共用方式為


Microsoft 服務的角色

Microsoft 365 中的服務可以由 Microsoft Entra ID 中的系統管理角色進行管理。 某些服務也提供該服務特定的其他角色。 本文章列出了與 Microsoft 365 和其他服務的角色型存取控制 (RBAC) 相關的內容、API 參考以及稽核與監視參考。

Microsoft Entra

Microsoft Entra 中的 Microsoft Entra ID 與相關服務。

Microsoft Entra ID

區域 Content
概觀 Microsoft Entra 內建角色
管理 API 參考 Microsoft Entra 角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 將角色指派給群組時,請使用 Microsoft Graph v1.0 groups API 管理群組成員資格
稽核和監視參考 Microsoft Entra 角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核
• 將角色指派給群組時,若要稽核群組成員資格的變更,請參閱使用 GroupManagement 類別、Add member to group 活動與 Remove member from group 稽核

權利管理

區域 Content
概觀 權利管理角色
管理 API 參考 Microsoft Entra ID 中的權利管理特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以下列開頭的許可權的角色:microsoft.directory/entitlementManagement

權利管理特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 entitlementManagement 提供者
稽核和監視參考 Microsoft Entra ID 中的權利管理特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

權利管理特定角色
在 Microsoft Entra 稽核記錄中,具有 EntitlementManagement 類別和活動的是下列其中一項:

Microsoft 365

Microsoft 365 套件中的服務。

Exchange

區域 Content
概觀 Exchange Online 中的權限
管理 API 參考 Microsoft Entra ID 中的交換特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 具有以下列開頭的許可權的角色:microsoft.office365.exchange

交換特定角色
Microsoft Graph Beta roleManagement API
• 使用 exchange 提供者
稽核和監視參考 Microsoft Entra ID 中的交換特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

交換特定角色
使用 Microsoft Graph Beta Security API (稽核記錄查詢) 並列出稽核事件,其中 recordType == ExchangeAdmin 與作業是下列其中一項:

SharePoint

包含 SharePoint、OneDrive、Delve、Lists、Project Online 和 Loop。

區域 Content
概觀 關於 Microsoft 365 中的 SharePoint 系統管理員角色
深入了解管理員
Microsoft 清單的控制項設定
在 Project Online 中變更使用權限管理
管理 API 參考 Microsoft Entra ID 中的 SharePoint 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 具有以下列開頭的許可權的角色:microsoft.office365.sharepoint
稽核和監視參考 Microsoft Entra ID 中的 SharePoint 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Intune

區域 Content
概觀 使用 Microsoft Intune 的角色型存取控制 (RBAC)
管理 API 參考 Microsoft Entra ID 中的 Intune 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 具有以下列開頭的許可權的角色:microsoft.intune

Intune 特定角色
Microsoft Graph Beta roleManagement API
• 使用 deviceManagement 提供者
• 或者,使用 Intune 特定的 Microsoft Graph Beta RBAC management API
稽核和監視參考 Microsoft Entra ID 中的 Intune 特定角色
Microsoft Graph v1.0 directoryAudit API
RoleManagement 類別

Intune 特定角色
Intune 稽核概觀
Intune 特定稽核記錄的 API 存取:
Microsoft Graph Beta getAuditActivityTypes API
• 首先列出 category=Role 的活動類型,然後使用 Microsoft Graph Beta auditEvents API 列出每個活動類型的所有 auditEvents

Teams

包括 Teams、Bookings、Copilot Studio for Teams 和 Shifts。

區域 Content
概觀 使用 Microsoft Teams 系統管理員角色來管理 Teams
管理 API 參考 Microsoft Entra ID 中的 Teams 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 具有以下列開頭的許可權的角色:microsoft.teams
稽核和監視參考 Microsoft Entra ID 中的 Teams 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Purview 套件

包括 Purview 套件、Azure 資訊保護和資訊屏障。

區域 Content
概觀 適用於 Office 365 的 Microsoft Defender 和 Microsoft Purview 中的角色和角色群組
管理 API 參考 Microsoft Entra ID 中的 Purview 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以下列開頭的許可權的角色:
microsoft.office365.complianceManager
microsoft.office365.protectionCenter
microsoft.office365.securityComplianceCenter

Purview 特定角色
使用 PowerShell:安全性與合規性 PowerShell。 特定 Cmdlet 包括:
Get-RoleGroup
Get-RoleGroupMember
New-RoleGroup
Add-RoleGroupMember
Update-RoleGroupMember
Remove-RoleGroupMember
Remove-RoleGroup
稽核和監視參考 Microsoft Entra ID 中的 Purview 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Purview 特定角色
使用 Microsoft Graph Beta Security API (稽核記錄查詢搶鮮版) 並列出稽核事件,其中 recordType == SecurityComplianceRBAC 與作業是下列其中一項:Add-RoleGroupMemberRemove-RoleGroupMemberUpdate-RoleGroupMemberNew-RoleGroupRemove-RoleGroup

