Роли в службы Майкрософт
Службы в Microsoft 365 можно управлять с помощью административных ролей в идентификаторе Microsoft Entra. Некоторые службы также предоставляют дополнительные роли, относящиеся к этой службе. В этой статье перечислены материалы, ссылки на API и ссылки на аудит и мониторинг, связанные с управлением доступом на основе ролей (RBAC) для Microsoft 365 и других служб.
Идентификатор Microsoft Entra и связанные службы в Microsoft Entra.
Площадь | Содержимое |
---|---|
Обзор | Встроенные роли Microsoft Entra |
Справочник по API управления | Роли Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Если роль назначена группе, управляйте членством в группах с помощью API групп Microsoft Graph версии 1.0. |
Справочник по аудиту и мониторингу | Роли Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией• Когда роль назначена группе, аудит изменений членства в группах см. в разделе аудита с категорией GroupManagement и действиями Add member to group и Remove member from group |
Площадь | Содержимое |
---|---|
Обзор | Роли управления правами |
Справочник по API управления | Роли управления правами в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная с: microsoft.directory/entitlementManagement Роли управления правами API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование entitlementManagement поставщика |
Справочник по аудиту и мониторингу | Роли управления правами в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категориейРоли управления правами В журнале аудита Microsoft Entra с категорией EntitlementManagement и действием является одним из следующих вариантов:• Remove Entitlement Management role assignment • Add Entitlement Management role assignment |
Службы в наборе Microsoft 365.
Площадь | Содержимое |
---|---|
Обзор | Разрешения в Exchange Online |
Справочник по API управления | Роли, относящиеся к Exchange, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Роли с разрешениями, начиная с: microsoft.office365.exchange Роли, относящиеся к Exchange Microsoft Graph Beta roleManagement API • Использование exchange поставщика |
Справочник по аудиту и мониторингу | Роли, относящиеся к Exchange, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категориейРоли, относящиеся к Exchange Используйте бета-версию Microsoft Graph API безопасности (запрос журнала аудита) и выведите список событий аудита, в которых recordType == ExchangeAdmin и Operation является одним из следующих:Add-RoleGroupMember , Remove-RoleGroupMember , Update-RoleGroupMember New-RoleGroup Remove-RoleGroup New-ManagementRole Remove-ManagementRoleEntry New-ManagementRoleAssignment |
Включает SharePoint, OneDrive, Delve, Списки, Project Online и Цикл.
Площадь | Содержимое |
---|---|
Обзор | Сведения о роли администратора SharePoint в Microsoft 365 Delve для администраторов Параметры управления для Microsoft Списки Изменение управления разрешениями в Project Online |
Справочник по API управления | Роли, относящиеся к SharePoint, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Роли с разрешениями, начиная с: microsoft.office365.sharepoint |
Справочник по аудиту и мониторингу | Роли, относящиеся к SharePoint, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Площадь | Содержимое |
---|---|
Обзор | Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune |
Справочник по API управления | Роли, относящиеся к Intune, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Роли с разрешениями, начиная с: microsoft.intune Роли, относящиеся к Intune Microsoft Graph Beta roleManagement API • Использование deviceManagement поставщика• Кроме того, используйте API управления RBAC для Microsoft Graph для конкретной версии Intune. |
Справочник по аудиту и мониторингу | Роли, относящиеся к Intune, в идентификаторе Microsoft Entra API каталога Microsoft Graph версии 1.0 • RoleManagement категорияРоли, относящиеся к Intune Обзор аудита Intune Доступ API к журналам аудита, зависящим от Intune: • API GetAuditActivityTypes бета-версии Microsoft Graph • Первые типы действий списка, где категория= Role , а затем используйте API бета-аудита Microsoft Graph AuditEvents для перечисления всех аудитаEvents для каждого типа действия. |
Включает Teams, Bookings, Copilot Studio для Teams и shifts.
Площадь | Содержимое |
---|---|
Обзор | Использование ролей администратора Microsoft Teams для управления Teams |
Справочник по API управления | Роли, относящиеся к Teams, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Роли с разрешениями, начиная с: microsoft.teams |
Справочник по аудиту и мониторингу | Роли, относящиеся к Teams, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Включает набор Purview, Azure Information Protection и информационные барьеры.
