作 描述
microsoft. 目錄/群組. 安全性/建立 建立安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/createAsOwner 建立安全性群組,但不包含可指派角色的群組。 建立者會新增為第一個擁有者。
microsoft. 目錄/群組。安全性/刪除 刪除安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/基本/更新 更新安全性群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組。安全性/成員/更新 更新安全性群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組。安全性/擁有者/更新 更新安全性群組的擁有者,但不包含可指派角色的群組
office365. 知識/contentUnderstanding/analytics/allProperties/read 閱讀 Microsoft 365 系統管理中心中內容理解的分析報告
office365. 知識/knowledgeNetwork/topicVisibility/allProperties/allTasks 在 Microsoft 365 系統管理中心中管理知識網路的主題可見度
office365. sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

授權管理員

此角色中的使用者可新增、移除和更新使用者和群組的授權指派 (使用群組型授權),以及管理使用者的使用位置。 此角色不會授與購買或管理訂用帳戶、建立或管理群組,或在使用位置以外建立或管理使用者的能力。 這個角色沒有檢視、建立或管理支援票證的存取權。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/usageLocation/update 更新使用者的使用位置
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

訊息中心隱私權讀取者

具備此角色的使用者可以監視訊息中心內的所有通知,包括資料隱私權訊息。 訊息中心隱私權讀取者會收到電子郵件通知 (包括資料隱私權相關通知),並可利用「訊息中心喜好設定」來取消訂閱。 只有全域管理員和訊息中心隱私權讀取者可以讀取資料隱私權訊息。 此外,此角色包含檢視群組、網域和訂閱的能力。 此角色沒有檢視、建立或管理服務要求的權限。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.messageCenter/securityMessages/read 在 Microsoft 365 系統管理中心中閱讀訊息中心的安全性訊息
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

訊息中心讀取者

此角色的使用者可以在已設定的服務(例如 Exchange、Intune 和 Microsoft Teams)上,為其組織監視訊息中心內的通知和諮詢健康情況更新。 訊息中心的讀者會收到文章、更新的每週電子郵件摘要,並可在 Microsoft 365 分享訊息中心貼文。 在 Azure AD 中,指派至此角色的使用者只會有 Azure AD 服務的唯讀存取權,與使用者和群組一樣。 這個角色沒有檢視、建立或管理支援票證的存取權。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

現代化商務使用者

請勿使用。 此角色會從 Commerce 自動指派,不適用於、也不支援任何其他用途。 請參閱下面的詳細資料。

新式商務使用者角色會提供特定使用者存取 Microsoft 365 系統管理中心的許可權,並查看 首頁帳單支援 的左側導覽專案。 這些區域中可用的內容是由指派給使用者的商務專用角色所控制,以管理其為自己或貴組織所購買的產品。 這可能包括支付帳單之類的工作,或對計費帳戶和帳單設定檔的存取權。

具有新式商務使用者角色的使用者通常會擁有其他 Microsoft 購買系統的系統管理許可權,但沒有用來存取系統管理中心的全域管理員或計費管理員角色。

何時會指派新式 Commerce 使用者角色?

  • Microsoft 365 系統管理中心的自助式採購 - 自助式採購讓使用者有機會藉由自行購買或註冊來試用新產品。 這些產品都是在系統管理中心進行管理。 進行自助式購買的使用者會被指派 commerce 系統中的角色,以及新式的商務使用者角色,讓他們可以在系統管理中心管理他們的購買專案。 系統管理員可透過 PowerShell 來封鎖自助式採購 (針對 Power BI、Power Apps、Power Automate)。 如需詳細資訊,請參閱自助式購買常見問題集
  • 從 Microsoft 商業 Marketplace 購買 -與自助式購買類似,當使用者從 Microsoft AppSource 或 Azure Marketplace 購買產品或服務時,如果使用者沒有全域管理員或計費管理員角色,則會指派新式商務使用者角色。 在某些情況下,使用者可能會遭到封鎖而無法進行採購。 如需詳細資訊,請參閱 Microsoft 商業市集
  • Microsoft 的提案 –提案是 microsoft 的正式供應專案,可讓您的組織購買 microsoft 產品和服務。 當接受提案的人沒有 Azure AD 中的全域管理員或計費管理員角色時,系統會將商務專屬角色指派給他們,以完成提案和新式商務使用者角色來存取系統管理中心。 當他們存取系統管理中心時,只能使用其商務專用角色所授權的功能。
  • 商務專用角色 – 某些使用者會被指派商務專用角色。 如果使用者不是全域管理員或計費管理員,他們會取得新式商務使用者角色,讓他們可以存取系統管理中心。

如果使用者未指派新式商務使用者角色,就會失去 Microsoft 365 系統管理中心的存取權。 如果他們正為自己或貴組織管理任何產品,將無法管理這些產品。 這可能包括指派授權、變更付款方式、支付帳單,或其他管理訂用帳戶的工作。

動作 描述
microsoft.commerce.billing/partners/read Microsoft 365 計費的讀取夥伴屬性
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks 管理大量授權服務中心的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/basic/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

網路管理員

具備此角色的使用者可以根據來自其使用者位置的網路遙測,檢閱 Microsoft 的網路周邊架構建議。 Microsoft 365 的網路效能依賴于謹慎的企業客戶網路周邊架構(通常是使用者位置)。 此角色可讓您編輯探索到的使用者位置,以及這些位置的網路參數設定,以協助改善遙測量測和設計建議

動作 描述
microsoft.office365.network/locations/allProperties/allTasks 管理網路位置的所有層面
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Office 應用程式管理員

此角色的使用者可以管理 Microsoft 365 apps 的雲端設定。 這包括管理雲端原則、自助式下載管理,以及檢視 Office 應用程式相關報告的功能。 此外,這個角色還能夠管理支援票證,以及監視主要系統管理中心內的服務健康情況。 指派給此角色的使用者也可以管理 Office 應用程式中新功能的通訊。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.userCommunication/allEntities/allTasks 讀取和更新新消息的可見度
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

合作夥伴第 1 層支援

請勿使用。 此角色已被取代,而且未來將從 Azure AD 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。

