Předdefinované role Microsoft Entra
V Microsoft Entra ID, pokud jiný správce nebo jiný správce potřebuje spravovat prostředky Microsoft Entra, přiřadíte jim roli Microsoft Entra, která poskytuje oprávnění, která potřebují. Můžete například přiřadit role, které umožňují přidávat nebo měnit uživatele, resetovat hesla uživatelů, spravovat uživatelské licence nebo spravovat názvy domén.
Tento článek obsahuje seznam předdefinovaných rolí Microsoft Entra, které můžete přiřadit k povolení správy prostředků Microsoft Entra. Informace o přiřazování rolí najdete zde: Přiřazení rolí Microsoft Entra uživatelům. Pokud hledáte role pro správu prostředků Azure, podívejte se na předdefinované role Azure.
Všechny role
Role | Popis | ID šablony |
---|---|---|
Správce aplikace | Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací. |
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3 |
Vývojář aplikace | Může vytvářet registrace aplikací nezávisle na nastavení Uživatelé mohou registrovat aplikace. |
cf1c38e5-3621-4004-a7cb-879624dced7c |
Autor datové části útoku | Může vytvořit datové části útoku, které může správce zahájit později. | 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f |
Simulace útoku Správa istrator | Může vytvářet a spravovat všechny aspekty kampaní simulace útoků. | c430b396-e693-46cc-96f3-db01bf8bb62a |
Přiřazení atributů Správa istrator | Přiřaďte vlastní klíče atributů zabezpečení a hodnoty podporovaným objektům Microsoft Entra. | 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d |
Čtenář přiřazení atributů | Přečtěte si vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra. | ffd52fa5-98dc-465c-991d-fc073eb59f8f |
Definice atributu Správa istrator | Definujte a spravujte definici vlastních atributů zabezpečení. | 8424c6f0-a189-499e-bbd0-26c1753c96d4 |
Čtečka definic atributů | Přečtěte si definici vlastních atributů zabezpečení. | 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c |
Protokol atributů Správa istrator | Přečtěte si protokoly auditu a nakonfigurujte nastavení diagnostiky pro události související s vlastními atributy zabezpečení. | 5b784334-f94b-471a-a387-e7219fc49ca2 |
Čtenář protokolu atributů | Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení | 9c99539d-8186-4804-835f-fd51ef9e2dcd |
Ověřování Správa istrator | Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele bez oprávnění správce. |
c4e39bd9-1100-46d3-8c65-fb160da0071f |
Rozšiřitelnost ověřování Správa istrator | Přizpůsobte si možnosti přihlašování a registrace uživatelů vytvořením a správou vlastních rozšíření ověřování. |
25a516ed-2fa0-40ea-a2d0-12923a21473a |
Zásady ověřování Správa istrator | Může vytvářet a spravovat zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta, zásady ochrany hesel a ověřitelné přihlašovací údaje. | 0526716b-113d-4c15-b2c8-68e3c22b9f80 |
Azure DevOps Správa istrator | Může spravovat zásady a nastavení Azure DevOps. | e3973bdf-4987-49ae-837a-ba8e231c7286 |
Azure Information Protection Správa istrator | Může spravovat všechny aspekty produktu Azure Information Protection. | 7495fdc4-34c4-4d15-a289-98788ce399fd |
B2C IEF keyset Správa istrator | Může spravovat tajné kódy pro federaci a šifrování v rozhraní IEF (Identity Experience Framework). |
aaf43236-0c0d-4d5f-883a-6955382ac081 |
Zásady B2C IEF Správa istrator | Může vytvářet a spravovat zásady architektury důvěryhodnosti v rozhraní IEF (Identity Experience Framework). | 3edaf663-341e-4475-9f94-5c398ef6c070 |
Správce fakturace | Může provádět běžné úkoly související s fakturací, třeba aktualizovat platební údaje. | b0f54661-2d74-4c50-afa3-1ec803f12efe |
Cloud App Security Správa istrator | Může spravovat všechny aspekty produktu Defender for Cloud Apps. | 892c5842-a9a6-463a-8041-72aa08ca3cf6 |
Správce cloudové aplikace | Může vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací kromě proxy aplikací. |
158c047a-c907-4556-b7ef-446551a6b5f7 |
Správa istrator cloudového zařízení | Omezený přístup ke správě zařízení v Microsoft Entra ID. |
7698a772-787b-4ac8-901f-60d6b08affd2 |
Správa istrator dodržování předpisů | Může číst a spravovat konfiguraci a sestavy dodržování předpisů v Microsoft Entra ID a Microsoftu 365. | 17315797-102d-40b4-93e0-432062caca18 |
Data dodržování předpisů Správa istrator | Vytváří a spravuje obsah dodržování předpisů. | e6d1a23a-da11-4be4-9570-befc86d067a7 |
Podmíněný přístup Správa istrator | Může spravovat možnosti podmíněného přístupu. |
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9 |
Schvalovatel přístupu Customer LockBoxu | Může schválit žádosti o podporu Microsoftu pro přístup k datům organizace zákazníka. | 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91 |
Desktop Analytics Správa istrator | Může přistupovat k nástrojům a službám pro správu plochy a spravovat je. | 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4 |
Čtenáři adresářů | Může číst základní informace o adresáři. Běžně se používá k udělení přístupu ke čtení adresáře aplikacím a hostům. | 88d8e3e3-8f55-4a1e-953a-9b9898b88876b |
Účty synchronizace adresářů | Používá se pouze službou Microsoft Entra Připojení. |
d29b2b05-8046-44ba-8758-1e26182fcf32 |
Zapisovače adresářů | Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele. |
9360feb5-f418-4baa-8175-e2a00bac4301 |
Název domény Správa istrator | Může spravovat názvy domén v cloudu a v místním prostředí. |
8329153b-31d0-4727-b945-745eb3bc5f31 |
Dynamics 365 Správa istrator | Může spravovat všechny aspekty produktu Dynamics 365. | 44367163-eba1-44c3-98af-f5787879f96a |
Dynamics 365 Business Central Správa istrator | Může přistupovat k prostředím Dynamics 365 Business Central a provádět všechny úlohy správy v prostředích. | 963797fb-eb3b-4cde-8ce3-5878b3f32a3f |
Edge Správa istrator | Spravujte všechny aspekty Microsoft Edge. | 3f1acade-1e04-4fbc-9b69-f0302cd84aef |
Exchange Správa istrator | Může spravovat všechny aspekty produktu Exchange. | 29232cdf-9323-42fd-ade2-1d097af3e4de |
Exchange Recipient Správa istrator | Může vytvářet nebo aktualizovat příjemce Exchange Online v organizaci Exchange Online. | 31392ffb-586c-42d1-9346-e59415a2cc4e |
Tok uživatele externího ID Správa istrator | Může vytvářet a spravovat všechny aspekty toků uživatelů. | 6e591065-9bad-43ed-90f3-e9424366d2f0 |
Atribut toku externího ID uživatele Správa istrator | Může vytvořit a spravovat schéma atributů dostupné pro všechny toky uživatelů. | 0f971eea-41eb-4569-a71e-57bb8a3eff1e |
Externí zprostředkovatel identity Správa istrator | Může nakonfigurovat zprostředkovatele identity pro použití v přímé federaci. |
be2f45a1-457d-42af-a067-6ec1fa63bc45 |
Správa istrator prostředků infrastruktury | Může spravovat všechny aspekty produktů Fabric a Power BI. | a9ea8996-122f-4c74-9520-8edcd192826c |
Globální správce | Může spravovat všechny aspekty ID Microsoft Entra a služby Microsoft, které používají identity Microsoft Entra. |
62e90394-69f5-4237-9190-012177145e10 |
Globální čtenář | Může číst vše, co globální Správa istrator může, ale nic neaktualizovat. |
f2ef992c-3afb-46b9-b7cf-a126ee74c451 |
Globální zabezpečený přístup Správa istrator | Vytvářejte a spravujte všechny aspekty Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup, včetně správy přístupu k veřejným a privátním koncovým bodům. | ac434307-12b9-4fa1-a708-88bf58caabc1 |
Skupiny Správa istrator | Členové této role můžou vytvářet nebo spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat skupiny aktivity a sestavy auditu. | fdd7a751-b60b-444a-984c-02652fe8fa1c |
Pozvaný host | Může zvát uživatele typu host bez ohledu na nastavení, jestli členové můžou zvát hosty. | 95e79109-95c0-4d8e-aee3-d01accf2d47b |
Helpdesk Správa istrator | Může resetovat hesla uživatelů, kteří nejsou správci, a správců technické podpory. |
729827e3-9c14-49f7-bb1b-9608f156bbb8 |
Hybridní identita Správa istrator | Může spravovat službu Active Directory pro zřizování cloudu Microsoft Entra, Microsoft Entra Připojení, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Připojení Health. |
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2 |
Zásady správného řízení identit Správa istrator | Správa přístupu pomocí Microsoft Entra ID pro scénáře zásad správného řízení identit | 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e |
Přehledy Správa istrator | Má přístup správce v aplikaci Microsoft 365 Přehledy. | eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c |
analytik Přehledy | Získejte přístup k analytickým možnostem v microsoft Viva Přehledy a spouštění vlastních dotazů. | 25df335f-86eb-4119-b717-0ff02de207e9 |
Přehledy business leader | Řídicí panely a přehledy můžete zobrazit a sdílet prostřednictvím aplikace Microsoft 365 Přehledy. | 31e939ad-9672-4796-9c2e-873181342d2d |
Intune Správa istrator | Může spravovat všechny aspekty produktu Intune. |
3a2c62db-5318-420d-8d74-23affee5d9d5 |
Kaizala Správa istrator | Může spravovat nastavení pro Microsfot Kaizala. | 74ef975b-6605-40af-a5d2-b9539d836353 |
Znalostní Správa istrator | Může konfigurovat znalosti, učení a další inteligentní funkce. | b5a8dcf3-09d5-43a9-a639-8e29ef291470 |
Knowledge Manager | Může organizovat, vytvářet, spravovat a propagovat témata a znalosti. | 744ec460-397e-42ad-a462-8b3f9747a02c |
Licenční Správa istrator | Může spravovat licence produktů pro uživatele a skupiny. | 4d6ac14f-3453-41d0-bef9-a3e0c569773a |
Pracovní postupy životního cyklu Správa istrator | Umožňuje vytvářet a spravovat všechny aspekty pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v MICROSOFT Entra ID. | 59d46f88-662b-457b-bceb-5c3809e5908f |
Čtečka ochrany osobních údajů v Centru zpráv | Může číst zprávy zabezpečení a aktualizace jenom v Centru zpráv Office 365. | ac16e43d-7b2d-40e0-ac05-243ff356ab5b |
Čtečka centra zpráv | Může číst zprávy a aktualizace pro svou organizaci jenom v Centru zpráv Office 365. | 790c1fb9-7f7d-4f88-86a1-ef1f95c05c05c1b |
Migrace Microsoftu 365 Správa istrator | Pomocí Migration Manageru proveďte všechny funkce migrace k migraci obsahu do Microsoftu 365. | 8c8b803f-96e1-4129-9349-20738d9f9652 |
Místní Správa istrator zařízení připojený k Microsoft Entra | Uživatelé přiřazení k této roli se přidají do místní skupiny administrators na zařízeních připojených k Microsoft Entra. | 9f06204d-73c1-4d4c-880a-6edb90606fd8 |
Microsoft Hardware Warranty Správa istrator | Vytvářejte a spravujte všechny aspekty nároků na záruky a nároky na hardware vyrobený microsoftem, jako je Surface a HoloLens. | 1501b917-7653-4ff9-a4b5-203eaf33784f |
Specialista microsoftu na záruku hardwaru | Vytvářejte a přečtěte si nároky na záruku pro hardware, který vyrábí Microsoft, jako je Surface a HoloLens. | 281fe777-fb20-4fbb-b7a3-ccebce5b0d96 |
Moderní obchod Správa istrator | Může spravovat komerční nákupy pro společnost, oddělení nebo tým. | d24aef57-1500-4070-84db-2666f29cf9666 |
Síťový Správa istrator | Může spravovat síťová umístění a kontrolovat přehledy návrhu podnikové sítě pro aplikace Microsoft 365 Software jako služba. | d37c8bed-0711-4417-ba38-b4abe66ce4c2 |
Office Apps Správa istrator | Může spravovat aplikace Office cloudové služby, včetně správy zásad a nastavení, a spravovat možnost výběru, zrušení výběru a publikování obsahu funkcí "co je nového" na zařízeních koncových uživatelů. | 2b745bdf-0803-4d80-aa65-822c4493daac |
Zapisovatel zpráv organizace | Pište, publikujte, spravujte a kontrolujte zprávy organizace pro koncové uživatele prostřednictvím produktů Microsoftu. | 507f53e4-4e52-4077-abd3-d2e1558b6ea2 |
Podpora partnerské vrstvy 1 | Nepoužívejte - není určeno pro obecné použití. |
4ba39ca4-527c-499a-b93d-d9b492c50246 |
Podpora partnerské vrstvy 2 | Nepoužívejte - není určeno pro obecné použití. |
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8 |
Heslo Správa istrator | Může resetovat hesla pro uživatele, kteří nejsou správci, a hesla Správa istrátory. |
966707d0-3269-4727-9be2-8c3a10f19b9d |
Správa oprávnění Správa istrator | Správa všech aspektů Správa oprávnění Microsoft Entra | af78dc32-cf4d-46f9-ba4e-4428526346b5 |
Power Platform Správa istrator | Může vytvářet a spravovat všechny aspekty Microsoft Dynamics 365, Power Apps a Power Automate. | 11648597-926c-4cf3-9c36-bcebb0ba8dcc |
Správa istrator tiskárny | Může spravovat všechny aspekty tiskáren a konektorů tiskárny. | 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f |
Technik tiskárny | Může zaregistrovat a zrušit registraci tiskáren a aktualizovat stav tiskárny. | e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477 |
Privileged Authentication Správa istrator | Může získat přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo jiného správce). |
7be44c8a-adaf-4e2a-84d6-ab2649e08a13 |
Správce privilegovaných rolí | Může spravovat přiřazení rolí v MICROSOFT Entra ID a všechny aspekty Privileged Identity Management. |
e8611ab8-c189-46e8-94e1-60213ab1f814 |
