Předdefinované role Microsoft Entra

V Microsoft Entra ID, pokud jiný správce nebo jiný správce potřebuje spravovat prostředky Microsoft Entra, přiřadíte jim roli Microsoft Entra, která poskytuje oprávnění, která potřebují. Můžete například přiřadit role, které umožňují přidávat nebo měnit uživatele, resetovat hesla uživatelů, spravovat uživatelské licence nebo spravovat názvy domén.

Tento článek obsahuje seznam předdefinovaných rolí Microsoft Entra, které můžete přiřadit k povolení správy prostředků Microsoft Entra. Informace o přiřazování rolí najdete zde: Přiřazení rolí Microsoft Entra uživatelům. Pokud hledáte role pro správu prostředků Azure, podívejte se na předdefinované role Azure.

Všechny role

Role Popis ID šablony
Správce aplikace Může vytvářet a spravovat všechny aspekty registrací aplikací a podnikových aplikací.
Privileged label icon.
9b895d92-2cd3-44c7-9d02-a6ac2d5ea5c3
Vývojář aplikace Může vytvářet registrace aplikací nezávisle na nastavení Uživatelé mohou registrovat aplikace.
Privileged label icon.
cf1c38e5-3621-4004-a7cb-879624dced7c
Autor datové části útoku Může vytvořit datové části útoku, které může správce zahájit později. 9c6df0f2-1e7c-4dc3-b195-66dfbd24aa8f
Simulace útoku Správa istrator Může vytvářet a spravovat všechny aspekty kampaní simulace útoků. c430b396-e693-46cc-96f3-db01bf8bb62a
Přiřazení atributů Správa istrator Přiřaďte vlastní klíče atributů zabezpečení a hodnoty podporovaným objektům Microsoft Entra. 58a13ea3-c632-46ae-9ee0-9c0d43cd7f3d
Čtenář přiřazení atributů Přečtěte si vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra. ffd52fa5-98dc-465c-991d-fc073eb59f8f
Definice atributu Správa istrator Definujte a spravujte definici vlastních atributů zabezpečení. 8424c6f0-a189-499e-bbd0-26c1753c96d4
Čtečka definic atributů Přečtěte si definici vlastních atributů zabezpečení. 1d336d2c-4ae8-42ef-9711-b3604ce3fc2c
Protokol atributů Správa istrator Přečtěte si protokoly auditu a nakonfigurujte nastavení diagnostiky pro události související s vlastními atributy zabezpečení. 5b784334-f94b-471a-a387-e7219fc49ca2
Čtenář protokolu atributů Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení 9c99539d-8186-4804-835f-fd51ef9e2dcd
Ověřování Správa istrator Má přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele bez oprávnění správce.
Privileged label icon.
c4e39bd9-1100-46d3-8c65-fb160da0071f
Rozšiřitelnost ověřování Správa istrator Přizpůsobte si možnosti přihlašování a registrace uživatelů vytvořením a správou vlastních rozšíření ověřování.
Privileged label icon.
25a516ed-2fa0-40ea-a2d0-12923a21473a
Zásady ověřování Správa istrator Může vytvářet a spravovat zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta, zásady ochrany hesel a ověřitelné přihlašovací údaje. 0526716b-113d-4c15-b2c8-68e3c22b9f80
Azure DevOps Správa istrator Může spravovat zásady a nastavení Azure DevOps. e3973bdf-4987-49ae-837a-ba8e231c7286
Azure Information Protection Správa istrator Může spravovat všechny aspekty produktu Azure Information Protection. 7495fdc4-34c4-4d15-a289-98788ce399fd
B2C IEF keyset Správa istrator Může spravovat tajné kódy pro federaci a šifrování v rozhraní IEF (Identity Experience Framework).
Privileged label icon.
aaf43236-0c0d-4d5f-883a-6955382ac081
Zásady B2C IEF Správa istrator Může vytvářet a spravovat zásady architektury důvěryhodnosti v rozhraní IEF (Identity Experience Framework). 3edaf663-341e-4475-9f94-5c398ef6c070
Správce fakturace Může provádět běžné úkoly související s fakturací, třeba aktualizovat platební údaje. b0f54661-2d74-4c50-afa3-1ec803f12efe
Cloud App Security Správa istrator Může spravovat všechny aspekty produktu Defender for Cloud Apps. 892c5842-a9a6-463a-8041-72aa08ca3cf6
Správce cloudové aplikace Může vytvářet a spravovat všechny aspekty registrace aplikací a podnikových aplikací kromě proxy aplikací.
Privileged label icon.
158c047a-c907-4556-b7ef-446551a6b5f7
Správa istrator cloudového zařízení Omezený přístup ke správě zařízení v Microsoft Entra ID.
Privileged label icon.
7698a772-787b-4ac8-901f-60d6b08affd2
Správa istrator dodržování předpisů Může číst a spravovat konfiguraci a sestavy dodržování předpisů v Microsoft Entra ID a Microsoftu 365. 17315797-102d-40b4-93e0-432062caca18
Data dodržování předpisů Správa istrator Vytváří a spravuje obsah dodržování předpisů. e6d1a23a-da11-4be4-9570-befc86d067a7
Podmíněný přístup Správa istrator Může spravovat možnosti podmíněného přístupu.
Privileged label icon.
b1be1c3e-b65d-4f19-8427-f6fa0d97feb9
Schvalovatel přístupu Customer LockBoxu Může schválit žádosti o podporu Microsoftu pro přístup k datům organizace zákazníka. 5c4f9dcd-47dc-4cf7-8c9a-9e4207cbfc91
Desktop Analytics Správa istrator Může přistupovat k nástrojům a službám pro správu plochy a spravovat je. 38a96431-2bdf-4b4c-8b6e-5d3d8abac1a4
Čtenáři adresářů Může číst základní informace o adresáři. Běžně se používá k udělení přístupu ke čtení adresáře aplikacím a hostům. 88d8e3e3-8f55-4a1e-953a-9b9898b88876b
Účty synchronizace adresářů Používá se pouze službou Microsoft Entra Připojení.
Privileged label icon.
d29b2b05-8046-44ba-8758-1e26182fcf32
Zapisovače adresářů Může číst a zapisovat základní informace o adresáři. Pro udělení přístupu k aplikacím, které nejsou určené pro uživatele.
Privileged label icon.
9360feb5-f418-4baa-8175-e2a00bac4301
Název domény Správa istrator Může spravovat názvy domén v cloudu a v místním prostředí.
Privileged label icon.
8329153b-31d0-4727-b945-745eb3bc5f31
Dynamics 365 Správa istrator Může spravovat všechny aspekty produktu Dynamics 365. 44367163-eba1-44c3-98af-f5787879f96a
Dynamics 365 Business Central Správa istrator Může přistupovat k prostředím Dynamics 365 Business Central a provádět všechny úlohy správy v prostředích. 963797fb-eb3b-4cde-8ce3-5878b3f32a3f
Edge Správa istrator Spravujte všechny aspekty Microsoft Edge. 3f1acade-1e04-4fbc-9b69-f0302cd84aef
Exchange Správa istrator Může spravovat všechny aspekty produktu Exchange. 29232cdf-9323-42fd-ade2-1d097af3e4de
Exchange Recipient Správa istrator Může vytvářet nebo aktualizovat příjemce Exchange Online v organizaci Exchange Online. 31392ffb-586c-42d1-9346-e59415a2cc4e
Tok uživatele externího ID Správa istrator Může vytvářet a spravovat všechny aspekty toků uživatelů. 6e591065-9bad-43ed-90f3-e9424366d2f0
Atribut toku externího ID uživatele Správa istrator Může vytvořit a spravovat schéma atributů dostupné pro všechny toky uživatelů. 0f971eea-41eb-4569-a71e-57bb8a3eff1e
Externí zprostředkovatel identity Správa istrator Může nakonfigurovat zprostředkovatele identity pro použití v přímé federaci.
Privileged label icon.
be2f45a1-457d-42af-a067-6ec1fa63bc45
Správa istrator prostředků infrastruktury Může spravovat všechny aspekty produktů Fabric a Power BI. a9ea8996-122f-4c74-9520-8edcd192826c
Globální správce Může spravovat všechny aspekty ID Microsoft Entra a služby Microsoft, které používají identity Microsoft Entra.
Privileged label icon.
62e90394-69f5-4237-9190-012177145e10
Globální čtenář Může číst vše, co globální Správa istrator může, ale nic neaktualizovat.
Privileged label icon.
f2ef992c-3afb-46b9-b7cf-a126ee74c451
Globální zabezpečený přístup Správa istrator Vytvářejte a spravujte všechny aspekty Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup, včetně správy přístupu k veřejným a privátním koncovým bodům. ac434307-12b9-4fa1-a708-88bf58caabc1
Skupiny Správa istrator Členové této role můžou vytvářet nebo spravovat skupiny, vytvářet a spravovat nastavení skupin, jako jsou zásady pojmenování a vypršení platnosti, a zobrazovat skupiny aktivity a sestavy auditu. fdd7a751-b60b-444a-984c-02652fe8fa1c
Pozvaný host Může zvát uživatele typu host bez ohledu na nastavení, jestli členové můžou zvát hosty. 95e79109-95c0-4d8e-aee3-d01accf2d47b
Helpdesk Správa istrator Může resetovat hesla uživatelů, kteří nejsou správci, a správců technické podpory.
Privileged label icon.
729827e3-9c14-49f7-bb1b-9608f156bbb8
Hybridní identita Správa istrator Může spravovat službu Active Directory pro zřizování cloudu Microsoft Entra, Microsoft Entra Připojení, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Připojení Health.
Privileged label icon.
8ac3fc64-6eca-42ea-9e69-59f4c7b60eb2
Zásady správného řízení identit Správa istrator Správa přístupu pomocí Microsoft Entra ID pro scénáře zásad správného řízení identit 45d8d3c5-c802-45c6-b32a-1d70b5e1e86e
Přehledy Správa istrator Má přístup správce v aplikaci Microsoft 365 Přehledy. eb1f4a8d-243a-41f0-9fbd-c7cdf6c5ef7c
analytik Přehledy Získejte přístup k analytickým možnostem v microsoft Viva Přehledy a spouštění vlastních dotazů. 25df335f-86eb-4119-b717-0ff02de207e9
Přehledy business leader Řídicí panely a přehledy můžete zobrazit a sdílet prostřednictvím aplikace Microsoft 365 Přehledy. 31e939ad-9672-4796-9c2e-873181342d2d
Intune Správa istrator Může spravovat všechny aspekty produktu Intune.
Privileged label icon.
3a2c62db-5318-420d-8d74-23affee5d9d5
Kaizala Správa istrator Může spravovat nastavení pro Microsfot Kaizala. 74ef975b-6605-40af-a5d2-b9539d836353
Znalostní Správa istrator Může konfigurovat znalosti, učení a další inteligentní funkce. b5a8dcf3-09d5-43a9-a639-8e29ef291470
Knowledge Manager Může organizovat, vytvářet, spravovat a propagovat témata a znalosti. 744ec460-397e-42ad-a462-8b3f9747a02c
Licenční Správa istrator Může spravovat licence produktů pro uživatele a skupiny. 4d6ac14f-3453-41d0-bef9-a3e0c569773a
Pracovní postupy životního cyklu Správa istrator Umožňuje vytvářet a spravovat všechny aspekty pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v MICROSOFT Entra ID. 59d46f88-662b-457b-bceb-5c3809e5908f
Čtečka ochrany osobních údajů v Centru zpráv Může číst zprávy zabezpečení a aktualizace jenom v Centru zpráv Office 365. ac16e43d-7b2d-40e0-ac05-243ff356ab5b
Čtečka centra zpráv Může číst zprávy a aktualizace pro svou organizaci jenom v Centru zpráv Office 365. 790c1fb9-7f7d-4f88-86a1-ef1f95c05c05c1b
Migrace Microsoftu 365 Správa istrator Pomocí Migration Manageru proveďte všechny funkce migrace k migraci obsahu do Microsoftu 365. 8c8b803f-96e1-4129-9349-20738d9f9652
Místní Správa istrator zařízení připojený k Microsoft Entra Uživatelé přiřazení k této roli se přidají do místní skupiny administrators na zařízeních připojených k Microsoft Entra. 9f06204d-73c1-4d4c-880a-6edb90606fd8
Microsoft Hardware Warranty Správa istrator Vytvářejte a spravujte všechny aspekty nároků na záruky a nároky na hardware vyrobený microsoftem, jako je Surface a HoloLens. 1501b917-7653-4ff9-a4b5-203eaf33784f
Specialista microsoftu na záruku hardwaru Vytvářejte a přečtěte si nároky na záruku pro hardware, který vyrábí Microsoft, jako je Surface a HoloLens. 281fe777-fb20-4fbb-b7a3-ccebce5b0d96
Moderní obchod Správa istrator Může spravovat komerční nákupy pro společnost, oddělení nebo tým. d24aef57-1500-4070-84db-2666f29cf9666
Síťový Správa istrator Může spravovat síťová umístění a kontrolovat přehledy návrhu podnikové sítě pro aplikace Microsoft 365 Software jako služba. d37c8bed-0711-4417-ba38-b4abe66ce4c2
Office Apps Správa istrator Může spravovat aplikace Office cloudové služby, včetně správy zásad a nastavení, a spravovat možnost výběru, zrušení výběru a publikování obsahu funkcí "co je nového" na zařízeních koncových uživatelů. 2b745bdf-0803-4d80-aa65-822c4493daac
Zapisovatel zpráv organizace Pište, publikujte, spravujte a kontrolujte zprávy organizace pro koncové uživatele prostřednictvím produktů Microsoftu. 507f53e4-4e52-4077-abd3-d2e1558b6ea2
Podpora partnerské vrstvy 1 Nepoužívejte - není určeno pro obecné použití.
Privileged label icon.
4ba39ca4-527c-499a-b93d-d9b492c50246
Podpora partnerské vrstvy 2 Nepoužívejte - není určeno pro obecné použití.
Privileged label icon.
e00e864a-17c5-4a4b-9c06-f5b95a8d5bd8
Heslo Správa istrator Může resetovat hesla pro uživatele, kteří nejsou správci, a hesla Správa istrátory.
Privileged label icon.
966707d0-3269-4727-9be2-8c3a10f19b9d
Správa oprávnění Správa istrator Správa všech aspektů Správa oprávnění Microsoft Entra af78dc32-cf4d-46f9-ba4e-4428526346b5
Power Platform Správa istrator Může vytvářet a spravovat všechny aspekty Microsoft Dynamics 365, Power Apps a Power Automate. 11648597-926c-4cf3-9c36-bcebb0ba8dcc
Správa istrator tiskárny Může spravovat všechny aspekty tiskáren a konektorů tiskárny. 644ef478-e28f-4e28-b9dc-3fdde9aa0b1f
Technik tiskárny Může zaregistrovat a zrušit registraci tiskáren a aktualizovat stav tiskárny. e8cef6f1-e4bd-4ea8-bc07-4b8d950f4477
Privileged Authentication Správa istrator Může získat přístup k zobrazení, nastavení a resetování informací o metodě ověřování pro libovolného uživatele (správce nebo jiného správce).
Privileged label icon.
7be44c8a-adaf-4e2a-84d6-ab2649e08a13
Správce privilegovaných rolí Může spravovat přiřazení rolí v MICROSOFT Entra ID a všechny aspekty Privileged Identity Management.
Privileged label icon.
e8611ab8-c189-46e8-94e1-60213ab1f814
Čtenář sestav Může číst sestavy přihlášení a auditu. 4a5d8f65-41da-4de4-8968-e035b65339cf
Hledat Správa istrator Může vytvářet a spravovat všechny aspekty nastavení služby Microsoft Search. 0964bb5e-9bdb-4d7b-ac29-58e794862a40
Editor vyhledávání Může vytvářet a spravovat redakční obsah, jako jsou záložky, Q a As, umístění, plán prostorového uspořádání. 8835291a-918c-4fd7-a9ce-faa49f0cf7d9
Správce zabezpečení Může číst informace o zabezpečení a sestavy a spravovat konfiguraci v Microsoft Entra ID a Office 365.
Privileged label icon.
194ae4cb-b126-40b2-bd5b-6091b380977d
Operátor zabezpečení Vytváří a spravuje události zabezpečení.
Privileged label icon.
5f2222b1-57c3-48ba-8ad5-d4759f1fde6f
Čtenář zabezpečení Může číst informace o zabezpečení a sestavy v Microsoft Entra ID a Office 365.
Privileged label icon.
5d6b6bb7-de71-4623-b4af-96380a352509
Podpora služeb Správa istrator Může číst informace o stavu služeb a spravovat lístky podpory. f023fd81-a637-4b56-95fd-791ac0226033
SharePoint Správa istrator Může spravovat všechny aspekty služby SharePoint. f28a1f50-f6e7-4571-818b-6a12f2af6b6c
Skype pro firmy Správa istrator Může spravovat všechny aspekty Skype pro firmy produktu. 75941009-915a-4869-abe7-691bff18279e
Teams Správa istrator Může spravovat službu Microsoft Teams. 69091246-20e8-4a56-aa4d-066075b2a7a8
Teams Communications Správa istrator Může spravovat funkce volání a schůzek ve službě Microsoft Teams. baf37b3a-610e-45da-9e62-d9d1e5e8914b
Technik podpory komunikace v Teams Může řešit problémy s komunikací v Teams pomocí pokročilých nástrojů. f70938a0-fc10-4177-9e90-2178f8765737
Specialista na podporu komunikace v Teams Může řešit problémy s komunikací v teams pomocí základních nástrojů. fcf91098-03e3-41a9-b5ba-6f0ec8188a12
Zařízení Teams Správa istrator Může provádět úlohy související se správou na certifikovaných zařízeních Teams. 3d762c5a-1b6c-493f-843e-55a3b42923d4
Tvůrce tenanta Vytvořte nové tenanty Microsoft Entra nebo Azure AD B2C. 112ca1a2-15ad-4102-995e-45b0bc479a6a
Čtenář souhrnných sestav využití Přečtěte si sestavy využití a skóre přijetí, ale nemáte přístup k podrobnostem uživatele. 75934031-6c7e-415a-99d7-48dbd49e875e
Správce uživatelů Může spravovat všechny aspekty uživatelů a skupin, včetně resetování hesel pro omezené správce.
Privileged label icon.
fe930be7-5e62-47db-91af-98c3a49a38b1
Virtuální návštěvy Správa istrator Spravujte a sdílejte informace o virtuálních návštěvách a metriky z center pro správu nebo z aplikace Virtuální návštěvy. e300d9e7-4a2b-4295-9eff-f1c78b36cc98
Viva Goals Správa istrator Správa a konfigurace všech aspektů cílů Microsoft Viva 92b086b3-e367-4ef2-b869-1de128fb986e
Viva Pulse Správa istrator Může spravovat všechna nastavení pro aplikaci Microsoft Viva Pulse. 87761b17-1ed2-4af3-9acd-92a150038160
Windows 365 Správa istrator Může zřizovat a spravovat všechny aspekty cloudových počítačů. 11451d60-acb2-45eb-a7d6-43d0f0125c13
služba Windows Update nasazení Správa istrator Může vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. 32696413-001a-46ae-978c-ce0f6b3620d2
Yammer Správa istrator Umožňuje spravovat všechny aspekty služby Yammer. 810a2642-a034-447f-a5e8-41beaa378541

Správce aplikace

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty podnikových aplikací, registrací aplikací a nastavení proxy aplikací. Všimněte si, že uživatelé přiřazení k této roli se při vytváření nových registrací aplikací nebo podnikových aplikací nepřidávají jako vlastníci.

Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikace pro Microsoft Graph.

Důležité

Tato výjimka znamená, že stále můžete udělit souhlas s oprávněními aplikace pro jiné aplikace (například aplikace jiné společnosti než Microsoft nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, jako je globální Správa istrator.

Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správa istrator aplikace mu dává možnost zosobnit identitu aplikace.

