Condividi tramite


Ruoli predefiniti Microsoft Entra

Se in Microsoft Entra ID un altro amministratore o un utente non amministratore deve gestire le risorse di Microsoft Entra, è necessario assegnare loro un ruolo Microsoft Entra che fornisca le autorizzazioni necessarie. Ad esempio, è possibile assegnare ruoli per consentire l'aggiunta o la modifica degli utenti, la reimpostazione delle password utente, la gestione delle licenze utente o la gestione dei nomi di dominio.

Questo articolo elenca i ruoli predefiniti di Microsoft Entra che è possibile assegnare per consentire la gestione delle risorse di Microsoft Entra. Per informazioni sulla modalità di assegnazione dei ruoli, vedere Assegnare ruoli di Microsoft Entra agli utenti. Se si stanno cercando ruoli per gestire le risorse di Azure, vedere Ruoli predefiniti di Azure.

Tutti i ruoli

Ruolo Descrizione ID modello
Amministratore di intelligenza artificiale Gestire tutti gli aspetti dei servizi aziendali correlati a Microsoft 365 Copilot e intelligenza artificiale in Microsoft 365. d2562ede-74db-457e-a7b6-544e236ebb61
Amministratore di applicazioni Può creare e gestire tutti gli aspetti delle registrazioni app e delle app aziendali.
Icona dell'etichetta con privilegi.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Sviluppatore di applicazioni Può creare registrazioni di applicazioni indipendentemente dall'impostazione 'Gli utenti possono registrare applicazioni'.
Icona dell'etichetta con privilegi.
cf1c38e5-3621-4004-a7cb-879624dced7c
Autore del payload di attacco Può creare payload di attacco che un amministratore può avviare successivamente. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Amministratore della simulazione di attacchi Può creare e gestire tutti gli aspetti delle campagne di simulazione degli attacchi. c430b396-e693-46cc-96f3-db01bf8bb62a
Amministratore assegnazione di attributi Assegnare le chiavi e i valori degli attributi di sicurezza personalizzati agli oggetti di Microsoft Entra supportati. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Lettore assegnazione attributi Leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Amministratore definizione di attributi Definisce e gestisce la definizione degli attributi di sicurezza personalizzati. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Lettore definizione di attributi Legge la definizione degli attributi di sicurezza personalizzati. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Amministratore log attributi Eseguire la lettura di log di controllo e configurare le impostazioni di diagnostica per gli eventi correlati agli attributi di sicurezza personalizzati. 5b784334-f94b-471a-a387-e7219fc49ca2
Lettore log attributi Eseguire la lettura di log di controllo correlati agli attributi di sicurezza personalizzati 9c99539d-8186-4804-835f-fd51ef9e2dcd
Amministratore dell'autenticazione Può accedere per visualizzare, configurare e reimpostare le informazioni sul metodo di autenticazione per qualsiasi utente non amministratore.
Icona dell'etichetta con privilegi.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Amministratore dell'estendibilità dell'autenticazione Personalizzare le esperienze di accesso e iscrizione per gli utenti creando e gestendo estensioni di autenticazione personalizzate.
Icona dell'etichetta con privilegi.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Amministratore dei criteri di autenticazione Può creare e gestire i criteri dei metodi di autenticazione, le impostazioni MFA a livello di tenant, i criteri di protezione delle password e le credenziali verificabili. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Amministratore di Azure DevOps Può gestire i criteri e le impostazioni di Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Amministratore di Information Protection di Azure Può gestire tutti gli aspetti del prodotto Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
Amministratore del set di chiavi IEF B2C Può gestire i segreti per la federazione e della crittografia in Identity Experience Framework (IEF).
Icona dell'etichetta con privilegi.
aaf43236-0c0d-4d5f-883a-6955382ac081
Amministratore dei criteri IEF B2C Può creare e gestire i criteri del framework attendibilità in Identity Experience Framework (IEF). 3edaf663-341e-4475-9f94-5c398ef6c070
Amministratore fatturazione Può eseguire attività comuni relative alla fatturazione, ad esempio aggiornare le informazioni di pagamento. b0f54661-2d74-4c50-afa3-1ec803f12efe
Amministratore di Cloud App Security Può gestire tutti gli aspetti del prodotto Defender for Cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Amministratore di applicazioni cloud Può creare e gestire tutti gli aspetti delle registrazioni di app e delle app aziendali, ad eccezione del Proxy di applicazione.
Icona dell'etichetta con privilegi.
158c047a-c907-4556-b7ef-446551a6b5f7
Amministratore dispositivo cloud Accesso limitato per gestire i dispositivi in Microsoft Entra ID.
Icona dell'etichetta con privilegi.
7698a772-787b-4ac8-901f-60d6b08affd2
Amministratore di conformità Può eseguire la lettura e gestire i report e la configurazione di conformità in Microsoft Entra ID e Microsoft 365. 17315797-102d-40b4-93e0-432062caca18
Amministratore dei dati sulla conformità Creare e gestire i contenuti relativi alla conformità. e6d1a23a-da11-4be4-9570-befc86d067a7
Amministratore dell’accesso condizionale Può gestire le funzionalità di accesso condizionale.
Icona dell'etichetta con privilegi.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Responsabile approvazione per l'accesso a Customer Lockbox Può approvare le richieste di supporto tecnico di Microsoft per l'accesso ai dati dell’organizzazione dei clienti. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Amministratore Desktop Analytics Può accedere a servizi e strumenti di gestione desktop e gestirli. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Amministratori che leggono la directory Può leggere le informazioni base della directory. Comunemente usato per concedere l'accesso in lettura alla directory alle applicazioni e agli utenti guest. 88d8e3e3-8f55-4a1e-953a-9b9898b8876b
Account di sincronizzazione della directory Usato solo dal servizio Microsoft Entra Connect. d29b2b05-8046-44ba-8758-1e26182fcf32
Amministratori che scrivono nella directory Può leggere e scrivere le informazioni base della directory. Per concedere l'accesso alle applicazioni, non destinato agli utenti.
Icona dell'etichetta con privilegi.
9360feb5-f418-4baa-8175-e2a00bac4301
Amministratore dei nomi di dominio Può gestire i nomi di dominio sul cloud e in locale.
Icona dell'etichetta con privilegi.
8329153b-31d0-4727-b945-745eb3bc5f31
Amministratore di Dynamics 365 Può gestire tutti gli aspetti del prodotto Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Amministratore di Dynamics 365 Business Central Può accedere ed eseguire tutte le attività amministrative in ambienti Dynamics 365 Business Central. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Amministratore Edge Può gestire tutti gli aspetti di Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Amministratore di Exchange Può gestire tutti gli aspetti del prodotto Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Amministratore destinatari di Exchange Può creare o aggiornare i destinatari di Exchange Online all'interno dell'organizzazione di Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
ID esterno - Amministratore dei flussi utente Può creare e gestire tutti gli aspetti dei flussi utente. 6e591065-9bad-43ed-90f3-e9424366d2f0
ID esterno - Amministratore degli attributi dei flussi utente Può creare e gestire lo schema dell'attributo disponibile per tutti i flussi utente. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Amministratore dei provider di identità esterni Può configurare i provider di identità per l'uso nella federazione diretta.
Icona dell'etichetta con privilegi.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Amministratore di Fabric Può gestire tutti gli aspetti dei prodotti Fabric e Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Amministratore globale Può gestire tutti gli aspetti di Microsoft Entra ID e dei servizi Microsoft che usano le identità di Microsoft Entra.
Icona dell'etichetta con privilegi.
62e90394-69f5-4237-9190-012177145e10
Ruolo con autorizzazioni di lettura globali Può leggere tutti gli elementi che possono essere letti da un amministratore globale ma non può aggiornare alcun elemento.
Icona dell'etichetta con privilegi.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Amministratore accesso sicuro globale Può creare e gestire tutti gli aspetti di Accesso a Internet di Microsoft Entra e Accesso privato di Microsoft Entra, inclusa la gestione dell'accesso agli endpoint pubblici e privati. ac434307-12b9-4fa1-a708-88bf58caabc1
Amministratore di gruppi I membri di questo ruolo possono creare/gestire gruppi, creare/gestire impostazioni di gruppi come i criteri di denominazione e scadenza e visualizzare i report di attività e controllo dei gruppi. fdd7a751-b60b-444a-984c-02652fe8fa1c
Mittente dell'invito guest Può invitare utenti ospiti indipendentemente dall'impostazione “i membri possono invitare gli ospiti”. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Amministratore di supporto tecnico Può reimpostare le password per gli utenti non amministratori e gli amministratori supporto tecnico.
Icona dell'etichetta con privilegi.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Amministratore dell’identità ibrida Gestire Active Directory per il provisioning cloud di Microsoft Entra, Microsoft Entra Connect, l'autenticazione pass-through (PTA), la sincronizzazione dell'hash delle password (PHS), l'accesso Single Sign-On facile (seamless SSO) e le impostazioni di federazione. Non ha accesso per gestire Microsoft Entra Connect Health.
Icona dell'etichetta con privilegi.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Amministratore di Identity Governance Gestire l'accesso usando Microsoft Entra ID per scenari di governance delle identità. 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Amministratore informazioni dettagliate Ha accesso amministrativo nell'app Microsoft 365 Insights. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
Analista di Insights Può accedere alle capacità analitiche in Microsoft Viva Insights ed eseguire query personalizzate. 25df335f-86eb-4119-b717-0ff02de207e9
Insights Business Leader Può visualizzare e condividere dashboard e informazioni dettagliate tramite l'app Microsoft 365 Insights. 31e939ad-9672-4796-9c2e-873181342d2d
Amministratore di Intune Può gestire tutti gli aspetti del prodotto Intune.
Icona dell'etichetta con privilegi.
3a2c62db-5318-420d-8d74-23affee5d9d5
Amministratore di Kaizala Può gestire le impostazioni per Microsoft Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Amministratore delle conoscenze Può configurare le conoscenze, l'apprendimento e altre funzionalità intelligenti. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Responsabile delle conoscenze Può organizzare, creare, gestire e promuovere argomenti e conoscenze. 744ec460-397e-42ad-a462-8b3f9747a02c
Amministratore licenze Può gestire licenze dei prodotti per utenti e gruppi. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Amministratore flussi di lavoro del ciclo di vita Può creare e gestire tutti gli aspetti dei flussi di lavoro e delle attività associate ai flussi di lavoro del ciclo di vita in Microsoft Entra ID.
Icona dell'etichetta con privilegi.
59d46f88-662b-457b-bceb-5c3809e5908f
Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi Può leggere messaggi di sicurezza e aggiornamenti solo nel Centro messaggi di Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Ruolo con autorizzazioni di lettura per il Centro messaggi Può eseguire la lettura di messaggi e aggiornamenti per la propria organizzazione solo nel Centro messaggi di Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c1b
Amministratore della migrazione di Microsoft 365 Può eseguire tutte le funzionalità di migrazione per eseguire la migrazione del contenuto a Microsoft 365 usando Gestione migrazione. 8c8b803f-96e1-4129-9349-20738d9f9652
Amministratore locale del dispositivo aggiunto a Microsoft Entra Gli utenti assegnati a questo ruolo vengono aggiunti al gruppo di amministratori locale nei dispositivi aggiunti a Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Amministratore garanzie hardware Microsoft Può creare e gestire tutti gli aspetti relativi alle attestazioni di garanzia e ai diritti per l'hardware prodotto da Microsoft, come Surface e HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Specialista garanzie hardware Microsoft Può creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Amministratore di Commerce moderno Può gestire gli acquisti commerciali per una società, un reparto o un team. d24aef57-1500-4070-84db-2666f29cf966
Amministratore di rete Può gestire i percorsi di rete ed esaminare le informazioni dettagliate sulla progettazione della rete aziendale per le applicazioni SaaS (Software as a Service) di Microsoft 365. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Amministratore delle app di Office Può gestire servizi cloud per app di Office, inclusa la gestione di criteri e impostazioni, e può gestire la capacità di selezionare, deselezionare e pubblicare il contenuto della funzionalità "Novità" nei dispositivi dell'utente finale. 2b745bdf-0803-4d80-aa65-822c4493daac
Amministratore di personalizzazione dell'organizzazione Può gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant. 92ed04bf-c94a-4b82-9729-b799a7a4c178
Responsabile approvazione dei messaggi dell'organizzazione Può esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per la consegna nell'interfaccia di amministrazione di Microsoft 365 prima che vengano inviati agli utenti. e48398e2-f4bb-4074-8f31-4586725e205b
Writer di messaggi dell'organizzazione Può scrivere, pubblicare, gestire ed esaminare i messaggi dell'organizzazione per gli utenti finali tramite le superfici di prodotto Microsoft. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Supporto partner Livello 1 Non usare - non destinato all'uso generale.
Icona dell'etichetta con privilegi.
4ba39ca4-527c-499a-b93d-d9b492c50246
Supporto partner Livello 2 Non usare - non destinato all'uso generale.
Icona dell'etichetta con privilegi.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Amministratore di password Può reimpostare le password per gli utenti non amministratori e gli utenti con il ruolo Amministratore password.
Icona dell'etichetta con privilegi.
966707d0-3269-4727-9be2-8c3a10f19b9d
Amministratore della gestione delle autorizzazioni Può gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra. af78dc32-cf4d-46f9-ba4e-4428526346b5
Amministratore di Power Platform Può creare e gestire tutti gli aspetti di Microsoft Dynamics 365, Power Apps e Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Amministratore stampante Può gestire tutti gli aspetti delle stampanti e dei connettori delle stampanti. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Tecnico della stampante Può registrare e annullare la registrazione delle stampanti e aggiornare lo stato della stampante. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Amministratore autenticazione con privilegi Può accedere alla visualizzazione, all'impostazione e alla reimpostazione delle informazioni sul metodo di autenticazione per qualsiasi utente (amministratore o non amministratore).
Icona dell'etichetta con privilegi.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Amministratore ruolo con privilegi Può gestire le assegnazioni di ruolo in Microsoft Entra ID e tutti gli aspetti di Privileged Identity Management.
Icona dell'etichetta con privilegi.
e8611ab8-c189-46e8-94e1-60213ab1f814
Amministratore che legge i report Può leggere i report delle informazioni di accesso e di controllo. 4a5d8f65-41da-4de4-8968-e035b65339cf
Amministratore della ricerca Consente di creare e gestire tutti gli aspetti delle impostazioni di Microsoft Search. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor della ricerca Può creare e gestire i contenuti editoriali, ad esempio segnalibri, domande e risposte, posizioni e planimetrie. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Amministratore della sicurezza Può leggere i report e le informazioni di sicurezza e gestire la configurazione in Microsoft Entra ID e Office 365.
Icona dell'etichetta con privilegi.
194ae4cb-b126-40b2-bd5b-6091b380977d
Operatore per la sicurezza Creare e gestire gli eventi di sicurezza.
Icona dell'etichetta con privilegi.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Ruolo con autorizzazioni di lettura per la sicurezza È in grado di leggere le informazioni e i rapporti sulla sicurezza in Microsoft Entra ID e Office 365.
Icona dell'etichetta con privilegi.
5d6b6bb7-de71-4623-b4af-96380a352509
Amministratore servizio di supporto Può eseguire la lettura delle informazioni di integrità dei servizi e gestire i ticket di supporto. f023fd81-a637-4b56-95fd-791ac0226033
Amministratore di SharePoint Può gestire tutti gli aspetti del servizio SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Amministratore di SharePoint Embedded Gestire tutti gli aspetti dei contenitori di SharePoint Embedded. 1a7d78b6-429f-476b-b8eb-35fb715fffd4
Amministratore di Skype for Business Può gestire tutti gli aspetti del prodotto Skype for Business. 75941009-915A-4869-abe7-691bff18279e
Amministratore di Teams Può gestire il servizio Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Amministratore delle comunicazioni di Teams Può gestire le funzionalità per chiamate e riunioni all'interno del servizio Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Tecnico supporto comunicazioni Teams Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti avanzati. f70938a0-fc10-4177-9e90-2178f8765737
Specialista supporto comunicazioni Teams Può risolvere i problemi di comunicazione all'interno di Teams tramite strumenti di base. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Amministratore di dispositivi di Teams Può eseguire attività correlate alla gestione nei dispositivi certificati di Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Amministratore di telefonia di Teams Gestisce le funzionalità vocali e di telefonia e risolve i problemi di comunicazione all'interno del servizio Microsoft Teams. aa38014f-0993-46e9-9b45-30501a20909d
Creatore tenant Crea nuovi tenant di Microsoft Entra o Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Lettore report di riepilogo utilizzo Legge i report sull'utilizzo e il punteggio di adozione, ma non può accedere ai dettagli dell'utente. 75934031-6c7e-415a-99d7-48dbd49e875e
Amministratore utenti Può gestire tutti gli aspetti di utenti e gruppi, inclusa la reimpostazione delle password per gli amministratori con limitazioni.
Icona dell'etichetta con privilegi.
fe930be7-5e62-47db-91af-98c3a49a38b1
Responsabile del successo dell'esperienza utente Visualizza il feedback del prodotto, i risultati dei sondaggi e i report per trovare opportunità di formazione e comunicazione. 27460883-1df1-4691-b032-3b79643e5e63
Amministratore di Visite virtuali Gestisce e condivide le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Amministratore Viva Goals Gestisce e configura tutti gli aspetti di Microsoft Viva Goals. 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse Administrator Può gestire tutte le impostazioni dell'app Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Amministratore di Windows 365 Può effettuare il provisioning e gestire tutti gli aspetti dei Cloud PC. 11451d60-acb2-45eb-a7d6-43d0f0125c13
Amministratore della distribuzione di Windows Update Può creare e gestire tutti gli aspetti delle distribuzioni di Windows Update attraverso il servizio di distribuzione di Windows Update per le aziende. 32696413-001a-46ae-978c-ce0f6b3620d2
Amministratore di Yammer Gestisce tutti gli aspetti del servizio Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Amministratore di intelligenza artificiale

Assegnare il ruolo di amministratore di intelligenza artificiale agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti di Microsoft 365 Copilot
  • Gestire i servizi aziendali, l'estendibilità e gli agenti copilot correlati all'intelligenza artificiale dalla pagina App integrate nel interfaccia di amministrazione di Microsoft 365
  • Approvare e pubblicare agenti line-of-business copilot
  • Consentire agli utenti di installare un'app o installare un'app per gli utenti dell'organizzazione se l'app non richiede l'autorizzazione
  • Leggere e configurare i dashboard di integrità dei servizi di Azure e Microsoft 365
  • Visualizzare report sull'utilizzo, informazioni dettagliate sull'adozione e informazioni dettagliate sull'organizzazione
  • Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.copilot/allEntities/allProperties/allTasks Creare e gestire tutte le impostazioni per Microsoft 365 Copilot
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.search/content/manage Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di applicazioni

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. gli utenti in questo ruolo possono creare e gestire tutti gli aspetti delle applicazioni aziendali, le registrazioni delle applicazioni e le impostazioni proxy dell'applicazione. Si noti che gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o nelle applicazioni aziendali.

Questo ruolo concede anche la possibilità di consentire le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Azure AD Graph e Microsoft Graph.

Importante

Questa eccezione significa che è comunque possibile consentire autorizzazioni dell'applicazione per altre app (altre applicazioni Microsoft, applicazioni di terze parti o applicazioni registrate dall'utente). È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio l'amministratore del ruolo con privilegi.

Questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. La possibilità di rappresentare l'identità dell'applicazione potrebbe costituire un'elevazione dei privilegi rispetto a quanto consentito all'utente tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Aggiornamento delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/create Creazione di criteri dell'applicazione
microsoft.directory/applicationPolicies/delete Eliminazione dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read Lettura dei proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/update Aggiornamento della proprietà relativa al proprietario dei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read Lettura dei criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/applicationPolicies/standard/read Lettura delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/applicationProxyAuthentication/update Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/applicationProxy/read Lettura di tutte le proprietà del proxy dell'applicazione
microsoft.directory/applications/applicationProxySslCertificate/update Aggiornamento delle impostazioni del certificato SSL per il proxy dell'applicazione
microsoft.directory/applications/applicationProxy/update Aggiornamento di tutte le proprietà del proxy dell'applicazione
microsoft.directory/applications/applicationProxyUrlSettings/update Aggiornamento delle impostazioni dell'URL per il proxy dell'applicazione
microsoft.directory/applications/appRoles/update Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applications/create Creazione di tutti i tipi di applicazioni
microsoft.directory/applications/credentials/update Aggiornamento delle credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/delete Eliminazione di tutti i tipi di applicazioni
microsoft.directory/applications/extensionProperties/update Aggiornamento delle proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applications/tag/update Aggiornamento dei tag delle applicazioni
microsoft.directory/applications/verification/update Aggiornamento della proprietà applicationsverification
microsoft.directory/applicationTemplates/instantiate Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/connectorGroups/allProperties/read Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectorGroups/allProperties/update Aggiornamento di tutte le proprietà dei gruppi di connettori del proxy dell'applicazione
microsoft.directory/connectorGroups/create Creazione di gruppi di connettori di rete privata
microsoft.directory/connectorGroups/delete Eliminare gruppi di connettori di rete privati
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori di rete privata
microsoft.directory/connectors/create Creare il connettore di rete privata
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creazione e gestione di estensioni di autenticazione personalizzate
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems.applications/delete Eliminazione definitiva di applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristino dello stato originale delle applicazioni eliminate temporaneamente
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornamento delle proprietà relative ai destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornamento delle proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornamento delle credenziali delle entità servizio
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/delete Eliminazione delle entità servizio
microsoft.directory/servicePrincipals/disable Disabilitazione delle entità servizio
microsoft.directory/servicePrincipals/enable Abilitazione delle entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestione delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lettura delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Concessione del consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Aggiornamento delle note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornamento dei proprietari nelle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornamento delle autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornamento dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornamento della proprietà tag per le entità servizio
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Sviluppatore di applicazioni

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. gli utenti in questo ruolo possono creare registrazioni di applicazioni quando l'opzione "Gli utenti possono registrare applicazioni" è impostata su No. Questo ruolo concede anche l'autorizzazione per fornire il consenso per proprio conto quando l'opzione "Gli utenti possono fornire il consenso alle app che accedono ai dati aziendali per loro conto" è impostata su No. Gli utenti assegnati a questo ruolo vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazioni.

Azioni Descrizione
microsoft.directory/applications/createAsOwner Creazione di tutti i tipi di applicazioni. L'autore viene aggiunto come primo proprietario
microsoft.directory/oAuth2PermissionGrants/createAsOwner Creazione di concessioni di autorizzazioni OAuth 2.0. L'autore è il primo proprietario
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/createAsOwner Creazione di entità servizio. L'autore è il primo proprietario

Autore del payload di attacco

Gli utenti con questo ruolo possono creare payload di attacco, ma non effettivamente avviarli o pianificarli. I payload di attacco sono quindi disponibili per tutti gli amministratori del tenant, che possono usarli per creare una simulazione.

Per altre informazioni, vedere autorizzazioni Microsoft Defender per Office 365 nel portale di Microsoft 365 Defender e autorizzazioni nel Portale di conformità di Microsoft Purview.

Azioni Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire payload di attacco nel simulatore di attacchi
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report della simulazione di attacchi, le risposte e il training associato

Amministratore della simulazione di attacchi

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti della creazione della simulazione di attacchi, l'avvio o la pianificazione di una simulazione e la revisione dei risultati della simulazione. I membri con questo ruolo hanno questo accesso a tutte le simulazioni nel tenant.

Per altre informazioni, vedere autorizzazioni Microsoft Defender per Office 365 nel portale di Microsoft 365 Defender e autorizzazioni nel Portale di conformità di Microsoft Purview.

Azioni Descrizione
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire payload di attacco nel simulatore di attacchi
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report della simulazione di attacchi, le risposte e il training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Creare e gestire modelli di simulazione di attacchi nel simulatore di attacchi

Amministratore assegnazione di attributi

Gli utenti con questo ruolo possono assegnare e rimuovere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati, come ad esempio utenti, entità servizio e dispositivi.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Lettura di tutte le proprietà dei set di attributi
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Aggiornamento dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/devices/customSecurityAttributes/update Aggiornamento dei valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aggiornamento dei valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per gli utenti
microsoft.directory/users/customSecurityAttributes/update Aggiornamento dei valori degli attributi di sicurezza personalizzati per gli utenti

Lettore assegnazione di attributi

Gli utenti con questo ruolo possono leggere le chiavi e i valori degli attributi di sicurezza personalizzati per gli oggetti di Microsoft Entra supportati.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Lettura di tutte le proprietà dei set di attributi
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per le identità gestite di Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate
microsoft.directory/devices/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per i dispositivi
microsoft.directory/servicePrincipals/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per le entità servizio
microsoft.directory/users/customSecurityAttributes/read Lettura dei valori degli attributi di sicurezza personalizzati per gli utenti

Amministratore definizione di attributi

Gli utenti con questo ruolo possono definire un set valido di attributi di sicurezza personalizzati che possono essere assegnati agli oggetti supportati di Microsoft Entra. Questo ruolo può anche attivare e disattivare gli attributi di sicurezza personalizzati.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/allTasks Gestione di tutti gli aspetti dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Gestione di tutti gli aspetti delle definizioni degli attributi di sicurezza personalizzati

Lettore definizione di attributi

Gli utenti con questo ruolo possono leggere la definizione degli attributi di sicurezza personalizzati.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/attributeSets/allProperties/read Lettura di tutte le proprietà dei set di attributi
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Lettura di tutte le proprietà delle definizioni degli attributi di sicurezza personalizzate

Amministratore di log degli attributi

Assegnare il Ruolo con autorizzazioni di lettura per i log degli attributi agli utenti che devono eseguire le attività seguenti:

  • Lettura dei log di controllo per individuare le modifiche apportate ai valori degli attributi di sicurezza personalizzati
  • Lettura dei log di controllo per individuare le modifiche apportate alle definizioni degli attributi di sicurezza personalizzati
  • Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati

Gli utenti con questo ruolo non possono leggere i log di controllo relativi ad altri eventi.

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.azure.customSecurityAttributeDiagnosticSettings/allEntities/allProperties/allTasks Configurazione di tutti gli aspetti delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Lettura dei log di controllo correlati agli attributi di sicurezza personalizzati

Lettore log attributi

Assegnare il Ruolo con autorizzazioni di lettura per i log degli attributi agli utenti che devono eseguire le attività seguenti:

  • Lettura dei log di controllo per individuare le modifiche apportate ai valori degli attributi di sicurezza personalizzati
  • Lettura dei log di controllo per individuare le modifiche apportate alle definizioni degli attributi di sicurezza personalizzati

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

  • Configurazione delle impostazioni di diagnostica per gli attributi di sicurezza personalizzati
  • Lettura dei log di controllo relativi ad altri eventi

Importante

Per impostazione predefinita, il ruolo di Amministratore globale e altri ruoli amministratore non dispongono delle autorizzazioni di lettura, definizione o assegnazione di attributi di sicurezza personalizzati.

Per altre informazioni, vedere Gestire l'accesso agli attributi di sicurezza personalizzati in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Lettura dei log di controllo correlati agli attributi di sicurezza personalizzati

Amministratore dell'autenticazione

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore autenticazione agli utenti che devono eseguire le operazioni seguenti:

  • Impostare o reimpostare qualsiasi metodo di autenticazione, incluse le password, per gli utenti non amministratori e per alcuni ruoli. Per un elenco dei ruoli che un amministratore dell'autenticazione può leggere o per aggiornare i metodi di autenticazione, vedere Utenti autorizzati a reimpostare le password.
  • Richiedere agli utenti non amministratori o assegnati ad alcuni ruoli di eseguire di nuovo la registrazione con credenziali esistenti diverse dalle password (ad esempio, MFA o FIDO) e anche revocare l'opzione per la memorizzazione delle credenziali MFA, richiedendo l'autenticazione MFA all'accesso successivo.
  • Gestire le impostazioni MFA nel portale di gestione MFA legacy.
  • Eseguire azioni sensibili per alcuni utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
  • Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo Gestione dei metodi di autenticazione dell'utente Gestione di MFA per utente Gestione delle impostazioni di MFA Gestione dei criteri del metodo di autenticazione Gestione dei criteri di protezione password Aggiornamento delle proprietà sensibili Eliminazione e ripristino degli utenti
Amministratore dell'autenticazione Sì, per alcuni utenti Sì, per alcuni utenti No No Sì, per alcuni utenti Sì, per alcuni utenti
Amministratore autenticazione con privilegi Sì, per tutti gli utenti Sì, per tutti gli utenti No No No Sì, per tutti gli utenti Sì, per tutti gli utenti
Amministratore dei criteri di autenticazione No No No
Amministratore utenti No No No No No Sì, per alcuni utenti Sì, per alcuni utenti

Importante

Gli utenti con questo ruolo possono modificare le credenziali di utenti che potrebbero accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere in Microsoft Entra ID e altrove autorizzazioni con privilegi non concesse agli amministratori dell'autenticazione. Questo significa che un amministratore dell'autenticazione può assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/deletedItems.users/restore Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/users/authenticationMethods/basic/update Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/create Aggiornamento dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/delete Eliminazione dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Lettura delle proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/users/basic/update Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzatura della disconnessione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/manager/update Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostazione delle password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update Aggiornamento del nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore dell'estendibilità dell'autenticazione

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore dell'estendibilità dell'autenticazione agli utenti che devono eseguire le operazioni seguenti:

  • Creare e gestire ogni aspetto delle estensioni di autenticazione personalizzate.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

  • Non è possibile assegnare estensioni di autenticazione personalizzate alle applicazioni per modificare le esperienze di autenticazione e non è possibile concedere il consenso per le autorizzazioni dell'applicazione o creare registrazioni app associate all'estensione di autenticazione personalizzata. È invece necessario usare i ruoli Amministratore applicazione, Sviluppatore applicazione o Amministratore applicazione cloud.

Un'estensione di autenticazione personalizzata è un endpoint API creato da uno sviluppatore per gli eventi di autenticazione ed è registrato in Microsoft Entra ID. Gli amministratori e i proprietari di applicazioni possono usare estensioni di autenticazione personalizzate per personalizzare le esperienze di autenticazione dell'applicazione come le procedure di accesso, registrazione o reimpostazione della password.

Ulteriori informazioni

Azioni Descrizione
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creazione e gestione di estensioni di autenticazione personalizzate
Icona dell'etichetta con privilegi.

Amministratore dei criteri di autenticazione

Assegnare il ruolo di Amministratore dei criteri di autenticazione agli utenti che devono eseguire le operazioni seguenti:

  • Configurare i criteri dei metodi di autenticazione, le impostazioni dell'autenticazione MFA a livello di tenant e i criteri della password di protezione che determinano i metodi che ogni utente può registrare e usare.
  • Gestire le impostazioni di protezione password: configurazioni di blocco intelligente e aggiornamento dell'elenco delle password vietate personalizzate.
  • Gestire le impostazioni MFA nel portale di gestione MFA legacy.
  • Creare e gestire credenziali verificabili.
  • Creare e gestire i ticket di supporto tecnico di Azure.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo Gestione dei metodi di autenticazione dell'utente Gestione di MFA per utente Gestione delle impostazioni di MFA Gestione dei criteri del metodo di autenticazione Gestione dei criteri di protezione password Aggiornamento delle proprietà sensibili Eliminazione e ripristino degli utenti
Amministratore dell'autenticazione Sì, per alcuni utenti Sì, per alcuni utenti No No Sì, per alcuni utenti Sì, per alcuni utenti
Amministratore autenticazione con privilegi Sì, per tutti gli utenti Sì, per tutti gli utenti No No No Sì, per tutti gli utenti Sì, per tutti gli utenti
Amministratore dei criteri di autenticazione No No No
Amministratore utenti No No No No No Sì, per alcuni utenti Sì, per alcuni utenti
Azioni Descrizione
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/organization/strongAuthentication/allTasks Gestione di tutti gli aspetti delle proprietà di autenticazione avanzata di un'organizzazione
microsoft.directory/userCredentialPolicies/basic/update Aggiornamento dei criteri di base per gli utenti
microsoft.directory/userCredentialPolicies/create Creazione di criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/delete Eliminazione dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/owners/read Lettura dei proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/owners/update Aggiornamento dei proprietari dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Lettura del collegamento di navigazione policy.appliesTo
microsoft.directory/userCredentialPolicies/standard/read Lettura delle proprietà standard dei criteri delle credenziali per gli utenti
microsoft.directory/userCredentialPolicies/tenantDefault/update Aggiornamento della proprietà policy.isOrganizationDefault
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aggiornamento della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lettura del contratto delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aggiornamento di un contratto delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lettura di una scheda delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Revoca di una scheda delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/create Creazione di un contratto delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/create Creazione della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/delete Eliminazione della configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le rispettive credenziali verificabili

Amministratore di Azure DevOps

Gli utenti con questo ruolo possono gestire tutti i criteri di Azure DevOps aziendali applicabili a tutte le organizzazioni di Azure DevOps supportate da Microsoft Entra ID. Gli utenti con questo ruolo possono gestire questi criteri passando a qualsiasi organizzazione di Azure DevOps supportata da Microsoft Entra ID aziendale. In aggiunta, gli utenti con questo ruolo possono richiedere la proprietà delle organizzazioni Azure DevOps orfane. Questo ruolo non concede altre autorizzazioni specifiche di Azure DevOps (ad esempio Amministratori raccolta di progetti) all'interno di una delle organizzazioni di Azure DevOps supportate dall'organizzazione con Microsoft Entra aziendale.

Azioni Descrizione
microsoft.azure.devOps/allEntities/allTasks Leggere e configurare Azure DevOps

Amministratore di Information Protection di Azure

gli utenti con questo ruolo hanno tutte le autorizzazioni nel servizio Azure Information Protection. Questo ruolo consente di configurare etichette per i criteri di Azure Information Protection, gestire i modelli di protezione e attivare la protezione. Questo ruolo non concede alcuna autorizzazione in Microsoft Entra ID Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, Microsoft 365 Defender Portal o Portale di conformità di Microsoft Purview.

Azioni Descrizione
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore del set di chiavi IEF B2C

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. L'utente può creare e gestire le chiavi dei criteri e i segreti per la crittografia dei token, le firme dei token e la crittografia/decrittografia delle attestazioni. Con l'aggiunta di nuove chiavi ai contenitori di chiavi esistenti, questo amministratore limitato può eseguire il rollover dei segreti in base alle esigenze senza effetti sulle applicazioni esistenti. Questo utente può visualizzare il contenuto completo di questi segreti e le relative date di scadenza anche dopo la loro creazione.

Importante

Si tratta di un ruolo sensibile. Il ruolo di amministratore dei set di chiavi deve essere controllato attentamente e assegnato con attenzione durante la pre-produzione e la produzione.

Azioni Descrizione
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Leggere e configurare set di chiavi in Azure Active Directory B2C
Icona dell'etichetta con privilegi.

Amministratore dei criteri IEF B2C

Gli utenti con questo ruolo hanno la possibilità di creare, leggere, aggiornare ed eliminare tutti i criteri personalizzati in Azure AD B2C e quindi di avere il controllo completo su Identity Experience Framework nell'organizzazione Azure AD B2C pertinente. Modificando i criteri, l'utente può stabilire una federazione diretta con provider di identità esterni, modificare lo schema della directory, modificare tutti i contenuti esposti agli utenti (HTML, CSS, JavaScript), modificare i requisiti per completare un'autenticazione, creare nuovi utenti, inviare dati utente a sistemi esterni, incluse migrazioni complete, e modificare tutte le informazioni utente, inclusi i campi sensibili come password e numeri di telefono. Viceversa, questo ruolo non può modificare le chiavi di crittografia o modificare i segreti usati per la federazione nell'organizzazione.

Importante

L'amministratore dei criteri IEF B2 è un ruolo estremamente sensibile da assegnare su base molto limitata per le organizzazioni in produzione. Le attività svolte da questi utenti devono essere controllate attentamente, soprattutto per le organizzazioni in produzione.

Azioni Descrizione
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Leggere e configurare criteri personalizzati in Azure Active Directory B2C

Amministratore fatturazione

Può effettuare acquisti, gestire le sottoscrizioni e i ticket di supporto e monitorare l'integrità dei servizi.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.directory/organization/basic/update Aggiornare le proprietà di base nell'organizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Cloud App Security

Gli utenti con questo ruolo dispongono di autorizzazioni complete nelle app Defender for Cloud. Possono aggiungere amministratori, criteri e impostazioni delle app Defender for Cloud, caricare i log ed eseguire azioni di governance.

Azioni Descrizione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di applicazioni cloud

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti in questo ruolo hanno le stesse autorizzazioni del ruolo di amministratore di applicazioni, esclusa la possibilità di gestire il proxy dell'applicazione. Questo ruolo concede la possibilità di creare e gestire tutti gli aspetti delle applicazioni aziendali e delle registrazioni dell'applicazione. Gli utenti assegnati a questo ruolo non vengono aggiunti come proprietari durante la creazione di nuove registrazioni di applicazione o di applicazioni aziendali.

Questo ruolo concede anche la possibilità di consentire le autorizzazioni delegate e le autorizzazioni dell'applicazione, ad eccezione delle autorizzazioni dell'applicazione per Azure AD Graph e Microsoft Graph.

Importante

Questa eccezione significa che è comunque possibile consentire autorizzazioni dell'applicazione per altre app (altre applicazioni Microsoft, applicazioni di terze parti o applicazioni registrate dall'utente). È comunque possibile richiedere queste autorizzazioni come parte della registrazione dell'app, ma concedendole (ovvero il consenso a) queste autorizzazioni richiedono un amministratore con privilegi più elevati, ad esempio l'amministratore del ruolo con privilegi.