Čtenář sestav | Může číst sestavy přihlášení a auditu. | 4a5d8f65-41da-4de4-8968-e035b65339cf |
Hledat Správa istrator | Může vytvářet a spravovat všechny aspekty nastavení služby Microsoft Search. | 0964bb5e-9bdb-4d7b-ac29-58e794862a40 |
Editor vyhledávání | Může vytvářet a spravovat redakční obsah, jako jsou záložky, Q a As, umístění, plán prostorového uspořádání. | 8835291a-918c-4fd7-a9ce-faa49f0cf7d9 |
Správce zabezpečení | Může číst informace o zabezpečení a sestavy a spravovat konfiguraci v Microsoft Entra ID a Office 365. |
194ae4cb-b126-40b2-bd5b-6091b380977d |
Operátor zabezpečení | Vytváří a spravuje události zabezpečení. |
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f |
Čtenář zabezpečení | Může číst informace o zabezpečení a sestavy v Microsoft Entra ID a Office 365. |
5d6b6bb7-de71-4623-b4af-96380a352509 |
Podpora služeb Správa istrator | Může číst informace o stavu služeb a spravovat lístky podpory. | f023fd81-a637-4b56-95fd-791ac0226033 |
SharePoint Správa istrator | Může spravovat všechny aspekty služby SharePoint. | f28a1f50-f6e7-4571-818b-6a12f2af6b6c |
Skype pro firmy Správa istrator | Může spravovat všechny aspekty Skype pro firmy produktu. | 75941009-915a-4869-abe7-691bff18279e |
Teams Správa istrator | Může spravovat službu Microsoft Teams. | 69091246-20e8-4a56-aa4d-066075b2a7a8 |
Teams Communications Správa istrator | Může spravovat funkce volání a schůzek ve službě Microsoft Teams. | baf37b3a-610e-45da-9e62-d9d1e5e8914b |
Technik podpory komunikace v Teams | Může řešit problémy s komunikací v Teams pomocí pokročilých nástrojů. | f70938a0-fc10-4177-9e90-2178f8765737 |
Specialista na podporu komunikace v Teams | Může řešit problémy s komunikací v teams pomocí základních nástrojů. | fcf91098-03e3-41a9-b5ba-6f0ec8188a12 |
Zařízení Teams Správa istrator | Může provádět úlohy související se správou na certifikovaných zařízeních Teams. | 3d762c5a-1b6c-493f-843e-55a3b42923d4 |
Tvůrce tenanta | Vytvořte nové tenanty Microsoft Entra nebo Azure AD B2C. | 112ca1a2-15ad-4102-995e-45b0bc479a6a |
Čtenář souhrnných sestav využití | Přečtěte si sestavy využití a skóre přijetí, ale nemáte přístup k podrobnostem uživatele. | 75934031-6c7e-415a-99d7-48dbd49e875e |
Správce uživatelů | Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce. |
fe930be7-5e62-47db-91af-98c3a49a38b1 |
Virtuální návštěvy Správa istrator | Spravujte a sdílejte informace o virtuálních návštěvách a metriky z center pro správu nebo z aplikace Virtuální návštěvy. | e300d9e7-4a2b-4295-9eff-f1c78b36cc98 |
Viva Goals Správa istrator | Správa a konfigurace všech aspektů cílů Microsoft Viva | 92b086b3-e367-4ef2-b869-1de128fb986e |
Viva Pulse Správa istrator | Může spravovat všechna nastavení pro aplikaci Microsoft Viva Pulse. | 87761b17-1ed2-4af3-9acd-92a150038160 |
Windows 365 Správa istrator | Může zřizovat a spravovat všechny aspekty cloudových počítačů. | 11451d60-acb2-45eb-a7d6-43d0f0125c13 |
služba Windows Update nasazení Správa istrator | Může vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. | 32696413-001a-46ae-978c-ce0f6b3620d2 |
Yammer Správa istrator | Umožňuje spravovat všechny aspekty služby Yammer. | 810a2642-a034-447f-a5e8-41beaa378541 |
Správce aplikace
Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Všimněte si, že uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací nepřidávají jako vlastníci.
Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikace pro Microsoft Graph.
Důležité
Tato výjimka znamená, že stále můžete udělit souhlas s oprávněními aplikace pro jiné aplikace (například aplikace jiné společnosti než Microsoft nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, jako je globální Správa istrator.
Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správa istrator aplikace mu dává možnost zosobnit identitu aplikace.
Vývojář aplikace
Jedná se o privilegovanou roli. Uživatelé v této roli mohou vytvářet registrace aplikací, pokud je nastavení Uživatelé mohou registrovat aplikace nastaveno na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem uživatele, když nastavení Uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jejich jménem, je nastavené na Ne. Uživatelé přiřazení k této roli se při vytváření nových registrací aplikací přidají jako vlastníci.
Autor datové části útoku
Uživatelé v této roli mohou vytvářet datové části útoku, ale ve skutečnosti je nespustí ani neplánují. Datové části útoku jsou pak k dispozici všem správcům v tenantovi, kteří je můžou použít k vytvoření simulace.
Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.
Akce | Popis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Vytváření a správa datových částí útoku v simulátoru útoku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Čtení sestav simulace útoku, odpovědí a přidruženého trénování |
Simulace útoku Správa istrator
Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty vytváření simulace útoku, spouštění a plánování simulace a kontrolu výsledků simulace. Členové této role mají tento přístup pro všechny simulace v tenantovi.
Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.
Akce | Popis |
---|---|
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks | Vytváření a správa datových částí útoku v simulátoru útoku |
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read | Čtení sestav simulace útoku, odpovědí a přidruženého trénování |
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks | Vytváření a správa šablon simulace útoků v simulátoru útoku |
Přiřazení atributů Správa istrator
Uživatelé s touto rolí můžou přiřadit a odebrat vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra, jako jsou uživatelé, instanční objekty a zařízení.
Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro spravované identity Microsoft Entra |
microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností vlastních definic atributů zabezpečení |
microsoft.directory/devices/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro zařízení |
microsoft.directory/devices/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro zařízení |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro instanční objekty |
microsoft.directory/servicePrincipals/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro instanční objekty |
microsoft.directory/users/customSecurityAttributes/read | Čtení hodnot vlastních atributů zabezpečení pro uživatele |
microsoft.directory/users/customSecurityAttributes/update | Aktualizace hodnot vlastních atributů zabezpečení pro uživatele |
Čtenář přiřazení atributů
Uživatelé s touto rolí mohou číst klíče a hodnoty vlastních atributů zabezpečení pro podporované objekty Microsoft Entra.
Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností vlastních definic atributů zabezpečení |
microsoft.directory/devices/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro zařízení |
microsoft.directory/servicePrincipals/customSecurityAttributes/read | Čtení vlastních hodnot atributů zabezpečení pro instanční objekty |
microsoft.directory/users/customSecurityAttributes/read | Čtení hodnot vlastních atributů zabezpečení pro uživatele |
Definice atributu Správa istrator
Uživatelé s touto rolí mohou definovat platnou sadu vlastních atributů zabezpečení, které lze přiřadit k podporovaným objektům Microsoft Entra. Tato role může také aktivovat a deaktivovat vlastní atributy zabezpečení.
Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/attributeSets/allProperties/allTasks | Správa všech aspektů sad atributů |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks | Správa všech aspektů definic vlastních atributů zabezpečení |
Čtečka definic atributů
Uživatelé s touto rolí mohou číst definici vlastních atributů zabezpečení.
Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/attributeSets/allProperties/read | Čtení všech vlastností sad atributů |
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read | Čtení všech vlastností vlastních definic atributů zabezpečení |
Protokol atributů Správa istrator
Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:
- Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
- Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení
- Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení
Uživatelé s touto rolí nemohou číst protokoly auditu pro jiné události.
Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Pokud chcete číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli Čtenář protokolu atributů.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení |
microsoft.azure.customSecurityAttributeDiagnostic Nastavení/allEntities/allProperties/allTasks | Konfigurace všech aspektů nastavení diagnostiky vlastních atributů zabezpečení |
Čtenář protokolu atributů
Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:
- Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
- Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení
Uživatelé s touto rolí nemohou provádět následující úlohy:
- Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení
- Čtení protokolů auditu pro jiné události
Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Chcete-li číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli protokolu atributů Správa istrator.
Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read | Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení |
Správce ověřování
Jedná se o privilegovanou roli. Přiřaďte roli ověřování Správa istrator uživatelům, kteří potřebují:
- Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro jiné správce a některé role. Seznam rolí, které může ověřovací Správa istrator číst nebo aktualizovat metody ověřování, najdete v tématu Kdo může resetovat hesla.
- Vyžadovat, aby se uživatelé, kteří nejsou správci nebo přiřadili k některým rolím, znovu zaregistrovali stávající přihlašovací údaje bez hesla (například MFA nebo FIDO), a také můžou odvolat vícefaktorové ověřování na zařízení, které při příštím přihlášení vyzve vícefaktorové ověřování.
- U některých uživatelů proveďte citlivé akce. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
- Nastavení vícefaktorového ověřování nejde spravovat na starším portálu pro správu vícefaktorového ověřování nebo na hardwarových tokenech OATH.
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
---|---|---|---|---|---|---|---|
Ověřování Správa istrator | Ano pro některé uživatele | Ano pro některé uživatele | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Privileged Authentication Správa istrator | Ano pro všechny uživatele | Ano pro všechny uživatele | No | No | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
Zásady ověřování Správa istrator | No | No | Ano | Ano | Ano | No | No |
Správce uživatelů | No | No | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Důležité
Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a jinde nejsou udělena ověřovacím Správa istrátory. Prostřednictvím této cesty ověřovací Správa istrator může předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Rozšiřitelnost ověřování Správa istrator
Jedná se o privilegovanou roli. Přiřaďte roli rozšiřitelnosti ověřování Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření a správa všech aspektů vlastních rozšíření ověřování
Uživatelé s touto rolí nemohou provádět následující akce:
- Vlastní rozšíření ověřování nelze přiřadit aplikacím za účelem úprav prostředí ověřování a nelze udělit souhlas s oprávněními aplikace nebo vytvářet registrace aplikací přidružených k rozšíření vlastního ověřování. Místo toho musíte použít role aplikace Správa istrator, vývojář aplikací nebo cloudová aplikace Správa istrator.
Rozšíření vlastního ověřování je koncový bod rozhraní API vytvořený vývojářem pro události ověřování a je zaregistrovaný v Microsoft Entra ID. Správci aplikací a vlastníci aplikací můžou pomocí vlastních rozšíření ověřování přizpůsobit prostředí ověřování aplikace, jako je přihlášení a registrace nebo resetování hesla.
Akce | Popis |
---|---|
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks | Vytváření a správa vlastních rozšíření ověřování |
Správce zásad ověřování
Přiřaďte roli zásady ověřování Správa istrator uživatelům, kteří potřebují:
- Nakonfigurujte zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta a zásady ochrany hesel, které určují, které metody můžou jednotliví uživatelé zaregistrovat a používat.
- Spravovat nastavení ochrany heslem: konfigurace inteligentního uzamčení a aktualizace vlastního seznamu zakázaných hesel
- Vytvořte a spravujte ověřitelné přihlašovací údaje.
- Vytváření a správa lístků podpora Azure
Uživatelé s touto rolí nemohou provádět následující akce:
- Nelze aktualizovat citlivé vlastnosti. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Uživatele nelze odstranit ani obnovit. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Nastavení vícefaktorového ověřování nejde spravovat na starším portálu pro správu vícefaktorového ověřování nebo na hardwarových tokenech OATH.