重要

此角色可以重設密碼,並使非系統管理員的重新整理權杖失效。 不應使用此角色,因為它已被取代,而且不會再以 API 傳回。

動作 描述
microsoft 目錄/應用程式/appRoles/更新 更新所有類型之應用程式的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型之應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
microsoft directory/applications/notes/更新 更新應用程式的附注
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft. 目錄/應用程式/標記/更新 更新應用程式的標記
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft. directory/deletedItems. groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/restore 還原已刪除的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
microsoft.directory/users/delete 刪除使用者
microsoft 目錄/使用者/停用 停用使用者
microsoft 目錄/使用者/啟用 啟用使用者
microsoft.directory/users/invalidateAllRefreshTokens 藉由讓使用者重新整理權杖失效來強制登出
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 適用于使用者的更新管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
microsoft 目錄/使用者/相片/更新 更新使用者的相片
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

合作夥伴第 2 層支援

請勿使用。 此角色已被取代,而且未來將從 Azure AD 中移除。 此角色僅供少數 Microsoft 轉售合作夥伴使用,不適用於一般用途。

重要

此角色可以重設密碼,並使所有非系統管理員和系統管理員的重新整理權杖失效, (包括全域管理員) 。 不應使用此角色,因為它已被取代,而且不會再以 API 傳回。

動作 描述
microsoft 目錄/應用程式/appRoles/更新 更新所有類型之應用程式的 appRoles 屬性
microsoft.directory/applications/audience/update 更新應用程式的物件屬性
microsoft.directory/applications/authentication/update 更新所有類型之應用程式的驗證
microsoft.directory/applications/basic/update 更新應用程式的基本屬性
microsoft.directory/applications/credentials/update 更新應用程式認證
microsoft directory/applications/notes/更新 更新應用程式的附注
microsoft.directory/applications/owners/update 更新應用程式的擁有者
microsoft.directory/applications/permissions/update 更新所有類型之應用程式的公開許可權和必要許可權
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft. 目錄/應用程式/標記/更新 更新應用程式的標記
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft. directory/deletedItems. groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/domains/allProperties/allTasks 建立和刪除網域,以及讀取和更新所有屬性
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/restore 還原已刪除的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
microsoft.directory/organization/basic/update 更新組織的基本屬性
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色定義,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft. directory/subscribedSkus/standard/read 讀取訂用帳戶的基本屬性
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
microsoft.directory/users/delete 刪除使用者
microsoft 目錄/使用者/停用 停用使用者
microsoft 目錄/使用者/啟用 啟用使用者
microsoft.directory/users/invalidateAllRefreshTokens 藉由讓使用者重新整理權杖失效來強制登出
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 適用于使用者的更新管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
microsoft 目錄/使用者/相片/更新 更新使用者的相片
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

密碼管理員

具有此角色的使用者管理密碼的能力有限。 此角色無法管理服務要求或監視服務健康情況。 密碼系統管理員是否可以重設使用者的密碼,需視使用者指派的角色而定。 如需密碼管理員可以重設密碼的角色清單,請參閱 密碼重設許可權

動作 描述
microsoft.directory/users/password/update 重設所有使用者的密碼
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Power BI 管理員

此角色的使用者具有 Microsoft Power BI (如其存在) 的全域權限,並能管理支援票證及監視服務的健康情況。 瞭解 Power BI 系統管理員角色的詳細資訊。

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,會將此角色識別為「Power BI 服務管理員」。 在 Azure 入口網站中則是「Power BI 管理員」。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft.powerApps.powerBI/allEntities/allTasks 管理 Power BI 的所有層面

Power Platform 管理員

此角色的使用者可以建立和管理環境、Power Apps、流程、資料遺失防護原則的所有層面。 此外,具有此角色的使用者能夠管理支援票證及監視服務健康情況。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.dynamics365/allEntities/allTasks 管理 Dynamics 365 的所有層面
microsoft.flow/allEntities/allTasks 管理 Microsoft Power Automate 的所有層面
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft.powerApps/allEntities/allTasks 管理 Power Apps 的所有層面

印表機管理員

具備此角色的使用者可以註冊印表機,以及管理 Microsoft 通用列印解決方案中所有印表機設定的所有層面,包括通用列印連接器設定。 他們可以同意所有委派的列印權限要求。 印表機管理員也具有列印報告的權限。

動作 描述
microsoft.azure.print/allEntities/allProperties/allTasks 建立和刪除印表機和連接器,以及在 Microsoft Print 中讀取和更新所有屬性

印表機技術人員

具備此角色的使用者可以在 Microsoft 通用列印解決方案中註冊印表機和管理印表機狀態。 他們也可以讀取所有連接器資訊。 印表機技術人員無法執行的重要工作,就是在印表機上設定使用者權限和共用印表機。

動作 描述
microsoft.azure.print/connectors/allProperties/read 在 Microsoft Print 中讀取連接器的所有屬性
microsoft.azure.print/printers/allProperties/read 在 Microsoft Print 中讀取印表機的所有屬性
microsoft.azure.print/printers/register 在 Microsoft Print 中註冊印表機
microsoft.azure.print/printers/unregister 在 Microsoft Print 中取消註冊印表機
microsoft.azure.print/printers/basic/update 在 Microsoft Print 中更新印表機的基本屬性

特殊權限驗證管理員

具有此角色的使用者可以設定或重設任何驗證方法, (包括全域管理員在內的任何使用者密碼) 。 特殊權限驗證管理員可以強制使用者針對現有的非密碼認證 (例如 MFA 或 FIDO) 重新註冊,以及撤銷「在裝置上記住 MFA」(其會在所有使用者下次登入時提示 MFA)。

驗證管理員 」角色具有許可權,可為標準使用者和具有某些系統管理員角色的使用者強制重新註冊和多重要素驗證。

驗證原則系統管理員角色具有設定租使用者驗證方法原則的許可權,以決定每個使用者可註冊和使用的方法。

角色 管理使用者的驗證方法 管理每個使用者的 MFA 管理 MFA 設定 管理驗證方法原則 管理密碼保護原則
驗證系統管理員 是,對於某些使用者 (請參閱上述) 是,對於某些使用者 (請參閱上述)
特殊權限驗證管理員 是適用于所有使用者 是適用于所有使用者
驗證原則系統管理員