Akce Popis
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Správa zásad žádostí o souhlas správce v Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/applicationProxy/read Čtení všech vlastností proxy aplikací
microsoft.directory/applications/applicationProxy/update Aktualizace všech vlastností proxy aplikace
microsoft.directory/applications/applicationProxyAuthentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/applicationProxySslCertificate/update Aktualizace nastavení certifikátu SSL pro proxy aplikace
microsoft.directory/applications/applicationProxyUrl Nastavení/update Aktualizace nastavení adresy URL pro proxy aplikace
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Privileged label icon.
microsoft.directory/applications/extensionProperties/update Aktualizace vlastností rozšíření v aplikacích
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/applications/verification/update Aktualizovat vlastnost aplikace
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/connectors/create Vytváření konektorů proxy aplikací
microsoft.directory/connectors/allProperties/read Čtení všech vlastností konektorů proxy aplikací
microsoft.directory/connectorGroups/create Vytvoření skupin konektorů proxy aplikací
microsoft.directory/connectorGroups/delete Odstranění skupin konektorů proxy aplikací
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin konektorů proxy aplikací
microsoft.directory/connectorGroups/allProperties/update Aktualizace všech vlastností skupin konektorů proxy aplikací
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Vytváření a správa vlastních rozšíření ověřování
Privileged label icon.
microsoft.directory/deletedItems.applications/delete Trvalé odstranění aplikací, které se už nedají obnovit
microsoft.directory/deletedItems.applications/restore Obnovení obnovitelně odstraněných aplikací do původního stavu
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/applicationPolicies/create Vytvoření zásad aplikace
microsoft.directory/applicationPolicies/delete Odstranění zásad aplikace
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/applicationPolicies/owners/read Čtení vlastníků zásad aplikací
microsoft.directory/applicationPolicies/policyAppliedTo/read Čtení zásad aplikací použitých u seznamu objektů
microsoft.directory/applicationPolicies/basic/update Aktualizace standardních vlastností zásad aplikace
microsoft.directory/applicationPolicies/owners/update Aktualizace vlastnosti vlastníka zásad aplikace
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání instančních objektů
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů jednotného přihlašování pomocí hesla u instančních objektů
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů jednotného přihlašování pomocí hesla pro instanční objekty
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udělení souhlasu pro oprávnění aplikace a delegovaná oprávnění jménem libovolného uživatele nebo všech uživatelů s výjimkou oprávnění aplikace pro Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/audience/update Aktualizace vlastností cílové skupiny u instančních objektů
microsoft.directory/servicePrincipals/authentication/update Aktualizace vlastností ověřování u instančních objektů
microsoft.directory/servicePrincipals/basic/update Aktualizace základních vlastností instančních objektů
microsoft.directory/servicePrincipals/credentials/update Aktualizace přihlašovacích údajů instančních objektů
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update Aktualizace poznámek k instančním objektům
microsoft.directory/servicePrincipals/owners/update Aktualizace vlastníků instančních objektů
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro instanční objekty
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Vývojář aplikace

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé v této roli mohou vytvářet registrace aplikací, pokud je nastavení Uživatelé mohou registrovat aplikace nastaveno na Ne. Tato role také uděluje oprávnění k vyjádření souhlasu vlastním jménem uživatele, když nastavení Uživatelé můžou udělit souhlas s aplikacemi, které přistupují k firemním datům jejich jménem, je nastavené na Ne. Uživatelé přiřazení k této roli se při vytváření nových registrací aplikací přidají jako vlastníci.

Akce Popis
microsoft.directory/applications/createAsOwner Vytvoření všech typů aplikací a tvůrce se přidá jako první vlastník.
microsoft.directory/oAuth2PermissionGrants/createAsOwner Vytvoření oprávnění OAuth 2.0 s autorem jako prvním vlastníkem
Privileged label icon.
microsoft.directory/servicePrincipals/createAsOwner Vytvoření instančních objektů s tvůrcem jako prvním vlastníkem

Autor datové části útoku

Uživatelé v této roli mohou vytvářet datové části útoku, ale ve skutečnosti je nespustí ani neplánují. Datové části útoku jsou pak k dispozici všem správcům v tenantovi, kteří je můžou použít k vytvoření simulace.

Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.

Akce Popis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Vytváření a správa datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování

Simulace útoku Správa istrator

Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty vytváření simulace útoku, spouštění a plánování simulace a kontrolu výsledků simulace. Členové této role mají tento přístup pro všechny simulace v tenantovi.

Další informace najdete v tématu Microsoft Defender pro Office 365 oprávnění na portálu Microsoft 365 Defender a oprávněních v Portál dodržování předpisů Microsoft Purview.

Akce Popis
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Vytváření a správa datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Vytváření a správa šablon simulace útoků v simulátoru útoku

Přiřazení atributů Správa istrator

Uživatelé s touto rolí můžou přiřadit a odebrat vlastní klíče atributů zabezpečení a hodnoty pro podporované objekty Microsoft Entra, jako jsou uživatelé, instanční objekty a zařízení.

Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra
microsoft.directory/azureManagedIdentities/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro spravované identity Microsoft Entra
microsoft.directory/attributeSets/allProperties/read Čtení všech vlastností sad atributů
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Čtení všech vlastností vlastních definic atributů zabezpečení
microsoft.directory/devices/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro zařízení
microsoft.directory/devices/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro zařízení
microsoft.directory/servicePrincipals/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro instanční objekty
microsoft.directory/servicePrincipals/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro instanční objekty
microsoft.directory/users/customSecurityAttributes/read Čtení hodnot vlastních atributů zabezpečení pro uživatele
microsoft.directory/users/customSecurityAttributes/update Aktualizace hodnot vlastních atributů zabezpečení pro uživatele

Čtenář přiřazení atributů

Uživatelé s touto rolí mohou číst klíče a hodnoty vlastních atributů zabezpečení pro podporované objekty Microsoft Entra.

Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/attributeSets/allProperties/read Čtení všech vlastností sad atributů
microsoft.directory/azureManagedIdentities/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro spravované identity Microsoft Entra
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Čtení všech vlastností vlastních definic atributů zabezpečení
microsoft.directory/devices/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro zařízení
microsoft.directory/servicePrincipals/customSecurityAttributes/read Čtení vlastních hodnot atributů zabezpečení pro instanční objekty
microsoft.directory/users/customSecurityAttributes/read Čtení hodnot vlastních atributů zabezpečení pro uživatele

Definice atributu Správa istrator

Uživatelé s touto rolí mohou definovat platnou sadu vlastních atributů zabezpečení, které lze přiřadit k podporovaným objektům Microsoft Entra. Tato role může také aktivovat a deaktivovat vlastní atributy zabezpečení.

Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/attributeSets/allProperties/allTasks Správa všech aspektů sad atributů
microsoft.directory/customSecurityAttributeDefinitions/allProperties/allTasks Správa všech aspektů definic vlastních atributů zabezpečení

Čtečka definic atributů

Uživatelé s touto rolí mohou číst definici vlastních atributů zabezpečení.

Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení, definování nebo přiřazování vlastních atributů zabezpečení. Pokud chcete pracovat s vlastními atributy zabezpečení, musíte mít přiřazenou jednu z vlastních rolí atributů zabezpečení.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/attributeSets/allProperties/read Čtení všech vlastností sad atributů
microsoft.directory/customSecurityAttributeDefinitions/allProperties/read Čtení všech vlastností vlastních definic atributů zabezpečení

Protokol atributů Správa istrator

Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:

  • Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
  • Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení
  • Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení

Uživatelé s touto rolí nemohou číst protokoly auditu pro jiné události.

Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Pokud chcete číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli Čtenář protokolu atributů.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení
microsoft.azure.customSecurityAttributeDiagnostic Nastavení/allEntities/allProperties/allTasks Konfigurace všech aspektů nastavení diagnostiky vlastních atributů zabezpečení

Čtenář protokolu atributů

Přiřaďte roli Čtenář protokolu atributů uživatelům, kteří potřebují provádět následující úlohy:

  • Čtení protokolů auditu pro změny hodnoty vlastního atributu zabezpečení
  • Čtení protokolů auditu pro změny a přiřazení vlastních definic atributů zabezpečení

Uživatelé s touto rolí nemohou provádět následující úlohy:

  • Konfigurace nastavení diagnostiky pro vlastní atributy zabezpečení
  • Čtení protokolů auditu pro jiné události

Globální Správa istrator a další role správce ve výchozím nastavení nemají oprávnění ke čtení protokolů auditu pro vlastní atributy zabezpečení. Chcete-li číst protokoly auditu pro vlastní atributy zabezpečení, musíte mít přiřazenou tuto roli nebo roli protokolu atributů Správa istrator.

Další informace naleznete v tématu Správa přístupu k vlastním atributům zabezpečení v Microsoft Entra ID.

Akce Popis
microsoft.directory/customSecurityAttributeAuditLogs/allProperties/read Čtení protokolů auditu souvisejících s vlastními atributy zabezpečení

Správce ověřování

Privileged label icon.

Jedná se o privilegovanou roli. Přiřaďte roli ověřování Správa istrator uživatelům, kteří potřebují:

  • Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro jiné správce a některé role. Seznam rolí, které může ověřovací Správa istrator číst nebo aktualizovat metody ověřování, najdete v tématu Kdo může resetovat hesla.
  • Vyžadovat, aby se uživatelé, kteří nejsou správci nebo přiřadili k některým rolím, znovu zaregistrovali stávající přihlašovací údaje bez hesla (například MFA nebo FIDO), a také můžou odvolat vícefaktorové ověřování na zařízení, které při příštím přihlášení vyzve vícefaktorové ověřování.
  • U některých uživatelů proveďte citlivé akce. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
  • Nastavení vícefaktorového ověřování nejde spravovat na starším portálu pro správu vícefaktorového ověřování nebo na hardwarových tokenech OATH.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role Správa metod ověřování uživatele Správa MFA pro jednotlivé uživatele Správa nastavení MFA Správa zásad metod ověřování Správa zásad ochrany heslem Aktualizace citlivých vlastností Odstraňování a obnovování uživatelů
Ověřování Správa istrator Ano pro některé uživatele Ano pro některé uživatele No No No Ano pro některé uživatele Ano pro některé uživatele
Privileged Authentication Správa istrator Ano pro všechny uživatele Ano pro všechny uživatele No No No Ano pro všechny uživatele Ano pro všechny uživatele
Zásady ověřování Správa istrator No No Ano Ano Ano No No
Správce uživatelů No No No No No Ano pro některé uživatele Ano pro některé uživatele

Důležité

Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a jinde nejsou udělena ověřovacím Správa istrátory. Prostřednictvím této cesty ověřovací Správa istrator může předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Akce Popis
microsoft.directory/users/authenticationMethods/create Aktualizace metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete Odstranění metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/restrictedRead Čtení standardních vlastností metod ověřování, které neobsahují identifikovatelné osobní údaje pro uživatele
microsoft.directory/users/authenticationMethods/basic/update Aktualizace základních vlastností metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/users/delete Odstranění uživatelů
Privileged label icon.
microsoft.directory/users/disable Zakázání uživatelů
Privileged label icon.
microsoft.directory/users/enable Povolení uživatelů
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Privileged label icon.
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Privileged label icon.
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Rozšiřitelnost ověřování Správa istrator

Privileged label icon.

Jedná se o privilegovanou roli. Přiřaďte roli rozšiřitelnosti ověřování Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření a správa všech aspektů vlastních rozšíření ověřování

Uživatelé s touto rolí nemohou provádět následující akce:

  • Vlastní rozšíření ověřování nelze přiřadit aplikacím za účelem úprav prostředí ověřování a nelze udělit souhlas s oprávněními aplikace nebo vytvářet registrace aplikací přidružených k rozšíření vlastního ověřování. Místo toho musíte použít role aplikace Správa istrator, vývojář aplikací nebo cloudová aplikace Správa istrator.

Rozšíření vlastního ověřování je koncový bod rozhraní API vytvořený vývojářem pro události ověřování a je zaregistrovaný v Microsoft Entra ID. Správci aplikací a vlastníci aplikací můžou pomocí vlastních rozšíření ověřování přizpůsobit prostředí ověřování aplikace, jako je přihlášení a registrace nebo resetování hesla.

Další informace

Akce Popis
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Vytváření a správa vlastních rozšíření ověřování
Privileged label icon.

Správce zásad ověřování

Přiřaďte roli zásady ověřování Správa istrator uživatelům, kteří potřebují:

  • Nakonfigurujte zásady metod ověřování, nastavení vícefaktorového ověřování v rámci tenanta a zásady ochrany hesel, které určují, které metody můžou jednotliví uživatelé zaregistrovat a používat.
  • Spravovat nastavení ochrany heslem: konfigurace inteligentního uzamčení a aktualizace vlastního seznamu zakázaných hesel
  • Vytvořte a spravujte ověřitelné přihlašovací údaje.
  • Vytváření a správa lístků podpora Azure

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nelze aktualizovat citlivé vlastnosti. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Uživatele nelze odstranit ani obnovit. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Nastavení vícefaktorového ověřování nejde spravovat na starším portálu pro správu vícefaktorového ověřování nebo na hardwarových tokenech OATH.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role Správa metod ověřování uživatele Správa MFA pro jednotlivé uživatele Správa nastavení MFA Správa zásad metod ověřování Správa zásad ochrany heslem Aktualizace citlivých vlastností Odstraňování a obnovování uživatelů
Ověřování Správa istrator Ano pro některé uživatele Ano pro některé uživatele No No No Ano pro některé uživatele Ano pro některé uživatele
Privileged Authentication Správa istrator Ano pro všechny uživatele Ano pro všechny uživatele No No No Ano pro všechny uživatele Ano pro všechny uživatele
Zásady ověřování Správa istrator No No Ano Ano Ano No No
Správce uživatelů No No No No No Ano pro některé uživatele Ano pro některé uživatele
Akce Popis
microsoft.directory/organization/strongAuthentication/allTasks Správa všech aspektů silných vlastností ověřování organizace
microsoft.directory/userCredentialPolicies/create Vytvoření zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/delete Odstranění zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/standard/read Čtení standardních vlastností zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/owners/read Čtení vlastníků zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/policyAppliedTo/read Read policy.appliesTo navigation link
microsoft.directory/userCredentialPolicies/basic/update Aktualizace základních zásad pro uživatele
microsoft.directory/userCredentialPolicies/owners/update Aktualizace vlastníků zásad přihlašovacích údajů pro uživatele
microsoft.directory/userCredentialPolicies/tenantDefault/update Update policy.isOrganizationDefault – vlastnost
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Čtení ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odvolání ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/create Vytvoření ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Čtení ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizace ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/create Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/delete Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech jeho ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure

Azure DevOps Správa istrator

Uživatelé s touto rolí můžou spravovat všechny podnikové zásady Azure DevOps, které platí pro všechny organizace Azure DevOps, které jsou podporovány ID Microsoft Entra. Uživatelé v této roli můžou tyto zásady spravovat tak, že přejdou do libovolné organizace Azure DevOps, která je podporována ID Microsoft Entra společnosti. Uživatelé v této roli navíc můžou nárokovat vlastnictví osamocených organizací Azure DevOps. Tato role neuděluje žádná další oprávnění specifická pro Azure DevOps (například kolekce projektů Správa istrátory) v žádné organizaci Azure DevOps, kterou podporuje organizace Microsoft Entra společnosti.

Akce Popis
microsoft.azure.devOps/allEntities/allTasks Čtení a konfigurace Azure DevOps

Azure Information Protection Správa istrator

Uživatelé s touto rolí mají všechna oprávnění ve službě Azure Information Protection. Tato role umožňuje konfigurovat popisky zásad služby Azure Information Protection, spravovat šablony ochrany a aktivovat ochranu. Tato role neuděluje žádná oprávnění ve službě Identity Protection, Privileged Identity Management, Monitor Microsoft 365 Service Health, portálu Microsoft 365 Defender ani Portál dodržování předpisů Microsoft Purview.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů služby Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce sady klíčů IEF B2C

Privileged label icon.

Jedná se o privilegovanou roli. Uživatel může vytvářet a spravovat klíče zásad a tajné kódy pro šifrování tokenů, podpisy tokenů a šifrování a dešifrování deklarací identity. Přidáním nových klíčů do existujících kontejnerů klíčů může tento omezený správce podle potřeby převést tajné kódy, aniž by to mělo vliv na existující aplikace. Tento uživatel může zobrazit úplný obsah těchto tajných kódů a data vypršení platnosti i po jeho vytvoření.

Důležité

Jedná se o citlivou roli. Role správce sady klíčů by se měla pečlivě auditovat a přiřazovat opatrně během předprodukčního a produkčního prostředí.

Akce Popis
microsoft.directory/b2cTrustFrameworkKeySet/allProperties/allTasks Čtení a konfigurace sad klíčů v Azure Active Directory B2C
Privileged label icon.

Správce zásad IEF B2C

Uživatelé v této roli mají možnost vytvářet, číst, aktualizovat a odstraňovat všechny vlastní zásady v Azure AD B2C, a proto mají plnou kontrolu nad architekturou prostředí identit v příslušné organizaci Azure AD B2C. Úpravou zásad může tento uživatel navázat přímou federaci s externími zprostředkovateli identit, změnit schéma adresáře, změnit veškerý uživatelský obsah (HTML, CSS, JavaScript), změnit požadavky na dokončení ověřování, vytvořit nové uživatele, posílat data uživatelů do externích systémů, včetně úplné migrace, a upravovat všechny informace o uživatelích včetně citlivých polí, jako jsou hesla a telefonní čísla. Naopak tato role nemůže změnit šifrovací klíče ani upravit tajné kódy používané pro federaci v organizaci.

Důležité

Zásada B2 IEF Správa istrator je vysoce citlivá role, která by měla být přiřazena velmi omezeným způsobem pro organizace v produkčním prostředí. Aktivity těchto uživatelů by měly být pečlivě auditovány, zejména pro organizace v produkčním prostředí.

Akce Popis
microsoft.directory/b2cTrustFrameworkPolicy/allProperties/allTasks Čtení a konfigurace vlastních zásad v Azure Active Directory B2C

Správce fakturace

Provádí nákupy, spravuje předplatná, spravuje lístky podpory a monitoruje stav služby.

Akce Popis
microsoft.directory/organization/basic/update Aktualizace základních vlastností v organizaci
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.commerce.billing/allEntities/allProperties/allTasks Správa všech aspektů fakturace Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Cloud App Security Správa istrator

Uživatelé s touto rolí mají úplná oprávnění v programu Defender for Cloud Apps. Můžou přidávat správce, přidávat zásady a nastavení Microsoft Defenderu for Cloud Apps, nahrávat protokoly a provádět akce zásad správného řízení.

Akce Popis
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce cloudové aplikace

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé v této roli mají stejná oprávnění jako role Správce aplikací, s výjimkou možnosti spravovat proxy aplikace. Tato role umožňuje vytvářet a spravovat všechny aspekty podnikových aplikací a registrací aplikací. Uživatelé přiřazení k této roli se nepřidávají jako vlastníci při vytváření nových registrací aplikací nebo podnikových aplikací.

Tato role také uděluje možnost souhlasu s delegovanými oprávněními a oprávněními aplikace s výjimkou oprávnění aplikace pro Microsoft Graph.

Důležité

Tato výjimka znamená, že stále můžete udělit souhlas s oprávněními aplikace pro jiné aplikace (například aplikace jiné společnosti než Microsoft nebo aplikace, které jste zaregistrovali). Tato oprávnění si můžete vyžádat i v rámci registrace aplikace, ale udělení (tj. souhlas) těchto oprávnění vyžaduje privilegovaného správce, jako je globální Správa istrator.

Tato role uděluje možnost spravovat přihlašovací údaje aplikace. Uživatelé přiřazení této role mohou do aplikace přidat přihlašovací údaje a pomocí těchto přihlašovacích údajů zosobnit identitu aplikace. Pokud byla identitě aplikace udělen přístup k prostředku, jako je například schopnost vytvářet nebo aktualizovat uživatele nebo jiné objekty, může uživatel přiřazený k této roli provádět tyto akce při zosobnění aplikace. Tato schopnost zosobnit identitu aplikace může být zvýšením oprávnění nad tím, co může uživatel dělat prostřednictvím přiřazení rolí. Je důležité pochopit, že přiřazení uživatele k roli Správa istrator aplikace mu dává možnost zosobnit identitu aplikace.