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
---|---|---|---|---|---|---|---|
Ověřování Správa istrator | Ano pro některé uživatele | Ano pro některé uživatele | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Privileged Authentication Správa istrator | Ano pro všechny uživatele | Ano pro všechny uživatele | No | No | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
Zásady ověřování Správa istrator | No | No | Ano | Ano | Ano | No | No |
Správce uživatelů | No | No | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Akce | Popis |
---|---|
microsoft.directory/organization/strongAuthentication/allTasks | Správa všech aspektů silných vlastností ověřování organizace |
microsoft.directory/userCredentialPolicies/create | Vytvoření zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/delete | Odstranění zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/standard/read | Čtení standardních vlastností zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/owners/read | Čtení vlastníků zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/policyAppliedTo/read | Read policy.appliesTo navigation link |
microsoft.directory/userCredentialPolicies/basic/update | Aktualizace základních zásad pro uživatele |
microsoft.directory/userCredentialPolicies/owners/update | Aktualizace vlastníků zásad přihlašovacích údajů pro uživatele |
microsoft.directory/userCredentialPolicies/tenantDefault/update | Update policy.isOrganizationDefault – vlastnost |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read | Čtení ověřitelné karty přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke | Odvolání ověřitelné karty přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/create | Vytvoření ověřitelného kontraktu přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read | Čtení ověřitelného kontraktu přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update | Aktualizace ověřitelného kontraktu přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/create | Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/delete | Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech jeho ověřitelných přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/allProperties/read | Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů |
microsoft.directory/verifiableCredentials/configuration/allProperties/update | Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
Azure DevOps Správa istrator
Uživatelé s touto rolí můžou spravovat všechny podnikové zásady Azure DevOps, které platí pro všechny organizace Azure DevOps, které jsou podporovány ID Microsoft Entra. Uživatelé v této roli můžou tyto zásady spravovat tak, že přejdou do libovolné organizace Azure DevOps, která je podporována ID Microsoft Entra společnosti. Uživatelé v této roli navíc můžou nárokovat vlastnictví osamocených organizací Azure DevOps. Tato role neuděluje žádná další oprávnění specifická pro Azure DevOps (například kolekce projektů Správa istrátory) v žádné organizaci Azure DevOps, kterou podporuje organizace Microsoft Entra společnosti.
Akce | Popis |
---|---|
microsoft.azure.devOps/allEntities/allTasks | Čtení a konfigurace Azure DevOps |
Azure Information Protection Správa istrator
Uživatelé s touto rolí mají všechna oprávnění ve službě Azure Information Protection. Tato role umožňuje konfigurovat popisky zásad služby Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu. Tato role neuděluje žádná oprávnění ve službě Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, portálu Microsoft 365 Defender ani Portál dodržování předpisů Microsoft Purview.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.azure.informationProtection/allEntities/allTasks | Správa všech aspektů služby Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce sady klíčů IEF B2C
Jedná se o privilegovanou roli. Uživatel může vytvářet a spravovat klíče zásad a tajné kódy pro šifrování tokenů, podpisy tokenů a šifrování a dešifrování deklarací identity. Přidáním nových klíčů do existujících kontejnerů klíčů může tento omezený správce podle potřeby převést tajné kódy, aniž by to mělo vliv na existující aplikace. Tento uživatel může zobrazit úplný obsah těchto tajných kódů a data vypršení platnosti i po jeho vytvoření.
Důležité
Jedná se o citlivou roli. Role správce sady klíčů by se měla pečlivě auditovat a přiřazovat opatrně během předprodukčního a produkčního prostředí.
Akce | Popis |
---|---|
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks | Čtení a konfigurace sad klíčů v Azure Active Directory B2C |
Správce zásad IEF B2C
Uživatelé v této roli mají možnost vytvářet, číst, aktualizovat a odstraňovat všechny vlastní zásady v Azure AD B2C, a proto mají plnou kontrolu nad architekturou prostředí identit v příslušné organizaci Azure AD B2C. Úpravou zásad může tento uživatel navázat přímou federaci s externími zprostředkovateli identit, změnit schéma adresáře, změnit veškerý uživatelský obsah (HTML, CSS, JavaScript), změnit požadavky na dokončení ověřování, vytvořit nové uživatele, posílat data uživatelů do externích systémů, včetně úplné migrace, a upravovat všechny informace o uživatelích včetně citlivých polí, jako jsou hesla a telefonní čísla. Naopak tato role nemůže změnit šifrovací klíče ani upravit tajné kódy používané pro federaci v organizaci.
Důležité
Zásada B2 IEF Správa istrator je vysoce citlivá role, která by měla být přiřazena velmi omezeným způsobem pro organizace v produkčním prostředí. Aktivity těchto uživatelů by měly být pečlivě auditovány, zejména pro organizace v produkčním prostředí.
Akce | Popis |
---|---|
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks | Čtení a konfigurace vlastních zásad v Azure Active Directory B2C |
Správce fakturace
Provádí nákupy, spravuje předplatná, spravuje lístky podpory a monitoruje stav služby.
Akce | Popis |
---|---|
microsoft.directory/organization/basic/update | Aktualizace základních vlastností v organizaci |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.commerce.billing/allEntities/allProperties/allTasks | Správa všech aspektů fakturace Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Cloud App Security Správa istrator
Uživatelé s touto rolí mají úplná oprávnění v programu Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení Microsoft Defenderu for Cloud Apps, nahrávat protokoly a provádět akce zásad správného řízení.
Akce | Popis |
---|---|
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce cloudové aplikace
Jedná se o privilegovanou roli. Uživatelé v této roli mají stejná oprávnění jako role Správce aplikací, s výjimkou možnosti spravovat proxy aplikace. Tato role umožňuje vytvářet a spravovat všechny aspekty podnikových aplikací a registrací aplikací. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.
Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikace pro Microsoft Graph.
Důležité
Tato výjimka znamená, že stále můžete udělit souhlas s oprávněními aplikace pro jiné aplikace (například aplikace jiné společnosti než Microsoft nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, jako je globální Správa istrator.
Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správa istrator aplikace mu dává možnost zosobnit identitu aplikace.
Správa istrator cloudového zařízení
Jedná se o privilegovanou roli. Uživatelé v této roli můžou na webu Azure Portal povolit, zakázat a odstranit zařízení v Microsoft Entra ID a číst klíče BitLockeru s Windows 10 (pokud existují). Role neuděluje oprávnění ke správě dalších vlastností v zařízení.
Správa istrator dodržování předpisů
Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících s dodržováním předpisů na portálu Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365, Azure a Microsoft 365 Defender. Přiřazovaní můžou také spravovat všechny funkce v Centru pro správu Exchange a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál pro dodržování předpisů Microsoft Purview | Ochrana a správa dat vaší organizace napříč službami Microsoftu 365 Správa upozornění dodržování předpisů |
Microsoft Purview Compliance Manager | Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace |
Portál Microsoft 365 Defender | Správa zásad správného řízení dat Prošetření právních údajů a dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí dodržování předpisů Správa istrator v řízení přístupu na portálu Microsoft 365 Defender. |
Intune | Zobrazení všech dat auditu Intune |
Microsoft Defender for Cloud Apps | Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. Může zobrazit všechny předdefinované sestavy v části Správa dat |
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/entitlementManagement/allProperties/read | Čtení všech vlastností ve správě nároků Microsoft Entra |
microsoft.office365.complianceManager/allEntities/allTasks | Správa všech aspektů Správce dodržování předpisů Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Data dodržování předpisů Správa istrator
Uživatelé s touto rolí mají oprávnění ke sledování dat v Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365 a Azure. Uživatelé můžou také sledovat data dodržování předpisů v Centru pro správu Exchange, Správci dodržování předpisů a v Centru pro správu Teams a Skype pro firmy a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace o rozdílech mezi Správa istratorem dodržování předpisů a daty dodržování předpisů Správa istrator najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů v Microsoft Purview.
V | Může to udělat |
---|---|
Portál pro dodržování předpisů Microsoft Purview | Monitorování zásad souvisejících s dodržováním předpisů napříč službami Microsoftu 365 Správa upozornění dodržování předpisů |
Microsoft Purview Compliance Manager | Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace |
Portál Microsoft 365 Defender | Správa zásad správného řízení dat Prošetření právních údajů a dat Správa žádosti subjektu údajů Tato role má stejná oprávnění jako skupina rolí data dodržování předpisů Správa istrator v řízení přístupu na portálu Microsoft 365 Defender. |
Intune | Zobrazení všech dat auditu Intune |
Microsoft Defender for Cloud Apps | Má oprávnění jen pro čtení a může spravovat výstrahy. Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů. Může zobrazit všechny předdefinované sestavy v části Správa dat |
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.directory/cloudAppSecurity/allProperties/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps |
microsoft.azure.informationProtection/allEntities/allTasks | Správa všech aspektů služby Azure Information Protection |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.complianceManager/allEntities/allTasks | Správa všech aspektů Správce dodržování předpisů Office 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Podmíněný přístup Správa istrator
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají možnost spravovat nastavení podmíněného přístupu Microsoft Entra.
Schvalovatel přístupu Customer LockBoxu
Spravuje žádosti Microsoft Purview Customer Lockbox ve vaší organizaci. Dostanou e-mailová oznámení o žádostech Customer Lockboxu a můžou schválit a odepřít žádosti z Centrum pro správu Microsoftu 365. Můžou také zapnout nebo vypnout funkci Customer Lockbox. Hesla uživatelů přiřazených k této roli můžou resetovat jenom globální Správa istrátory.
Akce | Popis |
---|---|
microsoft.office365.lockbox/allEntities/allTasks | Správa všech aspektů Customer Lockboxu |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Desktop Analytics Správa istrator
Uživatelé v této roli mohou spravovat službu Desktop Analytics. To zahrnuje možnost zobrazení inventáře prostředků, vytvoření plánů nasazení a zobrazení stavu nasazení a stavu.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.desktopAnalytics/allEntities/allTasks | Správa všech aspektů Desktop Analytics |
Čtenáři adresářů
Uživatelé v této roli mohou číst základní informace o adresáři. Tuto roli byste měli použít pro:
- Udělení konkrétní sady přístupů pro čtení uživatelů typu host místo udělení všem uživatelům typu host.
- Udělení konkrétní sady uživatelů, kteří nejsou správci, přístup k webu Azure Portal, když je možnost Omezit přístup k webu Azure Portal jenom pro správce nastavená na Ano.
- Udělení přístupu instančním objektům k adresáři, kde Directory.Read.All není možnost.