重要

對於可存取機密或私人資訊或 Azure Active Directory 內外重要組態的人員,具備此角色的使用者可以變更認證。 變更使用者的認證表示可承擔該使用者身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Azure AD 中可能有特殊權限,而在其他地方未授與驗證系統管理員。 透過此路徑,驗證系統管理員可以假設應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步假設特殊許可權應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有機密或私人資訊或者 Azure 中重要組態的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這個群組可以存取機密或私人資訊或者 Azure AD 和其他位置中的重要組態。
  • Azure AD 外部其他服務 (例如,Exchange Online、Office 安全性與合規性中心和人力資源系統) 中的系統管理員。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取機密或私人資訊。

重要

此角色目前無法在舊版 MFA 管理入口網站中管理每個使用者的 MFA。 您可以使用set-msoluser的 commandlet Azure AD Powershell 模組來完成相同的功能。

動作 描述
microsoft directory/users/authenticationMethods/create 為使用者建立驗證方法
microsoft directory/users/authenticationMethods/delete 刪除使用者的驗證方法
microsoft. directory/users/authenticationMethods/standard/read 讀取使用者的驗證方法標準屬性
microsoft directory/users/authenticationMethods/basic/update 更新使用者驗證方法的基本屬性
microsoft.directory/users/invalidateAllRefreshTokens 藉由讓使用者重新整理權杖失效來強制登出
microsoft.directory/users/password/update 重設所有使用者的密碼
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

特殊權限角色管理員

具備此角色的使用者可以管理 Azure Active Directory 中,以及 Azure AD Privileged Identity Management 內的角色指派。 他們可以建立和管理可指派給 Azure AD 角色的群組。 此外,這個角色允許管理 Privileged Identity Management 的各個層面和管理單位。

重要

此角色能夠管理所有 Azure AD 角色 (包括全域管理員角色) 的指派。 此角色不包含 Azure AD 中的任何其他特殊權限能力,例如建立或更新使用者。 不過,指派給這個角色的使用者可以藉由指派額外的角色,來授與自己或其他人額外權限。

動作 描述
microsoft.directory/administrativeUnits/allProperties/allTasks 建立及管理系統管理單位 (包括成員)
microsoft directory/authorizationPolicy/allProperties/allTasks 管理授權原則的所有層面
microsoft.directory/directoryRoles/allProperties/allTasks 建立和刪除目錄角色,以及讀取和更新所有屬性
microsoft directory/groupsAssignableToRoles/create 建立可指派角色的群組
microsoft 目錄/groupsAssignableToRoles/delete 刪除可指派角色的群組
microsoft 目錄/groupsAssignableToRoles/restore 還原角色可指派的群組
microsoft directory/groupsAssignableToRoles/allProperties/update 更新角色可指派的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
microsoft directory/Microsoft.aad.privilegedidentitymanagement/allProperties/allTasks 在 Privileged Identity Management 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.directory/roleAssignments/allProperties/allTasks 建立和刪除角色指派,以及讀取和更新所有角色指派屬性
microsoft.directory/roleDefinitions/allProperties/allTasks 建立和刪除角色定義,以及讀取和更新所有屬性
microsoft.directory/scopedRoleMemberships/allProperties/allTasks 建立和刪除 scopedRoleMemberships,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/servicePrincipals/permissions/update 更新服務主體的許可權
microsoft directory/servicePrincipals/managePermissionGrantsForAll. microsoft-company-admin 將任何許可權的同意授與任何應用程式
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

報告讀者

具備此角色的使用者可檢視 Microsoft 365 系統管理中心內的使用報告資料與報告儀表板,以及 PowerBI 中的採用內容套件。 此外,此角色還可讓使用者存取 Azure AD 中的登入報告與活動,以及 Microsoft Graph 報告 API 所傳回的資料。 獲指派「報告讀者」角色的使用者只能存取相關的使用情況和採用計量。 他們並不具備任何系統管理權限,因此無法進行設定或存取產品特定的系統管理中心 (例如 Exchange)。 這個角色沒有檢視、建立或管理支援票證的存取權。

動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

搜尋管理員

具備此角色的使用者具有 Microsoft 365 系統管理中心內所有 Microsoft 搜尋管理功能的完整存取權。 此外,這些使用者可以檢視訊息中心、監視服務健康情況,以及建立服務要求。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
office365 搜尋/內容/管理 建立和刪除內容,以及在 Microsoft 搜尋中讀取和更新所有屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

搜尋編輯者

具備此角色的使用者可以建立、管理及刪除 Microsoft 365 系統管理中心中 Microsoft 搜尋的內容,包括書籤、問與答和位置。

動作 描述
microsoft.office365.messageCenter/messages/read 讀取 Microsoft 365 系統管理中心訊息中心中的訊息,但不包括安全性訊息
office365 搜尋/內容/管理 建立和刪除內容,以及在 Microsoft 搜尋中讀取和更新所有屬性
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

安全性系統管理員

具有此角色的使用者有權在 Microsoft 365 Defender 入口網站中管理安全性相關功能、Azure Active Directory Identity Protection、Azure Active Directory 驗證、Azure 資訊保護和 Office 365 安全性 &合規性中心。 如需有關 Office 365 許可權的詳細資訊,請參閱安全性 & 合規性中心的許可權