Akce Popis
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Správa zásad žádostí o souhlas správce v Microsoft Entra ID
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Privileged label icon.
microsoft.directory/applications/extensionProperties/update Aktualizace vlastností rozšíření v aplikacích
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/applications/verification/update Aktualizovat vlastnost aplikace
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/deletedItems.applications/delete Trvalé odstranění aplikací, které se už nedají obnovit
microsoft.directory/deletedItems.applications/restore Obnovení obnovitelně odstraněných aplikací do původního stavu
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/applicationPolicies/create Vytvoření zásad aplikace
microsoft.directory/applicationPolicies/delete Odstranění zásad aplikace
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/applicationPolicies/owners/read Čtení vlastníků zásad aplikací
microsoft.directory/applicationPolicies/policyAppliedTo/read Čtení zásad aplikací použitých u seznamu objektů
microsoft.directory/applicationPolicies/basic/update Aktualizace standardních vlastností zásad aplikace
microsoft.directory/applicationPolicies/owners/update Aktualizace vlastnosti vlastníka zásad aplikace
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání instančních objektů
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů jednotného přihlašování pomocí hesla u instančních objektů
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů jednotného přihlašování pomocí hesla pro instanční objekty
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-application-admin Udělení souhlasu pro oprávnění aplikace a delegovaná oprávnění jménem libovolného uživatele nebo všech uživatelů s výjimkou oprávnění aplikace pro Microsoft Graph
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/audience/update Aktualizace vlastností cílové skupiny u instančních objektů
microsoft.directory/servicePrincipals/authentication/update Aktualizace vlastností ověřování u instančních objektů
microsoft.directory/servicePrincipals/basic/update Aktualizace základních vlastností instančních objektů
microsoft.directory/servicePrincipals/credentials/update Aktualizace přihlašovacích údajů instančních objektů
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update Aktualizace poznámek k instančním objektům
microsoft.directory/servicePrincipals/owners/update Aktualizace vlastníků instančních objektů
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro instanční objekty
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správa istrator cloudového zařízení

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé v této roli můžou na webu Azure Portal povolit, zakázat a odstranit zařízení v Microsoft Entra ID a číst klíče BitLockeru s Windows 10 (pokud existují). Role neuděluje oprávnění ke správě dalších vlastností v zařízení.

Akce Popis
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Privileged label icon.
microsoft.directory/deletedItems.devices/delete Trvale odstranit zařízení, která se už nedají obnovit
microsoft.directory/deletedItems.devices/restore Obnovení obnovitelně odstraněných zařízení do původního stavu
microsoft.directory/devices/delete Odstranění zařízení z Microsoft Entra ID
microsoft.directory/devices/disable Zakázání zařízení v Microsoft Entra ID
microsoft.directory/devices/enable Povolení zařízení v Microsoft Entra ID
microsoft.directory/deviceLocalCredentials/password/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra, včetně hesla
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceManagementPolicies/basic/update Aktualizace základních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
Privileged label icon.
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizace základních vlastností zásad registrace zařízení
Privileged label icon.
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365

Správa istrator dodržování předpisů

Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících s dodržováním předpisů na portálu Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365, Azure a Microsoft 365 Defender. Přiřazovaní můžou také spravovat všechny funkce v Centru pro správu Exchange a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál pro dodržování předpisů Microsoft Purview Ochrana a správa dat vaší organizace napříč službami Microsoftu 365
Správa upozornění dodržování předpisů
Microsoft Purview Compliance Manager Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace
Portál Microsoft 365 Defender Správa zásad správného řízení dat
Prošetření právních údajů a dat
Správa žádosti subjektu údajů

Tato role má stejná oprávnění jako skupina rolí dodržování předpisů Správa istrator v řízení přístupu na portálu Microsoft 365 Defender.
Intune Zobrazení všech dat auditu Intune
Microsoft Defender for Cloud Apps Má oprávnění jen pro čtení a může spravovat výstrahy.
Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů.
Může zobrazit všechny předdefinované sestavy v části Správa dat
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Data dodržování předpisů Správa istrator

Uživatelé s touto rolí mají oprávnění ke sledování dat v Portál dodržování předpisů Microsoft Purview, Centrum pro správu Microsoftu 365 a Azure. Uživatelé můžou také sledovat data dodržování předpisů v Centru pro správu Exchange, Správci dodržování předpisů a v Centru pro správu Teams a Skype pro firmy a vytvářet lístky podpory pro Azure a Microsoft 365. Další informace o rozdílech mezi Správa istratorem dodržování předpisů a daty dodržování předpisů Správa istrator najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů v Microsoft Purview.

V Může to udělat
Portál pro dodržování předpisů Microsoft Purview Monitorování zásad souvisejících s dodržováním předpisů napříč službami Microsoftu 365
Správa upozornění dodržování předpisů
Microsoft Purview Compliance Manager Sledování, přiřazení a ověření aktivit dodržování právních předpisů vaší organizace
Portál Microsoft 365 Defender Správa zásad správného řízení dat
Prošetření právních údajů a dat
Správa žádosti subjektu údajů

Tato role má stejná oprávnění jako skupina rolí data dodržování předpisů Správa istrator v řízení přístupu na portálu Microsoft 365 Defender.
Intune Zobrazení všech dat auditu Intune
Microsoft Defender for Cloud Apps Má oprávnění jen pro čtení a může spravovat výstrahy.
Může vytvářet a upravovat zásady souborů a povolovat akce zásad správného řízení souborů.
Může zobrazit všechny předdefinované sestavy v části Správa dat
Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů služby Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Podmíněný přístup Správa istrator

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají možnost spravovat nastavení podmíněného přístupu Microsoft Entra.

Akce Popis
microsoft.directory/namedLocations/create Vytvoření vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/delete Odstranění vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/namedLocations/basic/update Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/conditionalAccessPolicies/create Vytváření zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/delete Odstranění zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/conditionalAccessPolicies/owners/read Čtení vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost "použitý na" pro zásady podmíněného přístupu.
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizace základních vlastností pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/owners/update Aktualizace vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizace výchozího tenanta pro zásady podmíněného přístupu
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365
Privileged label icon.

Schvalovatel přístupu Customer LockBoxu

Spravuje žádosti Microsoft Purview Customer Lockbox ve vaší organizaci. Dostanou e-mailová oznámení o žádostech Customer Lockboxu a můžou schválit a odepřít žádosti z Centrum pro správu Microsoftu 365. Můžou také zapnout nebo vypnout funkci Customer Lockbox. Hesla uživatelů přiřazených k této roli můžou resetovat jenom globální Správa istrátory.

Akce Popis
microsoft.office365.lockbox/allEntities/allTasks Správa všech aspektů Customer Lockboxu
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Desktop Analytics Správa istrator

Uživatelé v této roli mohou spravovat službu Desktop Analytics. To zahrnuje možnost zobrazení inventáře prostředků, vytvoření plánů nasazení a zobrazení stavu nasazení a stavu.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.desktopAnalytics/allEntities/allTasks Správa všech aspektů Desktop Analytics

Čtenáři adresářů

Uživatelé v této roli mohou číst základní informace o adresáři. Tuto roli byste měli použít pro:

  • Udělení konkrétní sady přístupů pro čtení uživatelů typu host místo udělení všem uživatelům typu host.
  • Udělení konkrétní sady uživatelů, kteří nejsou správci, přístup k webu Azure Portal, když je možnost Omezit přístup k webu Azure Portal jenom pro správce nastavená na Ano.
  • Udělení přístupu instančním objektům k adresáři, kde Directory.Read.All není možnost.
Akce Popis
microsoft.directory/administrativeUnits/standard/read Čtení základních vlastností jednotek pro správu
microsoft.directory/administrativeUnits/members/read Čtení členů jednotek pro správu
microsoft.directory/applications/standard/read Čtení standardních vlastností aplikací
microsoft.directory/applications/owners/read Čtení vlastníků aplikací
microsoft.directory/applications/policies/read Čtení zásad aplikací
microsoft.directory/contacts/standard/read Čtení základních vlastností kontaktů v MICROSOFT Entra ID
microsoft.directory/contacts/memberOf/read Čtení členství ve skupině pro všechny kontakty v Microsoft Entra ID
microsoft.directory/contracts/standard/read Čtení základních vlastností u kontraktů partnerů
microsoft.directory/devices/standard/read Čtení základních vlastností na zařízeních
microsoft.directory/devices/memberOf/read Čtení členství zařízení
microsoft.directory/devices/registeredOwners/read Čtení registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/read Čtení registrovaných uživatelů zařízení
microsoft.directory/directoryRoles/standard/read Čtení základních vlastností rolí Microsoft Entra
microsoft.directory/directoryRoles/eligibleMembers/read Přečtěte si oprávněné členy rolí Microsoft Entra.
microsoft.directory/directoryRoles/members/read Čtení všech členů rolí Microsoft Entra
microsoft.directory/domains/standard/read Čtení základních vlastností v doménách
microsoft.directory/groups/standard/read Čtení standardních vlastností skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/appRoleAssignments/read Čtení přiřazení rolí aplikace skupin
microsoft.directory/groups/memberOf/read Přečtěte si vlastnost memberOf ve skupinách zabezpečení a skupinách Microsoftu 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/groups/members/read Čtení členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/owners/read Čtení vlastníků skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/settings/read Čtení nastavení skupin
microsoft.directory/group Nastavení/standard/read Čtení základních vlastností v nastavení skupiny
microsoft.directory/groupSettingTemplates/standard/read Čtení základních vlastností v šablonách nastavení skupin
microsoft.directory/oAuth2PermissionGrants/standard/read Čtení základních vlastností u udělení oprávnění OAuth 2.0
microsoft.directory/organization/standard/read Čtení základních vlastností v organizaci
microsoft.directory/organization/trustedCAsForPasswordlessAuth/read Čtení důvěryhodných certifikačních autorit pro ověřování bez hesla
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/roleAssignments/standard/read Čtení základních vlastností přiřazení rolí
microsoft.directory/roleDefinitions/standard/read Čtení základních vlastností definic rolí
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Čtení přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/appRoleAssignments/read Čtení přiřazení rolí přiřazených instančním objektům
microsoft.directory/servicePrincipals/standard/read Čtení základních vlastností instančních objektů
microsoft.directory/servicePrincipals/memberOf/read Čtení členství ve skupinách v instančních objektech
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Čtení delegovaných oprávnění u instančních objektů
microsoft.directory/servicePrincipals/owners/read Čtení vlastníků instančních objektů
microsoft.directory/servicePrincipals/ownedObjects/read Čtení vlastněných objektů instančních objektů
microsoft.directory/servicePrincipals/policies/read Čtení zásad instančních objektů
microsoft.directory/subscribedSkus/standard/read Čtení základních vlastností předplatných
microsoft.directory/users/standard/read Čtení základníchvlastnostíchch
microsoft.directory/users/appRoleAssignments/read Čtení přiřazení rolí aplikace pro uživatele
microsoft.directory/users/deviceForResourceAccount/read Čtení zařízeníForResourceAccount uživatelů
microsoft.directory/users/directReports/read Čtení přímých sestav pro uživatele
microsoft.directory/users/licenseDetails/read Čtení podrobností o licencích uživatelů
microsoft.directory/users/manager/read Číst nadřízený uživatelů
microsoft.directory/users/memberOf/read Čtení členství ve skupinách uživatelů
microsoft.directory/users/oAuth2PermissionGrants/read Čtení delegovaných oprávnění u uživatelů
microsoft.directory/users/ownedDevices/read Čtení vlastněných zařízení uživatelů
microsoft.directory/users/ownedObjects/read Čtení vlastněných objektů uživatelů
microsoft.directory/users/photo/read Přečíst fotku uživatelů
microsoft.directory/users/registeredDevices/read Čtení registrovaných zařízení uživatelů
microsoft.directory/users/scopedRoleMemberOf/read Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu
microsoft.directory/users/sponzors/read Přečíst sponzory uživatelů

Účty synchronizace adresářů

Privileged label icon.

Jedná se o privilegovanou roli. Nepoužívat. Tato role se automaticky přiřadí službě Microsoft Entra Připojení a není určena ani podporována pro jakékoli jiné použití.

Akce Popis
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Privileged label icon.
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Správa zásad hybridního ověřování v Microsoft Entra ID
Privileged label icon.
microsoft.directory/organization/dirSync/update Aktualizace vlastnosti synchronizace adresáře organizace
microsoft.directory/passwordHashSync/allProperties/allTasks Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Microsoft Entra ID
microsoft.directory/policies/create Vytvoření zásad v Microsoft Entra ID
microsoft.directory/policies/delete Odstranění zásad v Microsoft Entra ID
microsoft.directory/policies/standard/read Čtení základních vlastností zásad
microsoft.directory/policies/owners/read Čtení vlastníků zásad
microsoft.directory/policies/policyAppliedTo/read Read policies.policyAppliedTo – vlastnost
microsoft.directory/policies/basic/update Aktualizace základních vlastností zásad
Privileged label icon.
microsoft.directory/policies/owners/update Aktualizace vlastníků zásad
microsoft.directory/policies/tenantDefault/update Aktualizace výchozích zásad organizace
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění instančních objektů
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání instančních objektů
microsoft.directory/servicePrincipals/getPasswordSingleSignOnCredentials Správa přihlašovacích údajů jednotného přihlašování pomocí hesla u instančních objektů
microsoft.directory/servicePrincipals/managePasswordSingleSignOnCredentials Čtení přihlašovacích údajů jednotného přihlašování pomocí hesla pro instanční objekty
microsoft.directory/servicePrincipals/appRoleAssignedTo/read Čtení přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/appRoleAssignments/read Čtení přiřazení rolí přiřazených instančním objektům
microsoft.directory/servicePrincipals/standard/read Čtení základních vlastností instančních objektů
microsoft.directory/servicePrincipals/memberOf/read Čtení členství ve skupinách v instančních objektech
microsoft.directory/servicePrincipals/oAuth2PermissionGrants/read Čtení delegovaných oprávnění u instančních objektů
microsoft.directory/servicePrincipals/owners/read Čtení vlastníků instančních objektů
microsoft.directory/servicePrincipals/ownedObjects/read Čtení vlastněných objektů instančních objektů
microsoft.directory/servicePrincipals/policies/read Čtení zásad instančních objektů
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/audience/update Aktualizace vlastností cílové skupiny u instančních objektů
microsoft.directory/servicePrincipals/authentication/update Aktualizace vlastností ověřování u instančních objektů
microsoft.directory/servicePrincipals/basic/update Aktualizace základních vlastností instančních objektů
microsoft.directory/servicePrincipals/credentials/update Aktualizace přihlašovacích údajů instančních objektů
Privileged label icon.
microsoft.directory/servicePrincipals/notes/update Aktualizace poznámek k instančním objektům
microsoft.directory/servicePrincipals/owners/update Aktualizace vlastníků instančních objektů
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro instanční objekty

Zapisovače adresářů

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé v této roli mohou číst a aktualizovat základní informace o uživatelích, skupinách a instančních objektech.

Akce Popis
microsoft.directory/applications/extensionProperties/update Aktualizace vlastností rozšíření v aplikacích
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/basic/update Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizujte skupiny Microsoft Entra tak, aby se zapsaly zpět do místního prostředí pomocí microsoft Entra Připojení
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/settings/update Aktualizace nastavení skupin
microsoft.directory/groups/visibility/update Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/group Nastavení/create Vytvoření nastavení skupin
microsoft.directory/group Nastavení/delete Odstranění nastavení skupin
microsoft.directory/group Nastavení/basic/update Aktualizace základních vlastností v nastavení skupiny
microsoft.directory/oAuth2PermissionGrants/create Vytvoření udělení oprávnění OAuth 2.0
Privileged label icon.
microsoft.directory/oAuth2PermissionGrants/basic/update Aktualizace udělení oprávnění OAuth 2.0
Privileged label icon.
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Správa cloudového tenanta do aplikace cloudového tenanta zřizování tajných kódů a přihlašovacích údajů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Spusťte, restartujte a pozastavte cloudového tenanta na úlohy synchronizace zřizování aplikací cloudového tenanta.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Vytvoření a správa cloudového tenanta pro zřizování synchronizačních úloh a schématu aplikace cloudového tenanta
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/create Přidat uživatele
Privileged label icon.
microsoft.directory/users/disable Zakázání uživatelů
Privileged label icon.
microsoft.directory/users/enable Povolení uživatelů
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Privileged label icon.
microsoft.directory/users/inviteGuest Pozvání uživatelů typu host
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/sponzors/update Aktualizace sponzorů uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Privileged label icon.

Název domény Správa istrator

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat (číst, přidávat, ověřovat, aktualizovat a odstraňovat) názvy domén. Mohou také číst informace o adresáři o uživatelích, skupinách a aplikacích, protože tyto objekty mají závislosti domény. V případě místních prostředí můžou uživatelé s touto rolí nakonfigurovat názvy domén pro federaci tak, aby přidružené uživatele byly vždy ověřeny místně. Tito uživatelé se pak můžou přihlásit ke službám založeným na Microsoft Entra pomocí místních hesel prostřednictvím jednotného přihlašování. Nastavení federace je potřeba synchronizovat prostřednictvím Připojení Microsoft Entra, takže uživatelé mají také oprávnění ke správě Připojení Microsoft Entra.

Akce Popis
microsoft.directory/domains/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Dynamics 365

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Dynamics 365 Online, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Použití rolí správce služby ke správě vašeho tenanta.

Poznámka:

V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Dynamics 365 Service Správa istrator. Na webu Azure Portal se jmenuje Dynamics 365 Správa istrator.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Dynamics 365 Business Central Správa istrator

Přiřaďte roli Dynamics 365 Business Central Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Přístup k prostředí Dynamics 365 Business Central
  • Provádění všech úloh správy v prostředích
  • Správa životního cyklu prostředí zákazníka
  • Dohled nad rozšířeními nainstalovanými v prostředích
  • Řízení upgradů prostředí
  • Export dat prostředí
  • Čtení a konfigurace řídicích panelů stavu služeb Azure a Microsoft 365

Tato role neposkytuje žádná oprávnění pro ostatní produkty Dynamics 365.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/subscribedSkus/allProperties/read Čtení všech vlastností předplatných produktů
microsoft.dynamics365.businessCentral/allEntities/allProperties/allTasks Správa všech aspektů Dynamics 365 Business Central
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Edge Správa istrator

Uživatelé v této roli můžou vytvářet a spravovat seznam podnikových webů vyžadovaný pro režim Internet Exploreru v Microsoft Edgi. Tato role uděluje oprávnění k vytváření, úpravám a publikování seznamu webů a navíc umožňuje přístup ke správě lístků podpory. Další informace

Akce Popis
microsoft.edge/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Edge
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce Exchange

Uživatelé s touto rolí mají globální oprávnění v rámci microsoft Exchange Online, když je služba přítomna. Má také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Poznámka:

V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Exchange Service Správa istrator. Na webu Azure Portal se jmenuje Exchange Správa istrator. V Centru pro správu Exchange se jmenuje správce Exchange Online.

Akce Popis
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.exchange/allEntities/basic/allTasks Správa všech aspektů Exchange Online
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Exchange Recipient Správa istrator

Uživatelé s touto rolí mají přístup ke čtení příjemcům a oprávnění k zápisu k atributům těchto příjemců v Exchangi Online. Další informace naleznete v tématu Příjemci na serveru Exchange Server.

Akce Popis
microsoft.office365.exchange/recipients/allProperties/allTasks Vytvoření a odstranění všech příjemců a čtení a aktualizace všech vlastností příjemců v Exchangi Online
microsoft.office365.exchange/migration/allProperties/allTasks Správa všech úkolů souvisejících s migrací příjemců v Exchangi Online

Tok uživatele externího ID Správa istrator

Uživatelé s touto rolí můžou vytvářet a spravovat toky uživatelů (označované také jako předdefinované zásady) na webu Azure Portal. Tito uživatelé můžou přizpůsobit obsah HTML/CSS/JavaScript, změnit požadavky na vícefaktorové ověřování, vybrat deklarace identity v tokenu, spravovat konektory rozhraní API a jejich přihlašovací údaje a konfigurovat nastavení relace pro všechny toky uživatelů v organizaci Microsoft Entra. Na druhou stranu tato role nezahrnuje možnost kontrolovat uživatelská data ani provádět změny atributů, které jsou součástí schématu organizace. Změny zásad architektury Identity Experience Framework (označované také jako vlastní zásady) jsou také mimo rozsah této role.

Akce Popis
microsoft.directory/b2cUserFlow/allProperties/allTasks Čtení a konfigurace toku uživatele v Azure Active Directory B2C

Atribut toku externího ID uživatele Správa istrator

Uživatelé s touto rolí přidávají nebo odstraňují vlastní atributy dostupné všem tokům uživatelů v organizaci Microsoft Entra. Uživatelé s touto rolí mohou změnit nebo přidat nové prvky do schématu koncového uživatele a ovlivnit chování všech toků uživatelů a nepřímo vést ke změnám toho, jaká data mohou být požádáni o koncové uživatele a nakonec je odesílat jako deklarace identity aplikacím. Tato role nemůže upravovat toky uživatelů.