Power Platform

包括 Power Platform、Dynamics 365、Flow 和 Dataverse for Teams。

區域 Content
概觀 使用服務管理員角色管理您的租用戶
資訊安全角色和權限
管理 API 參考 Microsoft Entra ID 中的 Power Platform 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以下列開頭的許可權的角色:
microsoft.powerApps
microsoft.dynamics365
microsoft.flow

Dataverse 特定角色
使用 Web API 執行作業
• 查詢 使用者 (SystemUser) 資料表/實體參考
• 角色指派是 systemuserroles_association 資料表的一部分
稽核和監視參考 Microsoft Entra ID 中的 Power Platform 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Dataverse 特定角色
Dataverse 稽核概觀
用來存取 dataverse 特定稽核記錄的 API
Dataverse Web API
稽核資料表參考
• 使用動作代碼稽核:
53 – 將角色指派給小組
54 – 從小組中移除角色
55 – 將角色指派給使用者
56 – 從使用者中移除角色
57 – 將權限新增至角色
58 – 從角色中移除權限
59 – 取代角色中的權限

Defender 套件

包括 Defender 套件、安全分數、雲端應用程式安全性和威脅情報。

區域 Content
概觀 Microsoft Defender XDR 統一角色型存取控制 (RBAC)
管理 API 參考 Microsoft Entra ID 中的 Defender 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 下列角色具有權限(參考):安全性系統管理員、安全性操作員、安全性讀取者、全域系統管理員和全域讀者

Defender 特定角色
必須啟用工作負載,才能使用 Defender 整合 RBAC。 請參閱啟用 Microsoft Defender XDR 統一角色型存取控制 (RBAC)。 啟用 Defender Unified RBAC 將會關閉單個 Defender 解決方案角色。
• 只能透過 security.microsoft.com 入口網站來管理。
稽核和監視參考 Microsoft Entra ID 中的 Defender 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Viva Engage

區域 Content
概觀 在 Viva Engage 中管理系統管理員角色
管理 API 參考 Microsoft Entra ID 中的 Viva Engage 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以 microsoft.office365.yammer 開頭的權限的角色。

Viva Engage 特定角色
• 可透過 Yammer 系統管理中心管理已驗證的管理員和網路管理員角色。
• 可透過 Viva Engage 系統管理中心指派公司通訊員角色。
Yammer 資料匯出 API 可用來匯出 admins.csv,以讀取管理員清單
稽核和監視參考 Microsoft Entra ID 中的 Viva Engage 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Viva Engage 特定角色
• 使用 Yammer 資料匯出 API 以累加方式匯出 admins.csv 格式的系統管理員清單

Viva Connections

區域 Content
概觀 Microsoft Viva 中的管理員角色和工作
管理 API 參考 Microsoft Entra ID 中的 Viva Connections 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 下列角色具有權限:SharePoint 系統管理員、Teams 系統管理員和全域系統管理員
稽核和監視參考 Microsoft Entra ID 中的 Viva Connections 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Viva Learning

區域 Content
概觀 在 Teams 系統管理中心設定 Microsoft Viva Learning
管理 API 參考 Microsoft Entra ID中的 Viva Learning 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以 microsoft.office365.knowledge 開頭的權限的角色
稽核和監視參考 Microsoft Entra ID中的 Viva Learning 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Viva Insights

區域 Content
概觀 Viva Insights 中的角色
管理 API 參考 Microsoft Entra ID 中的 Viva Insights 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以 microsoft.office365.insights 開頭的權限的角色
稽核和監視參考 Microsoft Entra ID 中的 Viva Insights 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核
區域 Content
概觀 設定 Microsoft 搜尋
管理 API 參考 Microsoft Entra ID 中的搜尋特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以 microsoft.office365.search 開頭的權限的角色
稽核和監視參考 Microsoft Entra ID 中的搜尋特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

通用列印

區域 Content
概觀 通用列印管理員角色
管理 API 參考 Microsoft Entra ID 中的通用列印特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以 microsoft.azure.print 開頭的權限的角色
稽核和監視參考 Microsoft Entra ID 中的通用列印特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Microsoft 365 應用程式套件管理

包含 Microsoft 365 應用程式套件管理和表單。

區域 Content
概觀 Microsoft 365 應用程式系統管理中心概觀
Microsoft Forms 系統管理員設定
管理 API 參考 Microsoft Entra ID 中的 Microsoft 365 應用程式特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 下列角色具有權限:Office 應用程式系統管理員、安全性系統管理員、全域系統管理員
稽核和監視參考 Microsoft Entra ID 中的 Microsoft 365 應用程式特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用 RoleManagement 類別稽核