可以執行
Microsoft 365 資訊安全中心 監視所有 Microsoft 365 服務的安全性相關原則
管理安全性威脅和警示
檢視報表
身分識別防護中心 「安全性讀取者」角色的所有權限
此外,還能夠執行除了重設密碼以外的所有身分識別防護中心作業
Privileged Identity Management 「安全性讀取者」角色的所有權限
無法 管理 Azure AD 角色指派或設定
Office 365 安全性與合規性中心 管理安全性原則
檢視、調查及回應安全性威脅
檢視報表
Azure 進階威脅防護 監視及回應可疑的安全性活動
Windows Defender ATP 和 EDR 指派角色
管理電腦群組
設定端點威脅偵測和自動補救
檢視、調查及回應警示
Intune 檢視使用者、裝置、註冊、設定及應用程式資訊
無法對 Intune 進行變更
Cloud App Security 新增管理員、新增原則和設定、上傳記錄及執行治理動作
Microsoft 365 服務健康狀態 查看 Microsoft 365 服務的健全狀況
智慧鎖定 定義發生登入失敗事件時鎖定的閾值和持續時間。
密碼保護 設定自訂禁用密碼清單或內部部署密碼保護。
動作 描述
microsoft.directory/applications/policies/update 更新應用程式的原則
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft. directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 中繼資料和金鑰
microsoft. directory/entitlementManagement/allProperties/read 讀取 Azure AD 權利管理中的所有屬性
microsoft. directory/Microsoft.aad.identityprotection/allProperties/read 讀取 Azure AD Identity Protection 中的所有資源
microsoft directory/Microsoft.aad.identityprotection/allProperties/update 更新 Azure AD Identity Protection 中的所有資源
microsoft.directory/policies/create 在 Azure AD 中建立原則
microsoft.directory/policies/delete 刪除 Azure AD 中的原則
microsoft.directory/policies/basic/update 更新原則的基本屬性
microsoft.directory/policies/owners/update 更新原則的擁有者
microsoft.directory/policies/tenantDefault/update 更新預設的組織原則
microsoft directory/conditionalAccessPolicies/create 建立條件式存取原則
microsoft 目錄/conditionalAccessPolicies/delete 刪除條件式存取原則
microsoft. directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft 目錄/conditionalAccessPolicies/擁有者/讀取 讀取條件式存取原則的擁有者
microsoft. directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的 [套用至] 屬性
microsoft directory/conditionalAccessPolicies/basic/update 更新條件式存取原則的基本屬性
microsoft 目錄/conditionalAccessPolicies/擁有者/更新 更新條件式存取原則的擁有者
microsoft directory/conditionalAccessPolicies/Policies.tenantdefault/update 更新條件式存取原則的預設租使用者
microsoft directory/crossTenantAccessPolicies/create 建立跨租使用者存取原則
microsoft 目錄/crossTenantAccessPolicies/delete 刪除跨租使用者存取原則
microsoft. directory/crossTenantAccessPolicies/standard/read 讀取跨租使用者存取原則的基本屬性
microsoft 目錄/crossTenantAccessPolicies/擁有者/讀取 讀取跨租使用者存取原則的擁有者
microsoft. directory/crossTenantAccessPolicies/policyAppliedTo/read 讀取跨租使用者存取原則的 policyAppliedTo 屬性
microsoft directory/crossTenantAccessPolicies/basic/update 更新跨租使用者存取原則的基本屬性
microsoft 目錄/crossTenantAccessPolicies/擁有者/更新 更新跨租使用者存取原則的擁有者
microsoft directory/crossTenantAccessPolicies/Policies.tenantdefault/update 更新跨租使用者存取原則的預設租使用者
microsoft. directory/Microsoft.aad.privilegedidentitymanagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/servicePrincipals/policies/update 更新服務主體的原則
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
office365. Microsoft.office365.protectioncenter/allEntities/standard/read 讀取安全性與合規性中心內所有資源的標準屬性
office365. Microsoft.office365.protectioncenter/allEntities/basic/update 更新安全性與合規性中心內所有資源的基本屬性
office365. Microsoft.office365.protectioncenter/attackSimulator/承載/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊承載
office365. Microsoft.office365.protectioncenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬回應和相關定型的報告
office365. Microsoft.office365.protectioncenter/attackSimulator/模擬/allProperties/allTasks 在攻擊模擬器中建立和管理攻擊模擬範本
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

安全性操作員

具備此角色的使用者可以管理警示,且有安全性相關功能的全域唯讀存取權,包含 Microsoft 365 安全性中心、Azure Active Directory、Identity Protection、Privileged Identity Management 和 Office 365 安全性與合規性中心中的所有資訊。 如需有關 Office 365 許可權的詳細資訊,請參閱安全性 & 合規性中心的許可權

可以執行
Microsoft 365 資訊安全中心 「安全性讀取者」角色的所有權限
檢視、調查及回應安全性威脅警示
管理安全性中心的安全性設定
Azure AD Identity Protection 「安全性讀取者」角色的所有權限
此外,除了重設密碼及設定警示電子郵件之外,還能夠執行所有 Identity Protection Center 作業。
Privileged Identity Management 「安全性讀取者」角色的所有權限
Office 365 安全性與合規性中心 「安全性讀取者」角色的所有權限
檢視、調查及回應安全性警示
Windows Defender ATP 和 EDR 「安全性讀取者」角色的所有權限
檢視、調查及回應安全性警示
Intune 「安全性讀取者」角色的所有權限
Cloud App Security 「安全性讀取者」角色的所有權限
Microsoft 365 服務健康狀態 查看 Microsoft 365 服務的健全狀況
動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft directory/>portal.cloudappsecurity.com/allProperties/allTasks 在 Microsoft Cloud App Security 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft directory/Microsoft.aad.identityprotection/allProperties/allTasks 建立和刪除所有資源,以及讀取和更新 Azure AD Identity Protection 中的標準屬性
microsoft. directory/Microsoft.aad.privilegedidentitymanagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
advancedThreatProtection/allEntities/allTasks 管理 Azure 進階威脅防護的所有層面
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft. intune/allEntities/read 讀取 Microsoft Intune 中的所有資源
microsoft.office365.securityComplianceCenter/allEntities/allTasks 建立和刪除所有資源,以及讀取和更新 Office 365 安全性 & 合規性中心內的標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
Microsoft.windows.defenderadvancedthreatprotection/allEntities/allTasks 管理 Microsoft Defender for Endpoint 的所有層面

安全性讀取者

具備此角色的使用者具有安全性相關功能的全域唯讀存取權 (含 Microsoft 365 資訊安全中心、Azure Active Directory、Identity Protection、Privileged Identity Management 中的所有資訊),並能讀取 Azure Active Directory 登入報告與稽核記錄,且具有 Office 365 安全性與合規性中心的全域唯讀存取權。 如需有關 Office 365 許可權的詳細資訊,請參閱安全性 & 合規性中心的許可權