Akce | Popis |
---|---|
microsoft.directory/administrativeUnits/standard/read | Čtení základních vlastností jednotek pro správu |
microsoft.directory/administrativeUnits/members/read | Čtení členů jednotek pro správu |
microsoft.directory/applications/standard/read | Čtení standardních vlastností aplikací |
microsoft.directory/applications/owners/read | Čtení vlastníků aplikací |
microsoft.directory/applications/policies/read | Čtení zásad aplikací |
microsoft.directory/contacts/standard/read | Čtení základních vlastností kontaktů v MICROSOFT Entra ID |
microsoft.directory/contacts/memberOf/read | Čtení členství ve skupině pro všechny kontakty v Microsoft Entra ID |
microsoft.directory/contracts/standard/read | Čtení základních vlastností u kontraktů partnerů |
microsoft.directory/devices/standard/read | Čtení základních vlastností na zařízeních |
microsoft.directory/devices/memberOf/read | Čtení členství zařízení |
microsoft.directory/devices/registeredOwners/read | Čtení registrovaných vlastníků zařízení |
microsoft.directory/devices/registeredUsers/read | Čtení registrovaných uživatelů zařízení |
microsoft.directory/directoryRoles/standard/read | Čtení základních vlastností rolí Microsoft Entra |
microsoft.directory/directoryRoles/eligibleMembers/read | Přečtěte si oprávněné členy rolí Microsoft Entra. |
microsoft.directory/directoryRoles/members/read | Čtení všech členů rolí Microsoft Entra |
microsoft.directory/domains/standard/read | Čtení základních vlastností v doménách |
microsoft.directory/groups/standard/read | Čtení standardních vlastností skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups/appRoleAssignments/read | Čtení přiřazení rolí aplikace skupin |
microsoft.directory/groups/memberOf/read | Přečtěte si vlastnost memberOf ve skupinách zabezpečení a skupinách Microsoftu 365, včetně skupin s možností přiřazení rolí. |
microsoft.directory/groups/members/read | Čtení členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups/owners/read | Čtení vlastníků skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups/settings/read | Čtení nastavení skupin |
microsoft.directory/group Nastavení/standard/read | Čtení základních vlastností v nastavení skupiny |
microsoft.directory/groupSettingTemplates/standard/read | Čtení základních vlastností v šablonách nastavení skupin |
microsoft.directory/oAuth2PermissionGrants/standard/read | Čtení základních vlastností u udělení oprávnění OAuth 2.0 |
microsoft.directory/organization/standard/read | Čtení základních vlastností v organizaci |
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read | Čtení důvěryhodných certifikačních autorit pro ověřování bez hesla |
microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikace |
microsoft.directory/roleAssignments/standard/read | Čtení základních vlastností přiřazení rolí |
microsoft.directory/roleDefinitions/standard/read | Čtení základních vlastností definic rolí |
microsoft.directory/servicePrincipals/appRoleAssignedTo/read | Čtení přiřazení rolí instančního objektu |
microsoft.directory/servicePrincipals/appRoleAssignments/read | Čtení přiřazení rolí přiřazených instančním objektům |
microsoft.directory/servicePrincipals/standard/read | Čtení základních vlastností instančních objektů |
microsoft.directory/servicePrincipals/memberOf/read | Čtení členství ve skupinách v instančních objektech |
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u instančních objektů |
microsoft.directory/servicePrincipals/owners/read | Čtení vlastníků instančních objektů |
microsoft.directory/servicePrincipals/ownedObjects/read | Čtení vlastněných objektů instančních objektů |
microsoft.directory/servicePrincipals/policies/read | Čtení zásad instančních objektů |
microsoft.directory/subscribedSkus/standard/read | Čtení základních vlastností předplatných |
microsoft.directory/users/standard/read | Čtení základníchvlastnostíchch |
microsoft.directory/users/appRoleAssignments/read | Čtení přiřazení rolí aplikace pro uživatele |
microsoft.directory/users/deviceForResourceAccount/read | Čtení zařízeníForResourceAccount uživatelů |
microsoft.directory/users/directReports/read | Čtení přímých sestav pro uživatele |
microsoft.directory/users/licenseDetails/read | Čtení podrobností o licencích uživatelů |
microsoft.directory/users/manager/read | Číst nadřízený uživatelů |
microsoft.directory/users/memberOf/read | Čtení členství ve skupinách uživatelů |
microsoft.directory/users/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u uživatelů |
microsoft.directory/users/ownedDevices/read | Čtení vlastněných zařízení uživatelů |
microsoft.directory/users/ownedObjects/read | Čtení vlastněných objektů uživatelů |
microsoft.directory/users/photo/read | Přečíst fotku uživatelů |
microsoft.directory/users/registeredDevices/read | Čtení registrovaných zařízení uživatelů |
microsoft.directory/users/scopedRoleMemberOf/read | Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu |
microsoft.directory/users/sponzors/read | Přečíst sponzory uživatelů |
Účty synchronizace adresářů
Jedná se o privilegovanou roli. Nepoužívat. Tato role se automaticky přiřadí službě Microsoft Entra Připojení a není určena ani podporována pro jakékoli jiné použití.
Zapisovače adresářů
Jedná se o privilegovanou roli. Uživatelé v této roli mohou číst a aktualizovat základní informace o uživatelích, skupinách a instančních objektech.
Název domény Správa istrator
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat (číst, přidávat, ověřovat, aktualizovat a odstraňovat) názvy domén. Mohou také číst informace o adresáři o uživatelích, skupinách a aplikacích, protože tyto objekty mají závislosti domény. V případě místních prostředí můžou uživatelé s touto rolí nakonfigurovat názvy domén pro federaci tak, aby přidružené uživatele byly vždy ověřeny místně. Tito uživatelé se pak můžou přihlásit ke službám založeným na Microsoft Entra pomocí místních hesel prostřednictvím jednotného přihlašování. Nastavení federace je potřeba synchronizovat prostřednictvím Připojení Microsoft Entra, takže uživatelé mají také oprávnění ke správě Připojení Microsoft Entra.
Správce Dynamics 365
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Dynamics 365 Online, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Použití rolí správce služby ke správě vašeho tenanta.
Poznámka:
V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Dynamics 365 Service Správa istrator. Na webu Azure Portal se jmenuje Dynamics 365 Správa istrator.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.dynamics365/allEntities/allTasks | Správa všech aspektů Dynamics 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Dynamics 365 Business Central Správa istrator
Přiřaďte roli Dynamics 365 Business Central Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Přístup k prostředí Dynamics 365 Business Central
- Provádění všech úloh správy v prostředích
- Správa životního cyklu prostředí zákazníka
- Dohled nad rozšířeními nainstalovanými v prostředích
- Řízení upgradů prostředí
- Export dat prostředí
- Čtení a konfigurace řídicích panelů stavu služeb Azure a Microsoft 365
Tato role neposkytuje žádná oprávnění pro ostatní produkty Dynamics 365.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.directory/subscribedSkus/allProperties/read | Čtení všech vlastností předplatných produktů |
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks | Správa všech aspektů Dynamics 365 Business Central |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Edge Správa istrator
Uživatelé v této roli můžou vytvářet a spravovat seznam podnikových webů vyžadovaný pro režim Internet Exploreru v Microsoft Edgi. Tato role uděluje oprávnění k vytváření, úpravám a publikování seznamu webů a navíc umožňuje přístup ke správě lístků podpory. Další informace
Akce | Popis |
---|---|
microsoft.edge/allEntities/allProperties/allTasks | Správa všech aspektů Microsoft Edge |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce Exchange
Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Exchange Online, když je služba přítomna. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.
Poznámka:
V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Exchange Service Správa istrator. Na webu Azure Portal se jmenuje Exchange Správa istrator. V Centru pro správu Exchange se jmenuje správce Exchange Online.
Akce | Popis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.exchange/allEntities/basic/allTasks | Správa všech aspektů Exchange Online |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Exchange Recipient Správa istrator
Uživatelé s touto rolí mají přístup ke čtení příjemcům a oprávnění k zápisu k atributům těchto příjemců v Exchangi Online. Další informace naleznete v tématu Příjemci na serveru Exchange Server.
Akce | Popis |
---|---|
microsoft.office365.exchange/recipients/allProperties/allTasks | Vytvoření a odstranění všech příjemců a čtení a aktualizace všech vlastností příjemců v Exchangi Online |
microsoft.office365.exchange/migration/allProperties/allTasks | Správa všech úkolů souvisejících s migrací příjemců v Exchangi Online |
Tok uživatele externího ID Správa istrator
Uživatelé s touto rolí můžou vytvářet a spravovat toky uživatelů (označované také jako předdefinované zásady) na webu Azure Portal. Tito uživatelé můžou přizpůsobit obsah HTML/CSS/JavaScript, změnit požadavky na vícefaktorové ověřování, vybrat deklarace identity v tokenu, spravovat konektory rozhraní API a jejich přihlašovací údaje a konfigurovat nastavení relace pro všechny toky uživatelů v organizaci Microsoft Entra. Na druhou stranu tato role nezahrnuje možnost kontrolovat uživatelská data ani provádět změny atributů, které jsou součástí schématu organizace. Změny zásad architektury Identity Experience Framework (označované také jako vlastní zásady) jsou také mimo rozsah této role.
Akce | Popis |
---|---|
microsoft.directory/b2cUserFlow/allProperties/allTasks | Čtení a konfigurace toku uživatele v Azure Active Directory B2C |
Atribut toku externího ID uživatele Správa istrator
Uživatelé s touto rolí přidávají nebo odstraňují vlastní atributy dostupné všem tokům uživatelů v organizaci Microsoft Entra. Uživatelé s touto rolí mohou změnit nebo přidat nové prvky do schématu koncového uživatele a ovlivnit chování všech toků uživatelů a nepřímo vést ke změnám toho, jaká data mohou být požádáni o koncové uživatele a nakonec je odesílat jako deklarace identity aplikacím. Tato role nemůže upravovat toky uživatelů.
Akce | Popis |
---|---|
microsoft.directory/b2cUserAttribute/allProperties/allTasks | Čtení a konfigurace atributu uživatele v Azure Active Directory B2C |
Externí zprostředkovatel identity Správa istrator
Jedná se o privilegovanou roli. Tento správce spravuje federaci mezi organizacemi Microsoft Entra a externími zprostředkovateli identit. V této roli můžou uživatelé přidávat nové zprostředkovatele identity a konfigurovat všechna dostupná nastavení (např. cesta ověřování, ID služby, přiřazené kontejnery klíčů). Tento uživatel může organizaci Microsoft Entra povolit, aby důvěřovala ověřování od externích zprostředkovatelů identity. Výsledný dopad na prostředí koncových uživatelů závisí na typu organizace:
- Organizace Microsoft Entra pro zaměstnance a partnery: Přidání federace (např. s Gmailem) okamžitě ovlivní všechny pozvánky hostů, které ještě nebyly uplatněny. Viz Přidání Googlu jako zprostředkovatele identity pro uživatele typu host B2B.
- Organizace Azure Active Directory B2C: Přidání federace (například s Facebookem nebo s jinou organizací Microsoft Entra) nemá okamžitě vliv na toky koncových uživatelů, dokud se zprostředkovatel identity nepřidá jako možnost v toku uživatele (označuje se také jako předdefinovaná zásada). Příklad najdete v tématu Konfigurace účtu Microsoft jako zprostředkovatele identity. Pokud chcete změnit toky uživatelů, vyžaduje se omezená role toku uživatele B2C Správa istrator.
Správa istrator prostředků infrastruktury
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Fabric a Power BI, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Principy rolí správců prostředků infrastruktury.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.powerApps.powerBI/allEntities/allTasks | Správa všech aspektů prostředků infrastruktury a Power BI |
Globální správce
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají přístup ke všem funkcím správy v Microsoft Entra ID a službám, které používají identity Microsoft Entra, jako je portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, Exchange Online, SharePoint Online a Skype pro firmy Online. Globální Správa istrátory můžou zobrazit protokoly aktivit adresáře. Globální Správa istrátory navíc můžou zvýšit přístup ke správě všech předplatných a skupin pro správu Azure. To umožňuje globálním Správa istrátorům získat úplný přístup ke všem prostředkům Azure pomocí příslušného tenanta Microsoft Entra. Osoba, která se zaregistruje do organizace Microsoft Entra, se stane globálním Správa istratorem. Ve vaší společnosti může být více než jeden globální Správa istrator. Globální Správa istrátory můžou resetovat heslo pro libovolného uživatele a všechny ostatní správce. Globální Správa istrator nemůže odebrat vlastní přiřazení globálního Správa istratoru. To je zabránit situaci, kdy má organizace nula globálních Správa istrátorů.
Poznámka:
Osvědčeným postupem je, že Microsoft doporučuje přiřadit roli globálního Správa istratoru méně než pěti lidem ve vaší organizaci. Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.
Globální čtenář
Jedná se o privilegovanou roli. Uživatelé v této roli můžou číst nastavení a informace o správě služeb Microsoftu 365, ale nemůžou provádět akce správy. Globální čtenář je protějšek jen pro čtení globálního Správa istratoru. Přiřaďte globální čtenáře místo globálního Správa istratoru pro plánování, audity nebo šetření. V kombinaci s jinými omezenými rolemi správců, jako je Exchange Správa istrator, můžete usnadnit práci bez přiřazení role Globální Správa istrator. Globální čtenář spolupracuje s Centrum pro správu Microsoftu 365, Centrem pro správu Exchange, Centrem pro správu SharePointu, Centrem pro správu Teams, portálem Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, webem Azure Portal a centrem pro správu Správa zařízení.
Uživatelé s touto rolí nemohou provádět následující akce:
- V Centrum pro správu Microsoftu 365 nelze získat přístup k oblasti Koupit služby.
Poznámka:
Role globální čtenáře má následující omezení:
- Centrum pro správu OneDrivu – Centrum pro správu OneDrivu nepodporuje roli Globální čtenář
- Centrum pro správu Microsoftu 365 – Globální čtenář nemůže číst integrované aplikace. V levém podokně Centrum pro správu Microsoftu 365 nenajdete kartu Integrované aplikace v části Nastavení.
- Portál Microsoft 365 Defender – Globální čtenář nemůže číst protokoly auditu SCC, prohledávat obsah nebo zobrazit bezpečnostní skóre.
- Centrum pro správu Teams – Globální čtenář nemůže číst životní cyklus Teams, analýzy a sestavy, správu ip telefonních zařízení a katalog aplikací. Další informace najdete v tématu Použití rolí správce Microsoft Teams ke správě Teams.
- Privileged Access Management nepodporuje roli Globální čtenář.
- Azure Information Protection – Globální čtenář se podporuje jenom pro centrální vytváření sestav a pokud vaše organizace Microsoft Entra není na platformě sjednoceného popisování.
- SharePoint – Globální čtenář momentálně nemá přístup k SharePointu pomocí PowerShellu.
- Centrum pro správu Power Platform – Globální čtenář se zatím v Centru pro správu Power Platform nepodporuje.
- Microsoft Purview nepodporuje roli Globální čtenář.