Azure

適用於 Azure 控制平面和訂用帳戶資訊的 Azure 角色型存取控制 (Azure RBAC)。

Azure

包含 Azure 和 Sentinel。

區域 Content
概觀 什麼是 Azure 角色型存取控制 (Azure RBAC)?
Microsoft Sentinel 中的角色與權限
管理 API 參考 Azure 中的 Azure 服務特定角色
Azure Resource Manager 授權 API
• 角色指派:清單建立/更新刪除
• 角色定義:清單建立/更新刪除

• 有舊版方法可將存取權授與被稱為傳統系統管理員的 Azure 資源。 傳統系統管理員相當於 Azure RBAC 中的所有者角色。 傳統系統管理員將於 2024 年 8 月淘汰。
• 請注意,Microsoft Entra 全域系統管理員可以透過提高存取權來獲得 Azure 單方面存取權。
稽核和監視參考 Azure 中的 Azure 服務特定角色
在 Azure 活動記錄中監視 Azure RBAC 變更
Azure 活動記錄 API
• 使用 Administrative 事件類別和 Create role assignment 作業、Delete role assignmentCreate or update custom role definitionDelete custom role definition 進行稽核。

在租用戶層級的 Azure 活動記錄中檢視提高存取權記錄
Azure 活動記錄 API – 租用戶活動記錄
• 使用 Administrative 事件類別稽核,並包含 elevateAccess 字串。
• 存取租用戶層級的活動記錄需要至少使用提高存取權一次,才能取得租用戶層級的存取權。

Commerce

與購買和計費相關的服務。

成本管理與計費 – Enterprise 合約

區域 Content
概觀 管理 Azure Enterprise 合約角色
管理 API 參考 Microsoft Entra ID 中的 Enterprise 合約特定角色
Enterprise 合約不支援 Microsoft Entra 角色。

Enterprise 合約特定角色
計費角色指派 API
• Enterprise 系統管理員(角色識別碼:9f1983cb-2574-400c-87e9-34cf8e2280db)
• Enterprise 系統管理員(只讀)(角色識別碼:24f8edb6-1668-4659-b5e2-40bb5f3a7d7e)
• EA 購買者(角色識別碼:da6647fb-7651-49ee-be91-c43c4877f0c4)
Enrollment 部門角色指派 API
• 部門管理員(角色識別碼:fb2cf67f-be5b-42e7-8025-4683c668f840)
• 部門讀者(角色識別碼:db609904-a47f-4794-9be8-9bd86fbffd8a)
Enrollment 帳戶角色指派 API
• 帳戶擁有者(角色識別碼:c15c22c0-9faf-424c-9b7e-bd91c06a240b)
稽核和監視參考 Enterprise 合約特定角色
Azure 活動記錄 API – 租用戶活動記錄
• 存取租用戶層級的活動記錄需要至少使用提高存取權一次,才能取得租用戶層級的存取權。
• 針對 resourceProvider == Microsoft.Billing 以及 operationName 包含 billingRoleAssignmentsEnrollmentAccount 的內容進行稽核

成本管理和計費 – Microsoft 客戶合約

區域 Content
概觀 了解 Azure 中的 Microsoft 客戶合約管理角色
了解您的 Microsoft 商務計費帳戶
管理 API 參考 Microsoft Entra ID 中的 Microsoft 客戶合約特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 下列角色具有權限:計費管理員、全域管理員。

Microsoft 客戶協定特定角色
• 預設情況下,Microsoft Entra 全域管理員和計費管理員角色會在 Microsoft 客戶協定特定 RBAC 中,自動指派計費帳戶擁有者角色。
計費角色指派 API
稽核和監視參考 Microsoft Entra ID 中的 Microsoft 客戶合約特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用類別稽核 RoleManagement

Microsoft 客戶協定特定角色
Azure 活動記錄 API – 租用戶活動記錄
• 存取租用戶層級的活動記錄需要至少使用提高存取權一次,才能取得租用戶層級的存取權。
• 稽核 resourceProvider == Microsoft.Billing 和 operationName 下列其中一項 (前面都加上 Microsoft.Billing):
/permissionRequests/write
/billingAccounts/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action
/billingAccounts/customers/createBillingRoleAssignment/action
/billingAccounts/billingRoleAssignments/write
/billingAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/billingRoleAssignments/delete
/billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action
/billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete
/billingAccounts/departments/billingRoleAssignments/write
/billingAccounts/departments/billingRoleAssignments/delete
/billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action
/billingAccounts/enrollmentAccounts/billingRoleAssignments/write
/billingAccounts/enrollmentAccounts/billingRoleAssignments/delete
/billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action
/billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action
/billingAccounts/billingProfiles/invoiceSections/transfers/delete
/billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action
/billingAccounts/billingProfiles/invoiceSections/transfers/write
/transfers/acceptTransfer/action
/transfers/accept/action
/transfers/decline/action
/transfers/declineTransfer/action
/billingAccounts/customers/initiateTransfer/action
/billingAccounts/customers/transfers/delete
/billingAccounts/customers/transfers/cancel/action
/billingAccounts/customers/transfers/write
/billingAccounts/billingProfiles/invoiceSections/products/transfer/action
/billingAccounts/billingSubscriptions/elevateRole/action