Questo ruolo concede la possibilità di gestire le credenziali delle applicazioni. Gli utenti assegnati a questo ruolo possono aggiungere credenziali a un'applicazione e usarle per rappresentare l'identità dell'applicazione. Se all'identità dell'applicazione è stato concesso l'accesso a una risorsa, ad esempio la possibilità di creare o aggiornare l'utente o altri oggetti, un utente assegnato a questo ruolo potrebbe eseguire tali azioni durante la rappresentazione dell'applicazione. La possibilità di rappresentare l'identità dell'applicazione potrebbe costituire un'elevazione dei privilegi rispetto a quanto consentito all'utente tramite le assegnazioni di ruolo. È importante comprendere che assegnare a un utente il ruolo di Amministratore di applicazioni gli concede la possibilità di rappresentare l'identità di un'applicazione.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applicationPolicies/basic/update Aggiornamento delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applicationPolicies/create Creazione di criteri dell'applicazione
microsoft.directory/applicationPolicies/delete Eliminazione dei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/read Lettura dei proprietari nei criteri dell'applicazione
microsoft.directory/applicationPolicies/owners/update Aggiornamento della proprietà relativa al proprietario dei criteri dell'applicazione
microsoft.directory/applicationPolicies/policyAppliedTo/read Lettura dei criteri dell'applicazione applicati all'elenco di oggetti
microsoft.directory/applicationPolicies/standard/read Lettura delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/appRoles/update Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applications/create Creazione di tutti i tipi di applicazioni
microsoft.directory/applications/credentials/update Aggiornamento delle credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/delete Eliminazione di tutti i tipi di applicazioni
microsoft.directory/applications/extensionProperties/update Aggiornamento delle proprietà dell'estensione nelle applicazioni
microsoft.directory/applications/notes/update Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applications/tag/update Aggiornamento dei tag delle applicazioni
microsoft.directory/applications/verification/update Aggiornamento della proprietà applicationsverification
microsoft.directory/applicationTemplates/instantiate Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/deletedItems.applications/delete Eliminazione definitiva di applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristino dello stato originale delle applicazioni eliminate temporaneamente
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornamento delle proprietà relative ai destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornamento delle proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/credentials/update Aggiornamento delle credenziali delle entità servizio
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/delete Eliminazione delle entità servizio
microsoft.directory/servicePrincipals/disable Disabilitazione delle entità servizio
microsoft.directory/servicePrincipals/enable Abilitazione delle entità servizio
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Gestione delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Lettura delle credenziali per l'accesso Single Sign-On per la password nelle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Concessione del consenso per le autorizzazioni dell'applicazione e le autorizzazioni delegate per conto di qualsiasi utente o di tutti gli utenti, ad eccezione delle autorizzazioni dell'applicazione per Microsoft Graph
microsoft.directory/servicePrincipals/notes/update Aggiornamento delle note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornamento dei proprietari nelle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornamento delle autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornamento dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornamento della proprietà tag per le entità servizio
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore dispositivo cloud

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono abilitare, disabilitare ed eliminare dispositivi in Microsoft Entra ID e leggere le chiavi BitLocker per Windows 10 (se presenti) nel portale di Azure. Il ruolo non concede le autorizzazioni per gestire eventuali altre proprietà nel dispositivo.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave BitLocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristino dello stato originale dei dispositivi eliminati temporaneamente
microsoft.directory/deviceLocalCredentials/password/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/basic/update Aggiornare le proprietà di base per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
Icona dell'etichetta con privilegi.
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/basic/update Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/delete Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable Abilitare il dispositivo in Microsoft Entra ID
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365

Amministratore di conformità

Gli utenti con questo ruolo dispongono delle autorizzazioni per gestire le funzionalità relative alla conformità nel portale di conformità di Microsoft Purview, nell’interfaccia di amministrazione di Microsoft 365, in Azure e nel portale di Microsoft 365 Defender. Gli assegnatari possono anche gestire tutte le funzionalità all'interno dell'interfaccia di amministrazione di Exchange e creare ticket di supporto per Azure e Microsoft 365. Per ulteriori informazioni, consultare Ruoli e gruppi di ruoli in Conformità a Microsoft Defender per Office 365 e Microsoft Purview.

In Può eseguire
Portale di conformità di Microsoft Purview Proteggere e gestire i dati dell'organizzazione in tutti i servizi di Microsoft 365
Gestire gli avvisi di conformità
Microsoft Purview Compliance Manager Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
Portale di Microsoft 365 Defender Gestire la governance dei dati
Eseguire analisi sui dati e di carattere legale
Gestire le richieste di soggetti interessati

Questo ruolo dispone delle stesse autorizzazioni del gruppo di ruoli Amministratore di conformità nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender.
Intune Visualizzare tutti i dati di controllo di Intune
Microsoft Defender for Cloud Apps Disporre di autorizzazioni di sola lettura e gestire gli avvisi
Creare e modificare i criteri di file e consentire azioni di governance sui file
Visualizzare tutti i report predefiniti in Gestione dati
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore dei dati sulla conformità

Gli utenti con questo ruolo hanno le autorizzazioni per tenere traccia dei dati nel portale di conformità Microsoft Purview, nell'interfaccia di amministrazione di Microsoft 365 e in Azure. Gli utenti possono anche tenere traccia dei dati di conformità all'interno dell'interfaccia di amministrazione di Exchange, in Compliance Manager, nell'interfaccia di amministrazione di Teams e Skype for Business, nonché creare ticket di supporto per Azure e Microsoft 365. Per ulteriori informazioni sulle differenze tra l'amministratore di conformità e l'amministratore dei dati sulla conformità, consultare Ruoli e gruppi di ruoli in Conformità a Microsoft Defender per Office 365 e Microsoft Purview.

In Può eseguire
Portale di conformità di Microsoft Purview Monitorare i criteri correlati alla conformità in tutti i servizi di Microsoft 365
Gestire gli avvisi di conformità
Microsoft Purview Compliance Manager Monitorare, assegnare e verificare le attività di conformità alle normative dell'organizzazione
Portale di Microsoft 365 Defender Gestire la governance dei dati
Eseguire analisi sui dati e di carattere legale
Gestire le richieste di soggetti interessati

Questo ruolo dispone delle stesse autorizzazioni del gruppo di ruoli Amministratore dei dati sulla conformità nel controllo degli accessi in base al ruolo del portale di Microsoft 365 Defender.
Intune Visualizzare tutti i dati di controllo di Intune
Microsoft Defender for Cloud Apps Disporre di autorizzazioni di sola lettura e gestire gli avvisi
Creare e modificare i criteri di file e consentire azioni di governance sui file
Visualizzare tutti i report predefiniti in Gestione dati
Azioni Descrizione
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore accesso condizionale

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno la possibilità di gestire le impostazioni di accesso condizionale di Microsoft Entra.

Azioni Descrizione
microsoft.directory/policies/conditionalAccess/basic/update Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/create Creare criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/delete Eliminare criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/read Elencare tutti i criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/update Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/policies/conditionalAccess/tenantDefault/update Aggiornare il tenant predefinito per i criteri di accesso condizionale
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/create Creare regole personalizzate per definire i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365
Icona dell'etichetta con privilegi.

Responsabile approvazione accesso a Customer Lockbox

Gestisce le richieste di Microsoft Purview Customer Lockbox nell'organizzazione. Gli utenti con questo ruolo ricevono notifiche di posta elettronica per le richieste Customer Lockbox e possono approvare e rifiutare le richieste dall'interfaccia di amministrazione di Microsoft 365. Possono anche attivare o disattivare la funzionalità Customer Lockbox. Solo gli Amministratori globali possono reimpostare le password degli utenti a cui è assegnato questo ruolo.

Azioni Descrizione
microsoft.office365.lockbox/allEntities/allTasks Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore Desktop Analytics

Gli utenti in questo ruolo possono gestire il servizio Desktop Analytics. Tale servizio include la possibilità di visualizzare l'inventario degli asset, creare piani di distribuzione e visualizzare lo stato della distribuzione e dell'integrità.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.desktopAnalytics/allEntities/allTasks Gestire tutti gli aspetti di Desktop Analytics

Amministratori che leggono la directory

Gli utenti con questo ruolo possono leggere le informazioni di base della directory. Questo ruolo deve essere usato per:

  • Concedere l'accesso in lettura a un set specifico di utenti guest anziché concederlo a tutti gli utenti guest.
  • Concedere a un set specifico di utenti non amministratori l'accesso al portale di Microsoft Entra quando l'opzione “Limitare l'accesso all’Interfaccia di amministrazione di Microsoft Entra” è impostata su “Sì”.
  • Concedere alle entità servizio l'accesso alla directory in cui Directory.Read.All non è un'opzione.
Azioni Descrizione
microsoft.directory/administrativeUnits/members/read Leggere i membri delle unità amministrative
microsoft.directory/administrativeUnits/standard/read Leggere le proprietà di base nelle unità amministrative
microsoft.directory/applicationPolicies/standard/read Lettura delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/owners/read Leggere i proprietari delle applicazioni
microsoft.directory/applications/policies/read Leggere i criteri delle applicazioni
microsoft.directory/applications/standard/read Lettura delle proprietà standard dell'applicazione
microsoft.directory/contacts/memberOf/read Leggere l'appartenenza al gruppo per tutti i contatti in Microsoft Entra ID
microsoft.directory/contacts/standard/read Leggere le proprietà di base sui contatti in Microsoft Entra ID
microsoft.directory/contracts/basic/read Leggere le proprietà di base sui contratti partner
microsoft.directory/devices/memberOf/read Leggere le appartenenze dei dispositivi
microsoft.directory/devices/registeredOwners/read Leggere i proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/read Leggere gli utenti registrati dei dispositivi
microsoft.directory/devices/standard/read Leggere le proprietà di base nei dispositivi
microsoft.directory/directoryRoles/eligibleMembers/read Leggere i membri idonei dei ruoli di Microsoft Entra
microsoft.directory/directoryRoles/members/read Leggere tutti i membri dei ruoli di Microsoft Entra
microsoft.directory/directoryRoles/standard/read Leggere le proprietà di base dei ruoli di Microsoft Entra
microsoft.directory/domains/standard/read Leggere le proprietà di base nei domini
microsoft.directory/groups/appRoleAssignments/read Recupera l'assegnazione di ruolo applicazione di un gruppo
microsoft.directory/groupSettings/standard/read Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read Lettura delle proprietà di base sui modelli di impostazione del gruppo
microsoft.directory/groups/memberOf/read Eseguire la lettura di membri dei gruppi di sicurezza sulle proprietà e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/members/read Eseguire la lettura di membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/owners/read Eseguire la lettura dei proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/settings/read Leggere le impostazioni dei gruppi
microsoft.directory/groups/standard/read Leggere le proprietà standard dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi assegnabili ai ruoli
microsoft.directory/oAuth2PermissionGrants/basic/read Leggere le proprietà di base nelle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/standard/read Lettura delle proprietà di base in un'organizzazione
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Leggere le autorità di certificazione attendibili per l'autenticazione senza password
microsoft.directory/roleAssignments/basic/read Lettura delle proprietà di base per le assegnazioni di ruolo
microsoft.directory/roleDefinitions/standard/read Lettura delle proprietà di base nelle definizioni dei ruoli
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Lettura delle assegnazioni di ruolo delle entità servizio.
microsoft.directory/servicePrincipals/appRoleAssignments/read Lettura delle assegnazioni di ruolo assegnate a entità servizio
microsoft.directory/servicePrincipals/memberOf/read Lettura delle appartenenze ai gruppi nelle entità servizio
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Lettura delle concessioni di autorizzazioni delegate nelle entità servizio
microsoft.directory/servicePrincipals/ownedObjects/read Leggere gli oggetti di proprietà delle entità servizio
microsoft.directory/servicePrincipals/owners/read Lettura dei proprietari nelle entità servizio
microsoft.directory/servicePrincipals/policies/read Lettura dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/standard/read Lettura delle proprietà standard delle entità servizio
microsoft.directory/subscribedSkus/standard/read Leggere le proprietà di base nelle sottoscrizioni
microsoft.directory/users/appRoleAssignments/read Eseguire la lettura delle assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read Eseguire la lettura deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read Leggere i report diretti per gli utenti
microsoft.directory/users/invitedBy/read Lettura dell'utente che ha invitato un utente esterno a un tenant
microsoft.directory/users/licenseDetails/read Eseguire la lettura dei dettagli delle licenze degli utenti
microsoft.directory/users/manager/read Leggere Manager degli utenti
microsoft.directory/users/memberOf/read Lettura delle appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read Lettura delle concessioni di autorizzazioni delegate agli utenti
microsoft.directory/users/ownedDevices/read Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read Lettura degli oggetti di proprietà degli utenti
microsoft.directory/users/photo/read Lettura della foto degli utenti
microsoft.directory/users/registeredDevices/read Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read Eseguire la lettura dell'appartenenza di un utente a un ruolo di Microsoft Entra, che ha come ambito un'unità amministrativa
microsoft.directory/users/sponsors/read Leggere gli sponsor degli utenti
microsoft.directory/users/standard/read Lettura delle proprietà di base per gli utenti

Account di sincronizzazione della directory

Non utilizzare. Questo ruolo viene assegnato automaticamente al servizio Microsoft Entra Connect e non è progettato o supportato per altri usi.

Azioni Descrizione
microsoft.directory/onPremisesSynchronization/standard/read Leggere e gestire gli oggetti per abilitare la sincronizzazione della directory locale

Amministratori che scrivono nella directory

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono leggere e aggiornare le informazioni di base di utenti, gruppi ed entità servizio.

Azioni Descrizione
microsoft.directory/applications/extensionProperties/update Aggiornamento delle proprietà dell'estensione nelle applicazioni
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.aad.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groupSettings/basic/update Aggiornare le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettings/create Creare le impostazioni dei gruppi
microsoft.directory/groupSettings/delete Eliminare le impostazioni dei gruppi
microsoft.directory/groups/groupType/update Aggiornamento delle proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a un ruolo
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/onPremWriteBack/update Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborare le assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/groups/settings/update Aggiornamento delle impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/oAuth2PermissionGrants/basic/update Aggiornamento delle concessioni di autorizzazione OAuth 2.0
Icona dell'etichetta con privilegi.
microsoft.directory/oAuth2PermissionGrants/createAsOwner Creazione di concessioni di autorizzazione OAuth 2.0
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/basic/update Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzatura della disconnessione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/manager/update Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/sponsors/update Aggiornare gli sponsor degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornamento del nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.

Amministratore del nome di dominio

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire, ovvero leggere, aggiungere, verificare, aggiornare ed eliminare, i nomi di dominio. Possono anche leggere le informazioni della directory su utenti, gruppi e applicazioni, in quanto questi oggetti possiedono dipendenze di dominio. Per gli ambienti locali, gli utenti con questo ruolo possono configurare i nomi di dominio per la federazione in modo che gli utenti associati siano sempre autenticati in locale. Questi utenti possono quindi accedere ai servizi basati su Microsoft Entra con le password locali tramite l'accesso Single Sign-On. Le impostazioni di federazione devono essere sincronizzate tramite Microsoft Entra Connect in modo che gli utenti dispongano anche delle autorizzazioni per gestire Microsoft Entra Connect.

Azioni Descrizione
microsoft.directory/domains/allProperties/allTasks Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Dynamics 365

Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Dynamics 365 Online, quando il servizio è presente, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per maggiori informazioni consultare Utilizzare i ruoli di amministratore del servizio per gestire il tenant

Nota

Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Dynamics 365. Nel portale di Azure si chiama Amministratore di Dynamics 365.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.dynamics365/allEntities/allTasks Gestione di tutti gli aspetti di Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Dynamics 365 Business Central

Assegnazione del ruolo di amministratore di Dynamics 365 Business Central agli utenti che devono eseguire le attività seguenti:

  • Accedere agli ambienti Dynamics 365 Business Central
  • Eseguire tutte le attività amministrative negli ambienti
  • Gestire il ciclo di vita degli ambienti del cliente
  • Eseguire la supervisione delle estensioni installate negli ambienti
  • Controllare gli aggiornamenti degli ambienti
  • Eseguire esportazioni di dati di ambienti
  • Leggere e configurare i dashboard di integrità dei servizi di Azure e Microsoft 365

Questo ruolo non fornisce autorizzazioni per altri prodotti Dynamics 365.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/domains/standard/read Leggere le proprietà di base nei domini
microsoft.directory/organization/standard/read Leggere le proprietà di base in un'organizzazione
microsoft.directory/subscribedSkus/standard/read Lettura delle proprietà di base nelle sottoscrizioni
microsoft.directory/users/standard/read Lettura delle proprietà di base per gli utenti
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Gestione di tutti gli aspetti di Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore Edge

Gli utenti con questo ruolo possono creare e gestire l'elenco dei siti aziendali richiesto per la modalità Internet Explorer in Microsoft Edge. Questo ruolo concede le autorizzazioni per creare, modificare e pubblicare l'elenco dei siti e consente inoltre l'accesso per gestire i ticket di supporto. Ulteriori informazioni

Azioni Descrizione
microsoft.edge/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Exchange

gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Exchange Online, quando il servizio è presente. Consente anche di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

Nell'API Microsoft Graph e in Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Exchange. Nel portale di Azure è chiamato Amministratore di Exchange. Nella interfaccia di amministrazione di Exchange è chiamato amministratore di Exchange Online.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.backup/exchangeProtectionPolicies/allProperties/allTasks Creare e gestire i criteri di protezione di Exchange Online in Microsoft 365 Backup
microsoft.backup/exchangeRestoreSessions/allProperties/allTasks Leggere e configurare la sessione di ripristino per Exchange Online in Microsoft 365 Backup
microsoft.backup/restorePoints/userMailboxes/allProperties/allTasks Gestire tutti i punti di ripristino associati alle cassette postali di Exchange Online selezionate in Backup di M365
microsoft.backup/userMailboxProtectionUnits/allProperties/allTasks Gestire le cassette postali aggiunte ai criteri di protezione di Exchange Online in Microsoft 365 Backup
microsoft.backup/userMailboxRestoreArtifacts/allProperties/allTasks Gestire le cassette postali aggiunte per ripristinare la sessione per Exchange Online in Microsoft 365 Backup
microsoft.directory/groups/hiddenMembers/read Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.office365.exchange/allEntities/allTasks Gestire tutti gli aspetti di Exchange Online
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore destinatario di Exchange

Gli utenti con questo ruolo hanno accesso in lettura ai destinatari e accesso in scrittura agli attributi di tali destinatari in Exchange Online. Per altre informazioni, consultare Destinatari in Exchange Server.

Azioni Descrizione
microsoft.office365.exchange/migration/allProperties/allTasks Gestione di tutte le attività correlate alla migrazione di destinatari in Exchange Online
microsoft.office365.exchange/recipients/allProperties/allTasks Creazione ed eliminazione di tutti i destinatari e lettura e aggiornamento di tutte le proprietà dei destinatari in Exchange Online

Amministratore dei flussi utente ID esterno

Gli utenti con questo ruolo possono creare e gestire i flussi utente, detti anche criteri "predefiniti", nel portale di Azure. Questi utenti possono personalizzare il contenuto HTML/CSS/JavaScript, modificare i requisiti dell'autenticazione a più fattori, selezionare le attestazioni nel token, gestire i connettori API e le relative credenziali e configurare le impostazioni di sessione per tutti i flussi utente nell'organizzazione di Microsoft Entra. D'altra parte, questo ruolo non include la possibilità di esaminare i dati dell'utente o di apportare modifiche agli attributi inclusi nello schema dell'organizzazione. Anche le modifiche ai criteri di Identity Experience Framework, noti anche come criteri personalizzati, non rientrano nell'ambito di questo ruolo.

Azioni Descrizione
microsoft.directory/b2cUserFlow/allProperties/allTasks Leggere e configurare i flussi utente in Azure Active Directory B2C

Amministratore degli attributi dei flussi utente ID esterno

Gli utenti con questo ruolo aggiungono o eliminano attributi personalizzati disponibili per tutti i flussi utente nell'organizzazione di Microsoft Entra. Gli utenti con questo ruolo possono quindi modificare o aggiungere nuovi elementi allo schema degli utenti finali e influire sul comportamento di tutti i flussi utente, causando indirettamente modifiche ai dati che possono essere richiesti agli utenti finali e inviati infine come attestazioni alle applicazioni. Questo ruolo non può modificare i flussi utente.

Azioni Descrizione
microsoft.directory/b2cUserAttribute/allProperties/allTasks Leggere e configurare gli attributi utente in Azure Active Directory B2C

Amministratore dei provider di identità esterni

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Questo amministratore gestisce la federazione tra le organizzazioni di Microsoft Entra e i provider di identità esterni. Con questo ruolo gli utenti possono aggiungere nuovi provider di identità e configurare tutte le impostazioni disponibili (ad esempio percorso di autenticazione, ID del servizio e contenitori di chiavi assegnati). Questo utente può consentire all'organizzazione Microsoft Entra di considerare attendibili le autenticazioni da provider di identità esterni. L'impatto risultante sulle esperienze degli utenti finali dipende dal tipo di organizzazione:

  • Organizzazioni Microsoft Entra per dipendenti e partner: l'aggiunta di una federazione, ad esempio con Gmail, influisce immediatamente su tutti gli inviti guest non ancora riscattati. Vedere Aggiungere Google come provider di identità per utenti guest B2B.
  • Organizzazioni Azure Active Directory B2C: L'aggiunta di una federazione, ad esempio con Facebook o con un'altra organizzazione Microsoft Entra, non ha un impatto immediato sui flussi degli utenti finali fino all'aggiunta del provider di identità come opzione in un flusso utente, definito anche criterio predefinito. Per un esempio, vedere Configurazione di un account Microsoft come provider di identità. Per modificare i flussi utente, è necessario il ruolo limitato di "Amministratore dei flussi utente B2C".
Azioni Descrizione
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
Icona dell'etichetta con privilegi.
microsoft.directory/identityProviders/allProperties/allTasks Leggere e configurare i provider di identità in Azure Active Directory B2C
Icona dell'etichetta con privilegi.

