Udostępnij za pośrednictwem


Role w usługi firmy Microsoft

Usługi platformy Microsoft 365 można zarządzać za pomocą ról administracyjnych w identyfikatorze Entra firmy Microsoft. Niektóre usługi udostępniają również dodatkowe role specyficzne dla tej usługi. W tym artykule wymieniono zawartość, dokumentacja interfejsu API oraz dokumentacja inspekcji i monitorowania związana z kontrolą dostępu opartą na rolach (RBAC) dla platformy Microsoft 365 i innych usług.

Microsoft Entra

Microsoft Entra ID i powiązane usługi w firmie Microsoft Entra.

Microsoft Entra ID

Obszar Zawartość
Omówienie Wbudowane role usługi Microsoft Entra
Dokumentacja interfejsu API zarządzania Role entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Gdy rola jest przypisana do grupy, zarządzaj członkostwem w grupach przy użyciu interfejsu API grup programu Microsoft Graph w wersji 1.0
Dokumentacja dotycząca inspekcji i monitorowania Role entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement
• Gdy rola jest przypisana do grupy, aby przeprowadzić inspekcję zmian członkostwa w grupach, zobacz inspekcje z kategoriami GroupManagement i działaniami Add member to group oraz Remove member from group

Zarządzanie upoważnieniami

Obszar Zawartość
Omówienie Role zarządzania upoważnieniami
Dokumentacja interfejsu API zarządzania Role specyficzne dla zarządzania upoważnieniami w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od: microsoft.directory/entitlementManagement

Role specyficzne dla zarządzania upoważnieniami
Microsoft Graph v1.0 roleManagement API
• Użyj entitlementManagement dostawcy
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla zarządzania upoważnieniami w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Role specyficzne dla zarządzania upoważnieniami
W dzienniku inspekcji entra firmy Microsoft z kategorią EntitlementManagement i działaniem jest jednym z następujących elementów:
Remove Entitlement Management role assignment
Add Entitlement Management role assignment

Microsoft 365

Usługi w pakiecie Microsoft 365.

Exchange

Obszar Zawartość
Omówienie Uprawnienia w usłudze Exchange Online
Dokumentacja interfejsu API zarządzania Role specyficzne dla programu Exchange w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Role z uprawnieniami rozpoczynającymi się od: microsoft.office365.exchange

Role specyficzne dla programu Exchange
Rola Usługi Microsoft Graph w wersji betaZarządzanie interfejsem API
• Użyj exchange dostawcy
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla programu Exchange w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Role specyficzne dla programu Exchange
Użyj interfejs API Zabezpieczenia programu Microsoft Graph Beta (zapytania dziennika inspekcji) i wyświetl listę zdarzeń inspekcji, w których recordType == ExchangeAdmin i Operation jest jednym z następujących elementów:
Add-RoleGroupMember, Remove-RoleGroupMember, , Update-RoleGroupMember, Remove-RoleGroupNew-RoleGroup, , New-ManagementRole, , Remove-ManagementRoleEntryNew-ManagementRoleAssignment

SharePoint

Obejmuje program SharePoint, onedrive, aplikację Delve, listy, usługę Project Online i pętlę.

Obszar Zawartość
Omówienie Informacje o roli administratora programu SharePoint na platformie Microsoft 365
Delve dla administratorów
Ustawienia sterowania dla Listy Microsoft
Zmienianie zarządzania uprawnieniami w usłudze Project Online
Dokumentacja interfejsu API zarządzania Role specyficzne dla programu SharePoint w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Role z uprawnieniami rozpoczynającymi się od: microsoft.office365.sharepoint
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla programu SharePoint w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Intune

Obszar Zawartość
Omówienie Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune
Dokumentacja interfejsu API zarządzania Role specyficzne dla usługi Intune w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Role z uprawnieniami rozpoczynającymi się od: microsoft.intune

Role specyficzne dla usługi Intune
Rola Usługi Microsoft Graph w wersji betaZarządzanie interfejsem API
• Użyj deviceManagement dostawcy
• Alternatywnie należy użyć interfejsu API zarządzania RBAC usługi Microsoft Graph w wersji beta dla usługi Intune
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla usługi Intune w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 directoryAudit API
RoleManagement kategoria