商務訂用帳戶和計費 – 大量授權

區域 Content
概觀 管理大量授權使用者角色常見問題
管理 API 參考 Microsoft Entra ID 中的大量授權特定角色
大量授權不支援 Microsoft Entra 角色。

大量授權特定角色
VL 使用者和角色 在 M365 系統管理中心進行管理。

合作夥伴中心

區域 Content
概觀 使用者的角色、權限和工作區存取權
管理 API 參考 Microsoft Entra ID 中的合作夥伴中心特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 下列角色具有權限:全域管理員、使用者管理員。

合作夥伴中心特定角色
合作夥伴中心特定角色 只能透過合作夥伴中心進行管理。
稽核和監視參考 Microsoft Entra ID 中的合作夥伴中心特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用類別稽核 RoleManagement

其他服務

Azure DevOps

區域 Content
概觀 關於權限和安全性群組
管理 API 參考 Microsoft Entra ID 中的 Azure DevOps 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以 microsoft.azure.devOps 為開頭的權限。

Azure DevOps 特定角色
建立/讀取/更新/刪除透過 Roleassignments API 授與的權限
• 使用 Roledefinitions API 檢視角色權限
權限參考主題
• 當 Azure DevOps 群組(注意:不同於 Microsoft Entra 群組)指派給角色時,請使用 Memberships API 建立/讀取/更新/刪除群組成員資格
稽核和監視參考 Microsoft Entra ID 中的 Azure DevOps 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用類別稽核 RoleManagement

Azure DevOps 特定角色
存取 AzureDevOps 稽核記錄
稽核 API 參考
AuditId 參考
• 使用 ActionId Security.ModifyPermissionSecurity.RemovePermission 稽核。
• 針對指派給角色的群組變更,請使用 ActionId Group.UpdateGroupMembershipGroup.UpdateGroupMembership.AddGroup.UpdateGroupMembership.Remove 進行稽核

網狀架構

包含 Fabric 和 Power BI。

區域 Content
概觀 了解 Microsoft Fabric 管理員角色
管理 API 參考 Microsoft Entra ID 中的 Fabric 特定角色
Microsoft Graph v1.0 roleManagement API
• 使用 directory 提供者
• 請參閱具有以 microsoft.powerApps.powerBI 開頭的權限的角色。
稽核和監視參考 Microsoft Entra ID 中的 Fabric 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用類別稽核 RoleManagement

管理客戶支援案例的統一支援入口網站

包含統一支援入口網站和服務中樞。

區域 Content
概觀 服務中樞角色和權限
管理 API 參考 在服務中樞入口網站 https://serviceshub.microsoft.com 中管理這些角色。

Microsoft Graph 應用程式權限

除了先前提及的 RBAC 系統之外,還可以使用應用程式權限將提升的權限授與給 Microsoft Entra 應用程式註冊和服務主體。 例如,可以將讀取租用戶中的所有郵件的權限(Mail.Read 應用程式權限)授與非互動式的非人類應用程式身分識別。 下表列出如何管理和監視應用程式權限。

區域 Content
概觀 Microsoft Graph 權限概觀
管理 API 參考 Microsoft Entra ID 中的 Microsoft Graph 特定角色
Microsoft Graph v1.0 servicePrincipal API
• 列舉租用戶中每個 servicePrincipalappRoleAssignments
• 針對每個 appRoleAssignment,透過讀取 appRoleAssignment 中 resourceId 和 appRoleId 所參考之 servicePrincipal 物件上的 appRole 属性,以取得指派所授與之權限相關資訊。
• 特別有趣的是 Microsoft Graph 的應用程式權限 ( servicePrincipal with appID == "00000003-0000-0000-c000-000000000000" ),它授與對 Exchange、SharePoint、Teams 等的存取權。 以下是 Microsoft Graph 權限的參考。
• 另請參閱 應用程式的 Microsoft Entra 安全性作業
稽核和監視參考 Microsoft Entra ID 中的 Microsoft Graph 特定角色
Microsoft Entra 活動記錄概觀
Microsoft Entra 稽核記錄的 API 存取:
Microsoft Graph v1.0 directoryAudit API
• 使用類別 ApplicationManagement 和活動名稱稽核 Add app role assignment to service principal

下一步