可以執行
Microsoft 365 資訊安全中心 檢視所有 Microsoft 365 服務的安全性相關原則
檢視安全性威脅和警示
檢視報表
身分識別防護中心 讀取安全性功能的所有安全性報告和設定資訊
  • 反垃圾郵件
  • 加密
  • 資料外洩防護
  • 反惡意程式碼
  • 進階威脅防護
  • 防網路釣魚
  • 郵件流程規則
Privileged Identity Management 以唯讀方式存取 Azure AD Privileged Identity Management 中所顯示的一切資訊︰Azure AD 角色指派和安全性審查的原則與報告。
無法 註冊 Azure AD Privileged Identity Management 或對其進行任何變更。 在 Privileged Identity Management 入口網站或透過 PowerShell,此角色中的某人可以啟用其他角色 (例如,全域管理員或特殊許可權角色管理員) (如果使用者符合資格)。
Office 365 安全性與合規性中心 檢視安全性原則
檢視及調查安全性威脅
檢視報表
Windows Defender ATP 和 EDR 檢視和調查警示。 當您在 Windows Defender ATP 中開啟角色型存取控制時,具有唯讀許可權(例如 Azure AD 安全性讀取者角色)的使用者會失去存取權,直到指派給 Windows Defender ATP 角色為止。
Intune 檢視使用者、裝置、註冊、設定及應用程式資訊。 無法對 Intune 進行變更。
Cloud App Security 具有讀取權限,並可管理警示
Microsoft 365 服務健康狀態 查看 Microsoft 365 服務的健全狀況
動作 描述
microsoft.directory/auditLogs/allProperties/read 讀取審核記錄的所有屬性,包括具有特殊許可權的屬性
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft. directory/bitlockerKeys/key/read 讀取裝置上的 bitlocker 中繼資料和金鑰
microsoft. directory/entitlementManagement/allProperties/read 讀取 Azure AD 權利管理中的所有屬性
microsoft. directory/Microsoft.aad.identityprotection/allProperties/read 讀取 Azure AD Identity Protection 中的所有資源
microsoft.directory/policies/standard/read 讀取原則的基本屬性
microsoft.directory/policies/owners/read 讀取原則的擁有者
microsoft 目錄/原則/policyAppliedTo/read 讀取 policyAppliedTo 屬性
microsoft. directory/conditionalAccessPolicies/standard/read 讀取原則的條件式存取
microsoft 目錄/conditionalAccessPolicies/擁有者/讀取 讀取條件式存取原則的擁有者
microsoft. directory/conditionalAccessPolicies/policyAppliedTo/read 讀取條件式存取原則的 [套用至] 屬性
microsoft. directory/Microsoft.aad.privilegedidentitymanagement/allProperties/read 讀取 Privileged Identity Management 中的所有資源
microsoft.directory/provisioningLogs/allProperties/read 讀取佈建記錄的所有屬性
microsoft.directory/signInReports/allProperties/read 讀取登入報告上的所有屬性,包括具有特殊許可權的屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
office365. Microsoft.office365.protectioncenter/allEntities/standard/read 讀取安全性與合規性中心內所有資源的標準屬性
office365. Microsoft.office365.protectioncenter/attackSimulator/承載/allProperties/read 讀取受攻擊模擬器中攻擊承載的所有屬性
office365. Microsoft.office365.protectioncenter/attackSimulator/reports/allProperties/read 讀取攻擊模擬回應和相關定型的報告
office365. Microsoft.office365.protectioncenter/attackSimulator/模擬/allProperties/read 讀取攻擊模擬器中受攻擊模擬範本的所有屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

服務支援管理員

具有此角色的使用者可以開啟 Microsoft for Azure 和 Microsoft 365 服務的支援要求,並在Azure 入口網站Microsoft 365 系統管理中心中查看服務儀表板和訊息中心。 如需詳細資訊,請參閱關於管理員角色

注意

先前,此角色在 Azure 入口網站Microsoft 365 系統管理中心內稱為「服務管理員」。 我們已將其重新命名為「服務支援管理員」,以符合 Microsoft Graph API、Azure AD Graph API 和 Azure AD PowerShell 中的現有名稱。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

SharePoint 管理員

具有此角色的使用者在 Microsoft Office SharePoint Online、存在服務時,以及建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況的能力,都具有全域許可權。 如需詳細資訊,請參閱關於管理員角色

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,會將此角色識別為「SharePoint 服務管理員」。 在 Azure 入口網站中則是「SharePoint 管理員」。

注意

此角色也會授與 Microsoft Intune 的 Microsoft Graph API 範圍許可權,以允許管理和設定與 SharePoint 和 OneDrive 資源相關的原則。

動作 描述
microsoft. directory/deletedItems. groups/delete 永久刪除無法再還原的群組
microsoft. directory/deletedItems. groups/restore 將虛刪除的群組還原為原始狀態
microsoft 目錄/群組。統一/建立 建立 Microsoft 365 群組,不包括角色可指派的群組
microsoft. 目錄/群組。統一/刪除 刪除 Microsoft 365 群組,但不包括角色可指派的群組
microsoft 目錄/群組。統一/還原 還原 Microsoft 365 群組
microsoft. 目錄/群組. 統一/基本/更新 更新 Microsoft 365 群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組。統一/成員/更新 更新 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組。統一/擁有者/更新 更新 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
office365. sharePoint/allEntities/allTasks 在 SharePoint 中建立和刪除所有資源,以及讀取和更新標準屬性
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

商務用 Skype 的管理員

在有 Microsoft 商務用 Skype 服務時,具備此角色的使用者在該服務內會具有全域權限,以及在 Azure Active Directory 中管理 Skype 特定的使用者屬性。 此外,此角色會授與管理支援票證及監視服務健康情況的能力,以及存取 Teams 和商務用 Skype 系統管理中心。 此帳戶也必須獲得 Microsoft Teams 授權,否則就無法執行 Microsoft Teams PowerShell Cmdlet。 如需詳細資訊,請參閱關於商務用 Skype 系統管理員角色,如需 Microsoft Teams 的授權資訊,請參閱商務用 Skype 和 Microsoft Teams 附加授權

注意

在 Microsoft Graph API 和 Azure AD PowerShell 中,會將此角色識別為「Lync 服務管理員」。 在 Azure 入口網站中則是「商務用 Skype 管理員」。