Amministratore di Fabric

Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Fabric e Power BI, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Per maggiori informazioni, consultareRiconoscere i ruoli di amministratore di Fabric.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.powerApps.powerBI/allEntities/allTasks Gestire tutti gli aspetti di Fabric e Power BI

Amministratore globale

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno accesso a tutte le funzionalità amministrative in Microsoft Entra ID, nonché ai servizi che usano le identità di Microsoft Entra come il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview, Exchange Online, SharePoint Online e Skype for Business Online. Gli amministratori globali possono visualizzare i log Attività directory. Inoltre, gli amministratori globali possono elevare i propri privilegi di accesso in modo da gestire tutte le sottoscrizioni e i gruppi di gestione di Azure. Ciò consente agli Amministratori globali di ottenere l'accesso completo a tutte le risorse di Azure usando il rispettivo tenant di Microsoft Entra. La persona che effettua l'iscrizione per l'organizzazione di Microsoft Entra diventa amministratore globale. In una società possono essere presenti più Amministratori globali. Gli Amministratori globali possono reimpostare la password per qualsiasi utente e per tutti gli altri amministratori. Un amministratore globale non può rimuovere la propria assegnazione di amministratore globale. Si tratta di evitare una situazione in cui un'organizzazione ha zero amministratori globali.

Nota

Come procedura consigliata, Microsoft consiglia di assegnare il ruolo di Amministratore globale a meno di cinque persone nell'organizzazione. Per altre informazioni, vedere Procedure consigliate per i ruoli di Microsoft Entra.

Azioni Descrizione
microsoft.azure.advancedThreatProtection/allEntities/read Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Gestire tutti gli aspetti di Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.backup/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Backup di Microsoft 365
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Gestire tutti gli aspetti della fatturazione di Office 365
microsoft.commerce.billing/purchases/standard/read Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365.
microsoft.directory/accessReviews/allProperties/allTasks (Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Gestire le verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Gestione dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Creare e gestire le unità amministrative (inclusi i membri)
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks Creare ed eliminare applicazioni, eseguire la lettura e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applicationTemplates/instantiate Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/allProperties/allTasks Gestire tutti gli aspetti dei criteri di autorizzazione
Icona dell'etichetta con privilegi.
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave BitLocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Gestire tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/connectorGroups/allProperties/read Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectorGroups/allProperties/update Aggiornamento di tutte le proprietà dei gruppi di connettori del proxy dell'applicazione
microsoft.directory/connectorGroups/create Creazione di gruppi di connettori di rete privata
microsoft.directory/connectorGroups/delete Eliminare gruppi di connettori di rete privati
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori di rete privata
microsoft.directory/connectors/create Creare il connettore di rete privata
microsoft.directory/contacts/allProperties/allTasks Creare ed eliminare contatti, eseguire la lettura e aggiornare tutte le proprietà
microsoft.directory/contracts/allProperties/allTasks Creare ed eliminare contratti partner e leggere e aggiornare tutte le proprietà
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aggiornamento delle impostazioni di connessione diretta B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Creare criteri di sincronizzazione tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aggiornamento dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Reimpostazione del modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aggiornamento dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Reimpostazione del modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Creazione e gestione di estensioni di autenticazione personalizzate
Icona dell'etichetta con privilegi.
microsoft.directory/deletedItems/delete Eliminazione definitiva di oggi che non possono più essere ripristinate
microsoft.directory/deletedItems.users/restore Ripristino dello stato originale di oggetti eliminati temporaneamente
microsoft.directory/deviceLocalCredentials/password/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/basic/update Aggiornare le proprietà di base per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
Icona dell'etichetta con privilegi.
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione dei dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/basic/update Aggiornare le proprietà di base nei criteri di registrazione dei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/allProperties/allTasks Creare ed eliminare dispositivi, leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/directoryRoles/allProperties/allTasks Creare ed eliminare ruoli directory, leggere e aggiornare tutte le proprietà
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Creare ed eliminare modelli di ruolo di Microsoft Entra e leggere e aggiornare tutte le proprietà
microsoft.directory/domains/allProperties/allTasks Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/domains/federationConfiguration/basic/update Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete Eliminare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/externalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/groups/allProperties/allTasks Creare ed eliminare gruppi e leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/groupsAssignableToRoles/allProperties/update Aggiornare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/assignLicense Assegnare una licenza a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/create Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete Eliminare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/restore Ripristinare gruppi assegnabili a ruoli
microsoft.directory/groupSettings/allProperties/allTasks Creare ed eliminare impostazioni gruppo, leggere e aggiornare tutte le proprietà
microsoft.directory/groupSettingTemplates/allProperties/allTasks Creare ed eliminare modelli di impostazioni di gruppo, leggere e aggiornare tutte le proprietà
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri ibridi di autenticazione in Microsoft Entra ID
Icona dell'etichetta con privilegi.
microsoft.directory/identityProtection/allProperties/allTasks Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Microsoft Entra ID Protection
Icona dell'etichetta con privilegi.
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.aad.directory/organization/allProperties/allTasks Creare ed eliminare loginTenantBranding, leggere e aggiornare tutte le proprietà
microsoft.directory/multiTenantOrganization/basic/update Aggiornare le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/create Creare un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Unirsi a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create Creare un tenant in un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete Eliminare un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/create Creare regole personalizzate per definire i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/onPremisesSynchronization/basic/update Aggiornare le informazioni di base sulla sincronizzazione della directory locale
microsoft.directory/onPremisesSynchronization/standard/read Leggere le informazioni di sincronizzazione della directory locale standard
microsoft.directory/organization/allProperties/allTasks Leggere e aggiornare tutte le proprietà per un'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID
microsoft.directory/pendingExternalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/create Creare profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/basic/update Aggiornare le proprietà di base dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/create Creare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/delete Eliminare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/policies/allProperties/allTasks Creare ed eliminare criteri, leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365
Icona dell'etichetta con privilegi.
microsoft.directory/roleAssignments/allProperties/allTasks Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà
microsoft.directory/serviceAction/activateService Può eseguire l'azione "attiva servizio" per un servizio
microsoft.directory/serviceAction/disableDirectoryFeature Può eseguire l'azione del servizio “disabilita funzionalità directory”
microsoft.directory/serviceAction/enableDirectoryFeature Può eseguire l'azione del servizio “abilitare funzionalità directory”
microsoft.directory/serviceAction/getAvailableExtentionProperties Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipals/basic/update Aggiornamento delle proprietà di base nei requisiti di creazione
microsoft.directory/servicePrincipalCreationPolicies/create Creare criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/delete Eliminare i criteri di creazione dell'entità servizio
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leggere le proprietà standard dei criteri di creazione delle entità servizio
microsoft.directory/servicePrincipals/allProperties/allTasks Creare ed eliminare gli elementi del servizio, leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/allTasks Acquistare e gestire sottoscrizioni ed eliminare sottoscrizioni
microsoft.directory/tenantManagement/tenants/create Creare un nuovo tenant in Microsoft Entra ID
microsoft.directory/users/allProperties/allTasks Creare ed eliminare utenti, leggere e aggiornare tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/basic/update Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/create Aggiornamento dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/delete Eliminazione dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/standard/read Leggere le proprietà standard dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/convertExternalToInternalMemberUser Convertire l'utente esterno in un utente interno
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aggiornamento della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lettura del contratto delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aggiornamento di un contratto delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lettura di una scheda delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Revoca di una scheda delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/create Creazione di un contratto delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/create Creazione della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/delete Eliminazione della configurazione necessaria per creare e gestire credenziali verificabili ed eliminare tutte le rispettive credenziali verificabili
microsoft.dynamics365/allEntities/allTasks Gestione di tutti gli aspetti di Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Edge
microsoft.flow/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.graph.dataConnect/allEntities/allProperties/allTasks Gestire gli aspetti di Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/allTasks Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per i reclami di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft
microsoft.insights/allEntities/allProperties/allTasks Gestire tutti gli aspetti dell'app Insights
microsoft.intune/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Intune
microsoft.networkAccess/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.complianceManager/allEntities/allTasks Gestire tutti gli aspetti di Office 365 Compliance Manager
microsoft.office365.desktopAnalytics/allEntities/allTasks Gestire tutti gli aspetti di Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Gestire tutti gli aspetti di Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Gestire tutti gli aspetti dei contenitori di SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gestire le origini di apprendimento e tutte le relative proprietà in Learning App.
microsoft.office365.lockbox/allEntities/allTasks Gestire tutti gli aspetti di Customer Lockbox
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Gestire tutti gli aspetti dei centri sicurezza e conformità
microsoft.office365.search/content/manage Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.userCommunication/allEntities/allTasks Leggere e aggiornare la visibilità dei messaggi relativi alle novità
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra
microsoft.powerApps/allEntities/allTasks Gestire tutti gli aspetti di PowerApps
microsoft.powerApps.powerBI/allEntities/allTasks Gestire tutti gli aspetti di Fabric e Power BI
microsoft.teams/allEntities/allProperties/allTasks Gestire tutte le risorse in Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali
microsoft.viva.goals/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gestione di tutti gli aspetti di Microsoft Defender per endpoint
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leggere e configurare tutti gli aspetti del servizio Windows Update

Ruolo con autorizzazioni di lettura globali

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti in questo ruolo possono leggere le impostazioni e le informazioni amministrative dei servizi di Microsoft 365, ma non possono eseguire azioni di gestione. Il Ruolo con autorizzazioni di lettura globali è la controparte di sola lettura dell'Amministratore globale. Assegnare il Ruolo con autorizzazioni di lettura globali anziché quello di Amministratore globale per le attività di pianificazione, controllo o indagine. Usare il Ruolo con autorizzazioni di lettura globali insieme ad altri ruoli amministrativi limitati, come quello di Amministratore di Exchange, per semplificare il lavoro senza assegnare il ruolo di Amministratore globale. Il ruolo con autorizzazioni di lettura globali funziona con l’interfaccia di amministrazione di Microsoft 365, l'interfaccia di amministrazione di Exchange, l'interfaccia di amministrazione di SharePoint, l'interfaccia di amministrazione di Teams, il portale Microsoft 365 Defender, il portale di conformità di Microsoft Purview, il portale di Azure e il centro di amministrazione Gestione dei dispositivi.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

  • Impossibile accedere all'area Acquisto di servizi nell'interfaccia di amministrazione di Microsoft 365.

Nota

Il ruolo con autorizzazioni di lettura globali presenta le seguenti limitazioni:

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.backup/allEntities/allProperties/read Leggere tutti gli aspetti di Backup di Microsoft 365
microsoft.cloudPC/allEntities/allProperties/read Leggi tutti gli aspetti di Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Leggere tutte le risorse della fatturazione di Office 365
microsoft.commerce.billing/purchases/standard/read Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365.
microsoft.directory/accessReviews/allProperties/read (Deprecato) Leggere tutte le proprietà delle verifiche di accesso
microsoft.directory/accessReviews/definitions/allProperties/read Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Lettura di tutte le proprietà dei criteri di richiesta di consenso amministratore in Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/read Lettura di tutte le proprietà delle unità amministrative, membri inclusi
microsoft.directory/appConsent/appConsentRequests/allProperties/read Lettura di tutte le proprietà delle richieste di consenso per le applicazioni registrate con Microsoft Entra ID
microsoft.directory/applications/allProperties/read Lettura di tutte le proprietà (incluse le proprietà con privilegi) in tutti i tipi di applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave BitLocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/cloudAppSecurity/allProperties/read Leggere tutte le proprietà per le app di Defender per il cloud
microsoft.directory/conditionalAccessPolicies/allProperties/read Leggere tutte le proprietà dei criteri di accesso condizionale
microsoft.directory/connectorGroups/allProperties/read Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectors/allProperties/read Leggere tutte le proprietà dei connettori di rete privata
microsoft.directory/contacts/allProperties/read Leggere tutte le proprietà per i contatti
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/customAuthenticationExtensions/allProperties/read Leggere le estensioni di autenticazione personalizzate
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/allProperties/read Lettura di tutte le proprietà dei dispositivi
microsoft.directory/directoryRoles/allProperties/read Leggere tutte le proprietà dei ruoli della directory
microsoft.directory/directoryRoleTemplates/allProperties/read Leggere tutte le proprietà dei modelli di ruolo della directory
microsoft.directory/domains/allProperties/read Lettura di tutte le proprietà dei domini
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/groups/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) nei gruppi di sicurezza e nei gruppi di Microsoft 365, inclusi i gruppi assegnabili di ruolo
microsoft.directory/groupSettings/allProperties/read Lettura di tutte le proprietà delle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/allProperties/read Leggere tutte le proprietà dei modelli di impostazione di gruppo
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Leggere tutte le proprietà dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.directory/loginOrganizationBranding/allProperties/read Leggere tutte le proprietà per la pagina di accesso personalizzata dell'organizzazione
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Eseguire la lettura delle proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Eseguire la lettura dei dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/oAuth2PermissionGrants/allProperties/read Leggere tutte le proprietà delle concessioni di autorizzazione OAuth 2.0
microsoft.directory/organization/allProperties/read Leggere tutte le proprietà per un'organizzazione
microsoft.directory/pendingExternalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.directory/policies/allProperties/read Lettura di tutte le proprietà dei criteri
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/roleAssignments/allProperties/read Leggere tutte le proprietà delle assegnazioni di ruolo
microsoft.directory/roleDefinitions/allProperties/read Leggere tutte le proprietà delle definizioni dei ruoli
microsoft.directory/scopedRoleMemberships/allProperties/read Visualizzare i membri nelle unità amministrative
microsoft.directory/serviceAction/getAvailableExtentionProperties Può eseguire l'azione del servizio getAvailableExtentionProperties
microsoft.directory/servicePrincipalCreationPolicies/standard/read Leggere le proprietà standard dei criteri di creazione delle entità servizio
microsoft.directory/servicePrincipals/allProperties/read Leggere tutte le proprietà (incluse le proprietà con privilegi) in servicePrincipals
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/subscribedSkus/allProperties/read Leggere tutte le proprietà delle sottoscrizioni di prodotti
microsoft.directory/users/allProperties/read Leggere tutte le proprietà degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Lettura delle proprietà standard dei metodi di autenticazione che non includono informazioni personali per gli utenti
microsoft.directory/verifiableCredentials/configuration/allProperties/read Lettura della configurazione necessaria per creare e gestire credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Lettura del contratto delle credenziali verificabili
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Lettura di una scheda delle credenziali verificabili
microsoft.edge/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Edge
microsoft.graph.dataConnect/allEntities/allProperties/read Leggere gli aspetti di Microsoft Graph Data Connect
microsoft.hardware.support/shippingAddress/allProperties/read Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/read Leggere attestazioni di garanzia hardware Microsoft
microsoft.insights/allEntities/allProperties/read Leggere tutti gli aspetti di Viva Insights
microsoft.networkAccess/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Leggere le entità e le autorizzazioni dei contenitori di SharePoint Embedded
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Leggere tutte le proprietà nei centri sicurezza e conformità
microsoft.office365.securityComplianceCenter/allEntities/read Leggere le proprietà standard nel Centro sicurezza e conformità di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/read Leggere tutti gli aspetti di Yammer
microsoft.permissionsManagement/allEntities/allProperties/read Leggere tutti gli aspetti di Gestione delle autorizzazioni di Microsoft Entra
microsoft.teams/allEntities/allProperties/read Leggere tutte le proprietà di Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Leggi tutti gli aspetti delle visite virtuali
microsoft.viva.goals/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Viva Goals
microsoft.viva.pulse/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Leggere tutti gli aspetti del servizio Windows Update

Amministratore Accesso globale sicuro

Assegnare il ruolo di amministratore di Accesso globale sicuro agli utenti che devono eseguire le seguenti operazioni:

  • Creare e gestire tutti gli aspetti di Accesso a Internet di Microsoft Entra e Accesso privato Microsoft Entra
  • Gestire l'accesso agli endpoint pubblici e privati

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

  • Non è possibile gestire le applicazioni aziendali, le registrazioni delle applicazioni, l'accesso condizionale o le impostazioni dell’Application proxy

Ulteriori informazioni

Azioni Descrizione
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/applicationPolicies/standard/read Lettura delle proprietà standard dei criteri dell'applicazione
microsoft.directory/applications/applicationProxy/read Lettura di tutte le proprietà del proxy dell'applicazione
microsoft.directory/applications/owners/read Leggere i proprietari delle applicazioni
microsoft.directory/applications/policies/read Leggere i criteri delle applicazioni
microsoft.directory/applications/standard/read Leggere le proprietà standard delle applicazioni
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/connectorGroups/allProperties/read Lettura di tutte le proprietà dei gruppi di connettori di rete privata
microsoft.directory/connectors/allProperties/read Lettura di tutte le proprietà dei connettori di rete privata
microsoft.directory/crossTenantAccessPolicy/default/standard/read Lettura delle proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.networkAccess/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di gruppi

Gli utenti con questo ruolo possono creare o gestire gruppi e le relative impostazioni, ad esempio i criteri di denominazione e scadenza. È importante comprendere che l'assegnazione di un utente a questo ruolo offre la possibilità di gestire tutti i gruppi nell'organizzazione per diversi carichi di lavoro, ad esempio Teams, SharePoint, Yammer, oltre a Outlook. Inoltre, l'utente sarà in grado di gestire le diverse impostazioni dei gruppi nei vari portali di amministrazione, come l'interfaccia di amministrazione di Microsoft e il portale di Azure, oltre a quelli specifici del carico di lavoro, come le interfacce di amministrazione di Teams e SharePoint.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/deletedItems.groups/delete Eliminazione definitiva di gruppi che non possono più essere ripristinati
microsoft.directory/deletedItems.groups/restore Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.aad.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/groupType/update Aggiornare le proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/hiddenMembers/read Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/onPremWriteBack/update Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborazione delle assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/groups/settings/update Aggiornamento delle impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornare la proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Mittente dell'invito guest

Gli utenti con questo ruolo possono gestire gli inviti per gli utenti guest di Microsoft Entra B2B quando l'impostazione utente i membri possono invitare è impostata su No. Altre informazioni sulla collaborazione B2B in Informazioni su Collaborazione B2B di Microsoft Entra. Il ruolo non include altre autorizzazioni.

Azioni Descrizione
microsoft.directory/users/appRoleAssignments/read Eseguire la lettura delle assegnazioni di ruolo dell'applicazione per gli utenti
microsoft.directory/users/deviceForResourceAccount/read Eseguire la lettura deviceForResourceAccount degli utenti
microsoft.directory/users/directReports/read Leggere i report diretti per gli utenti
microsoft.directory/users/invitedBy/read Leggere l'utente che ha invitato un utente esterno a un tenant
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/licenseDetails/read Eseguire la lettura dei dettagli delle licenze degli utenti
microsoft.directory/users/manager/read Leggere Manager degli utenti
microsoft.directory/users/memberOf/read Lettura delle appartenenze ai gruppi degli utenti
microsoft.directory/users/oAuth2PermissionGrants/read Lettura delle concessioni di autorizzazioni delegate agli utenti
microsoft.directory/users/ownedDevices/read Leggere i dispositivi di proprietà degli utenti
microsoft.directory/users/ownedObjects/read Lettura degli oggetti di proprietà degli utenti
microsoft.directory/users/photo/read Lettura della foto degli utenti
microsoft.directory/users/registeredDevices/read Leggere i dispositivi registrati degli utenti
microsoft.directory/users/scopedRoleMemberOf/read Eseguire la lettura dell'appartenenza di un utente a un ruolo di Microsoft Entra, che ha come ambito un'unità amministrativa
microsoft.directory/users/sponsors/read Leggere gli sponsor degli utenti
microsoft.directory/users/standard/read Lettura delle proprietà di base per gli utenti

Amministratore supporto tecnico

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono modificare le password, invalidare i token di aggiornamento, creare e gestire le richieste di supporto con Microsoft per Azure e i servizi Microsoft 365 e monitorare l'integrità del servizio. Invalidando un token di aggiornamento si impone all'utente di eseguire di nuovo l'accesso. Il fatto che un Amministratore del supporto tecnico possa reimpostare la password di un utente e invalidare i token di aggiornamento dipende dal ruolo assegnato all'utente. Per un elenco dei ruoli che un amministratore del supporto tecnico può reimpostare le password per e invalidare i token di aggiornamento, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Importante

Gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse agli amministratori di supporto tecnico. Ciò significa che un Amministratore supporto tecnico potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche in Azure.
  • Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.