Площадь | Содержимое |
---|---|
Обзор | Роли и группы ролей в Microsoft Defender для Office 365 и Microsoft Purview |
Справочник по API управления | Роли, относящиеся к Purview, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная с: microsoft.office365.complianceManager microsoft.office365.protectionCenter microsoft.office365.securityComplianceCenter Роли, относящиеся к Purview Используйте PowerShell: безопасность и соответствие Требованиям PowerShell. Некоторые командлеты: Get-RoleGroup Get-RoleGroupMember New-RoleGroup Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Remove-RoleGroup |
Справочник по аудиту и мониторингу | Роли, относящиеся к Purview, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категориейРоли, относящиеся к Purview Использование бета-версии Microsoft Graph API безопасности (бета-версия запроса журнала аудита) и события аудита, в которых recordType == SecurityComplianceRBAC и Operation является одним из Add-RoleGroupMember , , Remove-RoleGroupMember , Update-RoleGroupMember , New-RoleGroup Remove-RoleGroup |
Включает Power Platform, Dynamics 365, Flow и Dataverse для Teams.
Площадь | Содержимое |
---|---|
Обзор | Использование ролей администратора службы для управления клиентом Роли безопасности и привилегии |
Справочник по API управления | Роли, относящиеся к Power Platform, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная с: microsoft.powerApps microsoft.dynamics365 microsoft.flow Роли, относящиеся к данным Выполнение операций с помощью веб-API • Запрос ссылки на таблицу или сущность пользователя (SystemUser) • Назначения ролей являются частью таблиц systemuserroles_association |
Справочник по аудиту и мониторингу | Роли, относящиеся к Power Platform, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категориейРоли, относящиеся к данным Обзор аудита с обратным анализом данных API для доступа к журналам аудита, зависящим от данных Веб-API Dataverse • Справочник по таблице аудита • Аудит с помощью кодов действий: 53. Назначение роли команде 54. Удаление роли из команды 55. Назначение роли пользователю 56. Удаление роли от пользователя 57. Добавление привилегий в роль 58. Удаление привилегий из роли 59. Замена привилегий в роли |
Включает набор Defender, оценку безопасности, Cloud App Security и аналитику угроз.
Площадь | Содержимое |
---|---|
Обзор | Управление доступом на основе ролей в Microsoft Defender XDR (RBAC) |
Справочник по API управления | Роли, относящиеся к Защитнику, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• У следующих ролей есть разрешения (ссылка): администратор безопасности, оператор безопасности, читатель безопасности, глобальный администратор и глобальный читатель Роли, относящиеся к Защитнику Рабочие нагрузки должны быть активированы для использования единого RBAC в Защитнике. См. раздел "Активация единого управления доступом на основе ролей в Microsoft Defender XDR" (RBAC). Активация единого RBAC защитника отключает отдельные роли решения Defender. • Можно управлять только с помощью портала security.microsoft.com. |
Справочник по аудиту и мониторингу | Роли, относящиеся к Защитнику, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Площадь | Содержимое |
---|---|
Обзор | Управление ролями администратора в Viva Engage |
Справочник по API управления | Роли viva Engage в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная microsoft.office365.yammer с.Роли, относящиеся к Viva Engage • Проверенные роли администратора и администратора сети можно управлять с помощью Центра администрирования Yammer. • Роль корпоративного коммуникации можно назначить через Центр администрирования Viva Engage. • API экспорта данных Yammer можно использовать для экспорта admins.csv для чтения списка администраторов |
Справочник по аудиту и мониторингу | Роли viva Engage в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категориейРоли, относящиеся к Viva Engage • Используйте API экспорта данных Yammer для добавочного экспорта admins.csv для списка администраторов |
Площадь | Содержимое |
---|---|