動作 描述
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Microsoft Teams 管理員

此角色的使用者可以透過 Microsoft Teams 和商務用 Skype 系統管理中心以及個別的 PowerShell 模組,管理 Microsoft Teams 工作負載的所有層面。 這包括所有與電話語音、傳訊、會議和小組本身相關的管理工具以及其他領域。 此角色會另外授與建立和管理所有 Microsoft 365 群組、管理支援票證,以及監視服務健康情況的能力。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft. directory/deletedItems. groups/delete 永久刪除無法再還原的群組
microsoft. directory/deletedItems. groups/restore 將虛刪除的群組還原為原始狀態
microsoft.directory/groups/hiddenMembers/read 讀取安全性群組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft 目錄/群組。統一/建立 建立 Microsoft 365 群組,不包括角色可指派的群組
microsoft. 目錄/群組。統一/刪除 刪除 Microsoft 365 群組,但不包括角色可指派的群組
microsoft 目錄/群組。統一/還原 還原 Microsoft 365 群組
microsoft. 目錄/群組. 統一/基本/更新 更新 Microsoft 365 群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組。統一/成員/更新 更新 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組。統一/擁有者/更新 更新 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft directory/servicePrincipals/managePermissionGrantsForGroup. microsoft-all-application-permissions 將群組資料的直接存取權授與服務主體
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft. 團隊/allEntities/allProperties/allTasks 管理 Teams 中的所有資源

Microsoft Teams 通訊系統管理員

此角色的使用者可以管理 Microsoft Teams 在語音和電話語音相關工作負載的各個層面。 這包括電話號碼指派管理工具、語音和會議原則,以及呼叫分析工具組的完整存取權。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft. 小組/callQuality/allProperties/read 讀取 [通話品質] 儀表板中的所有資料 (CQD)
microsoft. 團隊/會議/allProperties/allTasks 管理會議,包括會議原則、設定和會議橋接器
microsoft. 小組/語音/allProperties/allTasks 管理語音,包括通話原則及電話號碼清查和指派

Microsoft Teams 通訊支援工程師

此角色的使用者可以使用 Microsoft Teams 和商務用 Skype 系統管理中心內的使用者呼叫疑難排解工具,針對 Microsoft Teams 和商務用 Skype 內的通訊問題進行疑難排解。 此角色的使用者可以檢視所有相關參與者的完整呼叫記錄資訊。 這個角色沒有檢視、建立或管理支援票證的存取權。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft. 小組/callQuality/allProperties/read 讀取 [通話品質] 儀表板中的所有資料 (CQD)

Microsoft Teams 通訊支援專家

此角色的使用者可以使用 Microsoft Teams 和商務用 Skype 系統管理中心內的使用者呼叫疑難排解工具,針對 Microsoft Teams 和商務用 Skype 內的通訊問題進行疑難排解。 此角色的使用者只能檢視其所查閱特定使用者的呼叫中所含有的使用者詳細資料。 這個角色沒有檢視、建立或管理支援票證的存取權。

動作 描述
microsoft. directory/authorizationPolicy/standard/read 讀取授權原則的標準屬性
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.skypeForBusiness/allEntities/allTasks 管理商務用 Skype Online 的所有層面
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft. 團隊/callQuality/standard/read 在 [通話品質] 儀表板中讀取基本資料 (CQD)

Teams 裝置管理員

具有此角色的使用者可以從 Teams 系統管理中心管理Teams 認證的裝置。 此角色可讓您一眼就能查看所有裝置,並能夠搜尋和篩選裝置。 使用者可以查看每個裝置的詳細資料,包括已登入的帳戶、製作裝置和型號。 使用者可以變更裝置上的設定,並更新軟體版本。 此角色不會授與檢查 Teams 活動的許可權,以及呼叫裝置的品質。

動作 描述
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性
microsoft. 小組/裝置/標準/讀取 管理 Teams 認證裝置的所有層面,包括設定原則

使用量摘要報表讀者

具有此角色的使用者可以存取 Microsoft 365 系統管理中心中的租使用者層級匯總資料及相關的見解,以取得使用量和生產力分數,但無法存取任何使用者層級的詳細資料或深入解析。 在兩份報告的 Microsoft 365 系統管理中心中,我們會區分租使用者層級的匯總資料和使用者層級的詳細資料。 此角色可針對個別使用者識別資料提供額外一層保護,這是由客戶和法律團隊所要求。

動作 描述
microsoft.office365.network/performance/allProperties/read 讀取 Microsoft 365 系統管理中心中的所有網路效能屬性
office365. usageReports/allEntities/standard/read 讀取租使用者層級匯總 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

使用者管理員

具有此角色的使用者可以建立使用者,以及管理使用者的所有層面,但有一些限制 (查看資料表) ,而且可以更新密碼到期原則。 此外,具有此角色的使用者可以建立與管理所有群組。 此角色也包含建立和管理使用者檢視、管理支援票證,以及監視服務健康情況的能力。 使用者系統管理員無權在大部分的系統管理員角色中管理使用者的某些使用者屬性。 具有此角色的系統管理員沒有管理 MFA 或管理共用信箱的許可權。 下表列出此限制的例外角色。

使用者系統管理員許可權 備註
建立 [使用者和群組]
建立和管理使用者檢視
建立 Office 支援票證
更新密碼到期原則
管理授權
管理使用者主體名稱以外的所有使用者屬性
適用于所有使用者,包括所有系統管理員
刪除及還原
停用和啟用
管理包含使用者主體名稱的所有使用者屬性
更新 (FIDO) 裝置金鑰
適用于非系統管理員或下列任何角色的使用者:
  • 服務台系統管理員
  • 沒有角色的使用者
  • 使用者管理員
使重新整理權杖失效
重設密碼
如需使用者系統管理員可以重設密碼並使重新整理權杖不正確角色清單,請參閱 密碼重設許可權

重要

具備此角色的使用者可以變更可存取機密或私人資訊或 Azure Active Directory 內外重要組態的人員密碼。 變更使用者的密碼表示可承擔該使用者身分識別和權限。 例如:

  • 應用程式註冊和企業應用程式擁有者,他們可以管理他們自己的應用程式認證。 這些應用程式在 Azure AD 中可能有特殊權限,而在其他地方未授與使用者系統管理員。 使用者系統管理員可以透過此路徑承擔應用程式擁有者的身分識別,然後藉由更新應用程式的認證,進一步承擔特殊權限應用程式的身分識別。
  • Azure 訂用帳戶擁有者,他們具有機密或私人資訊或者 Azure 中重要組態的存取權。
  • 安全性群組和 Microsoft 365 群組擁有者,他們可以管理群組成員資格。 這個群組可以存取機密或私人資訊或者 Azure AD 和其他位置中的重要組態。
  • Azure AD 外部其他服務 (例如,Exchange Online、Office 安全性與合規性中心和人力資源系統) 中的系統管理員。
  • 非系統管理員,例如主管、法律顧問和人力資源員工,他們可以存取機密或私人資訊。
動作 描述
microsoft.directory/contacts/create 建立連絡人
microsoft.directory/contacts/delete 刪除連絡人
microsoft.directory/contacts/basic/update 更新連絡人的基本屬性
microsoft. directory/deletedItems. groups/restore 將虛刪除的群組還原為原始狀態
microsoft directory/entitlementManagement/allProperties/allTasks 在 Azure AD 權利管理中建立和刪除資源,以及讀取和更新所有屬性
microsoft directory/groups/assignLicense 針對群組型授權將產品授權指派給群組
microsoft.directory/groups/create 建立安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/delete 刪除安全性群組和 Microsoft 365 群組,不包括角色可指派的群組
microsoft.directory/groups/hiddenMembers/read 讀取安全性群組和 Microsoft 365 群組的隱藏成員,包括可指派角色的群組
microsoft directory/groups/reprocessLicenseAssignment 重新處理以群組為基礎之授權的授權指派
microsoft.directory/groups/restore 還原已刪除的群組
microsoft.directory/groups/basic/update 更新安全性群組和 Microsoft 365 群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組/分類/更新 更新安全性群組和 Microsoft 365 群組上的分類屬性,但不包括角色可指派的群組
microsoft 目錄/群組/Groups.dynamicmembershiprule/更新 更新安全性群組和 Microsoft 365 群組的動態成員資格規則,但不包括角色可指派的群組
microsoft 目錄/群組/groupType/更新 更新可能會影響安全性群組和 Microsoft 365 群組群組類型的內容,但不包括角色可指派的群組
microsoft.directory/groups/members/update 更新安全性群組和 Microsoft 365 群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組/onPremWriteBack/更新 更新 Azure Active Directory 的群組,以 Azure AD 連線寫回內部部署
microsoft.directory/groups/owners/update 更新安全性群組和 Microsoft 365 群組的擁有者,但不包括可指派角色的群組
microsoft.directory/groups/settings/update 更新群組的設定
microsoft 目錄/群組/可見度/更新 更新安全性群組和 Microsoft 365 群組的可見度屬性,不包括角色可指派的群組
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks 建立和刪除 OAuth 2.0 許可權授與,以及讀取和更新所有屬性
microsoft.directory/servicePrincipals/appRoleAssignedTo/update 更新服務主體角色指派
microsoft.directory/users/assignLicense 管理使用者授權
microsoft.directory/users/create 新增使用者
microsoft.directory/users/delete 刪除使用者
microsoft 目錄/使用者/停用 停用使用者
microsoft 目錄/使用者/啟用 啟用使用者
microsoft.directory/users/inviteGuest 邀請來賓使用者
microsoft.directory/users/invalidateAllRefreshTokens 藉由讓使用者重新整理權杖失效來強制登出
microsoft directory/users/reprocessLicenseAssignment 重新處理使用者的授權指派
microsoft.directory/users/restore 還原已刪除的使用者
microsoft.directory/users/basic/update 更新使用者的基本屬性
microsoft.directory/users/manager/update 適用于使用者的更新管理員
microsoft.directory/users/password/update 重設所有使用者的密碼
microsoft 目錄/使用者/相片/更新 更新使用者的相片
microsoft.directory/users/userPrincipalName/update 更新使用者的使用者主體名稱
microsoft.azure.serviceHealth/allEntities/allTasks 讀取及設定 Azure 服務健康狀態
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
microsoft.office365.serviceHealth/allEntities/allTasks 在 Microsoft 365 系統管理中心中讀取及設定服務健康狀態
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Windows 365 系統管理員

具有此角色的使用者在服務存在時,會具有 Windows 365 資源的全域許可權。 此外,此角色包含管理使用者和裝置的能力,可相關聯原則以及建立和管理群組。

此角色可以建立和管理安全性群組,但不會有 Microsoft 365 群組的系統管理員許可權。 這表示系統管理員無法更新組織中 Microsoft 365 群組的擁有者或成員資格。 不過,他們可以管理他們所建立的 Microsoft 365 群組,這是其使用者權限的一部分。 因此,任何 Microsoft 365 群組 (不是其建立的安全) 組,都會計入其250配額。

將 Windows 365 系統管理員角色指派給需要執行下列工作的使用者:

  • 在 Microsoft 端點管理員中管理 Windows 365 雲端電腦
  • 註冊和管理 Azure AD 中的裝置,包括指派使用者和原則
  • 建立及管理安全性群組,但不能指派角色的群組
  • 在 Microsoft 365 系統管理中心中查看基本屬性
  • 讀取 Microsoft 365 系統管理中心中的使用方式報告
  • 在 Azure AD 和 Microsoft 365 系統管理中心中建立和管理支援票證
動作 描述
microsoft.directory/devices/create 在 Azure AD) 中建立 (註冊的裝置
microsoft.directory/devices/delete 從 Azure AD 刪除裝置
microsoft.directory/devices/disable 在 Azure AD 中停用裝置
microsoft.directory/devices/enable 在 Azure AD 中啟用裝置
microsoft.directory/devices/basic/update 更新裝置上的基本屬性
microsoft 目錄/裝置/extensionAttributeSet1/更新 更新 extensionAttribute1 以 extensionAttribute5 裝置上的屬性
microsoft 目錄/裝置/extensionAttributeSet2/更新 更新 extensionAttribute6 以 extensionAttribute10 裝置上的屬性
microsoft 目錄/裝置/extensionAttributeSet3/更新 更新 extensionAttribute11 以 extensionAttribute15 裝置上的屬性
microsoft.directory/devices/registeredOwners/update 更新裝置的已註冊擁有者
microsoft.directory/devices/registeredUsers/update 更新裝置的註冊使用者
microsoft. 目錄/群組. 安全性/建立 建立安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組。安全性/刪除 刪除安全性群組,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/基本/更新 更新安全性群組的基本屬性,不包括角色可指派的群組
microsoft 目錄/群組。安全性/分類/更新 更新安全性群組上的分類屬性,不包括角色可指派的群組
microsoft. 目錄/群組. 安全性/Groups.dynamicmembershiprule/更新 更新安全性群組的動態成員資格規則,不包括角色可指派的群組
microsoft 目錄/群組。安全性/成員/更新 更新安全性群組的成員,但不包括可指派角色的群組
microsoft 目錄/群組。安全性/擁有者/更新 更新安全性群組的擁有者,但不包含可指派角色的群組
microsoft 目錄/群組。安全性/可見度/更新 更新安全性群組上的可見度屬性,不包括角色可指派的群組
microsoft. directory/deviceManagementPolicies/standard/read 讀取裝置管理應用程式原則的標準屬性
microsoft. directory/deviceRegistrationPolicy/standard/read 讀取裝置註冊原則的標準屬性
microsoft.azure.supportTickets/allEntities/allTasks 建立及管理 Azure 支援票證
cloudPC/allEntities/allProperties/allTasks 管理 Windows 365 的所有層面
microsoft.office365.supportTickets/allEntities/allTasks 建立及管理 Microsoft 365 服務要求
office365. usageReports/allEntities/allProperties/read 讀取 Office 365 使用量報表
microsoft.office365.webPortal/allEntities/standard/read 讀取 Microsoft 365 系統管理中心中所有資源的基本屬性