La delega delle autorizzazioni amministrative a subset di utenti e l'applicazione di criteri a un subset di utenti sono possibili con le unità amministrative.

Questo ruolo era precedentemente chiamato “Amministratore password” nel portale di Azure. È stato rinominato Amministratore supporto tecnico per allinearsi al nome esistente nell'API Microsoft Graph e in Microsoft Graph PowerShell.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave BitLocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/users/invalidateAllRefreshTokens Forzatura della disconnessione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/password/update Reimpostazione delle password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore delle identità ibride

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono creare, gestire e distribuire le impostazioni di configurazione del provisioning da Active Directory a Microsoft Entra ID usando il provisioning cloud così come gestire le impostazioni di Microsoft Entra Connect, Autenticazione pass-through (PTA), Sincronizzazione dell'hash delle password (PHS), Single Sign-On facile (SSO facile) e federazione. Non ha accesso per gestire Microsoft Entra Connect Health. Usando questo ruolo gli utenti possono anche risolvere i problemi e monitorare i log.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/applications/appRoles/update Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applications/create Creazione di tutti i tipi di applicazioni
microsoft.directory/applications/delete Eliminazione di tutti i tipi di applicazioni
microsoft.directory/applications/notes/update Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/synchronization/standard/read Leggere le impostazioni di provisioning associate all'oggetto applicazione
microsoft.directory/applications/tag/update Aggiornamento dei tag delle applicazioni
microsoft.directory/applicationTemplates/instantiate Creazione di un'istanza delle applicazioni della raccolta dai modelli di applicazioni
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/cloudProvisioning/allProperties/allTasks Leggere e configurare tutte le proprietà del servizio di provisioning cloud di Microsoft Entra.
microsoft.directory/deletedItems.applications/delete Eliminazione definitiva di applicazioni che non possono più essere ripristinate
microsoft.directory/deletedItems.applications/restore Ripristino dello stato originale delle applicazioni eliminate temporaneamente
microsoft.directory/domains/allProperties/read Leggere tutte le proprietà dei dispositivi
microsoft.directory/domains/federationConfiguration/basic/update Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete Eliminare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
Icona dell'etichetta con privilegi.
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Gestire i criteri ibridi di autenticazione in Microsoft Entra ID
Icona dell'etichetta con privilegi.
microsoft.directory/onPremisesSynchronization/basic/update Aggiornare le informazioni di base sulla sincronizzazione della directory locale
microsoft.directory/onPremisesSynchronization/standard/read Leggere le informazioni di sincronizzazione della directory locale standard
microsoft.directory/organization/dirSync/update Aggiornare la proprietà di sincronizzazione della directory dell'organizzazione
microsoft.directory/passwordHashSync/allProperties/allTasks Gestire tutti gli aspetti della sincronizzazione dell'hash delle password (PHS) in Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/audience/update Aggiornamento delle proprietà relative ai destinatari nelle entità servizio
microsoft.directory/servicePrincipals/authentication/update Aggiornamento delle proprietà relative all'autenticazione nelle entità servizio
microsoft.directory/servicePrincipals/basic/update Aggiornamento delle proprietà di base nelle entità servizio
microsoft.directory/servicePrincipals/create Creare entità servizio
microsoft.directory/servicePrincipals/delete Eliminazione delle entità servizio
microsoft.directory/servicePrincipals/disable Disabilitazione delle entità servizio
microsoft.directory/servicePrincipals/enable Abilitazione delle entità servizio
microsoft.directory/servicePrincipals/notes/update Aggiornamento delle note delle entità servizio
microsoft.directory/servicePrincipals/owners/update Aggiornamento dei proprietari nelle entità servizio
microsoft.directory/servicePrincipals/permissions/update Aggiornamento delle autorizzazioni delle entità servizio
microsoft.directory/servicePrincipals/policies/update Aggiornamento dei criteri nelle entità servizio
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Gestire i segreti e le credenziali per il provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avviare, riavviare e sospendere i processi di sincronizzazione del provisioning delle applicazioni da tenant cloud a tenant cloud.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creare e gestire lavori di sincronizzazione e schemi di provisioning delle applicazioni da cloud tenant a cloud tenant.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Gestione dei segreti e delle credenziali per il provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationJobs/manage Avvio, riavvio e sospensione dei processi di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronizationSchema/manage Creazione e gestione dei processi e dello schema di sincronizzazione del provisioning di applicazioni
microsoft.directory/servicePrincipals/synchronization/standard/read Leggere le impostazioni di provisioning associate all'entità servizio
microsoft.directory/servicePrincipals/tag/update Aggiornamento della proprietà tag per le entità servizio
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.directory/users/authorizationInfo/update Aggiornare la proprietà ID utente certificato multivalore degli utenti
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Identity Governance

Gli utenti con questo ruolo possono gestire la configurazione di Microsoft Entra ID Governance, inclusi i pacchetti di accesso, le verifiche di accesso, i cataloghi e i criteri, in modo da assicurare l'approvazione e la verifica dell'accesso e la rimozione degli utenti guest che non hanno più bisogno dell'accesso.

Azioni Descrizione
microsoft.directory/accessReviews/allProperties/allTasks (Deprecato) Creare ed eliminare verifiche di accesso, leggere e aggiornare tutte le proprietà delle verifiche di accesso e gestire le verifiche di accesso dei gruppi in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gestire le verifiche di accesso delle assegnazioni del ruolo applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni di un pacchetto di accesso nella gestione entitlement
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/create Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio

Amministratore informazioni dettagliate

Gli utenti con questo ruolo possono accedere al set completo di funzionalità amministrative nell'app Microsoft Viva Insights. Questo ruolo ha la possibilità di leggere le informazioni della directory, monitorare l'integrità del servizio, inviare i ticket di supporto e accedere agli aspetti delle impostazioni di Amministratore di Insights.

Ulteriori informazioni

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.insights/allEntities/allProperties/allTasks Gestire tutti gli aspetti dell'app Insights
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Analista di informazioni dettagliate

Assegnare il ruolo di Analista di Insights agli utenti che devono eseguire le attività seguenti:

  • Analizzare i dati nell'app Microsoft Viva Insights, senza poter gestire le impostazioni di configurazione
  • Creare, gestire ed eseguire query
  • Visualizzare le impostazioni e i report di base nell'interfaccia di amministrazione di Microsoft 365
  • Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365

Ulteriori informazioni

Azioni Descrizione
microsoft.insights/queries/allProperties/allTasks Eseguire e gestire query in Viva Insights
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Insights Business Leader

Gli utenti con questo ruolo possono accedere a un set di dashboard e informazioni dettagliate tramite l'app Microsoft Viva Insights. Ciò include l'accesso completo a tutti i dashboard e alle funzionalità di esplorazione dei dati e delle informazioni dettagliate presentate. Gli utenti con questo ruolo non hanno accesso alle impostazioni di configurazione del prodotto, che rientrano tra le responsabilità del ruolo di Amministratore di Insights.

Ulteriori informazioni

Azioni Descrizione
microsoft.insights/programs/allProperties/update Distribuire e gestire programmi nell'app Insights
microsoft.insights/reports/allProperties/read Visualizzare report e dashboard nell'app Insights

Amministratore di Intune

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno autorizzazioni globali in Microsoft Intune Online, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi. Per altre informazioni consultare Controllo dell’amminsitrazione basata su ruoli (RBAC) con Microsoft Intune.

Questo ruolo può creare e gestire tutti i gruppi di sicurezza. Tuttavia, l'amministratore di Intune non dispone dei diritti di amministratore per i gruppi di Microsoft 365. Ciò significa che l'amministratore non può aggiornare i proprietari o le appartenenze di tutti i gruppi di Microsoft 365 nell'organizzazione. Tuttavia, può gestire il gruppo di Microsoft 365 creato come parte dei privilegi degli utenti finali. Pertanto, qualsiasi gruppo di Microsoft 365 (non gruppo di sicurezza) che crea deve essere conteggiato rispetto alla quota di 250.

Nota

Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Intune. Nel portale di Azure è chiamato Amministratore di Intune.

Azioni Descrizione
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave BitLocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Elimina contatto
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristino dello stato originale dei dispositivi eliminati temporaneamente
microsoft.directory/deviceLocalCredentials/password/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, inclusa la password
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/basic/update Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/create Creazione di dispositivi (registrarsi in Microsoft Entra ID)
microsoft.directory/devices/delete Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable Abilitare il dispositivo in Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Aggiornamento delle proprietà extensionAttribute1 in extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update Aggiornamento delle proprietà extensionAttribute6 in extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update Aggiornamento delle proprietà extensionAttribute11 in extensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update Aggiornamento dei proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/groups/hiddenMembers/read Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/visibility/update Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/users/basic/update Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/manager/update Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.intune/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Kaizala

Gli utenti con questo ruolo hanno autorizzazioni globali per gestire le impostazioni in Microsoft Kaizala, quando è presente il servizio, nonché la possibilità di gestire i ticket di supporto e monitorare l'integrità dei servizi. Inoltre, l'utente può accedere ai report relativi all'adozione e all'utilizzo di Kaizala da parte dei membri dell'organizzazione e ai report aziendali generati usando le azioni Kaizala.

Azioni Descrizione
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore delle conoscenze

Gli utenti con questo ruolo hanno accesso completo a tutte le impostazioni delle funzionalità intelligenti, relative a conoscenze e apprendimento nell'interfaccia di amministrazione di Microsoft 365. Hanno una conoscenza generale della suite di prodotti, dei dettagli delle licenze e hanno la responsabilità di controllare l'accesso. L'amministratore delle conoscenze può creare e gestire i contenuti, ad esempio argomenti, acronimi e risorse di apprendimento. Questi utenti possono anche creare i centri di contenuti, monitorare l'integrità del servizio e creare le richieste di servizio.

Azioni Descrizione
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/createAsOwner Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Leggere e aggiornare tutte le proprietà di comprensione del contenuto in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Leggere e aggiornare tutte le proprietà della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Gestire le origini di apprendimento e tutte le relative proprietà in Learning App.
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Leggere tutte le proprietà delle etichette di riservatezza nei centri sicurezza e conformità
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Responsabile delle conoscenze

Gli utenti con questo ruolo possono creare e gestire i contenuti, ad esempio argomenti, acronimi e contenuti di apprendimento. Questi utenti sono principalmente responsabili della qualità e della struttura delle conoscenze. Questo utente dispone di diritti completi per le azioni di gestione degli argomenti per confermare un argomento, approvare le modifiche o eliminare un argomento. Questo ruolo può anche gestire le tassonomie come parte dello strumento di gestione dell'archivio di termini e creare centri di contenuto.

Azioni Descrizione
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/createAsOwner Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli. L'autore viene aggiunto come primo proprietario.
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Leggere i report analitici sulla comprensione dei contenuti in interfaccia di amministrazione di Microsoft 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Gestire la visibilità degli argomenti della rete delle informazioni in interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore licenze

Gli utenti in questo ruolo possono leggere, aggiungere, rimuovere e aggiornare le assegnazioni di licenze a utenti, gruppi (usando licenze basate su gruppi) e gestire i percorsi di utilizzo per gli utenti. Il ruolo non garantisce la possibilità di acquistare o gestire sottoscrizioni, creare o gestire gruppi o creare o gestire utenti al di fuori del percorso di utilizzo. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/groups/assignLicense Assegnazione delle licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/reprocessLicenseAssignment Rielaborazione delle assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/usageLocation/update Aggiornare la posizione di utilizzo degli utenti
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore flussi di lavoro del ciclo di vita

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore flussi di lavoro del ciclo di vita agli utenti che devono eseguire le attività seguenti:

  • Creare e gestire tutti gli aspetti dei flussi di lavoro e dei task associati ai flussi di lavoro del ciclo di vita in Microsoft Entra ID
  • Controllare l'esecuzione dei flussi di lavoro pianificati
  • Avviare le esecuzioni dei flussi di lavoro su richiesta
  • Esaminare i log di esecuzione del flusso di lavoro
Azioni Descrizione
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Gestire tutti gli aspetti dei flussi di lavoro e delle attività del ciclo di vita in Microsoft Entra ID
microsoft.directory/organization/strongAuthentication/read Lettura delle proprietà di autenticazione avanzata di un'organizzazione
microsoft.directory/users/lifeCycleInfo/read Leggere le informazioni sul ciclo di vita degli utenti, ad esempio employeeLeaveDateTime
Icona dell'etichetta con privilegi.

Ruolo con autorizzazioni di lettura per la privacy del Centro messaggi

Gli utenti con questo ruolo possono monitorare tutte le notifiche nel Centro messaggi, inclusi i messaggi sulla privacy dei dati. Gli utenti con il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi ricevono notifiche tramite posta elettronica, incluse quelle relative alla privacy dei dati, e possono annullare la sottoscrizione usando le preferenze del Centro messaggi. Solo l'amministratore globale e il ruolo con autorizzazioni di lettura per la privacy del Centro messaggi possono leggere i messaggi sulla privacy dei dati. Questo ruolo include anche la possibilità di visualizzare gruppi, domini e sottoscrizioni. Questo ruolo non ha le autorizzazioni per visualizzare, creare o gestire richieste di servizio.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.messageCenter/securityMessages/read Leggere i messaggi di sicurezza nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Ruolo con autorizzazioni di lettura per il Centro messaggi

Gli utenti con questo ruolo possono monitorare le notifiche e gli aggiornamenti dello stato di integrità nel Centro messaggi per la propria organizzazione sui servizi configurati, ad esempio Exchange, Intune e Microsoft Teams. Il Ruolo con autorizzazioni di lettura per il Centro messaggi riceve settimanalmente riepiloghi di posta elettronica di post, aggiornamenti e può condividere i post del centro messaggi in Office 365. In Microsoft Entra ID, gli utenti assegnati a questo ruolo avranno accesso in sola lettura ai servizi Microsoft Entra, come ad esempio utenti e gruppi. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della migrazione di Microsoft 365

Assegnare il ruolo di Amministratore migrazione di Windows 365 agli utenti che devono eseguire le attività seguenti:

  • Usare Gestione migrazione nei interfaccia di amministrazione di Microsoft 365 per gestire la migrazione dei contenuti a Microsoft 365, tra cui Teams, OneDrive for Business e siti di SharePoint, da Google Drive, Dropbox, Box e Egnyte
  • Selezionare le origini di migrazione, creare inventari della migrazione (ad esempio elenchi di utenti di Google Drive), pianificare ed eseguire migrazioni e scaricare i report
  • Creare nuovi siti di SharePoint se i siti di destinazione non esistono già, creare elenchi di SharePoint nei siti di amministrazione di SharePoint e creare e aggiornare elementi negli elenchi di SharePoint
  • Gestire le impostazioni del progetto di migrazione e il ciclo di vita della migrazione per le attività
  • Gestire i mapping delle autorizzazioni dall'origine alla destinazione

Nota

Questo ruolo non consente di eseguire la migrazione da origini di condivisione file usando l'interfaccia di amministrazione di SharePoint. È possibile usare il ruolo di amministratore di SharePoint per eseguire la migrazione da origini di condivisione file.

Ulteriori informazioni

Azioni Descrizione
microsoft.office365.migrations/allEntities/allProperties/allTasks Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore locale del dispositivo aggiunto a Microsoft Entra

Questo ruolo è disponibile per l'assegnazione solo come amministratore locale aggiuntivo in Impostazioni dispositivo. Gli utenti con questo ruolo diventano amministratori del computer locale in tutti i dispositivi Windows 10 aggiunti a Microsoft Entra ID. Non hanno la capacità di gestire gli oggetti dispositivo in Microsoft Entra ID.

Azioni Descrizione
microsoft.directory/groupSettings/standard/read Leggere le proprietà di base nelle impostazioni del gruppo
microsoft.directory/groupSettingTemplates/standard/read Leggere le proprietà di base su modelli di impostazioni di gruppo

Amministratore garanzie hardware Microsoft

Assegnare il ruolo di Amministratore garanzie Hardware Microsoft agli utenti che devono eseguire le attività seguenti:

  • Creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens
  • Cercare e leggere attestazioni di garanzia aperte o chiuse
  • Cercare e leggere attestazioni di garanzia in base al numero di serie
  • Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione
  • Leggere lo stato di spedizione per le attestazioni di garanzia aperte
  • Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
  • Leggere gli annunci del Centro messaggi nell'interfaccia di amministrazione di Microsoft 365

Una richiesta di garanzia è una richiesta di riparazione o sostituzione dell'hardware in conformità alle condizioni della garanzia. Per maggiori informazioni consultareGestisci in autonomia la garanzia di Surface e le richieste di assistenza.

Azioni Descrizione
microsoft.hardware.support/shippingAddress/allProperties/allTasks Creare, leggere, aggiornare ed eliminare gli indirizzi di spedizione per i reclami di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione creati da altri utenti
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Creare e gestire tutti gli aspetti delle attestazioni di garanzia hardware Microsoft
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Specialista garanzie hardware Microsoft

Assegnare il ruolo di Specialista garanzie hardware Microsoft agli utenti che devono eseguire le attività seguenti:

  • Creare nuove attestazioni di garanzia per hardware prodotti da Microsoft, come Surface e HoloLens
  • Leggere le attestazioni di garanzia create
  • Leggere e aggiornare gli indirizzi di spedizione esistenti
  • Leggere lo stato di spedizione per le attestazioni di garanzia aperte create dall'utente
  • Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365

Una richiesta di garanzia è una richiesta di riparazione o sostituzione dell'hardware in conformità alle condizioni della garanzia. Per maggiori informazioni consultareGestisci in autonomia la garanzia di Surface e le richieste di assistenza.

Azioni Descrizione
microsoft.hardware.support/shippingAddress/allProperties/read Leggere gli indirizzi di spedizione per le attestazioni di garanzia hardware Microsoft, inclusi gli indirizzi di spedizione esistenti creati da altri utenti
microsoft.hardware.support/warrantyClaims/createAsOwner Creare attestazioni di garanzia hardware Microsoft in cui creator è il proprietario
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.hardware.support/shippingStatus/allProperties/read Leggere lo stato di spedizione per i reclami di garanzia per l’hardware Microsoft aperti
microsoft.hardware.support/warrantyClaims/allProperties/read Leggere attestazioni di garanzia hardware Microsoft

Amministratore di Commerce moderno

Non utilizzare. Questo ruolo viene assegnato automaticamente da Commerce e non è progettato o supportato per altri usi. Vedere i dettagli di seguito.

Il ruolo Amministratore di Commerce moderno concede a determinati utenti le autorizzazioni per accedere all'interfaccia di amministrazione di Microsoft 365 e visualizzare le voci di spostamento a sinistra per Home, Fatturazione e Supporto. I contenuti disponibili in queste aree sono controllati da ruoli specifici per attività commerciali assegnati agli utenti per gestire i prodotti acquistati per se stessi o per la propria organizzazione. Questo potrebbe includere attività quali il pagamento di fatture o l'accesso agli account di fatturazione e ai profili di fatturazione.