Akce Popis
microsoft.directory/b2cUserAttribute/allProperties/allTasks Čtení a konfigurace atributu uživatele v Azure Active Directory B2C

Externí zprostředkovatel identity Správa istrator

Privileged label icon.

Jedná se o privilegovanou roli. Tento správce spravuje federaci mezi organizacemi Microsoft Entra a externími zprostředkovateli identit. V této roli můžou uživatelé přidávat nové zprostředkovatele identity a konfigurovat všechna dostupná nastavení (např. cesta ověřování, ID služby, přiřazené kontejnery klíčů). Tento uživatel může organizaci Microsoft Entra povolit, aby důvěřovala ověřování od externích zprostředkovatelů identity. Výsledný dopad na prostředí koncových uživatelů závisí na typu organizace:

  • Organizace Microsoft Entra pro zaměstnance a partnery: Přidání federace (např. s Gmailem) okamžitě ovlivní všechny pozvánky hostů, které ještě nebyly uplatněny. Viz Přidání Googlu jako zprostředkovatele identity pro uživatele typu host B2B.
  • Organizace Azure Active Directory B2C: Přidání federace (například s Facebookem nebo s jinou organizací Microsoft Entra) nemá okamžitě vliv na toky koncových uživatelů, dokud se zprostředkovatel identity nepřidá jako možnost v toku uživatele (označuje se také jako předdefinovaná zásada). Příklad najdete v tématu Konfigurace účtu Microsoft jako zprostředkovatele identity. Pokud chcete změnit toky uživatelů, vyžaduje se omezená role toku uživatele B2C Správa istrator.
Akce Popis
microsoft.directory/domains/federation/update Aktualizace vlastnosti federace domén
Privileged label icon.
microsoft.directory/identityProviders/allProperties/allTasks Čtení a konfigurace zprostředkovatelů identity v Azure Active Directory B2C
Privileged label icon.

Správa istrator prostředků infrastruktury

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Fabric a Power BI, pokud je služba přítomna, a také možnost spravovat lístky podpory a monitorovat stav služby. Další informace najdete v tématu Principy rolí správců prostředků infrastruktury.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.powerApps.powerBI/allEntities/allTasks Správa všech aspektů prostředků infrastruktury a Power BI

Globální správce

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají přístup ke všem funkcím správy v Microsoft Entra ID a službám, které používají identity Microsoft Entra, jako je portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, Exchange Online, SharePoint Online a Skype pro firmy Online. Globální Správa istrátory můžou zobrazit protokoly aktivit adresáře. Globální Správa istrátory navíc můžou zvýšit přístup ke správě všech předplatných a skupin pro správu Azure. To umožňuje globálním Správa istrátorům získat úplný přístup ke všem prostředkům Azure pomocí příslušného tenanta Microsoft Entra. Osoba, která se zaregistruje do organizace Microsoft Entra, se stane globálním Správa istratorem. Ve vaší společnosti může být více než jeden globální Správa istrator. Globální Správa istrátory můžou resetovat heslo pro libovolného uživatele a všechny ostatní správce. Globální Správa istrator nemůže odebrat vlastní přiřazení globálního Správa istratoru. To je zabránit situaci, kdy má organizace nula globálních Správa istrátorů.

Poznámka:

Osvědčeným postupem je, že Microsoft doporučuje přiřadit roli globálního Správa istratoru méně než pěti lidem ve vaší organizaci. Další informace naleznete v tématu Osvědčené postupy pro role Microsoft Entra.

Akce Popis
microsoft.directory/accessReviews/allProperties/allTasks (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Microsoft Entra ID
microsoft.directory/accessReviews/definitions/allProperties/allTasks Správa kontrol přístupu všech kontrolovatelných prostředků v Microsoft Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/allTasks Správa zásad žádostí o souhlas správce v Microsoft Entra ID
microsoft.directory/administrativeUnits/allProperties/allTasks Vytváření a správa jednotek pro správu (včetně členů)
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applications/allProperties/allTasks Vytváření a odstraňování aplikací a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/users/authenticationMethods/create Aktualizace metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete Odstranění metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/read Čtení standardních vlastností metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/basic/update Aktualizace základních vlastností metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/authorizationPolicy/allProperties/allTasks Správa všech aspektů zásad autorizace
Privileged label icon.
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Privileged label icon.
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.directory/connectors/create Vytváření konektorů proxy aplikací
microsoft.directory/connectors/allProperties/read Čtení všech vlastností konektorů proxy aplikací
microsoft.directory/connectorGroups/create Vytvoření skupin konektorů proxy aplikací
microsoft.directory/connectorGroups/delete Odstranění skupin konektorů proxy aplikací
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin konektorů proxy aplikací
microsoft.directory/connectorGroups/allProperties/update Aktualizace všech vlastností skupin konektorů proxy aplikací
microsoft.directory/contacts/allProperties/allTasks Vytváření a odstraňování kontaktů a čtení a aktualizace všech vlastností
microsoft.directory/contracts/allProperties/allTasks Vytváření a odstraňování partnerských kontraktů a čtení a aktualizace všech vlastností
microsoft.directory/customAuthenticationExtensions/allProperties/allTasks Vytváření a správa vlastních rozšíření ověřování
Privileged label icon.
microsoft.directory/deletedItems/delete Trvalé odstranění objektů, které se už nedají obnovit
microsoft.directory/deletedItems/restore Obnovení obnovitelně odstraněných objektů do původního stavu
microsoft.directory/devices/allProperties/allTasks Vytváření a odstraňování zařízení a čtení a aktualizace všech vlastností
microsoft.directory/groupsAssignableToRoles/assignLicense Přiřazení licence skupinám s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí ke skupinám, které je možné přiřadit rolím
microsoft.directory/multiTenantOrganization/basic/update Aktualizace základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/create Vytvoření organizace s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualizace základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/create Vytvoření tenanta v organizaci s více tenanty
microsoft.directory/multiTenantOrganization/tenants/delete Odstranění tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/namedLocations/create Vytvoření vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/delete Odstranění vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/namedLocations/basic/update Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/deviceLocalCredentials/password/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra, včetně hesla
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceManagementPolicies/basic/update Aktualizace základních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
Privileged label icon.
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/deviceRegistrationPolicy/basic/update Aktualizace základních vlastností zásad registrace zařízení
Privileged label icon.
microsoft.directory/directoryRoles/allProperties/allTasks Vytváření a odstraňování rolí adresáře a čtení a aktualizace všech vlastností
microsoft.directory/directoryRoleTemplates/allProperties/allTasks Vytváření a odstraňování šablon rolí Microsoft Entra a čtení a aktualizace všech vlastností
microsoft.directory/domains/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/basic/update Aktualizace základní konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/create Vytvoření konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/delete Odstranění konfigurace federace pro domény
microsoft.directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/groups/allProperties/allTasks Vytváření a odstraňování skupin a čtení a aktualizace všech vlastností
microsoft.directory/groupsAssignableToRoles/create Vytváření skupin s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/delete Odstranění přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/restore Obnovení přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizace přiřazovatelných skupin rolí
microsoft.directory/group Nastavení/allProperties/allTasks Vytvoření a odstranění nastavení skupiny a čtení a aktualizace všech vlastností
microsoft.directory/groupSettingTemplates/allProperties/allTasks Vytvoření a odstranění šablon nastavení skupin a čtení a aktualizace všech vlastností
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Správa zásad hybridního ověřování v Microsoft Entra ID
Privileged label icon.
microsoft.directory/identityProtection/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Entra ID Protection
Privileged label icon.
microsoft.directory/loginOrganizationBranding/allProperties/allTasks Vytvoření a odstranění loginTenantBranding a čtení a aktualizace všech vlastností
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/organization/allProperties/allTasks Čtení a aktualizace všech vlastností pro organizaci
microsoft.directory/passwordHashSync/allProperties/allTasks Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Microsoft Entra ID
microsoft.directory/policies/allProperties/allTasks Vytváření a odstraňování zásad a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/conditionalAccessPolicies/allProperties/allTasks Správa všech vlastností zásad podmíněného přístupu
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizace základních nastavení zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Připojení/update Aktualizace nastavení přímého připojení Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizace omezení tenanta výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/create Vytvoření zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/delete Odstranění zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualizace šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Nastavení Resetování šablony zásad synchronizace mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualizace šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Nastavení Resetování šablony zásad přístupu mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Připojení/update Aktualizace nastavení přímého připojení Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizace omezení tenanta zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Vytvoření zásad synchronizace mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aktualizace základních nastavení zásad synchronizace mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Čtení základních vlastností zásad synchronizace mezi tenanty
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365
Privileged label icon.
microsoft.directory/roleAssignments/allProperties/allTasks Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytváření a odstraňování oborůRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/serviceAction/activateService Může provést akci "Aktivovat službu" pro službu.
microsoft.directory/serviceAction/disableDirectoryFeature Může provést akci služby Zakázat funkci adresáře.
microsoft.directory/serviceAction/enableDirectoryFeature Může provést akci služby Povolit funkci adresáře.
microsoft.directory/serviceAction/getAvailableExtentionProperties Může provést akci služby getAvailableExtentionProperties.
microsoft.directory/servicePrincipals/allProperties/allTasks Vytváření a odstraňování instančních objektů a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udělení souhlasu pro jakékoli oprávnění k jakékoli aplikaci
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Správa cloudového tenanta do aplikace cloudového tenanta zřizování tajných kódů a přihlašovacích údajů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Spusťte, restartujte a pozastavte cloudového tenanta na úlohy synchronizace zřizování aplikací cloudového tenanta.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Vytvoření a správa cloudového tenanta pro zřizování synchronizačních úloh a schématu aplikace cloudového tenanta
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/subscribedSkus/allProperties/allTasks Nákup a správa předplatných a odstranění předplatných
microsoft.directory/users/allProperties/allTasks Vytváření a odstraňování uživatelů a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/users/convertExternalToInternalMemberUser Převod externího uživatele na interního uživatele
microsoft.directory/permissionGrantPolicies/create Vytvoření zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/delete Odstranění zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/standard/read Čtení standardních vlastností zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/basic/update Aktualizace základních vlastností zásad udělení oprávnění
microsoft.directory/servicePrincipalCreationPolicies/create Vytvoření zásad vytváření instančního objektu
microsoft.directory/servicePrincipalCreationPolicies/delete Odstranění zásad vytváření instančního objektu
microsoft.directory/servicePrincipalCreationPolicies/standard/read Čtení standardních vlastností zásad vytváření instančních objektů
microsoft.directory/servicePrincipalCreationPolicies/basic/update Aktualizace základních vlastností zásad vytváření instančního objektu
microsoft.directory/tenantManagement/tenants/create Vytvoření nových tenantů v Microsoft Entra ID
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Čtení ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/cards/revoke Odvolání ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/create Vytvoření ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Čtení ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/update Aktualizace ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/create Vytvoření konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/delete Odstranění konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů a odstranění všech jeho ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/update Aktualizace konfigurace potřebné k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Správa všech aspektů pracovních postupů životního cyklu a úloh v ID Microsoft Entra
microsoft.directory/pendingExternalUserProfiles/create Vytvoření externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.azure.advancedThreatProtection/allEntities/allTasks Správa všech aspektů služby Azure Advanced Threat Protection
microsoft.azure.informationProtection/allEntities/allTasks Správa všech aspektů služby Azure Information Protection
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Správa všech aspektů Windows 365
microsoft.commerce.billing/allEntities/allProperties/allTasks Správa všech aspektů fakturace Office 365
microsoft.commerce.billing/purchases/standard/read Čtení služeb nákupu v M365 Správa Center.
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.edge/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/allTasks Správa všech aspektů přístupu k síti Microsoft Entra
microsoft.flow/allEntities/allTasks Správa všech aspektů Microsoft Power Automate
microsoft.hardware.support/shippingAddress/allProperties/allTasks Vytváření, čtení, aktualizace a odstraňování dodacích adres pro deklarace záruky hardwaru Microsoftu, včetně dodacích adres vytvořených jinými uživateli
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Vytváření a správa všech aspektů deklarací záruky hardwaru Microsoftu
microsoft.insights/allEntities/allProperties/allTasks Správa všech aspektů aplikace Přehledy
microsoft.intune/allEntities/allTasks Správa všech aspektů Microsoft Intune
microsoft.office365.complianceManager/allEntities/allTasks Správa všech aspektů Správce dodržování předpisů Office 365
microsoft.office365.desktopAnalytics/allEntities/allTasks Správa všech aspektů Desktop Analytics
microsoft.office365.exchange/allEntities/basic/allTasks Správa všech aspektů Exchange Online
microsoft.office365.fileStorageContainers/allEntities/allProperties/allTasks Správa všech aspektů kontejnerů Služby SharePoint Embedded
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Správa viditelnosti znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Správa výukových zdrojů a všech jejich vlastností v aplikaci Učení
microsoft.office365.lockbox/allEntities/allTasks Správa všech aspektů Customer Lockboxu
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.migrations/allEntities/allProperties/allTasks Správa všech aspektů migrací Microsoftu 365
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Správa všech aspektů vytváření zpráv organizace v Microsoftu 365
microsoft.office365.protectionCenter/allEntities/allProperties/allTasks Správa všech aspektů center zabezpečení a dodržování předpisů
microsoft.office365.search/content/manage Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.securityComplianceCenter/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Centru zabezpečení a dodržování předpisů Office 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.userCommunication/allEntities/allTasks Čtení a aktualizace viditelnosti nových zpráv
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Správa všech aspektů Yammeru
microsoft.permissionsManagement/allEntities/allProperties/allTasks Správa všech aspektů Správa oprávnění Microsoft Entra
microsoft.powerApps/allEntities/allTasks Správa všech aspektů Power Apps
microsoft.powerApps.powerBI/allEntities/allTasks Správa všech aspektů prostředků infrastruktury a Power BI
microsoft.teams/allEntities/allProperties/allTasks Správa všech prostředků v Teams
microsoft.virtualVisits/allEntities/allProperties/allTasks Správa a sdílení informací o virtuálních návštěvách a metrik z center pro správu nebo aplikace Virtuální návštěvy
microsoft.viva.goals/allEntities/allProperties/allTasks Správa všech aspektů cílů Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Viva Pulse
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Správa všech aspektů Microsoft Defenderu pro koncový bod
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Čtení a konfigurace všech aspektů služby služba Windows Update Service

Globální čtenář

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé v této roli můžou číst nastavení a informace o správě služeb Microsoftu 365, ale nemůžou provádět akce správy. Globální čtenář je protějšek jen pro čtení globálního Správa istratoru. Přiřaďte globální čtenáře místo globálního Správa istratoru pro plánování, audity nebo šetření. V kombinaci s jinými omezenými rolemi správců, jako je Exchange Správa istrator, můžete usnadnit práci bez přiřazení role Globální Správa istrator. Globální čtenář spolupracuje s Centrum pro správu Microsoftu 365, Centrem pro správu Exchange, Centrem pro správu SharePointu, Centrem pro správu Teams, portálem Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview, webem Azure Portal a centrem pro správu Správa zařízení.

Uživatelé s touto rolí nemohou provádět následující akce:

  • V Centrum pro správu Microsoftu 365 nelze získat přístup k oblasti Koupit služby.

Poznámka:

Role globální čtenáře má následující omezení:

  • Centrum pro správu OneDrivu – Centrum pro správu OneDrivu nepodporuje roli Globální čtenář
  • Centrum pro správu Microsoftu 365 – Globální čtenář nemůže číst integrované aplikace. V levém podokně Centrum pro správu Microsoftu 365 nenajdete kartu Integrované aplikace v části Nastavení.
  • Portál Microsoft 365 Defender – Globální čtenář nemůže číst protokoly auditu SCC, prohledávat obsah nebo zobrazit bezpečnostní skóre.
  • Centrum pro správu Teams – Globální čtenář nemůže číst životní cyklus Teams, analýzy a sestavy, správu ip telefonních zařízení a katalog aplikací. Další informace najdete v tématu Použití rolí správce Microsoft Teams ke správě Teams.
  • Privileged Access Management nepodporuje roli Globální čtenář.
  • Azure Information Protection – Globální čtenář se podporuje jenom pro centrální vytváření sestav a pokud vaše organizace Microsoft Entra není na platformě sjednoceného popisování.
  • SharePoint – Globální čtenář momentálně nemá přístup k SharePointu pomocí PowerShellu.
  • Centrum pro správu Power Platform – Globální čtenář se zatím v Centru pro správu Power Platform nepodporuje.
  • Microsoft Purview nepodporuje roli Globální čtenář.
Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.directory/accessReviews/allProperties/read (Zastaralé) Čtení všech vlastností kontrol přístupu
microsoft.directory/accessReviews/definitions/allProperties/read Čtení všech vlastností kontrol přístupu všech kontrolovatelných prostředků v MICROSOFT Entra ID
microsoft.directory/adminConsentRequestPolicy/allProperties/read Čtení všech vlastností zásad žádosti o souhlas správce v MICROSOFT Entra ID
microsoft.directory/administrativeUnits/allProperties/read Čtení všech vlastností jednotek pro správu, včetně členů
microsoft.directory/appConsent/appConsentRequests/allProperties/read Čtení všech vlastností žádostí o souhlas pro aplikace zaregistrované v Microsoft Entra ID
microsoft.directory/applications/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) u všech typů aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/users/authenticationMethods/standard/restrictedRead Čtení standardních vlastností metod ověřování, které neobsahují identifikovatelné osobní údaje pro uživatele
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Privileged label icon.
microsoft.directory/cloudAppSecurity/allProperties/read Čtení všech vlastností pro Defender for Cloud Apps
microsoft.directory/connectors/allProperties/read Čtení všech vlastností konektorů proxy aplikací
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin konektorů proxy aplikací
microsoft.directory/contacts/allProperties/read Čtení všech vlastností kontaktů
microsoft.directory/customAuthenticationExtensions/allProperties/read Čtení vlastních rozšíření ověřování
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/devices/allProperties/read Čtení všech vlastností zařízení
microsoft.directory/directoryRoles/allProperties/read Čtení všech vlastností rolí adresáře
microsoft.directory/directoryRoleTemplates/allProperties/read Čtení všech vlastností šablon rolí adresáře
microsoft.directory/domains/allProperties/read Čtení všech vlastností domén
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/externalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/groups/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) u skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/group Nastavení/allProperties/read Čtení všech vlastností nastavení skupiny
microsoft.directory/groupSettingTemplates/allProperties/read Čtení všech vlastností šablon nastavení skupin
microsoft.directory/identityProtection/allProperties/read Čtení všech prostředků ve službě Microsoft Entra ID Protection
microsoft.directory/loginOrganizationBranding/allProperties/read Čtení všech vlastností přihlašovací stránky vaší organizace
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/oAuth2PermissionGrants/allProperties/read Čtení všech vlastností udělení oprávnění OAuth 2.0
microsoft.directory/organization/allProperties/read Čtení všech vlastností pro organizaci
microsoft.directory/pendingExternalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/permissionGrantPolicies/standard/read Čtení standardních vlastností zásad udělení oprávnění
microsoft.directory/policies/allProperties/read Čtení všech vlastností zásad
microsoft.directory/conditionalAccessPolicies/allProperties/read Čtení všech vlastností zásad podmíněného přístupu
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Čtení základních vlastností zásad synchronizace mezi tenanty
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/roleAssignments/allProperties/read Čtení všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/read Čtení všech vlastností definic rolí
microsoft.directory/scopedRoleMemberships/allProperties/read Zobrazení členů v jednotkách pro správu
microsoft.directory/serviceAction/getAvailableExtentionProperties Může provést akci služby getAvailableExtentionProperties.
microsoft.directory/servicePrincipals/allProperties/read Čtení všech vlastností (včetně privilegovaných vlastností) v servicePrincipals
microsoft.directory/servicePrincipalCreationPolicies/standard/read Čtení standardních vlastností zásad vytváření instančních objektů
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/subscribedSkus/allProperties/read Čtení všech vlastností předplatných produktů
microsoft.directory/users/allProperties/read Čtení všech vlastností uživatelů
Privileged label icon.
microsoft.directory/verifiableCredentials/configuration/contracts/cards/allProperties/read Čtení ověřitelné karty přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/contracts/allProperties/read Čtení ověřitelného kontraktu přihlašovacích údajů
microsoft.directory/verifiableCredentials/configuration/allProperties/read Konfigurace čtení potřebná k vytvoření a správě ověřitelných přihlašovacích údajů
microsoft.directory/lifecycleWorkflows/workflows/allProperties/read Čtení všech vlastností pracovních postupů životního cyklu a úkolů v ID Microsoft Entra
microsoft.cloudPC/allEntities/allProperties/read Čtení všech aspektů Windows 365
microsoft.commerce.billing/allEntities/allProperties/read Čtení všech prostředků fakturace Office 365
microsoft.commerce.billing/purchases/standard/read Čtení služeb nákupu v M365 Správa Center.
microsoft.edge/allEntities/allProperties/read Čtení všech aspektů Microsoft Edge
microsoft.networkAccess/allEntities/allProperties/read Čtení všech aspektů přístupu k síti Microsoft Entra
microsoft.hardware.support/shippingAddress/allProperties/read Přečtěte si dodací adresy pro deklarace záruky hardwaru Microsoftu, včetně stávajících dodacích adres vytvořených jinými uživateli.
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/read Čtení deklarací záruce hardwaru Microsoftu
microsoft.insights/allEntities/allProperties/read Čtení všech aspektů Přehledy Viva
microsoft.office365.fileStorageContainers/allEntities/allProperties/read Čtení entit a oprávnění kontejnerů Služby SharePoint Embedded
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.organizationalMessages/allEntities/allProperties/read Čtení všech aspektů zpráv organizace Microsoftu 365
microsoft.office365.protectionCenter/allEntities/allProperties/read Čtení všech vlastností v centrech zabezpečení a dodržování předpisů
microsoft.office365.securityComplianceCenter/allEntities/read Čtení standardních vlastností v Centru zabezpečení a dodržování předpisů Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.office365.yammer/allEntities/allProperties/read Čtení všech aspektů Yammeru
microsoft.permissionsManagement/allEntities/allProperties/read Čtení všech aspektů Správa oprávnění Microsoft Entra
microsoft.teams/allEntities/allProperties/read Čtení všech vlastností Microsoft Teams
microsoft.virtualVisits/allEntities/allProperties/read Čtení všech aspektů virtuálních návštěv
microsoft.viva.goals/allEntities/allProperties/read Čtení všech aspektů cílů Microsoft Viva
microsoft.viva.pulse/allEntities/allProperties/read Přečtěte si všechny aspekty aplikace Microsoft Viva Pulse
microsoft.windows.updatesDeployments/allEntities/allProperties/read Čtení všech aspektů služby služba Windows Update Service