Windows Update 部署系統管理員

此角色的使用者可以透過商務用 Windows Update 部署服務來建立和管理 Windows Update 部署的所有層面。 部署服務可讓使用者定義部署更新時機和方式的設定,並指定要將哪些更新提供給租使用者中的裝置群組。 它也可讓使用者監視更新進度。

動作 描述
updatesDeployments/allEntities/allProperties/allTasks 讀取及設定 Windows Update 服務的所有層面

如何瞭解角色許可權

許可權的架構鬆散遵循 Microsoft Graph 的 REST 格式:

<namespace>/<entity>/<propertySet>/<action>

例如:

microsoft.directory/applications/credentials/update

許可權元素 Description
命名空間 公開工作並在前面加上的產品或服務 microsoft 。 例如,Azure AD 中的所有工作都會使用 microsoft.directory 命名空間。
實體 服務在 Microsoft Graph 中公開的邏輯功能或元件。 例如,Azure AD 會公開使用者和群組、OneNote 公開附注,Exchange 公開信箱和行事曆。 有一個特殊 allEntities 關鍵字可用於指定命名空間中的所有實體。 這通常用於授與存取權給整個產品的角色。
propertySet 將授與存取權之實體的特定屬性或層面。 例如, microsoft.directory/applications/authentication/read 在 Azure AD 中,授與讀取應用程式物件之回復 URL、登出 URL 和隱含流程屬性的能力。
  • allProperties 指定實體的所有屬性,包括具有特殊許可權的屬性。
  • standard 指定通用屬性,但不包括與動作相關的特殊許可權 read 。 例如, microsoft.directory/user/standard/read 包括讀取標準屬性(例如公用電話號碼和電子郵件地址)的能力,而非用於多重要素驗證的私人次要電話號碼或電子郵件地址。
  • basic 指定通用屬性,但不包括與動作相關的特殊許可權 update 。 您可以讀取的一組屬性可能會與您可以更新的內容不同。 這就是為什麼有 standardbasic 關鍵字可反映這一點。
動作 正在授與的作業,最常見的 (CRUD) 建立、讀取、更新或刪除。 有一個特殊 allTasks 關鍵字可指定上述所有功能 (建立、讀取、更新和刪除) 。

已被取代的角色

以下是不應使用的角色。 它們已被取代,而且未來將從 Azure AD 中移除。

  • AdHoc 授權管理員
  • 加入裝置
  • 裝置管理員
  • 裝置使用者
  • 傳送電子郵件給經過驗證的使用者建立者
  • 信箱管理員
  • 加入工作場所裝置

入口網站中未顯示的角色

並非 PowerShell 或 MS Graph API 所傳回的每個角色都可以在 Azure 入口網站中看到。 下表將組織這些差異。

API 名稱 Azure 入口網站名稱 注意
加入裝置 已被取代 已淘汰的角色文件
裝置管理員 已被取代 已淘汰的角色文件
裝置使用者 已被取代 已淘汰的角色文件
目錄同步處理帳戶 未顯示,因為不得使用 目錄同步處理帳戶文件
來賓使用者 未顯示,因為不能使用 NA
合作夥伴第 1 層支援 未顯示,因為不得使用 合作夥伴第 1 層支援文件
合作夥伴第 2 層支援 未顯示,因為不得使用 合作夥伴第 2 層支援文件
受限制的來賓使用者 未顯示,因為不能使用 NA
User 未顯示,因為不能使用 NA
加入工作場所裝置 已被取代 已淘汰的角色文件

密碼重設許可權

欄位標題代表可以重設密碼的角色。 資料表資料列包含可重設其密碼的角色。

可以重設密碼 密碼管理員 技術服務人員管理 驗證管理員 使用者管理 特殊許可權驗證管理員 全域管理員
驗證管理員     ✔️   ✔️ ✔️
目錄讀取器 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
全域管理員         ✔️ ✔️*
群組管理員       ✔️ ✔️ ✔️
來賓邀請者 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
技術服務人員管理   ✔️   ✔️ ✔️ ✔️
訊息中心讀取者   ✔️ ✔️ ✔️ ✔️ ✔️
密碼管理員 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️
特殊許可權驗證管理員         ✔️ ✔️
特殊許可權角色管理員         ✔️ ✔️
報告讀者   ✔️ ✔️ ✔️ ✔️ ✔️
User
(沒有系統管理員角色)
✔️ ✔️ ✔️ ✔️ ✔️ ✔️
User
(沒有系統管理員角色,但角色可指派群組的成員)
        ✔️ ✔️
使用者管理       ✔️ ✔️ ✔️
使用量摘要報表讀者   ✔️ ✔️ ✔️ ✔️ ✔️

* 全域管理員無法移除自己的全域系統管理員指派。 這是為了避免組織有0個全域系統管理員的情況。

下一步