Gli utenti con il ruolo di amministratore di Commerce moderno hanno in genere autorizzazioni amministrative in altri sistemi di acquisto Microsoft, ma non hanno i ruoli di amministratore globale o amministratore della fatturazione usati per accedere all'interfaccia di amministrazione.

Quando viene assegnato il ruolo di amministratore di Commerce moderno?

  • Acquisto self-service nell'interfaccia di amministrazione di Microsoft 365 - L'acquisto self-service offre agli utenti la possibilità di provare nuovi prodotti acquistandoli o effettuando l'iscrizione autonomamente. Questi prodotti vengono gestiti nell'interfaccia di amministrazione. Agli utenti che effettuano un acquisto self-service viene assegnato un ruolo nel sistema commerciale e il ruolo di amministratore di Commerce moderno per poter gestire gli acquisti nell'interfaccia di amministrazione. Gli amministratori possono bloccare gli acquisti self-service (per Fabric, Power BI, Power Apps, Power Automate) tramite PowerShell. Per altre informazioni, vedere Domande frequenti sugli acquisti self-service.
  • Acquisti dal marketplace commerciale Microsoft - Analogamente all'acquisto self-service, quando un utente acquista un prodotto o un servizio da Microsoft AppSource o Azure Marketplace, viene assegnato il ruolo di amministratore di Commerce moderno se non ha il ruolo di amministratore globale o amministratore della fatturazione. In alcuni casi, è possibile che gli utenti non possano effettuare questi acquisti. Per altre informazioni, vedere Marketplace commerciale Microsoft.
  • Proposte da Microsoft - Una proposta è un'offerta formale da Microsoft all'organizzazione per l'acquisto di prodotti e servizi Microsoft. Quando la persona che accetta la proposta non ha un ruolo di amministratore globale o amministratore della fatturazione in Azure AD, viene assegnato un ruolo specifico per attività commerciali per completare la proposta e il ruolo di amministratore di Commerce moderno per accedere all'interfaccia di amministrazione. Quando accedono all'interfaccia di amministrazione, possono usare solo le funzionalità autorizzate dal proprio ruolo specifico per attività commerciali.
  • Ruoli specifici per attività commerciali - Ad alcuni utenti vengono assegnati ruoli specifici per attività commerciali. Se un utente non è un amministratore globale o di fatturazione, ottiene il ruolo di amministratore di Commerce moderno per poter accedere all'interfaccia di amministrazione.

Se viene annullata l'assegnazione del ruolo di amministratore di Commerce moderno a un utente, questi perderà l'accesso al centro di amministrazione di Microsoft 365. Se era responsabile della gestione di prodotti, per se stesso o per l'organizzazione, non sarà più in grado di occuparsene. I compiti di gestione potrebbero includere l'assegnazione di licenze, la modifica dei metodi di pagamento, il pagamento di fatture o altre attività per la gestione delle sottoscrizioni.

Azioni Descrizione
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Gestire tutti gli aspetti del Centro servizi per contratti multilicenza
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di rete

Gli utenti con questo ruolo possono esaminare le raccomandazioni relative all'architettura perimetrale di rete di Microsoft basate sui dati di telemetria di rete dalle posizioni degli utenti. Le prestazioni di rete per Microsoft 365 si basano su un'attenta architettura perimetrale della rete della clientela aziendale, in genere specifica per la posizione degli utenti. Questo ruolo consente di modificare le posizioni utente individuate e la configurazione dei parametri di rete per tali posizioni per favorire le misurazioni di telemetria e le raccomandazioni di progettazione migliori

Azioni Descrizione
microsoft.office365.network/locations/allProperties/allTasks Gestire tutti gli aspetti dei percorsi di rete
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore delle app di Office

Gli utenti con questo ruolo possono gestire le impostazioni cloud per le app di Microsoft 365. Sono incluse la gestione dei criteri cloud, la gestione dei download self-service e la possibilità di visualizzare report correlati alle app di Office. Questo ruolo concede anche la possibilità di gestire i ticket di supporto e di monitorare l'integrità dei servizi nell'interfaccia di amministrazione principale. Gli utenti assegnati a questo ruolo possono anche gestire la comunicazione delle nuove funzionalità nelle app di Office.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Leggere e aggiornare la visibilità dei messaggi relativi alle novità
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore personalizzazione dell'organizzazione

Assegnare il ruolo di Amministratore marchi dell’organizzazione agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti della personalizzazione dell'organizzazione in un tenant
  • Leggere, creare, aggiornare ed eliminare temi di personalizzazione
  • Gestire il tema di personalizzazione predefinito e tutti i temi di localizzazione della personalizzazione
Azioni Descrizione
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Creare ed eliminare loginTenantBranding, leggere e aggiornare tutte le proprietà

Responsabile approvazione dei messaggi dell'organizzazione

Assegnare il ruolo di responsabile approvazione dei messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:

  • Esaminare, approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365 prima che vengano inviati agli utenti usando la piattaforma Messaggi aziendali di Microsoft 365
  • Leggere tutti gli aspetti dei messaggi dell'organizzazione
  • Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
Azioni Descrizione
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/update Approvare o rifiutare nuovi messaggi dell'organizzazione per il recapito nel interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Writer dei messaggi dell'organizzazione

Assegnare il ruolo di Writer dei messaggi dell'organizzazione agli utenti che devono eseguire le attività seguenti:

  • Scrivere, pubblicare ed eliminare messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
  • Gestire le opzioni di recapito dei messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
  • Gestire le opzioni di recapito dei messaggi dell'organizzazione usando l'interfaccia di amministrazione di Microsoft 365 o Microsoft Intune
  • Visualizzare i report sull'utilizzo e la maggior parte delle impostazioni nell'interfaccia di amministrazione di Microsoft 365, senza poter apportare modifiche
Azioni Descrizione
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Gestire tutti gli aspetti di creazione dei messaggi dell'organizzazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Supporto partner Livello 1

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Non utilizzare. Questo ruolo è stato dismesso e verrà rimosso da Microsoft Entra ID in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento solo per gli utenti non amministratori. Questo ruolo non deve essere usato perché è deprecato.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/applications/appRoles/update Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornamento delle credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/notes/update Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornamento dei tag delle applicazioni
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Elimina contatto
microsoft.directory/groups/restore Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/deletedItems.users/restore Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/basic/update Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzatura della disconnessione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/manager/update Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostazione delle password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update Aggiornamento del nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Supporto partner Livello 2

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Non utilizzare. Questo ruolo è stato dismesso e verrà rimosso da Microsoft Entra ID in futuro. Il ruolo è riservato a pochi partner Microsoft per la rivendita e non è disponibile per un uso generale.

Importante

Questo ruolo può reimpostare le password e invalidare i token di aggiornamento per tutti gli amministratori e gli amministratori non (inclusi gli amministratori globali). Questo ruolo non deve essere usato perché è deprecato.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/applications/appRoles/update Aggiornamento della proprietà appRoles in tutti i tipi di applicazioni
microsoft.directory/applications/audience/update Aggiornamento della proprietà audience per le applicazioni
microsoft.directory/applications/authentication/update Aggiornamento dell'autenticazione in tutti i tipi di applicazioni
microsoft.directory/applications/basic/update Aggiornamento delle proprietà di base per le applicazioni
microsoft.directory/applications/credentials/update Aggiornamento delle credenziali dell'applicazione
Icona dell'etichetta con privilegi.
microsoft.directory/applications/notes/update Aggiornamento delle note delle applicazioni
microsoft.directory/applications/owners/update Aggiornamento dei proprietari delle applicazioni
microsoft.directory/applications/permissions/update Aggiornamento delle autorizzazioni esposte e delle autorizzazioni obbligatorie in tutti i tipi di applicazioni
microsoft.directory/applications/policies/update Aggiornamento dei criteri delle applicazioni
microsoft.directory/applications/tag/update Aggiornamento dei tag delle applicazioni
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Elimina contatto
microsoft.directory/groups/restore Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/deletedItems.users/restore Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/domains/allProperties/allTasks Creazione ed eliminazione di domini, e lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/organization/basic/update Aggiornare le proprietà di base nell'organizzazione
microsoft.directory/roleAssignments/allProperties/allTasks Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/subscribedSkus/standard/read Lettura delle proprietà di base nelle sottoscrizioni
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/basic/update Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzatura della disconnessione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/manager/update Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostazione delle password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update Aggiornamento del nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore password

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno la possibilità di gestire le password in modo limitato. Questo ruolo non concede la possibilità di gestire le richieste di servizio o di monitorare l'integrità dei servizi. La facoltà di un Amministratore di password di reimpostare la password di un utente dipende dal ruolo assegnato all'utente. Per un elenco dei ruoli per cui un amministratore password può reimpostare le password, vedere Chi può reimpostare le password.

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

Azioni Descrizione
microsoft.directory/users/password/update Reimpostazione delle password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore gestione autorizzazioni

Assegnare il ruolo di Amministratore gestione autorizzazioni agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra, quando il servizio è presente

Altre informazioni sui ruoli e i criteri di gestione delle autorizzazioni sono disponibili in Visualizzare informazioni sui ruoli/criteri.

Azioni Descrizione
microsoft.permissionsManagement/allEntities/allProperties/allTasks Gestire tutti gli aspetti della gestione delle autorizzazioni di Microsoft Entra

Amministratore di Power Platform

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti degli ambienti, di Power Apps, Flows e i criteri di prevenzione della perdita dei dati. Possono inoltre gestire i ticket di supporto e monitorare l'integrità del servizio.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.dynamics365/allEntities/allTasks Gestione di tutti gli aspetti di Dynamics 365
microsoft.flow/allEntities/allTasks Gestire tutti gli aspetti di Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.powerApps/allEntities/allTasks Gestire tutti gli aspetti di PowerApps

Amministratore stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire tutti gli aspetti di tutte le configurazioni della stampante nella soluzione Stampa universale Microsoft, incluse le impostazioni del connettore Stampa universale. Possono concedere il consenso a tutte le richieste di autorizzazione di stampa delegate. Gli amministratori stampante possono anche accedere ai report di stampa.

Azioni Descrizione
microsoft.azure.print/allEntities/allProperties/allTasks Creare ed eliminare stampanti e connettori e leggere e aggiornare tutte le proprietà in Stampa Microsoft

Tecnico della stampante

Gli utenti con questo ruolo possono registrare le stampanti e gestire lo stato della stampante nella soluzione Stampa universale Microsoft. Possono anche leggere tutte le informazioni sul connettore. Due attività chiave che un tecnico della stampante non può eseguire sono impostare le autorizzazioni utente per le stampanti e condividere stampanti.

Azioni Descrizione
microsoft.azure.print/connectors/allProperties/read Leggere tutte le proprietà dei connettori in Stampa Microsoft
microsoft.azure.print/printers/allProperties/read Leggere tutte le proprietà delle stampanti in Stampa Microsoft.
microsoft.azure.print/printers/basic/update Aggiornare le proprietà di base delle stampanti in Stampa Microsoft
microsoft.azure.print/printers/register Registrare le stampanti in Stampa Microsoft
microsoft.azure.print/printers/unregister Annullare la registrazione delle stampanti in Stampa Microsoft

Amministratore dell'autenticazione con privilegi

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore dell'autenticazione con privilegi agli utenti che devono eseguire le operazioni seguenti:

  • Impostare o reimpostare un metodo di autenticazione, tra cui le password, per qualsiasi utente, inclusi gli Amministratori globali.
  • Eliminare o ripristinare tutti gli utenti, inclusi gli Amministratori globali. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
  • Forzare gli utenti a registrare nuovamente le credenziali non password esistenti (ad esempio MFA o FIDO2) e revocare l'autenticazione a più fattori nel dispositivo, richiedendo l'autenticazione a più fattori al successivo accesso di tutti gli utenti.
  • Aggiornare le proprietà sensibili per tutti gli utenti. Per altre informazioni, vedere Utenti che possono eseguire azioni sensibili.
  • Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365.
  • Configurare le autorità di certificazione con un archivio attendibilità basato su PKI (anteprima)

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

  • Non è possibile gestire l'autenticazione a più fattori per singolo utente nel portale di gestione legacy dell'autenticazione a più fattori.

Nella tabella seguente vengono confrontate le funzionalità dei ruoli correlati all'autenticazione.

Ruolo Gestione dei metodi di autenticazione dell'utente Gestione di MFA per utente Gestione delle impostazioni di MFA Gestione dei criteri del metodo di autenticazione Gestione dei criteri di protezione password Aggiornamento delle proprietà sensibili Eliminazione e ripristino degli utenti
Amministratore dell'autenticazione Sì, per alcuni utenti Sì, per alcuni utenti No No Sì, per alcuni utenti Sì, per alcuni utenti
Amministratore autenticazione con privilegi Sì, per tutti gli utenti Sì, per tutti gli utenti No No No Sì, per tutti gli utenti Sì, per tutti gli utenti
Amministratore dei criteri di autenticazione No No No
Amministratore utenti No No No No No Sì, per alcuni utenti Sì, per alcuni utenti

Importante

Gli utenti con questo ruolo possono modificare le credenziali di utenti che potrebbero accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. La modifica delle credenziali di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere in Microsoft Entra ID e altrove autorizzazioni con privilegi non concesse agli amministratori dell'autenticazione. Questo significa che un amministratore dell'autenticazione può assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/deletedItems.users/restore Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/users/authenticationMethods/basic/update Aggiornamento delle proprietà standard dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/create Aggiornamento dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/delete Eliminazione dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authenticationMethods/standard/read Leggere le proprietà standard dei metodi di autenticazione per gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/authorizationInfo/update Aggiornare la proprietà ID utente certificato multivalore degli utenti
microsoft.directory/users/basic/update Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzatura della disconnessione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/manager/update Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostazione delle password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/userPrincipalName/update Aggiornamento del nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore ruolo con privilegi

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire le assegnazioni di ruolo in Microsoft Entra ID come anche all'interno di Microsoft Entra Privileged Identity Management. Possono creare e gestire gruppi che possono essere assegnati ai ruoli di Microsoft Entra. Inoltre, questo ruolo consente la gestione di tutti gli aspetti di Privileged Identity Management e delle unità amministrative.

Importante

Questo ruolo concede la possibilità di gestire le assegnazioni per tutti i ruoli di Microsoft Entra, incluso il ruolo di amministratore globale. Questo ruolo non prevede altre capacità con privilegi in Microsoft Entra ID, come ad esempio la creazione o l'aggiornamento degli utenti. Tuttavia, gli utenti assegnati a questo ruolo possono concedere a se stessi o ad altri utenti privilegi aggiuntivi, perché possono assegnare ruoli aggiuntivi.

Azioni Descrizione
microsoft.directory/accessReviews/definitions.applications/allProperties/read Leggere tutte le proprietà delle verifiche di accesso delle assegnazioni di ruolo dell'applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Creare verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Eliminare le verifiche di accesso per l'appartenenza ai gruppi che possono essere assegnati ai ruoli di Microsoft Entra
microsoft.directory/administrativeUnits/allProperties/allTasks Creare e gestire le unità amministrative (inclusi i membri)
microsoft.directory/authorizationPolicy/allProperties/allTasks Gestire tutti gli aspetti dei criteri di autorizzazione
Icona dell'etichetta con privilegi.
microsoft.directory/directoryRoles/allProperties/allTasks Creare ed eliminare ruoli directory, leggere e aggiornare tutte le proprietà
microsoft.directory/groupsAssignableToRoles/allProperties/update Aggiornare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/assignLicense Assegnare una licenza a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/create Creare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/delete Eliminare gruppi assegnabili a un ruolo
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze a gruppi assegnabili a ruoli
microsoft.directory/groupsAssignableToRoles/restore Ripristinare gruppi assegnabili a ruoli
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/permissionGrantPolicies/allProperties/read Leggere tutte le proprietà dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/allProperties/update Aggiornare tutte le proprietà dei criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/create Creare criteri di concessione delle autorizzazioni
microsoft.directory/permissionGrantPolicies/delete Eliminare criteri di concessione delle autorizzazioni
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Creazione ed eliminazione delle assegnazioni di ruolo e lettura e aggiornamento di tutte le proprietà dell'assegnazione di ruolo
microsoft.directory/roleDefinitions/allProperties/allTasks Creare ed eliminare definizioni ruolo, leggere e aggiornare tutte le proprietà
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Creare ed eliminare scopedRoleMemberships, leggere e aggiornare tutte le proprietà
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Concedere il consenso per qualsiasi autorizzazione per qualsiasi applicazione
microsoft.directory/servicePrincipals/permissions/update Aggiornamento delle autorizzazioni delle entità servizio
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore che legge i report

Gli utenti con questo ruolo possono visualizzare i dati dei report sull'utilizzo e il dashboard dei report nell'interfaccia di amministrazione di Microsoft 365 e l’adozione del pacchetto contesto in Fabric e in Power BI. Il ruolo consente anche l'accesso ai log di accesso, ai log di audit e ai report sulle attività in Microsoft Entra ID e ai dati restituiti dall'API di creazione report di Microsoft Graph. Un utente assegnato al ruolo di lettore di report può accedere solo alle metriche rilevanti per utilizzo e adozione. Questi utenti non hanno le autorizzazioni di amministratore per configurare le impostazioni o accedere alle interfacce di amministrazione specifiche di prodotti come Exchange. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della ricerca

Gli utenti con questo ruolo hanno accesso completo a tutte le funzionalità di gestione di Microsoft Search nell'interfaccia di amministrazione di Microsoft 365. Questi utenti possono anche visualizzare il centro messaggi, monitorare l'integrità del servizio e creare richieste di servizio.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Editor della ricerca

Gli utenti con questo ruolo possono creare, gestire ed eliminare contenuti per Microsoft Search nell'interfaccia di amministrazione di Microsoft 365, inclusi segnalibri, domande e risposte e posizioni.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.search/content/manage Creare ed eliminare contenuti e leggere e aggiornare tutte le proprietà standard in Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della sicurezza

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno le autorizzazioni necessarie per gestire le funzionalità relative alla sicurezza nel portale di Microsoft 365 Defender, in Microsoft Entra ID Protection, per l'autenticazione di Microsoft Entra, in Azure Information Protection e nel portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.