Globální zabezpečený přístup Správa istrator

Přiřaďte roli globálního zabezpečeného přístupu Správa istrator uživatelům, kteří potřebují:

  • Vytváření a správa všech aspektů Microsoft Entra Přístup k Internetu a Microsoft Entra Soukromý přístup
  • Správa přístupu k veřejným a privátním koncovým bodům

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde spravovat podnikové aplikace, registrace aplikací, podmíněný přístup nebo nastavení proxy aplikací

Další informace

Akce Popis
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.directory/applicationPolicies/standard/read Čtení standardních vlastností zásad aplikace
microsoft.directory/applications/applicationProxy/read Čtení všech vlastností proxy aplikací
microsoft.directory/applications/owners/read Čtení vlastníků aplikací
microsoft.directory/applications/policies/read Čtení zásad aplikací
microsoft.directory/applications/standard/read Čtení standardních vlastností aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/connectorGroups/allProperties/read Čtení všech vlastností skupin konektorů proxy aplikací
microsoft.directory/connectors/allProperties/read Čtení všech vlastností konektorů proxy aplikací
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.networkAccess/allEntities/allProperties/allTasks Správa všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Skupiny Správa istrator

Uživatelé v této roli můžou vytvářet nebo spravovat skupiny a jejich nastavení, jako je pojmenování a zásady vypršení platnosti. Je důležité vědět, že přiřazování uživatele k této roli mu kromě Outlooku umožňuje spravovat všechny skupiny v organizaci napříč různými úlohami, jako jsou Teams, SharePoint nebo Yammer. Uživatel bude také moct spravovat různá nastavení skupin na různých portálech pro správu, jako je Centrum pro správu Microsoftu, Azure Portal, a také konkrétní úlohy, jako jsou Centra pro správu Teams a SharePointu.

Akce Popis
microsoft.directory/deletedItems.groups/delete Trvalé odstranění skupin, které se už nedají obnovit
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/groups/basic/update Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizujte skupiny Microsoft Entra tak, aby se zapsaly zpět do místního prostředí pomocí microsoft Entra Připojení
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/settings/update Aktualizace nastavení skupin
microsoft.directory/groups/visibility/update Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Pozvaný host

Uživatelé v této roli mohou spravovat pozvánky uživatelů typu host microsoft Entra B2B, když členové mohou pozvat nastavení uživatele nastavena na Ne. Další informace o spolupráci B2B na webu About Microsoft Entra B2B collaboration. Nezahrnuje žádná další oprávnění.

Akce Popis
microsoft.directory/users/inviteGuest Pozvání uživatelů typu host
microsoft.directory/users/standard/read Čtení základníchvlastnostíchch
microsoft.directory/users/appRoleAssignments/read Čtení přiřazení rolí aplikace pro uživatele
microsoft.directory/users/deviceForResourceAccount/read Čtení zařízeníForResourceAccount uživatelů
microsoft.directory/users/directReports/read Čtení přímých sestav pro uživatele
microsoft.directory/users/licenseDetails/read Čtení podrobností o licencích uživatelů
microsoft.directory/users/manager/read Číst nadřízený uživatelů
microsoft.directory/users/memberOf/read Čtení členství ve skupinách uživatelů
microsoft.directory/users/oAuth2PermissionGrants/read Čtení delegovaných oprávnění u uživatelů
microsoft.directory/users/ownedDevices/read Čtení vlastněných zařízení uživatelů
microsoft.directory/users/ownedObjects/read Čtení vlastněných objektů uživatelů
microsoft.directory/users/photo/read Přečíst fotku uživatelů
microsoft.directory/users/registeredDevices/read Čtení registrovaných zařízení uživatelů
microsoft.directory/users/scopedRoleMemberOf/read Čtení členství uživatele v roli Microsoft Entra, která je vymezena na jednotku pro správu
microsoft.directory/users/sponzors/read Přečíst sponzory uživatelů

Helpdesk Správa istrator

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou měnit hesla, zneplatnit obnovovací tokeny, vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a monitorovat stav služby. Zrušení platnosti obnovovacího tokenu vynutí, aby se uživatel znovu přihlásil. Určuje, jestli může helpdesk Správa istrator resetovat heslo uživatele a zneplatnit obnovovací tokeny, závisí na roli, která je uživateli přiřazena. Seznam rolí, které může helpdesk Správa istrator resetovat hesla a zneplatnit obnovovací tokeny, najdete v tématu Kdo může resetovat hesla.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.

Důležité

Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a nikde jinde nejsou udělena helpdesku Správa istrátory. Prostřednictvím této cesty může helpdesk Správa istrator předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.

Delegování oprávnění správce nad podmnožinami uživatelů a použití zásad na podmnožinu uživatelů je možné pomocí Správa istrativních jednotek.

Tato role se dříve jmenovala Password Správa istrator na webu Azure Portal. Přejmenovala se na helpdesk Správa istrator, aby odpovídala existujícímu názvu v rozhraní Microsoft Graph API a Azure AD PowerShellu.

Akce Popis
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Privileged label icon.
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Privileged label icon.
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Hybridní identita Správa istrator

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé v této roli můžou vytvářet, spravovat a nasazovat nastavení konfigurace zřizování z Active Directory do Microsoft Entra ID pomocí zřizování cloudu a spravovat microsoft Entra Připojení, předávací ověřování (PTA), synchronizaci hodnot hash hesel (PHS), bezproblémové jednotné přihlašování (bezproblémové jednotné přihlašování) a nastavení federace. Nemá přístup ke správě služby Microsoft Entra Připojení Health. Uživatelé můžou pomocí této role také řešit potíže a monitorovat protokoly.

Akce Popis
microsoft.directory/applications/create Vytvoření všech typů aplikací
microsoft.directory/applications/delete Odstranění všech typů aplikací
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/applications/synchronization/standard/read Čtení nastavení zřizování přidruženého k objektu aplikace
microsoft.directory/applicationTemplates/instantiate Vytvoření instance aplikací galerie ze šablon aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/cloudProvisioning/allProperties/allTasks Přečtěte si a nakonfigurujte všechny vlastnosti služby zřizování cloudu Microsoft Entra.
microsoft.directory/deletedItems.applications/delete Trvalé odstranění aplikací, které se už nedají obnovit
microsoft.directory/deletedItems.applications/restore Obnovení obnovitelně odstraněných aplikací do původního stavu
microsoft.directory/domains/allProperties/read Čtení všech vlastností domén
microsoft.directory/domains/federation/update Aktualizace vlastnosti federace domén
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/basic/update Aktualizace základní konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/create Vytvoření konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/delete Odstranění konfigurace federace pro domény
microsoft.directory/hybridAuthenticationPolicy/allProperties/allTasks Správa zásad hybridního ověřování v Microsoft Entra ID
Privileged label icon.
microsoft.directory/organization/dirSync/update Aktualizace vlastnosti synchronizace adresáře organizace
microsoft.directory/passwordHashSync/allProperties/allTasks Správa všech aspektů synchronizace hodnot hash hesel (PHS) v Microsoft Entra ID
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/servicePrincipals/create Vytvoření instančních objektů
microsoft.directory/servicePrincipals/delete Odstranění instančních objektů
microsoft.directory/servicePrincipals/disable Zakázání instančních objektů
microsoft.directory/servicePrincipals/enable Povolení instančních objektů
microsoft.directory/servicePrincipals/synchronizationCredentials/manage Správa tajných kódů a přihlašovacích údajů zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationJobs/manage Spuštění, restartování a pozastavení synchronizačních úloh zřizování aplikací
microsoft.directory/servicePrincipals/synchronizationSchema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/credentials/manage Správa tajných kódů a přihlašovacích údajů pro zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/jobs/manage Spusťte, restartujte a pozastavte úlohy synchronizace zřizování aplikací.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToExternalSystem/schema/manage Vytváření a správa synchronizačních úloh a schématu zřizování aplikací
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/credentials/manage Správa cloudového tenanta do aplikace cloudového tenanta zřizování tajných kódů a přihlašovacích údajů
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/jobs/manage Spusťte, restartujte a pozastavte cloudového tenanta na úlohy synchronizace zřizování aplikací cloudového tenanta.
microsoft.directory/servicePrincipals/synchronization.cloudTenantToCloudTenant/schema/manage Vytvoření a správa cloudového tenanta pro zřizování synchronizačních úloh a schématu aplikace cloudového tenanta
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/audience/update Aktualizace vlastností cílové skupiny u instančních objektů
microsoft.directory/servicePrincipals/authentication/update Aktualizace vlastností ověřování u instančních objektů
microsoft.directory/servicePrincipals/basic/update Aktualizace základních vlastností instančních objektů
microsoft.directory/servicePrincipals/notes/update Aktualizace poznámek k instančním objektům
microsoft.directory/servicePrincipals/owners/update Aktualizace vlastníků instančních objektů
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/servicePrincipals/tag/update Aktualizace vlastnosti značky pro instanční objekty
microsoft.directory/servicePrincipals/synchronization/standard/read Čtení nastavení zřizování přidruženého k vašemu instančnímu objektu
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.directory/users/authorizationInfo/update Aktualizace vlastnosti ID uživatelů s více hodnotami certifikátu
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Zásady správného řízení identit Správa istrator

Uživatelé s touto rolí můžou spravovat konfiguraci zásad správného řízení ID Microsoft Entra, včetně přístupových balíčků, kontrol přístupu, katalogů a zásad, zajištění schválení a kontroly přístupu a odebrání uživatelů typu host, kteří už nepotřebují přístup.

Akce Popis
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Správa kontrol přístupu přiřazení rolí aplikací v Microsoft Entra ID
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků
microsoft.directory/accessReviews/definitions.groups/allProperties/read Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aktualizujte všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365 s výjimkou skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groups/create Umožňuje vytvářet kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/accessReviews/allProperties/allTasks (Zastaralé) Vytváření a odstraňování kontrol přístupu, čtení a aktualizace všech vlastností kontrol přístupu a správa kontrol přístupu skupin v Microsoft Entra ID
microsoft.directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu

Přehledy Správa istrator

Uživatelé v této roli mají přístup k celé sadě možností správy v aplikaci Microsoft Viva Přehledy. Tato role má možnost číst informace o adresáři, monitorovat stav služby, lístky podpory souborů a přistupovat k aspektům nastavení Přehledy Správa istratoru.

Další informace

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.insights/allEntities/allProperties/allTasks Správa všech aspektů aplikace Přehledy
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

analytik Přehledy

Přiřaďte roli analytika Přehledy uživatelům, kteří potřebují:

  • Analýza dat v aplikaci Microsoft Viva Přehledy, ale nemůže spravovat žádná nastavení konfigurace
  • Vytváření, správa a spouštění dotazů
  • Zobrazení základních nastavení a sestav v Centrum pro správu Microsoftu 365
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365

Další informace

Akce Popis
microsoft.insights/queries/allProperties/allTasks Spouštění a správa dotazů v Přehledy Viva
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Přehledy business leader

Uživatelé v této roli mají přístup k sadě řídicích panelů a přehledů prostřednictvím aplikace Microsoft Viva Přehledy. To zahrnuje úplný přístup ke všem řídicím panelům a prezentované přehledy a funkce zkoumání dat. Uživatelé v této roli nemají přístup k nastavení konfigurace produktu, což je odpovědnost za roli Přehledy Správa istrator.

Další informace

Akce Popis
microsoft.insights/reports/allProperties/read Zobrazení sestav a řídicího panelu v aplikaci Přehledy
microsoft.insights/programs/allProperties/update Nasazení a správa programů v aplikaci Přehledy

Správce Intune

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají v Microsoft Intune Online globální oprávnění, když je služba k dispozici. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny. Další informace najdete v tématu Řízení správy na základě role (RBAC) v Microsoft Intune.

Tato role může vytvářet a spravovat všechny skupiny zabezpečení. Intune Správa istrator ale nemá oprávnění správce ke skupinám Office. To znamená, že správce nemůže aktualizovat vlastníky ani členství ve všech skupinách Office v organizaci. Může ale spravovat skupinu Office, kterou vytvoří, která je součástí svých oprávnění koncových uživatelů. Každá skupina Office (ne skupina zabezpečení), kterou vytvoří, by se tedy měla spočítat do kvóty 250.

Poznámka:

V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Intune Service Správa istrator. Na webu Azure Portal se jmenuje Intune Správa istrator.

Akce Popis
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Privileged label icon.
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/deletedItems.devices/delete Trvale odstranit zařízení, která se už nedají obnovit
microsoft.directory/deletedItems.devices/restore Obnovení obnovitelně odstraněných zařízení do původního stavu
microsoft.directory/devices/create Vytvoření zařízení (registrace v Microsoft Entra ID)
microsoft.directory/devices/delete Odstranění zařízení z Microsoft Entra ID
microsoft.directory/devices/disable Zakázání zařízení v Microsoft Entra ID
microsoft.directory/devices/enable Povolení zařízení v Microsoft Entra ID
microsoft.directory/devices/basic/update Aktualizace základních vlastností na zařízeních
microsoft.directory/devices/extensionAttributeSet1/update Aktualizace vlastnosti extensionAttribute1 na extensionAttribute5 na zařízeních
microsoft.directory/devices/extensionAttributeSet2/update Aktualizace vlastnosti extensionAttribute6 na extensionAttribute10 na zařízeních
microsoft.directory/devices/extensionAttributeSet3/update Aktualizace vlastnosti extensionAttribute11 na extensionAttribute15 na zařízeních
microsoft.directory/devices/registeredOwners/update Aktualizace registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/update Aktualizace registrovaných uživatelů zařízení
microsoft.directory/deviceLocalCredentials/password/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra, včetně hesla
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/visibility/update Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Správa všech aspektů Windows 365
microsoft.intune/allEntities/allTasks Správa všech aspektů Microsoft Intune
microsoft.office365.organizationalMessages/allEntities/allProperties/read Čtení všech aspektů zpráv organizace Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Kaizala Správa istrator

Uživatelé s touto rolí mají globální oprávnění ke správě nastavení v rámci Microsfot Kaizala, když je služba přítomná, a také možnost spravovat lístky podpory a monitorovat stav služby. Kromě toho má uživatel přístup k sestavám souvisejícím s přijetím a používáním Kaizaly členy organizace a obchodními sestavy vygenerovanými pomocí akcí Kaizala.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Znalostní Správa istrator

Uživatelé v této roli mají úplný přístup ke všem znalostem, znalostem a inteligentním funkcím nastavení v Centrum pro správu Microsoftu 365. Mají obecný přehled o sadě produktů, podrobností o licencování a mají odpovědnost za řízení přístupu. Znalostní Správa istrator může vytvářet a spravovat obsah, jako jsou témata, zkratky a výukové materiály. Kromě toho můžou tito uživatelé vytvářet centra obsahu, monitorovat stav služby a vytvářet žádosti o služby.

Akce Popis
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/createAsOwner Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník.
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.office365.knowledge/contentUnderstanding/allProperties/allTasks Čtení a aktualizace všech vlastností porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/allProperties/allTasks Čtení a aktualizace všech vlastností znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/learningSources/allProperties/allTasks Správa výukových zdrojů a všech jejich vlastností v aplikaci Učení
microsoft.office365.protectionCenter/sensitivityLabels/allProperties/read Čtení všech vlastností popisků citlivosti v centrech zabezpečení a dodržování předpisů
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce znalostní báze

Uživatelé v této roli můžou vytvářet a spravovat obsah, jako jsou témata, zkratky a výukový obsah. Tito uživatelé jsou primárně zodpovědní za kvalitu a strukturu znalostí. Tento uživatel má úplná práva k akcím správy témat k potvrzení tématu, schválení úprav nebo odstranění tématu. Tato role může také spravovat taxonomie jako součást nástroje pro správu úložiště termínů a vytvářet centra obsahu.

Akce Popis
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/createAsOwner Vytvořte skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí. Tvůrce se přidá jako první vlastník.
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.office365.knowledge/contentUnderstanding/analytics/allProperties/read Čtení analytických sestav porozumění obsahu v Centrum pro správu Microsoftu 365
microsoft.office365.knowledge/knowledgeNetwork/topicVisibility/allProperties/allTasks Správa viditelnosti znalostní sítě v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Licenční Správa istrator

Uživatelé v této roli můžou číst, přidávat, odebírat a aktualizovat přiřazení licencí pro uživatele, skupiny (pomocí licencování na základě skupin) a spravovat umístění využití u uživatelů. Role neuděluje možnost nakupovat nebo spravovat předplatná, vytvářet nebo spravovat skupiny nebo vytvářet nebo spravovat uživatele nad rámec umístění využití. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/usageLocation/update Aktualizace umístění využití uživatelů
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Pracovní postupy životního cyklu Správa istrator

Přiřaďte pracovním postupům životního cyklu roli Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření a správa všech aspektů pracovních postupů a úkolů přidružených k pracovním postupům životního cyklu v Microsoft Entra ID
  • Kontrola provádění plánovaných pracovních postupů
  • Spuštění pracovního postupu na vyžádání
  • Kontrola protokolů spouštění pracovních postupů
Akce Popis
microsoft.directory/lifecycleWorkflows/workflows/allProperties/allTasks Správa všech aspektů pracovních postupů životního cyklu a úloh v ID Microsoft Entra
microsoft.directory/organization/strongAuthentication/read Čtení silných vlastností ověřování organizace

Čtečka ochrany osobních údajů v Centru zpráv

Uživatelé v této roli můžou monitorovat všechna oznámení v Centru zpráv, včetně zpráv o ochraně osobních údajů dat. Čtečky ochrany osobních údajů v Centru zpráv získají e-mailová oznámení, včetně těch, které se týkají ochrany osobních údajů v datech, a můžou odběr odběru odběru odběru pomocí předvoleb Centra zpráv. Zprávy o ochraně osobních údajů můžou číst pouze globální Správa istrator a čtečka ochrany osobních údajů centra zpráv. Tato role navíc obsahuje možnost zobrazovat skupiny, domény a předplatná. Tato role nemá oprávnění k zobrazení, vytváření nebo správě žádostí o služby.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.messageCenter/securityMessages/read Čtení zpráv zabezpečení v Centru zpráv v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Čtečka centra zpráv

Uživatelé v této roli můžou monitorovat oznámení a rady aktualizací stavu v Centru zpráv pro svou organizaci na nakonfigurovaných službách, jako jsou Exchange, Intune a Microsoft Teams. Čtenáři Centra zpráv dostanou týdenní přehledy e-mailů o příspěvcích, aktualizacích a můžou sdílet příspěvky centra zpráv v Microsoftu 365. V Microsoft Entra ID budou mít uživatelé přiřazené k této roli přístup jen pro čtení ke službám Microsoft Entra, jako jsou uživatelé a skupiny. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Migrace Microsoftu 365 Správa istrator

Přiřaďte roli Migrace Microsoftu 365 Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Použití Migration Manageru v Centrum pro správu Microsoftu 365 ke správě migrace obsahu do Microsoftu 365, včetně Teams, OneDrive pro firmy a sharepointových webů, z Disku Google, Dropboxu, Boxu a Egnyte
  • Vyberte zdroje migrace, vytvořte inventáře migrace (například seznamy uživatelů disku Google), naplánujte a spusťte migrace a stáhněte si sestavy.
  • Vytvořte nové sharepointové weby, pokud cílové weby ještě neexistují, vytvořte sharepointové seznamy pod weby pro správu SharePointu a vytvořte a aktualizujte položky v sharepointových seznamech.
  • Správa nastavení projektu migrace a životního cyklu migrace pro úkoly
  • Správa mapování oprávnění ze zdroje do cíle

Poznámka:

Tato role neumožňuje migrovat ze zdrojů sdílených složek pomocí Centra pro správu SharePointu. Roli sharepointového Správa istratoru můžete použít k migraci ze zdrojů sdílených složek.