Globální zabezpečený přístup Správa istrator
Přiřaďte roli globálního zabezpečeného přístupu Správa istrator uživatelům, kteří potřebují:
- Vytváření a správa všech aspektů Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup
- Správa přístupu k veřejným a privátním koncovým bodům
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde spravovat podnikové aplikace, registrace aplikací, podmíněný přístup nebo nastavení proxy aplikací
Akce | Popis |
---|---|
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.directory/applicationPolicies/standard/read | Čtení standardních vlastností zásad aplikace |
microsoft.directory/applications/applicationProxy/read | Čtení všech vlastností proxy aplikací |
microsoft.directory/applications/owners/read | Čtení vlastníků aplikací |
microsoft.directory/applications/policies/read | Čtení zásad aplikací |
microsoft.directory/applications/standard/read | Čtení standardních vlastností aplikací |
microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení |
microsoft.directory/conditionalAccessPolicies/standard/read | Čtení podmíněného přístupu pro zásady |
microsoft.directory/connectorGroups/allProperties/read | Čtení všech vlastností skupin konektorů proxy aplikací |
microsoft.directory/connectors/allProperties/read | Čtení všech vlastností konektorů proxy aplikací |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
microsoft.directory/namedLocations/standard/read | Čtení základních vlastností vlastních pravidel, která definují síťová umístění |
microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
microsoft.networkAccess/allEntities/allProperties/allTasks | Správa všech aspektů přístupu k síti Microsoft Entra |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Skupiny Správa istrator
Uživatelé v této roli můžou vytvářet nebo spravovat skupiny a jejich nastavení, jako je pojmenování a zásady vypršení platnosti. Je důležité vědět, že přiřazování uživatele k této roli mu kromě Outlooku umožňuje spravovat všechny skupiny v organizaci napříč různými úlohami, jako jsou Teams, SharePoint nebo Yammer. Uživatel bude také moct spravovat různá nastavení skupin na různých portálech pro správu, jako je Centrum pro správu Microsoftu, Azure Portal, a také konkrétní úlohy, jako jsou Centra pro správu Teams a SharePointu.
Akce | Popis |
---|---|
microsoft.directory/deletedItems.groups/delete | Trvalé odstranění skupin, které se už nedají obnovit |
microsoft.directory/deletedItems.groups/restore | Obnovení obnovitelně odstraněných skupin do původního stavu |
microsoft.directory/groups/assignLicense | Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin |
microsoft.directory/groups/create | Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/delete | Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
microsoft.directory/groups/restore | Obnovení skupin z obnovitelného odstraněného kontejneru |
microsoft.directory/groups/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/classification/update | Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role |
microsoft.directory/groups/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/groupType/update | Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/onPremWriteBack/update | Aktualizujte skupiny Microsoft Entra tak, aby se zapsaly zpět do místního prostředí pomocí microsoft Entra Připojení |
microsoft.directory/groups/owners/update | Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups/settings/update | Aktualizace nastavení skupin |
microsoft.directory/groups/visibility/update | Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Pozvaný host
Uživatelé v této roli mohou spravovat pozvánky uživatelů typu host microsoft Entra B2B, když členové mohou pozvat nastavení uživatele nastavena na Ne. Další informace o spolupráci B2B na webu About Microsoft Entra B2B collaboration. Nezahrnuje žádná další oprávnění.
Akce | Popis |
---|---|
microsoft.directory/users/inviteGuest | Pozvání uživatelů typu host |
microsoft.directory/users/standard/read | Čtení základníchvlastnostíchch |
microsoft.directory/users/appRoleAssignments/read | Čtení přiřazení rolí aplikace pro uživatele |
microsoft.directory/users/deviceForResourceAccount/read | Čtení zařízeníForResourceAccount uživatelů |
microsoft.directory/users/directReports/read | Čtení přímých sestav pro uživatele |
microsoft.directory/users/licenseDetails/read | Čtení podrobností o licencích uživatelů |
microsoft.directory/users/manager/read | Číst nadřízený uživatelů |
microsoft.directory/users/memberOf/read | Čtení členství ve skupinách uživatelů |
microsoft.directory/users/oAuth2PermissionGrants/read | Čtení delegovaných oprávnění u uživatelů |
microsoft.directory/users/ownedDevices/read | Čtení vlastněných zařízení uživatelů |
microsoft.directory/users/ownedObjects/read | Čtení vlastněných objektů uživatelů |
microsoft.directory/users/photo/read | Přečíst fotku uživatelů |
microsoft.directory/users/registeredDevices/read | Čtení registrovaných zařízení uživatelů |
microsoft.directory/users/scopedRoleMemberOf/read | Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu |
microsoft.directory/users/sponzors/read | Přečíst sponzory uživatelů |
Helpdesk Správa istrator
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou měnit hesla, zneplatnit obnovovací tokeny, vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a monitorovat stav služby. Zrušení platnosti obnovovacího tokenu vynutí, aby se uživatel znovu přihlásil. Určuje, jestli může helpdesk Správa istrator resetovat heslo uživatele a zneplatnit obnovovací tokeny, závisí na roli, která je uživateli přiřazena. Seznam rolí, které může helpdesk Správa istrator resetovat hesla a zneplatnit obnovovací tokeny, najdete v tématu Kdo může resetovat hesla.
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
Důležité
Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena helpdesku Správa istrátory. Prostřednictvím této cesty může helpdesk Správa istrator předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Delegování oprávnění správce nad podmnožinami uživatelů a použití zásad na podmnožinu uživatelů je možné pomocí Správa istrativních jednotek.
Tato role se dříve jmenovala Password Správa istrator na webu Azure Portal. Přejmenovala se na helpdesk Správa istrator, aby odpovídala existujícímu názvu v rozhraní Microsoft Graph API a Azure AD PowerShellu.
Hybridní identita Správa istrator
Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet, spravovat a nasazovat nastavení konfigurace zřizování z Active Directory do Microsoft Entra ID pomocí zřizování cloudu a spravovat microsoft Entra Připojení, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Připojení Health. Uživatelé můžou pomocí této role také řešit potíže a monitorovat protokoly.
Zásady správného řízení identit Správa istrator
Uživatelé s touto rolí můžou spravovat konfiguraci zásad správného řízení ID Microsoft Entra, včetně přístupových balíčků, kontrol přístupu, katalogů a zásad, zajištění schválení a kontroly přístupu a odebrání uživatelů typu host, kteří už nepotřebují přístup.
Akce | Popis |
---|---|
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks | Správa kontrol přístupu přiřazení rolí aplikací v Microsoft Entra ID |
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks | Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků |
microsoft.directory/accessReviews/definitions.groups/allProperties/read | Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí. |
microsoft.directory/accessReviews/definitions.groups/allProperties/update | Aktualizujte všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365 s výjimkou skupin s možností přiřazení rolí. |
microsoft.directory/accessReviews/definitions.groups/create | Umožňuje vytvářet kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
microsoft.directory/accessReviews/definitions.groups/delete | Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365. |
microsoft.directory/accessReviews/allProperties/allTasks | (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Microsoft Entra ID |
microsoft.directory/entitlementManagement/allProperties/allTasks | Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra |
microsoft.directory/groups/members/update | Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Aktualizace přiřazení rolí instančního objektu |
Přehledy Správa istrator
Uživatelé v této roli mají přístup k celé sadě možností správy v aplikaci Microsoft Viva Přehledy. Tato role má možnost číst informace o adresáři, monitorovat stav služby, lístky podpory souborů a přistupovat k aspektům nastavení Přehledy Správa istratoru.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.insights/allEntities/allProperties/allTasks | Správa všech aspektů aplikace Přehledy |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
analytik Přehledy
Přiřaďte roli analytika Přehledy uživatelům, kteří potřebují:
- Analýza dat v aplikaci Microsoft Viva Přehledy, ale nemůže spravovat žádná nastavení konfigurace
- Vytváření, správa a spouštění dotazů
- Zobrazení základních nastavení a sestav v Centrum pro správu Microsoftu 365
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
Akce | Popis |
---|---|
microsoft.insights/queries/allProperties/allTasks | Spouštění a správa dotazů v Přehledy Viva |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Přehledy business leader
Uživatelé v této roli mají přístup k sadě řídicích panelů a přehledů prostřednictvím aplikace Microsoft Viva Přehledy. To zahrnuje úplný přístup ke všem řídicím panelům a prezentované přehledy a funkce zkoumání dat. Uživatelé v této roli nemají přístup k nastavení konfigurace produktu, což je odpovědnost za roli Přehledy Správa istrator.
Akce | Popis |
---|---|
microsoft.insights/reports/allProperties/read | Zobrazení sestav a řídicího panelu v aplikaci Přehledy |
microsoft.insights/programs/allProperties/update | Nasazení a správa programů v aplikaci Přehledy |
Správce Intune
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají v Microsoft Intune Online globální oprávnění, když je služba k dispozici. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny. Další informace najdete v tématu Řízení správy na základě role (RBAC) v Microsoft Intune.
Tato role může vytvářet a spravovat všechny skupiny zabezpečení. Intune Správa istrator ale nemá oprávnění správce ke skupinám Office. To znamená, že správce nemůže aktualizovat vlastníky ani členství ve všech skupinách Office v organizaci. Může ale spravovat skupinu Office, kterou vytvoří, která je součástí svých oprávnění koncových uživatelů. Každá skupina Office (ne skupina zabezpečení), kterou vytvoří, by se tedy měla spočítat do kvóty 250.
Poznámka:
V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Intune Service Správa istrator. Na webu Azure Portal se jmenuje Intune Správa istrator.
Kaizala Správa istrator
Uživatelé s touto rolí mají globální oprávnění ke správě nastavení v rámci Microsfot Kaizala, když je služba přítomná, a také možnost spravovat lístky podpory a monitorovat stav služby. Kromě toho má uživatel přístup k sestavám souvisejícím s přijetím a používáním Kaizaly členy organizace a obchodními sestavy vygenerovanými pomocí akcí Kaizala.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Znalostní Správa istrator
Uživatelé v této roli mají úplný přístup ke všem znalostem, znalostem a inteligentním funkcím nastavení v Centrum pro správu Microsoftu 365. Mají obecný přehled o sadě produktů, podrobností o licencování a mají odpovědnost za řízení přístupu. Znalostní Správa istrator může vytvářet a spravovat obsah, jako jsou témata, zkratky a výukové materiály. Kromě toho můžou tito uživatelé vytvářet centra obsahu, monitorovat stav služby a vytvářet žádosti o služby.
Akce | Popis |
---|---|
microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/createAsOwner | Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník. |
microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks | Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365 |
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks | Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.knowledge/learningSources/allProperties/allTasks | Správa výukových zdrojů a všech jejich vlastností v aplikaci Učení |
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read | Čtení všech vlastností popisků citlivosti v centrech zabezpečení a dodržování předpisů |
microsoft.office365.sharePoint/allEntities/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce znalostní báze
Uživatelé v této roli můžou vytvářet a spravovat obsah, jako jsou témata, zkratky a výukový obsah. Tito uživatelé jsou primárně zodpovědní za kvalitu a strukturu znalostí. Tento uživatel má úplná práva k akcím správy témat k potvrzení tématu, schválení úprav nebo odstranění tématu. Tato role může také spravovat taxonomie jako součást nástroje pro správu úložiště termínů a vytvářet centra obsahu.
Akce | Popis |
---|---|
microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/createAsOwner | Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník. |
microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read | Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365 |
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks | Správa viditelnosti znalostní sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Licenční Správa istrator
Uživatelé v této roli můžou číst, přidávat, odebírat a aktualizovat přiřazení licencí pro uživatele, skupiny (pomocí licencování na základě skupin) a spravovat umístění využití u uživatelů. Role neuděluje možnost nakupovat nebo spravovat předplatná, vytvářet nebo spravovat skupiny nebo vytvářet nebo spravovat uživatele nad rámec umístění využití. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.directory/groups/assignLicense | Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin |
microsoft.directory/groups/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro licencování na základě skupin |
microsoft.directory/users/assignLicense | Správa uživatelských licencí |
microsoft.directory/users/reprocessLicenseAssignment | Opětovné zpracování přiřazení licencí pro uživatele |
microsoft.directory/users/usageLocation/update | Aktualizace umístění využití uživatelů |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Pracovní postupy životního cyklu Správa istrator
Přiřaďte pracovním postupům životního cyklu roli Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření a správa všech aspektů pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v Microsoft Entra ID
- Kontrola provádění plánovaných pracovních postupů
- Spuštění pracovního postupu na vyžádání
- Kontrola protokolů spouštění pracovních postupů
Akce | Popis |
---|---|
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks | Správa všech aspektů pracovních postupů životního cyklu a úloh v ID Microsoft Entra |
microsoft.directory/organization/strongAuthentication/read | Čtení silných vlastností ověřování organizace |
Čtečka ochrany osobních údajů v Centru zpráv
Uživatelé v této roli můžou monitorovat všechna oznámení v Centru zpráv, včetně zpráv o ochraně osobních údajů dat. Čtečky ochrany osobních údajů v Centru zpráv získají e-mailová oznámení, včetně těch, které se týkají ochrany osobních údajů v datech, a můžou odběr odběru odběru odběru pomocí předvoleb Centra zpráv. Zprávy o ochraně osobních údajů můžou číst pouze globální Správa istrator a čtečka ochrany osobních údajů centra zpráv. Tato role navíc obsahuje možnost zobrazovat skupiny, domény a předplatná. Tato role nemá oprávnění k zobrazení, vytváření nebo správě žádostí o služby.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.messageCenter/securityMessages/read | Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Čtečka centra zpráv
Uživatelé v této roli můžou monitorovat oznámení a rady aktualizací stavu v Centru zpráv pro svou organizaci na nakonfigurovaných službách, jako jsou Exchange, Intune a Microsoft Teams. Čtenáři Centra zpráv dostanou týdenní přehledy e-mailů o příspěvcích, aktualizacích a můžou sdílet příspěvky centra zpráv v Microsoftu 365. V Microsoft Entra ID budou mít uživatelé přiřazené k této roli přístup jen pro čtení ke službám Microsoft Entra, jako jsou uživatelé a skupiny. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Migrace Microsoftu 365 Správa istrator
Přiřaďte roli Migrace Microsoftu 365 Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Použití Migration Manageru v Centrum pro správu Microsoftu 365 ke správě migrace obsahu do Microsoftu 365, včetně Teams, OneDrive pro firmy a sharepointových webů, z Disku Google, Dropboxu, Boxu a Egnyte
- Vyberte zdroje migrace, vytvořte inventáře migrace (například seznamy uživatelů disku Google), naplánujte a spusťte migrace a stáhněte si sestavy.