In Può eseguire
Portale di Microsoft 365 Defender Monitorare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365
Gestire gli avvisi e le minacce alla sicurezza
Visualizzazione di report
Microsoft Entra ID Protection Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Eseguire tutte le operazioni di protezione ID, ad eccezione della reimpostazione delle password
Privileged Identity Management Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Non è consentito gestire le assegnazioni di ruolo o le impostazioni di Azure AD
Portale di conformità di Microsoft Purview Gestire i criteri di sicurezza
Visualizzare, analizzare e rispondere alle minacce alla sicurezza
Visualizzazione di report
Azure Advanced Threat Protection Monitorare e rispondere alle attività sospette dal punto di vista della sicurezza
Microsoft Defender per endpoint Assegnazione di ruoli
Gestione dei gruppi di computer
Configurare il rilevamento delle minacce agli endpoint e le funzionalità automatizzate di correzione
Visualizzare, analizzare e rispondere agli avvisi
Visualizzare l'inventario di computer/dispositivi.
Intune Esegue il mapping al ruolo Intune Endpoint Security Manager
Microsoft Defender for Cloud Apps Aggiungere amministratori, criteri e impostazioni, caricare i log ed eseguire azioni di governance
Integrità dei servizi di Microsoft 365 Visualizzare lo stato di integrità dei servizi di Microsoft 365
Blocco intelligente Definire la soglia e la durata dei blocchi quando si verificano eventi di accesso non riuscito.
Password di protezione Configurare l'elenco delle password personalizzate escluse o la password di protezione locale.
Sincronizzazione tra tenant Configurare le impostazioni di accesso tra tenant per gli utenti in un altro tenant. Gli amministratori della sicurezza non possono creare ed eliminare direttamente gli utenti, ma possono creare ed eliminare indirettamente gli utenti sincronizzati da un altro tenant quando entrambi i tenant sono configurati per la sincronizzazione tra tenant, ovvero un'autorizzazione con privilegi.
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/applications/policies/update Aggiornamento dei criteri delle applicazioni
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave BitLocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/policies/conditionalAccess/basic/update Aggiornare le proprietà di base per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/create Creare criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/delete Eliminare criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/read Elencare tutti i criteri di accesso condizionale
microsoft.directory/policies/conditionalAccess/owners/update Aggiornare i proprietari per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/policies/conditionalAccess/tenantDefault/update Aggiornare il tenant predefinito per i criteri di accesso condizionale
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/basic/update Aggiornare le impostazioni di base dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update Aggiornamento delle impostazioni di connessione diretta B2B di Microsoft Entra dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aggiornamento delle impostazioni di collaborazione B2B di Microsoft Entra dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update Aggiornare le impostazioni di connessione diretta di Microsoft Entra B2B dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/delete Eliminare i criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aggiornare le impostazioni di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Creare criteri di sincronizzazione tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Leggere le proprietà di base dei criteri di sincronizzazione tra tenant
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aggiornamento dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefaultSettings Reimpostazione del modello di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aggiornamento dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefaultSettings Reimpostazione del modello di criteri di accesso tra tenant per l'organizzazione multi-tenant alle impostazioni predefinite
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aggiornare le restrizioni del tenant dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/domains/federationConfiguration/basic/update Aggiornare la configurazione della federazione di base per i domini
microsoft.directory/domains/federationConfiguration/create Creare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/delete Eliminare la configurazione della federazione per i domini
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/domains/federation/update Aggiornare la proprietà federativa dei domini
Icona dell'etichetta con privilegi.
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Aggiornare tutte le risorse in Microsoft Entra ID Protection
Icona dell'etichetta con privilegi.
microsoft.directory/multiTenantOrganization/basic/update Aggiornare le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/create Creare un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Unirsi a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Leggere le proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/create Creare un tenant in un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/delete Eliminare un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Leggere i dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aggiornare le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/basic/update Aggiornare le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/create Creare regole personalizzate per definire i percorsi di rete
microsoft.directory/namedLocations/delete Eliminare regole personalizzate che definiscono i percorsi di rete
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/basic/update Aggiornamento delle proprietà di base nei criteri
Icona dell'etichetta con privilegi.
microsoft.directory/policies/create Creazione di criteri in Microsoft Entra ID
microsoft.directory/policies/delete Eliminare i criteri in Microsoft Entra ID
microsoft.directory/policies/owners/update Aggiornamento dei proprietari dei criteri
microsoft.directory/policies/tenantDefault/update Aggiornare i criteri predefiniti dell'organizzazione
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aggiornare il contesto di autenticazione dell'accesso condizionale delle azioni delle risorse di controllo degli accessi in base al ruolo di Microsoft 365
Icona dell'etichetta con privilegi.
microsoft.directory/servicePrincipals/policies/update Aggiornamento dei criteri nelle entità servizio
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.networkAccess/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/update Aggiornare le proprietà di base di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/allEntities/standard/read Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Creare e gestire payload di attacco nel simulatore di attacchi
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report della simulazione di attacchi, le risposte e il training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Creare e gestire modelli di simulazione di attacchi nel simulatore di attacchi
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Operatore per la sicurezza

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo possono gestire gli avvisi e hanno accesso globale di sola lettura alle funzionalità correlate alla sicurezza, incluse tutte le informazioni disponibili sul portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management e sul portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.

In Può eseguire
Portale di Microsoft 365 Defender Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per minacce alla sicurezza
Gestire le impostazioni di sicurezza nel portale di Microsoft 365 Defender
Microsoft Entra ID Protection Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Eseguire tutte le operazioni di protezione ID, ad eccezione della configurazione o della modifica dei criteri basati sul rischio, della reimpostazione delle password e della configurazione dei messaggi di posta elettronica degli avvisi.
Privileged Identity Management Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Portale di conformità di Microsoft Purview Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Microsoft Defender per endpoint Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo di amministratore che legge i dati di sicurezza, perdono l'accesso fino a quando non vengono assegnati a un ruolo di Microsoft Defender per endpoint.
Intune Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Microsoft Defender for Cloud Apps Tutte le autorizzazioni del ruolo con autorizzazioni di lettura per la sicurezza
Visualizzare, analizzare e rispondere agli avvisi per la sicurezza
Integrità dei servizi di Microsoft 365 Visualizzare lo stato di integrità dei servizi di Microsoft 365
Azioni Descrizione
microsoft.azure.advancedThreatProtection/allEntities/read Gestire tutti gli aspetti di Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/cloudAppSecurity/allProperties/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard in Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in Microsoft Entra ID Protection
Icona dell'etichetta con privilegi.
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.intune/allEntities/read Lettura di tutte le risorse in Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Creare ed eliminare tutte le risorse e leggere e aggiornare le proprietà standard nel Centro sicurezza e conformità di Office 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Gestione di tutti gli aspetti di Microsoft Defender per endpoint

Ruolo con autorizzazioni di lettura per la sicurezza

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Gli utenti con questo ruolo hanno accesso in sola lettura globale alle funzionalità correlate alla sicurezza, incluse tutte le informazioni sul portale di Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management, come anche la possibilità di leggere i report di accesso e i log di controllo di Microsoft Entra e sul portale di conformità di Microsoft Purview. Per ulteriori informazioni sulle autorizzazioni di Office 365, consultare Ruoli e gruppi di ruoli in Microsoft Defender per Office 365 e conformità di Microsoft Purview.

In Può eseguire
Portale di Microsoft 365 Defender Visualizzare i criteri correlati alla sicurezza in tutti i servizi di Microsoft 365
Visualizzare gli avvisi e le minacce alla sicurezza
Visualizzazione di report
Microsoft Entra ID Protection Visualizzazione di tutti i report di Identity Protection e della Panoramica
Privileged Identity Management Ha accesso in sola lettura a tutte le informazioni visualizzate in Microsoft Entra Privileged Identity Management: criteri e report per le assegnazioni di ruolo e le verifiche di sicurezza di Microsoft Entra.
Non è possibile registrarsi a Privileged Identity Management di Microsoft Entra o apportare modifiche. Nel portale di Privileged Identity Management o tramite PowerShell un utente di questo ruolo può attivare ruoli aggiuntivi (ad esempio, Amministratore ruolo con privilegi), se l'utente è idoneo per loro.
Portale di conformità di Microsoft Purview Visualizzare i criteri di sicurezza
Visualizzare e analizzare le minacce alla sicurezza
Visualizzazione di report
Microsoft Defender per endpoint Visualizzare e analizzare gli avvisi
Quando si attiva il controllo degli accessi in base al ruolo in Microsoft Defender per endpoint, gli utenti con autorizzazioni di sola lettura, ad esempio il ruolo di amministratore che legge i dati di sicurezza, perdono l'accesso fino a quando non vengono assegnati a un ruolo di Microsoft Defender per endpoint.
Intune Visualizzare le informazioni relative a utenti, dispositivi e applicazioni e i dati di registrazione e configurazione. Non è consentito apportare modifiche a Intune.
Microsoft Defender for Cloud Apps In possesso di permessi di lettura.
Integrità dei servizi di Microsoft 365 Visualizzare lo stato di integrità dei servizi di Microsoft 365
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/accessReviews/definitions/allProperties/read Leggere tutte le proprietà delle verifiche di accesso di tutte le risorse verificabili in Microsoft Entra ID
microsoft.directory/auditLogs/allProperties/read Lettura di tutte le proprietà nei log di controllo, esclusi i log di controllo degli attributi di sicurezza personalizzati
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/bitlockerKeys/key/read Leggere i metadati e la chiave BitLocker nei dispositivi
Icona dell'etichetta con privilegi.
microsoft.directory/policies/conditionalAccess/owners/read Leggere tutti i proprieari dei criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Leggere la proprietà "applicata a" per i criteri di accesso condizionale
microsoft.directory/conditionalAccessPolicies/standard/read Leggere l'accesso condizionale per i criteri
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Leggere le proprietà di base dei modelli di criteri di sincronizzazione tra tenant per l'organizzazione multi-tenant
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Leggere le proprietà di base dei modelli di criteri di accesso tra tenant per l'organizzazione multi-tenant
microsoft.directory/deviceLocalCredentials/standard/read Leggere tutte le proprietà delle credenziali dell'account amministratore locale di cui è stato eseguito il backup per i dispositivi aggiunti a Microsoft Entra, ad eccezione della password
microsoft.directory/domains/federationConfiguration/standard/read Leggere le proprietà standard della configurazione della federazione per i domini
microsoft.directory/entitlementManagement/allProperties/read Leggere tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Leggere tutte le risorse in Microsoft Entra ID Protection
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Eseguire la lettura delle proprietà di una richiesta di partecipazione a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/standard/read Eseguire la lettura delle proprietà di base di un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Eseguire la lettura dei dettagli dell'organizzazione di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/multiTenantOrganization/tenants/standard/read Leggere le proprietà di base di un tenant che partecipa a un'organizzazione multi-tenant
microsoft.directory/namedLocations/standard/read Leggere le proprietà di base delle regole personalizzate che definiscono i percorsi di rete
microsoft.directory/policies/owners/read Leggere i proprietari dei criteri
microsoft.directory/policies/policyAppliedTo/read Leggere la proprietà policies.policyAppliedTo
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/privilegedIdentityManagement/allProperties/read Leggere tutte le risorse in Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Lettura di tutte le proprietà dei log di provisioning
microsoft.directory/signInReports/allProperties/read Lettura di tutte le proprietà nei report di accesso, incluse le proprietà con privilegi
microsoft.networkAccess/allEntities/allProperties/read Leggere tutti gli aspetti di Microsoft Entra Network Access
microsoft.office365.protectionCenter/allEntities/standard/read Leggere le proprietà standard di tutte le risorse nei centri sicurezza e conformità
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Leggere tutte le proprietà dei payload di attacco nel simulatore di attacco
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Leggere i report della simulazione di attacchi, le risposte e il training associato
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Leggere tutte le proprietà dei modelli di simulazione degli attacchi in Simulatore di attacco
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore servizio di supporto

Gli utenti con questo ruolo possono creare e gestire le richieste di supporto per i servizi di Microsoft per Azure e Microsoft 365, nonché visualizzare il dashboard del servizio e il centro messaggi nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

In precedenza, questo ruolo era denominato Amministratore del servizio nel portale di Azure e nell'interfaccia di amministrazione di Microsoft 365. È stato rinominato Amministratore del supporto tecnico del servizio per allinearlo al nome esistente nell'API Microsoft Graph e in Microsoft Graph PowerShell.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di SharePoint

Gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft SharePoint Online, quando il servizio è presente, come anche la possibilità creare e gestire tutti i gruppi di Microsoft 365, di gestire i ticket di supporto e monitorare l'integrità del servizio. Per ulteriori informazioni, vedi Informazioni sui ruoli amministratore nell'interfaccia di amministrazione di Microsoft 365.

Nota

Nell'API Microsoft Graph e In Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio SharePoint. Nel portale di Azure è denominato amministratore di SharePoint.

Nota

Questo ruolo concede anche autorizzazioni con ambito all'API Microsoft Graph per Microsoft Intune, consentendo la gestione e la configurazione dei criteri correlati alle risorse di SharePoint e OneDrive.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.backup/oneDriveForBusinessProtectionPolicies/allProperties/allTasks Creare e gestire i criteri di protezione di OneDrive in Microsoft 365 Backup
microsoft.backup/oneDriveForBusinessRestoreSessions/allProperties/allTasks Leggere e configurare la sessione di ripristino per OneDrive in Microsoft 365 Backup
microsoft.backup/restorePoints/sites/allProperties/allTasks Gestire tutti i punti di ripristino associati ai siti di SharePoint selezionati in Backup M365
microsoft.backup/restorePoints/userDrives/allProperties/allTasks Gestire tutti i punti di ripristino associati agli account di OneDrive selezionati in Backup di M365
microsoft.backup/sharePointProtectionPolicies/allProperties/allTasks Creare e gestire i criteri di protezione di SharePoint in Backup di Microsoft 365
microsoft.backup/sharePointRestoreSessions/allProperties/allTasks Leggere e configurare la sessione di ripristino per SharePoint in Backup di Microsoft 365
microsoft.backup/siteProtectionUnits/allProperties/allTasks Gestire i siti aggiunti ai criteri di protezione di SharePoint in Microsoft 365 Backup
microsoft.backup/siteRestoreArtifacts/allProperties/allTasks Gestire i siti aggiunti per ripristinare la sessione per SharePoint in Backup di Microsoft 365
microsoft.backup/userDriveProtectionUnits/allProperties/allTasks Gestire gli account aggiunti ai criteri di protezione di OneDrive in Backup di Microsoft 365
microsoft.backup/userDriveRestoreArtifacts/allProperties/allTasks Gestire gli account aggiunti per ripristinare la sessione per OneDrive in Backup di Microsoft 365
microsoft.directory/groups/hiddenMembers/read Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.office365.migrations/allEntities/allProperties/allTasks Gestire tutti gli aspetti delle migrazioni di Microsoft 365
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.sharePoint/allEntities/allTasks Creare ed eliminare tutte le risorse, eseguire la lettura e aggiornare le proprietà standard in SharePoint
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di SharePoint Embedded

Assegnare il ruolo di Amministratore integrato di SharePoint agli utenti che devono eseguire le attività seguenti:

  • Eseguire tutte le attività usando PowerShell, l'API Microsoft Graph o l'interfaccia di amministrazione di SharePoint
  • Gestire, configurare e gestire i contenitori di SharePoint Embedded
  • Enumerare e gestire contenitori di SharePoint Embedded
  • Enumerare e gestire le autorizzazioni per i contenitori di SharePoint Embedded
  • Gestire l'archiviazione dei contenitori di SharePoint Embedded in un tenant
  • Assegnare criteri di sicurezza e conformità nei contenitori di SharePoint Embedded
  • Applicare criteri di sicurezza e conformità nei contenitori di SharePoint Embedded in un tenant

Ulteriori informazioni

Azioni Descrizione
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Gestire tutti gli aspetti dei contenitori di SharePoint Embedded
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Skype for Business

Gli utenti con questo ruolo hanno autorizzazioni globali all'interno di Microsoft Skype for Business, quando il servizio è presente, come anche la possibilità di gestire gli attributi specifici per Skype in Microsoft Entra ID. Inoltre, questo ruolo garantisce la possibilità di gestire i ticket di supporto e monitorare l'integrità del servizio, e di accedere all'interfaccia di amministrazione di Teams e di Skype for Business. L'account deve anche avere una licenza per Teams. In caso contrario, non può eseguire i cmdlet di PowerShell per Teams. Per altre informazioni, consultare Amministratore Skype for Business Online e le informazioni sulle licenze per Teams, in licenza aggiuntiva per Skype for Business.

Nota

Nell'API Microsoft Graph e in Microsoft Graph PowerShell questo ruolo è denominato Amministratore del servizio Lync. Nel portale di Azure è denominato amministratore di Skype for Business.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Teams

Gli utenti in questo ruolo possono gestire tutti gli aspetti del carico di lavoro Microsoft Teams tramite l'interfaccia di amministrazione di Microsoft Teams e Skype for Business e i rispettivi moduli di PowerShell. Sono inclusi, tra le altre aree, tutti gli strumenti di gestione correlati a telefonia, messaggistica, riunioni e i team stessi. Il ruolo concede anche la possibilità di creare e gestire tutti i gruppi di Microsoft 365, gestire i ticket di supporto e monitorare l'integrità del servizio.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aggiornare gli endpoint cloud consentiti dei criteri di accesso tra tenant
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aggiornare le impostazioni di riunione di Teams tra cloud dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/default/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant predefiniti
microsoft.directory/crossTenantAccessPolicy/partners/create Creare criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aggiornare le impostazioni delle riunioni tra cloud di Teams dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant per i partner
microsoft.directory/crossTenantAccessPolicy/standard/read Leggere le proprietà di base dei criteri di accesso tra tenant
microsoft.directory/externalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/externalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/groups/hiddenMembers/read Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.directory/pendingExternalUserProfiles/basic/update Aggiornare le proprietà di base dei profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/create Creare profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/delete Eliminare i profili utente esterni nella directory estesa per Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Leggere le proprietà standard dei profili utente esterni nella directory estesa per Teams
microsoft.directory/permissionGrantPolicies/standard/read Leggere le proprietà standard dei criteri di concessione delle autorizzazioni
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/allEntities/allProperties/allTasks Gestire tutte le risorse in Teams

Amministratore delle comunicazioni di Teams

Gli utenti con questo ruolo possono gestire gli aspetti del carico di lavoro Microsoft Teams correlati a voce e telefonia. Sono inclusi gli strumenti di gestione per l'assegnazione di numeri di telefono, i criteri per chiamate vocali e riunioni, nonché l'accesso completo al set di strumenti di analisi delle chiamate.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)
microsoft.teams/meetings/allProperties/allTasks Gestire le riunioni, inclusi i criteri di riunione, le configurazioni e i bridge di conferenza
microsoft.teams/voice/allProperties/allTasks Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono

Tecnico supporto comunicazioni Teams

Gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti in questo ruolo possono visualizzare informazioni complete sui record delle chiamate per tutti i partecipanti coinvolti. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)

Specialista supporto comunicazioni Teams

Gli utenti con questo ruolo possono risolvere i problemi di comunicazione all'interno di Microsoft Teams e Skype for Business tramite gli strumenti di risoluzione dei problemi relativi alle chiamate utente nell'interfaccia di amministrazione di Microsoft Teams e Skype for Business. Gli utenti con questo ruolo possono visualizzare i dettagli dell'utente nella chiamata per l'utente specifico cercato. Questo ruolo non ha accesso alle funzionalità per visualizzare, creare o gestire i ticket di supporto.

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/standard/read Leggere i dati di base nel Dashboard Qualità delle chiamate (CQD)

Amministratore di dispositivi di Teams

Gli utenti con questo ruolo possono gestire i dispositivi certificati da Teams dall'interfaccia di amministrazione di Teams. Questo ruolo consente di visualizzare tutti i dispositivi a colpo d'occhio, con la possibilità di cercarli e filtrarli. L'utente può controllare i dettagli di ogni dispositivo, tra cui account connesso, marca e modello del dispositivo. L'utente può modificare le impostazioni nel dispositivo e aggiornare le versioni del software. Questo ruolo non concede le autorizzazioni per controllare l'attività di Teams e la qualità delle chiamate del dispositivo.

Azioni Descrizione
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/devices/standard/read Gestire tutti gli aspetti dei dispositivi certificati di Teams, inclusi i criteri di configurazione

Amministratore di telefonia di Teams

Assegnare il ruolo di Amministratore di telefonia Teams agli utenti che devono eseguire le attività seguenti:

  • Gestire la voce e la telefonia, inclusi i criteri di chiamata, la gestione e l'assegnazione dei numeri di telefono e le applicazioni vocali
  • Accesso solo ai report di utilizzo PSTN (Public Switched Telephone Network) dall'interfaccia di amministrazione di Teams
  • Visualizzare la pagina del profilo utente
  • Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365

Ulteriori informazioni

Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/authorizationPolicy/standard/read Leggere le proprietà standard dei criteri di autorizzazione
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Gestire tutti gli aspetti di Skype for Business Online
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.teams/callQuality/allProperties/read Leggere tutti i dati nel Dashboard Qualità delle chiamate (CQD)
microsoft.teams/voice/allProperties/allTasks Gestire la voce, inclusi i criteri di chiamata e l'inventario e l'assegnazione dei numeri di telefono

Creatore tenant

Assegnare il ruolo di Creatore tenant agli utenti che devono eseguire le attività seguenti:

  • Creare sia tenant di Microsoft Entra che tenant di Azure Active Directory B2C anche se la creazione del tenant è disattivata nelle impostazioni utente

Nota

Ai creatori di tenant verrà assegnato il ruolo di amministratore globale nei nuovi tenant creati.