Další informace

Akce Popis
microsoft.office365.migrations/allEntities/allProperties/allTasks Správa všech aspektů migrací Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365

Místní Správa istrator zařízení připojený k Microsoft Entra

Tato role je k dispozici pro přiřazení pouze jako další místní správce v nastavení zařízení. Uživatelé s touto rolí se stanou správci místních počítačů na všech zařízeních s Windows 10 připojených k Microsoft Entra ID. Nemají možnost spravovat objekty zařízení v Microsoft Entra ID.

Akce Popis
microsoft.directory/group Nastavení/standard/read Čtení základních vlastností v nastavení skupiny
microsoft.directory/groupSettingTemplates/standard/read Čtení základních vlastností v šablonách nastavení skupin

Microsoft Hardware Warranty Správa istrator

Přiřaďte roli Microsoft Hardware Warranty Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
  • Hledání a čtení otevřených nebo uzavřených nároků na záruku
  • Hledat a číst záruční nároky podle sériového čísla
  • Vytvoření, čtení, aktualizace a odstranění dodacích adres
  • Přečtěte si stav expedice pro otevřené záruky
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
  • Přečtěte si oznámení centra zpráv v Centrum pro správu Microsoftu 365

Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.

Akce Popis
microsoft.hardware.support/shippingAddress/allProperties/allTasks Vytváření, čtení, aktualizace a odstraňování dodacích adres pro deklarace záruky hardwaru Microsoftu, včetně dodacích adres vytvořených jinými uživateli
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/allTasks Vytváření a správa všech aspektů deklarací záruky hardwaru Microsoftu
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Specialista microsoftu na záruku hardwaru

Přiřaďte roli Specialista na hardware společnosti Microsoft uživatelům, kteří potřebují provádět následující úlohy:

  • Vytváření nových žádostí o záruku pro hardware vyrobený microsoftem, jako je Surface a HoloLens
  • Přečtěte si nároky na záruku, které vytvořili.
  • Čtení a aktualizace existujících dodacích adres
  • Přečtěte si stav expedice pro otevřené nároky na záruku, které vytvořili.
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365

Nárok na záruku je žádost o opravu nebo nahrazení hardwaru v souladu s podmínkami záruky. Další informace najdete v tématu Samoobslužná záruka a žádosti o servis zařízení Surface.

Akce Popis
microsoft.hardware.support/shippingAddress/allProperties/read Přečtěte si dodací adresy pro deklarace záruky hardwaru Microsoftu, včetně stávajících dodacích adres vytvořených jinými uživateli.
microsoft.hardware.support/warrantyClaims/createAsOwner Vytvoření deklarací záruce hardwaru Microsoftu, kde je tvůrce vlastníkem
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.hardware.support/shippingStatus/allProperties/read Přečtěte si stav expedice pro otevřené deklarace záruky hardwaru Microsoftu.
microsoft.hardware.support/warrantyClaims/allProperties/read Čtení deklarací záruce hardwaru Microsoftu

Moderní obchod Správa istrator

Nepoužívat. Tato role se automaticky přiřadí z obchodu a není určená ani podporovaná pro jakékoli jiné použití. Podrobnosti najdete níže.

Role Moderní obchodování Správa istrator dává určitým uživatelům oprávnění pro přístup k Centrum pro správu Microsoftu 365 a zobrazuje levé navigační položky pro domácnosti, fakturaci a podporu. Obsah dostupný v těchto oblastech je řízen rolemi specifickými pro obchodování přiřazené uživatelům ke správě produktů, které si koupili pro sebe nebo vaši organizaci. Může to zahrnovat úkoly, jako je placení faktur nebo přístup k fakturačním účtům a fakturačním profilům.

Uživatelé s rolí Moderní obchodní Správa istrator mají obvykle oprávnění správce v jiných nákupních systémech Microsoftu, ale nemají role globálního Správa istratoru ani fakturačního Správa istratoru používaného pro přístup k Centru pro správu.

Kdy je přiřazena role Moderní obchodování Správa istrator?

  • Samoobslužný nákup v Centrum pro správu Microsoftu 365 – Samoobslužný nákup dává uživatelům možnost vyzkoušet si nové produkty nákupem nebo registrací sami. Tyto produkty se spravují v Centru pro správu. Uživatelům, kteří dělají samoobslužný nákup, se přiřazují role v komerčním systému a roli moderního komerčního Správa istratoru, aby mohli spravovat nákupy v Centru pro správu. Správa můžou blokovat samoobslužné nákupy (pro Prostředky infrastruktury, Power BI, Power Apps, Power Automate) prostřednictvím PowerShell. Další informace najdete v nejčastějších dotazech k samoobslužným nákupům.
  • Nákupy z komerčního marketplace Microsoftu – podobně jako samoobslužný nákup, když si uživatel koupí produkt nebo službu z Microsoft AppSource nebo Azure Marketplace, přiřadí se jim role Moderní obchodování Správa istrator, pokud nemají roli globálního Správa istratoru nebo fakturačního Správa istratoru. V některých případech můžou být uživatelé zablokovaní v provádění těchto nákupů. Další informace najdete na komerčním marketplace Microsoftu.
  • Návrhy od Microsoftu – Návrh je formální nabídka od Microsoftu pro vaši organizaci, která umožňuje nakupovat produkty a služby Microsoftu. Pokud osoba, která návrh přijímá, nemá roli globálního Správa istratoru nebo fakturace Správa istrator v Microsoft Entra ID, přiřadí se mu role specifická pro obchod, aby mohl dokončit návrh i roli moderního obchodu Správa istrator pro přístup k Centru pro správu. Když přistupují k Centru pro správu, můžou používat jenom funkce, které jsou autorizované jejich obchodní rolí.
  • Obchodní role – Někteří uživatelé mají přiřazené role specifické pro obchod. Pokud uživatel není globálním Správa istratorem nebo fakturačním Správa istratorem, získá roli moderního komerčního Správa istratoru, aby mohl získat přístup k Centru pro správu.

Pokud je role moderního obchodu Správa istrator od uživatele nepřiřazená, ztratí přístup k Centrum pro správu Microsoftu 365. Pokud spravovali nějaké produkty, ať už pro sebe nebo pro vaši organizaci, nebudou je moct spravovat. To může zahrnovat přiřazování licencí, změnu způsobů platby, placení faktur nebo jiné úlohy správy předplatných.

Akce Popis
microsoft.commerce.billing/partners/read
microsoft.commerce.volumeLicenseServiceCenter/allEntities/allTasks Správa všech aspektů centra Volume Licensing Service Center
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/basic/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Síťový Správa istrator

Uživatelé v této roli můžou zkontrolovat doporučení k architektuře hraniční sítě od Microsoftu, která jsou založená na telemetrii sítě z jejich umístění uživatelů. Výkon sítě pro Microsoft 365 závisí na pečlivé architektuře hraniční sítě podnikového zákazníka, která je obecně specifická pro umístění uživatelů. Tato role umožňuje upravit zjištěná umístění uživatelů a konfiguraci parametrů sítě pro tato umístění, aby se usnadnila vylepšená měření telemetrie a doporučení k návrhu.

Akce Popis
microsoft.office365.network/locations/allProperties/allTasks Správa všech aspektů síťových umístění
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Office Apps Správa istrator

Uživatelé v této roli můžou spravovat nastavení cloudu aplikací Microsoftu 365. To zahrnuje správu zásad cloudu, samoobslužnou správu stahování a možnost zobrazit sestavu související s aplikace Office. Tato role navíc uděluje možnost spravovat lístky podpory a monitorovat stav služby v hlavním centru pro správu. Uživatelé přiřazení k této roli mohou také spravovat komunikaci nových funkcí v aplikace Office.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.userCommunication/allEntities/allTasks Čtení a aktualizace viditelnosti nových zpráv
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Zapisovatel zpráv organizace

Přiřaďte roli Zapisovatel zpráv organizace uživatelům, kteří potřebují provádět následující úlohy:

  • Psaní, publikování a odstraňování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
  • Správa možností doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
  • Čtení výsledků doručování zpráv organizace pomocí Centrum pro správu Microsoftu 365 nebo Microsoft Intune
  • Zobrazení sestav využití a většiny nastavení v Centrum pro správu Microsoftu 365, ale nemůže provádět změny
Akce Popis
microsoft.office365.organizationalMessages/allEntities/allProperties/allTasks Správa všech aspektů vytváření zpráv organizace v Microsoftu 365
microsoft.office365.usageReports/allEntities/standard/read Čtení agregovaných sestav využití Office 365 na úrovni tenanta
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Podpora partnerské vrstvy 1

Privileged label icon.

Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.

Důležité

Tato role může resetovat hesla a zneplatnit obnovovací tokeny pouze pro jiné správce. Tuto roli byste neměli používat, protože je zastaralá.

Akce Popis
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Privileged label icon.
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/create Přidat uživatele
Privileged label icon.
microsoft.directory/users/delete Odstranění uživatelů
Privileged label icon.
microsoft.directory/users/disable Zakázání uživatelů
Privileged label icon.
microsoft.directory/users/enable Povolení uživatelů
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Privileged label icon.
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Privileged label icon.
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Podpora partnerské vrstvy 2

Privileged label icon.

Jedná se o privilegovanou roli. Nepoužívat. Tato role je zastaralá a v budoucnu se odebere z ID Microsoft Entra. Tato role je určena malým počtem partnerů microsoftu pro prodej a není určená pro obecné použití.

Důležité

Tato role může resetovat hesla a zneplatnit obnovovací tokeny pro všechny správce a správce (včetně globálních Správa istrátorů). Tuto roli byste neměli používat, protože je zastaralá.

Akce Popis
microsoft.directory/applications/appRoles/update Aktualizace vlastnosti appRoles u všech typů aplikací
microsoft.directory/applications/audience/update Aktualizace vlastnosti cílové skupiny pro aplikace
microsoft.directory/applications/authentication/update Aktualizace ověřování u všech typů aplikací
microsoft.directory/applications/basic/update Aktualizace základních vlastností pro aplikace
microsoft.directory/applications/credentials/update Aktualizace přihlašovacích údajů aplikace
Privileged label icon.
microsoft.directory/applications/notes/update Aktualizace poznámek k aplikacím
microsoft.directory/applications/owners/update Aktualizace vlastníků aplikací
microsoft.directory/applications/permissions/update Aktualizace vystavených oprávnění a požadovaných oprávnění pro všechny typy aplikací
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/applications/tag/update Aktualizace značek aplikací
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/domains/allProperties/allTasks Vytváření a odstraňování domén a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/organization/basic/update Aktualizace základních vlastností v organizaci
microsoft.directory/roleAssignments/allProperties/allTasks Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytváření a odstraňování oborůRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/subscribedSkus/standard/read Čtení základních vlastností předplatných
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/create Přidat uživatele
Privileged label icon.
microsoft.directory/users/delete Odstranění uživatelů
Privileged label icon.
microsoft.directory/users/disable Zakázání uživatelů
Privileged label icon.
microsoft.directory/users/enable Povolení uživatelů
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Privileged label icon.
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Privileged label icon.
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Heslo Správa istrator

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají omezenou schopnost spravovat hesla. Tato role neuděluje možnost spravovat žádosti o služby ani monitorovat stav služby. Určuje, jestli heslo Správa istrator může resetovat heslo uživatele, závisí na přiřazené roli. Seznam rolí, pro které může heslo Správa istrator resetovat hesla, najdete v tématu Kdo může resetovat hesla.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
Akce Popis
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Privileged label icon.
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správa oprávnění Správa istrator

Přiřaďte roli Správa oprávnění Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Správa všech aspektů Správa oprávnění Microsoft Entra, když je služba k dispozici

Další informace o rolích a zásadách správy oprávnění najdete v tématu Zobrazení informací o rolích a zásadách.

Akce Popis
microsoft.permissionsManagement/allEntities/allProperties/allTasks Správa všech aspektů Správa oprávnění Microsoft Entra

Power Platform Správa istrator

Uživatelé v této roli mohou vytvářet a spravovat všechny aspekty prostředí, Power Apps, toky, zásady ochrany před únikem informací. Uživatelé s touto rolí navíc můžou spravovat lístky podpory a monitorovat stav služby.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.dynamics365/allEntities/allTasks Správa všech aspektů Dynamics 365
microsoft.flow/allEntities/allTasks Správa všech aspektů Microsoft Power Automate
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.powerApps/allEntities/allTasks Správa všech aspektů Power Apps

Správa istrator tiskárny

Uživatelé v této roli můžou registrovat tiskárny a spravovat všechny aspekty všech konfigurací tiskárny v řešení Microsoft Universal Print, včetně nastavení univerzálního tisku Připojení oru. Můžou souhlasit se všemi delegovanými žádostmi o oprávnění k tisku. Tiskárny Správa istrátory mají také přístup k tisku sestav.

Akce Popis
microsoft.azure.print/allEntities/allProperties/allTasks Vytváření a odstraňování tiskáren a konektorů a čtení a aktualizace všech vlastností v aplikaci Microsoft Print

Technik tiskárny

Uživatelé s touto rolí mohou registrovat tiskárny a spravovat stav tiskárny v řešení Microsoft Universal Print. Můžou si také přečíst všechny informace o konektoru. Klíčovým úkolem, který nemůže technik tiskárny provést, je nastavit uživatelská oprávnění k tiskárnám a sdílení tiskáren.

Akce Popis
microsoft.azure.print/connectors/allProperties/read Čtení všech vlastností konektorů v aplikaci Microsoft Print
microsoft.azure.print/printers/allProperties/read Čtení všech vlastností tiskáren v aplikaci Microsoft Print
microsoft.azure.print/printers/register Registrace tiskáren v Microsoft Printu
microsoft.azure.print/printers/unregister Zrušení registrace tiskáren v aplikaci Microsoft Print
microsoft.azure.print/printers/basic/update Aktualizace základních vlastností tiskáren v aplikaci Microsoft Print

Správce privilegovaného ověřování

Privileged label icon.

Jedná se o privilegovanou roli. Přiřaďte roli Privileged Authentication Správa istrator uživatelům, kteří potřebují:

  • Nastavte nebo resetujte jakoukoli metodu ověřování (včetně hesel) pro libovolného uživatele, včetně globálních Správa istrátorů.
  • Odstraňte nebo obnovte všechny uživatele, včetně globálních Správa istrátorů. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Vynuťte, aby se uživatelé znovu zaregistrovali u stávajících přihlašovacích údajů bez hesla (například MFA nebo FIDO) a odvolali si vícefaktorové ověřování na zařízení a při příštím přihlášení všech uživatelů se zobrazí výzva k vícefaktorovém ověřování.
  • Aktualizujte citlivé vlastnosti pro všechny uživatele. Další informace najdete v tématu Kdo může provádět citlivé akce.
  • Vytvořte a spravujte lístky podpory v Azure a Centrum pro správu Microsoftu 365.

Uživatelé s touto rolí nemohou provádět následující akce:

  • Vícefaktorové ověřování pro jednotlivé uživatele nejde spravovat na starším portálu pro správu vícefaktorového ověřování.

Následující tabulka porovnává možnosti rolí souvisejících s ověřováním.

Role Správa metod ověřování uživatele Správa MFA pro jednotlivé uživatele Správa nastavení MFA Správa zásad metod ověřování Správa zásad ochrany heslem Aktualizace citlivých vlastností Odstraňování a obnovování uživatelů
Ověřování Správa istrator Ano pro některé uživatele Ano pro některé uživatele No No No Ano pro některé uživatele Ano pro některé uživatele
Privileged Authentication Správa istrator Ano pro všechny uživatele Ano pro všechny uživatele No No No Ano pro všechny uživatele Ano pro všechny uživatele
Zásady ověřování Správa istrator No No Ano Ano Ano No No
Správce uživatelů No No No No No Ano pro některé uživatele Ano pro některé uživatele

Důležité

Uživatelé s touto rolí můžou změnit přihlašovací údaje pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna přihlašovacích údajů uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v ID Microsoft Entra a jinde nejsou udělena ověřovacím Správa istrátory. Prostřednictvím této cesty ověřovací Správa istrator může předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender a Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Akce Popis
microsoft.directory/users/authenticationMethods/create Aktualizace metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/delete Odstranění metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/standard/read Čtení standardních vlastností metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/users/authenticationMethods/basic/update Aktualizace základních vlastností metod ověřování pro uživatele
Privileged label icon.
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/users/delete Odstranění uživatelů
Privileged label icon.
microsoft.directory/users/disable Zakázání uživatelů
Privileged label icon.
microsoft.directory/users/enable Povolení uživatelů
Privileged label icon.
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Privileged label icon.
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/authorizationInfo/update Aktualizace vlastnosti ID uživatelů s více hodnotami certifikátu
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Privileged label icon.
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce privilegovaných rolí

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat přiřazení rolí v Microsoft Entra ID i v rámci služby Microsoft Entra Privileged Identity Management. Můžou vytvářet a spravovat skupiny, které je možné přiřadit k rolím Microsoft Entra. Kromě toho tato role umožňuje správu všech aspektů Privileged Identity Management a jednotek pro správu.

Důležité

Tato role umožňuje spravovat přiřazení pro všechny role Microsoft Entra, včetně role Globální Správa istrator. Tato role nezahrnuje žádné další privilegované schopnosti v MICROSOFT Entra ID, jako je vytváření nebo aktualizace uživatelů. Uživatelé přiřazení k této roli ale můžou udělit sami sobě nebo jiným dalším oprávněním tím, že přiřazují další role.