- Vytvořte nové sharepointové weby, pokud cílové weby ještě neexistují, vytvořte sharepointové seznamy pod weby pro správu SharePointu a vytvořte a aktualizujte položky v sharepointových seznamech.
- Správa nastavení projektu migrace a životního cyklu migrace pro úkoly
- Správa mapování oprávnění ze zdroje do cíle
Poznámka:
Tato role neumožňuje migrovat ze zdrojů sdílených složek pomocí Centra pro správu SharePointu. Roli sharepointového Správa istratoru můžete použít k migraci ze zdrojů sdílených složek.
Akce | Popis |
---|---|
microsoft.office365.migrations/allEntities/allProperties/allTasks | Správa všech aspektů migrací Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
Místní Správa istrator zařízení připojený k Microsoft Entra
Tato role je k dispozici pro přiřazení pouze jako další místní správce v nastavení zařízení. Uživatelé s touto rolí se stanou správci místních počítačů na všech zařízeních s Windows 10 připojených k Microsoft Entra ID. Nemají možnost spravovat objekty zařízení v Microsoft Entra ID.
Akce | Popis |
---|---|
microsoft.directory/group Nastavení/standard/read | Čtení základních vlastností v nastavení skupiny |
microsoft.directory/groupSettingTemplates/standard/read | Čtení základních vlastností v šablonách nastavení skupin |
Microsoft Hardware Warranty Správa istrator
Přiřaďte roli Microsoft Hardware Warranty Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
- Hledání a čtení otevřených nebo uzavřených nároků na záruku
- Hledat a číst záruční nároky podle sériového čísla
- Vytvoření, čtení, aktualizace a odstranění dodacích adres
- Přečtěte si stav expedice pro otevřené záruky
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
- Přečtěte si oznámení centra zpráv v Centrum pro správu Microsoftu 365
Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.
Akce | Popis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/allTasks | Vytváření, čtení, aktualizace a odstraňování dodacích adres pro deklarace záruky hardwaru Microsoftu, včetně dodacích adres vytvořených jinými uživateli |
microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu. |
microsoft.hardware.support/warrantyClaims/allProperties/allTasks | Vytváření a správa všech aspektů deklarací záruky hardwaru Microsoftu |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Specialista microsoftu na záruku hardwaru
Přiřaďte roli Specialista na hardware společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:
- Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
- Přečtěte si nároky na záruku, které vytvořili.
- Čtení a aktualizace existujících dodacích adres
- Přečtěte si stav expedice pro otevřené nároky na záruku, které vytvořili.
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.
Akce | Popis |
---|---|
microsoft.hardware.support/shippingAddress/allProperties/read | Přečtěte si dodací adresy pro deklarace záruky hardwaru Microsoftu, včetně stávajících dodacích adres vytvořených jinými uživateli. |
microsoft.hardware.support/warrantyClaims/createAsOwner | Vytvoření deklarací záruce hardwaru Microsoftu, kde je tvůrce vlastníkem |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.hardware.support/shippingStatus/allProperties/read | Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu. |
microsoft.hardware.support/warrantyClaims/allProperties/read | Čtení deklarací záruce hardwaru Microsoftu |
Moderní obchod Správa istrator
Nepoužívat. Tato role se automaticky přiřadí z obchodu a není určená ani podporovaná pro jakékoli jiné použití. Podrobnosti najdete níže.
Role Moderní obchodování Správa istrator dává určitým uživatelům oprávnění pro přístup k Centrum pro správu Microsoftu 365 a zobrazuje levé navigační položky pro domácnosti, fakturaci a podporu. Obsah dostupný v těchto oblastech je řízen rolemi specifickými pro obchodování přiřazené uživatelům ke správě produktů, které si koupili pro sebe nebo vaši organizaci. Může to zahrnovat úkoly, jako je placení faktur nebo přístup k fakturačním účtům a fakturačním profilům.
Uživatelé s rolí Moderní obchodní Správa istrator mají obvykle oprávnění správce v jiných nákupních systémech Microsoftu, ale nemají role globálního Správa istratoru ani fakturačního Správa istratoru používaného pro přístup k Centru pro správu.
Kdy je přiřazena role Moderní obchodování Správa istrator?
- Samoobslužný nákup v Centrum pro správu Microsoftu 365 – Samoobslužný nákup dává uživatelům možnost vyzkoušet si nové produkty nákupem nebo registrací sami. Tyto produkty se spravují v Centru pro správu. Uživatelům, kteří dělají samoobslužný nákup, se přiřazují role v komerčním systému a roli moderního komerčního Správa istratoru, aby mohli spravovat nákupy v Centru pro správu. Správa můžou blokovat samoobslužné nákupy (pro Prostředky infrastruktury, Power BI, Power Apps, Power Automate) prostřednictvím PowerShell. Další informace najdete v nejčastějších dotazech k samoobslužným nákupům.
- Nákupy z komerčního marketplace Microsoftu – podobně jako samoobslužný nákup, když si uživatel koupí produkt nebo službu z Microsoft AppSource nebo Azure Marketplace, přiřadí se jim role Moderní obchodování Správa istrator, pokud nemají roli globálního Správa istratoru nebo fakturačního Správa istratoru. V některých případech můžou být uživatelé zablokovaní v provádění těchto nákupů. Další informace najdete na komerčním marketplace Microsoftu.
- Návrhy od Microsoftu – Návrh je formální nabídka od Microsoftu pro vaši organizaci, která umožňuje nakupovat produkty a služby Microsoftu. Pokud osoba, která návrh přijímá, nemá roli globálního Správa istratoru nebo fakturace Správa istrator v Microsoft Entra ID, přiřadí se mu role specifická pro obchod, aby mohl dokončit návrh i roli moderního obchodu Správa istrator pro přístup k Centru pro správu. Když přistupují k Centru pro správu, můžou používat jenom funkce, které jsou autorizované jejich obchodní rolí.
- Obchodní role – Někteří uživatelé mají přiřazené role specifické pro obchod. Pokud uživatel není globálním Správa istratorem nebo fakturačním Správa istratorem, získá roli moderního komerčního Správa istratoru, aby mohl získat přístup k Centru pro správu.
Pokud je role moderního obchodu Správa istrator od uživatele nepřiřazená, ztratí přístup k Centrum pro správu Microsoftu 365. Pokud spravovali nějaké produkty, ať už pro sebe nebo pro vaši organizaci, nebudou je moct spravovat. To může zahrnovat přiřazování licencí, změnu způsobů platby, placení faktur nebo jiné úlohy správy předplatných.
Akce | Popis |
---|---|
microsoft.commerce.billing/partners/read | |
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks | Správa všech aspektů centra Volume Licensing Service Center |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/basic/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Síťový Správa istrator
Uživatelé v této roli můžou zkontrolovat doporučení k architektuře hraniční sítě od Microsoftu, která jsou založená na telemetrii sítě z jejich umístění uživatelů. Výkon sítě pro Microsoft 365 závisí na pečlivé architektuře hraniční sítě podnikového zákazníka, která je obecně specifická pro umístění uživatelů. Tato role umožňuje upravit zjištěná umístění uživatelů a konfiguraci parametrů sítě pro tato umístění, aby se usnadnila vylepšená měření telemetrie a doporučení k návrhu.
Akce | Popis |
---|---|
microsoft.office365.network/locations/allProperties/allTasks | Správa všech aspektů síťových umístění |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Office Apps Správa istrator
Uživatelé v této roli můžou spravovat nastavení cloudu aplikací Microsoftu 365. To zahrnuje správu zásad cloudu, samoobslužnou správu stahování a možnost zobrazit sestavu související s aplikace Office. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby v hlavním centru pro správu. Uživatelé přiřazení k této roli mohou také spravovat komunikaci nových funkcí v aplikace Office.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.userCommunication/allEntities/allTasks | Čtení a aktualizace viditelnosti nových zpráv |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Zapisovatel zpráv organizace
Přiřaďte roli Zapisovatel zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:
- Psaní, publikování a odstraňování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Správa možností doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Čtení výsledků doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
- Zobrazení sestav využití a většiny nastavení v Centrum pro správu Microsoftu 365, ale nemůže provádět změny
Akce | Popis |
---|---|
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks | Správa všech aspektů vytváření zpráv organizace v Microsoftu 365 |
microsoft.office365.usageReports/allEntities/standard/read | Čtení agregovaných sestav využití Office 365 na úrovni tenanta |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Podpora partnerské vrstvy 1
Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.
Důležité
Tato role může resetovat hesla a zneplatnit obnovovací tokeny pouze pro jiné správce. Tuto roli byste neměli používat, protože je zastaralá.
Podpora partnerské vrstvy 2
Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.
Důležité
Tato role může resetovat hesla a zneplatnit obnovovací tokeny pro všechny správce a správce (včetně globálních Správa istrátorů). Tuto roli byste neměli používat, protože je zastaralá.
Heslo Správa istrator
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají omezenou schopnost spravovat hesla. Tato role neuděluje možnost spravovat žádosti o služby ani monitorovat stav služby. Určuje, jestli heslo Správa istrator může resetovat heslo uživatele, závisí na přiřazené roli. Seznam rolí, pro které může heslo Správa istrator resetovat hesla, najdete v tématu Kdo může resetovat hesla.
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
Správa oprávnění Správa istrator
Přiřaďte roli Správa oprávnění Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů Správa oprávnění Microsoft Entra, když je služba k dispozici
Další informace o rolích a zásadách správy oprávnění najdete v tématu Zobrazení informací o rolích a zásadách.
Akce | Popis |
---|---|
microsoft.permissionsManagement/allEntities/allProperties/allTasks | Správa všech aspektů Správa oprávnění Microsoft Entra |
Power Platform Správa istrator
Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty prostředí, Power Apps, toky, zásady ochrany před únikem informací. Uživatelé s touto rolí navíc můžou spravovat lístky podpory a monitorovat stav služby.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.dynamics365/allEntities/allTasks | Správa všech aspektů Dynamics 365 |
microsoft.flow/allEntities/allTasks | Správa všech aspektů Microsoft Power Automate |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.powerApps/allEntities/allTasks | Správa všech aspektů Power Apps |
Správa istrator tiskárny
Uživatelé v této roli můžou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskárny v řešení Microsoft Universal Print, včetně nastavení univerzálního tisku Připojení oru. Můžou souhlasit se všemi delegovanými žádostmi o oprávnění k tisku. Tiskárny Správa istrátory mají také přístup k tisku sestav.
Akce | Popis |
---|---|
microsoft.azure.print/allEntities/allProperties/allTasks | Vytváření a odstraňování tiskáren a konektorů a čtení a aktualizace všech vlastností v aplikaci Microsoft Print |
Technik tiskárny
Uživatelé s touto rolí mohou registrovat tiskárny a spravovat stav tiskárny v řešení Microsoft Universal Print. Můžou si také přečíst všechny informace o konektoru. Klíčovým úkolem, který nemůže technik tiskárny provést, je nastavit uživatelská oprávnění k tiskárnám a sdílení tiskáren.
Akce | Popis |
---|---|
microsoft.azure.print/connectors/allProperties/read | Čtení všech vlastností konektorů v aplikaci Microsoft Print |
microsoft.azure.print/printers/allProperties/read | Čtení všech vlastností tiskáren v aplikaci Microsoft Print |
microsoft.azure.print/printers/register | Registrace tiskáren v Microsoft Printu |
microsoft.azure.print/printers/unregister | Zrušení registrace tiskáren v aplikaci Microsoft Print |
microsoft.azure.print/printers/basic/update | Aktualizace základních vlastností tiskáren v aplikaci Microsoft Print |
Správce privilegovaného ověřování
Jedná se o privilegovanou roli. Přiřaďte roli Privileged Authentication Správa istrator uživatelům, kteří potřebují:
- Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro libovolného uživatele, včetně globálních Správa istrátorů.