Обзор | Роли и задачи администратора в Microsoft Viva |
Справочник по API управления | Роли Viva Connections в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• У следующих ролей есть разрешения: администратор SharePoint, администратор Teams и глобальный администратор |
Справочник по аудиту и мониторингу | Роли Viva Connections в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Площадь | Содержимое |
---|---|
Обзор | Настройка Microsoft Viva Learning в Центре администрирования Teams |
Справочник по API управления | Роли, относящиеся к Viva Learning, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная с microsoft.office365.knowledge |
Справочник по аудиту и мониторингу | Роли, относящиеся к Viva Learning, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Площадь | Содержимое |
---|---|
Обзор | Роли в Viva Insights |
Справочник по API управления | Роли, относящиеся к Viva Insights, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная с microsoft.office365.insights |
Справочник по аудиту и мониторингу | Роли, относящиеся к Viva Insights, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Площадь | Содержимое |
---|---|
Обзор | Настройка Поиск (Майкрософт) |
Справочник по API управления | Роли, относящиеся к поиску, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная с microsoft.office365.search |
Справочник по аудиту и мониторингу | Роли, относящиеся к поиску, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Площадь | Содержимое |
---|---|
Обзор | Роли администратора универсальной печати |
Справочник по API управления | Роли универсальной спецификации print-specifc в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная с microsoft.azure.print |
Справочник по аудиту и мониторингу | Роли универсальной спецификации print-specifc в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Включает управление наборами Приложения Microsoft 365 и формы.
Площадь | Содержимое |
---|---|
Обзор | Обзор центра администрирования Приложения Microsoft 365 Параметры администратора для Microsoft Forms |
Справочник по API управления | Приложения Microsoft 365 ролей в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• У следующих ролей есть разрешения: администратор приложений Office, администратор безопасности, глобальный администратор |
Справочник по аудиту и мониторингу | Приложения Microsoft 365 ролей в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с RoleManagement категорией |
Управление доступом на основе ролей Azure (Azure RBAC) для уровня управления Azure и сведений о подписке.
Включает Azure и Sentinel.
Площадь | Содержимое |
---|---|
Обзор | Что такое управление доступом на основе ролей в Azure (RBAC)? Роли и разрешения в Microsoft Sentinel |
Справочник по API управления | Роли, относящиеся к службе Azure, в Azure API авторизации Azure Resource Manager • Назначение ролей: список, создание и обновление, удаление • Определение роли: список, создание и обновление, удаление • Существует устаревший метод предоставления доступа к ресурсам Azure, называемым классическими администраторами. Классические администраторы эквивалентны роли владельца в Azure RBAC. Классические администраторы будут прекращены в августе 2024 года. • Обратите внимание, что глобальный администратор Microsoft Entra может получить односторонний доступ к Azure через повышенный доступ. |
Справочник по аудиту и мониторингу | Роли, относящиеся к службе Azure, в Azure Мониторинг изменений Azure RBAC в журнале действий Azure • API журнала действий Azure • Аудит с категорией Administrative событий и операцией Create role assignment , Delete role assignment , , Create or update custom role definition . Delete custom role definition Просмотр журналов повышенных прав доступа в журнале действий Azure уровня клиента • API журнала действий Azure — журналы действий клиента • Аудит с категорией Administrative событий и строкой elevateAccess .• Доступ к журналам действий уровня клиента требуется использовать по крайней мере один раз для получения доступа на уровне клиента. |
Службы, связанные с покупкой и выставлением счетов.