Akce Popis
microsoft.directory/accessReviews/definitions.applications/allProperties/read Čtení všech vlastností kontroly přístupu přiřazení rolí aplikace v Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/allTasks Správa kontrol přístupu pro přiřazení rolí Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/allProperties/update Aktualizace všech vlastností kontrol přístupu pro členství ve skupinách, které lze přiřadit k rolím Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/create Vytváření kontrol přístupu pro členství ve skupinách, které je možné přiřadit k rolím Microsoft Entra
microsoft.directory/accessReviews/definitions.groupsAssignableToRoles/delete Odstranění kontrol přístupu pro členství ve skupinách, které je možné přiřadit k rolím Microsoft Entra
microsoft.directory/accessReviews/definitions.groups/allProperties/read Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/administrativeUnits/allProperties/allTasks Vytváření a správa jednotek pro správu (včetně členů)
microsoft.directory/authorizationPolicy/allProperties/allTasks Správa všech aspektů zásad autorizace
Privileged label icon.
microsoft.directory/directoryRoles/allProperties/allTasks Vytváření a odstraňování rolí adresáře a čtení a aktualizace všech vlastností
microsoft.directory/groupsAssignableToRoles/create Vytváření skupin s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/delete Odstranění přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/restore Obnovení přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/allProperties/update Aktualizace přiřazovatelných skupin rolí
microsoft.directory/groupsAssignableToRoles/assignLicense Přiřazení licence skupinám s možností přiřazení rolí
microsoft.directory/groupsAssignableToRoles/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí ke skupinám, které je možné přiřadit rolím
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/privilegedIdentityManagement/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností ve službě Privileged Identity Management
microsoft.directory/roleAssignments/allProperties/allTasks Vytváření a odstraňování přiřazení rolí a čtení a aktualizace všech vlastností přiřazení rolí
microsoft.directory/roleDefinitions/allProperties/allTasks Vytváření a odstraňování definic rolí a čtení a aktualizace všech vlastností
microsoft.directory/scopedRoleMemberships/allProperties/allTasks Vytváření a odstraňování oborůRoleMemberships a čtení a aktualizace všech vlastností
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/servicePrincipals/permissions/update Aktualizace oprávnění instančních objektů
microsoft.directory/servicePrincipals/managePermissionGrantsForAll.microsoft-company-admin Udělení souhlasu pro jakékoli oprávnění k jakékoli aplikaci
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.directory/permissionGrantPolicies/create Vytvoření zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/delete Odstranění zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/allProperties/read Čtení všech vlastností zásad udělení oprávnění
microsoft.directory/permissionGrantPolicies/allProperties/update Aktualizace všech vlastností zásad udělení oprávnění

Čtenář sestav

Uživatelé s touto rolí mohou zobrazit data sestav využití a řídicí panel sestav v Centrum pro správu Microsoftu 365 a kontextový balíček přijetí v Prostředcích infrastruktury a Power BI. Kromě toho tato role poskytuje přístup ke všem protokolům přihlašování, protokolům auditu a sestavám aktivit v Microsoft Entra ID a datech vrácených rozhraním Microsoft Graph Reporting API. Uživatel přiřazený k roli Čtenář sestav má přístup pouze k relevantním metrikám využití a přijetí. Nemají žádná oprávnění správce ke konfiguraci nastavení nebo přístupu k centerm pro správu pro konkrétní produkty, jako je Exchange. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Hledat Správa istrator

Uživatelé v této roli mají úplný přístup ke všem funkcím správy služby Microsoft Search v Centrum pro správu Microsoftu 365. Kromě toho můžou tito uživatelé zobrazit centrum zpráv, monitorovat stav služby a vytvářet žádosti o služby.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.search/content/manage Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Editor vyhledávání

Uživatelé v této roli můžou vytvářet, spravovat a odstraňovat obsah pro Microsoft Search v Centrum pro správu Microsoftu 365, včetně záložek, otázek a umístění.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.search/content/manage Vytváření a odstraňování obsahu a čtení a aktualizace všech vlastností ve službě Microsoft Search
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce zabezpečení

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají oprávnění ke správě funkcí souvisejících se zabezpečením na portálu Microsoft 365 Defender, microsoft Entra ID Protection, ověřování Microsoft Entra, Azure Information Protection a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál Microsoft 365 Defender Monitorování zásad souvisejících se zabezpečením napříč službami Microsoftu 365
Správa bezpečnostních hrozeb a výstrah
Zobrazení sestav
Identity Protection Všechna oprávnění role Čtenář zabezpečení
Provádění všech operací identity Protection s výjimkou resetování hesel
Privileged Identity Management Všechna oprávnění role Čtenář zabezpečení
Nejde spravovat přiřazení nebo nastavení rolí Microsoft Entra
Portál pro dodržování předpisů Microsoft Purview Správa zásad zabezpečení
Zobrazení, prošetření a reakce na bezpečnostní hrozby
Zobrazení sestav
Azure Advanced Threat Protection Monitorování podezřelých aktivit zabezpečení a reakce na ně
Microsoft Defender for Endpoint Přiřazení rolí
Správa skupin počítačů
Konfigurace detekce hrozeb koncového bodu a automatizovaná náprava
Zobrazení, prošetření a reakce na upozornění
Zobrazení inventáře počítačů nebo zařízení
Intune Zobrazení informací o uživateli, zařízení, registraci, konfiguraci a aplikaci
Nejde provést změny v Intune
Microsoft Defender for Cloud Apps Přidání správců, přidání zásad a nastavení, nahrání protokolů a provádění akcí zásad správného řízení
Stav služby Microsoft 365 Zobrazení stavu služeb Microsoft 365
Inteligentní uzamčení Definujte prahovou hodnotu a dobu trvání uzamčení, když dojde k neúspěšným událostem přihlášení.
Ochrana heslem Nakonfigurujte vlastní zakázaný seznam hesel nebo místní ochranu heslem.
Synchronizace mezi tenanty Nakonfigurujte nastavení přístupu mezi tenanty pro uživatele v jiném tenantovi. Zabezpečení Správa istrátory nemohou přímo vytvářet a odstraňovat uživatele, ale můžou nepřímo vytvářet a odstraňovat synchronizované uživatele z jiného tenanta, pokud jsou oba tenanti nakonfigurováni pro synchronizaci mezi tenanty, což je privilegované oprávnění.
Akce Popis
microsoft.directory/applications/policies/update Aktualizace zásad aplikací
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Privileged label icon.
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/basic/update Aktualizace základních nastavení zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/b2bDirect Připojení/update Aktualizace nastavení přímého připojení Microsoft Entra B2B výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update Aktualizace omezení tenanta výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/create Vytvoření zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/delete Odstranění zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/basic/update Aktualizace šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/resetToDefault Nastavení Resetování šablony zásad synchronizace mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/basic/update Aktualizace šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/resetToDefault Nastavení Resetování šablony zásad přístupu mezi tenanty pro organizaci s více tenanty na výchozí nastavení
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update Aktualizace nastavení spolupráce Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/b2bDirect Připojení/update Aktualizace nastavení přímého připojení Microsoft Entra B2B pro zásady přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update Aktualizace omezení tenanta zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create Vytvoření zásad synchronizace mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update Aktualizace základních nastavení zásad synchronizace mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read Čtení základních vlastností zásad synchronizace mezi tenanty
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/domains/federation/update Aktualizace vlastnosti federace domén
Privileged label icon.
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/basic/update Aktualizace základní konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/create Vytvoření konfigurace federace pro domény
microsoft.directory/domains/federationConfiguration/delete Odstranění konfigurace federace pro domény
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Čtení všech prostředků ve službě Microsoft Entra ID Protection
microsoft.directory/identityProtection/allProperties/update Aktualizace všech prostředků ve službě Microsoft Entra ID Protection
Privileged label icon.
microsoft.directory/multiTenantOrganization/basic/update Aktualizace základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/create Vytvoření organizace s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/organizationDetails/update Připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/update Aktualizace základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/create Vytvoření tenanta v organizaci s více tenanty
microsoft.directory/multiTenantOrganization/tenants/delete Odstranění tenanta, který se účastní organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/namedLocations/create Vytvoření vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/delete Odstranění vlastních pravidel definujících síťová umístění
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/namedLocations/basic/update Aktualizace základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/policies/create Vytvoření zásad v Microsoft Entra ID
microsoft.directory/policies/delete Odstranění zásad v Microsoft Entra ID
microsoft.directory/policies/basic/update Aktualizace základních vlastností zásad
Privileged label icon.
microsoft.directory/policies/owners/update Aktualizace vlastníků zásad
microsoft.directory/policies/tenantDefault/update Aktualizace výchozích zásad organizace
microsoft.directory/conditionalAccessPolicies/create Vytváření zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/delete Odstranění zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/conditionalAccessPolicies/owners/read Čtení vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost "použitý na" pro zásady podmíněného přístupu.
microsoft.directory/conditionalAccessPolicies/basic/update Aktualizace základních vlastností pro zásady podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/owners/update Aktualizace vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/tenantDefault/update Aktualizace výchozího tenanta pro zásady podmíněného přístupu
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/resourceNamespaces/resourceActions/authenticationContext/update Aktualizace kontextu ověřování podmíněného přístupu u akcí prostředků řízení přístupu na základě role (RBAC) Microsoftu 365
Privileged label icon.
microsoft.directory/servicePrincipals/policies/update Aktualizace zásad instančních objektů
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.networkAccess/allEntities/allProperties/allTasks Správa všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.protectionCenter/allEntities/standard/read Čtení standardních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/allEntities/basic/update Aktualizace základních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/allTasks Vytváření a správa datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/allTasks Vytváření a správa šablon simulace útoků v simulátoru útoku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Operátor zabezpečení

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí můžou spravovat výstrahy a mít globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál Microsoft 365 Defender Všechna oprávnění role Čtenář zabezpečení
Zobrazení, prošetření výstrah zabezpečení a reakce na ně
Správa nastavení zabezpečení na portálu Microsoft 365 Defender
Identity Protection Všechna oprávnění role Čtenář zabezpečení
Proveďte všechny operace identity Protection s výjimkou konfigurace nebo změny zásad založených na riziku, resetování hesel a konfigurace e-mailů s upozorněními.
Privileged Identity Management Všechna oprávnění role Čtenář zabezpečení
Portál pro dodržování předpisů Microsoft Purview Všechna oprávnění role Čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Microsoft Defender for Endpoint Všechna oprávnění role Čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint.
Intune Všechna oprávnění role Čtenář zabezpečení
Microsoft Defender for Cloud Apps Všechna oprávnění role Čtenář zabezpečení
Zobrazení, zkoumání a reakce na výstrahy zabezpečení
Stav služby Microsoft 365 Zobrazení stavu služeb Microsoft 365
Akce Popis
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/cloudAppSecurity/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Programu Microsoft Defender for Cloud Apps
microsoft.directory/identityProtection/allProperties/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Microsoft Entra ID Protection
Privileged label icon.
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.advancedThreatProtection/allEntities/allTasks Správa všech aspektů služby Azure Advanced Threat Protection
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.intune/allEntities/read Čtení všech prostředků v Microsoft Intune
microsoft.office365.securityComplianceCenter/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v Centru zabezpečení a dodržování předpisů Office 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.windows.defenderAdvancedThreatProtection/allEntities/allTasks Správa všech aspektů Microsoft Defenderu pro koncový bod

Čtenář zabezpečení

Privileged label icon.

Jedná se o privilegovanou roli. Uživatelé s touto rolí mají globální přístup jen pro čtení k funkcím souvisejícím se zabezpečením, včetně všech informací na portálu Microsoft 365 Defender, Microsoft Entra ID Protection, Privileged Identity Management a také možnost číst sestavy přihlášení a protokoly auditu Microsoft Entra a v Portál dodržování předpisů Microsoft Purview. Další informace o oprávněních Office 365 najdete v tématu Role a skupiny rolí v Microsoft Defender pro Office 365 a dodržování předpisů Microsoft Purview.

V Může to udělat
Portál Microsoft 365 Defender Zobrazení zásad souvisejících se zabezpečením napříč službami Microsoftu 365
Zobrazení bezpečnostních hrozeb a výstrah
Zobrazení sestav
Identity Protection Zobrazení všech sestav služby Identity Protection a přehledu
Privileged Identity Management Má přístup jen pro čtení ke všem informacím, které se zobrazí v Microsoft Entra Privileged Identity Management: Zásady a sestavy pro přiřazení rolí Microsoft Entra a kontroly zabezpečení.
Microsoft Entra Privileged Identity Management se nemůže zaregistrovat ani v něm provádět žádné změny. Na portálu Privileged Identity Management nebo prostřednictvím PowerShellu může někdo v této roli aktivovat další role (například globální Správa istrator nebo privilegovaná role Správa istrator), pokud má uživatel nárok na ně.
Portál pro dodržování předpisů Microsoft Purview Zobrazení zásad zabezpečení
Zobrazení a zkoumání bezpečnostních hrozeb
Zobrazení sestav
Microsoft Defender for Endpoint Zobrazení a zkoumání výstrah
Když v programu Microsoft Defender for Endpoint zapnete řízení přístupu na základě role, uživatelé s oprávněními jen pro čtení, jako je role Čtenář zabezpečení, ztratí přístup, dokud jim nepřiřadíte roli Microsoft Defenderu for Endpoint.
Intune Zobrazí informace o uživateli, zařízení, registraci, konfiguraci a aplikaci. V Intune nelze provádět změny.
Microsoft Defender for Cloud Apps Má oprávnění ke čtení.
Stav služby Microsoft 365 Zobrazení stavu služeb Microsoft 365
Akce Popis
microsoft.directory/accessReviews/definitions/allProperties/read Čtení všech vlastností kontrol přístupu všech kontrolovatelných prostředků v MICROSOFT Entra ID
microsoft.directory/auditLogs/allProperties/read Čtení všech vlastností v protokolech auditu s výjimkou vlastních protokolů auditu atributů zabezpečení
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/bitlockerKeys/key/read Čtení metadat bitlockeru a klíče na zařízeních
Privileged label icon.
microsoft.directory/deviceLocalCredentials/standard/read Čtení všech vlastností zálohovaných přihlašovacích údajů účtu místního správce pro zařízení připojená k Microsoft Entra s výjimkou hesla
microsoft.directory/domains/federationConfiguration/standard/read Čtení standardních vlastností konfigurace federace pro domény
microsoft.directory/entitlementManagement/allProperties/read Čtení všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/identityProtection/allProperties/read Čtení všech prostředků ve službě Microsoft Entra ID Protection
microsoft.directory/namedLocations/standard/read Čtení základních vlastností vlastních pravidel, která definují síťová umístění
microsoft.directory/policies/standard/read Čtení základních vlastností zásad
microsoft.directory/policies/owners/read Čtení vlastníků zásad
microsoft.directory/policies/policyAppliedTo/read Read policies.policyAppliedTo – vlastnost
microsoft.directory/conditionalAccessPolicies/standard/read Čtení podmíněného přístupu pro zásady
microsoft.directory/conditionalAccessPolicies/owners/read Čtení vlastníků zásad podmíněného přístupu
microsoft.directory/conditionalAccessPolicies/policyAppliedTo/read Přečtěte si vlastnost "použitý na" pro zásady podmíněného přístupu.
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationIdentitySynchronization/standard/read Čtení základních vlastností šablon zásad synchronizace mezi tenanty pro organizaci s více tenanty
microsoft.directory/crossTenantAccessPolicy/partners/templates/multiTenantOrganizationPartnerConfiguration/standard/read Čtení základních vlastností šablon zásad přístupu mezi tenanty pro organizaci s více tenanty
microsoft.directory/multiTenantOrganization/joinRequest/standard/read Čtení vlastností žádosti o připojení k organizaci s více tenanty
microsoft.directory/multiTenantOrganization/standard/read Čtení základních vlastností organizace s více tenanty
microsoft.directory/multiTenantOrganization/tenants/organizationDetails/read Přečtěte si podrobnosti o organizaci, která se účastní tenanta v organizaci s více tenanty.
microsoft.directory/multiTenantOrganization/tenants/standard/read Čtení základních vlastností tenanta, který se účastní organizace s více tenanty
microsoft.directory/privilegedIdentityManagement/allProperties/read Čtení všech prostředků ve službě Privileged Identity Management
microsoft.directory/provisioningLogs/allProperties/read Čtení všech vlastností protokolů zřizování
microsoft.directory/signInReports/allProperties/read Čtení všech vlastností v sestavách přihlašování, včetně privilegovaných vlastností
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.networkAccess/allEntities/allProperties/read Čtení všech aspektů přístupu k síti Microsoft Entra
microsoft.office365.protectionCenter/allEntities/standard/read Čtení standardních vlastností všech prostředků v centrech zabezpečení a dodržování předpisů
microsoft.office365.protectionCenter/attackSimulator/payload/allProperties/read Čtení všech vlastností datových částí útoku v simulátoru útoku
microsoft.office365.protectionCenter/attackSimulator/reports/allProperties/read Čtení sestav simulace útoku, odpovědí a přidruženého trénování
microsoft.office365.protectionCenter/attackSimulator/simulation/allProperties/read Čtení všech vlastností šablon simulace útoku v simulátoru útoku
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Podpora služeb Správa istrator

Uživatelé s touto rolí můžou vytvářet a spravovat žádosti o podporu s Microsoftem pro služby Azure a Microsoft 365 a zobrazit řídicí panel služby a centrum zpráv na webu Azure Portal a Centrum pro správu Microsoftu 365. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Poznámka:

Tato role se dříve jmenovala Service Správa istrator na webu Azure Portal a Centrum pro správu Microsoftu 365. Přejmenovala se na service Support Správa istrator, aby odpovídala existujícímu názvu v rozhraní Microsoft Graph API a Azure AD PowerShellu.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

SharePoint Správa istrator

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Office SharePoint Online, když je služba k dispozici, a také možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby. Další informace viz O rolích správce v centru pro správu Microsoft 365.

Poznámka:

V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje SharePoint Service Správa istrator. Na webu Azure Portal se jmenuje SharePoint Správa istrator.

Poznámka:

Tato role také uděluje vymezená oprávnění k rozhraní Microsoft Graph API pro Microsoft Intune, což umožňuje správu a konfiguraci zásad souvisejících s prostředky SharePointu a OneDrivu.

Akce Popis
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.migrations/allEntities/allProperties/allTasks Správa všech aspektů migrací Microsoftu 365
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.sharePoint/allEntities/allTasks Vytváření a odstraňování všech prostředků a čtení a aktualizace standardních vlastností v SharePointu
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Skype pro firmy Správa istrator

Uživatelé s touto rolí mají globální oprávnění v rámci Microsoft Skype pro firmy, pokud je služba přítomna, a také spravovat atributy uživatele specifické pro Skype v Microsoft Entra ID. Tato role navíc umožňuje spravovat lístky podpory a monitorovat stav služby a přistupovat k Teams a Skype pro firmy Centru pro správu. Účet musí být také licencovaný pro Teams nebo nemůže spouštět rutiny Teams PowerShellu. Další informace najdete v tématu Skype pro firmy Online Správa a informace o licencování Teams na Skype pro firmy doplňkových licencích.

Poznámka:

V rozhraní Microsoft Graph API a Azure AD PowerShellu se tato role jmenuje Služba Lyncu Správa istrator. Na webu Azure Portal se jmenuje Skype pro firmy Správa istrator.

Akce Popis
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Teams Správa istrator

Uživatelé v této roli můžou spravovat všechny aspekty úlohy Microsoft Teams prostřednictvím Centra pro správu Microsoft Teams a příslušných modulů PowerShellu Skype pro firmy. To zahrnuje mimo jiné všechny nástroje pro správu související s telefonií, zasíláním zpráv, schůzkami a samotnými týmy. Tato role navíc uděluje možnost vytvářet a spravovat všechny skupiny Microsoftu 365, spravovat lístky podpory a monitorovat stav služby.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/allEntities/allProperties/allTasks Správa všech prostředků v Teams
microsoft.directory/crossTenantAccessPolicy/standard/read Čtení základních vlastností zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update Aktualizace povolených cloudových koncových bodů zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/standard/read Čtení základních vlastností výchozích zásad přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams napříč cloudy s výchozími zásadami přístupu mezi tenanty
microsoft.directory/crossTenantAccessPolicy/partners/create Vytvoření zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/standard/read Čtení základních vlastností zásad přístupu mezi tenanty pro partnery
microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update Aktualizace nastavení schůzek v Teams mezi cloudy pro partnery
microsoft.directory/pendingExternalUserProfiles/create Vytvoření externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/pendingExternalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/standard/read Čtení standardních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/basic/update Aktualizace základních vlastností externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/externalUserProfiles/delete Odstranění externích profilů uživatelů v rozšířeném adresáři pro Teams
microsoft.directory/permissionGrantPolicies/standard/read Čtení standardních vlastností zásad udělení oprávnění

Teams Communications Správa istrator

Uživatelé v této roli mohou spravovat aspekty úloh Microsoft Teams souvisejících s hlasem a telefonií. To zahrnuje nástroje pro správu pro přiřazování telefonních čísel, zásady hlasu a schůzek a úplný přístup ke sadě nástrojů analýzy hovorů.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/allProperties/read Čtení všech dat na řídicím panelu kvality volání (CQD)
microsoft.teams/meetings/allProperties/allTasks Správa schůzek, včetně zásad schůzek, konfigurací a konferenčních mostů
microsoft.teams/voice/allProperties/allTasks Správa hlasových hovorů včetně zásad volání a inventáře telefonních čísel a přiřazení

Technik podpory komunikace v Teams

Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit úplné informace o záznamu hovoru pro všechny účastníky. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/allProperties/read Čtení všech dat na řídicím panelu kvality volání (CQD)

Specialista na podporu komunikace v Teams

Uživatelé v této roli mohou řešit problémy s komunikací v Microsoft Teams a Skype pro firmy pomocí nástrojů pro řešení potíží s voláním uživatelů v Centru pro správu Microsoft Teams &Skype pro firmy. Uživatelé v této roli můžou zobrazit pouze podrobnosti o uživateli při volání konkrétního uživatele, který hledal. Tato role nemá přístup k zobrazení, vytváření nebo správě lístků podpory.