Role specyficzne dla usługi Intune
Omówienie inspekcji w usłudze Intune
Dostęp interfejsu API do dzienników inspekcji specyficznych dla usługi Intune:
Microsoft Graph Beta getAuditActivityTypes API
• Pierwsze typy działań listy, gdzie category=Role, a następnie użyj interfejsu API auditEvents programu Microsoft Graph w wersji beta, aby wyświetlić listę wszystkich elementów auditEvents dla każdego typu działania

Teams

Obejmuje zespoły, rezerwacje, copilot Studio dla zespołów i zmiany.

Obszar Zawartość
Omówienie Zarządzanie usługą Teams przy użyciu ról administratora usługi Microsoft Teams
Dokumentacja interfejsu API zarządzania Role specyficzne dla aplikacji Teams w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Role z uprawnieniami rozpoczynającymi się od: microsoft.teams
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla aplikacji Teams w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Pakiet Purview

Obejmuje pakiet Purview, usługę Azure Information Protection i bariery informacyjne.

Obszar Zawartość
Omówienie Role i grupy ról w usługach Ochrona usługi Office 365 w usłudze Microsoft Defender i Microsoft Purview
Dokumentacja interfejsu API zarządzania Role specyficzne dla usługi Purview w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od:
microsoft.office365.complianceManager
microsoft.office365.protectionCenter
microsoft.office365.securityComplianceCenter

Role specyficzne dla usługi Purview
Użyj programu PowerShell: Program PowerShell zabezpieczeń i zgodności. Określone polecenia cmdlet to:
Get-RoleGroup
Get-RoleGroupMember
Nowa grupa ról
Add-RoleGroupMember
Update-RoleGroupMember
Remove-RoleGroupMember
Remove-RoleGroup
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla usługi Purview w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Role specyficzne dla usługi Purview
Użyj interfejs API Zabezpieczenia microsoft Graph Beta (zapytanie dziennika inspekcji Beta) i wyświetl zdarzenia inspekcji, w których recordType == SecurityComplianceRBAC i Operation jest jednym z Add-RoleGroupMember, , Update-RoleGroupMemberRemove-RoleGroupMember, New-RoleGroup, ,Remove-RoleGroup

Power Platform

Obejmuje platformę Power Platform, usługę Dynamics 365, przepływ i usługę Dataverse dla usługi Teams.

Obszar Zawartość
Omówienie Używanie ról administratora usługi do zarządzania dzierżawą
Role i uprawnienia zabezpieczeń
Dokumentacja interfejsu API zarządzania Role specyficzne dla platformy Power Platform w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od:
microsoft.powerApps
microsoft.dynamics365
microsoft.flow

Role specyficzne dla usługi Dataverse
Wykonywanie operacji przy użyciu internetowego interfejsu API
• Wykonywanie zapytań względem tabeli/jednostki użytkownika (SystemUser)
• Przypisania ról są częścią tabel systemuserroles_association
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla platformy Power Platform w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Role specyficzne dla usługi Dataverse
Omówienie inspekcji usługi Dataverse
Interfejs API umożliwiający dostęp do dzienników inspekcji specyficznych dla usługi Dataverse
Dataverse, interfejs API sieci Web
Dokumentacja tabeli inspekcji
• Inspekcje z kodami akcji:
53 — Przypisywanie roli do zespołu
54 — Usuwanie roli z zespołu
55 — Przypisywanie roli do użytkownika
56 — usuwanie roli z użytkownika
57 — Dodawanie uprawnień do roli
58 — usuwanie uprawnień z roli
59 — zastępowanie uprawnień w roli

Pakiet Defender

Obejmuje pakiet Defender, wskaźnik bezpieczeństwa, usługę Cloud App Security i analizę zagrożeń.