Площадь | Содержимое |
---|---|
Обзор | Управление ролями для Соглашений Enterprise в Azure |
Справочник по API управления | Соглашение Enterprise ролей в идентификаторе Microsoft Entra Соглашение Enterprise не поддерживает роли Microsoft Entra. роли Соглашение Enterprise для определенных ролей API назначений ролей выставления счетов • Администратор предприятия (идентификатор роли: 9f1983cb-2574-400c-87e9-34cf8e2280db) • Корпоративный администратор (только для чтения) (идентификатор роли: 24f8edb6-1668-4659-b5e2-40bb5f3a7d7e) • Покупатель EA (идентификатор роли: da6647fb-7651-49ee-be91-c43c4877f0c4) API назначений ролей отдела регистрации • Администратор отдела (идентификатор роли: fb2cf67f-be5b-42e7-8025-4683c668f840) • Читатель отдела (идентификатор роли: db609904-a47f-4794-9be8-9bd86fbffd8a) API назначений ролей учетной записи регистрации • Владелец учетной записи (идентификатор роли: c15c2c0-9faf-424c-9b7e-bd91c06a240b) |
Справочник по аудиту и мониторингу | роли Соглашение Enterprise для определенных ролей API журнала действий Azure — журналы действий клиента • Доступ к журналам действий уровня клиента требуется использовать по крайней мере один раз для получения доступа на уровне клиента. • Аудит, в котором resourceProvider == Microsoft.Billing и operationName содержит billingRoleAssignments или EnrollmentAccount |
Площадь | Содержимое |
---|---|
Обзор | Сведения об административных ролях клиентских соглашений Майкрософт в Azure Общие сведения об учетной записи выставления счетов майкрософт |
Справочник по API управления | Клиентское соглашение Майкрософт ролей в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• У следующих ролей есть разрешения: администратор выставления счетов, глобальный администратор. роли, относящиеся к Клиентское соглашение Майкрософт • По умолчанию роли глобального администратора Microsoft Entra и администратора выставления счетов автоматически назначаются роли владельца учетной записи выставления счетов в RBAC для определенных Клиентское соглашение Майкрософт. • API назначения ролей выставления счетов |
Справочник по аудиту и мониторингу | Клиентское соглашение Майкрософт ролей в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с категорией RoleManagement роли, относящиеся к Клиентское соглашение Майкрософт API журнала действий Azure — журналы действий клиента • Доступ к журналам действий уровня клиента требуется использовать по крайней мере один раз для получения доступа на уровне клиента. • Аудит, где resourceProvider == Microsoft.Billing и operationName один из следующих (все префиксы с Microsoft.Billing ):/permissionRequests/write /billingAccounts/createBillingRoleAssignment/action /billingAccounts/billingProfiles/createBillingRoleAssignment/action /billingAccounts/billingProfiles/invoiceSections/createBillingRoleAssignment/action /billingAccounts/customers/createBillingRoleAssignment/action /billingAccounts/billingRoleAssignments/write /billingAccounts/billingRoleAssignments/delete /billingAccounts/billingProfiles/billingRoleAssignments/delete /billingAccounts/billingProfiles/customers/createBillingRoleAssignment/action /billingAccounts/billingProfiles/invoiceSections/billingRoleAssignments/delete /billingAccounts/departments/billingRoleAssignments/write /billingAccounts/departments/billingRoleAssignments/delete /billingAccounts/enrollmentAccounts/transferBillingSubscriptions/action /billingAccounts/enrollmentAccounts/billingRoleAssignments/write /billingAccounts/enrollmentAccounts/billingRoleAssignments/delete /billingAccounts/billingProfiles/invoiceSections/billingSubscriptions/transfer/action /billingAccounts/billingProfiles/invoiceSections/initiateTransfer/action /billingAccounts/billingProfiles/invoiceSections/transfers/delete /billingAccounts/billingProfiles/invoiceSections/transfers/cancel/action /billingAccounts/billingProfiles/invoiceSections/transfers/write /transfers/acceptTransfer/action /transfers/accept/action /transfers/decline/action /transfers/declineTransfer/action /billingAccounts/customers/initiateTransfer/action /billingAccounts/customers/transfers/delete /billingAccounts/customers/transfers/cancel/action /billingAccounts/customers/transfers/write /billingAccounts/billingProfiles/invoiceSections/products/transfer/action /billingAccounts/billingSubscriptions/elevateRole/action |
Площадь | Содержимое |
---|---|
Обзор | Управление ролями пользователей корпоративного лицензирования, часто задаваемыми вопросами |