- Odstraňte nebo obnovte všechny uživatele, včetně globálních Správa istrátorů. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vynuťte, aby se uživatelé znovu zaregistrovali u stávajících přihlašovacích údajů bez hesla (například MFA nebo FIDO) a odvolali si vícefaktorové ověřování na zařízení a při příštím přihlášení všech uživatelů se zobrazí výzva k vícefaktorovém ověřování.
- Aktualizujte citlivé vlastnosti pro všechny uživatele. Další informace najdete v tématu Kdo může provádět citlivé akce.
- Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.
Uživatelé s touto rolí nemohou provádět následující akce:
- Vícefaktorové ověřování pro jednotlivé uživatele nejde spravovat na starším portálu pro správu vícefaktorového ověřování.
Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.
Role | Správa metod ověřování uživatele | Správa MFA pro jednotlivé uživatele | Správa nastavení MFA | Správa zásad metod ověřování | Správa zásad ochrany heslem | Aktualizace citlivých vlastností | Odstraňování a obnovování uživatelů |
---|---|---|---|---|---|---|---|
Ověřování Správa istrator | Ano pro některé uživatele | Ano pro některé uživatele | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Privileged Authentication Správa istrator | Ano pro všechny uživatele | Ano pro všechny uživatele | No | No | No | Ano pro všechny uživatele | Ano pro všechny uživatele |
Zásady ověřování Správa istrator | No | No | Ano | Ano | Ano | No | No |
Správce uživatelů | No | No | No | No | No | Ano pro některé uživatele | Ano pro některé uživatele |
Důležité
Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a jinde nejsou udělena ověřovacím Správa istrátory. Prostřednictvím této cesty ověřovací Správa istrator může předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender a Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Správce privilegovaných rolí
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat přiřazení rolí v Microsoft Entra ID i v rámci služby Microsoft Entra Privileged Identity Management. Můžou vytvářet a spravovat skupiny, které je možné přiřadit k rolím Microsoft Entra. Kromě toho tato role umožňuje správu všech aspektů Privileged Identity Management a jednotek pro správu.
Důležité
Tato role umožňuje spravovat přiřazení pro všechny role Microsoft Entra, včetně role Globální Správa istrator. Tato role nezahrnuje žádné další privilegované schopnosti v MICROSOFT Entra ID, jako je vytváření nebo aktualizace uživatelů. Uživatelé přiřazení k této roli ale můžou udělit sami sobě nebo jiným dalším oprávněním tím, že přiřazují další role.
Čtenář sestav
Uživatelé s touto rolí mohou zobrazit data sestav využití a řídicí panel sestav v Centrum pro správu Microsoftu 365 a kontextový balíček přijetí v Prostředcích infrastruktury a Power BI. Kromě toho tato role poskytuje přístup ke všem protokolům přihlašování, protokolům auditu a sestavám aktivit v Microsoft Entra ID a datech vrácených rozhraním Microsoft Graph Reporting API. Uživatel přiřazený k roli Čtenář sestav má přístup pouze k relevantním metrikám využití a přijetí. Nemají žádná oprávnění správce ke konfiguraci nastavení nebo přístupu k centerm pro správu pro konkrétní produkty, jako je Exchange. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.directory/auditLogs/allProperties/read | Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení |
microsoft.directory/provisioningLogs/allProperties/read | Čtení všech vlastností protokolů zřizování |
microsoft.directory/signInReports/allProperties/read | Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Hledat Správa istrator
Uživatelé v této roli mají úplný přístup ke všem funkcím správy služby Microsoft Search v Centrum pro správu Microsoftu 365. Kromě toho můžou tito uživatelé zobrazit centrum zpráv, monitorovat stav služby a vytvářet žádosti o služby.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Editor vyhledávání
Uživatelé v této roli můžou vytvářet, spravovat a odstraňovat obsah pro Microsoft Search v Centrum pro správu Microsoftu 365, včetně záložek, otázek a umístění.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.search/content/manage | Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce zabezpečení
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících se zabezpečením na portálu Microsoft 365 Defender, microsoft Entra ID Protection, ověřování Microsoft Entra, Azure Information Protection a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál Microsoft 365 Defender | Monitorování zásad souvisejících se zabezpečením napříč službami Microsoftu 365 Správa bezpečnostních hrozeb a výstrah Zobrazení sestav |
Identity Protection | Všechna oprávnění role Čtenář zabezpečení Provádění všech operací identity Protection s výjimkou resetování hesel |
Privileged Identity Management | Všechna oprávnění role Čtenář zabezpečení Nejde spravovat přiřazení nebo nastavení rolí Microsoft Entra |
Portál pro dodržování předpisů Microsoft Purview | Správa zásad zabezpečení Zobrazení, prošetření a reakce na bezpečnostní hrozby Zobrazení sestav |
Azure Advanced Threat Protection | Monitorování podezřelých aktivit zabezpečení a reakce na ně |
Microsoft Defender for Endpoint | Přiřazení rolí Správa skupin počítačů Konfigurace detekce hrozeb koncového bodu a automatizovaná náprava Zobrazení, prošetření a reakce na upozornění Zobrazení inventáře počítačů nebo zařízení |
Intune | Zobrazení informací o uživateli, zařízení, registraci, konfiguraci a aplikaci Nejde provést změny v Intune |
Microsoft Defender for Cloud Apps | Přidání správců, přidání zásad a nastavení, nahrání protokolů a provádění akcí zásad správného řízení |
Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
Inteligentní uzamčení | Definujte prahovou hodnotu a dobu trvání uzamčení, když dojde k neúspěšným událostem přihlášení. |
Ochrana heslem | Nakonfigurujte vlastní zakázaný seznam hesel nebo místní ochranu heslem. |
Synchronizace mezi tenanty | Nakonfigurujte nastavení přístupu mezi tenanty pro uživatele v jiném tenantovi. Zabezpečení Správa istrátory nemohou přímo vytvářet a odstraňovat uživatele, ale můžou nepřímo vytvářet a odstraňovat synchronizované uživatele z jiného tenanta, pokud jsou oba tenanti nakonfigurováni pro synchronizaci mezi tenanty, což je privilegované oprávnění. |
Operátor zabezpečení
Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál Microsoft 365 Defender | Všechna oprávnění role Čtenář zabezpečení Zobrazení, prošetření výstrah zabezpečení a reakce na ně Správa nastavení zabezpečení na portálu Microsoft 365 Defender |
Identity Protection | Všechna oprávnění role Čtenář zabezpečení Proveďte všechny operace identity Protection s výjimkou konfigurace nebo změny zásad založených na riziku, resetování hesel a konfigurace e-mailů s upozorněními. |
Privileged Identity Management | Všechna oprávnění role Čtenář zabezpečení |
Portál pro dodržování předpisů Microsoft Purview | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení |
Microsoft Defender for Endpoint | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint. |
Intune | Všechna oprávnění role Čtenář zabezpečení |
Microsoft Defender for Cloud Apps | Všechna oprávnění role Čtenář zabezpečení Zobrazení, zkoumání a reakce na výstrahy zabezpečení |
Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
Čtenář zabezpečení
Jedná se o privilegovanou roli. Uživatelé s touto rolí mají globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a také možnost číst sestavy přihlášení a protokoly auditu Microsoft Entra a v Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.
V | Může to udělat |
---|---|
Portál Microsoft 365 Defender | Zobrazení zásad souvisejících se zabezpečením napříč službami Microsoftu 365 Zobrazení bezpečnostních hrozeb a výstrah Zobrazení sestav |
Identity Protection | Zobrazení všech sestav služby Identity Protection a přehledu |
Privileged Identity Management | Má přístup jen pro čtení ke všem informacím, které se zobrazí v Microsoft Entra Privileged Identity Management: Zásady a sestavy pro přiřazení rolí Microsoft Entra a kontroly zabezpečení. Microsoft Entra Privileged Identity Management se nemůže zaregistrovat ani v něm provádět žádné změny. Na portálu Privileged Identity Management nebo prostřednictvím PowerShellu může někdo v této roli aktivovat další role (například globální Správa istrator nebo privilegovaná role Správa istrator), pokud má uživatel nárok na ně. |
Portál pro dodržování předpisů Microsoft Purview | Zobrazení zásad zabezpečení Zobrazení a zkoumání bezpečnostních hrozeb Zobrazení sestav |
Microsoft Defender for Endpoint | Zobrazení a zkoumání výstrah Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint. |
Intune | Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. V Intune nelze provádět změny. |
Microsoft Defender for Cloud Apps | Má oprávnění ke čtení. |
Stav služby Microsoft 365 | Zobrazení stavu služeb Microsoft 365 |
Podpora služeb Správa istrator
Uživatelé s touto rolí můžou vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a zobrazit řídicí panel služby a centrum zpráv na webu Azure Portal a Centrum pro správu Microsoftu 365. Další informace viz O rolích správce v centru pro správu Microsoft 365.
Poznámka:
Tato role se dříve jmenovala Service Správa istrator na webu Azure Portal a Centrum pro správu Microsoftu 365. Přejmenovala se na service Support Správa istrator, aby odpovídala existujícímu názvu v rozhraní Microsoft Graph API a Azure AD PowerShellu.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
SharePoint Správa istrator
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Office SharePoint Online, když je služba k dispozici, a také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.
Poznámka:
V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje SharePoint Service Správa istrator. Na webu Azure Portal se jmenuje SharePoint Správa istrator.
Poznámka:
Tato role také uděluje vymezená oprávnění k rozhraní Microsoft Graph API pro Microsoft Intune, což umožňuje správu a konfiguraci zásad souvisejících s prostředky SharePointu a OneDrivu.
Akce | Popis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.migrations/allEntities/allProperties/allTasks | Správa všech aspektů migrací Microsoftu 365 |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.sharePoint/allEntities/allTasks | Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Skype pro firmy Správa istrator
Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Skype pro firmy, pokud je služba přítomna, a také spravovat atributy uživatele specifické pro Skype v Microsoft Entra ID. Tato role navíc umožňuje spravovat lístky podpory a monitorovat stav služby a přistupovat k Teams a Skype pro firmy Centru pro správu. Účet musí být také licencovaný pro Teams nebo nemůže spouštět rutiny Teams PowerShellu. Další informace najdete v tématu Skype pro firmy Online Správa a informace o licencování Teams na Skype pro firmy doplňkových licencích.
Poznámka:
V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Služba Lyncu Správa istrator. Na webu Azure Portal se jmenuje Skype pro firmy Správa istrator.
Akce | Popis |
---|---|
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Teams Správa istrator
Uživatelé v této roli můžou spravovat všechny aspekty úlohy Microsoft Teams prostřednictvím Centra pro správu Microsoft Teams a příslušných modulů PowerShellu Skype pro firmy. To zahrnuje mimo jiné všechny nástroje pro správu související s telefonií, zasíláním zpráv, schůzkami a samotnými týmy. Tato role navíc uděluje možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/allEntities/allProperties/allTasks | Správa všech prostředků v Teams |
microsoft.directory/crossTenantAccessPolicy/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update | Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/default/standard/read | Čtení základních vlastností výchozích zásad přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update | Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty |
microsoft.directory/crossTenantAccessPolicy/partners/create | Vytvoření zásad přístupu mezi tenanty pro partnery |
microsoft.directory/crossTenantAccessPolicy/partners/standard/read | Čtení základních vlastností zásad přístupu mezi tenanty pro partnery |
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update | Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery |
microsoft.directory/pendingExternalUserProfiles/create | Vytvoření externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/pendingExternalUserProfiles/standard/read | Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/pendingExternalUserProfiles/basic/update | Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/pendingExternalUserProfiles/delete | Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/externalUserProfiles/standard/read | Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/externalUserProfiles/basic/update | Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/externalUserProfiles/delete | Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams |
microsoft.directory/permissionGrantPolicies/standard/read | Čtení standardních vlastností zásad udělení oprávnění |
Teams Communications Správa istrator
Uživatelé v této roli mohou spravovat aspekty úloh Microsoft Teams souvisejících s hlasem a telefonií. To zahrnuje nástroje pro správu pro přiřazování telefonních čísel, zásady hlasu a schůzek a úplný přístup ke sadě nástrojů analýzy hovorů.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/callQuality/allProperties/read | Čtení všech dat na řídicím panelu kvality volání (CQD) |
microsoft.teams/meetings/allProperties/allTasks | Správa schůzek, včetně zásad schůzek, konfigurací a konferenčních mostů |
microsoft.teams/voice/allProperties/allTasks | Správa hlasových hovorů včetně zásad volání a inventáře telefonních čísel a přiřazení |
Technik podpory komunikace v Teams
Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit úplné informace o záznamu hovoru pro všechny účastníky. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/callQuality/allProperties/read | Čtení všech dat na řídicím panelu kvality volání (CQD) |
Specialista na podporu komunikace v Teams
Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit pouze podrobnosti o uživateli při volání konkrétního uživatele, který hledal. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.