Akce Popis
microsoft.directory/authorizationPolicy/standard/read Čtení standardních vlastností zásad autorizace
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.skypeForBusiness/allEntities/allTasks Správa všech aspektů Skype pro firmy Online
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/callQuality/standard/read Čtení základních dat na řídicím panelu kvality volání (CQD)

Zařízení Teams Správa istrator

Uživatelé s touto rolí můžou spravovat zařízení certifikovaná aplikací Teams z Centra pro správu Teams. Tato role umožňuje zobrazit všechna zařízení najednou a umožňuje prohledávat a filtrovat zařízení. Uživatel může zkontrolovat podrobnosti o každém zařízení, včetně přihlášeného účtu, vytvoření a modelu zařízení. Uživatel může změnit nastavení na zařízení a aktualizovat verze softwaru. Tato role neuděluje oprávnění ke kontrole aktivity Teams a kvality volání zařízení.

Akce Popis
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.teams/devices/standard/read Správa všech aspektů zařízení certifikovaných v Teams, včetně zásad konfigurace

Tvůrce tenanta

Přiřaďte roli Tvůrce tenanta uživatelům, kteří potřebují provádět následující úlohy:

  • Vytvoření tenantů Microsoft Entra i Azure Active Directory B2C i v případě, že je přepínač pro vytvoření tenanta vypnutý v uživatelských nastaveních

Poznámka:

Tvůrci tenantů budou mít přiřazenou roli globálního správce pro nové tenanty, které vytvoří.

Akce Popis
microsoft.directory/tenantManagement/tenants/create Vytvoření nových tenantů v Microsoft Entra ID

Čtenář souhrnných sestav využití

Přiřaďte roli čtenáře souhrnných sestav využití uživatelům, kteří potřebují v Centrum pro správu Microsoftu 365 provádět následující úlohy:

  • Zobrazení sestav využití a skóre přijetí
  • Čtení přehledů organizace, ale ne identifikovatelných osobních údajů (PII) uživatelů

Tato role umožňuje uživatelům zobrazit pouze data na úrovni organizace s následujícími výjimkami:

  • Členové můžou zobrazit data a nastavení správy uživatelů.
  • Uživatelé typu host, kteří mají přiřazenou tuto roli, nemůžou zobrazit data a nastavení správy uživatelů.
Akce Popis
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.usageReports/allEntities/standard/read Čtení agregovaných sestav využití Office 365 na úrovni tenanta
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Správce uživatelů

Privileged label icon.

Jedná se o privilegovanou roli. Přiřaďte roli Správa istrator uživatelům, kteří potřebují:

Oprávnění Více informací
Vytvoření uživatelů
Aktualizace většiny uživatelských vlastností pro všechny uživatele, včetně všech správců Kdo může provádět citlivé akce
Aktualizace citlivých vlastností (včetně hlavního názvu uživatele) pro některé uživatele Kdo může provádět citlivé akce
Zakázání nebo povolení některých uživatelů Kdo může provádět citlivé akce
Odstranění nebo obnovení některých uživatelů Kdo může provádět citlivé akce
Vytváření a správa uživatelských zobrazení
Vytvoření a správa všech skupin
Přiřazení a čtení licencí pro všechny uživatele, včetně všech správců
Resetování hesel Kdo může resetovat hesla
Zneplatnění obnovovacích tokenů Kdo může resetovat hesla
Aktualizace klíčů zařízení (FIDO)
Aktualizace zásad vypršení platnosti hesel
Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Monitorování stavu služby

Uživatelé s touto rolí nemohou provádět následující akce:

  • Nejde spravovat vícefaktorové ověřování.
  • Nejde změnit přihlašovací údaje nebo resetovat vícefaktorové ověřování pro členy a vlastníky skupiny, které je možné přiřadit roli.
  • Sdílené poštovní schránky nelze spravovat.

Důležité

Uživatelé s touto rolí můžou měnit hesla pro uživatele, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci uvnitř a mimo MICROSOFT Entra ID. Změna hesla uživatele může znamenat možnost předpokládat, že identita a oprávnění uživatele. Příklad:

  • Registrace aplikací a vlastníci podnikových aplikací, kteří můžou spravovat přihlašovací údaje aplikací, které vlastní. Tyto aplikace můžou mít privilegovaná oprávnění v MICROSOFT Entra ID a jinde se uživatelům neudělují Správa istrátory. Prostřednictvím této cesty může uživatel Správa istrator předpokládat identitu vlastníka aplikace a pak dále předpokládat identitu privilegované aplikace aktualizací přihlašovacích údajů pro aplikaci.
  • Vlastníci předplatného Azure, kteří můžou mít přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v Azure.
  • Skupiny zabezpečení a vlastníci skupin Microsoftu 365, kteří můžou spravovat členství ve skupinách. Tyto skupiny můžou udělit přístup k citlivým nebo soukromým informacím nebo kritické konfiguraci v ID Microsoft Entra a jinde.
  • Správa istrátory v jiných službách mimo Microsoft Entra ID, jako je Exchange Online, portál Microsoft 365 Defender, Portál dodržování předpisů Microsoft Purview a systémy lidských zdrojů.
  • Nesprávci, jako jsou vedoucí pracovníci, právní poradce a zaměstnanci lidských zdrojů, kteří mohou mít přístup k citlivým nebo soukromým informacím.
Akce Popis
microsoft.directory/accessReviews/definitions.applications/allProperties/allTasks Správa kontrol přístupu přiřazení rolí aplikací v Microsoft Entra ID
microsoft.directory/accessReviews/definitions.directoryRoles/allProperties/read Čtení všech vlastností kontrol přístupu pro přiřazení rolí Microsoft Entra
microsoft.directory/accessReviews/definitions.entitlementManagement/allProperties/allTasks Správa kontrol přístupu pro přiřazení přístupových balíčků ve správě nároků
microsoft.directory/accessReviews/definitions.groups/allProperties/update Aktualizujte všechny vlastnosti kontrol přístupu pro členství ve skupinách Zabezpečení a Microsoft 365 s výjimkou skupin s možností přiřazení rolí.
microsoft.directory/accessReviews/definitions.groups/create Umožňuje vytvářet kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/delete Odstraňte kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365.
microsoft.directory/accessReviews/definitions.groups/allProperties/read Přečtěte si všechny vlastnosti kontroly přístupu pro členství ve skupinách Zabezpečení a Microsoft 365, včetně skupin s možností přiřazení rolí.
microsoft.directory/contacts/create Vytvoření kontaktů
microsoft.directory/contacts/delete Odstranění kontaktů
microsoft.directory/contacts/basic/update Aktualizace základních vlastností kontaktů
microsoft.directory/deletedItems.groups/restore Obnovení obnovitelně odstraněných skupin do původního stavu
microsoft.directory/deletedItems.users/restore Obnovení obnovitelně odstraněných uživatelů do původního stavu
microsoft.directory/entitlementManagement/allProperties/allTasks Vytváření a odstraňování prostředků a čtení a aktualizace všech vlastností ve správě nároků Microsoft Entra
microsoft.directory/groups/assignLicense Přiřazení licencí k produktům ke skupinám pro licencování na základě skupin
microsoft.directory/groups/create Vytvoření skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/delete Odstranění skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro licencování na základě skupin
microsoft.directory/groups/restore Obnovení skupin z obnovitelného odstraněného kontejneru
microsoft.directory/groups/basic/update Aktualizace základních vlastností pro skupiny zabezpečení a skupiny Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení a skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/groupType/update Aktualizace vlastností, které by ovlivnily typ skupiny zabezpečení a skupin Microsoftu 365, s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/members/update Aktualizace členů skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/onPremWriteBack/update Aktualizujte skupiny Microsoft Entra tak, aby se zapsaly zpět do místního prostředí pomocí microsoft Entra Připojení
microsoft.directory/groups/owners/update Aktualizace vlastníků skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups/settings/update Aktualizace nastavení skupin
microsoft.directory/groups/visibility/update Aktualizace vlastnosti viditelnosti skupin zabezpečení a skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/oAuth2PermissionGrants/allProperties/allTasks Vytvoření a odstranění udělení oprávnění OAuth 2.0 a čtení a aktualizace všech vlastností
Privileged label icon.
microsoft.directory/policies/standard/read Čtení základních vlastností zásad
microsoft.directory/servicePrincipals/appRoleAssignedTo/update Aktualizace přiřazení rolí instančního objektu
microsoft.directory/users/assignLicense Správa uživatelských licencí
microsoft.directory/users/create Přidat uživatele
Privileged label icon.
microsoft.directory/users/convertExternalToInternalMemberUser Převod externího uživatele na interního uživatele
microsoft.directory/users/delete Odstranění uživatelů
Privileged label icon.
microsoft.directory/users/disable Zakázání uživatelů
Privileged label icon.
microsoft.directory/users/enable Povolení uživatelů
Privileged label icon.
microsoft.directory/users/inviteGuest Pozvání uživatelů typu host
microsoft.directory/users/invalidateAllRefreshTokens Vynucení odhlášení zrušením platnosti tokenů aktualizace uživatele
Privileged label icon.
microsoft.directory/users/reprocessLicenseAssignment Opětovné zpracování přiřazení licencí pro uživatele
microsoft.directory/users/restore Obnovení odstraněných uživatelů
microsoft.directory/users/basic/update Aktualizace základních vlastností pro uživatele
microsoft.directory/users/manager/update Správce aktualizací pro uživatele
microsoft.directory/users/password/update Resetování hesel pro všechny uživatele
Privileged label icon.
microsoft.directory/users/photo/update Aktualizace fotky uživatelů
microsoft.directory/users/sponzors/update Aktualizace sponzorů uživatelů
microsoft.directory/users/usageLocation/update Aktualizace umístění využití uživatelů
microsoft.directory/users/userPrincipalName/update Aktualizace hlavního názvu uživatele uživatelů
Privileged label icon.
microsoft.azure.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Azure Service Health
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Virtuální návštěvy Správa istrator

Uživatelé s touto rolí můžou provádět následující úlohy:

  • Správa a konfigurace všech aspektů virtuálních návštěv v Bookings v Centrum pro správu Microsoftu 365 a v konektoru Teams EHR
  • Zobrazení sestav využití pro virtuální návštěvy v Centru pro správu Teams, Centrum pro správu Microsoftu 365, Prostředcích infrastruktury a Power BI
  • Zobrazení funkcí a nastavení v Centrum pro správu Microsoftu 365, ale nemůže upravit žádná nastavení

Virtuální návštěvy představují jednoduchý způsob, jak naplánovat a spravovat online a videoobjednávky pro pedagogy a účastníky. Vytváření sestav využití může například ukázat, jak odesílání textových zpráv SMS před událostmi může snížit počet lidí, kteří se nezobrazují u událostí.

Akce Popis
microsoft.virtualVisits/allEntities/allProperties/allTasks Správa a sdílení informací o virtuálních návštěvách a metrik z center pro správu nebo aplikace Virtuální návštěvy
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

Viva Goals Správa istrator

Přiřaďte roli cíle Viva Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Správa a konfigurace všech aspektů aplikace Microsoft Viva Goals
  • Konfigurace nastavení správce cílů Microsoft Viva
  • Čtení informací o tenantovi Microsoft Entra
  • Monitorování stavu služby Microsoft 365
  • Vytváření a správa žádostí o služby Microsoft 365

Další informace najdete v tématu Role a oprávnění v nástroji Viva Goals a Úvod do cílů Microsoft Viva.

Akce Popis
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.viva.goals/allEntities/allProperties/allTasks Správa všech aspektů cílů Microsoft Viva

Viva Pulse Správa istrator

Přiřaďte roli Viva Pulse Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Čtení a konfigurace všech nastavení Viva Pulse
  • Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
  • Čtení a konfigurace služby Azure Service Health
  • Vytváření a správa lístků podpora Azure
  • Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
  • Čtení sestav využití v Centrum pro správu Microsoftu 365

Další informace najdete v tématu Přiřazení správce Viva Pulse v Centrum pro správu Microsoftu 365.

Akce Popis
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.viva.pulse/allEntities/allProperties/allTasks Správa všech aspektů Microsoft Viva Pulse

Windows 365 Správa istrator

Uživatelé s touto rolí mají při přítomnosti služby globální oprávnění k prostředkům Windows 365. Kromě toho tato role obsahuje možnost spravovat uživatele a zařízení, aby bylo možné přidružit zásady a také vytvářet a spravovat skupiny.

Tato role může vytvářet a spravovat skupiny zabezpečení, ale nemá oprávnění správce ke skupinám Microsoft 365. To znamená, že správci nemůžou aktualizovat vlastníky ani členství ve skupinách Microsoft 365 v organizaci. Můžou ale spravovat skupinu Microsoft 365, kterou vytvoří, což je součástí jejich oprávnění koncových uživatelů. Takže každá skupina Microsoftu 365 (ne skupina zabezpečení), kterou vytvoří, se započítává do kvóty 250.

Přiřaďte roli windows 365 Správa istrator uživatelům, kteří potřebují provádět následující úlohy:

  • Správa cloudových počítačů s Windows 365 v Microsoft Intune
  • Registrace a správa zařízení v Microsoft Entra ID, včetně přiřazování uživatelů a zásad
  • Vytváření a správa skupin zabezpečení, ale ne skupin s možností přiřazení rolí
  • Zobrazení základních vlastností v Centrum pro správu Microsoftu 365
  • Čtení sestav využití v Centrum pro správu Microsoftu 365
  • Vytváření a správa lístků podpory v Azure a Centrum pro správu Microsoftu 365
Akce Popis
microsoft.directory/deletedItems.devices/delete Trvale odstranit zařízení, která se už nedají obnovit
microsoft.directory/deletedItems.devices/restore Obnovení obnovitelně odstraněných zařízení do původního stavu
microsoft.directory/devices/create Vytvoření zařízení (registrace v Microsoft Entra ID)
microsoft.directory/devices/delete Odstranění zařízení z Microsoft Entra ID
microsoft.directory/devices/disable Zakázání zařízení v Microsoft Entra ID
microsoft.directory/devices/enable Povolení zařízení v Microsoft Entra ID
microsoft.directory/devices/basic/update Aktualizace základních vlastností na zařízeních
microsoft.directory/devices/extensionAttributeSet1/update Aktualizace vlastnosti extensionAttribute1 na extensionAttribute5 na zařízeních
microsoft.directory/devices/extensionAttributeSet2/update Aktualizace vlastnosti extensionAttribute6 na extensionAttribute10 na zařízeních
microsoft.directory/devices/extensionAttributeSet3/update Aktualizace vlastnosti extensionAttribute11 na extensionAttribute15 na zařízeních
microsoft.directory/devices/registeredOwners/update Aktualizace registrovaných vlastníků zařízení
microsoft.directory/devices/registeredUsers/update Aktualizace registrovaných uživatelů zařízení
microsoft.directory/groups.security/create Vytvoření skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/delete Odstranění skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/basic/update Aktualizace základních vlastností pro skupiny zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/classification/update Aktualizace vlastnosti klasifikace u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/dynamicMembershipRule/update Aktualizace pravidla dynamického členství ve skupinách zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/members/update Aktualizace členů skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/owners/update Aktualizace vlastníků skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.security/visibility/update Aktualizace vlastnosti viditelnosti u skupin zabezpečení s výjimkou skupin s možností přiřazení rolí
microsoft.directory/deviceManagementPolicies/standard/read Čtení standardních vlastností v zásadách správy mobilních zařízení a správy mobilních aplikací
microsoft.directory/deviceRegistrationPolicy/standard/read Čtení standardních vlastností zásad registrace zařízení
microsoft.azure.supportTickets/allEntities/allTasks Vytváření a správa lístků podpora Azure
microsoft.cloudPC/allEntities/allProperties/allTasks Správa všech aspektů Windows 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365

služba Windows Update nasazení Správa istrator

Uživatelé v této roli můžou vytvářet a spravovat všechny aspekty nasazení služba Windows Update prostřednictvím služby nasazení služba Windows Update pro firmy. Služba nasazení umožňuje uživatelům definovat nastavení, kdy a jak se aktualizace nasazují, a určit, které aktualizace se nabízejí skupinám zařízení v jejich tenantovi. Umožňuje také uživatelům sledovat průběh aktualizace.

Akce Popis
microsoft.windows.updatesDeployments/allEntities/allProperties/allTasks Čtení a konfigurace všech aspektů služby služba Windows Update Service

Yammer Správa istrator

Přiřaďte roli Správa istrator Yammeru uživatelům, kteří potřebují provádět následující úlohy:

  • Správa všech aspektů Yammeru
  • Vytváření, správa a obnovení Skupiny Microsoft 365, ale ne skupin s možností přiřazení rolí
  • Zobrazení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně přiřazovatelných skupin rolí
  • Čtení sestav využití v Centrum pro správu Microsoftu 365
  • Vytváření a správa žádostí o služby v Centrum pro správu Microsoftu 365
  • Zobrazení oznámení v Centru zpráv, ale ne oznámení o zabezpečení
  • Zobrazení stavu služby

Další informace

Akce Popis
microsoft.directory/groups/hiddenMembers/read Čtení skrytých členů skupin zabezpečení a skupin Microsoftu 365, včetně skupin s možností přiřazení rolí
microsoft.directory/groups.unified/create Vytvoření skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/delete Odstranění skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/restore Obnovení skupin Microsoftu 365 z obnovitelného odstraněného kontejneru s výjimkou skupin, které je možné přiřadit role
microsoft.directory/groups.unified/basic/update Aktualizace základních vlastností ve skupinách Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/members/update Aktualizace členů skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.directory/groups.unified/owners/update Aktualizace vlastníků skupin Microsoftu 365 s výjimkou skupin s možností přiřazení rolí
microsoft.office365.messageCenter/messages/read Čtení zpráv v Centru zpráv v Centrum pro správu Microsoftu 365 s výjimkou zpráv zabezpečení
microsoft.office365.network/performance/allProperties/read Čtení všech vlastností výkonu sítě v Centrum pro správu Microsoftu 365
microsoft.office365.serviceHealth/allEntities/allTasks Čtení a konfigurace služby Service Health v Centrum pro správu Microsoftu 365
microsoft.office365.supportTickets/allEntities/allTasks Vytváření a správa žádostí o služby Microsoft 365
microsoft.office365.usageReports/allEntities/allProperties/read Čtení sestav využití Office 365
microsoft.office365.webPortal/allEntities/standard/read Čtení základních vlastností všech prostředků v Centrum pro správu Microsoftu 365
microsoft.office365.yammer/allEntities/allProperties/allTasks Správa všech aspektů Yammeru

Zastaralé role

Neměly by se používat následující role. Byly zastaralé a v budoucnu se odeberou z ID Microsoft Entra.

  • AdHoc License Správa istrator
  • Připojení zařízení
  • Správce zařízení
  • Uživatelé zařízení
  • Autor ověřeného uživatele e-mailem
  • Poštovní schránka Správa istrator
  • Připojení zařízení na pracovišti

Role se nezobrazují na portálu

Na webu Azure Portal se nezobrazují všechny role vrácené PowerShellem nebo rozhraním MS Graph API. Následující tabulka tyto rozdíly uspořádá.

Název rozhraní API Název webu Azure Portal Notes
Připojení zařízení Zastaralé Dokumentace k zastaralým rolím
Správce zařízení Zastaralé Dokumentace k zastaralým rolím
Uživatelé zařízení Zastaralé Dokumentace k zastaralým rolím
Účty synchronizace adresářů Nezobsazeno, protože by se nemělo používat Dokumentace k účtům synchronizace adresářů
Uživatel typu host Nezobrazuje se, protože se nedá použít NA
Podpora partnerské vrstvy 1 Nezobsazeno, protože by se nemělo používat Dokumentace podpory partnerské vrstvy 1
Podpora partnerské vrstvy 2 Nezobsazeno, protože by se nemělo používat Dokumentace podpory partnerské vrstvy 2
Omezený uživatel typu host Nezobrazuje se, protože se nedá použít NA
Uživatelská Nezobrazuje se, protože se nedá použít NA
Připojení zařízení na pracovišti Zastaralé Dokumentace k zastaralým rolím

Další kroky