Obszar Zawartość
Omówienie Microsoft Defender XDR Unified kontrola dostępu oparta na rolach (RBAC)
Dokumentacja interfejsu API zarządzania Role specyficzne dla usługi Defender w usłudze Microsoft Entra ID
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Następujące role mają uprawnienia (odwołanie): Administrator zabezpieczeń, Operator zabezpieczeń, Czytelnik zabezpieczeń, Administrator globalny i Czytelnik globalny

Role specyficzne dla usługi Defender
Aby korzystać z ujednoliconej kontroli dostępu opartej na rolach usługi Defender, należy aktywować obciążenia. Zobacz Aktywowanie ujednoliconej kontroli dostępu opartej na rolach (RBAC) w usłudze Microsoft Defender. Aktywowanie usługi Defender Unified RBAC spowoduje wyłączenie poszczególnych ról rozwiązania Defender.
• Można zarządzać tylko za pośrednictwem portalu security.microsoft.com.
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla usługi Defender w usłudze Microsoft Entra ID
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Viva Engage

Obszar Zawartość
Omówienie Zarządzanie rolami administratora w aplikacji Viva Engage
Dokumentacja interfejsu API zarządzania Role specyficzne dla aplikacji Viva w usłudze Microsoft Entra ID
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od microsoft.office365.yammer.

Role specyficzne dla funkcji Viva
• Zweryfikowane role administratora i administratora sieci można zarządzać za pośrednictwem centrum administracyjnego usługi Yammer.
• Rolę komunikatora firmowego można przypisać za pośrednictwem centrum administracyjnego Viva Engage.
Interfejs API eksportu danych usługi Yammer może służyć do eksportowania admins.csv do odczytywania listy administratorów
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla aplikacji Viva w usłudze Microsoft Entra ID
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Role specyficzne dla funkcji Viva
• Używanie interfejsu API eksportowania danych usługi Yammer do przyrostowego eksportowania admins.csv dla listy administratorów

Viva Connections

Obszar Zawartość
Omówienie Role i zadania administratora w aplikacji Microsoft Viva
Dokumentacja interfejsu API zarządzania Role specyficzne dla połączeń Viva w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Następujące role mają uprawnienia: Administrator programu SharePoint, Administrator usługi Teams i Administrator globalny
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla połączeń Viva w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Viva Learning

Obszar Zawartość
Omówienie Konfigurowanie aplikacji Microsoft Viva Learning w centrum administracyjnym usługi Teams
Dokumentacja interfejsu API zarządzania Role specyficzne dla aplikacji Viva Learning w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od microsoft.office365.knowledge
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla aplikacji Viva Learning w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Viva Insights

Obszar Zawartość
Omówienie Role w aplikacji Viva Insights
Dokumentacja interfejsu API zarządzania Role specyficzne dla usługi Viva Insights w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od microsoft.office365.insights
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla usługi Viva Insights w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement
Obszar Zawartość
Omówienie Konfigurowanie usługi Microsoft Search
Dokumentacja interfejsu API zarządzania Role specyficzne dla wyszukiwania w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od microsoft.office365.search
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla wyszukiwania w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Drukowanie uniwersalne

Obszar Zawartość
Omówienie Role administratora usługi Universal Print
Dokumentacja interfejsu API zarządzania Role specifc usługi Universal Print w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od microsoft.azure.print
Dokumentacja dotycząca inspekcji i monitorowania Role specifc usługi Universal Print w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

zarządzanie pakietem Aplikacje Microsoft 365

Obejmuje zarządzanie pakietami Aplikacje Microsoft 365 i formularze.

Obszar Zawartość
Omówienie Omówienie centrum administracyjnego Aplikacje Microsoft 365
Ustawienia administratora formularzy Microsoft Forms
Dokumentacja interfejsu API zarządzania role specyficzne dla Aplikacje Microsoft 365 w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Następujące role mają uprawnienia: Administrator aplikacji pakietu Office, Administrator zabezpieczeń, Administrator globalny
Dokumentacja dotycząca inspekcji i monitorowania role specyficzne dla Aplikacje Microsoft 365 w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Azure

Kontrola dostępu oparta na rolach (RBAC) platformy Azure dla informacji o płaszczyźnie kontroli i subskrypcji platformy Azure.