Akce | Popis |
---|---|
microsoft.directory/authorizationPolicy/standard/read | Čtení standardních vlastností zásad autorizace |
microsoft.azure.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Azure Service Health |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.skypeForBusiness/allEntities/allTasks | Správa všech aspektů Skype pro firmy Online |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/callQuality/standard/read | Čtení základních dat na řídicím panelu kvality volání (CQD) |
Zařízení Teams Správa istrator
Uživatelé s touto rolí můžou spravovat zařízení certifikovaná aplikací Teams z Centra pro správu Teams. Tato role umožňuje zobrazit všechna zařízení najednou a umožňuje prohledávat a filtrovat zařízení. Uživatel může zkontrolovat podrobnosti o každém zařízení, včetně přihlášeného účtu, vytvoření a modelu zařízení. Uživatel může změnit nastavení na zařízení a aktualizovat verze softwaru. Tato role neuděluje oprávnění ke kontrole aktivity Teams a kvality volání zařízení.
Akce | Popis |
---|---|
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.teams/devices/standard/read | Správa všech aspektů zařízení certifikovaných v Teams, včetně zásad konfigurace |
Tvůrce tenanta
Přiřaďte roli Tvůrce tenanta uživatelům, kteří potřebují provádět následující úlohy:
- Vytvoření tenantů Microsoft Entra i Azure Active Directory B2C i v případě, že je přepínač pro vytvoření tenanta vypnutý v uživatelských nastaveních
Poznámka:
Tvůrci tenantů budou mít přiřazenou roli globálního správce pro nové tenanty, které vytvoří.
Akce | Popis |
---|---|
microsoft.directory/tenantManagement/tenants/create | Vytvoření nových tenantů v Microsoft Entra ID |
Čtenář souhrnných sestav využití
Přiřaďte roli čtenáře souhrnných sestav využití uživatelům, kteří potřebují v Centrum pro správu Microsoftu 365 provádět následující úlohy:
- Zobrazení sestav využití a skóre přijetí
- Čtení přehledů organizace, ale ne identifikovatelných osobních údajů (PII) uživatelů
Tato role umožňuje uživatelům zobrazit pouze data na úrovni organizace s následujícími výjimkami:
- Členové můžou zobrazit data a nastavení správy uživatelů.
- Uživatelé typu host, kteří mají přiřazenou tuto roli, nemůžou zobrazit data a nastavení správy uživatelů.
Akce | Popis |
---|---|
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.usageReports/allEntities/standard/read | Čtení agregovaných sestav využití Office 365 na úrovni tenanta |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Správce uživatelů
Jedná se o privilegovanou roli. Přiřaďte roli Správa istrator uživatelům, kteří potřebují:
Oprávnění | Více informací |
---|---|
Vytvoření uživatelů | |
Aktualizace většiny uživatelských vlastností pro všechny uživatele, včetně všech správců | Kdo může provádět citlivé akce |
Aktualizace citlivých vlastností (včetně hlavního názvu uživatele) pro některé uživatele | Kdo může provádět citlivé akce |
Zakázání nebo povolení některých uživatelů | Kdo může provádět citlivé akce |
Odstranění nebo obnovení některých uživatelů | Kdo může provádět citlivé akce |
Vytváření a správa uživatelských zobrazení | |
Vytvoření a správa všech skupin | |
Přiřazení a čtení licencí pro všechny uživatele, včetně všech správců | |
Resetování hesel | Kdo může resetovat hesla |
Zneplatnění obnovovacích tokenů | Kdo může resetovat hesla |
Aktualizace klíčů zařízení (FIDO) | |
Aktualizace zásad vypršení platnosti hesel | |
Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365 | |
Monitorování stavu služby |
Uživatelé s touto rolí nemohou provádět následující akce:
- Nejde spravovat vícefaktorové ověřování.
- Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
- Sdílené poštovní schránky nelze spravovat.
Důležité
Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:
- Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v MICROSOFT Entra ID a jinde se uživatelům neudělují Správa istrátory. Prostřednictvím této cesty může uživatel Správa istrator předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
- Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
- Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
- Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
- Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Virtuální návštěvy Správa istrator
Uživatelé s touto rolí můžou provádět následující úlohy:
- Správa a konfigurace všech aspektů virtuálních návštěv v Bookings v Centrum pro správu Microsoftu 365 a v konektoru Teams EHR
- Zobrazení sestav využití pro virtuální návštěvy v Centru pro správu Teams, Centrum pro správu Microsoftu 365, Prostředcích infrastruktury a Power BI
- Zobrazení funkcí a nastavení v Centrum pro správu Microsoftu 365, ale nemůže upravit žádná nastavení
Virtuální návštěvy představují jednoduchý způsob, jak naplánovat a spravovat online a videoobjednávky pro pedagogy a účastníky. Vytváření sestav využití může například ukázat, jak odesílání textových zpráv SMS před událostmi může snížit počet lidí, kteří se nezobrazují u událostí.
Akce | Popis |
---|---|
microsoft.virtualVisits/allEntities/allProperties/allTasks | Správa a sdílení informací o virtuálních návštěvách a metrik z center pro správu nebo aplikace Virtuální návštěvy |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
Viva Goals Správa istrator
Přiřaďte roli cíle Viva Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Správa a konfigurace všech aspektů aplikace Microsoft Viva Goals
- Konfigurace nastavení správce cílů Microsoft Viva
- Čtení informací o tenantovi Microsoft Entra
- Monitorování stavu služby Microsoft 365
- Vytváření a správa žádostí o služby Microsoft 365
Další informace najdete v tématu Role a oprávnění v nástroji Viva Goals a Úvod do cílů Microsoft Viva.
Akce | Popis |
---|---|
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.viva.goals/allEntities/allProperties/allTasks | Správa všech aspektů cílů Microsoft Viva |
Viva Pulse Správa istrator
Přiřaďte roli Viva Pulse Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Čtení a konfigurace všech nastavení Viva Pulse
- Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
- Čtení a konfigurace služby Azure Service Health
- Vytváření a správa lístků podpora Azure
- Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
- Čtení sestav využití v Centrum pro správu Microsoftu 365
Další informace najdete v tématu Přiřazení správce Viva Pulse v Centrum pro správu Microsoftu 365.
Akce | Popis |
---|---|
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.viva.pulse/allEntities/allProperties/allTasks | Správa všech aspektů Microsoft Viva Pulse |
Windows 365 Správa istrator
Uživatelé s touto rolí mají při přítomnosti služby globální oprávnění k prostředkům Windows 365. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny.
Tato role může vytvářet a spravovat skupiny zabezpečení, ale nemá oprávnění správce ke skupinám Microsoft 365. To znamená, že správci nemůžou aktualizovat vlastníky ani členství ve skupinách Microsoft 365 v organizaci. Můžou ale spravovat skupinu Microsoft 365, kterou vytvoří, což je součástí jejich oprávnění koncových uživatelů. Takže každá skupina Microsoftu 365 (ne skupina zabezpečení), kterou vytvoří, se započítává do kvóty 250.
Přiřaďte roli windows 365 Správa istrator uživatelům, kteří potřebují provádět následující úlohy:
- Správa cloudových počítačů s Windows 365 v Microsoft Intune
- Registrace a správa zařízení v Microsoft Entra ID, včetně přiřazování uživatelů a zásad
- Vytváření a správa skupin zabezpečení, ale ne skupin s možností přiřazení rolí
- Zobrazení základních vlastností v Centrum pro správu Microsoftu 365
- Čtení sestav využití v Centrum pro správu Microsoftu 365
- Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Akce | Popis |
---|---|
microsoft.directory/deletedItems.devices/delete | Trvale odstranit zařízení, která se už nedají obnovit |
microsoft.directory/deletedItems.devices/restore | Obnovení obnovitelně odstraněných zařízení do původního stavu |
microsoft.directory/devices/create | Vytvoření zařízení (registrace v Microsoft Entra ID) |
microsoft.directory/devices/delete | Odstranění zařízení z Microsoft Entra ID |
microsoft.directory/devices/disable | Zakázání zařízení v Microsoft Entra ID |
microsoft.directory/devices/enable | Povolení zařízení v Microsoft Entra ID |
microsoft.directory/devices/basic/update | Aktualizace základních vlastností na zařízeních |
microsoft.directory/devices/extensionAttributeSet1/update | Aktualizace vlastnosti extensionAttribute1 na extensionAttribute5 na zařízeních |
microsoft.directory/devices/extensionAttributeSet2/update | Aktualizace vlastnosti extensionAttribute6 na extensionAttribute10 na zařízeních |
microsoft.directory/devices/extensionAttributeSet3/update | Aktualizace vlastnosti extensionAttribute11 na extensionAttribute15 na zařízeních |
microsoft.directory/devices/registeredOwners/update | Aktualizace registrovaných vlastníků zařízení |
microsoft.directory/devices/registeredUsers/update | Aktualizace registrovaných uživatelů zařízení |
microsoft.directory/groups.security/create | Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/delete | Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/basic/update | Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/classification/update | Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/dynamicMembershipRule/update | Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/members/update | Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/owners/update | Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.security/visibility/update | Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/deviceManagementPolicies/standard/read | Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací |
microsoft.directory/deviceRegistrationPolicy/standard/read | Čtení standardních vlastností zásad registrace zařízení |
microsoft.azure.supportTickets/allEntities/allTasks | Vytváření a správa lístků podpora Azure |
microsoft.cloudPC/allEntities/allProperties/allTasks | Správa všech aspektů Windows 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
služba Windows Update nasazení Správa istrator
Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. Služba nasazení umožňuje uživatelům definovat nastavení, kdy a jak se aktualizace nasazují, a určit, které aktualizace se nabízejí skupinám zařízení v jejich tenantovi. Umožňuje také uživatelům sledovat průběh aktualizace.
Akce | Popis |
---|---|
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks | Čtení a konfigurace všech aspektů služby služba Windows Update Service |
Yammer Správa istrator
Přiřaďte roli Správa istrator Yammeru uživatelům, kteří potřebují provádět následující úlohy:
- Správa všech aspektů Yammeru
- Vytváření, správa a obnovení Skupiny Microsoft 365, ale ne skupin s možností přiřazení rolí
- Zobrazení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně přiřazovatelných skupin rolí
- Čtení sestav využití v Centrum pro správu Microsoftu 365
- Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
- Zobrazení oznámení v Centru zpráv, ale ne oznámení o zabezpečení
- Zobrazení stavu služby
Akce | Popis |
---|---|
microsoft.directory/groups/hiddenMembers/read | Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/create | Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/delete | Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/restore | Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role |
microsoft.directory/groups.unified/basic/update | Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/members/update | Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.directory/groups.unified/owners/update | Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí |
microsoft.office365.messageCenter/messages/read | Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení |
microsoft.office365.network/performance/allProperties/read | Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365 |
microsoft.office365.serviceHealth/allEntities/allTasks | Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365 |
microsoft.office365.supportTickets/allEntities/allTasks | Vytváření a správa žádostí o služby Microsoft 365 |
microsoft.office365.usageReports/allEntities/allProperties/read | Čtení sestav využití Office 365 |
microsoft.office365.webPortal/allEntities/standard/read | Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365 |
microsoft.office365.yammer/allEntities/allProperties/allTasks | Správa všech aspektů Yammeru |
Zastaralé role
Neměly by se používat následující role. Byly zastaralé a v budoucnu se odeberou z ID Microsoft Entra.
- AdHoc License Správa istrator
- Připojení zařízení
- Správce zařízení
- Uživatelé zařízení
- Autor ověřeného uživatele e-mailem
- Poštovní schránka Správa istrator
- Připojení zařízení na pracovišti
Role se nezobrazují na portálu
Na webu Azure Portal se nezobrazují všechny role vrácené PowerShellem nebo rozhraním MS Graph API. Následující tabulka tyto rozdíly uspořádá.
Název rozhraní API | Název webu Azure Portal | Notes |
---|---|---|
Připojení zařízení | Zastaralé | Dokumentace k zastaralým rolím |
Správce zařízení | Zastaralé | Dokumentace k zastaralým rolím |
Uživatelé zařízení | Zastaralé | Dokumentace k zastaralým rolím |
Účty synchronizace adresářů | Nezobsazeno, protože by se nemělo používat | Dokumentace k účtům synchronizace adresářů |
Uživatel typu host | Nezobrazuje se, protože se nedá použít | NA |
Podpora partnerské vrstvy 1 | Nezobsazeno, protože by se nemělo používat | Dokumentace podpory partnerské vrstvy 1 |
Podpora partnerské vrstvy 2 | Nezobsazeno, protože by se nemělo používat | Dokumentace podpory partnerské vrstvy 2 |
Omezený uživatel typu host | Nezobrazuje se, protože se nedá použít | NA |
Uživatelská | Nezobrazuje se, protože se nedá použít | NA |
Připojení zařízení na pracovišti | Zastaralé | Dokumentace k zastaralým rolím |