Коллеги, поступила задача выдать техподдержке предприятия доступ к Control Panel Скайп для бизнеса,
казалось бы чего проще, делаем новую Universal группу безопасности,
навешиваем на нее CSAdminRole указываем шаблон из предопределенных ролей, и после все должно работать,

но нет,
если так сделать, то вход через браузер будет невозможен
"Skype for Business - Error when logging on to control panel (Access is denied due to a role-based access control (RBAC) authorization failure"
Ок, добавляем нашу группу напрямую в одну из предопределённых ролей, и браузер больше не ругается, но тогда роль невозможно ни обрезать ни дополнять
Все в рамках дефлотной роли.

Нашел статью:
https://social.technet.microsoft.com/Forums/en-US/4f8b61b4-32f1-4a58-a1db-d8c7b17960f2/rbac-configuration-of-skype-for-business?forum=sfbfr
предпоследний пост - там у человека получилось сделать то что мне наобходимо, то есть стандартным образом не включая группу в группу.
И главное результат - такой как мне нужен: пользователь RBAC имеет право видеть только вкладку USER.

Пробовал крутить группами безопасности - безрезультатно

Кто имел опыт -посоветуйте как выйти из ситуации?