Azure

Obejmuje platformę Azure i usługę Sentinel.

Obszar Zawartość
Omówienie Co to jest kontrola dostępu oparta na rolach na platformie Azure (Azure RBAC)?
Role i uprawnienia w usłudze Microsoft Sentinel
Dokumentacja interfejsu API zarządzania Role specyficzne dla usługi platformy Azure na platformie Azure
Interfejs API autoryzacji usługi Azure Resource Manager
• Przypisanie roli: Lista, Tworzenie/aktualizowanie, Usuwanie
• Definicja roli: Lista, Tworzenie/aktualizowanie, Usuwanie

• Istnieje starsza metoda udzielania dostępu do zasobów platformy Azure nazywanych klasycznymi administratorami. Klasyczni administratorzy są równoważni roli właściciela w kontroli dostępu opartej na rolach platformy Azure. Administratorzy klasyczni zostaną wycofani w sierpniu 2024 r.
• Należy pamiętać, że administrator globalny firmy Microsoft Entra może uzyskać jednostronny dostęp do platformy Azure za pośrednictwem podwyższonego poziomu dostępu.
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla usługi platformy Azure na platformie Azure
Monitorowanie zmian kontroli dostępu opartej na rolach platformy Azure w dzienniku aktywności platformy Azure
Interfejs API dziennika aktywności platformy Azure
• Inspekcje z kategorii Administrative zdarzeń i operacji Create role assignment, , Delete role assignmentCreate or update custom role definition, Delete custom role definition.

Wyświetlanie dzienników z podwyższonym poziomem dostępu w dzienniku aktywności platformy Azure na poziomie dzierżawy
Interfejs API dziennika aktywności platformy Azure — dzienniki aktywności dzierżawy
• Przeprowadza inspekcję za pomocą kategorii Administrative zdarzeń i zawiera ciąg elevateAccess.
• Dostęp do dzienników aktywności na poziomie dzierżawy wymaga podniesienia poziomu dostępu co najmniej raz w celu uzyskania dostępu na poziomie dzierżawy.

Handel

Usługi związane z zakupami i rozliczeniami.

Zarządzanie kosztami i rozliczenia — Umowa Enterprise

Obszar Zawartość
Omówienie Zarządzanie rolami w umowie Enterprise Agreement platformy Azure
Dokumentacja interfejsu API zarządzania role specyficzne dla Umowa Enterprise w identyfikatorze Entra firmy Microsoft
Umowa Enterprise s nie obsługuje ról firmy Microsoft Entra.

role specyficzne dla Umowa Enterprise
Interfejs API przypisań ról rozliczeń
• Administrator przedsiębiorstwa (identyfikator roli: 9f1983cb-2574-400c-87e9-34cf8e2280db)
• Administrator przedsiębiorstwa (tylko do odczytu) (identyfikator roli: 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e)
• Nabywca ea (identyfikator roli: da6647fb-7651-49ee-be91-c43c4877f0c4)
Interfejs API przypisań ról działu rejestracji
• Administrator działu (identyfikator roli: fb2cf67f-be5b-42e7-8025-4683c668f840)
• Czytelnik działu (identyfikator roli: db609904-a47f-4794-9be8-9bd86fbffd8a)
Interfejs API przypisań ról konta rejestracji
• Właściciel konta (identyfikator roli: c15c22c0-9faf-424c-9b7e-bd91c06a240b)
Dokumentacja dotycząca inspekcji i monitorowania role specyficzne dla Umowa Enterprise
Interfejs API dziennika aktywności platformy Azure — dzienniki aktywności dzierżawy
• Dostęp do dzienników aktywności na poziomie dzierżawy wymaga podniesienia poziomu dostępu co najmniej raz w celu uzyskania dostępu na poziomie dzierżawy.
• Sprawdza, gdzie element resourceProvider == Microsoft.Billing i operationName zawiera billingRoleAssignments lub EnrollmentAccount

