С помощью прав определяется, какие пользователи и группы могут запрашивать определенные элементы каталога или выполнять определенные действия. Для разных бизнес-групп характерны разные права.

Диспетчеры бизнес-групп могут создавать права для групп, которыми они управляют. Администраторы арендатора могут создавать права для любой бизнес-группы в своем арендаторе. При создании права необходимо выбрать бизнес-группу и указать отдельных пользователей и отдельные группы в бизнес-группе для предоставления права.

Предоставить право можно на категорию службы целиком, что означает предоставление права на все элементы каталога в этой службе, в том числе на элементы, добавленные в службу после создания права. В право можно также добавить отдельные элементы каталога в службе. Службы не содержат действий. Действия должны добавляться в право индивидуально.

Для каждой службы, элемента каталога и действия, на которые предоставляется право, можно при необходимости указать политику подтверждения, которая будет применяться к запросам для такого элемента. Если право предоставляется на службу целиком и одновременно на определенный элемент каталога в этой службе, политика подтверждения для элемента каталога переопределяет политику для службы. Например, можно предоставить право на службу Cloud Infrastructure участникам бизнес-группы и разрешить им запрашивать любые ее элементы без политики подтверждения. Для определенного количества элементов каталога, которые требуют больших усилий по управлению их подготовкой, можно предоставить одно общее право и применить политику подтверждения только к этим элементам.

Действия, на которые предоставляется право пользователям, применяются ко всем элементам, которые поддерживают такие действия, и они не ограничиваются службами и действиями в рамках одного права. Например, если Катя (потребитель инфраструктурных служб) в рамках одного права может использовать «Схему элементов компьютера 1» и действие «Перенастроить», а в рамках другого права может использовать «Схему элементов компьютера 2», то она имеет право перенастраивать компьютеры, подготовленные из схемы элементов компьютера 1 и схемы элементов компьютера 2, при условии, что обе схемы позволяют выполнять такое действие.

Если для одной бизнес-группы существует несколько прав, можно установить их приоритетность. Когда пользователь делает запрос каталога, право и связанная с ним политика подтверждения, которая применяется, имеют наивысший приоритет и предоставляют пользователю доступ к такому элементу или действию.