Справочник по API управления | Роли, относящиеся к корпоративному лицензированию, в идентификаторе Microsoft Entra Корпоративное лицензирование не поддерживает роли Microsoft Entra. Роли, относящиеся к корпоративному лицензированию Пользователи и роли VL управляются в Центре администрирования M365. |
Площадь | Содержимое |
---|---|
Обзор | Роли, разрешения и доступ к рабочей области для пользователей |
Справочник по API управления | Роли центра партнеров в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• У следующих ролей есть разрешения: глобальный администратор, администратор пользователей. Роли, относящиеся к Центру партнеров Роли центра партнеров могут управляться только через Центр партнеров. |
Справочник по аудиту и мониторингу | Роли центра партнеров в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с категорией RoleManagement |
Площадь | Содержимое |
---|---|
Обзор | Сведения о разрешениях и группах безопасности |
Справочник по API управления | Роли, относящиеся к Azure DevOps, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная microsoft.azure.devOps с.Роли, относящиеся к Azure DevOps Создание и чтение, обновление и удаление разрешений, предоставленных через API roleassignments • Просмотр разрешений ролей с помощью API Roledefinitions • Справочный раздел по разрешениям • Если группе Azure DevOps (примечание: отличается от группы Microsoft Entra) назначена роль, создание и чтение и обновление и удаление членства в группах с ПОМОЩЬЮ API членства |
Справочник по аудиту и мониторингу | Роли, относящиеся к Azure DevOps, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с категорией RoleManagement Роли, относящиеся к Azure DevOps • Доступ к журналу аудита AzureDevOps • Справочник по API аудита • Справочник по AuditId • Аудит с помощью ActionId Security.ModifyPermission , Security.RemovePermission .• Для изменений групп, назначенных ролям, аудиты с помощью ActionId Group.UpdateGroupMembership , Group.UpdateGroupMembership.Add Group.UpdateGroupMembership.Remove |
Включает Fabric и Power BI.
Площадь | Содержимое |
---|---|
Обзор | Общие сведения о ролях администраторов Microsoft Fabric |
Справочник по API управления | Роли, относящиеся к структуре, в идентификаторе Microsoft Entra API roleManagement версии 1.0 Microsoft Graph версии 1.0 • Использование directory поставщика• Просмотр ролей с разрешениями, начиная microsoft.powerApps.powerBI с. |
Справочник по аудиту и мониторингу | Роли, относящиеся к структуре, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с категорией RoleManagement |
Включает Единая поддержка портал и Центр служб.
Площадь | Содержимое |
---|---|
Обзор | Роли и разрешения Центра служб |
Справочник по API управления | Управление этими ролями на портале https://serviceshub.microsoft.comServices Hub. |
Помимо упомянутых ранее систем RBAC разрешения с повышенными привилегиями можно предоставить регистрации приложений Microsoft Entra и субъектов-служб с помощью разрешений приложения. Например, неактивное удостоверение приложения, отличное от человека, может быть предоставлено возможность читать всю почту в клиенте ( Mail.Read
разрешение приложения). В следующей таблице показано, как управлять разрешениями приложений и отслеживать их.
Площадь | Содержимое |
---|---|
Обзор | Обзор разрешений Microsoft Graph |
Справочник по API управления | Роли, относящиеся к Microsoft Graph, в идентификаторе Microsoft Entra API службы Microsoft Graph версии 1.0 • Перечисляйте appRoleAssignments для каждого servicePrincipal в клиенте. • Для каждого объекта appRoleAssignment получите сведения о разрешениях, предоставленных назначением, считывая свойство appRole в объекте servicePrincipal, на который ссылается resourceId и appRoleId в appRoleAssignment. • Для Microsoft Graph (servicePrincipal с appID == "000000003-00000-0000-0000-c0000-00000000000") для предоставления доступа к Exchange, SharePoint, Teams и т. д. Ниже приведена ссылка на разрешения Microsoft Graph. • Также см . операции безопасности Microsoft Entra для приложений. |
Справочник по аудиту и мониторингу | Роли, относящиеся к Microsoft Graph, в идентификаторе Microsoft Entra Общие сведения о журнале действий Microsoft Entra Доступ API к журналам аудита Microsoft Entra: • API каталога Microsoft Graph версии 1.0 • Аудит с именем категории ApplicationManagement и действия Add app role assignment to service principal |