Zarządzanie kosztami i rozliczenia — Umowa z Klientem Microsoft

Obszar Zawartość
Omówienie Understand Microsoft Customer Agreement administrative roles in Azure (Omówienie ról administracyjnych dla Umowy klienta firmy Microsoft na platformie Azure)
Omówienie konta rozliczeniowego firmy Microsoft
Dokumentacja interfejsu API zarządzania role specyficzne dla Umowa z Klientem Microsoft w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Następujące role mają uprawnienia: Administrator rozliczeń, Administrator globalny.

role specyficzne dla Umowa z Klientem Microsoft
• Domyślnie role administratora globalnego i administratora rozliczeń firmy Microsoft są automatycznie przypisywane do roli Właściciel konta rozliczeniowego w Umowa z Klientem Microsoft s RBAC.
Interfejs API przypisywania ról rozliczeń
Dokumentacja dotycząca inspekcji i monitorowania role specyficzne dla Umowa z Klientem Microsoft w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

role specyficzne dla Umowa z Klientem Microsoft
Interfejs API dziennika aktywności platformy Azure — dzienniki aktywności dzierżawy
• Dostęp do dzienników aktywności na poziomie dzierżawy wymaga podniesienia poziomu dostępu co najmniej raz w celu uzyskania dostępu na poziomie dzierżawy.
• Sprawdza, gdzie resourceProvider == Microsoft.Billing i operationName jeden z następujących (wszystkie prefiksy z Microsoft.Billing):
/permissionRequests/write
/billingAccounts/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action
/billingAccounts/customers/createBillingRoleAssignment/action
/billingAccounts/billingRoleAssignments/write
/billingAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/billingRoleAssignments/delete
/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete
/billingAccounts/departments/billingRoleAssignments/write
/billingAccounts/departments/billingRoleAssignments/delete
/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action
/billingAccounts/enrollmentAccounts/billingRoleAssignments/write
/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action
/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action
/billingAccounts/billingProfiles/invoiceSections/transfers/delete
/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action
/billingAccounts/billingProfiles/invoiceSections/transfers/write
/transfers/acceptTransfer/action
/transfers/accept/action
/transfers/decline/action
/transfers/declineTransfer/action
/billingAccounts/customers/initiateTransfer/action
/billingAccounts/customers/transfers/delete
/billingAccounts/customers/transfers/cancel/action
/billingAccounts/customers/transfers/write
/billingAccounts/billingProfiles/invoiceSections/products/transfer/action
/billingAccounts/billingSubscriptions/elevateRole/action

Subskrypcje biznesowe i rozliczenia — licencjonowanie zbiorowe

Obszar Zawartość
Omówienie Zarządzanie rolami użytkowników licencjonowania zbiorowego — często zadawane pytania
Dokumentacja interfejsu API zarządzania Role specyficzne dla licencjonowania zbiorowego w identyfikatorze Entra firmy Microsoft
Licencjonowanie zbiorowe nie obsługuje ról firmy Microsoft Entra.

Role specyficzne dla licencjonowania zbiorowego
Użytkownicy i role vl są zarządzane w Centrum administracyjnym usługi M365.

Centrum partnerskie

Obszar Zawartość
Omówienie Role, uprawnienia i dostęp do obszaru roboczego dla użytkowników
Dokumentacja interfejsu API zarządzania Role specyficzne dla Centrum partnerskiego w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Następujące role mają uprawnienia: Administrator globalny, Administrator użytkowników.

Role specyficzne dla Centrum partnerskiego
Role specyficzne dla Centrum partnerskiego można zarządzać tylko za pośrednictwem Centrum partnerskiego.
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla Centrum partnerskiego w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Inne usługi

Azure DevOps

Obszar Zawartość
Omówienie Informacje o uprawnieniach i grupach zabezpieczeń
Dokumentacja interfejsu API zarządzania Role specyficzne dla usługi Azure DevOps w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od microsoft.azure.devOps.