Azioni Descrizione
microsoft.directory/tenantManagement/tenants/create Creare nuovi tenant in Microsoft Entra ID

Ruolo con autorizzazioni di lettura per i report di riepilogo dell'utilizzo

Assegnare il ruolo Lettore report di riepilogo utilizzo agli utenti che devono eseguire le attività seguenti nel interfaccia di amministrazione di Microsoft 365:

  • Visualizzare i report sull'utilizzo e il punteggio di adozione
  • Leggere informazioni dettagliate sull'organizzazione, ma non informazioni personali (PII) degli utenti

Questo ruolo consente solo agli utenti di visualizzare i dati a livello di organizzazione con le eccezioni seguenti:

  • Gli utenti membri possono visualizzare i dati e le impostazioni di gestione degli utenti.
  • Gli utenti guest assegnati a questo ruolo non possono visualizzare i dati e le impostazioni di gestione degli utenti.
Azioni Descrizione
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore utenti

Icona dell'etichetta con privilegi.

Si tratta di un ruolo con privilegi. Assegnare il ruolo di Amministratore utenti agli utenti che devono eseguire le attività seguenti:

Autorizzazione Ulteriori informazioni
Creare utenti
Aggiornare la maggior parte delle proprietà utente per tutti gli utenti, inclusi tutti gli amministratori Chi può eseguire azioni sensibili
Aggiornare le proprietà sensibili, tra cui lo user principal name, per alcuni utenti Chi può eseguire azioni sensibili
Disabilitare o abilitare alcuni utenti Chi può eseguire azioni sensibili
Eliminare o ripristinare alcuni utenti Chi può eseguire azioni sensibili
Creare e gestire visualizzazioni utente
Creare e gestire tutti i gruppi
Assegnare e leggere le licenze per tutti gli utenti, inclusi tutti gli amministratori
Reimpostare le password Utenti autorizzati a reimpostare le password
Invalidare i token di aggiornamento Utenti autorizzati a reimpostare le password
Aggiornare le chiavi dispositivo (FIDO)
Aggiornare i criteri di scadenza delle password
Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365.
Monitorare l'integrità dei servizi

Gli utenti con questo ruolo non possono eseguire le attività seguenti:

  • Non è possibile gestire l'autenticazione a più fattori.
  • Impossibile modificare le credenziali o ripristinare MFA per i membri e i proprietari di un gruppo a cui è possibile assegnare un ruolo.
  • Non è possibile gestire le cassette postali condivise
  • Non è possibile modificare le domande di sicurezza per l'operazione di reimpostazione della password.

Importante

Gli utenti con questo ruolo possono modificare le password di utenti che possono accedere a informazioni riservate o sensibili o a configurazioni critiche sia dall'interno che dall'esterno di Microsoft Entra ID. Modificare la password di un utente può implicare la possibilità di assumere l'identità e le autorizzazioni di quell'utente. Ad esempio:

  • Proprietari di Registrazione dell'applicazione e Applicazione aziendale, che possono gestire le credenziali delle applicazioni di loro proprietà. Tali app possono avere autorizzazioni con privilegi in Microsoft Entra ID e altrove non concesse agli amministratori utenti. Ciò significa che un amministratore degli utenti potrebbe assumere l'identità del proprietario di un'applicazione e quindi quella di un'applicazione con privilegi aggiornando le credenziali dell'applicazione.
  • Proprietari di sottoscrizioni Azure, che potrebbero avere accesso a dati sensibili, informazioni riservate o configurazioni critiche di Azure.
  • Proprietari di gruppi di sicurezza e di gruppi di Microsoft 365, che possono gestire l'appartenenza ai gruppi. Tali gruppi possono concedere l'accesso a informazioni riservate o private o alla configurazione critica in Microsoft Entra ID e altrove.
  • Amministratori in altri servizi all'esterno di Microsoft Entra ID come Exchange Online, il portale di Microsoft 365 Defender, il portale di conformità di Microsoft Purview e i sistemi di gestione delle risorse umane.
  • Non amministratori come dirigenti, addetti degli uffici legali e dipendenti delle risorse umane che possono avere accesso a dati sensibili o informazioni riservate.
Azioni Descrizione
microsoft.azure.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi di Azure
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Gestire le verifiche di accesso delle assegnazioni del ruolo applicazione in Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per le assegnazioni di ruolo di Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Gestire le verifiche di accesso per le assegnazioni di un pacchetto di accesso nella gestione entitlement
microsoft.directory/accessReviews/definitions.groups/allProperties/read Leggere tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, inclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aggiornare tutte le proprietà delle verifiche di accesso per l'appartenenza ai gruppi Di sicurezza e Microsoft 365, esclusi i gruppi assegnabili ai ruoli.
microsoft.directory/accessReviews/definitions.groups/create Creare verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Eliminare le verifiche di accesso per l'appartenenza ai gruppi di Sicurezza e Microsoft 365.
microsoft.directory/contacts/basic/update Aggiornare le proprietà di base sui contatti
microsoft.directory/contacts/create Creazione di contatti
microsoft.directory/contacts/delete Elimina contatto
microsoft.directory/groups/restore Ripristino dello stato originale dei gruppi eliminati temporaneamente
microsoft.directory/deletedItems.users/restore Ripristino dello stato originale degli utenti eliminati temporaneamente
microsoft.directory/entitlementManagement/allProperties/allTasks Creare ed eliminare risorse e leggere e aggiornare tutte le proprietà nella gestione entitlement di Microsoft Entra
microsoft.directory/groups/assignLicense Assegnare licenze di prodotto ai gruppi per le licenze basate su gruppo
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/create Creare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/delete Eliminare gruppi di sicurezza e gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.aad.directory/groups/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza e nei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/groupType/update Aggiornare le proprietà che influiscono sul tipo di gruppo dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili di ruolo
microsoft.directory/groups/hiddenMembers/read Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/onPremWriteBack/update Aggiornamento dei gruppi di Microsoft Entra perché vengano scritti nuovamente in locale con Microsoft Entra Connect
microsoft.directory/groups/owners/update Aggiornare i proprietari dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/reprocessLicenseAssignment Rielaborazione delle assegnazioni delle licenze per le licenze basate su gruppo
microsoft.directory/groups/restore Ripristinare i gruppi da un contenitore eliminato predefinito
microsoft.directory/groups/settings/update Aggiornamento delle impostazioni dei gruppi
microsoft.directory/groups/visibility/update Aggiornamento della proprietà di visibilità dei gruppi di sicurezza e dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a un ruolo
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Creazione ed eliminazione di concessioni di autorizzazioni OAuth 2.0, lettura e aggiornamento di tutte le proprietà
Icona dell'etichetta con privilegi.
microsoft.directory/policies/standard/read Leggere le proprietà di base sui criteri
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aggiornamento delle assegnazioni di ruolo delle entità servizio
microsoft.directory/users/assignLicense Gestire le licenze utente
microsoft.directory/users/basic/update Aggiornamento delle proprietà di base per gli utenti
microsoft.directory/users/convertExternalToInternalMemberUser Convertire l'utente esterno in un utente interno
microsoft.directory/users/create Aggiungere utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/delete Eliminare utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/disable Disabilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/enable Abilitazione degli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/invalidateAllRefreshTokens Forzatura della disconnessione invalidando i token di aggiornamento utente
Icona dell'etichetta con privilegi.
microsoft.directory/users/inviteGuest Invitare gli utenti guest
microsoft.directory/users/manager/update Gestione degli aggiornamenti per gli utenti
microsoft.directory/users/password/update Reimpostazione delle password per tutti gli utenti
Icona dell'etichetta con privilegi.
microsoft.directory/users/photo/update Aggiornare la foto degli utenti
microsoft.directory/users/reprocessLicenseAssignment Rielaborare le assegnazioni di licenze per gli utenti
microsoft.directory/users/restore Ripristinare gli utenti eliminati
microsoft.directory/users/sponsors/update Aggiornare gli sponsor degli utenti
microsoft.directory/users/usageLocation/update Aggiornare la posizione di utilizzo degli utenti
microsoft.directory/users/userPrincipalName/update Aggiornamento del nome dell'entità utente degli utenti
Icona dell'etichetta con privilegi.
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Responsabile del successo dell'esperienza utente

Assegnare il ruolo Responsabile del successo dell'esperienza utente agli utenti che devono eseguire le attività seguenti:

  • Leggere i report di utilizzo a livello di organizzazione per app e servizi di Microsoft 365, ma non i dettagli utente
  • Visualizzare il feedback sui prodotti dell'organizzazione, i risultati del sondaggio Net Promoter Score (NPS) e le visualizzazioni dell'articolo di supporto per identificare le opportunità di comunicazione e formazione
  • Leggere i post del Centro messaggi e i dati sull'integrità dei servizi

Ulteriori informazioni

Azioni Descrizione
microsoft.commerce.billing/purchases/standard/read Leggere i servizi di acquisto nell'interfaccia di amministrazione di M365.
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Leggere tutti gli aspetti dei messaggi aziendali di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.usageReports/allEntities/standard/read Leggere i report di utilizzo aggregati a livello di tenant di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore di Visite virtuali

Gli utenti con questo ruolo possono eseguire le attività seguenti:

  • Gestire e configurare tutti gli aspetti delle visite virtuali di Bookings nell'interfaccia di amministrazione di Microsoft 365 e nel connettore delle CCE di Teams
  • Visualizzare i report sull'utilizzo per le visite virtuali nell'interfaccia di amministrazione di Teams, nell'interfaccia di amministrazione di Microsoft 365, in Fabric e in Power BI
  • Visualizzare le funzionalità e le impostazioni nell'interfaccia di amministrazione di Microsoft 365, ma non è possibile modificare le impostazioni

Le visite virtuali sono un modo semplice per pianificare e gestire appuntamenti online e video per il personale e i partecipanti. Ad esempio, la segnalazione sull'utilizzo può mostrare come inviare SMS prima degli appuntamenti possa ridurre il numero di persone che non si presentano agli appuntamenti.

Azioni Descrizione
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.virtualVisits/allEntities/allProperties/allTasks Gestire e condividere le informazioni e le metriche delle visite virtuali dalle interfacce di amministrazione o dall'app Visite virtuali

Amministratore Viva Goals

Assegnare il ruolo di Amministratore di Viva Goals agli utenti che devono eseguire le attività seguenti:

  • Gestire e configurare tutti gli aspetti dell'applicazione Microsoft Viva Goals
  • Configurare le impostazioni di amministratore di Microsoft Viva Goals
  • Leggere le informazioni sul tenant di Microsoft Entra
  • Monitorare l'integrità dei servizi di Microsoft 365
  • Creazione e gestione delle richieste di servizio Microsoft 365

Per altre informazioni, consultare Ruoli e autorizzazioni in Viva Goals e Introduzione a Microsoft Viva Goals.

Azioni Descrizione
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.viva.goals/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Viva Goals

Amministratore di Viva Pulse

Assegnare il ruolo di Amministratore di Viva Pulse agli utenti che devono eseguire le attività seguenti:

  • Leggere e configurare tutte le impostazioni di Viva Pulse
  • Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
  • Lettura e configurazione del servizio di integrità dei servizi di Azure
  • Creazione e gestione dei ticket di supporto per Azure
  • Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
  • Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365

Per ulteriori informazioni, consultare Assegnare il ruolo di amministratore di Viva Pulse nell'interfaccia di amministrazione di Microsoft 365.

Azioni Descrizione
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Microsoft Viva Pulse

Amministratore di Windows 365

Gli utenti con questo ruolo hanno autorizzazioni globali sulle risorse di Windows 365, quando il servizio è presente. Inoltre questo ruolo implica la possibilità di gestire utenti e dispositivi per associare i criteri, nonché creare e gestire gruppi.

Questo ruolo può creare e gestire i gruppi di sicurezza, ma non dispone dei diritti di amministratore sui gruppi di Microsoft 365. Ciò significa che gli amministratori non possono aggiornare i proprietari o le appartenenze dei gruppi di Microsoft 365 nell'organizzazione. Possono gestire, tuttavia, il gruppo di Microsoft 365 creato, operazione che rientra tra i privilegi degli utenti finali. Qualsiasi gruppo di Microsoft 365 creato, esclusi i gruppi di sicurezza, viene pertanto conteggiato nella quota di 250.

Assegnare il ruolo di Amministratore di Windows 365 agli utenti che devono eseguire le attività seguenti:

  • Gestire Cloud PC Windows 365 in Microsoft Intune
  • Registrare e gestire i dispositivi in Microsoft Entra ID, inclusa l'assegnazione di utenti e criteri
  • Creare e gestire i gruppi di sicurezza, ma non gruppi a cui è possibile assegnare ruoli
  • Visualizzare le proprietà di base nell'interfaccia di amministrazione di Microsoft 365
  • Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365
  • Creare e gestire i ticket di supporto in Azure e nell'interfaccia di amministrazione di Microsoft 365
Azioni Descrizione
microsoft.azure.supportTickets/allEntities/allTasks Creazione e gestione dei ticket di supporto per Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Windows 365
microsoft.directory/deletedItems.devices/delete Eliminare definitivamente i dispositivi, che non possono più essere ripristinati
microsoft.directory/deletedItems.devices/restore Ripristino dello stato originale dei dispositivi eliminati temporaneamente
microsoft.directory/deviceManagementPolicies/standard/read Leggere le proprietà standard per la gestione di dispositivi mobili e i criteri di gestione delle app per dispositivi mobili
microsoft.directory/deviceRegistrationPolicy/standard/read Leggere le proprietà standard nei criteri di registrazione dei dispositivi
microsoft.directory/devices/basic/update Aggiornare le proprietà di base nei dispositivi
microsoft.directory/devices/create Creazione di dispositivi (registrarsi in Microsoft Entra ID)
microsoft.directory/devices/delete Eliminare i dispositivi da Microsoft Entra ID
microsoft.directory/devices/disable Disabilitare i dispositivi in Microsoft Entra ID
microsoft.directory/devices/enable Abilitare il dispositivo in Microsoft Entra ID
microsoft.directory/devices/extensionAttributeSet1/update Aggiornamento delle proprietà extensionAttribute1 in extensionAttribute5 nei dispositivi
microsoft.directory/devices/extensionAttributeSet2/update Aggiornamento delle proprietà extensionAttribute6 in extensionAttribute10 nei dispositivi
microsoft.directory/devices/extensionAttributeSet3/update Aggiornamento delle proprietà extensionAttribute11 in extensionAttribute15 nei dispositivi
microsoft.directory/devices/registeredOwners/update Aggiornamento dei proprietari registrati dei dispositivi
microsoft.directory/devices/registeredUsers/update Aggiornare gli utenti registrati dei dispositivi
microsoft.directory/groups/basic/update Aggiornare le proprietà di base nei gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/classification/update Aggiornare la proprietà di classificazione nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/create Creare gruppi di sicurezza, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.security/delete Eliminare i gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/dynamicMembershipRule/update Aggiornare la regola di appartenenza dinamica nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/members/update Aggiornare i membri dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/owners/update Aggiornare i proprietari dei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.security/visibility/update Aggiornare la proprietà di visibilità nei gruppi di sicurezza, esclusi i gruppi assegnabili a ruoli
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365

Amministratore della distribuzione di Windows Update

Gli utenti con questo ruolo possono creare e gestire tutti gli aspetti delle distribuzioni di Windows Update tramite il servizio di distribuzione Windows Update per le aziende. Il servizio di distribuzione consente agli utenti di definire le impostazioni relative al momento e alle modalità con cui vengono distribuiti gli aggiornamenti e di specificare gli aggiornamenti che vengono offerti ai gruppi di dispositivi nel tenant. Consente anche agli utenti di monitorare lo stato di avanzamento dell'aggiornamento.

Azioni Descrizione
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Leggere e configurare tutti gli aspetti del servizio Windows Update

Amministratore di Yammer

Assegnare il ruolo di Amministratore di Yammer agli utenti che devono eseguire le attività seguenti:

  • Gestire tutti gli aspetti di Yammer
  • Creare, gestire e ripristinare i gruppi di Microsoft 365, ma non i gruppi a cui è possibile assegnare ruoli
  • Visualizzare i membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
  • Leggere i report sull'utilizzo nell'interfaccia di amministrazione di Microsoft 365
  • Creare e gestire le richieste di servizio nell'interfaccia di amministrazione di Microsoft 365
  • Visualizzare gli annunci nel Centro messaggi, esclusi gli annunci di sicurezza
  • Visualizzare l'integrità dei servizi

Ulteriori informazioni

Azioni Descrizione
microsoft.directory/groups/hiddenMembers/read Lettura dei membri nascosti dei gruppi di sicurezza e dei gruppi di Microsoft 365, inclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups/unified/basic/update Aggiornare le proprietà di base nei gruppi di Microsoft 365, esclusi i gruppi assegnabili ai ruoli
microsoft.directory/groups/unified/create Creare gruppi di Microsoft 365, esclusi i gruppi a cui è possibile assegnare ruoli
microsoft.directory/groups.unified/delete Eliminare i gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups/unified/members/update Aggiornare i membri dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/owners/update Aggiornare i proprietari dei gruppi di Microsoft 365, esclusi i gruppi assegnabili a ruoli
microsoft.directory/groups.unified/restore Ripristinare i gruppi di Microsoft 365 da un contenitore eliminato predefinito, esclusi i gruppi assegnabili a ruoli
microsoft.office365.messageCenter/messages/read Leggere i messaggi nel Centro messaggi nel interfaccia di amministrazione di Microsoft 365, esclusi i messaggi di sicurezza
microsoft.office365.network/performance/allProperties/read Lettura delle proprietà delle prestazioni di rete nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.serviceHealth/allEntities/allTasks Lettura e configurazione del servizio di integrità dei servizi nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.supportTickets/allEntities/allTasks Creazione e gestione delle richieste di servizio Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Lettura dei report sull'utilizzo di Office 365
microsoft.office365.webPortal/allEntities/standard/read Lettura delle proprietà di base per tutte le risorse nell'interfaccia di amministrazione di Microsoft 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Gestire tutti gli aspetti di Yammer

Ruoli deprecati

I ruoli seguenti non devono essere usati. Questi ruoli sono stati deprecati e verranno rimossi da Microsoft Entra ID in futuro.

  • Amministratore di licenze ad hoc
  • Aggiunta di dispositivi
  • Gestione dispositivi
  • Utenti di dispositivi
  • Autore di utenti verificati tramite posta elettronica
  • Amministratore della cassetta postale
  • Aggiunta di dispositivi all'area di lavoro

Ruoli non visualizzati nel portale

Non tutti i ruoli restituiti da PowerShell o dall'API Microsoft Graph sono visibili nel portale di Azure. Nella tabella seguente sono riportate queste differenze in modo organizzato.

Nome API Nome portale di Azure Note
Aggiunta di dispositivi Deprecato Documentazione dei ruoli deprecati
Gestione dispositivi Deprecato Documentazione dei ruoli deprecati
Utenti di dispositivi Deprecato Documentazione dei ruoli deprecati
Account di sincronizzazione della directory Non viene visualizzato perché non deve essere usato Documentazione per gli account di sincronizzazione della directory
Utente guest Non viene visualizzato perché non può essere usato ND
Supporto di livello 1 partner Non viene visualizzato perché non deve essere usato Documentazione per Supporto partner Livello 1
Supporto di livello 2 partner Non viene visualizzato perché non deve essere usato Documentazione per Supporto partner Livello 2
Utente guest con restrizioni Non viene visualizzato perché non può essere usato ND
User Non viene visualizzato perché non può essere usato ND
Aggiunta di dispositivi all'area di lavoro Deprecato Documentazione dei ruoli deprecati

Passaggi successivi