Role specyficzne dla usługi Azure DevOps
Tworzenie/odczytywanie/aktualizowanie/usuwanie uprawnień udzielonych za pośrednictwem interfejsu API przypisania ról
• Wyświetlanie uprawnień ról za pomocą interfejsu API definicji ról
Temat referencyjny uprawnień
• Gdy grupa usługi Azure DevOps (uwaga: inna niż grupa firmy Microsoft Entra) jest przypisana do roli, utwórz/odczyt/zaktualizuj/usuń członkostwa w grupach za pomocą interfejsu API członkostwa
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla usługi Azure DevOps w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Role specyficzne dla usługi Azure DevOps
Uzyskiwanie dostępu do dziennika inspekcji usługi AzureDevOps
Dokumentacja interfejsu API inspekcji
Identyfikator inspekcji — dokumentacja
• Inspekcje za pomocą identyfikatora ActionId Security.ModifyPermission, Security.RemovePermission.
• W przypadku zmian w grupach przypisanych do ról inspekcje za pomocą identyfikatora ActionIdGroup.UpdateGroupMembership, , , Group.UpdateGroupMembership.AddGroup.UpdateGroupMembership.Remove

Sieć szkieletowa

Obejmuje sieć szkieletową i usługę Power BI.

Obszar Zawartość
Omówienie Omówienie ról administratora usługi Microsoft Fabric
Dokumentacja interfejsu API zarządzania Role specyficzne dla sieci szkieletowej w identyfikatorze Entra firmy Microsoft
Microsoft Graph v1.0 roleManagement API
• Użyj directory dostawcy
• Zobacz role z uprawnieniami rozpoczynającymi się od microsoft.powerApps.powerBI.
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla sieci szkieletowej w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią RoleManagement

Ujednolicony portal pomocy technicznej do zarządzania sprawami pomocy technicznej klienta

Obejmuje ujednolicony portal pomocy technicznej i Centrum usług.

Obszar Zawartość
Omówienie Role i uprawnienia Services Hub
Dokumentacja interfejsu API zarządzania Zarządzaj tymi rolami w portalu Services Hub, https://serviceshub.microsoft.com.

Uprawnienia aplikacji programu Microsoft Graph

Oprócz wymienionych wcześniej systemów kontroli dostępu opartej na rolach można przyznać podwyższonym poziomem uprawnień rejestracjom aplikacji i jednostkom usługi firmy Microsoft przy użyciu uprawnień aplikacji. Na przykład tożsamość aplikacji nieinterakcyjnej, innej niż ludzka może mieć możliwość odczytywania wszystkich wiadomości e-mail w dzierżawie ( Mail.Read uprawnienie aplikacji). W poniższej tabeli przedstawiono sposób zarządzania uprawnieniami aplikacji i monitorowania ich.

Obszar Zawartość
Omówienie Omówienie uprawnień programu Microsoft Graph
Dokumentacja interfejsu API zarządzania Role specyficzne dla programu Microsoft Graph w identyfikatorze Entra firmy Microsoft
Interfejs API servicePrincipal programu Microsoft Graph w wersji 1.0
• Wyliczanie atrybutów appRoleAssignments dla każdej usługiPrincipal w dzierżawie.
• Dla każdego elementu appRoleAssignment uzyskaj informacje o uprawnieniach przyznanych przez przypisanie, odczytując właściwość appRole w obiekcie servicePrincipal, do których odwołuje się element resourceId i appRoleId w elemencie appRoleAssignment.
• Konkretne zainteresowania to uprawnienia aplikacji do programu Microsoft Graph (servicePrincipal z identyfikatorem appID == "0000003-0000-0000-c000-000000000000"), które udzielają dostępu do programu Exchange, SharePoint, Teams itd. Oto odwołanie do uprawnień programu Microsoft Graph.
• Zobacz również Microsoft Entra security operations for applications (Operacje zabezpieczeń entra firmy Microsoft dla aplikacji).
Dokumentacja dotycząca inspekcji i monitorowania Role specyficzne dla programu Microsoft Graph w identyfikatorze Entra firmy Microsoft
Microsoft Entra activity log overview (Omówienie dziennika aktywności firmy Microsoft Entra)
Dostęp interfejsu API do dzienników inspekcji firmy Microsoft Entra:
Microsoft Graph v1.0 directoryAudit API
• Inspekcje z kategorią ApplicationManagement i nazwą działania Add app role assignment to service principal

Następne kroki